Active Directory和组策略教材
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
❖ 单击“高级”按钮,可以查看哪些密码已被发送或存储到 RODC中,也就知道谁在使用RODC。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
6.规划多元密码和帐户锁定策略
❖ 以前的Active Directory实现中,只能对域中的所有用户应 用一个密码和帐户锁定策略。
存放一个可写的DC和一个管理员,浪费太大。 存放一个可写的DC,让管理员远程管理,带宽低,费时
又棘手。 存放一个可写的DC不如WAN安全。
❖ RODC解决方案:
RODC提供了增强的安全性; 使登录更快速,并且允许更有效地访问本地资源; 路漫漫其悠远 RODC管理可以委派给一个没有管理权限的用户或组。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
4.委派RODC安装
❖ 在总公司DC中,可以委派合适的权限给一个用户或组。 ❖ 分支办公室的用户接受了委派权限后,就可以执行RODC
的安装,并可以管理RODC,但不需要域管理员权限。 ❖ 过程:
首先创建RODC账户; 安装过程中就可以关联/委派。
影子组(全局安全组),然后应用PSO。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
6.规划多元密码和帐户锁定策略
❖ 将PSO应用于组而不是OU,可以不用修改OU层次结构,组 为管理各用户集提供了更好的灵活性。
❖ 使用多元密码,需要具有2008域功能级别。 ❖ 只有域管理组的成员才可以创建PSO,以及将一个PSO应
❖ 因此,在用户相对较少,物理安全性差,网络带宽较低, IT 知识贫乏的环境下,可以采用RODC。 提供了只读AD DS数据库、单向复制、凭证缓存、管理 员角色分离、只读DNS(不支持客户更新)等功能。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
2.规划RODC实现
路漫漫其悠远
3.1.1介绍Windows Server 2008目录服务器角色
目录服务器角色AD DS引入的新功能:
❖ 只读域控制器RODC ❖ 新的和增强的工具和向导:AD DS安装向导 ❖ 细化的安全策略:多元密码策略 ❖ 可重启的AD DS:允许离线操作 ❖ AD DS数据挖掘工具:可查看快照数据
❖ 条件:远程启动Server 2008升级或有一个2008的AD DS 域,即可计划实现RODC。
❖ RODC安装的两个阶段: 第一阶段:为该域中的RODC创建计算机账户时,可以 为特定的RODC规定密码复制策略。 在RODC上安装DNS实现一个辅助的DNS服务器,可以 复制该DNS使用的所有应用程序目录分区。客户更新数 据,可以请求单一更新DNS。 第二阶段:安装
❖ Windows Server 2008允许规定多元密码策略。可以规定 多个密码策略,并对单个域中的不同用户组应用不同的密码 限制和账户锁定策略。 密码设置容器(PSC) 密码设置象(PSO)
❖ 通常,规划的策略可以包含至少3个但不能多于10个PSO。 ❖ 不能直接将PSO应用于组织单元OU。而考虑为这些OU创建
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
3.利用安装向导增强功能
❖ Windows Server 2008增加了AD DS安装向导,以简化 AD DS安装,并引入了RODC安装等新特征。
❖ 单击“添加角色” ❖ 输入命令dcpromo ❖ 高级模式安装使你能够更好地控制安装过程。
❖ 可以把RODC管理委派给一个域用户或安全组,从而在本 地管理员不是Domain Admins组成员的地方使用RODC 。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
使用案例: ❖ 远程分公司的用户,一般通过广域网WAN连接到总
公司的DC进行身份验证。缺点:延迟或不能登录 。 ❖ 怎么解决?可写的DC?
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
1.只读域控制器RODC
❖ RODC是具有 Active Directory 文件库只读版本的域控制 器,可部署于域控制器安全性无法确保的环境中。包括域 控制器的物理安全性有疑虑的分支机构,或者具有额外角 色功能并需要其他用户登入与管理服务器的域控制器。
用于某个组或用户。 ❖ 多元密码策略只能应用于用户对象和全局安全组,不能应用
于计算机对象。 ❖ 多元密码策略不能干预自定义的密码筛选器。 ❖ PSO分配给一个全局组后,可以把一个特殊的PSO直接应
用于特定的用户。 ❖ 可以计划委派多元密码管理。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
Active Directory和组策 略教材
路漫漫其悠远 2020/4/13
第1课 windows Server 2008 AD
❖ 学习目标:
列举和描述Windows Server 2008 Active Directory域 服务(AD DS)的新特征和功能
规划和配置域功能级别 规划林功能级别 规划林信任 使用目录服务器
3.1.1介绍Windows Server 2008 目录服务器角色
1.只读域控制器RODC
❖ 如果分公司使用的LOB(line-of-business)业务应用程 序只有安装到一个域控制器上才能运行,也要选择部署 RODC。
❖ RODC从一个可写DC接收它的配置。 敏感的安全信息不被复制到RODC。 用户在分公司第一次登录时通过WAN进行身份确认, 然后RODC可以把凭证缓存,以后就可以在本地验证。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
5.利用MMC管理单元增强功能
❖ Windows Server 2008增强了MMC管理单元工具(如AD 用户和计算机)的功能。
❖ 查找命令:该命令允许查找放置DC的站点。可以帮助解决 复制问题。
❖ 提供配置“密码复制策略”选项卡,用于配置RODC的设置 。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
6.规划多元密码和帐户锁定策略
❖ 以前的Active Directory实现中,只能对域中的所有用户应 用一个密码和帐户锁定策略。
存放一个可写的DC和一个管理员,浪费太大。 存放一个可写的DC,让管理员远程管理,带宽低,费时
又棘手。 存放一个可写的DC不如WAN安全。
❖ RODC解决方案:
RODC提供了增强的安全性; 使登录更快速,并且允许更有效地访问本地资源; 路漫漫其悠远 RODC管理可以委派给一个没有管理权限的用户或组。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
4.委派RODC安装
❖ 在总公司DC中,可以委派合适的权限给一个用户或组。 ❖ 分支办公室的用户接受了委派权限后,就可以执行RODC
的安装,并可以管理RODC,但不需要域管理员权限。 ❖ 过程:
首先创建RODC账户; 安装过程中就可以关联/委派。
影子组(全局安全组),然后应用PSO。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
6.规划多元密码和帐户锁定策略
❖ 将PSO应用于组而不是OU,可以不用修改OU层次结构,组 为管理各用户集提供了更好的灵活性。
❖ 使用多元密码,需要具有2008域功能级别。 ❖ 只有域管理组的成员才可以创建PSO,以及将一个PSO应
❖ 因此,在用户相对较少,物理安全性差,网络带宽较低, IT 知识贫乏的环境下,可以采用RODC。 提供了只读AD DS数据库、单向复制、凭证缓存、管理 员角色分离、只读DNS(不支持客户更新)等功能。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
2.规划RODC实现
路漫漫其悠远
3.1.1介绍Windows Server 2008目录服务器角色
目录服务器角色AD DS引入的新功能:
❖ 只读域控制器RODC ❖ 新的和增强的工具和向导:AD DS安装向导 ❖ 细化的安全策略:多元密码策略 ❖ 可重启的AD DS:允许离线操作 ❖ AD DS数据挖掘工具:可查看快照数据
❖ 条件:远程启动Server 2008升级或有一个2008的AD DS 域,即可计划实现RODC。
❖ RODC安装的两个阶段: 第一阶段:为该域中的RODC创建计算机账户时,可以 为特定的RODC规定密码复制策略。 在RODC上安装DNS实现一个辅助的DNS服务器,可以 复制该DNS使用的所有应用程序目录分区。客户更新数 据,可以请求单一更新DNS。 第二阶段:安装
❖ Windows Server 2008允许规定多元密码策略。可以规定 多个密码策略,并对单个域中的不同用户组应用不同的密码 限制和账户锁定策略。 密码设置容器(PSC) 密码设置象(PSO)
❖ 通常,规划的策略可以包含至少3个但不能多于10个PSO。 ❖ 不能直接将PSO应用于组织单元OU。而考虑为这些OU创建
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
3.利用安装向导增强功能
❖ Windows Server 2008增加了AD DS安装向导,以简化 AD DS安装,并引入了RODC安装等新特征。
❖ 单击“添加角色” ❖ 输入命令dcpromo ❖ 高级模式安装使你能够更好地控制安装过程。
❖ 可以把RODC管理委派给一个域用户或安全组,从而在本 地管理员不是Domain Admins组成员的地方使用RODC 。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
使用案例: ❖ 远程分公司的用户,一般通过广域网WAN连接到总
公司的DC进行身份验证。缺点:延迟或不能登录 。 ❖ 怎么解决?可写的DC?
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
1.只读域控制器RODC
❖ RODC是具有 Active Directory 文件库只读版本的域控制 器,可部署于域控制器安全性无法确保的环境中。包括域 控制器的物理安全性有疑虑的分支机构,或者具有额外角 色功能并需要其他用户登入与管理服务器的域控制器。
用于某个组或用户。 ❖ 多元密码策略只能应用于用户对象和全局安全组,不能应用
于计算机对象。 ❖ 多元密码策略不能干预自定义的密码筛选器。 ❖ PSO分配给一个全局组后,可以把一个特殊的PSO直接应
用于特定的用户。 ❖ 可以计划委派多元密码管理。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
Active Directory和组策 略教材
路漫漫其悠远 2020/4/13
第1课 windows Server 2008 AD
❖ 学习目标:
列举和描述Windows Server 2008 Active Directory域 服务(AD DS)的新特征和功能
规划和配置域功能级别 规划林功能级别 规划林信任 使用目录服务器
3.1.1介绍Windows Server 2008 目录服务器角色
1.只读域控制器RODC
❖ 如果分公司使用的LOB(line-of-business)业务应用程 序只有安装到一个域控制器上才能运行,也要选择部署 RODC。
❖ RODC从一个可写DC接收它的配置。 敏感的安全信息不被复制到RODC。 用户在分公司第一次登录时通过WAN进行身份确认, 然后RODC可以把凭证缓存,以后就可以在本地验证。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
5.利用MMC管理单元增强功能
❖ Windows Server 2008增强了MMC管理单元工具(如AD 用户和计算机)的功能。
❖ 查找命令:该命令允许查找放置DC的站点。可以帮助解决 复制问题。
❖ 提供配置“密码复制策略”选项卡,用于配置RODC的设置 。