企業(yè)戰(zhàn)略管理第3章ActiveDirectory和組策略

1、第3章 Active Directory 和組策略規(guī)劃根底結(jié)構(gòu)效勞效勞器角色規(guī)劃和實現(xiàn)組策略方案本章課程設(shè)置： 第1課 Windows Server 2021 Active Directory 第2課 Windows Server 2021 組策略1第1課 windows Server 2021 AD學(xué)習(xí)目標(biāo)：列舉和描述Windows Server 2021 Active Directory域效勞AD DS的新特征和功能規(guī)劃和配置域功能級別規(guī)劃林功能級別規(guī)劃林信任使用目錄效勞器23.1.1介紹Windows Server 2021目錄效勞器角色目錄效勞器角色AD DS引入的新功能：只讀域控制器

2、RODC新的和增強的工具和向?qū)В篈D DS安裝向?qū)Ъ?xì)化的平安策略：多元密碼策略可重啟的AD DS：允許離線操作AD DS數(shù)據(jù)挖掘工具：可查看快照數(shù)據(jù)33.1.1介紹Windows Server 2021 目錄效勞器角色1只讀域控制器RODCRODC是具有 Active Directory 文件庫只讀版本的域控制器，可部署于域控制器平安性無法確保的環(huán)境中。包括域控制器的物理平安性有疑慮的分支機構(gòu)，或者具有額外角色功能并需要其他用戶登入與管理效勞器的域控制器。可以把RODC管理委派給一個域用戶或平安組，從而在本地管理員不是Domain Admins組成員的地方使用RODC。 43.1.1介紹Win

3、dows Server 2021 目錄效勞器角色使用案例：遠程分公司的用戶，一般通過廣域網(wǎng)WAN連接到總公司的DC進行身份驗證。缺點：延遲或不能登錄。怎么解決？可寫的DC?存放一個可寫的DC和一個管理員，浪費太大。存放一個可寫的DC，讓管理員遠程管理，帶寬低，費時又棘手。存放一個可寫的DC不如WAN平安。RODC解決方案：RODC提供了增強的平安性；使登錄更快速，并且允許更有效地訪問本地資源；RODC管理可以委派給一個沒有管理權(quán)限的用戶或組。51只讀域控制器RODC如果分公司使用的LOBline-of-business業(yè)務(wù)應(yīng)用程序只有安裝到一個域控制器上才能運行，也要選擇部署RODC。RODC

4、從一個可寫DC接收它的配置。敏感的平安信息不被復(fù)制到RODC。用戶在分公司第一次登錄時通過WAN進行身份確認(rèn)，然后RODC可以把憑證緩存，以后就可以在本地驗證。因此，在用戶相對較少，物理平安性差，網(wǎng)絡(luò)帶寬較低，IT 知識貧乏的環(huán)境下，可以采用RODC。提供了只讀AD DS數(shù)據(jù)庫、單向復(fù)制、憑證緩存、管理員角色別離、只讀DNS不支持客戶更新等功能。3.1.1介紹Windows Server 2021 目錄效勞器角色63.1.1介紹Windows Server 2021 目錄效勞器角色2規(guī)劃RODC實現(xiàn)條件：遠程啟動Server 2021升級或有一個2021的AD DS域，即可方案實現(xiàn)RODC。R

5、ODC安裝的兩個階段：第一階段：為該域中的RODC創(chuàng)立計算機賬戶時，可以為特定的RODC規(guī)定密碼復(fù)制策略。在RODC上安裝DNS實現(xiàn)一個輔助的DNS效勞器，可以復(fù)制該DNS使用的所有應(yīng)用程序目錄分區(qū)?？蛻舾聰?shù)據(jù)，可以請求單一更新DNS。第二階段：安裝73.1.1介紹Windows Server 2021 目錄效勞器角色3利用安裝向?qū)г鰪姽δ躓indows Server 2021增加了AD DS安裝向?qū)?，以簡化AD DS安裝，并引入了RODC安裝等新特征。單擊“添加角色輸入命令dcpromo高級模式安裝使你能夠更好地控制安裝過程。83.1.1介紹Windows Server 2021 目錄效勞

6、器角色4委派RODC安裝在總公司DC中，可以委派適宜的權(quán)限給一個用戶或組。分支辦公室的用戶接受了委派權(quán)限后，就可以執(zhí)行RODC的安裝，并可以管理RODC，但不需要域管理員權(quán)限。過程：首先創(chuàng)立RODC賬戶；安裝過程中就可以關(guān)聯(lián)/委派。93.1.1介紹Windows Server 2021 目錄效勞器角色5利用MMC管理單元增強功能Windows Server 2021增強了MMC管理單元工具如AD用戶和計算機的功能。查找命令：該命令允許查找放置DC的站點。可以幫助解決復(fù)制問題。提供配置“密碼復(fù)制策略選項卡，用于配置RODC的設(shè)置。單擊“高級按鈕，可以查看哪些密碼已被發(fā)送或存儲到RODC中，也就知

7、道誰在使用RODC。103.1.1介紹Windows Server 2021 目錄效勞器角色6規(guī)劃多元密碼和帳戶鎖定策略以前的Active Directory實現(xiàn)中，只能對域中的所有用戶應(yīng)用一個密碼和帳戶鎖定策略。Windows Server 2021允許規(guī)定多元密碼策略?？梢砸?guī)定多個密碼策略，并對單個域中的不同用戶組應(yīng)用不同的密碼限制和賬戶鎖定策略。密碼設(shè)置容器PSC密碼設(shè)置對象PSO通常，規(guī)劃的策略可以包含至少3個但不能多于10個PSO。不能直接將PSO應(yīng)用于組織單元OU。而考慮為這些OU創(chuàng)立影子組全局平安組，然后應(yīng)用PSO。113.1.1介紹Windows Server 2021 目錄效

8、勞器角色6規(guī)劃多元密碼和帳戶鎖定策略將PSO應(yīng)用于組而不是OU，可以不用修改OU層次結(jié)構(gòu)，組為管理各用戶集提供了更好的靈活性。使用多元密碼，需要具有2021域功能級別。只有域管理組的成員才可以創(chuàng)立PSO，以及將一個PSO應(yīng)用于某個組或用戶。多元密碼策略只能應(yīng)用于用戶對象和全局平安組，不能應(yīng)用于計算機對象。多元密碼策略不能干預(yù)自定義的密碼篩選器。PSO分配給一個全局組后，可以把一個特殊的PSO直接應(yīng)用于特定的用戶。可以方案委派多元密碼管理。123.1.1介紹Windows Server 2021 目錄效勞器角色7規(guī)劃數(shù)據(jù)挖掘工具的使用目的：為了方便恢復(fù)被刪除的AD DS對象。數(shù)據(jù)挖掘工具Dsam

9、ain.exe使被刪除的數(shù)據(jù)能夠以卷影復(fù)制效勞VSS備份的AD DS快照方式進行保存?？梢岳幂p型目錄訪問協(xié)議工具，如ldp.exe查看這些快照中的只讀數(shù)據(jù)。規(guī)劃被刪除數(shù)據(jù)的復(fù)原策略：決定如何最好地保存刪除的數(shù)據(jù)，使它能夠被復(fù)原，從而在需要的時候復(fù)原該數(shù)據(jù)。決定數(shù)據(jù)喪失后或者破壞時應(yīng)復(fù)原哪個快照。確定了需要恢復(fù)的對象或OU，可以在快照中標(biāo)識并記錄它們的屬性和返回鏈接。考慮快照的平安問題，制訂恢復(fù)方案。133.1.1介紹Windows Server 2021 目錄效勞器角色8規(guī)劃AD DS審核在Windows Server 2021中，全局審核策略“審核目錄效勞訪問默認(rèn)啟動。該策略控制啟用還是禁

10、用目錄效勞事件的審核。 記錄事件寫入“平安性事件日志以及如何響應(yīng)事件。DS訪問DS改變DS復(fù)制審核DS復(fù)制被進一步細(xì)分，提供兩個審核級別的選擇：正常和詳細(xì)。如何響應(yīng)事件： “將任務(wù)附加到該事件。143.1.2 規(guī)劃域和林功能將域和林升級到Windows Server 2021時，總會提升域和林的功能級別。提升功能級別非常容易，但是不可能降低它們，除了卸載重裝。要規(guī)劃需要為域設(shè)置什么功能級別以及什么時候提升功能，需要知道每個功能級別支持什么DC以及提升功能級別提供哪些附加功能，還需要知道域和林功能級別之間的關(guān)系。域功能級別考慮因素林功能級別考慮因素153.1.3 規(guī)劃林級信任林信任即林級信任允許

11、一個林中的每個域信任另一個林中的每個域?？梢允菃蜗騻魅胄湃?、單向傳出信任或雙向信任。應(yīng)用：伙伴公司或密切聯(lián)系的組織之間可以使用林信任。林信任可能構(gòu)成并購或者接管戰(zhàn)略的組成局部。對AD隔離也可以使用林信任。161規(guī)劃信任類型和信任方向類型：林信任：最常見的跨林運作的信任類型?？旖莘绞叫湃瓮獠啃湃危毫种械囊粋€域需要與一個不屬于林的域建立信任關(guān)系，那么建立一個域信任。領(lǐng)域信任：Unix領(lǐng)域和Windows域之間，通過Kerberos身份驗證，建立信任。信任方向：單向傳入、傳出、雙向3.1.3 規(guī)劃林級信任173.1.3 規(guī)劃林級信任2創(chuàng)立林信任在創(chuàng)立前，需要確保兩個林的林功能級別是Windows S

12、erver 2003 或 Windows Server 2021。下一步是確保每個林的根域可以訪問其他林的根域。從“管理工具中翻開“Active Directory域和信任關(guān)系。啟動“新建信任向?qū)А?8本課小結(jié) Windows Server 2021 引入許多新的AD DS功能，包括RODC、多元平安策略和數(shù)據(jù)挖掘工具等。 在分支辦公室中，如果可寫入的DC可能成為一種平安威脅，那么可以安裝RODC來改進登錄和DNS解析。 可以配置PSO以存儲不同于域策略的密碼和賬戶鎖定策略，可以將用戶和平安組與一個PSO關(guān)聯(lián)。 數(shù)據(jù)挖掘工具使被刪除的AD DS 或AD LDS數(shù)據(jù)能夠以VSS獲得的AD DS快

13、照方式保存下來。 Windows Server 2021 增強了MMC管理單元工具的功能。 增強了AD DS審核功能，允許判定AD DS發(fā)生了什么改變以及這些改變是何時發(fā)生的。 林級信任允許一個林中的某個域的用戶訪問另一個林中的某個域中的資源。19第2課 Windows Server 2021組策略組策略通過自動完成很多與用戶和計算機管理相關(guān)的任務(wù)來簡化管理?？梢允褂媒M策略在客戶端按需安裝允許的應(yīng)用程序，并使應(yīng)用程序保持更新。 在Windows Server 2021中，組策略管理控制臺GPMC是內(nèi)置的。通過“添加功能向?qū)Э梢园惭bGPMC。 管理模板ADM文件用來描述基于注冊表的組策略設(shè)置。在

14、Windows Server 2021中ADM文件被替換為XML格式的ADMX文件，使管理更加容易。20第2課 Windows Server 2021 組策略學(xué)習(xí)目標(biāo)：了解組策略，安裝GPMC列舉Windows Server 2021 引入的新的組策略設(shè)置和說明它們的功能編寫簡單的ADMX文件討論配置組策略時可能發(fā)生的各種問題以及如何解決它們213.2.1 了解組策略組策略對象GPO中包含的組策略設(shè)置可以鏈接到OU，而OU既可以從父OU繼承設(shè)置，也可以阻斷繼承，并從它們自己鏈接的GPO獲得特定的設(shè)置。策略特別是平安策略可以設(shè)置為“不覆蓋，使它們不能被阻斷或覆蓋，并強制子OU從父OU繼承設(shè)置。2

15、2Windows Server 2021引入了以下組策略設(shè)置：允許遠程啟動未列出的程序允許時間區(qū)域重定向在連接時始終顯示桌面磁盤診斷：配置自定義警告文本、配置執(zhí)行級別不允許剪貼板重定向登錄時不自動顯示初始配置任務(wù)窗口登錄時不顯示效勞器管理器頁面實施遠程桌面墻紙的刪除組策略管理編輯器 3.2.1 了解組策略233.2.2 規(guī)劃和管理組策略規(guī)劃組策略的局部工作是規(guī)劃組織結(jié)構(gòu)。保持結(jié)構(gòu)簡單，不要跨站點邊界鏈接OU和GPO，賦予OU和GPO有意義的名稱。充分了解組策略在客戶端是如何處理的。處理分如下兩個階段：核心處理：核心組策略引擎在初始階段處理。連接DC，是否有GPO被修改，以及哪些策略設(shè)置必須處理

16、?？蛻舳藬U展CSE處理：從DC下來的組策略設(shè)置被放到了不同的分類，每個分類的設(shè)置都有一個特定的CSE處理。核心組策略引擎調(diào)用所需的CSE來處理客戶端應(yīng)用的設(shè)置。243.2.2 規(guī)劃和管理組策略1使用ADMX文件管理組策略ADMX是用來定義注冊表的策略設(shè)置。使用基于XML的文件格式。ADMX文件分為語言中立資源.admx文件和語言特定的資源.adml文件。2ADMX位置ADMX文件可以存儲在一個中心位置。這就大大減少了維護GPO所需的存儲空間。中心存儲位置不是默認(rèn)可用的，而是需要人工創(chuàng)立它。253.2.2 規(guī)劃和管理組策略3創(chuàng)立自定義的ADMX文件如果Windows Serer 2021所帶的標(biāo)

17、準(zhǔn)組策略設(shè)置不能滿足要求，可以考慮創(chuàng)立自定義的ADMX文件。ADMX修改注冊表。所以要在隔離的試驗網(wǎng)絡(luò)上對自定義的ADMX文件進行測試，不能把它們直接安裝到生產(chǎn)網(wǎng)絡(luò)上。使用XML編輯器或文本編輯器可以創(chuàng)立和編輯ADMX文件。XML文件是區(qū)分大小寫的。263.2.3 組策略疑難解答組策略是健壯的，幾乎不會break。由于策略繼承和OU結(jié)構(gòu)設(shè)計得不正確，組策略會不起作用。調(diào)試組策略的第一步，通常是檢查正確地規(guī)劃和實現(xiàn)了域根底結(jié)構(gòu)。確保所需的效勞和組件都如期望的那樣運行和配置。如果某一個有問題，首先驗證是否被連入網(wǎng)絡(luò)，參加了域，具有正確的系統(tǒng)時間。其次檢查你配置的平安篩選等設(shè)置有沒有影響正常的GPO處理。273.2.3 組策略疑難解答1使用組策略工具GPResult.exe：驗證對某個特定用戶或計算機起作用的所有策略設(shè)置。GPOTool.exe：一個資源工具包，檢查域的每個DC上的GPO一致性，以及確定這些策略是否有效，顯示有關(guān)復(fù)制的GPO的詳細(xì)信息。2解決核心處理問題如果核心處理沒有快速有效地發(fā)生，CSE處理可能無法開始，組策略得不到應(yīng)用。28本課小結(jié) GPMC與Windows Server 2021緊密集成，使用效勞器管理器可以安裝該工具。 Wind