超级会员免费看
Windows Server 2008 活动目录的安全与架构管理
1. 域的安全策略
在企业环境中,不同的域可以设置不同的安全级别。例如,可以强制某个域(如 MCPD 域)的所有用户使用带有长加密密码的智能卡登录,而其他域则可以使用短而简单的密码。具体的安全策略包括:
-
域密码策略
:这是最终的安全资源,规定了每个域中的密码使用规则。
-
账户锁定策略
:规定了入侵检测和账户关闭的情况。
-
Kerberos 票据策略
:每个域都有自己的 Kerberos 票据生命周期和更新规则。
2. 信息隐藏与资源发布
独立的域可以对目录进行分区,有助于选择性地发布和隐藏资源。活动目录允许发布资源,并为用户提供不同的目录服务视图。通过独立的域来实现信息的发布和隐藏比在域本身中发布更为关键。对象的暴露首先在域级别确定,然后在组织单位(OU)级别确定。
3. 目录的有效分区
活动目录的优势在于它支持分区和分布式部署,能够扩展以支持数十亿个对象(账户、OU 和自定义对象)。对于拥有数万名用户的企业,不进行更深层次的域结构分区是不利于管理的。需要创建的对象越多,域结构可能就越深或越宽。
4. 域分区的优缺点
4.1 优点
- 明确的安全边界 :不同的域可以有不同的安全设置。
- 组策略、安全和委派只需定义一次 :减少了重复工作。
- 减少文件复制系统流量 :因为需要复制的更改较少。
- 减少域网络流量 :同样是由于需要复制的更改较少。
4.2 缺点
- 组策略、安全和委派需要在每个域中定义 :增加了管理成本。
- 管理多个域的行政开销 :需要更多的人力和时间。
- 增加全局编录(GC)复制 :由于域数量的增加。
- 将用户从一个域移动到另一个域比从一个 OU 移动到另一个 OU 更耗费行政精力 :增加了管理的复杂性。
- 增加 GC 大小 :占用更多的系统资源。
5. 组织单位(OU)和组
在 Windows Server 2008 中,域的组织分为两个级别:OU 和组。组是安全主体,包含用户和计算机账户,必须经过身份验证才能访问域中的安全资源。而 OU 不是安全主体,主要用于结构化和分区域,并应用组策略。
5.1 OU 的创建建议
- 按关键管理实体(KME)创建 :而不是单纯按照部门划分。例如,对于大型销售部门,根据其包含的多个 KME 创建多个 OU 更为合理。
- 嵌套 OU 的条件 :只有当父 OU 较大且包含子 OU 时才进行嵌套。例如,在财务部门 OU 中,可以为应付账款、应收账款等创建子 OU。
- 合并重叠的 KME :将重叠的 KME 合并到一个 OU 中。
- 用组填充 OU :而不是单个账户,这样可以更好地管理资源访问。
以下是一个简单的 mermaid 流程图,展示 OU 创建的流程:
graph LR
A[开始] --> B{按 KME 划分?}
B -- 是 --> C{KME 大且有子 KME?}
C -- 是 --> D[嵌套 OU]
C -- 否 --> E[创建 OU]
B -- 否 --> F[重新按 KME 分析]
E --> G{有重叠 KME?}
G -- 是 --> H[合并到一个 OU]
G -- 否 --> I[用组填充 OU]
D --> I
H --> I
I --> J[结束]
F --> B
6. 组的使用
在按 KME 创建 OU 后,OU 的管理员可以与 OU 领导或成员一起确定 OU 所需的资源。建议用组而不是单个账户填充 OU 的层次结构。对于在一个 OU 工作但需要访问另一个 OU 组的用户,可以将其“二次分配”到该组,而无需移动用户账户。用户和计算机账户在目录中只能位于一个位置,但用户可能有多个职责,因此会出现在多个组中。用户账户的属性通常设置一次后很少更改,因此可以将用户账户放在根 OU、一个 OU(如 HR)或多个根 OU 中,只要确保它们与所需的组策略对象(GPO)相关联即可。
7. 分区的安全保障
Windows Server 2008 使管理员能够在大型企业中高效地管理域分区。新的凭据管理器提供了用户凭据和证书的安全存储。当用户计算机通过 NTLM 或 Kerberos 请求身份验证时,UI 对话框中会出现“更新默认凭据”或“保存密码”复选框,使凭据管理器能够跟踪用户的姓名、密码和相关信息。下次访问时,凭据管理器会自动提供存储的凭据。信任关系也简化了跨域安全问题。如果两个 Windows Server 2008 分区或林通过信任关系连接,身份验证请求可以在分区之间路由,从而实现资源的无缝共存。
8. 组策略管理控制台
Windows Server 2008 引入了新的组策略管理解决方案,将所有组策略管理集成到一个简化的控制台中。集成的工具包括:
-
Active Directory 用户和计算机管理单元
-
Active Directory 站点和服务管理单元
-
策略结果集管理单元
-
访问控制列表(ACL)编辑器
-
委派向导
这些工具使管理员能够在控制台内执行所有必要的核心组策略任务。组策略管理控制台的优点包括:
-
组策略对象的备份/恢复
-
GPO 和 Windows 管理规范(WMI)过滤器的导入/导出和复制/粘贴
-
GPO 设置和策略结果集(RSoP)数据的 HTML 报告
:支持打印、保存和只读访问 GPO。
-
组策略操作的脚本编写
此外,组策略管理控制台还支持通过拖放功能跨域分区进行管理。
以下是一个表格总结组策略管理控制台的优点:
| 优点 | 描述 |
| ---- | ---- |
| 备份/恢复 | 可以对组策略对象进行备份和恢复操作 |
| 导入/导出和复制/粘贴 | 方便 GPO 和 WMI 过滤器的管理 |
| HTML 报告 | 提供详细的设置和数据报告,支持多种操作 |
| 脚本编写 | 支持组策略操作的脚本编写 |
Windows Server 2008 活动目录的安全与架构管理
9. 活动目录物理架构概述
活动目录的物理结构包括森林、信任关系、域控制器、全局编录、站点等。了解这些元素之间的关系以及它们在不同操作系统中的演变,对于构建和管理 Windows Server 2008 网络至关重要。
10. 过去、现在和未来的网络架构
过去的操作系统对其部署的底层物理网络结构缺乏感知。在小型甚至中型公司中,网络布局、互连点、子网和远程办公室等要么在 Windows NT 普及之前就已规划好,要么独立于依赖它们的网络操作系统进行安装。
传统网络通常将服务器部署在 1000Mbps 的骨干网络上,楼层之间也使用 1000Mbps 介质,然后将网络扩展到 20 - 100Mbps 的用户端。Windows NT 对网络速度没有内置的适配机制,无论网络是 10Mbps 还是 10000Mbps,它都无法根据可用资源进行优化。
然而,Windows Server 2008 的物理结构和相关技术,如多主复制技术、全局编录服务、公钥基础设施、目录同步和 Kerberos 身份验证等,需要根据物理网络资源进行合理构建。幸运的是,该操作系统允许构建逻辑网络并将其映射到当前或未来的物理网络,通过活动目录服务,可以将 Windows Server 2008 的部署与可用网络相匹配,实现两者的统一协作。
11. 从 Windows NT 到 Windows Server 2008 的转变
Windows NT 依赖于单个主域控制器(PDC),它持有域配置、账户和安全等的主数据库。PDC 是唯一可写入数据库的域控制器,如果 PDC 出现故障,网络将无法对域进行更改。
为了备份 PDC,旧的 1990 年代域使用备份域控制器(BDC)。BDC 可以处理登录身份验证和安全等任务,但无法编辑其数据库。要进行数据库编辑,需要将 BDC 提升为 PDC。因此,PDC 和 BDC 处于单主或主从架构中。无论在 Windows NT 网络的何处进行域更改,这些更改都会保存到 PDC,然后 PDC 将信息复制到各个 BDC。这种同步管理方式缺乏灵活性。
在 Windows NT 时代,通常每个远程位置有一个 BDC,本地网段有一到两个 BDC。PDC 独立于 BDC 运行。如果 BDC 出现故障,本地用户将难以进行身份验证或使用网络资源;如果本地网段与持有 PDC 的办公室失去连接,用户将陷入困境。以下是 Windows NT 单主域结构的示意图:
graph LR
A[PDC] --> B[BDC]
A --> C[BDC]
A --> D[BDC]
12. Windows Server 2008 的改进
与 Windows NT 不同,Windows Server 2008 采用了多主复制技术,允许多个域控制器同时写入数据库,提高了系统的可用性和容错能力。全局编录服务提供了对整个森林中对象的快速搜索,减少了用户查找资源的时间。
在 Windows Server 2008 中,域控制器之间的复制更加高效,能够根据网络拓扑和带宽进行优化。站点的概念被引入,用于将网络划分为不同的物理区域,每个站点可以有自己的域控制器和全局编录,从而减少了跨站点的复制流量。
13. 森林和信任关系
森林是活动目录的最高层次结构,由一个或多个域组成。森林中的所有域共享相同的架构和配置命名上下文,并且可以通过信任关系进行通信。信任关系允许一个域中的用户访问另一个域中的资源。
Windows Server 2008 支持多种类型的信任关系,包括单向信任、双向信任、林信任和外部信任。不同类型的信任关系适用于不同的网络场景,管理员可以根据企业的需求进行配置。以下是信任关系类型的列表:
-
单向信任
:一个域信任另一个域,但反之不成立。
-
双向信任
:两个域相互信任。
-
林信任
:两个森林之间的信任关系。
-
外部信任
:用于与非 Windows 域或不同森林中的域建立信任。
14. 域控制器和全局编录
域控制器是活动目录的核心组件,负责存储和管理域的数据库。每个域至少有一个域控制器,并且可以有多个域控制器以提高可用性和容错能力。
全局编录是一个特殊的域控制器,它存储了森林中所有对象的部分属性,用于快速搜索和身份验证。全局编录可以减少用户查找资源的时间,特别是在跨域环境中。
在 Windows Server 2008 中,管理员可以根据网络拓扑和用户需求合理部署域控制器和全局编录。例如,在大型企业中,可以在每个站点部署一个或多个域控制器和全局编录,以减少跨站点的复制流量和提高用户访问速度。
15. 站点和活动目录复制
站点是活动目录中的一个重要概念,用于将网络划分为不同的物理区域。每个站点可以有自己的域控制器和全局编录,并且可以根据网络带宽和延迟进行优化。
活动目录复制是确保域控制器之间数据一致性的过程。在 Windows Server 2008 中,复制采用了多主复制技术,允许多个域控制器同时写入数据库。复制过程根据站点拓扑和连接性进行优化,以减少跨站点的复制流量。
管理员可以通过配置站点链接和站点链接桥来控制复制流量。站点链接定义了两个站点之间的复制路径和频率,站点链接桥用于连接多个站点链接。以下是活动目录复制的简单流程:
graph LR
A[源域控制器] --> B[复制到目标域控制器]
B --> C{是否跨站点?}
C -- 是 --> D[通过站点链接复制]
C -- 否 --> E[本地复制]
D --> F[更新目标域控制器数据库]
E --> F
16. 总结
创建 Windows Server 2008 域,特别是对于大型和复杂的企业,是一项艰巨的任务。在进行升级或从 NT 域转换之前,强烈建议先对组织进行关键的企业分析,并完成逻辑域结构(LDS)的蓝图设计,该蓝图需要得到整个团队和管理层的批准。此外,在进行实际部署之前,还需要在实验室中进行充分的测试,并确定物理域结构(PDS)。通过合理规划和管理活动目录的安全和架构,可以提高网络的可用性、安全性和性能,满足企业的业务需求。
扫一扫
37
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
