第一章
在windows server 2008的活動目錄中都有哪些新東西?
在活動目錄域服務中都有些什麼改進?
儘管大多數你想知道的關於如何管理一個活動目錄域的知識點都是和以前版本中的(例如Windows 2000和Windows Server 2003)相同,但還是有一些新的頗具吸引力的特性在Windows Server 2008中被加入出來,管理員可以通過這些新特性更好地控制域環境和保障它的安全。本章我們就一起來看看Windows Server 2008活動目錄域服務(AD DS)中的這六大增強的特性,同時,還要看看四個新的在你的企業中未來可能會用到或者已經用到的活動目錄服務角色的概念。
只讀域控制器(Read-Only Domain Controllers, 簡稱RODC)
在Windows Server 2008中一個很重要的新特性就是提供給了用戶部署一個只讀域控(RODC)的可選項。正如它的名稱所示,這種新的類型的域控制器在其上承載着活動目錄數據庫只讀分區。
藉助RODC,組織可以在無法保證物理安全性的環境中輕鬆部署域控制器,例如辦公室分支機構,或者在本地存儲域用戶密碼被視爲主要威脅的環境,例如面向應用程序的角色中,或者作爲Windows Server 2008核心安裝選項。
對於那些在分支機構中放置域控也有足夠的物理安全保障的組織,部署只讀域控仍不失爲一劑良方。因爲RODC的出現降低了IT管理需求,實現了管理員角色分隔。
由於RODC的管理權限可以委派給一個普通域用戶或者一個安全組,所以RODC同樣適合部署於一個沒有任何域管理員用戶的站點內。RODC擁有下列所述的特徵:
只讀活動目錄域服務數據庫(Read-Only AD DS Database )
除了賬戶密碼以外,RODC保存了可寫域控制器上所保留的大多數Active Directory對象和屬性。無論如何,誰都無法對存儲在RODC上的數據庫進行更改。所有的更改必須在可寫域控制器上進行然後再被複制回RODC。
請求讀取訪問目錄的本地應用程序可以獲得訪問權限。請求寫入訪問的採用輕型目錄應用程序協議(LDAP)的應用程序將收到一條LDAP引用響應。這個響應會將應用程序的請求定向到一個可寫域控制器(一般在一箇中心站點內)上。
RODC篩選的屬性集(RODC filtered attribute set)
只有一些屬性會被複制到RODC上。你可以動態地配置一組屬性,這組屬性被稱爲RODC篩選的屬性集,以便這些屬性不會被複制到RODC上去。在RODC篩選的屬性集中定義的屬性將不被允許複製到林中的任何RODC。
已危及到RODC安全的惡意用戶能夠嘗試用這種方法配置RODC,以試圖複製在RODC篩選的屬性集中定義的屬性。如果RODC嘗試從運行Windows Server 2008系統的域控制器上覆制這些屬性,則複製請求會被拒絕。因此,出於安全考慮,如果你計劃配置RODC篩選的屬性集,請確保林功能級別爲Windows Server 2008。當林功能級別爲Windows Server 2008時,已受到損害的RODC將無法再被利用,因爲林中不允許運行Windows Server 2003系統的域控制器。
單項複製(Unidirectional replication)
因爲不會有更改能直接寫入進RODC,所以也不會有更改源自RODC。也鑑於此,作爲複製夥伴的可寫域控制器也不必從RODC那裏拉進改變。這意味着惡意用戶在分支位置可能進行的任何更改或者損害都不能從RODC複製到林的其餘部分。這樣也減少了中心區域的橋頭服務器的工作負荷以及監視複製所需要的花費開銷。
RODC 單向複製同時適用於 AD DS 和 SYSVOL 的分佈式文件系統 (DFS) 複製。針對 AD DS 和 SYSVOL 更改,RODC 執行正常的入站複製。
憑據緩存(Credential caching)
憑據緩存就是對用戶或者計算機憑據(包含被表示爲一串哈希值的用戶密碼)的存儲。默認情況下,RODC不存儲用戶或計算機憑據。例外情況是RODC對應的計算機帳戶和每個RODC具有的特殊(且獨一無二的)krbtgt帳戶。
你可以通過爲特定域控制器修改密碼複製策略來爲RODC配置憑據緩存。舉個例子,如果你想要RODC來緩存所有在分支機構辦公且平時都是從分支機構登錄域的用戶憑據,你可以將全部的域用戶帳號加入到密碼複製策略中。這樣一來,即使廣域網失效而無法連接到可寫域控制器,用戶一樣可以登錄到域。同樣的,你可以將分支機構的所有計算機帳號添加進來,這樣即使廣域網連接宕掉,這些計算機帳戶仍可以驗證到RODC。不過,在上述場景中,在第一次使用憑據登錄到域時需要確保與可寫域控制器連接的廣域網是有效可用的。
管理員角色分隔(Administrator role separation)
你可以將RODC的本地管理員權限委派給任何普通域用戶,而且無需授予該用戶對該域或者其他域控制器的任何用戶權限。這樣的好處是在本地分支機構的域用戶可以登錄到RODC並在服務器上執行維護工作,例如對驅動程序的升級。但是,分支機構用戶不能登錄到任何其他域控制器或者在域中執行任何其他的管理任務。這樣一來,分支用戶可以被委派在分支機構中有效率地管理RODC,而不會危害域的其他部分的安全。
只讀DNS(Read-only DNS)
你可以在RODC上安裝DNS服務器服務。RODC能夠複製DNS使用的所有應用程序目錄分區(包括ForestDNSZones和DomainDNSZones)。如果在RODC上安裝了DNS服務器後,客戶端就可以像與查詢任何其他DNS服務器一樣的查詢該DNS服務器而獲得名稱解析。
但是,RODC上的DNS服務器並不支持客戶端直接更新。因此,RODC不會在其上維護的任何活動目錄集成區域中註冊名稱服務器(NS)資源記錄。當客戶端試圖向RODC更新它的DNS紀錄時,服務器會返回引用消息。然後客戶端再嘗試根據引用消息中提供的DNS服務器請求更新。在後臺RODC上的DNS服務器會嘗試從那些已更新好的DNS服務器上覆制更新記錄。這種複製請求僅適用於單個對象(DNS記錄)。在此特殊的replicate-single-object請求過程中,不會複製更改區域或者域數據的完整列表。爲了增強安全,作爲一臺Windows Server 2008 域控制器,分支機構的RODC需要註冊它的域控制器相關記錄(例如時間服務器,ldap主機,kdc主機記錄,等等)。然後就算RODC受到危害,DNS記錄將無法被更改並且仿冒其他域控制器,也無法在它自己的站點之外宣告給客戶端。