05-組策略.ppt

1、Windows Server Active Directory分支機構(gòu)管理,龔振梁 戴爾中國有限公司,課程大綱,RODC 密碼策略 組策略管理 權(quán)限委派 目錄服務(wù)審核模式,只讀域控制器,分支機構(gòu)域控部署所面臨的挑戰(zhàn): DC 放置在一個物理上不安全的位置 DC 網(wǎng)絡(luò)連接不可靠 分支機構(gòu)人員缺乏管理DC所需的知識和權(quán)限 遠程管理 權(quán)限委派 直接委派分公司員工管理 鑒于以上原因，管理員計劃將DC從分支機構(gòu)移除，但是 當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時用戶無法登陸或訪問網(wǎng)絡(luò)資源,只讀域控制器-安全的分支結(jié)構(gòu)解決方案,RODC MItigations,將RODC納入AD基礎(chǔ)設(shè)施,適用場景: 分支機構(gòu)處于安全顧慮或管理成本

2、導(dǎo)致需要進行可寫DC部署時。 同時又不具備可靠性很強的網(wǎng)絡(luò)連接。 需要進行數(shù)據(jù)本地化 不適用的場景: 需要一個完整的可讀性域控制器,RODC-推薦管理模塊,不進行賬戶緩存(默認配置) 優(yōu)點：非常安全，提供快速認證和策略執(zhí)行 缺點：無法進行離線訪問，登錄時需要網(wǎng)絡(luò)連接 大多數(shù)賬戶緩存 優(yōu)點： 簡化密碼管理. 最優(yōu)的管理改善，但不是最安全的。. 缺點：可能暴漏到RODC更多的密碼 少數(shù)賬戶(特定分支賬戶) 緩存 優(yōu)點：對于需要的用戶開啟離線訪問，最大化為其他賬戶提供安全。 缺點：增加新的 顆粒管理任務(wù),RODC部署場景,分支機構(gòu)部署RODC 適用于物理安全有限的環(huán)境 DMZ 適用于跨DMZ區(qū)的網(wǎng)絡(luò)

3、環(huán)境 在互聯(lián)網(wǎng)上部署RODC 用于跨 Internet資源的訪問要求的環(huán)境,RODC部署指南,在Windows 2003環(huán)境中部署RODC ADPREP /ForestPrep ADPREP /DomainPrep Promote a Windows Server 2008 DC Verify Forest Functional Mode is Win2k03 ADPREP /RodcPrep Verify list of client patches to check for compatibility Promote RODC,Not RODC specific,RODC specific

4、 task,Note: You cant convert a Full DC to RODC or vice versa without a demotionre-promotion,RODC 媒體安裝,NTDSUtil IFM During creation of RODC IFM: “Secrets” are removed DIT is defragged to remove free space,顆粒密碼策略概覽,域范圍內(nèi)的密碼和鎖定策略顆粒管理 策略可應(yīng)用到: 用戶 組安全策略 必備條件 Windows Server 2008 域功能模式 客戶端不需要任何修改 未進行任何設(shè)置本身的修

5、改 E.g., no new “password complexity” options 可指派多個策略到用戶，但只有一個被應(yīng)用,顆粒密碼策略使用場景,被設(shè)計用戶用戶需要不同的安全和業(yè)務(wù)需求時使用 示例 管理員 嚴格設(shè)置 (密碼每隔14天到期) 服務(wù)賬戶 適度設(shè)置（密碼每隔31天到期，不同的鎖定閾值，最小密碼長度32個字符） 普通用戶 相對寬松的設(shè)置（密碼每隔90天到期） 大多數(shù)部署設(shè)想為310條策略 沒有已知的技術(shù)策略數(shù)量限制,顆粒密碼策略一撇,Password Settings Object PSO 1,Password Settings Object PSO 2,Precedence =

6、 10,Precedence = 20,Applies To,Applies To,Applies To,ResultantPSO = PSO1,ResultantPSO = PSO1,顆粒密碼策略設(shè)置向?qū)?顆粒密碼策略管理,推薦: 基于組的管理 組成員委派修改 功能本身可以委派 默認情況下, 只有域管理員能夠 創(chuàng)建和讀取 PSOs 將 PSO 應(yīng)用到組或用戶 權(quán)限,顆粒密碼策略,demo,組策略管理知識點,組策略概述 組策略創(chuàng)建與配置 安全策略管理 使用組策略定制用戶環(huán)境 定制并發(fā)布應(yīng)用程序 組策略在企業(yè)中的其他應(yīng)用,組策略概述,是一組策略集合，跟組沒有關(guān)系 組策略間接修改注冊表 本地計算機

7、策略 域策略,組策略組件,GPO 默認GPO SDOU（站點、域、組織單元） GPO與GPT GPC 客戶端擴展組件CSE CSE,組策略功能,軟件分發(fā) 軟件限制 安全設(shè)置 基于注冊表的設(shè)置 IE維護 脫機文件夾 漫游配置文件和文件夾重定向 應(yīng)用程序分發(fā) 組策略執(zhí)行腳本,Windows 2008 組策略定制用戶環(huán)境,創(chuàng)建組策略 配置組策略 修改IE瀏覽器標題 自定義主頁 修改Windows 防火墻設(shè)置 取消密碼復(fù)雜性要求 定制用戶連接到的網(wǎng)絡(luò)驅(qū)動器 配置用戶桌面選項 配置開始菜單和任務(wù)欄選項 配置用戶控制面板選項 配置Windows組件選項 配置用戶系統(tǒng)選項 限制使用迅雷進行惡意下載,組策略應(yīng)

8、用演示權(quán)限委派演示,Demo,審核-新目錄服務(wù)審核事件,Event logs tell you exactly: Who made a change When the change was made What object/attribute was changed The beginning and end values Auditing is controlled by Global audit policy SACL Schema,ADUC: 防止對象刪除,Existing Object/OU,New Organizational Unit,配置目錄服務(wù)審核模式,練習(xí),核心功能,安全,M

9、anageability,Branch Office,Windows Server 2008 AD 管理與維護,Windows 2008 AD 管理與維護,知識點 組策略: 日常管理與維護 用戶賬戶: 用戶權(quán)限委派與回收 數(shù)據(jù)庫管理：AD數(shù)據(jù)庫備份與還原 健康檢查：日常運維健康檢查與維護 站點管理: 站點拓撲維護與復(fù)制管理 Q&A,Windows 2008 AD賬戶管理,案例分析 根據(jù)需求，公司需要對員工計算機名稱進行統(tǒng)一規(guī)則編碼。 編碼格式為 XX XXX-XXXX 前兩位為公司編碼，如總公司 00 ，北分為10 中間三位為部門編碼 ，如001 最后四位為部門內(nèi)計算機編碼 ，如0001 如何

10、進行適當(dāng)?shù)臋?quán)限委派和前期處理，完成以上部署任務(wù)。,批量創(chuàng)建用戶賬戶權(quán)限委派,Demo,Windows 2008 AD數(shù)據(jù)庫維護,備份活動目錄 備份系統(tǒng)狀態(tài) 活動目錄數(shù)據(jù)庫還原 活動目錄還原測試,Windows Server Backup,現(xiàn)成的備份方案 可備份到任何存儲設(shè)備（不包含磁帶） 支持后續(xù)增量和差異備份 對目標位置使用卷影副本服務(wù) 備份后的格式為VHD格式 備份程序、備份服務(wù)、控制臺等拆分運行,AD 系統(tǒng)狀態(tài)恢復(fù),Bcdedit /set safeboot dsrepair /deletevalue safeboot Wbadmin Get versions Start systems

11、taterecovery version:12/03/2007-18:25 Authsysvol (權(quán)威還原) Ntdsutil Snapshot dsamain -dbpath c:$snap_201001142311_volumec$windowsntds.dit -ldapport 51389,AD 活動目錄數(shù)據(jù)還原測試,修改墓碑壽命 活動目錄對象被執(zhí)行刪除操作后徹底從活動目錄中刪除的時間間隔。 恢復(fù)日志 Ntdsutil Files Recover 檢查數(shù)據(jù)庫完整性 Ntdsutil semantic database analysis verbose on go,墓碑壽命,CN=Di

12、rectory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ForestRootDomain,AD數(shù)據(jù)庫還原測試,移動數(shù)據(jù)庫位置 Ntdsutil Files Info move db to directory move logs to directory,Windows AD站點,站點,企業(yè)中具有高速連接的網(wǎng)絡(luò)分區(qū) 與網(wǎng)絡(luò)概念中的站點類似，但不相同 活動目錄站點對象支持 復(fù)制 活動目錄的更改必須復(fù)制到所有DC DC可能由慢速和昂貴的鏈路進行連接 服務(wù)定位 DC (LDAP & Kerberos) DFS Active Direc

13、toryaware (site aware) apps 本地屬性的搜索，例如打印機,規(guī)劃站點,活動目錄站點與網(wǎng)絡(luò)站點不一定形成一一對應(yīng)的關(guān)系 兩個物理位置，但是存在高速鏈接，則可以是一個活動目錄站點 在一個具有高速連接站點的大型企業(yè)可以劃分出多個活動目錄站點，用于服務(wù)定位 規(guī)范 連接速度: 可以將512 kbps 鏈路作為基線 服務(wù)位置: 如果沒有活動目錄感知應(yīng)用程序，則可以不放置一個單獨的站點 用戶數(shù)量: 如果大量的用戶認證和授權(quán)，考慮使用一個站點 用戶和應(yīng)用程序目錄查詢的通信 DC之間控制復(fù)制,創(chuàng)建站點,Active Directory 站點和服務(wù) Default-First-Site-N

14、ame 應(yīng)該進行重命名 創(chuàng)建站點 指派到一個站點鏈路 創(chuàng)建子網(wǎng) 指派到一個站點 一個站點可以包含多個子網(wǎng) 一個子網(wǎng)只能屬于一個站點,管理站點中的域控制器,DCs 應(yīng)該放置在正確的站點中 The SERVERS container 僅僅顯示DC 添加一個DC到站點 第一個 DC 被放置在Default-First-Site-Name中 其他的DC在創(chuàng)建時將被指向到與子網(wǎng)相關(guān)的站點中 DCPromo過程將提示站點位置 移動DC到一個新的站點中 刪除DC,域控制器定位: SRV 記錄,域控制在DNS的下列位置中注冊SRV記錄 _: 域中的所有DC _tcp.siteName._: 站點中的所有DC

15、客戶端在DNS中查找登錄DC,全局編錄和分區(qū),活動目錄分區(qū),完全副本 (DC) 只讀副本(RODC) 不包含密碼 基于策略復(fù)制密碼,域,森林,創(chuàng)建對象及屬性的定義,活動目錄結(jié)構(gòu)的信息及配置信息,特定域的對象信息,Active Directory Database,Domain,Configuration,Schema,全局編錄,全局編錄為森林中的其他域宿主了部分屬性partial attribute set (PAS) 支持跨森林的對象查詢,Domain B,Global Catalog Server,放置全局編錄服務(wù)器,建議: 每個DC是一個GC 特別存在以下情況 站點中的應(yīng)用程序查詢GC

16、(port 3268) 站點總存在Exchange server 如果到另外一個站點中的DC連接是慢速且不穩(wěn)定,Domain B,Domain B,HEADQUARTERS,BRANCHA,Make a GC?,配置全局編錄,通用組緩存Universal Group Membership Caching,通用組成員關(guān)系在GC中復(fù)制 正常登錄: 用戶令牌建立基于GC中的通用組 如果GC在登錄時不可用: DC將拒絕驗證 如果GC連接鏈路不可靠 DC將緩存用戶的通用組身份，當(dāng)用戶登錄時 GC不可用: 用戶使用緩存的通用組身份進行驗證 如果站點中沒有可靠的GC連接: 啟用通用組緩存 從“站點”“屬性”

17、中，右鍵點擊 NTDS Settings 啟用通用組緩存,配置復(fù)制,活動目錄復(fù)制技術(shù),多主復(fù)制 Windows NT 單主復(fù)制 更改通知，拉復(fù)制 推復(fù)制 vs 拉復(fù)制 存儲-轉(zhuǎn)發(fā)-復(fù)制 基于狀態(tài)的復(fù)制 基于狀態(tài)的復(fù)制 vs 基于日志的復(fù)制,站點內(nèi)復(fù)制,連接對象: 入站復(fù)制到一個DC Knowledge consistency checker (KCC)創(chuàng)建復(fù)制拓撲 有效性 (最大三跳) & 健全 (雙向) 拓撲 自動運行，但是可以“檢查復(fù)制拓撲” 不需要手動創(chuàng)建連接對象 復(fù)制 通知: DC告訴下游伙伴“更改可用” (15秒) 輪詢: DC檢查他的上游伙伴更改（1小時） 下游DC目錄復(fù)制代理（D

18、RA）復(fù)制更改 在兩個DC中所有分區(qū)的更改將被復(fù)制,站點鏈路,Intersite topology generator (ISTG)構(gòu)建了站點間的復(fù)制拓撲 站點鏈接 包含站點 在一個站點鏈接中，一個連接對象可以在任何兩個DC間創(chuàng)建,復(fù)制傳輸協(xié)議,目錄服務(wù)遠程過程調(diào)用 (DS-RPC) 在Active Directory站點和服務(wù)中作為IP存在 默認且首選的站點間復(fù)制協(xié)議 站點間消息Simple Mail Transport Protocol (ISM-SMTP) 在Active Directory站點和服務(wù)中作為SMTP存在 實際中很少使用 需要證書頒發(fā)機構(gòu) 不能夠復(fù)制域命名上下文僅僅復(fù)制架構(gòu)

19、和配置分區(qū) 使用SMTP復(fù)制的任何站點必須在同一森林中單獨的域內(nèi)（因為它不能復(fù)制域分區(qū)）,橋頭服務(wù)器,在所有其他站點中，從橋頭服務(wù)器復(fù)制更改 在所有其他站點中，從橋頭服務(wù)器輪詢更改 被ISTG自動選擇 或者可以自己配置橋頭服務(wù)器 防火墻考慮 性能考慮,控制站點間復(fù)制,站點鏈路成本 使用最低成本的連接復(fù)制 復(fù)制 默認關(guān)閉復(fù)制通知. 橋頭服務(wù)器不會通知伙伴 復(fù)制頻率 默認: 3 小時 最小: 15 minutes 復(fù)制計劃 每天24小時執(zhí)行 可以被單獨計劃,100,100,100,300,Site D,IP Subnet,IP Subnet,BH,IP Subnet,RODC,Branch,站點內(nèi)

20、的復(fù)制Vs站點間的復(fù)制,復(fù)制沖突的解決,幾種復(fù)制沖突情況： 1、修改同一屬性 2、創(chuàng)建同名對象 3、在刪除容器中添加對象,監(jiān)控和管理復(fù)制,RepAdmin repadmin /showrepl repadmin /showconn repadmin /showobjmeta hqdc01 cn=Linda Miller,ou= repadmin /kcc repadmin /replicate hqdc02 hqdc01 dc=contoso,dc=com repadmin /syncall /A /e DCDiag /test:testName FrsEvent or DFSREvent I

21、ntersite KccEvent Replications Topology,Thanks,核心功能,Security,可管理性,Branch Office,數(shù)據(jù)庫掛載工具,允許管理員選擇最佳備份 工具并不能恢復(fù)對象 現(xiàn)在: Tool + tombstone reanimation + LDAP Post-WS08: Undelete is being investigated,備份/恢復(fù)規(guī)劃,Windows Server Backup (wbadmin.exe) System state backup/recovery through command-line Must backup to

22、 separate partition System state recovery in DSRM (auth & non-auth) Database Mounting Tool (dsamain.exe) DSAMain.exe works with offline DITs as well E.g. Restore backup to alternate location to get offline DIT Best Practice: Schedule NTDSUtil.exe to take regular (e.g. nightly) snapshots of AD DS/LDS Enhancement in ADUC By default, “Prevent container from accidental deletion” is che