windows活动目录特性

windows活动目录特性議程2008活动目录增强功能使用RODC增强活动目录的安全特性使用增强型密码策略管理企业不同密码需求活动目录详细日志审核使用快照进行查看数据备份实际应用环境排错案例(Q&A)活动目录发展历史2023/3/20-Slide3WINNT4域1995年发布相比以前系统增强了集中控制管理的功能WINDOWS20001999年11月23日发布相比NT4来说，增强了AD的性能，同时组策略管理工具GPMC的引进加强了对于整个活动目录的管理WINDOWS20032003年4月25日在2003中活动木功能得到继续增强，并且能够实现域更名操作。WINDOWS20082008年2月28日增强了非常多的功能，比如RODC，域功能最小组织发生变化，以前为OU现在变为用户。Windows2008活动目录增强功能一切皆服务ADDSAD目录服务ADFSAD联盟服务ADCSAD证书服务AD新增功能可管理性增强集成了GPMC,ADSI,ADUC的工具审核活动目录详细日志增强的安全性2008角色RODC更便捷管理的密码策略快速查看活动目录对象活动目录MountingTOOL基于WINDOWS2008活动目录快速部署组策略Preference无代码部署标准环境使用密码策略增强用户安全性Windows2008活动目录以前一个域只有一个密码策略，如果需要不同的部门利用不同的密码策略，解决方式是：新建子域Windows2008解决方式PasswordSettingsObjectPSO1PasswordSettingsObjectPSO2Precedence=10Precedence=20AppliesToAppliesToAppliesToResultantPSO=PSO1ResultantPSO=PSO1利用PSO来进行管理应用PSO限制密码策略在一个域内为不同的用户设定不同的密码策略可以在以下对象上应用此策略用户通用安全组使用密码策略前提需求域功能模式：windows2008用户客户端不用发生改变不用在默认策略上进行任何设置，设置亦可E.g.：应用PSO与默认域密码策略关系不大一个用户可以有多个PSO策略，但是只有一个生效密码策略优先级域密码策略应用的PSO策略PSO策略的优先级决定于PRECEDENCE的数值需要工具Adsiedit创建PSOADUC创建用户和组，设置用户和组DSGET查看用户是否套用相关PSODEMO1.创建PSO2.套用PSO3.检查用户或组是否套用PSO稽核活动目录详细审核日志Windows2008以前………. 只知道属性被修改了，却不知道是怎么变更的变更前后的值是什么？2008以前系统无法稽核Windows2008如此做事件记录会确实的告诉你:谁变更数据何时变更什么对象/属性被变更起始与结束的值审核适用以下控制：全局审核策略权限SACLWindows2008活动目录细分以下部分“DirectoryServiceAccess”的审核被细分为：DirectoryServiceAccess

活动目录访问DirectoryServiceChanges活动目录变更DirectoryServiceReplication目录服务复制服务DetailedDirectoryServiceReplication目录服务详细复制服务事件ID事件类型事件说明5136Modify修改对象的属性5137Create建立新的对象5138Undelete对象被反删除5139Move移动对象Directoryservicechanges事件ID：审核日志分类DEMO1.使用命令激活日志2.在OU上套用SCAL规则3.检查日志是否记录活动小憩一下一把蓝色的刀，一把蓝色的抢

（猜一四字成语）

一条狗走过独木桥就不叫了

（猜一四字成语）利用MountingTool加载活动目录快照增强的活动目录安全性现在的活动目录增强的安全性保护了用户和组织单位不会太容易被删除Windows2008出现以前…… 如果有多个AD数据库备份，我们想找一个比较新的需要恢复的用户？怎么做？

需要寻找不停的各种版本来找适用的数据库

Windows2008解决方案

根据定期创建的Snapshot文件来快速检查需要的对象不用重新启动即可挂载相关的快照基于第三方恢复解决方案SnapshotRecoverTool1IdentitySnapshotRecoverytooliscommandlineinterfacetoolwhichsimplifiesprocessofActiveDirectorydeletedobjectsreanimationandpopulatingtheseobjectswithdatafromActiveDirectorysnapshotmountedinactiveinstance.DEMO1.建立快照2.映射相应的端口3.利用ADUC连接4.适用任务计划建立快照使用RODC增强安全性在Windows2008以前所有的DC都是可读写的如果分公司的人想对DC对象操作将影响整个网络架构Windows2008后RODC出炉，为分支机构管理带来一个全新的管理方案分支机构总部ReadOnlyDCWindowsServer2008DC1234566123456用户尝试登入RODC:检查数据库

找不到用户?!将要求转向到WindowsServer2008域控制器WindowsServer2008域控制器进行身份验证将验证结果与TGT回传给RODCRODC将TGT传送给客户端，并且缓存一份下来RODCRODC运作方式如果攻击者得到DC管理者观点攻击者观点RODC安装前提条件1.活动目录的功能级别必须为windows2003或者

以上2.域内必须有一台2003或者2008AD正常服务器3.网络和DNS必须正常运作DEMO1.为需要升级为RODC的电脑创建账号2.委派用户管理RODC3.RODC升级基于活动目录组策略Preference功能快速部署客户端环境前身-policyMakerFreeutilitythatallowsonetocreatecustom.ADMfileswithregistryentries,thatcanbeusedwiththegrouppolicyeditor(GPE).Itisrequiredthatthisextensionisinstalledonallclientsthatshouldapplytheregistryentries.

DownloadhereDesktopstandard(Mirrorofpolreg.msi)

Update(03October2006)-DesktopStandardwasacquiredbyMicrosoftalongwithallitsgrouppolicytools.Update(12November2007)-MicrosoftannouncedthatanewtoolcalledGroupPolicyPreferenceswillbereleasedwithWindows2008(formerlyPolicyMakerStandardEditionandPolicyMakerShareManagerbyDesktopStandard),alongwithclientsideextensions(CSE)asseparatedownloadforWindowsXPandVista.MoreInfoGPPFAQ.Update(3Marts2008)-Microsoftmadetheseparatedownloadofclientsideextensions(CSE)public.MoreInfoMSKB943729Preference让