活动目录系列之四:脚本和软件限制策略的应用
活动目录系列之四:脚本和软件限制策略的应用
在域环境中,组策略显得尤为重要,作为一个域管理员,要时刻有效的管理域中的成员,就必须对组策略熟之又熟,它是我们域中的一个十分强大的管理机制,我们要学懂它,恐怕还得多下点功夫,下面我单把脚本的应用和软件限制策略作一下简单的叙述:
1、脚本。
我们知道,在组策略中分为两大模块:计算机配置和用户配置。对计算机做配置只是作用于某台计算机,对用户配置做配置只是作用于某用户,不过,计算机配置的优先级是大于用户配置的优先级的,明白了这点,我们就可以有目的的去做配置了。
首先,我在域https://www.360docs.net/doc/8f3546393.html,中新建了一个组织单元“精英计划”,在“精英计划”下面又建了两个用户。
我现在想对张三和李四同时做脚本策略,那么我们就对“精英计划”这个组织单元做策略好了。
点击“精英计划”属性,点组策略。
然后新建策略
点编辑,既然对用户对策略,我们就对“用户配置”做配置。
我们先点开“登录”,然后点“添加”
这时我手动作一个“登录”脚本
好了,把这个做好的脚本粘贴到上面的面板中
好了,我们接着点“确定”就可以了,我们用同样的方法做一个用户注销脚本
不同的是在用户配置中点击“注销”
最后,等配置好了我们来刷新组策略(刷新策略有利于策略及时生效)
到用户机器上看一下结果
用账号“张三”登录到域中
登录后就会出现“登录脚本”提示了
然后我们来注销“张三”这个用户
2. 软件限制策略
首先新建一条策略
编辑该策略(我们还是对用户进行配置)
点击“创建软件限制策略”,我们可以看到“安全级别”和“其他规则”,“安全级别”定义了策略的表现形式(“不允许的”和“不受限的”),“其他规则”就包含了软件限制策略的四条规则(证书规则、哈希规则、Internet区域规则和路径规则)。下面我就“哈希规则”做一下演示:
新建“哈希规则:
我们看到需要对某个文件哈希,浏览文件,我们下面就对用户的“cmd.exe”文件哈希,不过在这里要提示一下,用户一般为xp用户,其
C:\windows\system32\cmd.exe文件和windows2003的cmd.exe文件是不同的,既然要对用户做软件限制,那我们必须将xp系统的cmd.exe文件先拷贝到服务器上,然后再浏览的这个文件的所在,就可以了!
我们先把xp系统的cmd.exe文件找到:
把这个文件拷贝到域服务器上,我放到桌面好了:
这时浏览到桌面的cmd.exe文件后可以看见已经变成了哈希函数,安全级别为“不允许的”,即是说用户无法使用cmd.exe这个程序。
然后立即刷新组策略
到用户机器上验证结果,用“李四”登录:
在登录后运行cmd程序
可以看到此时已受限制了。
实验完毕。
Windows Server 2008 R2活动目录灾难恢复(二):备份与恢复(1)
Windows Server 2008 R2活动目录灾难恢复(二):备份与恢复(1) ...[复制 链接]发表于 2013-3-19 21:12 |来自51CTO网页 [只看他]楼主 一、活动目录灾备简介 本次演练我们将讨论如何让域控制器从灾难状态(例如由于硬件或软件故障引起的数据库故障)进行恢复的步骤。此类灾难通常会导致域控制器失效,而且会使计算机无法正常引导;将只提供对运行 Active Directory 的域控制器(不运行其它服务)进行恢复的信息。如果该计算机上还安装有其它服务,例如域名系统 (DNS) 或 Internet 信息服务 (IIS),则可能还需要其它步骤;是基于 Windows 2008 R2备份程序 (Windows Server Backup) 的,该程序是 Windows 2008之后附带的备份应用程序。 我们假定用户具有关于 Active Directory 及其相关组件的预备知识。系统管理员可以使用本文中的信息来制定灾难恢复规划,但是还必须与本单位内部环境以及现有灾难恢复策略中的具体信息相结合。 二、灾备总述 我们本次所涉及到的灾难恢复的演示包含如下3部分: 1、灾备方案(使用Windows Server Backup进行备份) 2、主域控制器无法启动情况下进行恢复 3、两台域控制器都无法启动进行恢复 我们本次所涉及到的灾难恢复步骤: 1、当活动目录搭建完成时,进行一次完全备份,包含系统状态、活动目录数据库、卷等相关信息。 2、活动目录建立并进行完全备份之后,星期一到星期五每天通过Windows Server Backup 进行一次增量备份,每周星期6进行完全备份。 3、项目实施完成之后,当每次添加一台域控制器的时候,需要进行一次完全备份。无论是否到备份周期。 三、灾备演示 1、活动目录备份;
活动目录术语表
活动目录术语表 整理: A 访问控制(access control)--登录计算机或网络权限的管理。 ACE--参见"访问控制条目"。 访问控制条目(access control entry,简称ACE) --每一个ACE包括一个安全标识符(SID),这个标识符标识这个ACE的应用对象(用户或小组)以及允许或者拒绝访问的ACE信息的类型。 访问控制表(access control list,简称ACL) --用来定义用户/工作组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中,一个ACL是一个存储访问权限与被保护对象相互之间关系的列表。在Windows NT?操作系统中,一个ACL作为一个二进制值保存,称之为安全描述符。 ACL--参见"访问控制列表"。 活动目录-- Windows? 2000支持的一种结构,这种结构可以跟踪和定位网络上任意一个对象。活动目录是Windows 2000服务器中使用的目录服务,为Windows 2000分布式网络提供基础。 活动目录服务接口(Active Directory Service Interface,简称ADSI)--基于组件对象模型(COM)的客户端软件。ADSI定义了一个目录服务模型和一组COM接口,通过这些接口可以使Windows NT 和Windows 95客户端应用程序访问一些网络目录服务,包括活动目录服务。ADSI允许应用程序与活动目录进行通信。 ADSI提供目录服务客户端通过使用一组接口与任何提供ADSI实现的名字空间进行交流
的方法。ADSI客户端通过使用ADSI替代与网络相关的应用程序编程接口(API)调用,从而获得访问名字空间服务的更简单的方法。ADSI 遵守并且支持标准的COM特征。ADSI也定义了可以从自动兼容软件,例如Java、Visual Basic、Visual Basic Scripting Edition(VBScript),来访问的接口和对象,这同样可以应用到非自动兼容语言,例如C和C++,通过这个特性可以增强性能。此外,ADSI提供它自己的OLE数据库提供者,并且可以完全支持任何客户端已经使用的OLE数据库,包括那些使用ActiveX? 技术的。 ADSI--参见活动目录服务接口"。 属性(attribute)--对象的单一属性。对象通过它们的属性值进行描述。例如,可以用属性这样来定义一辆车:制造商、模型、颜色等等。属性这个术语和特性这个词可以相互使用,它们使完全一样的。属性也是用来描述对象的数据项,这些对象通过模式中定义的类来表现的。在模式中,属性和类使分开定义的;这样使得一个属性可以在多个类中使用。参见"对象"。 授权(authentication)--确定用户的身份,即确定究竟是谁登录到计算机系统中的,或确定事物的完整性。 B 备份域控制器(backup domain controller,简称BDC) --在Windows NT Server 4.0或早期的域中,运行Windows NT Server的计算机接受包括域中所有帐户和安全策略信息的目录的拷贝。这份拷贝信息周期性并且自动的与主域控制器中的主备份进行同步。备份域控制器也可以确认用户并且配置成为象PDC类似的功能。一个域上可以有多个备用域控制器。 在Windows 2000域中,备份域控制器是不需要;所有域控制器是对等的,都可以维护目录。当Windows NT 4.0和Windows NT 3.51备份域控制器运行在混合模式下时,可以与Windows 2000域进行交流。参见"域控制器和主域控制器"。 C
活动目录(Active Directory)系列
活动目录(Active Directory)系列之一:为什么我们需要域 对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。 今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。 假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。服务器的职能大家都知道,无非是提供资源和分配资源。服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。 首先,如下图所示,我们在服务器上为张建国创建了用户账号。
谈在windows server 中使用软件限制策略
在 Windows Server 2003 中使用软件限制策略 概要 本文讲明如何在 Windows Server 2003 中使用软件限制策略。使用软件限制策略能够标识并指定同意运行的软件,以便爱护您的计算机环境可不能受到不可信代码的攻击。使用软件限制策略时,能够为组策略对象 (GPO) 定义两种默认安全级不(分不是无限制和不同意)中的一种,使得在默认情况下或者同意软件运行,或者不同意软件运行。要创建此默认安全级不的特例,能够创建针对特定软件的规则。能够创建以下几种规则:?哈希规则 ?证书规则 ?路径规则
? Internet 区域规则 一个策略由默认安全级不和所有应用于 GPO 的规则组成。此策略能够应用于所有的计算机或者个不用户。软件限制策略提供了许多标识软件的方法,它们还提供了基于策略的基础结构,以便强制执行关于软件是否能够运行的决定。有了软件限制策略,用户在运行程序时必须遵守治理员设置的规则。 通过软件限制策略,能够执行以下任务: ?操纵能够在计算机上运行的程序。例如,假如担心用户通过电子邮件收到病毒,能够应用一个策略,不同意一些文件类型在电子邮件程序的电子邮件附件文件夹中运行。 ?在多用户计算机上,仅同意用户运行特定的文件。例如,假如您的计算机上有多个用户,您能够设置软件限制策略,使用户除了能够访问必须在工作中使用的特定文件外,不能访问其他任何软件。 ?确定谁能够向计算机中添加受信任的公布服务器。 ?操纵软件限制策略是阻碍计算机上的所有用户,依旧只阻碍一些用户。 ?阻止任何文件在本地计算机、组织单元、站点或域中运行。例如,假如存在已知病毒,就能够使用软件限制策略阻止计算机打开包含该病毒的文件。 重要讲明:Microsoft 建议不要用软件限制策略代替防病毒软件。
微软的教程下载
来自微软的教程~非常全面~[10-21] https://www.360docs.net/doc/8f3546393.html,/download/a/e/7/ae788631-15e6-4f22-a923-ef1b663f2675/msft041305v xpm.zip Windows Server 2003从入门到精通系列之一:详细探讨Windows server 2003*作系统的安装方法 https://www.360docs.net/doc/8f3546393.html,/do ... /msft041205vxpm.zip Windows Server 2003从入门到精通系列之二:创建和管理用户帐户 https://www.360docs.net/doc/8f3546393.html,/do ... /msft041805vxpm.zip Windows Server 2003从入门到精通系列之三:NTFS特性在Windows 2003上的体现 https://www.360docs.net/doc/8f3546393.html,/do ... /msft042005vxam.zip Windows Server 2003从入门到精通系列之四:网络共享资源的各种访问方法 https://www.360docs.net/doc/8f3546393.html,/do ... b5/msft042605vx.zip Windows Server 2003从入门到精通系列之五:Windows server 2003安全策略 https://www.360docs.net/doc/8f3546393.html,/do ... /msft042905vxpm.zip Windows Server 2003从入门到精通系列之六:Windows server 2003中的磁盘管理 https://www.360docs.net/doc/8f3546393.html,/do ... /msft050905vxpm.zip Windows Server 2003从入门到精通系列之七:Windows server 2003灾难恢复——备份 https://www.360docs.net/doc/8f3546393.html,/do ... /msft051005vxpm.zip Windows Server 2003从入门到精通系列之八:使用IPSec加强系统安全性 https://www.360docs.net/doc/8f3546393.html,/do ... /msft051205vxpm.zip Windows Server 2003从入门到精通系列之九:TCP/IP协议基础 https://www.360docs.net/doc/8f3546393.html,/do ... /msft051305vxpm.zip Windows Server 2003从入门到精通系列之十:Windows server 2003 服务应用大全之DNS服务使用详解 https://www.360docs.net/doc/8f3546393.html,/do ... /msft051805vxpm.zip Windows Server 2003从入门到精通系列之十一:Windows server 2003 服务应用大全之DHCP服务使用详解 https://www.360docs.net/doc/8f3546393.html,/do ... /msft051705vxpm.zip Windows Server 2003从入门到精通系列之十二:Windows server 2003 服务应用大全之WINS服务使用详解 https://www.360docs.net/doc/8f3546393.html,/do ... /msft052305vxpm.zip
AD活动目录域信任关系图解
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
活动目录配置完整版
目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………
一、活动目录配置基本知识 1、活动目录的重要概念 (1)目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。 在此文档中,术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。 (2)什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。 (3)为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以: ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围
网络组建 安装活动目录服务
网络组建安装活动目录服务 活动目录(Active Directory)是用于Windows 2003的目录服务。它存储着网络上各种对象的有关信息,并使该信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。 活动目录具有信息安全性、基于策略的管理、可扩展性、可伸缩性、信息的复制、与DNS集成、与其他目录服务的互操作性、灵活查询等优点。 1.DNS与活动目录 由于活动目录与DNS是集成的,并且共享相同的名称空间结构,因此注意两者之间的差异非常重要: ●DNS是一种名称解析服务 DNS客户机向配置的DNS服务器发送DNS名称查询。DNS服务器接收名称查询,并且解析名称查询,或者进行名称解析。DNS不需要活动目录可以独立运行。 ●活动目录是一种目录服务 活动目录提供信息存储库以及让用户和应用程序访问信息的服务。活动目录客户使用“轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)”向活动目录服务器发送查询。然后要定位活动目录服务器,活动目录客户机将查询DNS。即活动目录用于组织资源,而DNS用于查找资源;只有它们共同工作才能为用户或其他请求类似信息的过程返回信息。2.规划活动目录 为了让用户和管理员操作更为方便,在安装活动目录之前,我们首先要对活动目录的结构进行细致的规划设计。 ●规划DNS 如果用户准备使用活动目录,则需要首先规划名称空间。在Windows 2003中,用DNS 名称命名活动目录域。选择DNS名称用于活动目录域时,以保留在Internet上使用的已注册DNS域名后缀开始(如https://www.360docs.net/doc/8f3546393.html,),并将该名称和单位中使用的地理(部门)名称结合起来,组成活动目录域的全名。 ●规划用户的域结构 最容易管理的域结构就是单域。规划时,用户应从单域开始,并且只有在单域模式不能满足用户的要求时,才增加其他的域。单域可跨越多个地理站点,并且单个站点可包含属于多个域的用户和计算机。在一个域中,可以使用组织单元(OU,Organizational Units)来实现这个目标。然后,可以指定组策略设置并将用户、组和计算机放在组织单元中。 ●规划用户的委派模式 用户可以将权限下派给单位中最底层,方法是在每个域中创建组织单元树,并将部分组织单元子树的权限委派给其他用户或组。通过委派管理权限,用户不再需要那些定期登录到特定账户的人员,这些账户具有对整个域的管理权。尽管用户还拥有带整个域的管理授权的管理员账户和域管理员器组,可以仍保留这些账户以备少数管理员使用。 3.安装活动目录服务 首先,用户必须有安装活动目录的管理员权限,否则无法安装。在安装活动目录之前,要确保系统盘为NTFS分区。同时,已做好了DNS服务器的解析,如https://www.360docs.net/doc/8f3546393.html,。 在安装活动目录前首先确定DNS服务正常工作,下面我们来安装根域为https://www.360docs.net/doc/8f3546393.html,的域控制器。其操作步骤如下: (1)执行【开始】|【控制面板】|【管理工具】|【配置您的服务器向导】命令,打开【配置您的服务器向导】对话框,如图6-13所示。
Windows组策略中软件限制策略规则编写示例
Windows组策略中软件限制策略规则编写示例 2008年10月30日星期四20:10 对于Windows的组策略,也许大家使用的更多的只是“管理模板”里的各项功能。对于“软件限制策略”相信用过的朋友们不是很多。 软件限制策略如果用的好的话,相信可以和某些HIPS类软件相类比了。如果再结合NTFS权限和注册表权限,完全可以实现系统的全方位的安全配置,同时由于这是系统内置的功能,与系统无缝结合,不会占用额外的CPU及内存资源,更不会有不兼容的现象,由于其位于系统的最底层,其拦截能力也是其它软件所无法比拟的,不足之处则是其设置不够灵活和智能,不会询问用户。下面我们就来全面的了解一下软件限制策略。 本系列文章将从以下几方面为重点来进行讲解: ·概述 ·附加规则和安全级别 ·软件限制策略的优先权 ·规则的权限分配及继承 ·如何编写规则 ·示例规则 今天我们介绍Windows的组策略中软件限制策略规则编写示例。 根目录规则 如果我们要限制某个目录下的程序运行,一般是创建诸如: C:\Program Files\*.* 不允许 这样的规则,看起来是没有问题的,但在特殊情况下则可能引起误伤,因为通配符即可以匹配到文件,也可以匹配到文件夹。如果此目录 下存在如https://www.360docs.net/doc/8f3546393.html, 这样的目录(如C:\Program Files\https://www.360docs.net/doc/8f3546393.html,\Site Map https://www.360docs.net/doc/8f3546393.html,),同样可以和规则匹配,从而造成误伤,解决方法是对规则进行修改:C:\Program Files 不允许的 C:\Program Files\*\ 不受限的 这样就排除了子目录,从而不会造成误伤。 上网安全的规则 我们很多时候中毒,都是在浏览网页时中的毒,在我们浏览网页时,病毒会通过浏览器漏洞自动下载到网页缓存文件夹中,然后再将自身 复制到系统敏感位置,比如windows system32 program files等等目录下,然后运行。所以单纯的对浏览器缓存文件夹进行限制是不够的。比较实用的防范方法就是禁止IE浏览器在系统敏感位置创建文件,基于此,我们可以创建如下规则: %ProgramFiles%\Internet Explorer\iexplore.exe 基本用户 %UserProfile%\Local Settings\Temporary Internet Files\** 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\* 不允许的 %UserProfile%\Local Settings\Temporary Internet Files\ 不允许的 %UserProfile%\Local Settings\Temporary Internet Files 不允许的 如果你使用的是其它浏览器,同样将其设置为“基本用户”即可。 U盘规则 比较实际的作法: U盘符:\* 不允许的不信任的受限的都可以 不过设为不允许的安全度更高,也不会对U盘的正常操作有什么限制。 CMD限制策略
活动目录概念和灾难恢复-
活动目录概念和灾难恢复- - 一、什么是活动目录? AD是一种事务性数据库,它是一种预先写入记录的模式,使用了ESE97的技术。在磁盘上,AD显示为几个文件,它们是ntds.dit(AD数据库),一组交易记录(即日志)和记录数据库最后一个缓冲区的检查点文件。还有一个暂时性的数据库文件。目录服务是一个组合名词,它包括有目录数据存储和可让用户或程序存取信息的相关服务的意思。为社呢们要有目录呢?目录可提供企业网络所有重要数据的一个集中存放区域,这些数据包括用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种资源。将大部分的重要的资源集中的放在某个共享的网络资源中,这样一来可以改善企业的效率与大幅减少网络的总拥有成本(TCO)。WIN 2K的目录服务使用的是多控制器模式,也就是说,可以在任意的一个控制器上修改目录资源。所以,从上我们可以得知,AD实际是个数据库,而每个DC都是重要的数据库服务器,所以,我们应象保护重要数据库一样来保护DC。 二、活动目录的几个概念 1、域:一个安全边界。 2、树:多个域的集合。 3、林:多个有关联的树。 4、DNS:通向AD的网关。DNS中的服务记录,是应用系统查询AD的根本所在。 5、GC:一个经常被查询的AD对象的索引。在本机模式下,GC参与网络客户端的登录请求处理,提供通用组成员资格,出非域管理员组成员,才可以不需要GC的协助登录网络。在混合模式下,GC就不参与登录处理了但GC对网络中进行目录查询与搜寻仍旧很重要。 6、操作主机:虽然多控制器模式是AD的核心功能,但多服务器之间的潜在冲突也使这样的方式运作出在一定的不适用性,为了解决这一问题,AD选择了一些特殊的机器来担任特殊的角色。每个角色负责处理特定AD区域的改变。 三、AD的维护和备份 1、AD的维护:通过性能监视工具监视AD的运行状态和组件状态,可以有效的发现AD故障并及时解决。 2、AD的备份:AD可以通过备份系统状态来备份,你可以在系统工具里找到备份工具来完成此工作,也可以使用第三方软件来实现。但要注意备份AD的一些约束条件: * AD只备份当前有效的数据,对于已经标记删除的对象,不备份。而AD中的对象删除并不是立即的,需要有60天的删除标记时间。因此,应避免恢复60天前的AD备份,以免导致AD不完整。 * AD的备份类型无法选择,只能使用完全备份。 * 要确保备份中同时包含系统状态、系统盘的文件以及SYSVOL目录的内容。 * 你只能用原服务器的备份来恢复该服务器,不能用另一台服务器的备份恢复该服务器。
组策略对windows7的安全性设置(陈琪) - 修改
组策略对windows7的安全性设置 陈琪 (重庆市商务学校重庆市大渡口区400080) 【摘要】:现在Win7系统已成为电脑市场的主流,大量企业和家庭个人都选择使用Win7系统,主要是Win7系统设计具有人性化、操作非常的简单,更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷,用户往往是通过第三方软件来实现,但是这些方法往往不具有个性化的设置,而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能,就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】:组策略点击用户配置驱动器木马权限哈希值【引言】:在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此,限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的,有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】: 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防范小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因此禁止执行权限才最有效。
1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器:点击“开始”,在搜索框中输入“gpedit.msc”,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器”,选择“已启用”,在下面的下拉列表中选择需要隐藏的驱动器,然后确定。再进入“计算机”,刚才选择的驱动器图标就不见了。提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备(例如闪存、移动硬盘等)已经成为不少用户的标准配置,使用也最为广泛。正因如此,它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵,因为病毒传播都是通过执行病毒和木马程序来实现的,因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”,进入“可移动磁盘:拒绝执行权限”,选择“已启用”,确定后设置生效。移动设备上的可执行文件将不能执行,计算机也就不会再被病毒感染。而如果需要执行,只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网,可是说实话,现在上网一点也不省心,病毒、木马和流氓软件横行,连不少大网站都会被挂一些别有用心的软件,用户真是防不胜防。所以网络安全性的设置相当重要。
windows server 活动目录知识点汇总
第一章部署WINDOWS域 什么是域? 将网络中的计算机逻辑上组织在一起,将其视为一个整体,进行集中管理,叫做域 什么是活动目录? 活动目录是一种目录是一种服务 什么是域控制器? 是安装了活动目录服务的一台计算机 什么是单域? 网络中只建立了一个域,我们将其称之为单域 什么是域树? 域树是具有连续的名称空间的多个域 什么是域林? 域林是由一个或者多个没有形成连续名称孔明关键的域树组成 安装域控制器的准备条件?(5个条件) 1、安装者必须具有本地管理员权限 2、操作系统版本必须满足条件 Windows NT Server Windows 2000 Server Windows Server 2003(除WEB版) Windows Server 2008(除WEB版) 不能是客户端的操作系统 3、本地磁盘至少有一个分区是NTFS文件系统 4、配置静态的ip地址和子网掩码 5、有足够的可用磁盘空间 安装域控制器的命令? dcprmo 域功能级别有哪几个?(3个) Windows 2000 Server Windows Server 2003 Windows Server 2008 客户机加入域的条件?(2个条件) 确保该计算机和域控制器互相联通 配置正确的DNS地址 组的类型有哪两个?有何区别? 安全组和通讯组 安全组:管理员通过赋予安全组访问资源的权限,而使得安全组所包含的用户也具有相应的权限,使用安全组而不是单独的用户可监护网络维护和管理工作 通讯组:没有安全方面的功能,只能用作电子邮件的通信 组的作用域有哪三个?有什么区别? 什么是OU? 本地域、全局、和通用 本地域组成员来自于全局用用范围为本域或者是当前域 全局组成员来自本地,作用范围为全局或任意域
组策略软件限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
51CTO下载-windows2003下载全集
Windows Server 2003从入门到精通系列之一:详细探讨Windows server 2003*作系统的安装方法 Windows Server 2003从入门到精通系列之二:创建和管理用户帐户 Windows Server 2003从入门到精通系列之三:NTFS特性在Windows 2003上的体现
Windows Server 2003从入门到精通系列之四:网络共享资源的各种访问方法 Windows Server 2003从入门到精通系列之五:Windows server 2003安全策略 Windows Server 2003从入门到精通系列之六:Windows server 2003中的磁盘管理
Windows Server 2003从入门到精通系列之七:Windows server 2003灾难恢复——备份 Windows Server 2003从入门到精通系列之八:使用IPSec加强系统安全性 Windows Server 2003从入门到精通系列之九:TCP/IP协议基础
Windows Server 2003从入门到精通系列之十:Windows server 2003 服务应用大全之DNS服务使用详解 Windows Server 2003从入门到精通系列之十一:Windows server 2003 服务应用大全之DHCP服务使用详解
Windows Server 2003从入门到精通系列之十二:Windows server 2003 服务应用大全之WINS服务使用详解 Windows Server 2003从入门到精通系列之十三:如何使用Windows server 2003搭建VPN服务器 Windows Server 2003从入门到精通系列之十四:利用SUS实现自动补丁管理
活动目录的好处
使用活动目录服务的好处是什么? 完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以: ●简化管理任务 ●加强网络安全性 ●通过互操作使用现存网络 简化管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理: ●消除冗余管理任务提供对Windows用户账号、客户、服务器和应 用程序以及现存目录同步能力进行单一点管理。 ●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分 发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。 ●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的 所有层次上。 ●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和 使用来简化对文件和打印服务的管理和使用。 活动目录如何简化管理 以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。 图4:活动目录简化了网络资源的管理 活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。更多的特权功能,如"创建用户",可以为IT管理员保留。 活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分 发给他们。例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。活动目录集中存储这些信息,同时,应用智能镜像管理技术自动安装所分配的应用程序,并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。
包含所有的计算机视频教程
计算机视频教程 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1237 北京师范大-多媒体视频 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1240 北京理工大学编译原理串讲 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1241 北京大学计算机网络视频教程 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1243 北京大学计算机网络教程 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1245 北京大学ASP视频教学 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1246 北航微机接口视频讲座 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1248 保护劳动成果,用Photoshop为作品加上水印(Photoshop应用)https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1250 安装和配置MOM2005 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1252 安装3389终端服务 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1253 安全风险管理(下) https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1255 安全风险管理(上) https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1257 安全的Windows Mobile解决方案(下)(服务器) https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1259 安全的Windows Mobile解决方案(上)(客户端) https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1261 Word使用视频教程 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1262 word教程 OFFICE专家 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1264 Word点点通 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1266 Word长篇文档排版技巧^ https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1268 Word长篇文档排版技巧 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1270 Winzip使用技巧视频常用软件 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1272 Winrar使用技巧视频常用软件 https://www.360docs.net/doc/8f3546393.html,/soft/show.asp?id=1274
活动目录(域控)解决方案
活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日
目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误!未定义书签。