鸿 网 互 联 www.68idc.cn

WindowsServer2008下高效域管理体验

来源:互联网 作者:佚名 时间:2015-06-02 23:57
域是微软局域网解决方案的重要组成部分 几乎每一个Windows Server版本的发布都会在域方面有非常大的改进和提升 作为微软最新版本的Windows Server 会带给我们什么样的域体验呢?下面笔者结合实例 和大家分享几个基于Windows Server 域的新应用 希望这些新特性

  域是微软局域网解决方案的重要组成部分几乎每一个Windows Server版本的发布都会在域方面有非常大的改进和提升作为微软最新版本的Windows Server 会带给我们什么样的域体验呢?下面笔者结合实例和大家分享几个基于Windows Server 域的新应用希望这些新特性会带给大家不同的域管理体验

  部署只读域控制器

  域控制器(DC)的安全特别是其物理安全让管理员颇为担心在Windows Server 中新增了一种特殊的域控制器即只读域控制器(RODC)借助RODC我们可以在无法保证物理安全性的网络节点中部署只读域控制器这样不仅能够提升其安全性而且可以实现更快的登录以及更加有效地访问网络资源

  在Windows Server 中要部署一台只读域控制器(RODC)是非常简单的比如我们要将域中的一台Windows Server 主机部署成只读域控制器可以进行这样的操作首先以管理员用户登录该主机然后以Administrator身份允许命令提示符接下来执行命令dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname: /sitename=defaultfirstsitename /safemodeadminpassword:ctocio!即可其中/replicadomaindnsname:指定域名/safemodeadminpassword:ctocio!设置域控制器管理员的密码为ctocio!

  需要说明的是在安装获得目录(AD)的过程中还将同时安装并配置DNS以及为活动目录的恢复模式设置管理员密码另外在安装过程中一定要主要查看屏幕中木马复制策略的输出除此之外其它的设置我们可以保持默认在活动目录安装完毕后系统将会重新启动系统重启后该主机就成为一台只读域控制器(RODC)

  管理角色的分离

  管理角色分离是只读域控制器(RODC)的一个重大的特征我们可以指定一个域用户到RODC上的角色而而无需授予该用户对该域或其他域控制器的任何用户权限其实这些角色非常类似于本地组通过这一功能我们可以为分支机构的RODC指派管理员进行日常维护(如磁盘碎片的整理等)而不需要给他域管理员用户名和密码这么做的好处是非常明显的首先可以解放管理员实现DC管理任务的分配;另外会大大地提升域的安全性因为授权用户只能执行指定的操作而不会危害到域中其他部分的安全同时也避免了时刻使用管理员用户进行DC管理因误操作而造成破坏的风险

  我们在一台只读域控制器(RODC)上执行管理角色的分离操作以管理员身份登录该主机运行管理员身份的命令提示符接下依次执行如下命令

  NTDSUTIL

  Local Roles

  Add \jp Administrators

  Show Role Administrators

  Quit

  Quit

  (图)

  

  

  图 NTDSUTIL

  简单解释一下上面的命令第一行是进入NTDSUTILexe命令行第二行是进入本地角色设置状态第三行是关键命令即添加用户jp到域的管理员(administrators)组第四行命令是显示角色管理员组的成员第五第六行命令是退出NTDSUTIL工具

  用新账户执行管理操作

  通过上面的操作我们赋予了jp用户对于域的操作权限下面我们验证一下上述操作的有效性以jp用户登录名为SFODC的只读域控制器(RODC)我们首先打开命令提示符工具执行命令whoami /user /groups | find Administrators可以看到域用户jp已经成功扥两个到这台只读域控制器(RODC)并且已经为其本地管理员(图)

  

  图 只读域控

  下面我们执行一个系统管理操作比如格式化该主机的F分区在命令行下执行一个命令Format F: /q可以看到对该只读域控制器(RODC)的F分区的快速格式化操作成功完成这说明我们在刚才在只读域控制器(RODC)执行的管理角色的分离操作是成功了不过要说明的是此用户在域中只是普通域用户只具有域策略赋予的一般权限大家可以试试创建这样的用户然后登录域控制器你会发现登录失败因为一般域用户是无法登录域控制器的

  执行活动目录的脱机维护操作

  我们知道在以前Windows Server版本中如果需要脱机维护活动目录需要重新启动域控制器然后按住F进入活动目录还原模式才能够完成操作但这样做将会影响运行在域控制器上的其它服务例如文件服务打印服务等等是非常不方便的但在Windows Server 我们不需要重新启动就可以停止活动目录域服务然后执行需要需要活动目录脱机才能执行的操作例如对活动目录数据库进行碎片整理移动等等下面笔者在测试环境中进行演示大家可亲身体验一下Windows Server 中的这样新功能

  在命令提示符中输入命令net stop NTDS然后执行会提示您想继续此操作吗?我们输入y然后回车后即可停止获得目录服务接下面我们这些如下的操作对活动目录进行脱机维护

  MD C:\compact

  ntdsutil

  Activate Instance NTDS

  Files

  Compact to C:\compact

  quit

  quit

  Del C:\Windows\NTDS\*log

  Copy /y C:\compact\ntdsdit C:\Windows\NTDS\ntdsdit

  ntdsutil

  Activate Instance ntds

  files

  integrity

  quit

  semantic database analysis

  go fixup

  quit

  quit

  exit

  (图)

  

  图 域维护

  通过上面的命令我们对活动目录进行的脱机操作主要是在C分区创建一个名为compact的目录然后利用ntdsutil工具创建活动目录快照将把经过压缩处理的ntdsdit文件放置到这个文件夹中保存存到C:\compact接下来清除了获得目录中的的log文件并用刚才创建的ntdsdit代替原来的同名文件并执行了获得目录数据库的同步上面所有的针对活动目录的脱机维护我们都是在不重启DC的情况下完成的并且并不影响DC中运行的其他服务可见Windows Server 的这样特性在实际生产中还是非常有用的在完成活动目录的脱机维护后我们在命令提示符下执行net start NTDS将重启活动目录服务其他被停止的相关服务也将在后台被启动至此Windows Server 下活动目录的一次脱机维护快速完成将维护成本降到最低

  总结上面列举的几个实例只是Windows Server 域管理新特性中很小的一部分如果你们部署了基于Windows Server 的AD挖掘和应用好这些新特性一定会极大地提升域管理的效率

网友评论
<