Windows Server 2008活动目录新特性概览
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows Server 2008 活动目录新特性概览 活动目录新特性概览
MVP 许震 xuz1215@
主要内容
Windows Server 2008活动目录新特性一览 活动目录新特性一览 重要新特性说明
2008活动目录相关服务的新名称 2008活动目录相关服务的新名称
Active Directory Domain Service
- 核心活动目录服务,即以前的AD Directory Service
Active Directory Federation Services Active Directory Lightweight Directory Services
- 即以前的AD Application Mode
Active Directory Certificate Services Active Directory Right Management Services
- 只读状态:单一的AD和FRS\DFRS复制方向(RODC上SYSVOL丢失不影响 writeable域控制器) - 每个RODC有自己单独的KDC KrbTGT账户以提供独立的加密key - 授权的DCPROMO减少域管理员远程登录RODC的需要,强化安装的安全性和 便捷性 - Windows 2008 writeable域控制器代替RODCs注册SRV记录,以防止DNS中出 现错误/失效记录
- 不需要进行系统状态还原 - 节省了AD备份的空间和时间 - 减少了停机次数
审核修改的对象和删除的对象
- 提供了一种机制允许用户纠正意外操作
使用简单
- 不需要安装额外的工具 - 只要安装了AD DS或AD LDS的服务器均可以使用 - 新的ntdsutil工具可以用于创建、列出和卸除AD DS或AD LDS快照 - 使用dsamain.exe作为LDAP公开快照数据 - 现有的LDAP工具(LDP.exe和AD用户和计算机)可以访问快照数据
- Windows Server 2008和Windows 7自带 - Windows Vista、Windows Server 2003和Windows XP需要安装更新 - Windows 2000不受支持
GPMC和GPE需要升级
- Windows Server 2008自带 - Windows Vista SP1及之后系统,安装了RSAT后,可以进行升级 - Windows XP无法安装GPMC升级
活动目录快照
- Active Directory Snapshot
活动目录数据库Mounting工具
- Database Mounting Tool
组策略首选项 更多参考信息请看:
- /windowsserver2008/en/us/active-directory.aspx
只读域控制器(RODC)是Windows Server 2008中提供的一种新型域控 制器,一般可以将RODC部署在物理安全没有保障的分支机构。 通过RODC可以:
- 改善安全性 - 快速登录 - 访问网络资源更有效
RODC的主要功能特色:
- 只读的AD数据库 - 单向复制(AD数据库以及SYSVOL) - Credential缓存 - RODC管理授权(Administrator Role Separation) • 只需要是一个Local Administrator - 只读DNS
- Pro:仅需要的用户进行缓存,同时最大化安全性 - Con:配置不易
可重启的活动目录服务
Restartable AD Domain Services
2003的不足:
- 如果需要离线整理AD数据库或进行AD修复或还原操作,必须重启域控制器进 入“活动目录还原模式” - 活动目录和系统“绑死”
2008中可重启的活动目录服务
控制审计:
- 全局审计策略 - SACL - Schema
活动目录审核策略
分为4 分为4个子类别
Audit Directory Service Access
- Directory Services Access - Directory Services Changes • • 可以审核活动目录中对象的创建,修改,移动及恢复的行为 事件ID分别对应:5137、5136、5139、5138
只有Domain Admins和Enterprise Admin用户可以看数据
活动目录快照
使用快照进行AD对象恢复 使用快照进行AD对象恢复
Ntdsutil创建快照、加载快照:
- Snapshot - activate instance ntds - create - mount { GUID } - unmount { GUID } - Delete { GUID }
- Directory Services Replication - Detailed Directory Services Replication
启用活动目录审核策略
- 启用全局的Directory Service Access会自动启用其下的4个4类别审核策略 - 也可以在பைடு நூலகம்启用全局审核策略的情况下,单独启用子类别的审核
只读域控制器
减少分支机构域控制器的受攻击面
减少被盗服务器对Active Directory的影响
- 默认情况下,用户/计算机密码不存储在RODC中 - 只读Partial Attribute Set可以防止应用程序的密码被复制到RODC
减少compromise服务器攻击Active Directory的成功几率
演 示
查看Windows 查看Windows Server 2008审核事件日志 2008审核事件日志
多元密码策略
FineFine-Grained Passwords Policy
2003的不足:
- 一个域只能有一个密码策略 - 不能应用于单独的对象
业务和法律需要针对不同的用户使用不同的密码策略 例如:
使用AD快照和Mount工具恢复被删除的对象 使用AD快照和Mount工具恢复被删除的对象
组策略首选项 组策略首选项
扩展了现有组策略
- 部分功能和组策略重叠 - 更类似于一种建议配置而不是强制配置 - 界面更类似于客户端配置
调用单独的客户端扩展集(Client-Side Extensions)来完成相应的控制
- 管理员 • • • 超强策略(密码两周过期一次,最小密码长度16位) 中等安全(每31天过期一次,最小密码长度32位,不配置密码锁定策略) 一般安全(每90天过期一次,最小密码长度8位) - 服务账户(Service Accounts) - 普通用户策略
多元密码策略
使用
可以应用于:
- 用户 - 全局安全组
RODC只是Workstation账户
- 不是Enterprise-DC或Domain-DC组成员 - 对AD只有很少的写权限
只读域控制器
如何在2003环境中部署2008 如何在2003环境中部署2008 RODC
1. 2. 3. 4. 5. 6. 7. ADPrep /forestPrep ADPrep /DomainPrep 安装/升级一台DC到Windows Server 2008 DC 确认Forest Functional Level为2003 Mode ADPrep /RodcPrep 确认客户端已经安装相应的兼容性补丁(可选) 安装RODC 非针对 RODC的 操作 针对 RODC的 操作
只读域控制器
几种密码存储配置策略
无密码缓存(默认)
- Pro:最安全,仍然提供快速验证与本地策略应用 - Con:需要广域网进行验证
大部分密码予以缓存
- Pro:便于密码管理,对那些更关注RODC带来的便利性而非安全性的用户而言, 多选择此项 - Con:RODC上存储更多的密码
少量密码缓存在RODC上(与分支机构相关的)
- 作为一项服务而存在,可以在系统服务控制台中停止和启动 - 减少了服务器重启次数
三种状态:
- 启动状态:正常工作,响应客户端身份认证请求 - 停止状态:可以安装更新、整理AD数据库 - 还原模式:执行目录服务的权威还原
活动目录快照
Active Directory Snapshot
简化了AD的恢复过程
不能应用于:
- 计算机对象 - 非域内用户 - OU
部署要求:
- 所有的域控制器必须为Windows Server 2008 - 域模式为2008 Domain Functional Mode - 客户端无需变更 - 使用ADSIEDIT或者LDIFDE进行管理
只读域控制器
ReadRead-Only Domain Controller
AD Domain Service的改进 Service的改进
审核功能增强
- Auditing
多元密码策略
- Fine-Grained Passwords Policy
只读域控制器
- Read-Only Domain Controller
可重启的活动目录服务
- Restartable AD Domain Services
注意:完整的 与 之间不能相互转换, 注意:完整的DC与RODC之间不能相互转换,除非执行降级 升级操作 之间不能相互转换 除非执行降级/升级操作
只读域控制器
密码复制
复制到RODC的密码存储(Cache)直到密码改变 密码是否cached在RODC对客户端是透明的,除非WAN故障
- 无论密码是否在RODC上Cache,客户端均从RODC上执行登录脚本和组策略 - Outlook客户端可以使用RODC GC做Address Book查询等 - LDAP搜索在RODC上执行 - 如果WAN出现故障,只有等RODC上有用户密码Cache,用户才可以使用 RODC登录,否则用户用本机Cache登录
限制设备
处理本地用户和组 定制开始菜单
演 示
Windows Server 2008组策略首选项 2008组策略首选项
回顾
Windows Server 2008活动目录新特性一览 重要新特性说明
AD运维的改进 AD运维的改进
DNS的安装配置 创建全局目录(Global Catalog)服务器 创建只读域控制器(Read-Only Domain Controller) 选择域控制器的域 选择域控制器的站点 设置域的功能级别(Functional Level) 委派只读域控制器的安装和管理 配置只读域控制器的密码复制策略 创建安装应答文件 只读域控制器的安装
Dsamain作为LDAP公开快照数据:
- dsamain /dbpath E:\$SNAP_200704181137_VOLUMED$\WINDOWS\NTDS\ntds.dit /ldapport 51389
使用LDP.exe或AD用户和计算机查看快照数据 使用LDP.exe恢复被删除的对象
演 示
组策略首选项(部分)
部署打印机
安装本地打印机、TCP/IP打印机和网络共享打印机 可以设置客户端IE属性,同时还允许客户执行修改 支持Windows XP 分发一个或多个文件到客户端,并设置ACL
IE维护 电源管理 文件管理 设置服务 注册表管理
可以将任意注册表键值写入任意注册表位置 禁用实际的设备或端口,而不是简单的阻止驱动安装 本地管理员权限用户可以重新启用该设备 添加/删除/修改本地用户和组,更改组成员关系 用户仍然可以选择修改自己的设置
主要内容
Windows Server 2008活动目录新特性一览 重要新特性说明
审核活动目录变更 审核活动目录变更
Auditing
2003的不足:
- 日志简单,不详细 - 同一类事件使用的事件ID(比如活动目录对象的转移、添加等)
事件日志精确记录(细化的事件对应不同的事件ID):
- 谁作出修改 - 修改合适发生 - 修改了哪些对象和属性 - 修改的值
MVP 许震 xuz1215@
主要内容
Windows Server 2008活动目录新特性一览 活动目录新特性一览 重要新特性说明
2008活动目录相关服务的新名称 2008活动目录相关服务的新名称
Active Directory Domain Service
- 核心活动目录服务,即以前的AD Directory Service
Active Directory Federation Services Active Directory Lightweight Directory Services
- 即以前的AD Application Mode
Active Directory Certificate Services Active Directory Right Management Services
- 只读状态:单一的AD和FRS\DFRS复制方向(RODC上SYSVOL丢失不影响 writeable域控制器) - 每个RODC有自己单独的KDC KrbTGT账户以提供独立的加密key - 授权的DCPROMO减少域管理员远程登录RODC的需要,强化安装的安全性和 便捷性 - Windows 2008 writeable域控制器代替RODCs注册SRV记录,以防止DNS中出 现错误/失效记录
- 不需要进行系统状态还原 - 节省了AD备份的空间和时间 - 减少了停机次数
审核修改的对象和删除的对象
- 提供了一种机制允许用户纠正意外操作
使用简单
- 不需要安装额外的工具 - 只要安装了AD DS或AD LDS的服务器均可以使用 - 新的ntdsutil工具可以用于创建、列出和卸除AD DS或AD LDS快照 - 使用dsamain.exe作为LDAP公开快照数据 - 现有的LDAP工具(LDP.exe和AD用户和计算机)可以访问快照数据
- Windows Server 2008和Windows 7自带 - Windows Vista、Windows Server 2003和Windows XP需要安装更新 - Windows 2000不受支持
GPMC和GPE需要升级
- Windows Server 2008自带 - Windows Vista SP1及之后系统,安装了RSAT后,可以进行升级 - Windows XP无法安装GPMC升级
活动目录快照
- Active Directory Snapshot
活动目录数据库Mounting工具
- Database Mounting Tool
组策略首选项 更多参考信息请看:
- /windowsserver2008/en/us/active-directory.aspx
只读域控制器(RODC)是Windows Server 2008中提供的一种新型域控 制器,一般可以将RODC部署在物理安全没有保障的分支机构。 通过RODC可以:
- 改善安全性 - 快速登录 - 访问网络资源更有效
RODC的主要功能特色:
- 只读的AD数据库 - 单向复制(AD数据库以及SYSVOL) - Credential缓存 - RODC管理授权(Administrator Role Separation) • 只需要是一个Local Administrator - 只读DNS
- Pro:仅需要的用户进行缓存,同时最大化安全性 - Con:配置不易
可重启的活动目录服务
Restartable AD Domain Services
2003的不足:
- 如果需要离线整理AD数据库或进行AD修复或还原操作,必须重启域控制器进 入“活动目录还原模式” - 活动目录和系统“绑死”
2008中可重启的活动目录服务
控制审计:
- 全局审计策略 - SACL - Schema
活动目录审核策略
分为4 分为4个子类别
Audit Directory Service Access
- Directory Services Access - Directory Services Changes • • 可以审核活动目录中对象的创建,修改,移动及恢复的行为 事件ID分别对应:5137、5136、5139、5138
只有Domain Admins和Enterprise Admin用户可以看数据
活动目录快照
使用快照进行AD对象恢复 使用快照进行AD对象恢复
Ntdsutil创建快照、加载快照:
- Snapshot - activate instance ntds - create - mount { GUID } - unmount { GUID } - Delete { GUID }
- Directory Services Replication - Detailed Directory Services Replication
启用活动目录审核策略
- 启用全局的Directory Service Access会自动启用其下的4个4类别审核策略 - 也可以在பைடு நூலகம்启用全局审核策略的情况下,单独启用子类别的审核
只读域控制器
减少分支机构域控制器的受攻击面
减少被盗服务器对Active Directory的影响
- 默认情况下,用户/计算机密码不存储在RODC中 - 只读Partial Attribute Set可以防止应用程序的密码被复制到RODC
减少compromise服务器攻击Active Directory的成功几率
演 示
查看Windows 查看Windows Server 2008审核事件日志 2008审核事件日志
多元密码策略
FineFine-Grained Passwords Policy
2003的不足:
- 一个域只能有一个密码策略 - 不能应用于单独的对象
业务和法律需要针对不同的用户使用不同的密码策略 例如:
使用AD快照和Mount工具恢复被删除的对象 使用AD快照和Mount工具恢复被删除的对象
组策略首选项 组策略首选项
扩展了现有组策略
- 部分功能和组策略重叠 - 更类似于一种建议配置而不是强制配置 - 界面更类似于客户端配置
调用单独的客户端扩展集(Client-Side Extensions)来完成相应的控制
- 管理员 • • • 超强策略(密码两周过期一次,最小密码长度16位) 中等安全(每31天过期一次,最小密码长度32位,不配置密码锁定策略) 一般安全(每90天过期一次,最小密码长度8位) - 服务账户(Service Accounts) - 普通用户策略
多元密码策略
使用
可以应用于:
- 用户 - 全局安全组
RODC只是Workstation账户
- 不是Enterprise-DC或Domain-DC组成员 - 对AD只有很少的写权限
只读域控制器
如何在2003环境中部署2008 如何在2003环境中部署2008 RODC
1. 2. 3. 4. 5. 6. 7. ADPrep /forestPrep ADPrep /DomainPrep 安装/升级一台DC到Windows Server 2008 DC 确认Forest Functional Level为2003 Mode ADPrep /RodcPrep 确认客户端已经安装相应的兼容性补丁(可选) 安装RODC 非针对 RODC的 操作 针对 RODC的 操作
只读域控制器
几种密码存储配置策略
无密码缓存(默认)
- Pro:最安全,仍然提供快速验证与本地策略应用 - Con:需要广域网进行验证
大部分密码予以缓存
- Pro:便于密码管理,对那些更关注RODC带来的便利性而非安全性的用户而言, 多选择此项 - Con:RODC上存储更多的密码
少量密码缓存在RODC上(与分支机构相关的)
- 作为一项服务而存在,可以在系统服务控制台中停止和启动 - 减少了服务器重启次数
三种状态:
- 启动状态:正常工作,响应客户端身份认证请求 - 停止状态:可以安装更新、整理AD数据库 - 还原模式:执行目录服务的权威还原
活动目录快照
Active Directory Snapshot
简化了AD的恢复过程
不能应用于:
- 计算机对象 - 非域内用户 - OU
部署要求:
- 所有的域控制器必须为Windows Server 2008 - 域模式为2008 Domain Functional Mode - 客户端无需变更 - 使用ADSIEDIT或者LDIFDE进行管理
只读域控制器
ReadRead-Only Domain Controller
AD Domain Service的改进 Service的改进
审核功能增强
- Auditing
多元密码策略
- Fine-Grained Passwords Policy
只读域控制器
- Read-Only Domain Controller
可重启的活动目录服务
- Restartable AD Domain Services
注意:完整的 与 之间不能相互转换, 注意:完整的DC与RODC之间不能相互转换,除非执行降级 升级操作 之间不能相互转换 除非执行降级/升级操作
只读域控制器
密码复制
复制到RODC的密码存储(Cache)直到密码改变 密码是否cached在RODC对客户端是透明的,除非WAN故障
- 无论密码是否在RODC上Cache,客户端均从RODC上执行登录脚本和组策略 - Outlook客户端可以使用RODC GC做Address Book查询等 - LDAP搜索在RODC上执行 - 如果WAN出现故障,只有等RODC上有用户密码Cache,用户才可以使用 RODC登录,否则用户用本机Cache登录
限制设备
处理本地用户和组 定制开始菜单
演 示
Windows Server 2008组策略首选项 2008组策略首选项
回顾
Windows Server 2008活动目录新特性一览 重要新特性说明
AD运维的改进 AD运维的改进
DNS的安装配置 创建全局目录(Global Catalog)服务器 创建只读域控制器(Read-Only Domain Controller) 选择域控制器的域 选择域控制器的站点 设置域的功能级别(Functional Level) 委派只读域控制器的安装和管理 配置只读域控制器的密码复制策略 创建安装应答文件 只读域控制器的安装
Dsamain作为LDAP公开快照数据:
- dsamain /dbpath E:\$SNAP_200704181137_VOLUMED$\WINDOWS\NTDS\ntds.dit /ldapport 51389
使用LDP.exe或AD用户和计算机查看快照数据 使用LDP.exe恢复被删除的对象
演 示
组策略首选项(部分)
部署打印机
安装本地打印机、TCP/IP打印机和网络共享打印机 可以设置客户端IE属性,同时还允许客户执行修改 支持Windows XP 分发一个或多个文件到客户端,并设置ACL
IE维护 电源管理 文件管理 设置服务 注册表管理
可以将任意注册表键值写入任意注册表位置 禁用实际的设备或端口,而不是简单的阻止驱动安装 本地管理员权限用户可以重新启用该设备 添加/删除/修改本地用户和组,更改组成员关系 用户仍然可以选择修改自己的设置
主要内容
Windows Server 2008活动目录新特性一览 重要新特性说明
审核活动目录变更 审核活动目录变更
Auditing
2003的不足:
- 日志简单,不详细 - 同一类事件使用的事件ID(比如活动目录对象的转移、添加等)
事件日志精确记录(细化的事件对应不同的事件ID):
- 谁作出修改 - 修改合适发生 - 修改了哪些对象和属性 - 修改的值