您现在的位置: 破洛洛 >> 服务器 >> DNS服务器 >> 正文

Windows Server 2008下高效域管理体验

作者:佚名 来源:不详 更新时间:2009-4-16
分享到

    域是微软局域网解决方案的重要组成部分,几乎每一个Windows Server版本的发布都会在域方面有非常大的改进和提升。作为微软最新版本的Windows Server 2008会带给我们什么样的域体验呢?下面笔者结合实例,和大家分享几个基于Windows Server 2008域的新应用,希望这些新特性会带给大家不同的域管理体验。

  1、部署只读域控制器

  域控制器(DC)的安全,特别是其物理安全让管理员颇为担心。在Windows Server 2008中新增了一种特殊的域控制器即只读域控制器(RODC),借助RODC我们可以在无法保证物理安全性的网络节点中部署只读域控制器。这样不仅能够提升其安全性,而且可以实现更快的登录以及更加有效地访问网络资源。

  在Windows Server 2008中要部署一台只读域控制器(RODC)是非常简单的。比如我们要将jp.com域中的一台Windows Server 2008主机部署成只读域控制器可以进行这样的操作:首先以管理员用户登录该主机,然后以Administrator身份允许命令提示符,接下来执行命令“dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:Woodgrovebank.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!”即可。其中/replicadomaindnsname:Woodgrovebank.com”指定域名,“/safemodeadminpassword:ctocio!”设置域控制器管理员的密码为ctocio!。

  需要说明的是,在安装获得目录(AD)的过程中还将同时安装并配置DNS,以及为活动目录的恢复模式设置管理员密码。另外,在安装过程中,一定要主要查看屏幕中木马复制策略的输出。除此之外,其它的设置我们可以保持默认。在活动目录安装完毕后,系统将会重新启动,系统重启后该主机就成为一台只读域控制器(RODC)。

  2、管理角色的分离

  管理角色分离是只读域控制器(RODC)的一个重大的特征,我们可以指定一个域用户到RODC上的角色,而而无需授予该用户对该域或其他域控制器的任何用户权限。其实,这些角色非常类似于本地组。通过这一功能,我们可以为分支机构的RODC指派管理员进行日常维护(如磁盘碎片的整理等),而不需要给他域管理员用户名和密码。这么做的好处是非常明显的:首先,可以解放管理员,实现DC管理任务的分配;另外,会大大地提升域的安全性,因为授权用户只能执行指定的操作,而不会危害到域中其他部分的安全。同时,也避免了时刻使用管理员用户进行DC管理因误操作而造成破坏的风险。

  我们在一台只读域控制器(RODC)上执行管理角色的分离操作:以管理员身份登录该主机,运行管理员身份的命令提示符,接下依次执行如下命令:

  NTDSUTIL

  Local Roles

  Add Woodgrovebank.com\jp Administrators

  Show Role Administrators

  Quit

  Quit

  (图2)

   


    
    图2 NTDSUTIL

  简单解释一下上面的命令,第一行是进入NTDSUTIL.exe命令行,第二行是进入本地角色设置状态,第三行是关键命令即添加用户jp到Woodgrovebank.com域的管理员(administrators)组,第四行命令是显示角色管理员组的成员,第五、第六行命令是退出NTDSUTIL工具。

[1] [2] [3] 下一页

    3、用新账户执行管理操作

  通过上面的操作我们赋予了jp用户对于Woodgrovebank.com域的操作权限,下面我们验证一下上述操作的有效性。以jp用户登录名为SFO-DC-01.Woodgrovebank.com的只读域控制器(RODC)。我们首先打开命令提示符工具,执行命令“whoami /user /groups | find "Administrators"”可以看到域用户jp已经成功扥两个到这台只读域控制器(RODC),并且已经为其本地管理员。(图3)

   


    
    图3 只读域控

  下面我们执行一个系统管理操作,比如格式化该主机的F分区。在命令行下执行一个命令“Format F: /q”,可以看到对该只读域控制器(RODC)的F分区的快速格式化操作成功完成。这说明,我们在刚才在只读域控制器(RODC)执行的管理角色的分离操作是成功了。不过要说明的是,此用户在域中只是普通域用户只具有域策略赋予的一般权限。大家可以试试,创建这样的用户,然后登录域控制器,你会发现登录失败,因为一般域用户是无法登录域控制器的。

上一页  [1] [2] [3] 下一页

  4、执行活动目录的脱机维护操作

  我们知道,在以前Windows Server版本中,如果需要脱机维护活动目录,需要重新启动域控制器然后按住F8,进入活动目录还原模式才能够完成操作。但这样做将会影响运行在域控制器上的其它服务,例如文件服务,打印服务等等,是非常不方便的。但在Windows Server 2008中,我们不需要重新启动就可以停止活动目录域服务,然后执行需要需要活动目录脱机才能执行的操作,例如对活动目录数据库进行碎片整理,移动等等。下面笔者在测试环境中进行演示,大家可亲身体验一下Windows Server 2008中的这样新功能。

  在命令提示符中,输入命令“net stop NTDS”,然后执行会提示“您想继续此操作吗?”,我们输入y,然后回车后即可停止获得目录服务。接下面我们这些如下的操作对活动目录进行脱机维护:

  MD C:\compact

  ntdsutil

  Activate Instance NTDS

  Files

  Compact to C:\compact

  quit

  quit

  Del C:\Windows\NTDS\*.log

  Copy /y C:\compact\ntds.dit C:\Windows\NTDS\ntds.dit

  ntdsutil

  Activate Instance ntds

  files

  integrity

  quit

  semantic database analysis

  go fixup

  quit

  quit

  exit

  (图4)

图4 域维护


    
    通过上面的命令我们对活动目录进行的脱机操作主要是:在C分区创建一个名为compact的目录,然后利用ntdsutil工具创建活动目录快照,将把经过压缩处理的ntds.dit文件放置到这个文件夹中保存存到C:\compact。接下来清除了获得目录中的的log文件,并用刚才创建的ntds.dit代替原来的同名文件,并执行了获得目录数据库的同步。上面所有的针对活动目录的脱机维护我们都是在不重启DC的情况下完成的,并且并不影响DC中运行的其他服务。可见,Windows Server 2008的这样特性在实际生产中还是非常有用的。在完成活动目录的脱机维护后,我们在命令提示符下执行“net start NTDS”将重启活动目录服务,其他被停止的相关服务也将在后台被启动。至此,Windows Server 2008下活动目录的一次脱机维护快速完成,将维护成本降到最低。

  总结:上面列举的几个实例,只是Windows Server 2008域管理新特性中很小的一部分。如果你们部署了基于Windows Server 2008的AD,挖掘和应用好这些新特性一定会极大地提升域管理的效率。

 

上一页  [1] [2] [3] 

转载请注明:破洛洛(谢谢合作)
网友评论: