Windows域服務(wù)基礎(chǔ)培訓

1、Windows 域服務(wù)基礎(chǔ)域服務(wù)基礎(chǔ)李文龍 2014-04-08目錄目錄一、Windows NT 產(chǎn)品線二、Windows2008R2與Windwos2012R2三、域活動目錄的概念三、域活動目錄的概念四、活動目錄的安裝配置四、活動目錄的安裝配置五、DNS，IIS，F(xiàn)TP服務(wù)器安裝配置六、結(jié)合六、結(jié)合FB項目談項目談Windows域控的實際運用域控的實際運用3一、Windows NT產(chǎn)品線lWindows NTWindows NT產(chǎn)品線演變產(chǎn)品線演變Windows NT 4.0 (1996年)Windows 2000 (Windows NT 5.0) Windows XP (Windows N

2、T 5.1) Windows Server 2003 (Windows NT 5.2) Windows Server 2003 R2(Windows NT 5.3)Windows Vista (Windows NT 6.0) Windows Server 2008 (Windows NT 6.0) Windows 7 (Windows NT 6.1) Windows Server 2008 R2 (Windows NT 6.1) Windows 8 (Windows NT 6.2)Windows Server 2012 (Windows NT 6.2) Windows 8.1 (Windows

3、 NT 6.3)Windows Server 2012 R2 (Windows NT 6.3)Windows 94Windows server 2008R2 各版本的區(qū)別5Windows server 2008R2 各版本的區(qū)別其他版本的windowslWindows 2008 R2以后Windows不再發(fā)布32位版本服務(wù)器操作系統(tǒng)。lWindows 2012 Server R2：目前主推的Server版本lWindows Hyper-V Server：企業(yè)級虛擬化，硬件必須是64Bit，且CPU支持硬件虛擬化，例如Intel VT，AMD-V）lWindows PE：光盤啟動的Windows

4、，可以用來清除密碼，修復(fù)系統(tǒng)等（Live CD）lWindows HPC Server：高性能計算lWindows Home Server：家庭服務(wù)器版本lWindows Storage Server：存儲設(shè)備服務(wù)器版本W(wǎng)indows 2012 R2的新功能l健康狀況報告健康狀況報告實用的集成化健康狀況報告功能，而且無需再當作插件進行額外安裝。lBranchCacheBranchCache會從主服務(wù)器或者云托管內(nèi)容服務(wù)器中復(fù)制內(nèi)容，并將這些內(nèi)容作為緩存保留在分支機構(gòu)本地，從而讓分支機構(gòu)的客戶計算機能夠以本地而非遠程方式實現(xiàn)數(shù)據(jù)訪問。lOffice 365Office 365 是完整的云中 Of

5、fice、包含Exchange Online、SharePoint Online、Lync OnlineSharePoint Online為用戶提供在線版本W(wǎng)ord、Excel、PowerPoint和OneNote，并且支持與桌面版本Office的協(xié)作。l移動設(shè)備管理移動設(shè)備管理l客戶端完整系統(tǒng)還原客戶端完整系統(tǒng)還原l遠程遠程WebWeb訪問訪問遠程Web訪問迎來更新并針對觸控設(shè)備進行了優(yōu)化，且提供更多針對HTML 5的支持功能。圖五顯示的就是其美觀的使用界面。三、域活動目錄的概念三、域活動目錄的概念目錄和目錄服務(wù)的基本概念何謂目錄目錄與數(shù)據(jù)庫的差異何謂目錄服務(wù)計算機網(wǎng)絡(luò)為何需要目錄服務(wù)何謂目

6、錄計算機的文件系統(tǒng)記錄了文件夾與檔案的名稱、建立日期、修改日期、儲存位置等等目錄是用來記載特定環(huán)境中、一群對象的相關(guān)信息。對象主要包含計算機、用戶帳戶、組、共享文件夾、打印機等目錄與數(shù)據(jù)庫的差異目錄與數(shù)據(jù)庫都是用來儲存資料,兩者的確很相似。不過,深入比較其細節(jié),就會發(fā)現(xiàn)通常有以下兩點差異：目錄強調(diào)查詢,數(shù)據(jù)庫重視事務(wù)處理。目錄對于查詢動作做過優(yōu)化,因此查詢的速度很快,適合處理變動少、查詢多的數(shù)據(jù)。數(shù)據(jù)庫則是重視事務(wù)（Transcation）,適合處理變動較多的數(shù)據(jù)。目錄以樹狀架構(gòu)為主,數(shù)據(jù)庫以關(guān)系型數(shù)據(jù)表為主。目錄樹若目錄中的對象是以“階層式樹狀架構(gòu)”來組織,則該架構(gòu)稱為“目錄樹”(Direc

7、tory Tree),包含以下兩類的對象：容器對象(Container Object)：這類對象的下層可再存放其他對象。位于整個目錄樹頂端的容器對象,稱為“根”對象(Root Object)。非容器對象(Non-container Object)：這類對象的下層不可再存放其他對象。非容器對象必定是位于目錄樹的末端,又稱為“葉”對象(Leaf Object)。目錄樹整體的架構(gòu)圖如下：標準名稱標準名稱是以簡化方式表示LDAP的DN,假設(shè)對象的DN為：則在AD中此對象的標準名稱為：換言之,標準名稱省略了DN中的CN=、OU=等等保留字,并改用DNS域名來表示DN中的域名。AD對象在AD目錄中的對象稱

8、為AD對象。雖然大多數(shù)AD對象的特性各不相同,但是卻有一些共同點。GUIDACLAD SchemaAD目錄服務(wù)和架構(gòu)微軟自Windows 2000 Server開始提供完整的目錄服務(wù),命名為AD（ActiveDirectory）。AD目錄仍然是以對象組合成樹狀架構(gòu),但是多了“域”（Domain）對象。將一般對象先整合到域中,再所謂的“域樹”（Domain Tree）GUIDWindows Server 2008會賦予各對象一個獨一無二的代碼,稱為GUID(Globally Unique Identifier,全局唯一識別元)。GUID的長度高達128位,以確保不會彼此重復(fù)。對象的GUID一旦產(chǎn)

9、生,永遠不會改變,因此不論對象的名稱或?qū)傩匀绾巫兏?應(yīng)用程序仍可透過GUID找到對象。ACL從Windows 2000 Server到Windows Server 2008,都存在所謂的安全策略(Security Principal)對象,它包含“用戶帳戶、計算機帳戶與群組”等3種對象。而AD對象都有一份列表(List),記載著安全策略對象對自己有哪些權(quán)限,這份清單稱為訪問控制列表(ACL, Access Control List)。換言之, ACL記載了“哪些安全策略對象,可以對哪些對象做什么動作”。ACL的繼承關(guān)系雖然AD對象各自擁有一份獨立的ACL,然而系統(tǒng)管理員可以根據(jù)實際需求,決定是

10、否讓下層對象繼承上層對象的ACL。以下圖為例：AD對象的屬性AD對象的主要功能是記載AD域內(nèi)各種資源的資訊,這些信息便是對象的屬性。每個AD對象通常有多個屬性,以使用者 （User）對象為例,預(yù)設(shè)有兩百多個屬性,較常用到的屬性如下：sn：使用者的姓。givenName：使用者的名字。userPassword：用戶的密碼。objectGUID：使用者的GUID。lastLogon：使用者最近一次的登入時間。userCertificate：使用者的數(shù)字證書。homePhone：用戶家中的電話號碼。AD Schema先前提過,不同類的AD對象可能具有不同的屬性,例如：打印機對象有紙張尺寸屬性,但是用

11、戶對象就不可能有此屬性。到底什么樣的對象具有哪些屬性,這是由AD schema所決定。AD schema如同一份規(guī)格文件,將對象分成各種類別(Class),并定義每一種類別的對象該有哪些屬性。為什么需要域如果資源分布在M臺服務(wù)器上，要在M臺服務(wù)器分別為N名員工建立一個賬戶（共M*N），用戶則需要在每臺服務(wù)器上（共M臺）登錄域的好處服務(wù)器和用戶的計算機都在同一個域中，用戶在域中只要擁有一個賬號，只需在域中登錄一次就可以訪問域中的資源。四、活動目錄的安裝配置四、活動目錄的安裝配置部署AD DS（Active Directory Domain Services）計算機在域內(nèi)和域外的角色將獨立服務(wù)器加

12、入域退出域和DC降級林與域功能級別部署AD DS建立第1個域具體來說,建立第1個域就是要建立第1臺域控制器（Domain Controller,以下簡稱為DC）而建立DC的第1個動作就是執(zhí)行Dcpromo.exe但是必須具有系統(tǒng)管理員權(quán)限才能執(zhí)行此程序,因此務(wù)必先以具有系統(tǒng)管理員權(quán)限的用戶帳戶登入。建立第一部DC以下的示范步驟,系假設(shè)目前的網(wǎng)絡(luò)無任何域,所要建立的是整個網(wǎng)絡(luò)的第一個域又稱為根域（Root Domain）。Active Directory域服務(wù)安裝1、“添加服務(wù)器角色”安裝2、通過命令行安裝“運行”輸入Dcpromo.exe安裝向?qū)д埌撮_始鈕,輸入dcpromo、按Enter鍵：

13、還原模式用于當AD數(shù)據(jù)庫毀損時,可在開機啟動Windows Server 2008之前按F8鍵,進入目錄服務(wù)還原模式,重建AD數(shù)據(jù)庫。安裝完成后,需要立即重新啟動。重新啟動后若要確認是否已經(jīng)是DC,從檢查幾個組件是否正確安裝，如下圖：域中的計算機除了域控制器之外,域中的計算機還可區(qū)分成以下兩類：成員服務(wù)器（Member Server）工作站（Workstation）成員服務(wù)器和獨立服務(wù)器安裝Windows Server 2008、Windows Server 2003 / 2003 R2、Windows 2000 Server等系統(tǒng),加入了域、但不是DC的計算機。簡單理解安裝了Windows

14、NT Server系統(tǒng),且加入域的電腦,都算是成員服務(wù)器。成員服務(wù)器都信任DC的身份驗證。未加入域的服務(wù)器就是“獨立服務(wù)器”無論安裝的是Windows或非Windows的服務(wù)器操作系統(tǒng)。此外，Windows XP HOME、Windows 7 HOME都沒有加入域的功能。最好停用成員服務(wù)器的本機賬戶雖然加入了域,但是成員服務(wù)器上仍保留本機的帳戶數(shù)據(jù)庫,因此使用者仍可利用這些本機帳戶,登入該服務(wù)器。對域的安全管理而言,這些本機賬戶可能會是漏洞,所以我們建議停用成員服務(wù)器的本機帳戶,強制使用者一律以域賬戶登入。工作站使用者可利用工作站登入域,存取域中的資源、執(zhí)行應(yīng)用程序等等,但是Windows S

15、erver 2008R2的某些新功能,必須搭配Windows 7的工作站才能發(fā)揮效果。而工作站本身仍然保留了本機帳戶的數(shù)據(jù)庫,使用者利用本機賬戶登入工作站時,只能使用本機（該工作站）的資源,但無法存取域上的資源。獨立服務(wù)器或客戶機加入域建立域之后,通常會優(yōu)先將網(wǎng)絡(luò)上的獨立服務(wù)器加入域,以便集中管理。獨立服務(wù)器/客戶機加域的步驟：1、客戶端配置能解析到DC域名的DNS。2、使用有域登陸權(quán)限的帳號（一般是域管理員）將獨立服務(wù)器/客戶機加入域。3、為成員服務(wù)器/工作站添加域用戶，設(shè)置域策略和分配域資源。域功能級別的種類與高低愈新的操作系統(tǒng)代表愈高的功能級別,因此Windows Server 2008

16、 R2的等級最高；Windows Windows Server 2008 次之，Server 2003再次；Windows2000（原生）的等級最低。在選擇林和域功能級別時,要注意域功能級別不能低于林功能級別。假設(shè)林功能級別為“Windows Server 2003”,則域功能級別就只有“Windows Server 2003”和“Windows Serer 2008”可選。不同功能級別的影響選擇不同的功能級別,對于林或域會造成以下的影響：哪些DC可以加入林或域：雖然都是DC,但是所執(zhí)行的操作系統(tǒng)可能是Windows 2000、Windows 2003或Windows 2008,因此在不同的功

17、能級別會限制某些DC不能加入林或域。林或域支持哪些功能：在不同的功能級別,林或域所支持的功能也有差異。功能級別愈高,所支持的功能愈多。變更域/林功能級別請以隸屬于Domain Admin群組的使用者賬戶登入,而后執(zhí)行“開始/系統(tǒng)管理工具/ Active Directory域及信任”,并如下操作：五、五、DNSDNS、IISIIS、FTPFTP服務(wù)器的安裝配置服務(wù)器的安裝配置（觀看錄像）六、結(jié)合六、結(jié)合FBFB項目談項目談WindowsWindows域控的實際運用域控的實際運用前言前言FBFB項目涉及對單位的項目涉及對單位的ITIT資產(chǎn)進行全面清查，其中需要資產(chǎn)進行全面清查，其中需要大量人力做終

18、端加固和測評文檔資料整理。大量人力做終端加固和測評文檔資料整理。存在的問題：存在的問題：1、終端加固項目繁多（10幾項）手動加固時難免存在一些漏加固項。如策略的配置，停服務(wù)，禁多余帳號等，這些漏項經(jīng)常需要再次返工，更要命的是你無法得到一份漏項名單，只能被動地發(fā)現(xiàn)一處補一處。2、掃樓剛完成沒幾個星期，很多用戶認為麻煩或以工作需要為由，取消BIOS密碼，屏保，開啟文件共享。3、通常一次掃樓，好的情況下能完成75%左右的終端加固。但根據(jù)這75%的加固表整理得到的資料明顯不齊全，而據(jù)此整理出來的IP分配表和終端情況表也是漏洞百出，怎么說服專家？使用域控對服務(wù)器和終端進行管理的好處使用域控對服務(wù)器和終端進行管理的好處 首先，使用域進行計算機管理是FB測評中的加分項。其好處在于：1、統(tǒng)一管理對所有服務(wù)器和終端進行統(tǒng)一管理，資源統(tǒng)一分配，本單位的計算機資源和使用人員情況將一覽無余，據(jù)此整理出來的終端資料是完整的和有說服力的。2、加強終端管控通過制訂策略，對不同的域，不同的組織單位，不同組甚至具體某臺計算機可以靈活地采取不同的管控措施。3、簡化終端加固工作a,強制終端使用域用戶登陸，可以杜絕域計算機上存在的多余賬號。b,完全禁止終端修改IP地址和進行