活動目錄在企業中的應用
活動目錄在企業中的應用
它在用戶權限管理,桌面 配置管理,安全設置管理,拓撲結構以及冗余備份機制上的應用是否真正的解決了你在企業IT運維和管理中遇到的實際問題。
本期特邀微軟最有價值專家(MVP)——董君先生,擅長活動目錄以及Exchange產品,作為講師曾主講過涉及活動目錄、Windows Server 2008、以及Exchange等課程的公開培訓、企業培訓以及微軟官方動手實驗營活動,并在TechED2009大會上對Exchange2010進行講解。相信能為學習活動目錄的用戶在學習過程中遇到的實際問題,給予解答。歡迎午飯積極提問,與專家一起討論!
專家博客地址:http://dong8745.blog.51cto.com/
專家家園地址:http://home.51cto.com/index.php?s=/space/43588
本期門診鏈接:http://doctor.51cto.com/develop-186.html
精選本期網友提問與專家解答,以供網友學習參考。
Q:AD中用戶基于漫游,要注意那些方面? 在基于漫游的基礎上的用戶,如果要進行更改登陸名稱,要注意那些方面?
A:你好,在AD中用戶漫游配置文件是個很有用的功能,通過它可以實現用戶在域內不同計算機登陸加載相同配置配置文件的功能,提供了桌面環境的一致性,下面是幾個注意點:
1.漫游配置文件是把配置文件保存在網絡的共享空間中,因此對此共享空間用戶需要有適當的訪問權限,即應該有更改的權限
2.用戶每次登陸和注銷時會從網絡上加載和上傳自己的配置文件,并且隨著使用會占用一部分空間因此建議在部署前針對用戶數量和使用保留出適當的磁盤空間
3.為了保證配置文件的一致性,應該確保網絡暢通,也就是每次注銷時都可以將保存復制到漫游配置文件中,所以建議對共享服務器的網絡配置冗余
4.在設置時可以使用環境變量%username%
5.可以配合使用文件夾重定向,將部分數據量大的文件夾如“我的文檔”重定向到網絡服務器
6.你好,問題2中的用戶名稱我理解的是用戶的顯示名不知是否有誤,更改此名稱不會有影響
Q:董老師:
1。可以通過活動目錄自動添加打印機嗎?要怎么添加?
2。在使用軟件限制策略的時候,如果通過路徑規則進行限制則用戶修改文件名限制就會不起作用,而通過散列規則又需要對每個版本的軟件都進行限制。有什么好的方法嗎?
3。現在有許多網管產品也都擁有網絡管理的功能,比如IPGuard等,而且使用起來更加方便,您覺得活動目錄的優點在哪里?
A:.默認情況我已將打印設備在AD中發布,然后域用戶根據設備描述信息搜索使用;如果需要自動添加打印機必須借助組策略腳本進行推發,可測試后使用。(可根據不同OU的地理位置添加位置最近的打印機)
2.Windows Server 2008 R2的組策略中提供了APPLocker(應用程序限制策略)功能,可以實現基于軟件執行的細化規則并且提供現有軟件版本的向上以及向下版本的限制,限制是客戶端需要配合WIN7使用
3.你好,對這個軟件不了解,不能為你提供橫向的比較。在2008及以后版本中,AD已不再特指活動目錄域服務,而是由5大部分組成:ADDS、ADRMS、ADCS、ADLCS、ADFS,。其實我們不應該將AD作為一個網絡管理軟件去理解。
信息共享。首先AD可以將你組織內的信息整合起來并共享,如員工的電話、部門、直屬關系等,這個優勢在整合其他應用如MOSS、OCS后會更加明顯
權限集中管理。將分散在每個客戶端的權限整合活動目錄域控制器上,在客戶端上對于每個用戶做到嚴格的權限限制,在共享資源上對每個用戶劃分不同的訪問權限等。
設置集中管理。按組織信息進行層次化的管理,通過域策略可以統一企業整體或者單個部門客戶端設置,如統一IE設置,統一桌面環境等。大多數組策略條目實質上是修改客戶端的注冊表文件,因此可以很輕松的實現上述管理設置,并且在每一個新SERVER發布后都會對域策略進行擴展增加更多的功能,如2008中的 QOS、USB設備限制R2中的APPLocker等。并且通過Powershell和腳本可以實現更多的擴展。
其實AD只是微軟服務領域的一個應用,只是處于核心基礎架構的地位。結合Server系統自身的服務,如WSUS實現補丁自動分發,WDS實現操作系統網絡部署等。并且結合微軟其他產品,如虛擬化架構、Exchange、OCS、MOSS、ISA等選擇更成熟的解決方案,解決更多的應用問題。所以如果將微軟產品比作許多同心圓的話,AD是最中間的圓心,外部還會嵌套很多層每一層都能解決更多的問題。
Q:董老師,我向你問個故障現象。今天早晨我司有臺電腦系統壞了,用戶名為A。我給他重裝系統后,用戶名改為B。當我刪除A賬戶時B賬戶也沒有了請問是怎么回事?
A:你好,我的理解是現有域環境中一臺客戶端A系統當掉了直接重裝系統沒有進行退域,所以AD中還殘留計算機賬戶。而后,在原計算機上重裝系統更改計算機名為B后加域,最后在ADUC中刪除A賬戶同時B賬戶也刪除掉了。不知是否有誤。
默認情況下是不會出現此問題的,建議在企業環境中操作系統使用完全安裝方式部署,如果必須使用克隆版請用NEWSID重置。
Q:請問董老師在一個全新的環境安裝活動目錄需要注意什么?如何能夠快速的創建較多的賬戶?
A:部署AD是一個系統化的工程,不同的環境規劃的流程也會不盡相同,下面只是簡單的介紹一下:
1.規劃部署架構。邏輯拓撲上是部署單獨的林根域、多域樹還是父子域。物理拓撲上是單站點還是多站點。是否有分支,分支的規模,部署DC還是RODC等。
2.規劃網絡環境。如名稱空間、保留的IP、主機信息等,如果有防火墻需要確認AD所需的端口已打開。如53 88 389 445等。
3.規劃DC。根據用戶的數量選擇域控制器硬件,建議DC最少2臺以提供冗余和負載,在人員較少的分支可以部署RODC。選擇AD的功能級別,如果沒有特殊需求建議使用較低的級別,如使用Windows Server 2008中顆粒化密碼策略需要將功能級別進行提升。
4.了解環境組織信息以及客戶需求,便于后面ADUC中創建組織架構和設置策略
5.做好備份策略并定期執行健康檢查。
6.成批創建用戶,系統提供了2個命令:CSVDE和LDIFDE,通過編寫規定格式的文件實現用戶的成批導入。當然也可以使用一些工具或者自己編腳本文件,關于腳本文件我曾寫過一篇博文,鏈接如下:http://dong8745.blog.51cto.com/43588/126487
Q:您好,董老師!希望您可以分享如何更好地保障AD安全性的一些工作經驗,謝謝!
A:1.物理安全。有些地方沒有機房DC之類的設備甚至放在辦公間里,所有人都可以接觸到也談不上安全。所以擁有專門的機房,并對機房進出進行嚴格控制是必須的。
2.DC拓撲。比如規模比較大擁有自己IT團隊的分支機構可以部署附加域控制器然后委派一些日常權限,規模比較小IT能力有限的分支機構可以部署只讀域控制器。處于冗余和負載目的應該至少部署一臺主域控制器和一臺附加域控制器。
3.權限控制。AD中的集中管理的權限可以作用到企業全局,不必要的權限會造成更加嚴重的威脅。比如在給用戶不必要的權限如Domain Admins組權限或者本地Adsministrators組的權限后其實也就談不上什么管理和限制了。建議普通用戶隸屬于Domain Users組,對初始Administrator賬戶進行更名并對每個管理員創建唯一的賬戶便于后期配置審核。
4.DC服務器上盡量不要安裝其他軟件。有些軟件會造成DC服務器癱瘓并且不利于后期故障排除。
5.選擇服務器版殺毒軟件,有的軟件殺毒能力很強但是可能會把系統一起干掉,這個用在DC上就不合適了。
6.做好備份。備份是AD安全的最后一道防線,所以日常對DC執行備份計劃是必須的,并保證在其他服務器或異地保留一份備份副本,在墓碑期的對象可以通過adrestore工具恢復,超出墓碑期的用戶可以通過備份執行授權和非授權還原恢復。
7.還有很多,安其實全本身就有一個宏命題涉及到IT的各個方面,這里也只是介紹了一些基本的原則。
Q:董老師: 你好,我看過一些關于AD方面的東西,,不過感覺很難理解,,您可以用比較通俗易懂的語言稍微解釋一下AD么?它都有哪些有點?
A:目錄服務的產品其實有很多,AD特指微軟開發的目錄產品-活動目錄。其實說到AD我們可以將它理解成為一個“電話黃頁”,這個企業內的”電話黃頁”集中保存了企業內部的的IT信息,如用戶、計算機、組、電話號碼、部門等等信息。所謂的林和域就是這個“電話黃頁'包含信息的范圍以及所能查詢到的范圍,基于這些組織起來的信息IT管理員可以完成訪問權限的設置和桌面環境管理的工作。優點可參考2樓回復。#p#
Q:董老師: 我用Windows 2003搭建的AD域,然后使用組策略將我的文檔指定到共享出來的驅動器上面,但為什么我在服務器上無法查看User的我的文檔的內容,顯示存取受限,而我是用administrator操作服務器的。請問是哪地方的設置不對? 因為這樣的話我就沒辦法在服務器端為User做文件備份。 謝謝!
A:你好,出于安全考慮使用重定向后的“我的文檔”只有文檔的所有者即域用戶擁有權限并默認成為創建文檔所有者,管理員需要查看內容必須授予所有者和適合當的訪問權限。使用備份整個服務器的方式可以備份這部分文檔。
Q:請問
1.活動目錄在企業中主要應用在哪里?什么地方的應用最多?比如說gpo?ou?還是?能舉例說明嗎?
2.企業中部署AD域,在部署之前規劃原則大概是怎樣的?能大概談下嗎?如何有效的正確的最簡單化部署AD域環境?
3.您認為AD域中通過ou實施實施組策略管理比好有效一些還是通過組管理更有效一些?為什么?能舉例說明嗎?
謝謝老師的回答~~~期待詳細的答案~~~
A:
1.請參見2樓回復。
2.請參見4樓回復。
3.你好,在AD中組織單元(OU)和組是2個不同的對象,用來完成不同的管理任務,因此不存在誰哪個更有效的問題。OU一般根據你的組織架構創建并且是鏈接組策略對象(GPO)的最小單位(默認執行的優先級最高)便于IT管理員維護客戶端桌面設置;而組一般時一組相似用戶的集合,用來控制訪問權限和登錄訪問等。更多關于AD的知識可以參考9樓的回復。
Q:你好,董老師。剛好這幾天我正在AD呢,是在虛擬機上弄的。弄了好幾次,都是發現自己真的是不懂呢,盡管也在網上剛看了很多這方面的文章,自己也發現我對 server 2003 不是很了解。現在我想把server 2003最基本的功能弄熟悉了,然后在攻讀AD和Exchange。
A: 你好,可以說活動目錄是微軟服務器領域最核心的平臺,首先掌握好AD也是學習微軟產品的最佳入門途徑。就Exchange來說,它的安裝依賴于AD,并且它的架構信息、配置信息以及聯系人信息也都保存在活動目錄數據庫中。
關于學習AD如果條件允許還是建議參加培訓機構課程系統學習。如自學后后面深入學習下面這些資料推薦你看一下:
1.戴有煒編著的《Windows Server 2003 ActiveDirectory 配置指南》《Windows Server 2003網絡專業指南》《Windows Server2003用戶管理指南》三本書,最新的應該是2008版本,很系統的入門教材
2.3本進階讀物 《Windows Server 2008 Unleashed》《 Windows Server 2008 R2 Unleashed》《Windows Server 2008 Active Directory Resource Kit》
3.1本大部頭《WindowsInternals4thEdition》最新是第五版,第四版目前有翻譯成中文的版本
4.視頻資源 Technet Webcast,可以搜索一下早期的視頻資源:http://technet.microsoft.com/zh-cn/dd547417.aspx
5.岳老師的博客,里面有很系統很深入淺出的系列文章: http://yuelei.blog.51cto.com/
Q:你好,如下問題不解,幫解決下,謝謝!
1、DNS服務器日志信息:“DNS 服務器遇到很多運行時間事件。要確定這些運行時間事件的初始原因,請檢查此事件之前的 DNS 服務器事件日志 項。為防止DNS 服務器添加事件日志過快,將取消事件 ID 高于3000 的后續 事件,除非事件不再高速產生。”并且過一段時間會生產這樣一個日志。上一個和下一個有很多這樣的日志:“DNS 服務器在來自 (ISP供應商DNS)的包內遇到無效域名。 包將被拒絕。 事件數據包含此 DNS 包。”
2、限制用戶安裝軟件:目前公司已部署AD集成ISA,現在想限制某些用戶不能安裝與工作無關的軟件,請問如何通過組策略實現?說明:客戶端都是加入本地域管理員組,不然客戶端無權限打開ERP客戶端軟件。
3、在DC上能否查看組策略是否被應用到客戶端?也就是說想查看部署的組策略哪些用戶被應用了?哪些沒有應用?另外:能否查看客戶端是否登錄到域中?有些員工經常登錄到本機,這樣不好限制、管理,有什么好的辦法解決。
4、致謝!
A:1.你好 本次門診主要討論的是應用,具體排錯的問題請將現有網絡狀態,系統環境,具體日志信息,發生錯誤時間以及在那段時間進行的操作和更改情況發至郵箱:dong8745@hotmail.com, 我可以給你提供一些建議
2.2008中提供了APPlocker功能可以和軟件限制策略結合使用, 當然域中限制用戶安裝軟件最簡介的方法是指給予普通域用戶domain users權限,對于某些Domain users用戶不能運行的軟件,可以在域策略的如下位置計算機配置—策略—Windows 設置—安全設置—文件系統/注冊表賦予domain users權限。
3.在DC上面可以使用組策略結果工具查看組策略設置,默認情況下策略應該是都被應用的,如果策略設置應用失敗可以確定是單一問題還是普遍問題,排錯可以從網絡鏈接質量、本地緩存登陸、DC復制不一致入手。限制員工本地登陸域基于AD本身功能可以使用受限制的組功能,推送腳本更改本地管理員密碼以及可以使用IPsec域隔離等技術。
Q:董老師您好:
請教你幾個問題
1、在主域控中刪除了輔助域控的計算機名,還有什麼影響?有什麼辦法恢復(不使用備份還原),使用通出域再進入域之類的可以恢復嗎?
2、在AD日志中出現1030(Windows無法查詢群組原則物件的清單......)、1058(Windows無法存取GPO CN={8CF56A24-BA04-4F64-B890-24ACFE52E75A....的群組原則範本檔案。檔案必須存在位置.....群組原則處 理已中止})錯誤怎麼解決?
3、在EXCHANGE2007日誌中有8207(以虛擬機器ABC上的空間/慷資訊更新公用資料夾時發生錯誤。錯誤碼為0X80004005)
4' 發郵件給外網使用OUTLOOK2007的同事,如果包含了已刪除了的賬號時,外網同事收到就變成亂碼,但是使用OE不會亂碼,有什麼好的辦法解決嗎?
以上問題比較多,煩請專家一一解答,謝謝!
A:1.可以使用備份來恢復活動目錄中的對象,如果在墓碑期內可以使用adrestore恢復,如果是輔助域控建議盡快解決。
2.3.4.你好 本次門診主要討論的是應用,具體排錯的問題請將現有網絡狀態,系統環境,具體日志信息,發生錯誤時間以及在那段時間進行的操作和更改情況發至郵箱:dong8745@hotmail.com, 我可以給你提供一些建議
Q:您好,我想請教下。我們公司因為垃圾郵件的,目前想上EXCHANGE2010。垃圾郵件很頭疼,最近在看關于EXCHANGE 的書籍,書上說了分5個服務器角色,其中邊緣傳輸這個角色。我不是很清楚,它的邏輯結構是存在與內部網絡之外,那么我應該把他放在我們物理結構的那個位置上。
我們的結構是路由器(用服務器做的)----核心交換---交換下面分別是服務器跟PC
A:你好,邊緣傳輸服務器一般放在DMZ區域,外部網絡和內部網絡之間,用來隔離企業對外提供服務的服務器。如果只有1道墻,應該放在防火墻內。#p#
Q:老師你好,2008R2中AD有哪些新功能?是否可以直接從2000的域中升級?
A:你好2008不支持從2000的直接升級,可以先將環境升級至2003并卸載環境中的2000域控制器后再升級至2008。
Q:你好!董老師:
我工作1年了,在研發公司做了一年的公司網管,感覺自己就是個民工,待遇就別提了。
說正題,我現在想從事一個行業,都不知道走那個行業,每個行業的人才都很多,我在網絡行業里邊自認為基礎不錯,從交換路由,再到搭建服務器,linux、 windows都能搞定,部署防毒系統等。都不錯,感覺現在真不知道走那條道,處于迷茫中。現在很想走一個門道,不想走這么寬的路了,以前對郵件系統比較感興趣,但是現在招聘不怎么多,我選擇行業時候總喜歡看看招聘形式,不知道我這些是不是可以采取,不然工作幾年后還是個網管,那我真是有點不甘心!很想走一條路走下去,就是不知道把腳放到那條路上。麻煩前輩指點下,我計算機英語還不錯!
A: 我入行時也是在一家集成類公司,在“面”這個方向上做了幾年時間,在以后深入“點”的時候受益良多。其實在深入“點”的同時也應該繼續擴大自己的“面”,不要讓自己局限在某個點上。“面"的范圍應該很寬泛比如你說的英語,其他如溝通能力、演講能力都應該算在面上,這樣你后面的路才會更寬。
Q:AD在實際應用中如何容災 謝謝
A:主要包含如下幾個內容:
1.服務冗余。部署至少2臺域控制器,有條件異地應該至少保留一臺
2.數據備份。使用系統自帶或者第三方工具執行備份計劃
3.健康狀態。運行DCDIAG定期執行健康檢查。使用BPA工具進行系統健康檢查,2003系統需要單獨下載,2008系統已集成
Q:能否共享寫windwos 服務器安全加固的一寫項目案例,如exchange 的,微軟的安全加固向導太不適用了
A:你好,微軟提供的BPA工具都是成百上千條最佳實踐建議的集合,在實際環境中效果還是不錯的。某些時候不適用是因為每個環境中的情況不一致,而泛用性的東西針對性不強。針對性強的方案一般是咨詢公司根據你的環境情況給出,我見過一些都屬于企業高度機密的資料。
Q:怎么把2000域升級到2003域,并且把用戶和密碼都導入到新的2003域控中?怎么遷移呀
A:你好,首先為2003域控制器(DC)準備域和林德架構,然后將一臺2003的DC加入域中并將原2000DC上駐留的5大操作主機角色遷移至 2003DC,最后在2000DC上重新執行DCPROMO進行降級。原域中的用戶和密碼不需要手動遷移,通過DC間的復制會拷貝到2003DC的數據庫中。
Q:你好: 有一個基于漫游安全的問題,請教一下.環境是2008的AD,客戶端是:XP SP2 ,WIN7等.在基于漫游的前提,怎么控制一臺機器的硬盤相關的數據只能被本機管理員與域中某一個用戶讀寫操作,其它漫游的用戶登陸后實現無法讀取.除了用NTFS格式,手動添加控制相關的用戶的權限外,有沒有什么策略,從而不需要一臺一臺的機器手動添加相關的權限,謝謝解答
A:你好,默認配置后的漫游文件夾只有所有者(即漫游的用戶)擁有完全控制權限,管理員也沒有權限,賦權需要手動添加。你的應用可以考慮使用FTP或者MOSS文檔庫功能,這樣實現起來更好些。
Q:董老師,我現在有兩個域,一個是2003的一個是2008的,現在要把兩個域合并成為一個域,那域功能你級別該怎么辦是2003還是2008呢!對客戶端XP有影響嗎?
A:你好,功能級別可以使用較低的級別(舉例來說,在你將功能級別升級至2008以前,域中所有2003的DC必須進行降級,而升級至2008功能級別以后新 2003DC也不能再加入到域中)。但是如果需要某些特殊功能如顆粒化密碼策略那你需要將功能級別提升至2008,如DirectAccess、 BranchCache需要將功能級別提升至2008 R2.
提升功能級別本身對客戶端不會有影響,但是策略中的某些設置XP客戶端會無法應用,如DirectAccess、BranchCache等。其實我們在推 送策略時大多數是修改域成員計算機的配置文件和注冊表鍵值,如果客戶端系統較舊沒有這部分功能和設置項自然也就沒辦法應用了。#p#
Q:怎樣實現主域控制器掛掉,額外域控制器接管任務!額外域接管5個角色才能替代主域!采用的是windows2008 系統
A:你好,其實在2008中AD已經是一個多主復制的架構,不再有NT中BDC和PDC的概念,主域控和附加域控實際上并沒有主從的分別,所不同的只是是否駐留操作主機角色。因此在一臺域控癱瘓后并不會立即造成ADDS的癱瘓,用戶登錄和驗證的任務此時已由額外域控器接管,后續管理員只需盡快將5大角色搶奪到現有 DC并將原DC信息在AD中清除即可。
5大角色駐留關系如下:
林級別唯一的如下:
域命名:從林中添加或移除域
架構:更改架構
域級別唯一的如下:
RID: 為DC提供RID池以及SID
基礎結構: 跟蹤域中組成員在其他域中的更改
lPDC:
以上面為例,如果當掉的是林級別DC那你需要搶奪上述5大角色,如果是子域中的DC當掉搶奪域級別的3大角色即可。環境比較大的地方可以把上述角色進行分布,并部署最佳實踐,如GC和基礎結構主控就不應該放在一臺服務器上。域控發生問題是一些非常規的情況,如果需要快速遷移角色,可以提前編寫一些批處理命令。
Q:懂老師能說下額外域接替主域的設置步驟嘛!(windows 2008)謝謝
A:主DC非正常離線可以執行的步驟如下:
1.使用Ntdsutil工具,搶奪駐留在主域控上的角色
2.使用Ntdsutil工具刪除非正常離線的DC信息
3.在ADUC工具中確認現DC為GC
3.刪除DNS中關于離線DC的所有信息
4.刪除Active Directory 站點和復制工具中殘留的離線DC復制關系
5.如果現在域中只有一臺DC可以將另外一臺DC加入到域中
主DC正常離線可以執行的步驟如下:
1.通過圖形工具轉移(不是搶奪)5大角色
2.在ADUC工具中確認現DC為GC
3.對主DC進行降級
【編輯推薦】
