活动目录在Windows Server 2008 中的改进
出处:5DMail.Net收集整理 作者:请作者联系我站 时间:2007-11-10 13:31:54
(1):总体概览
本系列文章将谈谈在Windows Server 2008中有关活动目录域服务(Active Directory Domain Services下文缩写为AD DS)的新特性,其主要内容翻译自Technet上的相关文章,翻译时略有改动。
AD DS功能改进的总体概览
在Windows Server 2008中所包含的改进将帮助你更简单更安全地部署AD DS。比如,AD DS包含一种称为只读域控制器(read-only domain controller下文缩写为RODC)的新的域控制器类型。一台RODC包含了活动目录数据库的只读部分。RODC为你在以下的场景中部署域控制器提供了一种途径,比如在分支机构中域控制器的物理安全无法得到保证,或者是在外延网(extranets)中本地储存的所有域密码被认为是主要威胁。因为你可以委派一位域用户或者安全组进行RODC的管理,RODC非常适合不应当有域管理员组成员的站点。
在Windows Server 2008中的AD DS也包含了对AD DS安装向导的升级以及MMC AD DS插件功能的更新,因此你可以更有效的管理用户及资源。
AD DS包括了细粒化的密码策略是你能针对在同一域中的用户及全局安全组应用不同的密码及账户锁定策略。这能减少你有可能管理的域的数量。你还可以使用AD DS的可重启功能来停止AD DS,因此你可以执行诸如脱机的活动目录对像整理之类的脱机操作。AD DS的这项功能与Windows Server 2003相比,减少了在Windows Server 2008下执行类似操作需要重启至活动目录还原模式的次数。
有了快照查看(snapshot viewer)的特性,你可以在线查看储存在快照中的活动目录数据。尽管你不能使用本特性来还原已删除的对像和容器,但是你可以使用它来比较不同时间点的快照来确定用哪份数据进行恢复,在不重启域控制器的情况下。
(2):审核策略
AD DS功能改进的总体概览
在Windows Server 2008中所包含的改进将帮助你更简单更安全地部署AD DS。比如,AD DS包含一种称为只读域控制器(read-only domain controller下文缩写为RODC)的新的域控制器类型。一台RODC包含了活动目录数据库的只读部分。RODC为你在以下的场景中部署域控制器提供了一种途径,比如在分支机构中域控制器的物理安全无法得到保证,或者是在外延网(extranets)中本地储存的所有域密码被认为是主要威胁。因为你可以委派一位域用户或者安全组进行RODC的管理,RODC非常适合不应当有域管理员组成员的站点。
在Windows Server 2008中的AD DS也包含了对AD DS安装向导的升级以及MMC AD DS插件功能的更新,因此你可以更有效的管理用户及资源。
AD DS包括了细粒化的密码策略是你能针对在同一域中的用户及全局安全组应用不同的密码及账户锁定策略。这能减少你有可能管理的域的数量。你还可以使用AD DS的可重启功能来停止AD DS,因此你可以执行诸如脱机的活动目录对像整理之类的脱机操作。AD DS的这项功能与Windows Server 2003相比,减少了在Windows Server 2008下执行类似操作需要重启至活动目录还原模式的次数。
有了快照查看(snapshot viewer)的特性,你可以在线查看储存在快照中的活动目录数据。尽管你不能使用本特性来还原已删除的对像和容器,但是你可以使用它来比较不同时间点的快照来确定用哪份数据进行恢复,在不重启域控制器的情况下。
(2):审核策略
在Windows Server 2008中,你现在能够建立AD DS审核通过使用新的审核策略的子类(目录服务变化)来记录新旧属性值,当活动目录对象及它们的属性发生变化时。
审核策略的变化也同样可以应用到活动目录轻量目录服务(Active Directory Lightweight Directory Services 以下简称AD LDS)
AD DS审核能干什么?
全局审核策略审核对目录服务的访问控制,无论针对目录服务事件的审核是被启用或被禁用。这个安全设定决定了当确定的操作被应用到目录对象时事件将被记录到安全日志中。你能控制什么样的操作被审核通过修改一个对象上的系统访问控制列表(SACL)。在Windows Server 2008中这项策略默认被启用。
你能够定义本策略设定(通过修改默认域控制器安全策略),你能够指定审核成功的事件,失败的事件,或者什么也不审核。你能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。针对目录服务的审核也同样如此。但只适用与AD DS对象上而不是文件对象或注册表对象。
现存的功能发生了什么变化?
Windows Server 2008增加了AD DS审核策略对某一属性新老值的记录,当一个成功的属性变化时间发生时。先前AD DS的审核策略只记录发生变化的属性名称,而不记录以前及现在的属性值。
审核AD DS访问
在Windows 2000 Server和Windows Server 2003中只有一种审核策略(目录服务访问审核), 用来控制审核目录服务事件是被启用或者禁用。在Windows Server 2008,本策略被划分成四个子类:
目录服务访问(Directory Service Access)
目录服务变化(Directory Service Changes)
目录服务复制(Directory Service Replication)
详细的目录服务复制(Detailed Directory Service Replication)
正因为新的审核子类(目录服务变化)因此AD DS对象属性的变化才能被审核。你能够审核的变化类型有创建,修改,移动以及反删除。这些事件将被记录在安全日志中。
在AD DS中新的审核策略子类(目录服务变化)增加了以下的功能:
当对对像的属性修改成功时,AD DS会纪录先前的属性值以及现在的属性值。如果属性含有一个以上的值时,只有作为修改操作结果变化的值才会被记录。
如果新的对像被创建,属性被赋予的时间将会被记录,属性值也会被记录,在多数情景中,AD DS分配缺省属性给诸如sAMAccountName等系统属性,这些系统属性值将不被记录。
如果一个对像被移动到同一个域中,那么先前的以及新的位置(以distinguished name [比如cn=anna,ou=test,dc=contoso,dc=com]形式)将被记录。当对象被移动到不同域时,一个创建事件将会在目标域的域控制器上生成。
如果一个对象被反删除,那么这个对象被移动到的位置将会被记录。另外如果在反删除操作中属性被增加,修改或者删除,那么这些属性的值也会被记录。
注意:如果一个对象被删除,将不产生任何审核事件。然而,如果启用了Directory Service Access审核子类,那么审核事件将被创建。
当Directory Service Changes启用以后,AD DS会在安全日志中记录事件当对象属相的变化满足管理员指定的审核条件。下面的这张表格描述了这些事件。
事件号 事件类型
事件描述
5136 修改 这个事件产生于成功的修改目录对象属性
5137 创建 这个事件产生于新的目录对象被创建
5138 反删除 这个事件产生于目录对象被反删除时
5139 移动 这个事件产生于对象在同一域内移动时
建立审核策略的步骤
这部分将包括以下这两个步骤:
步骤一:启用审核策略
步骤二:使用活动目录用户与计算机来说明如何通过对象的SACL来启用对象审核。
步骤一:启用审核策略
本步骤包含了使用图形界面及命令行来启用审核。
默认情况下组策略管理并没有安装,你可以通过服务器管理里的添加部件(Add Features)进行安装。 通过使用命令行工具Auditpol,你能启用独立的子项目。
通过图形界面启用全局审核策略
1. 单击开始按钮,指向管理工具,再指向组策略管理。
2. 在控制台树,双击林名称,双击域,双击你的域名称,双击域控制器,右键单击默认域控制器策略然后点击编辑。
3. 在计算机配置下,双击Windows设置,双击安全设置,双击本地策略,再双击审核策略
4. 在审核策略中,右键单击审核目录服务访问,然后点击属性
5. 选择定义这些这些策略的复选框
6. 选择成功复选框,单击确定
使用命令行工具Auditpol启用审核策略
1. 单击开始按钮,右键单击命令提示符,再单击以管理员运行
2. 输入以下命令并回车
CODE:
【auditpol /set /subcategory:"directory service changes" /success:enable】
步骤二:在对象SACL列表中创建审核策
1. 单击开始按钮,指向管理工具,再单击活动目录用户与计算机
2. 右键单击你想启用审核组织单位(OU)或者其它对象,再单价属性
3. 单价安全选项卡,单击高级,再单击审核选项卡
4. 单击添加,在输入对象名称进行选择对话框中,输入Authenticated Users(或者其它安全主体),然后单击确定。
5. 在应用到下拉框中选择子用户对象(Descendant User objects)或者其它对象
6. 在“访问”中勾选“写入所有属性”的成功复选框
7. 单击确定,直到对象的属性页完全关闭。
(3):颗粒化密码策略
审核策略的变化也同样可以应用到活动目录轻量目录服务(Active Directory Lightweight Directory Services 以下简称AD LDS)
AD DS审核能干什么?
全局审核策略审核对目录服务的访问控制,无论针对目录服务事件的审核是被启用或被禁用。这个安全设定决定了当确定的操作被应用到目录对象时事件将被记录到安全日志中。你能控制什么样的操作被审核通过修改一个对象上的系统访问控制列表(SACL)。在Windows Server 2008中这项策略默认被启用。
你能够定义本策略设定(通过修改默认域控制器安全策略),你能够指定审核成功的事件,失败的事件,或者什么也不审核。你能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。针对目录服务的审核也同样如此。但只适用与AD DS对象上而不是文件对象或注册表对象。
现存的功能发生了什么变化?
Windows Server 2008增加了AD DS审核策略对某一属性新老值的记录,当一个成功的属性变化时间发生时。先前AD DS的审核策略只记录发生变化的属性名称,而不记录以前及现在的属性值。
审核AD DS访问
在Windows 2000 Server和Windows Server 2003中只有一种审核策略(目录服务访问审核), 用来控制审核目录服务事件是被启用或者禁用。在Windows Server 2008,本策略被划分成四个子类:
目录服务访问(Directory Service Access)
目录服务变化(Directory Service Changes)
目录服务复制(Directory Service Replication)
详细的目录服务复制(Detailed Directory Service Replication)
正因为新的审核子类(目录服务变化)因此AD DS对象属性的变化才能被审核。你能够审核的变化类型有创建,修改,移动以及反删除。这些事件将被记录在安全日志中。
在AD DS中新的审核策略子类(目录服务变化)增加了以下的功能:
当对对像的属性修改成功时,AD DS会纪录先前的属性值以及现在的属性值。如果属性含有一个以上的值时,只有作为修改操作结果变化的值才会被记录。
如果新的对像被创建,属性被赋予的时间将会被记录,属性值也会被记录,在多数情景中,AD DS分配缺省属性给诸如sAMAccountName等系统属性,这些系统属性值将不被记录。
如果一个对像被移动到同一个域中,那么先前的以及新的位置(以distinguished name [比如cn=anna,ou=test,dc=contoso,dc=com]形式)将被记录。当对象被移动到不同域时,一个创建事件将会在目标域的域控制器上生成。
如果一个对象被反删除,那么这个对象被移动到的位置将会被记录。另外如果在反删除操作中属性被增加,修改或者删除,那么这些属性的值也会被记录。
注意:如果一个对象被删除,将不产生任何审核事件。然而,如果启用了Directory Service Access审核子类,那么审核事件将被创建。
当Directory Service Changes启用以后,AD DS会在安全日志中记录事件当对象属相的变化满足管理员指定的审核条件。下面的这张表格描述了这些事件。
事件号 事件类型
事件描述
5136 修改 这个事件产生于成功的修改目录对象属性
5137 创建 这个事件产生于新的目录对象被创建
5138 反删除 这个事件产生于目录对象被反删除时
5139 移动 这个事件产生于对象在同一域内移动时
建立审核策略的步骤
这部分将包括以下这两个步骤:
步骤一:启用审核策略
步骤二:使用活动目录用户与计算机来说明如何通过对象的SACL来启用对象审核。
步骤一:启用审核策略
本步骤包含了使用图形界面及命令行来启用审核。
默认情况下组策略管理并没有安装,你可以通过服务器管理里的添加部件(Add Features)进行安装。 通过使用命令行工具Auditpol,你能启用独立的子项目。
通过图形界面启用全局审核策略
1. 单击开始按钮,指向管理工具,再指向组策略管理。
2. 在控制台树,双击林名称,双击域,双击你的域名称,双击域控制器,右键单击默认域控制器策略然后点击编辑。
3. 在计算机配置下,双击Windows设置,双击安全设置,双击本地策略,再双击审核策略
4. 在审核策略中,右键单击审核目录服务访问,然后点击属性
5. 选择定义这些这些策略的复选框
6. 选择成功复选框,单击确定
使用命令行工具Auditpol启用审核策略
1. 单击开始按钮,右键单击命令提示符,再单击以管理员运行
2. 输入以下命令并回车
CODE:
【auditpol /set /subcategory:"directory service changes" /success:enable】
步骤二:在对象SACL列表中创建审核策
1. 单击开始按钮,指向管理工具,再单击活动目录用户与计算机
2. 右键单击你想启用审核组织单位(OU)或者其它对象,再单价属性
3. 单价安全选项卡,单击高级,再单击审核选项卡
4. 单击添加,在输入对象名称进行选择对话框中,输入Authenticated Users(或者其它安全主体),然后单击确定。
5. 在应用到下拉框中选择子用户对象(Descendant User objects)或者其它对象
6. 在“访问”中勾选“写入所有属性”的成功复选框
7. 单击确定,直到对象的属性页完全关闭。
(3):颗粒化密码策略
Windows Server 2008 为组织提供了一种方法,使得组织能在某一域中针对不同的用户集来定义不同的密码和账号锁定策略。在Windows 2000及Windows Server 2003的活动目录域中,只有一种密码和账户锁定策略能被应用到域中的所有用户。这些策略被定义在默认的域策略中。因此,希望针对不同的用户集采取不同的密码及账户锁定组织不得不建立密码策略筛选器或者部署多个域。这些选择会因为不同的原因而照成高昂的代价。
颗粒化的密码策略能干什么?
你能够使用颗粒化的密码策略在同一个域内指定多样化的密码策略。你能够使用颗粒化的密码策略对同一域内的不同用户集应用不同的密码和账号锁定策略限制。
举例来说,你能够针对特权账号使用严密的设定,而对其它用户使用不太严密的设定。在其他场景中,比如你希望对密码与其它数据源同步的账号应用特殊的策略。
还有其它要特别考虑的吗?
颗粒化的密码策略值应用于用户对象(或者用来替代用户对象的inetOrgPerson对象)以及全局安全组。在默认情况下,只有Domain Admins组的成员才能设置本策略。然而,你也能够委派其他用户来设置此策略。但是域功能级必须是Windows Server 2008。
颗粒化的密码策略不能被直接应用到OU。但是为了达到此目的,你可以使用影子组。
影子组实质上是全局安全组,在逻辑上被映射到OU,用来强化颗粒化密码策略。你向OU添加用户就好像向影子组添加成员一样,随后将颗粒化密码策略应用到影子组。你能够根据你的需要为其它OU创建偶外的影子组。如果你从一个OU向另一个OU移动用户,那么你必须将账户组成员属性更新到对应的影子组。
颗粒化的密码策略不受你必须在同一域中应用的自定义的密码策略筛选器的影响。将自定义的密码策略筛选器部署到使用Windows 2000 or Windows Server 2003作为域控制器的组织,能够继续使用这些筛选器来强化额外的密码限制。
这项特性提供了什么新功能?
储存颗粒化密码策略
为了储存颗粒化密码策略,Windows Server 2008在AD DS架构中包含了两个新的对象类:
密码设置容器(Password Settings Container)
密码设置(Password Settings)
密码设置容器默认被创建在域的系统容器下。你能够通过使用活动目录用户与计算并启用高级特性来查看。它为域储存了密码设置对象(Password Settings objects 一下简称PSOs)。
你不能够重命名,移动,或者删除这个容器。尽管你能够创建额外的自定义的密码设置容器,他们不被针对一个对象计算的组策略结果集计算在内。因此创建额外的自定义的密码设置容器不被推荐。
密码设置对像包含了能在默认域策略中定义的所有属性设置(除了Kerberos设置)。这些设置包含了以下密码设置属性:
强制密码历史
密码最长使用期限
密码最短使用期限
密码长度最小值
密码必须符合复杂性要求
用可还原的加密来储存密码
这些设定也包含了以下的账户锁定设置
账户锁定时间
账户锁定阈值
复位账户锁定计数器
另外,PSO也包含了以下两个新属性:
PSO链接:这是链接到用户或者组对象的多值属性
优先:这是一个用来解决多个PSO被应用到一个单个用户或组对象产生冲突的整数值
这九个属性值必须被定义,缺一不可。来自多个PSO的设置不能被合并。
定义颗粒化密码策略的范围
PSO能够被链接到和PSO在同一域中的用户(或者inetOrgPerson)或者组对象。
PSO包含了描述PSO正向链接的属性值,msDS-PSOApplies。msDS-PSOApplies是一个多值属性。因此你能够将一个PSO链接到多个用户或组。
称为msDS-PSOApplied的新属性值在2008中被添加到用户和组对象。这个属性包含了PSO的反向链接。因为msDS-PSOApplied属性有反向链接,因此一个用户或组可以被多个PSO应用。你能够将PSO链接除了全局安全组之外的其它类型的组。
使用图形界面(adsiedit.msc)建立PSO
1. 单击开始按钮,单击运行,输入 adsiedit.msc ,单击确定
*如果你是在DC上第一次运行adsiedit.msc,请继续看第二步,不是的话跳到第四步。
2. 在ADSI EDIT界面中,右击ADSI Edit,再单击连接到
3. 在Name属性框中输入你想要创建PSO的域的完全合格域名(FQDN),然后单击确定
4. 双击域
5. 双击DC=<域名>
6. 双击CN=System
7. 双击密码设置
8. 右击 CN=Password Settings Container,单击新建,再单击对象
9. 在建立对象对话框中,选择msDS-PasswordSettings,单击下一步
10. 输入PSO的名称,单击下一步
11. 根据向导,输入必备属性
msDS-PasswordReversibleEncryptionEnabled
属性名称 描述 例值
msDS-PasswordSettingsPrecedence 密码设置优先级 10
msDS-PasswordReversibleEncryptionEnabled 用可还原的加密来储存密码 FALSE
msDS-PasswordHistoryLength 历史密码长度 24
msDS-PasswordComplexityEnabled 用户密码复杂程度 TRUE
msDS-MinimumPasswordLength 用户密码长度最小值 8
msDS-MinimumPasswordAge 密码最短使用期限
(只允许负值,计算方法见文末)
-864000000000 (1 day)
msDS-MaximumPasswordAge 密码最长使用期限
(只允许负值,计算方法见文末)
-17280000000000 (20 days)
msDS-LockoutThreshold 账户锁定阈值 0
msDS-LockoutObservationWindow 复位账户锁定计数器的时间
(只允许负值,计算方法见文末) -18000000000 (30 minutes)
msDS-LockoutDuration 账户锁定时间
(只允许负值,计算方法见文末) -18000000000 (30 minutes)
msDS-PSOAppliesTo PSO被应用到(正向连接) CN=u1,CN=Users,
12. 在向导的最后一页,单击更多属性
13. 在选择查看何种属性菜单中,单击可选或者两者
14. 在选择一种属性进行查看的下拉菜单中,选择msDS-PSOAppliesTo
15. 在编辑属性中,添加需要应用PSO的用户和全局安全组的相对可分辨名称
16. 重复第15步,如果你需要将PSO应用到多个用户和全局安全组
17. 单击完成
附:某些涉及时间属性值的确定
时间单位 运算方法
'm' minutes -60*(10^7) = - 600000000
'h' hours -60*60* (10^7) = -36000000000
'd' days -24*60*60*(10^7) = -864000000000
英文原文:http://technet2.microsoft.com/windowsserver2008/en/library/056a73ef-5c9e-44d7-acc1-4f0bade6cd751033.mspx
颗粒化的密码策略能干什么?
你能够使用颗粒化的密码策略在同一个域内指定多样化的密码策略。你能够使用颗粒化的密码策略对同一域内的不同用户集应用不同的密码和账号锁定策略限制。
举例来说,你能够针对特权账号使用严密的设定,而对其它用户使用不太严密的设定。在其他场景中,比如你希望对密码与其它数据源同步的账号应用特殊的策略。
还有其它要特别考虑的吗?
颗粒化的密码策略值应用于用户对象(或者用来替代用户对象的inetOrgPerson对象)以及全局安全组。在默认情况下,只有Domain Admins组的成员才能设置本策略。然而,你也能够委派其他用户来设置此策略。但是域功能级必须是Windows Server 2008。
颗粒化的密码策略不能被直接应用到OU。但是为了达到此目的,你可以使用影子组。
影子组实质上是全局安全组,在逻辑上被映射到OU,用来强化颗粒化密码策略。你向OU添加用户就好像向影子组添加成员一样,随后将颗粒化密码策略应用到影子组。你能够根据你的需要为其它OU创建偶外的影子组。如果你从一个OU向另一个OU移动用户,那么你必须将账户组成员属性更新到对应的影子组。
颗粒化的密码策略不受你必须在同一域中应用的自定义的密码策略筛选器的影响。将自定义的密码策略筛选器部署到使用Windows 2000 or Windows Server 2003作为域控制器的组织,能够继续使用这些筛选器来强化额外的密码限制。
这项特性提供了什么新功能?
储存颗粒化密码策略
为了储存颗粒化密码策略,Windows Server 2008在AD DS架构中包含了两个新的对象类:
密码设置容器(Password Settings Container)
密码设置(Password Settings)
密码设置容器默认被创建在域的系统容器下。你能够通过使用活动目录用户与计算并启用高级特性来查看。它为域储存了密码设置对象(Password Settings objects 一下简称PSOs)。
你不能够重命名,移动,或者删除这个容器。尽管你能够创建额外的自定义的密码设置容器,他们不被针对一个对象计算的组策略结果集计算在内。因此创建额外的自定义的密码设置容器不被推荐。
密码设置对像包含了能在默认域策略中定义的所有属性设置(除了Kerberos设置)。这些设置包含了以下密码设置属性:
强制密码历史
密码最长使用期限
密码最短使用期限
密码长度最小值
密码必须符合复杂性要求
用可还原的加密来储存密码
这些设定也包含了以下的账户锁定设置
账户锁定时间
账户锁定阈值
复位账户锁定计数器
另外,PSO也包含了以下两个新属性:
PSO链接:这是链接到用户或者组对象的多值属性
优先:这是一个用来解决多个PSO被应用到一个单个用户或组对象产生冲突的整数值
这九个属性值必须被定义,缺一不可。来自多个PSO的设置不能被合并。
定义颗粒化密码策略的范围
PSO能够被链接到和PSO在同一域中的用户(或者inetOrgPerson)或者组对象。
PSO包含了描述PSO正向链接的属性值,msDS-PSOApplies。msDS-PSOApplies是一个多值属性。因此你能够将一个PSO链接到多个用户或组。
称为msDS-PSOApplied的新属性值在2008中被添加到用户和组对象。这个属性包含了PSO的反向链接。因为msDS-PSOApplied属性有反向链接,因此一个用户或组可以被多个PSO应用。你能够将PSO链接除了全局安全组之外的其它类型的组。
使用图形界面(adsiedit.msc)建立PSO
1. 单击开始按钮,单击运行,输入 adsiedit.msc ,单击确定
*如果你是在DC上第一次运行adsiedit.msc,请继续看第二步,不是的话跳到第四步。
2. 在ADSI EDIT界面中,右击ADSI Edit,再单击连接到
3. 在Name属性框中输入你想要创建PSO的域的完全合格域名(FQDN),然后单击确定
4. 双击域
5. 双击DC=<域名>
6. 双击CN=System
7. 双击密码设置
8. 右击 CN=Password Settings Container,单击新建,再单击对象
9. 在建立对象对话框中,选择msDS-PasswordSettings,单击下一步
10. 输入PSO的名称,单击下一步
11. 根据向导,输入必备属性
msDS-PasswordReversibleEncryptionEnabled
属性名称 描述 例值
msDS-PasswordSettingsPrecedence 密码设置优先级 10
msDS-PasswordReversibleEncryptionEnabled 用可还原的加密来储存密码 FALSE
msDS-PasswordHistoryLength 历史密码长度 24
msDS-PasswordComplexityEnabled 用户密码复杂程度 TRUE
msDS-MinimumPasswordLength 用户密码长度最小值 8
msDS-MinimumPasswordAge 密码最短使用期限
(只允许负值,计算方法见文末)
-864000000000 (1 day)
msDS-MaximumPasswordAge 密码最长使用期限
(只允许负值,计算方法见文末)
-17280000000000 (20 days)
msDS-LockoutThreshold 账户锁定阈值 0
msDS-LockoutObservationWindow 复位账户锁定计数器的时间
(只允许负值,计算方法见文末) -18000000000 (30 minutes)
msDS-LockoutDuration 账户锁定时间
(只允许负值,计算方法见文末) -18000000000 (30 minutes)
msDS-PSOAppliesTo PSO被应用到(正向连接) CN=u1,CN=Users,
12. 在向导的最后一页,单击更多属性
13. 在选择查看何种属性菜单中,单击可选或者两者
14. 在选择一种属性进行查看的下拉菜单中,选择msDS-PSOAppliesTo
15. 在编辑属性中,添加需要应用PSO的用户和全局安全组的相对可分辨名称
16. 重复第15步,如果你需要将PSO应用到多个用户和全局安全组
17. 单击完成
附:某些涉及时间属性值的确定
时间单位 运算方法
'm' minutes -60*(10^7) = - 600000000
'h' hours -60*60* (10^7) = -36000000000
'd' days -24*60*60*(10^7) = -864000000000
英文原文:http://technet2.microsoft.com/windowsserver2008/en/library/056a73ef-5c9e-44d7-acc1-4f0bade6cd751033.mspx
(4):只读域控制器(RODC)
只读域控制器(RODC)是在Windows Server® 2008操作系统中一种新的域控制器。有了只读域控制器,组织能够容易地的物理安全得不到保证的地区部署域控制器。一台RODC包含了活动目录数据库的只读部分。
在Windows Server® 2008发布以前,如果用户不得不跨广域网连接域控制器进行身份验证的话,那也就没有其它更好的选择。在许多案例中,这不是有效的解决方法。分支机构通常无法为一台可写的域控制器提供的足够的物理安全。而且,当分支机构连接到枢纽站点时,它们的网络带宽通常比较差。这将导致登录时间变长。这也会阻碍网络资源的访问。
从Windows Server® 2008开始,组织能够部署RODC来处理这些问题。作为部署的结果,用户能够获得以下好处:
改进的安全性
快速登录
更有效的访问网络资源
RODC可以做什么?
在考虑部署RODC时,物理安全的不足是最为寻常的理由。RODC给那些需要快速可靠的身份验证,同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法。
然而你的组织也可以为了特殊的管理需要选择部署RODC。比如,业务程序(line-of-business,LOB)只能被安装到域控制器上并才能得以成功运行。或者,域控制器是分支机构仅有的服务器,而不得不运行服务器应用。
在这些例子中,业务程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序。这种环境引起了在可写域控制器上不被接受的安全风险。
RODC为在这些场景中部署域控制器提供了更安全的机械结构。你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给互动目录森林带来的安全风险。
你也可以在其它场景中部署RODC,比如在外延网(EXTRANETS)中本地储存的所有域密码被认为是主要威胁。
还有其它要特别考虑的吗?
为了部署RODC,域中必须至少有一台运行Windows Server 2008的可写域控制器。此外,活动目录域和森林的功能级必须是Windows Server 2003或者更高。
这项特性提供了什么新功能?
RODC处理了在分支机构中的普遍问题。这些地方也许没有域控制器。或者他们有可写的域控制器但是没有足够的物理安全,网络带宽以及专门的技术人员来提供支持。下面的RODC的功能缓解了这些问题:
只读活动目录数据库
单向复制
凭据缓存
管理员角色分割
只读DNS
只读活动目录数据库
除了账户密码之外,RODC拥有所有可写域控制器拥有的对象和属性。然而,无法针对储存在RODC的数据库进行任何数据上的改变。数据上的改变必须在可写域控制器上进行然后复制回RODC。
请求获得目录读取权限的本地程序能够获得访问许可。当使用轻型目录访问协议(LDAP)的程序请求写入权限时将会收到“referral”应答。在枢纽站点中,通常情况下这些应答将写入请求引导到可写的域控制器。
RODC已筛选属性集
使用AD DS作为数据存储的某些程序,也许会将类似信任凭据的数据(诸如密码,信任凭据,加密密钥)储存在RODC上。而你不想将这些数据储存在RODC上是因为考虑到RODC受到安全威胁的情况。
为了这些程序。你可以在架构中动态配置不被复制到RODC的域对象的属性集。这个属性集被称为RODC已筛选属性集。在RODC已筛选属性集定义的属性不允许复制到森林内的任何一台RODC。
威胁到RODC的恶意用户能够以某种途径尝试配置RODC,并尝试将RODC已筛选属性集中定义的属性复制到其它域控制器。如果RODC尝试从一台安装Windows Server 2008的域控制器上复制这些属性,那么复制请求将被拒绝。然而,如果RODC尝试从一台安装Windows Server 2003的域控制器上复制这些属性,复制请求将被接受。
因此,作为安全性的预防措施,如果你想配置RODC已筛选属性集请确保森林的功能级是Windows Server 2008。如果森林的功能级是Windows Server 2008,那么收到威胁的RODC将不能被如此利用,因为运行Windows Server 2003的域控制器在森林中是不被允许的。
你无法添加系统关键属性到RODC已筛选属性集。判断是否是系统关键属性的依据是看以下服务能否正常工作,这样的服务有 AD DS、LSA、SAM(及SSPIs比如Kerberos)在Windows Server 2008 Beta3的后继版本中,系统关键属性拥有属性值等于1的schemaFlagsEx属性。
RODC已筛选属性集被配置在拥有架构操作主机的的服务器上。如果你尝试添加系统关键属性打到RODC已筛选属性集,而且架构操作主机运行在Windows Server 2008上,那么服务器将返回“unwillingToPerform”的LDAP错误。如果你尝试添加系统关键属性打到RODC已筛选属性集,但是架构操作主机运行在Windows Server 2003上,那么操作将看上去是成功完成了,然而属性值实际上却没有被添加。因此,当你想要添加属性到RODC已筛选属性集时,价格操作主机建议是运行Windows Server 2008的域控制器。这保证了系统关键属性不包含在RODC已筛选属性集中。
单向复制
因为没有任何属性的变化会被直接写入RODC,所以任何变化不会从RODC发起。因此,作为复制伙伴的可写域控制器不会产生从RODC“拉”数据的操作。这意味着恶意用户在分支结构的RODC上进行的操作的结果不会被复制到森林的剩余部分。这也减少了枢纽站点里的桥头服务器的工作量以及为了监视复制所要求的工作量。
RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。RODC为AD DS及DFS执行正常的入站复制。
凭据缓存
凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。
RODC宣告成为分支结构的密钥分配中心(KDC)。RODC与可写域控制器上的KDC相比,它将使用不同的krgbrt账户和密码来签名或加密(TGT)请求。
当一个账户被成功验证时,RODC会试图联系枢纽站点中一台可写的的域控制器,并请求一份合适凭据的副本。可写域控制器将会识别出这个请求来自RODC,并考略影响到RODC的密码复制策略。
密码复制策略决定了用户或者计算机的凭据是否可以从可写域控制器复制到RODC。如果策略允许,那么可写域控制器将密码复制到RODC上,并且RODC缓存这些凭据。
当凭据被RODC缓存之后,RODC能够直接为用户登录请求服务直到凭据发生变化。(当TGT被RODC的krbtgt账户签名时,RODC识别出它有一份缓存的凭据副本。如果其它域控制器对TGT进行了签名,那么RODC将会把这个请求转递给一台可写域控制器。)
因为凭据缓存被限制为只有被RODC认证的用户的凭据才能被缓存,所以由于RODC受到威胁而导致的潜在的凭据泄露也得到了限制。因此,域用户中只有很少一部分的凭据被缓存在RODC上。因此,当发生RODC被盗的事件时,只有这些被缓存的凭据才有可能被破解。
保持凭据缓存关闭也许能更深层次的限制泄露,但是这样将导致所有的认证请求都被传递给可写域控制器。管理员能够修改默认密码策略来允许用户凭据被缓存到RODC上。
管理员角色分割
你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限。这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作。然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作。因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。
只读DNS
你能在RODC上安装DNS服务。RODC能够复制DNS使用的所有程序目录分区,包括ForestDNSZones以及DomainDNSZones。如果DNS服务被安装到RODC上,用户能够像查询其它DNS服务器一样进行名称解析。
然而,在RODC上的DNS服务不支持客户端直接更新。因为RODC不登记它所拥有任何的AD集成区域的NS资源记录。当客户端试图在RODC上尝试更新DNS记录时,服务器会返回包含支持客户端更新的DNS服务器的引用。随后,客户端能够尝试利用引用中提供的DNS服务器进行DNS记录更新。而在后台,RODC上的DNS服务器会尝试从更新的DNS服务器中复制已更新的记录。复制请求仅针对单一对象(DNS记录)。整个变化区域的列表或者域数据在特定的“复制单一对象”的请求过程中将不被复制。
5):可重启的AD DS
在Windows Server® 2008发布以前,如果用户不得不跨广域网连接域控制器进行身份验证的话,那也就没有其它更好的选择。在许多案例中,这不是有效的解决方法。分支机构通常无法为一台可写的域控制器提供的足够的物理安全。而且,当分支机构连接到枢纽站点时,它们的网络带宽通常比较差。这将导致登录时间变长。这也会阻碍网络资源的访问。
从Windows Server® 2008开始,组织能够部署RODC来处理这些问题。作为部署的结果,用户能够获得以下好处:
改进的安全性
快速登录
更有效的访问网络资源
RODC可以做什么?
在考虑部署RODC时,物理安全的不足是最为寻常的理由。RODC给那些需要快速可靠的身份验证,同时对可写域控制器而言物理安全无法得到确保的地方部署域控制器提供了新的方法。
然而你的组织也可以为了特殊的管理需要选择部署RODC。比如,业务程序(line-of-business,LOB)只能被安装到域控制器上并才能得以成功运行。或者,域控制器是分支机构仅有的服务器,而不得不运行服务器应用。
在这些例子中,业务程序所有者必须经常交互式登录到域控制器或者使用终端服务来配置和管理程序。这种环境引起了在可写域控制器上不被接受的安全风险。
RODC为在这些场景中部署域控制器提供了更安全的机械结构。你能够将登录到RODC的权利转让给没有管理权限的域用户同时最小化给互动目录森林带来的安全风险。
你也可以在其它场景中部署RODC,比如在外延网(EXTRANETS)中本地储存的所有域密码被认为是主要威胁。
还有其它要特别考虑的吗?
为了部署RODC,域中必须至少有一台运行Windows Server 2008的可写域控制器。此外,活动目录域和森林的功能级必须是Windows Server 2003或者更高。
这项特性提供了什么新功能?
RODC处理了在分支机构中的普遍问题。这些地方也许没有域控制器。或者他们有可写的域控制器但是没有足够的物理安全,网络带宽以及专门的技术人员来提供支持。下面的RODC的功能缓解了这些问题:
只读活动目录数据库
单向复制
凭据缓存
管理员角色分割
只读DNS
只读活动目录数据库
除了账户密码之外,RODC拥有所有可写域控制器拥有的对象和属性。然而,无法针对储存在RODC的数据库进行任何数据上的改变。数据上的改变必须在可写域控制器上进行然后复制回RODC。
请求获得目录读取权限的本地程序能够获得访问许可。当使用轻型目录访问协议(LDAP)的程序请求写入权限时将会收到“referral”应答。在枢纽站点中,通常情况下这些应答将写入请求引导到可写的域控制器。
RODC已筛选属性集
使用AD DS作为数据存储的某些程序,也许会将类似信任凭据的数据(诸如密码,信任凭据,加密密钥)储存在RODC上。而你不想将这些数据储存在RODC上是因为考虑到RODC受到安全威胁的情况。
为了这些程序。你可以在架构中动态配置不被复制到RODC的域对象的属性集。这个属性集被称为RODC已筛选属性集。在RODC已筛选属性集定义的属性不允许复制到森林内的任何一台RODC。
威胁到RODC的恶意用户能够以某种途径尝试配置RODC,并尝试将RODC已筛选属性集中定义的属性复制到其它域控制器。如果RODC尝试从一台安装Windows Server 2008的域控制器上复制这些属性,那么复制请求将被拒绝。然而,如果RODC尝试从一台安装Windows Server 2003的域控制器上复制这些属性,复制请求将被接受。
因此,作为安全性的预防措施,如果你想配置RODC已筛选属性集请确保森林的功能级是Windows Server 2008。如果森林的功能级是Windows Server 2008,那么收到威胁的RODC将不能被如此利用,因为运行Windows Server 2003的域控制器在森林中是不被允许的。
你无法添加系统关键属性到RODC已筛选属性集。判断是否是系统关键属性的依据是看以下服务能否正常工作,这样的服务有 AD DS、LSA、SAM(及SSPIs比如Kerberos)在Windows Server 2008 Beta3的后继版本中,系统关键属性拥有属性值等于1的schemaFlagsEx属性。
RODC已筛选属性集被配置在拥有架构操作主机的的服务器上。如果你尝试添加系统关键属性打到RODC已筛选属性集,而且架构操作主机运行在Windows Server 2008上,那么服务器将返回“unwillingToPerform”的LDAP错误。如果你尝试添加系统关键属性打到RODC已筛选属性集,但是架构操作主机运行在Windows Server 2003上,那么操作将看上去是成功完成了,然而属性值实际上却没有被添加。因此,当你想要添加属性到RODC已筛选属性集时,价格操作主机建议是运行Windows Server 2008的域控制器。这保证了系统关键属性不包含在RODC已筛选属性集中。
单向复制
因为没有任何属性的变化会被直接写入RODC,所以任何变化不会从RODC发起。因此,作为复制伙伴的可写域控制器不会产生从RODC“拉”数据的操作。这意味着恶意用户在分支结构的RODC上进行的操作的结果不会被复制到森林的剩余部分。这也减少了枢纽站点里的桥头服务器的工作量以及为了监视复制所要求的工作量。
RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。RODC为AD DS及DFS执行正常的入站复制。
凭据缓存
凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认情况下RODC不储存用户或者计算机凭据。例外的情况是RODC自身的计算机账户以及每台RODC所有的特殊的krbtgt账户。你在RODC上必须显示允许其它任何凭据缓存。
RODC宣告成为分支结构的密钥分配中心(KDC)。RODC与可写域控制器上的KDC相比,它将使用不同的krgbrt账户和密码来签名或加密(TGT)请求。
当一个账户被成功验证时,RODC会试图联系枢纽站点中一台可写的的域控制器,并请求一份合适凭据的副本。可写域控制器将会识别出这个请求来自RODC,并考略影响到RODC的密码复制策略。
密码复制策略决定了用户或者计算机的凭据是否可以从可写域控制器复制到RODC。如果策略允许,那么可写域控制器将密码复制到RODC上,并且RODC缓存这些凭据。
当凭据被RODC缓存之后,RODC能够直接为用户登录请求服务直到凭据发生变化。(当TGT被RODC的krbtgt账户签名时,RODC识别出它有一份缓存的凭据副本。如果其它域控制器对TGT进行了签名,那么RODC将会把这个请求转递给一台可写域控制器。)
因为凭据缓存被限制为只有被RODC认证的用户的凭据才能被缓存,所以由于RODC受到威胁而导致的潜在的凭据泄露也得到了限制。因此,域用户中只有很少一部分的凭据被缓存在RODC上。因此,当发生RODC被盗的事件时,只有这些被缓存的凭据才有可能被破解。
保持凭据缓存关闭也许能更深层次的限制泄露,但是这样将导致所有的认证请求都被传递给可写域控制器。管理员能够修改默认密码策略来允许用户凭据被缓存到RODC上。
管理员角色分割
你能委派RODC的本地管理权限至任何域用户而不用使该用户获得域或者域控制器的用户权限。这使分支机构的用户能够登录至RODC并执行诸如升级驱动程序之类的维护工作。然而分支结构用户无法登录到其它任何域控制器或者在域中执行其它管理工作。因此分支结构用户能够委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。
只读DNS
你能在RODC上安装DNS服务。RODC能够复制DNS使用的所有程序目录分区,包括ForestDNSZones以及DomainDNSZones。如果DNS服务被安装到RODC上,用户能够像查询其它DNS服务器一样进行名称解析。
然而,在RODC上的DNS服务不支持客户端直接更新。因为RODC不登记它所拥有任何的AD集成区域的NS资源记录。当客户端试图在RODC上尝试更新DNS记录时,服务器会返回包含支持客户端更新的DNS服务器的引用。随后,客户端能够尝试利用引用中提供的DNS服务器进行DNS记录更新。而在后台,RODC上的DNS服务器会尝试从更新的DNS服务器中复制已更新的记录。复制请求仅针对单一对象(DNS记录)。整个变化区域的列表或者域数据在特定的“复制单一对象”的请求过程中将不被复制。
5):可重启的AD DS
管理员能够在Windows Server 2008中通过MMC管理单元或者命令行来停止或者重启AD DS。
可重启的AD DS能做什么?
可重启的AD DS能够减少执行特定操作时所需要的时间。AD DS可以被停止,因此更新能够被应用到域控制器。当然,管理员能够停止AD DS来执行诸如脱机整理AD数据库之类的任务,而不用重新启动域控制器。运行在服务器上的其它服务并不依赖AD DS来进行工作,比如DHCP服务,因此当AD DS停止服务时能够继续满足客户端的请求。
还有其它要特别考虑的吗?
在所有运行Windows Server 2008的域控制器上可重启的AD DS是默认有效的。在使用这个功能上没有任何功能级或者其它必须具备的要求。
这项特性提供了什么新功能?
在Windows Server 2000或者Windows Server 2003的活动目录中,脱机数据库整理需要将域控制器重启至目录服务恢复模式。应用安全更新也经常要求重新启动域控制器。
然而在Windows Server 2008中,管理员能够停止或者重启AD DS。这使得能够更快速的执行AD DS脱机操作成为可能。
可重启的AD DS对已经存在的MMC管理单元增加了一些小变化。运行Windows Server 2008活动目录的域控制器在服务管理单元及计算机管理单元均能执行重启AD DS的任务。通过管理单元,管理员能够简单的停止或者重启AD DS,就如同管理其它运行在服务器上本地服务一样。
现存的功能发生了什么变化?
尽管停止AD DS和登录到目录服务还原模式一样,可重启的AD DS为运行Windows Server2008的域控制器提供了独特的状态。在这种状态叫做AD DS停止。
下面是运行Windows Server 2008域控制器的三种可能状态:
AD DS启动。这种状态意味着AD DS已经启动。对于用户或者其它运行在服务器上的服务而言,运行在这种状态下的Windows Server 2008域控制器就等如同运行在Windows 2000 Server及Windows Server 2003的域控制器一样。
AD DS停止。这种状态意味这AD DS已经停止。尽管这个模式是独特的,但是运行在这种状态下的服务器同时具有目录还原模式下的域控制器及已加入域的成员服务器的某些特性。
作为目录服务还原模式(DSRM)时,位于本地域控制器上的活动目录数据库(Ntds.dit)处于脱机状态。如果其它域控制器可用的话,本地域控制器能够联系它来进行登录。如果没有其它可用域控制器。如果无法联系到其它域控制器,你能够使用目录服务还原模式密码来登录到本地域控制器在目录服务还原模式下。
作为成员服务器,该服务器被加入域。这意味着组策略或者其它设置仍被应用到改计算机。然而域控制器不应当长时间持续处于这种状态,因为这种状态下域控制器无法为登录请求服务或者和其它域控制器进行复制操作。
目录服务还原模式。这种模式(状态)同Windows Server 2003下的目录服务还原模式一样,没有发生变化。
下面的流程图展示了运行Windows Server 2008的域控制器如何在这三种状态间进行变化。
(6):数据挖掘工具
可重启的AD DS能做什么?
可重启的AD DS能够减少执行特定操作时所需要的时间。AD DS可以被停止,因此更新能够被应用到域控制器。当然,管理员能够停止AD DS来执行诸如脱机整理AD数据库之类的任务,而不用重新启动域控制器。运行在服务器上的其它服务并不依赖AD DS来进行工作,比如DHCP服务,因此当AD DS停止服务时能够继续满足客户端的请求。
还有其它要特别考虑的吗?
在所有运行Windows Server 2008的域控制器上可重启的AD DS是默认有效的。在使用这个功能上没有任何功能级或者其它必须具备的要求。
这项特性提供了什么新功能?
在Windows Server 2000或者Windows Server 2003的活动目录中,脱机数据库整理需要将域控制器重启至目录服务恢复模式。应用安全更新也经常要求重新启动域控制器。
然而在Windows Server 2008中,管理员能够停止或者重启AD DS。这使得能够更快速的执行AD DS脱机操作成为可能。
可重启的AD DS对已经存在的MMC管理单元增加了一些小变化。运行Windows Server 2008活动目录的域控制器在服务管理单元及计算机管理单元均能执行重启AD DS的任务。通过管理单元,管理员能够简单的停止或者重启AD DS,就如同管理其它运行在服务器上本地服务一样。
现存的功能发生了什么变化?
尽管停止AD DS和登录到目录服务还原模式一样,可重启的AD DS为运行Windows Server2008的域控制器提供了独特的状态。在这种状态叫做AD DS停止。
下面是运行Windows Server 2008域控制器的三种可能状态:
AD DS启动。这种状态意味着AD DS已经启动。对于用户或者其它运行在服务器上的服务而言,运行在这种状态下的Windows Server 2008域控制器就等如同运行在Windows 2000 Server及Windows Server 2003的域控制器一样。
AD DS停止。这种状态意味这AD DS已经停止。尽管这个模式是独特的,但是运行在这种状态下的服务器同时具有目录还原模式下的域控制器及已加入域的成员服务器的某些特性。
作为目录服务还原模式(DSRM)时,位于本地域控制器上的活动目录数据库(Ntds.dit)处于脱机状态。如果其它域控制器可用的话,本地域控制器能够联系它来进行登录。如果没有其它可用域控制器。如果无法联系到其它域控制器,你能够使用目录服务还原模式密码来登录到本地域控制器在目录服务还原模式下。
作为成员服务器,该服务器被加入域。这意味着组策略或者其它设置仍被应用到改计算机。然而域控制器不应当长时间持续处于这种状态,因为这种状态下域控制器无法为登录请求服务或者和其它域控制器进行复制操作。
目录服务还原模式。这种模式(状态)同Windows Server 2003下的目录服务还原模式一样,没有发生变化。
下面的流程图展示了运行Windows Server 2008的域控制器如何在这三种状态间进行变化。
(6):数据挖掘工具
数据挖掘工具(Data Mining Tool)能够为你的组织改善恢复过程通过提供如下的方式:通过比较在不同时间抓取的存在于快照或者备份中的数据。因此在数据丢失后,你能够更好的决定恢复哪份数据备份。这消除了还原多份备份数据来比较它们所包含的活动目录数据的需要。
使用数据挖掘工具,你能够检验存储在AD DS中数据所发生的任何变化。比如。如果一个对象在意外情况下被修改,你能够使用数据挖掘工具来检验变化并帮助你更好的决定如何来修正它们如果有必要的话。
数据挖掘工具能干什么?
尽管数据挖掘工具本身不恢复任何已被删除的对象,但是它能够帮助提高还原被意外删除对象过程的效率。在Windows Server 2008以前,当对象或者组织单位被意外删除是,能够准确地确定被删除对象的唯一方法是从备份中还原数据。这项处理方法有两个缺陷:
活动目录不得不重启之目录服务还原模式来执行权威恢复。
管理员无法比较在不同时间点采集的备份数据(除非备份数据被还原到不同域控制器,而这个过程是不可行的)。
数据挖掘工具这项特性的目的是在线揭示储存在快照或者备份中的数据。管理员随后能够比较在不同时间点采集的快照或备份中的数据,这能使管理员能够更好地决定恢复那份数据,而不用导致停止服务。
还有其它要特别考虑的吗?
在恢复已删除数据时有两方面的问题
保存已删除的数据使得他能被恢复
当有必要时实际恢复数据
数据挖掘工具使得通过卷影复制服务采集以AD DS快照形式保存的已删除的AD DS或者AD LDS数据成为可能。数据挖掘工具实际上没有恢复已删除的对象或容器。管理员必须执行数据恢复作为其后续步骤。
你能使用诸如Ldp.exe之类的LDAP工具,这个工具内置于Windows Server 2008,来查看快照中的数据。这份数据是只读数据。默认情况下,只有域管理员组及企业管理员组的成员才被允许查看快照数据因为快照包含着AD DS敏感数据。
保护AD DS快照数据避免未经授权的访问就好像你保护AD DS备份一样。能访问快照数据的恶意用户能够使用它们来泄漏有肯能储存在AD DS中的敏感数据。比如,恶意用户也许会从A域森林复制AD DS快照数据至B域森林,然后使用域管理员或者企业管理员凭据在域森林B检查数据。对AD DS快照数据使用加密或者其它数据安全预防措施能帮助降低未经授权的用户访问AD DS快照数据的机会。
我如何准备部署这项特性?
使用数据挖掘工具包含以下几个步骤:
1. 尽管这不是必要的,但是你仍然能够预定一项计划任务来定期运行Ntdsutil.exe来采集包含AD DS数据库的磁盘卷的快照。
2. 运行Ntdsutil.exe来列出可用的快照数据,然后加载你想要查看的快照数据。
3. 运行Dsamain.exe作为LDAP服务器来揭示快照卷
Dsamain.exe有以下参数:
AD DS数据库(Ntds.dit)路径。默认情况下这条路径以只读形式打开,但是必须是ASCII
日志路径。这可以是临时路径,但是你必须拥有写入权限。
4个针对LDAP,LDAP-SSL,Global Catalog, and Global Catalog–SSL的端口号。只有LDAP端口是必须的。如果没有指定其它端口号,他们将会各自使用LDAP+1, LDAP+2, and LDAP+3。举例来说如果你指定LDAP使用41389端口而不指定其它端口值,那么LDAP-SSL 将默认使用41390作为其端口,以此类推。
如果要停止Dsamain,请在命令提示符下按Ctrl+C,或者你正在使用远程命令提示符,在rootDSE对象上设置stopservice属性。
4. 运行LDP.exe并附加快照数据至你指定的LDAP端口,当你在前一步骤作为LDAP服务器来揭示快照数据。
5. 浏览快照就像在其它在线域控制器上所做的那样。
如果你对已删除的OU或者对象有点模糊记忆的话,你可以在快照中查找已删除的对象并属于已删除对象的属性及反向链接。通过使用墓碑苏醒重新激活这些对象。然后,使用在快照中辨别的带状属性及反向链接手动添加到这些对象。
尽管你必须手动重建带状属性及反向链接,数据挖掘工具使你能够重建已删除对象及他们的反向链接而不用重新启动域控制器至目录服务还原模式成为可能。你也可以使用快照浏览区来查找先前的AD DS配置,比如有效权限。
英文原文:http://technet2.microsoft.com/wi ... 54123e0c081033.mspx
使用数据挖掘工具,你能够检验存储在AD DS中数据所发生的任何变化。比如。如果一个对象在意外情况下被修改,你能够使用数据挖掘工具来检验变化并帮助你更好的决定如何来修正它们如果有必要的话。
数据挖掘工具能干什么?
尽管数据挖掘工具本身不恢复任何已被删除的对象,但是它能够帮助提高还原被意外删除对象过程的效率。在Windows Server 2008以前,当对象或者组织单位被意外删除是,能够准确地确定被删除对象的唯一方法是从备份中还原数据。这项处理方法有两个缺陷:
活动目录不得不重启之目录服务还原模式来执行权威恢复。
管理员无法比较在不同时间点采集的备份数据(除非备份数据被还原到不同域控制器,而这个过程是不可行的)。
数据挖掘工具这项特性的目的是在线揭示储存在快照或者备份中的数据。管理员随后能够比较在不同时间点采集的快照或备份中的数据,这能使管理员能够更好地决定恢复那份数据,而不用导致停止服务。
还有其它要特别考虑的吗?
在恢复已删除数据时有两方面的问题
保存已删除的数据使得他能被恢复
当有必要时实际恢复数据
数据挖掘工具使得通过卷影复制服务采集以AD DS快照形式保存的已删除的AD DS或者AD LDS数据成为可能。数据挖掘工具实际上没有恢复已删除的对象或容器。管理员必须执行数据恢复作为其后续步骤。
你能使用诸如Ldp.exe之类的LDAP工具,这个工具内置于Windows Server 2008,来查看快照中的数据。这份数据是只读数据。默认情况下,只有域管理员组及企业管理员组的成员才被允许查看快照数据因为快照包含着AD DS敏感数据。
保护AD DS快照数据避免未经授权的访问就好像你保护AD DS备份一样。能访问快照数据的恶意用户能够使用它们来泄漏有肯能储存在AD DS中的敏感数据。比如,恶意用户也许会从A域森林复制AD DS快照数据至B域森林,然后使用域管理员或者企业管理员凭据在域森林B检查数据。对AD DS快照数据使用加密或者其它数据安全预防措施能帮助降低未经授权的用户访问AD DS快照数据的机会。
我如何准备部署这项特性?
使用数据挖掘工具包含以下几个步骤:
1. 尽管这不是必要的,但是你仍然能够预定一项计划任务来定期运行Ntdsutil.exe来采集包含AD DS数据库的磁盘卷的快照。
2. 运行Ntdsutil.exe来列出可用的快照数据,然后加载你想要查看的快照数据。
3. 运行Dsamain.exe作为LDAP服务器来揭示快照卷
Dsamain.exe有以下参数:
AD DS数据库(Ntds.dit)路径。默认情况下这条路径以只读形式打开,但是必须是ASCII
日志路径。这可以是临时路径,但是你必须拥有写入权限。
4个针对LDAP,LDAP-SSL,Global Catalog, and Global Catalog–SSL的端口号。只有LDAP端口是必须的。如果没有指定其它端口号,他们将会各自使用LDAP+1, LDAP+2, and LDAP+3。举例来说如果你指定LDAP使用41389端口而不指定其它端口值,那么LDAP-SSL 将默认使用41390作为其端口,以此类推。
如果要停止Dsamain,请在命令提示符下按Ctrl+C,或者你正在使用远程命令提示符,在rootDSE对象上设置stopservice属性。
4. 运行LDP.exe并附加快照数据至你指定的LDAP端口,当你在前一步骤作为LDAP服务器来揭示快照数据。
5. 浏览快照就像在其它在线域控制器上所做的那样。
如果你对已删除的OU或者对象有点模糊记忆的话,你可以在快照中查找已删除的对象并属于已删除对象的属性及反向链接。通过使用墓碑苏醒重新激活这些对象。然后,使用在快照中辨别的带状属性及反向链接手动添加到这些对象。
尽管你必须手动重建带状属性及反向链接,数据挖掘工具使你能够重建已删除对象及他们的反向链接而不用重新启动域控制器至目录服务还原模式成为可能。你也可以使用快照浏览区来查找先前的AD DS配置,比如有效权限。
英文原文:http://technet2.microsoft.com/wi ... 54123e0c081033.mspx
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |