第3章ActiveDirectory和組策略規(guī)劃基礎(chǔ)結(jié)構(gòu)服務(wù)服務(wù)器角色規(guī)劃和實現(xiàn)組策略方案本章課程設(shè)置：第1課WindowsServer2008ActiveDirectory第2課WindowsServer2008

組策略1第3章ActiveDirectory和組策略規(guī)劃基礎(chǔ)結(jié)第1課windowsServer2008AD學(xué)習(xí)目標(biāo)：列舉和描述WindowsServer2008ActiveDirectory域服務(wù)（ADDS）的新特征和功能規(guī)劃和配置域功能級別規(guī)劃林功能級別規(guī)劃林信任使用目錄服務(wù)器2第1課windowsServer2008AD學(xué)習(xí)目標(biāo)3.1.1介紹WindowsServer2008目錄服務(wù)器角色目錄服務(wù)器角色ADDS引入的新功能：只讀域控制器RODC新的和增強的工具和向?qū)В篈DDS安裝向?qū)Ъ毣陌踩呗裕憾嘣艽a策略可重啟的ADDS：允許離線操作ADDS數(shù)據(jù)挖掘工具：可查看快照數(shù)據(jù)33.1.1介紹WindowsServer2008目錄服務(wù)3.1.1介紹WindowsServer2008目錄服務(wù)器角色1．只讀域控制器RODCRODC是具有ActiveDirectory文件庫只讀版本的域控制器，可部署于域控制器安全性無法確保的環(huán)境中。包括域控制器的物理安全性有疑慮的分支機構(gòu)，或者具有額外角色功能并需要其他用戶登入與管理服務(wù)器的域控制器?？梢园裄ODC管理委派給一個域用戶或安全組，從而在本地管理員不是DomainAdmins組成員的地方使用RODC。43.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色使用案例：遠程分公司的用戶，一般通過廣域網(wǎng)WAN連接到總公司的DC進行身份驗證。缺點：延遲或不能登錄。怎么解決？可寫的DC?存放一個可寫的DC和一個管理員，浪費太大。存放一個可寫的DC，讓管理員遠程管理，帶寬低，費時又棘手。存放一個可寫的DC不如WAN安全。RODC解決方案：RODC提供了增強的安全性；使登錄更快速，并且允許更有效地訪問本地資源；RODC管理可以委派給一個沒有管理權(quán)限的用戶或組。53.1.1介紹WindowsServer2008目錄服1．只讀域控制器RODC如果分公司使用的LOB（line-of-business）業(yè)務(wù)應(yīng)用程序只有安裝到一個域控制器上才能運行，也要選擇部署RODC。RODC從一個可寫DC接收它的配置。敏感的安全信息不被復(fù)制到RODC。用戶在分公司第一次登錄時通過WAN進行身份確認，然后RODC可以把憑證緩存，以后就可以在本地驗證。因此，在用戶相對較少，物理安全性差，網(wǎng)絡(luò)帶寬較低，IT知識貧乏的環(huán)境下，可以采用RODC。提供了只讀ADDS數(shù)據(jù)庫、單向復(fù)制、憑證緩存、管理員角色分離、只讀DNS（不支持客戶更新）等功能。3.1.1介紹WindowsServer2008目錄服務(wù)器角色61．只讀域控制器RODC3.1.1介紹WindowsSer3.1.1介紹WindowsServer2008目錄服務(wù)器角色2．規(guī)劃RODC實現(xiàn)條件：遠程啟動Server2008升級或有一個2008的ADDS域，即可計劃實現(xiàn)RODC。RODC安裝的兩個階段：第一階段：為該域中的RODC創(chuàng)建計算機賬戶時，可以為特定的RODC規(guī)定密碼復(fù)制策略。在RODC上安裝DNS實現(xiàn)一個輔助的DNS服務(wù)器，可以復(fù)制該DNS使用的所有應(yīng)用程序目錄分區(qū)?？蛻舾聰?shù)據(jù)，可以請求單一更新DNS。第二階段：安裝73.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色3．利用安裝向?qū)г鰪姽δ躓indowsServer2008增加了ADDS安裝向?qū)?，以簡化ADDS安裝，并引入了RODC安裝等新特征。單擊“添加角色”輸入命令dcpromo高級模式安裝使你能夠更好地控制安裝過程。83.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色4．委派RODC安裝在總公司DC中，可以委派合適的權(quán)限給一個用戶或組。分支辦公室的用戶接受了委派權(quán)限后，就可以執(zhí)行RODC的安裝，并可以管理RODC，但不需要域管理員權(quán)限。過程：首先創(chuàng)建RODC賬戶；安裝過程中就可以關(guān)聯(lián)/委派。93.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色5．利用MMC管理單元增強功能WindowsServer2008增強了MMC管理單元工具（如AD用戶和計算機）的功能。查找命令：該命令允許查找放置DC的站點。可以幫助解決復(fù)制問題。提供配置“密碼復(fù)制策略”選項卡，用于配置RODC的設(shè)置。單擊“高級”按鈕，可以查看哪些密碼已被發(fā)送或存儲到RODC中，也就知道誰在使用RODC。103.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色6．規(guī)劃多元密碼和帳戶鎖定策略以前的ActiveDirectory實現(xiàn)中，只能對域中的所有用戶應(yīng)用一個密碼和帳戶鎖定策略。WindowsServer2008允許規(guī)定多元密碼策略?？梢砸?guī)定多個密碼策略，并對單個域中的不同用戶組應(yīng)用不同的密碼限制和賬戶鎖定策略。密碼設(shè)置容器（PSC）密碼設(shè)置對象（PSO）通常，規(guī)劃的策略可以包含至少3個但不能多于10個PSO。不能直接將PSO應(yīng)用于組織單元OU。而考慮為這些OU創(chuàng)建影子組（全局安全組），然后應(yīng)用PSO。113.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色6．規(guī)劃多元密碼和帳戶鎖定策略將PSO應(yīng)用于組而不是OU，可以不用修改OU層次結(jié)構(gòu)，組為管理各用戶集提供了更好的靈活性。使用多元密碼，需要具有2008域功能級別。只有域管理組的成員才可以創(chuàng)建PSO，以及將一個PSO應(yīng)用于某個組或用戶。多元密碼策略只能應(yīng)用于用戶對象和全局安全組，不能應(yīng)用于計算機對象。多元密碼策略不能干預(yù)自定義的密碼篩選器。PSO分配給一個全局組后，可以把一個特殊的PSO直接應(yīng)用于特定的用戶。可以計劃委派多元密碼管理。123.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色7．規(guī)劃數(shù)據(jù)挖掘工具的使用目的：為了方便恢復(fù)被刪除的ADDS對象。數(shù)據(jù)挖掘工具Dsamain.exe使被刪除的數(shù)據(jù)能夠以卷影復(fù)制服務(wù)VSS備份的ADDS快照方式進行保留?？梢岳幂p型目錄訪問協(xié)議工具，如ldp.exe查看這些快照中的只讀數(shù)據(jù)。規(guī)劃被刪除數(shù)據(jù)的還原策略：決定如何最好地保留刪除的數(shù)據(jù)，使它能夠被還原，從而在需要的時候還原該數(shù)據(jù)。決定數(shù)據(jù)丟失后或者破壞時應(yīng)還原哪個快照。確定了需要恢復(fù)的對象或OU，可以在快照中標(biāo)識并記錄它們的屬性和返回鏈接?？紤]快照的安全問題，制訂恢復(fù)計劃。133.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色8．規(guī)劃ADDS審核在WindowsServer2008中，全局審核策略“審核目錄服務(wù)訪問”默認啟動。該策略控制啟用還是禁用目錄服務(wù)事件的審核。審核：記錄事件寫入“安全性”事件日志以及如何響應(yīng)事件。DS訪問DS改變DS復(fù)制審核DS復(fù)制被進一步細分，提供兩個審核級別的選擇：正常和詳細。如何響應(yīng)事件：“將任務(wù)附加到該事件”。143.1.1介紹WindowsServer2008目錄服3.1.2規(guī)劃域和林功能將域和林升級到WindowsServer

2008時，總會提升域和林的功能級別。提升功能級別非常容易，但是不可能降低它們，除了卸載重裝。要規(guī)劃需要為域設(shè)置什么功能級別以及什么時候提升功能，需要知道每個功能級別支持什么DC以及提升功能級別提供哪些附加功能，還需要知道域和林功能級別之間的關(guān)系。域功能級別考慮因素林功能級別考慮因素153.1.2規(guī)劃域和林功能將域和林升級到WindowsSe3.1.3規(guī)劃林級信任林信任（即林級信任）允許一個林中的每個域信任另一個林中的每個域?？梢允菃蜗騻魅胄湃?、單向傳出信任或雙向信任。應(yīng)用：伙伴公司或密切聯(lián)系的組織之間可以使用林信任。林信任可能構(gòu)成并購或者接管戰(zhàn)略的組成部分。對AD隔離也可以使用林信任。163.1.3規(guī)劃林級信任林信任（即林級信任）允許一個林中的每1．規(guī)劃信任類型和信任方向類型：林信任：最常見的跨林運作的信任類型?？旖莘绞叫湃瓮獠啃湃危毫种械囊粋€域需要與一個不屬于林的域建立信任關(guān)系，則建立一個域信任。領(lǐng)域信任：Unix領(lǐng)域和Windows域之間，通過Kerberos身份驗證，建立信任。信任方向：單向（傳入、傳出）、雙向3.1.3規(guī)劃林級信任171．規(guī)劃信任類型和信任方向3.1.3規(guī)劃林級信任173.1.3規(guī)劃林級信任2．創(chuàng)建林信任在創(chuàng)建前，需要確保兩個林的林功能級別是WindowsServer2003或WindowsServer2008。下一步是確保每個林的根域可以訪問其他林的根域。從“管理工具”中打開“ActiveDirectory域和信任關(guān)系”。啟動“新建信任向?qū)А薄?83.1.3規(guī)劃林級信任2．創(chuàng)建林信任18本課小結(jié)WindowsServer2008引入許多新的ADDS功能，包括RODC、多元安全策略和數(shù)據(jù)挖掘工具等。在分支辦公室中，如果可寫入的DC可能成為一種安全威脅，則可以安裝RODC來改進登錄和DNS解析。可以配置PSO以存儲不同于域策略的密碼和賬戶鎖定策略，可以將用戶和安全組與一個PSO關(guān)聯(lián)。數(shù)據(jù)挖掘工具使被刪除的ADDS或ADLDS數(shù)據(jù)能夠以VSS獲得的ADDS快照方式保留下來。WindowsServer2008增強了MMC管理單元工具的功能。增強了ADDS審核功能，允許判定ADDS發(fā)生了什么改變以及這些改變是何時發(fā)生的。林級信任允許一個林中的某個域的用戶訪問另一個林中的某個域中的資源。19本課小結(jié)WindowsServer2008引入許多新第2課WindowsServer2008組策略組策略通過自動完成很多與用戶和計算機管理相關(guān)的任務(wù)來簡化管理?？梢允褂媒M策略在客戶端按需安裝允許的應(yīng)用程序，并使應(yīng)用程序保持更新。在WindowsServer2008中，組策略管理控制臺（GPMC）是內(nèi)置的。通過“添加功能向?qū)А笨梢园惭bGPMC。管理模板（ADM）文件用來描述基于注冊表的組策略設(shè)置。在WindowsServer2008中ADM文件被替換為XML格式的ADMX文件，使管理更加容易。20第2課WindowsServer2008組策略組策略通第2課WindowsServer2008組策略學(xué)習(xí)目標(biāo)：了解組策略，安裝GPMC列舉WindowsServer2008引入的新的組策略設(shè)置和說明它們的功能編寫簡單的ADMX文件討論配置組策略時可能發(fā)生的各種問題以及如何解決它們21第2課WindowsServer2008組策略學(xué)習(xí)目3.2.1了解組策略組策略對象（GPO）中包含的組策略設(shè)置可以鏈接到OU，而OU既可以從父OU繼承設(shè)置，也可以阻斷繼承，并從它們自己鏈接的GPO獲得特定的設(shè)置。策略（特別是安全策略）可以設(shè)置為“不覆蓋”，使它們不能被阻斷或覆蓋，并強制子OU從父OU繼承設(shè)置。223.2.1了解組策略組策略對象（GPO）中包含的組策略設(shè)置WindowsServer2008引入了下列組策略設(shè)置：允許遠程啟動未列出的程序允許時間區(qū)域重定向在連接時始終顯示桌面磁盤診斷：配置自定義警告文本、配置執(zhí)行級別不允許剪貼板重定向登錄時不自動顯示初始配置任務(wù)窗口登錄時不顯示服務(wù)器管理器頁面實施遠程桌面墻紙的刪除組策略管理編輯器……3.2.1了解組策略23WindowsServer2008引入了下列組策略設(shè)置：3.2.2規(guī)劃和管理組策略規(guī)劃組策略的部分工作是規(guī)劃組織結(jié)構(gòu)。保持結(jié)構(gòu)簡單，不要跨站點邊界鏈接OU和GPO，賦予OU和GPO有意義的名稱。充分了解組策略在客戶端是如何處理的。處理分如下兩個階段：核心處理：核心組策略引擎在初始階段處理。連接DC，是否有GPO被修改，以及哪些策略設(shè)置必須處理。客戶端擴展（CSE）處理：從DC下來的組策略設(shè)置被放到了不同的分類，每個分類的設(shè)置都有一個特定的CSE處理。核心組策略引擎調(diào)用所需的CSE來處理客戶端應(yīng)用的設(shè)置。243.2.2規(guī)劃和管理組策略規(guī)劃組策略的部分工作是規(guī)劃組織結(jié)3.2.2規(guī)劃和管理組策略1．使用ADMX文件管理組策略ADMX是用來定義注冊表的策略設(shè)置。使用基于XML的文件格式。ADMX文件分為語言中立資源（.admx文件）和語言特定的資源（.adml文件）。2．ADMX位置ADMX文件可以存儲在一個中心位置。這就大大減少了維護GPO所需的存儲空間。中心存儲位置不是默認可用的，而是需要人工創(chuàng)建它。253.2.2規(guī)劃和管理組策略1．使用ADMX文件管理組策略23.2.2規(guī)劃和管理組策略3．創(chuàng)建自定義的ADMX文件如果WindowsSerer2008所帶的標(biāo)準(zhǔn)組策略設(shè)置不能滿足要求，可以考慮創(chuàng)建自定義的ADMX文件。ADMX修改注冊表。所以要在隔離的試驗網(wǎng)絡(luò)上對自定義的ADMX文件進行測試，不能把它們直接安裝到生產(chǎn)網(wǎng)絡(luò)上。使用XML編輯器或文本編輯器可以創(chuàng)建和編輯ADMX文件。XML文件是區(qū)分大小寫的。263.2.2規(guī)劃和管理組策略3．創(chuàng)建自定義的ADMX文件263.2.3組策略疑難解答組策略是健壯的，幾乎不會break。由于策略繼承和OU結(jié)構(gòu)設(shè)計得不正確，組策略會不起作用。調(diào)試組策略的第一步，通常是檢查正確地規(guī)劃和實現(xiàn)了域基礎(chǔ)結(jié)構(gòu)。確保所需的服務(wù)和組件都如期望的那樣運行和配置。如果某一個有問題，首先驗證是否被連入網(wǎng)絡(luò)，加入了域，具有正確的系統(tǒng)時間。其次檢查你配置的安全篩選等設(shè)置有沒有影響正常的GPO處理。273.2.3組策略疑難解答組策略是健壯的，幾乎不會break3.2.3組策略疑難解答1．使用組策略工具GPResult.exe：驗證對某個特定用戶或計算機起作用的所有策略設(shè)置。GPOTool.exe：一個資源工具包，檢查域的每個DC上的GPO一致性，以及確定這些策略是否有效，顯示有關(guān)復(fù)制的GPO的詳細信息。2．解決核心處理問題如果核心處理沒有快速有效地發(fā)生，CSE處理可能無法開始，組策略得不到應(yīng)用。283.2.3組策略疑難解答1．使用組策略工具2．解決核心處理本課小結(jié)GPMC與WindowsServer2008緊密集成，使用服務(wù)器管理器可以安裝該工具。WindowsServer2008引入了許多組策略設(shè)置，特別是與TS服務(wù)器角色有關(guān)的設(shè)置。ADMX語言中立和語言特定的文件定義WindowsServer2008域中可配置的組策略設(shè)置。這些文件可以存儲在DC上的一個中心存儲位置，需要在某個DC上創(chuàng)建該中心存儲位置。DFSR把它復(fù)制到域中的其他DC。有各種各樣的工具可以幫助解決組策略問題，其中最有用的是使用GPMC保存GPO報告的功能。29本課小結(jié)GPMC與WindowsServer2008緊本章小結(jié)P1343.1.5本課小結(jié)P1523.2.5本課小結(jié)P154本章小結(jié)P1343.1.6復(fù)習(xí)題P1523.2.6復(fù)習(xí)題P154關(guān)鍵術(shù)語30本章小結(jié)P1343.1.5本課小結(jié)30第3章ActiveDirectory和組策略規(guī)劃基礎(chǔ)結(jié)構(gòu)服務(wù)服務(wù)器角色規(guī)劃和實現(xiàn)組策略方案本章課程設(shè)置：第1課WindowsServer2008ActiveDirectory第2課WindowsServer2008

組策略31第3章ActiveDirectory和組策略規(guī)劃基礎(chǔ)結(jié)第1課windowsServer2008AD學(xué)習(xí)目標(biāo)：列舉和描述WindowsServer2008ActiveDirectory域服務(wù)（ADDS）的新特征和功能規(guī)劃和配置域功能級別規(guī)劃林功能級別規(guī)劃林信任使用目錄服務(wù)器32第1課windowsServer2008AD學(xué)習(xí)目標(biāo)3.1.1介紹WindowsServer2008目錄服務(wù)器角色目錄服務(wù)器角色ADDS引入的新功能：只讀域控制器RODC新的和增強的工具和向?qū)В篈DDS安裝向?qū)Ъ毣陌踩呗裕憾嘣艽a策略可重啟的ADDS：允許離線操作ADDS數(shù)據(jù)挖掘工具：可查看快照數(shù)據(jù)333.1.1介紹WindowsServer2008目錄服務(wù)3.1.1介紹WindowsServer2008目錄服務(wù)器角色1．只讀域控制器RODCRODC是具有ActiveDirectory文件庫只讀版本的域控制器，可部署于域控制器安全性無法確保的環(huán)境中。包括域控制器的物理安全性有疑慮的分支機構(gòu)，或者具有額外角色功能并需要其他用戶登入與管理服務(wù)器的域控制器?？梢园裄ODC管理委派給一個域用戶或安全組，從而在本地管理員不是DomainAdmins組成員的地方使用RODC。343.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色使用案例：遠程分公司的用戶，一般通過廣域網(wǎng)WAN連接到總公司的DC進行身份驗證。缺點：延遲或不能登錄。怎么解決？可寫的DC?存放一個可寫的DC和一個管理員，浪費太大。存放一個可寫的DC，讓管理員遠程管理，帶寬低，費時又棘手。存放一個可寫的DC不如WAN安全。RODC解決方案：RODC提供了增強的安全性；使登錄更快速，并且允許更有效地訪問本地資源；RODC管理可以委派給一個沒有管理權(quán)限的用戶或組。353.1.1介紹WindowsServer2008目錄服1．只讀域控制器RODC如果分公司使用的LOB（line-of-business）業(yè)務(wù)應(yīng)用程序只有安裝到一個域控制器上才能運行，也要選擇部署RODC。RODC從一個可寫DC接收它的配置。敏感的安全信息不被復(fù)制到RODC。用戶在分公司第一次登錄時通過WAN進行身份確認，然后RODC可以把憑證緩存，以后就可以在本地驗證。因此，在用戶相對較少，物理安全性差，網(wǎng)絡(luò)帶寬較低，IT知識貧乏的環(huán)境下，可以采用RODC。提供了只讀ADDS數(shù)據(jù)庫、單向復(fù)制、憑證緩存、管理員角色分離、只讀DNS（不支持客戶更新）等功能。3.1.1介紹WindowsServer2008目錄服務(wù)器角色361．只讀域控制器RODC3.1.1介紹WindowsSer3.1.1介紹WindowsServer2008目錄服務(wù)器角色2．規(guī)劃RODC實現(xiàn)條件：遠程啟動Server2008升級或有一個2008的ADDS域，即可計劃實現(xiàn)RODC。RODC安裝的兩個階段：第一階段：為該域中的RODC創(chuàng)建計算機賬戶時，可以為特定的RODC規(guī)定密碼復(fù)制策略。在RODC上安裝DNS實現(xiàn)一個輔助的DNS服務(wù)器，可以復(fù)制該DNS使用的所有應(yīng)用程序目錄分區(qū)?？蛻舾聰?shù)據(jù)，可以請求單一更新DNS。第二階段：安裝373.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色3．利用安裝向?qū)г鰪姽δ躓indowsServer2008增加了ADDS安裝向?qū)?，以簡化ADDS安裝，并引入了RODC安裝等新特征。單擊“添加角色”輸入命令dcpromo高級模式安裝使你能夠更好地控制安裝過程。383.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色4．委派RODC安裝在總公司DC中，可以委派合適的權(quán)限給一個用戶或組。分支辦公室的用戶接受了委派權(quán)限后，就可以執(zhí)行RODC的安裝，并可以管理RODC，但不需要域管理員權(quán)限。過程：首先創(chuàng)建RODC賬戶；安裝過程中就可以關(guān)聯(lián)/委派。393.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色5．利用MMC管理單元增強功能WindowsServer2008增強了MMC管理單元工具（如AD用戶和計算機）的功能。查找命令：該命令允許查找放置DC的站點?？梢詭椭鉀Q復(fù)制問題。提供配置“密碼復(fù)制策略”選項卡，用于配置RODC的設(shè)置。單擊“高級”按鈕，可以查看哪些密碼已被發(fā)送或存儲到RODC中，也就知道誰在使用RODC。403.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色6．規(guī)劃多元密碼和帳戶鎖定策略以前的ActiveDirectory實現(xiàn)中，只能對域中的所有用戶應(yīng)用一個密碼和帳戶鎖定策略。WindowsServer2008允許規(guī)定多元密碼策略?？梢砸?guī)定多個密碼策略，并對單個域中的不同用戶組應(yīng)用不同的密碼限制和賬戶鎖定策略。密碼設(shè)置容器（PSC）密碼設(shè)置對象（PSO）通常，規(guī)劃的策略可以包含至少3個但不能多于10個PSO。不能直接將PSO應(yīng)用于組織單元OU。而考慮為這些OU創(chuàng)建影子組（全局安全組），然后應(yīng)用PSO。413.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色6．規(guī)劃多元密碼和帳戶鎖定策略將PSO應(yīng)用于組而不是OU，可以不用修改OU層次結(jié)構(gòu)，組為管理各用戶集提供了更好的靈活性。使用多元密碼，需要具有2008域功能級別。只有域管理組的成員才可以創(chuàng)建PSO，以及將一個PSO應(yīng)用于某個組或用戶。多元密碼策略只能應(yīng)用于用戶對象和全局安全組，不能應(yīng)用于計算機對象。多元密碼策略不能干預(yù)自定義的密碼篩選器。PSO分配給一個全局組后，可以把一個特殊的PSO直接應(yīng)用于特定的用戶?？梢杂媱澪啥嘣艽a管理。423.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色7．規(guī)劃數(shù)據(jù)挖掘工具的使用目的：為了方便恢復(fù)被刪除的ADDS對象。數(shù)據(jù)挖掘工具Dsamain.exe使被刪除的數(shù)據(jù)能夠以卷影復(fù)制服務(wù)VSS備份的ADDS快照方式進行保留?？梢岳幂p型目錄訪問協(xié)議工具，如ldp.exe查看這些快照中的只讀數(shù)據(jù)。規(guī)劃被刪除數(shù)據(jù)的還原策略：決定如何最好地保留刪除的數(shù)據(jù)，使它能夠被還原，從而在需要的時候還原該數(shù)據(jù)。決定數(shù)據(jù)丟失后或者破壞時應(yīng)還原哪個快照。確定了需要恢復(fù)的對象或OU，可以在快照中標(biāo)識并記錄它們的屬性和返回鏈接?？紤]快照的安全問題，制訂恢復(fù)計劃。433.1.1介紹WindowsServer2008目錄服3.1.1介紹WindowsServer2008目錄服務(wù)器角色8．規(guī)劃ADDS審核在WindowsServer2008中，全局審核策略“審核目錄服務(wù)訪問”默認啟動。該策略控制啟用還是禁用目錄服務(wù)事件的審核。審核：記錄事件寫入“安全性”事件日志以及如何響應(yīng)事件。DS訪問DS改變DS復(fù)制審核DS復(fù)制被進一步細分，提供兩個審核級別的選擇：正常和詳細。如何響應(yīng)事件：“將任務(wù)附加到該事件”。443.1.1介紹WindowsServer2008目錄服3.1.2規(guī)劃域和林功能將域和林升級到WindowsServer

2008時，總會提升域和林的功能級別。提升功能級別非常容易，但是不可能降低它們，除了卸載重裝。要規(guī)劃需要為域設(shè)置什么功能級別以及什么時候提升功能，需要知道每個功能級別支持什么DC以及提升功能級別提供哪些附加功能，還需要知道域和林功能級別之間的關(guān)系。域功能級別考慮因素林功能級別考慮因素453.1.2規(guī)劃域和林功能將域和林升級到WindowsSe3.1.3規(guī)劃林級信任林信任（即林級信任）允許一個林中的每個域信任另一個林中的每個域。可以是單向傳入信任、單向傳出信任或雙向信任。應(yīng)用：伙伴公司或密切聯(lián)系的組織之間可以使用林信任。林信任可能構(gòu)成并購或者接管戰(zhàn)略的組成部分。對AD隔離也可以使用林信任。463.1.3規(guī)劃林級信任林信任（即林級信任）允許一個林中的每1．規(guī)劃信任類型和信任方向類型：林信任：最常見的跨林運作的信任類型?？旖莘绞叫湃瓮獠啃湃危毫种械囊粋€域需要與一個不屬于林的域建立信任關(guān)系，則建立一個域信任。領(lǐng)域信任：Unix領(lǐng)域和Windows域之間，通過Kerberos身份驗證，建立信任。信任方向：單向（傳入、傳出）、雙向3.1.3規(guī)劃林級信任471．規(guī)劃信任類型和信任方向3.1.3規(guī)劃林級信任173.1.3規(guī)劃林級信任2．創(chuàng)建林信任在創(chuàng)建前，需要確保兩個林的林功能級別是WindowsServer2003或WindowsServer2008。下一步是確保每個林的根域可以訪問其他林的根域。從“管理工具”中打開“ActiveDirectory域和信任關(guān)系”。啟動“新建信任向?qū)А薄?83.1.3規(guī)劃林級信任2．創(chuàng)建林信任18本課小結(jié)WindowsServer2008引入許多新的ADDS功能，包括RODC、多元安全策略和數(shù)據(jù)挖掘工具等。在分支辦公室中，如果可寫入的DC可能成為一種安全威脅，則可以安裝RODC來改進登錄和DNS解析?？梢耘渲肞SO以存儲不同于域策略的密碼和賬戶鎖定策略，可以將用戶和安全組與一個PSO關(guān)聯(lián)。數(shù)據(jù)挖掘工具使被刪除的ADDS或ADLDS數(shù)據(jù)能夠以VSS獲得的ADDS快照方式保留下來。WindowsServer2008增強了MMC管理單元工具的功能。增強了ADDS審核功能，允許判定ADDS發(fā)生了什么改變以及這些改變是何時發(fā)生的。林級信任允許一個林中的某個域的用戶訪問另一個林中的某個域中的資源。49本課小結(jié)WindowsServer2008引入許多新第2課WindowsServer2008組策略組策略通過自動完成很多與用戶和計算機管理相關(guān)的任務(wù)來簡化管理?？梢允褂媒M策略在客戶端按需安裝允許的應(yīng)用程序，并使應(yīng)用程序保持更新。在WindowsServer2008中，組策略管理控制臺（GPMC）是內(nèi)置的。通過“添加功能向?qū)А笨梢园惭bGPMC。管理模板（ADM）文件用來描述基于注冊表的組策略設(shè)置。在WindowsServer2008中ADM文件被替換為XML格式的ADMX文件，使管理更加容易。50第2課WindowsServer2008組策略組策略通第2課WindowsServer2008組策略學(xué)習(xí)目標(biāo)：了解組策略，安裝GPMC列舉WindowsServer2008引入的新的組策略設(shè)置和說明它們的功能編寫簡單的ADMX文件討論配置組策略時可能發(fā)生的各種問題以及如何解決它們51第2課WindowsServer2008組策略學(xué)習(xí)目3.2.1了解組策略組策略對象（GPO）中包含的組策略設(shè)置可以鏈接到OU，而OU既可以從父OU繼承設(shè)置，也可以阻斷繼承，并從它們自己鏈接的GPO獲得特定的設(shè)置。策略（特別是安全策略）可以設(shè)置為“不覆蓋”，使它們不能被阻斷或覆蓋，并強制子OU從父OU繼承設(shè)置。523.2.1了解組策略組策略對象（GPO）中包含的組策略設(shè)置WindowsServer2008引入了下列組策略設(shè)置：允許遠程啟動未列出的程序允許時間區(qū)域重定向在連接時始終顯示桌面磁盤診斷：配置自定義警告文本、配置執(zhí)行級別不允許剪貼板重定向登錄時不自動顯示初始配置任務(wù)窗口登錄時不顯示服務(wù)器管理器頁面實施遠程桌面墻紙的刪除組策略管理編輯器……3.2.1了解組策略53WindowsServer2008引入了下列組策略設(shè)置：3.2.2規(guī)劃和管理組策略規(guī)劃組策略的部分工作是規(guī)劃組織結(jié)構(gòu)。保持結(jié)構(gòu)簡單，不要跨站點邊界鏈接OU和GPO，賦予OU和GPO有意義的名稱。充分了解組策略在客戶端是如何處理的。處理分如下兩個階段：核心處理：核心組策略引擎在初始階段處理。連接DC，是否有GPO被修改，以及哪些策略設(shè)置必須