windowsserver活动目录AD RMS策略服务
由于网络中安全事件的不断发生,企业内部的文件数据安全性已经成为网络安全领域比较受关注的课题之一。网络中安全的威胁通常来自于Internet和局域网络内部,而来自企业内部的网络攻击往往是最致命的。遭受攻击的结果通常会导致企业内部敏感数据的大量泄漏,从而会对企业造成巨大的经济损失。微软公司的RMS(Rights Management Services,权限管理服务)正是在这种环境下产生的。它通过数字证书和用户身份验证技术对各种支持 AD RMS 的应用程序文档访问权限加以限制,可以有效防止内部用户通过各种途径擅自泄露机密文档内容,从而确保了数据文件访问的安全性。
AD RMS 概述
随着windows server 2008操作系统在企业中的不断普及与应用,windows server 2008系统中的AD RMS服务也越来越被广大IT管理人员所熟悉。
Windows Server 2008 操作系统的 Active Directory 权限管理服务 (AD RMS) 是一种信息保护技术,它与支持 AD RMS 的应用程序协同工作,以防止在企业内部的数字信息在未经授权的情况下被非法使用。AD RMS 适用于需要保护敏感信息和专有信息(例如财务报表、产品说明、客户数据和机密电子邮件消息)的组织。AD RMS 通过永久使用策略(也称为使用权限和条件)提供对信息的保护,从而增强组织的安全策略,无论信息移到何处,永久使用策略都保持与信息在一起。AD RMS 永久保护任何二进制格式的数据,因此使用权限保持与信息在一起,而不是权限仅驻留在组织网络中。这样也使得使用权限在信息被授权的接收方访问后得以强制执行。
AD RMS 系统包括基于 Windows Server 2008的服务器(运行用于处理证书和授权的 Active Directory 权限管理服务服务器角色)、数据库服务器以及 AD RMS
客户端。最新版本的 AD RMS 客户端作为 Windows 7 和 Windows Vista操作系统的一部分包括在内。AD RMS 系统的部署为组织提供以下优势:
?保护敏感信息。如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS,从而帮助保护敏感信息。用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。组织可以创建子自定义的使用策略模板(如“机密 - 只读”),这些模板可直接应用于上述信息。
?永久性保护。AD RMS 可以增强现有的基于外围的安全解决方案(如防火墙和访问控制列表 (ACL)),通过在文档本身内部锁定使用权限、控制如何使用信息(即使在目标收件人打开信息后)来更好地保护信息。
?灵活且可自定义的技术。独立软件供应商 (ISV) 和开发人员可以使用启用了AD RMS 的任何应用程序或启用其他服务器(如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器),与 AD RMS 结合使用来帮助保护敏感信息。启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案(如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查)中。
AD RMS环境部署需求
域控制器:
AD RMS 必须安装在 Active Directory 域中,其中域控制器正在运行带有Service Pack 3 (SP3) 的 Windows Server 2000、Windows Server 2003、Windows Server? 2008 或 Windows Server 2008 R2。使用 AD RMS 获取许可证和发布内容的所有用户和组都必须在 Active Directory 中配置电子邮件地址。AD RMS 服务器:
AD RMS客户端需要证书与许可证才能进行文件版权保护的工作,以及访问版权保护的文件,而AD RMS服务器就是负责证书与许可证发放的主机。用户可以根据企业自身的需求架设多台AD RMS服务器,以便提供故障转移和负载平衡功能。其中的第一台服务器被称为AD RMS根群集服务器。
由于AD RMS客户端是通过HTTPS或HTTP与AD RMS服务器通信,因此AD RMS
服务器必须架设IIS站点。
数据库服务器:
AD RMS 需要使用数据库服务器和存储的过程来执行操作。该数据库服务器用来存储AD RMS的设置与策略等信息,企业可以使用Microsoft SQL Server来架设数据库服务器。也可以使用AD RMS服务器的内置数据库,不过需要注意如果使用AD RMS服务器的内置数据库则只能架设一台AD RMS服务器。
AD RMS客户端:
Active Directory 权限管理服务 (AD RMS) 客户端随 Windows Vista、Windows 7、Windows Server 2008 和 Windows Server 2008 R2 操作系统一起提供。如果您使用 Windows XP、Windows 2000 或 Windows Server 2003 作为客户端操作系统,则可以从 Microsoft 下载中心下载 AD RMS 客户端的兼容版本。
AD RMS 客户端可以与 Windows Server 2008 或 Windows Server 2008 R2 中包含的 AD RMS 服务器角色或者与 Windows Server 2003 上运行的以前版本的RMS 一起使用。
AD RMS 客户端会创建计算机证书,用于标识存储当前用户的密钥对的密码箱。您可以通过在计算机上查找 msdrm.dll 文件,来验证该计算机上是否存在 AD RMS 客户端。该文件在 Windows Vista、Windows 7、Windows Server 2008 和Windows Server 2008 R2 中由 Windows 资源保护来保护,除非通过正式的Microsoft 更新进行修改,否则无法修改。
应用程序可以使用 AD RMS 客户端将权限管理功能合并到它们的应用中。例如,Microsoft Office 2003、Microsoft Office 2007 和 Windows Mobile 6 使用 AD RMS 客户端来支持信息权限管理功能,该功能为文档、电子邮件、电子表格和幻灯片演示文档提供权限管理。
AD RMS的工作过程
步骤一:当文件所有者第一次执行文件的保护工作时,文件所有者会从AD RMS
服务器获取一个称为Client Licensor Certificate (CLC)的证书。拥有该证书今后便可以执行文件的保护工作。文件所有者只在第一次执行文件保护工作时,才需要从AD RMS服务器获取CLC证书,今后即使该用户处于离线状态,仍然可以使用该证书进行文件保护工作。
步骤二:文件所有者使用Office 2007等AD RMS应用程序创建文件,并执行文件保护的操作,也就是根据需要设置此文件的使用策略,而这时会创建一个所谓的发布许可证(Publish License),其内包含了此文件的使用策略。
步骤三:Office 2007等AD RMS应用程序使用对称密钥将此文件加密,这个密钥会被加入到发布许可证(Publish License)中,再将发布许可证(Publish License)连接到此文件。系统会利用AD RMS服务器的公开密钥将对称密钥和版权信息加密,此时只有ADRMS服务器可以使用自己的私有密钥将其解密。
步骤四:文件所有者将受保护的文件存储到可供访问的的位置,或直接将它发送给文件接收者。
步骤五:文件接收者使用相应的Office 2007等AD RMS应用程序将文件打开。如果此时文件接收者所使用的计算机内没有权限账户证书(Rights Account Certificate,RAC),则它会从AD RMS服务器接收到一个RAC。
步骤六:文件接收者所使用的Office 2007等AD RMS应用程序会向AD RMS服务器发起索取使用许可证(User License)的请求。该请求中包含RAC与发布许可证。
步骤七:AD RMS服务器接收到客户端发送来的“索取使用许可证的请求”后,会将此请求内的权限与对称密钥解密,然后将使用许可证传递给文件接收者,此使用许可证内包含文件接收者的权限与对称密钥;并且会使用文件接收者的公开密钥将这些信息加密。
步骤八:文件接收者使用的Office 2007等AD RMS应用程序接收到使用许可证后,利用文件接收者的私有密钥将使用许可证内的对称密钥解密,之后就可以利用对称密钥将受保护的文件解密。
AD RMS 证书
Active Directory 权限管理服务 (AD RMS) 的各个组件具有通过一组证书实现的受信任连接。强制执行这些证书的有效性是 AD RMS 技术的核心功能。每项受
权限保护的内容发布时都带有许可证,该许可证表达该内容的使用规则;该内容的每个使用者都会收到唯一的许可证,用以阅读、解释和强制执行这些使用规则。在此环境中,许可证是特定类型的证书。
AD RMS 使用的证书和许可证在层次结构中连接,这样 AD RMS 客户端可以始终遵循从特定证书或许可证到受信任证书、直到受信任密钥对的链。
服务器许可证书 (SLC):
在群集中的第一个服务器上安装和配置 AD RMS 服务器角色时会创建 SLC。服务器会为自己生成唯一的 SLC,该 SLC 建立该服务器的标识,称为自注册,且有效期为 250 年。这样可以将受权限保护的数据存档较长时间。根群集既处理证书(通过发放权限帐户证书 (RAC)),又处理对受权限保护的内容的授权。添加到根群集的其他服务器共享一个 SLC。在复杂环境中,可以部署仅授权群集,这会生成它们自己的 SLC。SLC 内包含服务器的公钥。
客户端许可证书 (CLC):
CLC 由 AD RMS 群集为响应客户端应用程序的请求而创建。CLC 在客户端连接到组织的网络时会发送到客户端,并授予用户在客户端未连接时发布受权限保护的内容的权限。CLC 与用户的 RAC 相关联,因此,如果 RAC 无效或不存在,用户将无法访问 AD RMS 群集。CLC 包含客户端许可方公钥以及客户端许可方私钥,该私钥由请求证书的用户的公钥加密。它还包含发放证书的群集的公钥,该公钥由发放证书的群集的私钥签名。客户端许可方私钥用于对发布许可证进行签名。计算机证书:
首次使用支持 AD RMS 的应用程序时,会在客户端计算机上创建计算机证书。Windows Vista 和 Windows 7 中的 AD RMS 客户端自动激活并注册根群集,从
而在客户端计算机上创建此证书。此证书标识计算机或设备上与登录用户的配置文件相关的密码箱。计算机证书包含已激活计算机的公钥。该计算机的密码箱包含对应的私钥。
权限帐户证书 (RAC):
RAC 在 AD RMS 系统中建立了用户的标识。它由 AD RMS 根群集创建,并在首次尝试打开受权限保护的内容时提供给用户。
标准 RAC 在特定计算机或设备环境中使用帐户凭据标识用户,且具有以天数表示的有效时间。标准 RAC 的默认有效时间是 365 天。
临时 RAC 仅基于帐户凭据标识用户,且具有以分钟数表示的有效时间。临时 RAC 的默认有效时间是 15 分钟。
RAC 包含用户的公钥,以及用户的使用已激活计算机的公钥加密的私钥。
发布许可证:
使用权限保护保存内容时,客户端会创建发布许可证。它指定可以打开受权限保护的内容的用户、用户可以打开内容的条件,以及每个用户对受权限保护的内容所具有的权限。发布许可证包含用于解密内容的对称内容密钥,该密钥使用发放许可证的服务器的公钥加密。
使用许可证:
使用许可证在特定的已验证用户的环境中指定应用于受权限保护的内容的权限。此许可证与 RAC 相关联。如果 RAC 无效或不存在,则无法通过使用许可证打开内容。使用许可证包含用于解密内容的对称内容密钥,该密钥使用用户的公钥加密
Windows Server 2008 R2活动目录灾难恢复(二):备份与恢复(1)
Windows Server 2008 R2活动目录灾难恢复(二):备份与恢复(1) ...[复制 链接]发表于 2013-3-19 21:12 |来自51CTO网页 [只看他]楼主 一、活动目录灾备简介 本次演练我们将讨论如何让域控制器从灾难状态(例如由于硬件或软件故障引起的数据库故障)进行恢复的步骤。此类灾难通常会导致域控制器失效,而且会使计算机无法正常引导;将只提供对运行 Active Directory 的域控制器(不运行其它服务)进行恢复的信息。如果该计算机上还安装有其它服务,例如域名系统 (DNS) 或 Internet 信息服务 (IIS),则可能还需要其它步骤;是基于 Windows 2008 R2备份程序 (Windows Server Backup) 的,该程序是 Windows 2008之后附带的备份应用程序。 我们假定用户具有关于 Active Directory 及其相关组件的预备知识。系统管理员可以使用本文中的信息来制定灾难恢复规划,但是还必须与本单位内部环境以及现有灾难恢复策略中的具体信息相结合。 二、灾备总述 我们本次所涉及到的灾难恢复的演示包含如下3部分: 1、灾备方案(使用Windows Server Backup进行备份) 2、主域控制器无法启动情况下进行恢复 3、两台域控制器都无法启动进行恢复 我们本次所涉及到的灾难恢复步骤: 1、当活动目录搭建完成时,进行一次完全备份,包含系统状态、活动目录数据库、卷等相关信息。 2、活动目录建立并进行完全备份之后,星期一到星期五每天通过Windows Server Backup 进行一次增量备份,每周星期6进行完全备份。 3、项目实施完成之后,当每次添加一台域控制器的时候,需要进行一次完全备份。无论是否到备份周期。 三、灾备演示 1、活动目录备份;
AD活动目录之备份与恢复
通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导: 在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
活动目录配置完整版
目录 一、活动目录配置基本知识.................................................... 1、活动目录的重要概念……………………………………… 2、活动目录安装前准备……………………………………… 3、活动目录安装……………………………………………… 二、windows2000/2003活动目录配置………………………… 1、windows2000活动目录配置……………………………… 2、windows2003活动目录配置………………………………
一、活动目录配置基本知识 1、活动目录的重要概念 (1)目录服务是一个什么东西 一个目录就是一个用于储存用户感兴趣对象信息的信息源。如一个电话号码目录储存了有关电话用户的信息。在一个文件系统中,目录就储存了有关文件的信息。 在一个分布式计算系统中或是一个公共计算机网络(如Internet)中,就有许多用户感兴趣的对象,如打印机、传真服务器、应用程序、数据库以及其他用户。用户想找到和使用这些对象,而管理人员则想管理对这些对象的使用。 在此文档中,术语目录和目录服务指在公共和私人网络中的目录。目录服务与目录的不同在于,它既是目录的信息源,而它的服务又可以使用户得到和利用信息。 (2)什么是活动目录 活动目录是Windows 2000 Server的目录服务。它扩展了以前基于Windows的目录服务,还加入了一些全新的特点。活动目录是安全的、分布式的、可分区的及可复制的。它设计成为可以在任何规模安装下良好工作,从带有几百个对象的单一服务器到成千个服务器和上百万个对象。活动目录加入了很多新的特性,使得在大规模信息的管理及在其中漫游变得很简单,为管理者和终端用户都节省了时间。 (3)为什么需要目录服务 目录服务是扩展的计算机系统的最重要组成元素之一。使用者及管理者经常不知道他们感兴趣对象的精确名字。他们可能知道对象的一个或更多属性,而且可以查询目录来得到符合属性的对象列表,例如:"查找在26楼中的所有双工打印机。"目录服务允许用户按指定属性查找任何对象。 目录服务可以: ?提高管理者定义的安全性来保证信息不受侵入者的损害。 ?将目录分布在一个网络中的多台计算机上。 ?复制目录使得更多用户获得它并且减少错误。 ?分配一个目录于多个存储介质中使得可以存储规模非常大的对象。 目录服务既是管理工具又是终端用户工具。当网络中对象的数目增加时,目录服务变得很重要。目录服务是一个大的分布系统的转换中心。 ①重要概念 用来描述活动目录的概念和术语中有些是新的,而另外一些则不是。不幸的是,一些已经采用一段时间的术语被用来表明不止一个特定事物。在继续前进之前,理解下面这些概念和术语在活动目录背景中如何定义是重要的。 ②范围
微软的教程下载
来自微软的教程~非常全面~[10-21] https://www.360docs.net/doc/d05718069.html,/download/a/e/7/ae788631-15e6-4f22-a923-ef1b663f2675/msft041305v xpm.zip Windows Server 2003从入门到精通系列之一:详细探讨Windows server 2003*作系统的安装方法 https://www.360docs.net/doc/d05718069.html,/do ... /msft041205vxpm.zip Windows Server 2003从入门到精通系列之二:创建和管理用户帐户 https://www.360docs.net/doc/d05718069.html,/do ... /msft041805vxpm.zip Windows Server 2003从入门到精通系列之三:NTFS特性在Windows 2003上的体现 https://www.360docs.net/doc/d05718069.html,/do ... /msft042005vxam.zip Windows Server 2003从入门到精通系列之四:网络共享资源的各种访问方法 https://www.360docs.net/doc/d05718069.html,/do ... b5/msft042605vx.zip Windows Server 2003从入门到精通系列之五:Windows server 2003安全策略 https://www.360docs.net/doc/d05718069.html,/do ... /msft042905vxpm.zip Windows Server 2003从入门到精通系列之六:Windows server 2003中的磁盘管理 https://www.360docs.net/doc/d05718069.html,/do ... /msft050905vxpm.zip Windows Server 2003从入门到精通系列之七:Windows server 2003灾难恢复——备份 https://www.360docs.net/doc/d05718069.html,/do ... /msft051005vxpm.zip Windows Server 2003从入门到精通系列之八:使用IPSec加强系统安全性 https://www.360docs.net/doc/d05718069.html,/do ... /msft051205vxpm.zip Windows Server 2003从入门到精通系列之九:TCP/IP协议基础 https://www.360docs.net/doc/d05718069.html,/do ... /msft051305vxpm.zip Windows Server 2003从入门到精通系列之十:Windows server 2003 服务应用大全之DNS服务使用详解 https://www.360docs.net/doc/d05718069.html,/do ... /msft051805vxpm.zip Windows Server 2003从入门到精通系列之十一:Windows server 2003 服务应用大全之DHCP服务使用详解 https://www.360docs.net/doc/d05718069.html,/do ... /msft051705vxpm.zip Windows Server 2003从入门到精通系列之十二:Windows server 2003 服务应用大全之WINS服务使用详解 https://www.360docs.net/doc/d05718069.html,/do ... /msft052305vxpm.zip
Windows Server 2012活动目录的概述与部署2018-5-12
Windows Server 2012活动目录的概述与部署 1、域架构重要性 2、活动目录的逻辑结构 3、活动目录的物理结构 三个概念: 域:用来描述一种系统架构,用来描述环境的,和“工作组”相对应,由工作组升级而来的高级架构,在域架构中,域最大优势就是可以实现统一化管理。 域的优势:可以实现统一化管理,怎么个统一化?比如张三王五赵六都要安装OFFICE,如果你部署了域架构,就没有必要跑到他们面前一个一个去安装,你只要在服务器上写一条策略,那第二天早上那三个人计算机自动装好。所以对于重复性的劳动只要做一次就可以了,只要在域控制器把安装OFFICE指令分发下去。那么他们下次开机时就会运行这个指令,在大环境上,域架构大大的节约了工作量提高了工作效率。 活动目录:是微软提供的目录服务(查询,身份验证),活动目录的核心包含了活动目录数据库,在活动目录数据库中包含了域中所有的对象(用户,计算机,组。。。。。) 域是一个广义上的概念,而活动目录就是把这广义上的概念做了具体化,活动目录做主要的事情就是用来身份验证。 域控制器:在域架构中用来管理所有客户端的服务器,是域架构的核心,每个域控制器上都包含了活动目录数据库。 所谓windows架构就两种,要么工作组,要么是域。 域是一种非常宏观的概念。 我们可以说我们的公司计算机是工作组的。他们公司是域架构的。 工作组环境管理效率是比较低的,适合比较小的环境当中。 计算机上百台的可以考虑上域架构来管理 域是架构、活动目录是服务、域控制器是服务器
在Windows server 2012 r2只有数据中心版和标准版。 文件系统必须要是NTFS格式?为什么?活动目录数据库有可能大于4GB, 下面开始建设域控制器 建设之前有个前提条件,第一步要把IP地址设好,如果第一台域控制器,而DNS要指向自己,比如IP地址是192.168.1.2,那么DNS服务器首选也要设置为192.168.1.2,或者为127.0.0.1,第二步就是要把计算名设置好,如下图。
AD活动目录域信任关系图解
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
活动目录概念和灾难恢复-
活动目录概念和灾难恢复- - 一、什么是活动目录? AD是一种事务性数据库,它是一种预先写入记录的模式,使用了ESE97的技术。在磁盘上,AD显示为几个文件,它们是ntds.dit(AD数据库),一组交易记录(即日志)和记录数据库最后一个缓冲区的检查点文件。还有一个暂时性的数据库文件。目录服务是一个组合名词,它包括有目录数据存储和可让用户或程序存取信息的相关服务的意思。为社呢们要有目录呢?目录可提供企业网络所有重要数据的一个集中存放区域,这些数据包括用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种资源。将大部分的重要的资源集中的放在某个共享的网络资源中,这样一来可以改善企业的效率与大幅减少网络的总拥有成本(TCO)。WIN 2K的目录服务使用的是多控制器模式,也就是说,可以在任意的一个控制器上修改目录资源。所以,从上我们可以得知,AD实际是个数据库,而每个DC都是重要的数据库服务器,所以,我们应象保护重要数据库一样来保护DC。 二、活动目录的几个概念 1、域:一个安全边界。 2、树:多个域的集合。 3、林:多个有关联的树。 4、DNS:通向AD的网关。DNS中的服务记录,是应用系统查询AD的根本所在。 5、GC:一个经常被查询的AD对象的索引。在本机模式下,GC参与网络客户端的登录请求处理,提供通用组成员资格,出非域管理员组成员,才可以不需要GC的协助登录网络。在混合模式下,GC就不参与登录处理了但GC对网络中进行目录查询与搜寻仍旧很重要。 6、操作主机:虽然多控制器模式是AD的核心功能,但多服务器之间的潜在冲突也使这样的方式运作出在一定的不适用性,为了解决这一问题,AD选择了一些特殊的机器来担任特殊的角色。每个角色负责处理特定AD区域的改变。 三、AD的维护和备份 1、AD的维护:通过性能监视工具监视AD的运行状态和组件状态,可以有效的发现AD故障并及时解决。 2、AD的备份:AD可以通过备份系统状态来备份,你可以在系统工具里找到备份工具来完成此工作,也可以使用第三方软件来实现。但要注意备份AD的一些约束条件: * AD只备份当前有效的数据,对于已经标记删除的对象,不备份。而AD中的对象删除并不是立即的,需要有60天的删除标记时间。因此,应避免恢复60天前的AD备份,以免导致AD不完整。 * AD的备份类型无法选择,只能使用完全备份。 * 要确保备份中同时包含系统状态、系统盘的文件以及SYSVOL目录的内容。 * 你只能用原服务器的备份来恢复该服务器,不能用另一台服务器的备份恢复该服务器。
windows server 活动目录知识点汇总
第一章部署WINDOWS域 什么是域? 将网络中的计算机逻辑上组织在一起,将其视为一个整体,进行集中管理,叫做域 什么是活动目录? 活动目录是一种目录是一种服务 什么是域控制器? 是安装了活动目录服务的一台计算机 什么是单域? 网络中只建立了一个域,我们将其称之为单域 什么是域树? 域树是具有连续的名称空间的多个域 什么是域林? 域林是由一个或者多个没有形成连续名称孔明关键的域树组成 安装域控制器的准备条件?(5个条件) 1、安装者必须具有本地管理员权限 2、操作系统版本必须满足条件 Windows NT Server Windows 2000 Server Windows Server 2003(除WEB版) Windows Server 2008(除WEB版) 不能是客户端的操作系统 3、本地磁盘至少有一个分区是NTFS文件系统 4、配置静态的ip地址和子网掩码 5、有足够的可用磁盘空间 安装域控制器的命令? dcprmo 域功能级别有哪几个?(3个) Windows 2000 Server Windows Server 2003 Windows Server 2008 客户机加入域的条件?(2个条件) 确保该计算机和域控制器互相联通 配置正确的DNS地址 组的类型有哪两个?有何区别? 安全组和通讯组 安全组:管理员通过赋予安全组访问资源的权限,而使得安全组所包含的用户也具有相应的权限,使用安全组而不是单独的用户可监护网络维护和管理工作 通讯组:没有安全方面的功能,只能用作电子邮件的通信 组的作用域有哪三个?有什么区别? 什么是OU? 本地域、全局、和通用 本地域组成员来自于全局用用范围为本域或者是当前域 全局组成员来自本地,作用范围为全局或任意域
51CTO下载-windows2003下载全集
Windows Server 2003从入门到精通系列之一:详细探讨Windows server 2003*作系统的安装方法 Windows Server 2003从入门到精通系列之二:创建和管理用户帐户 Windows Server 2003从入门到精通系列之三:NTFS特性在Windows 2003上的体现
Windows Server 2003从入门到精通系列之四:网络共享资源的各种访问方法 Windows Server 2003从入门到精通系列之五:Windows server 2003安全策略 Windows Server 2003从入门到精通系列之六:Windows server 2003中的磁盘管理
Windows Server 2003从入门到精通系列之七:Windows server 2003灾难恢复——备份 Windows Server 2003从入门到精通系列之八:使用IPSec加强系统安全性 Windows Server 2003从入门到精通系列之九:TCP/IP协议基础
Windows Server 2003从入门到精通系列之十:Windows server 2003 服务应用大全之DNS服务使用详解 Windows Server 2003从入门到精通系列之十一:Windows server 2003 服务应用大全之DHCP服务使用详解
Windows Server 2003从入门到精通系列之十二:Windows server 2003 服务应用大全之WINS服务使用详解 Windows Server 2003从入门到精通系列之十三:如何使用Windows server 2003搭建VPN服务器 Windows Server 2003从入门到精通系列之十四:利用SUS实现自动补丁管理
活动目录的好处
使用活动目录服务的好处是什么? 完全集成到Windows 2000 服务器版中的活动目录为网络管理员、开发者和用户提供了访问目录服务的能力,这样可以: ●简化管理任务 ●加强网络安全性 ●通过互操作使用现存网络 简化管理 分布式系统常常导致时间的消耗和管理的冗余。当公司在他们的基础结构上添加应用程序并雇用新的职员时,他们需要适当地向各桌面系统分发软件并管理多个应用程序目录。通过在单一的位置管理用户、组和网络资源以及分发软件和管理桌面系统配置,活动目录可以显著降低公司的管理费用。例如,活动目录在同一个位置管理Windows 2000用户和Microsoft Exchange邮箱信息。基于下列原因,活动目录可以从以下方面帮助公司简化管理: ●消除冗余管理任务提供对Windows用户账号、客户、服务器和应 用程序以及现存目录同步能力进行单一点管理。 ●降低桌面系统的行程针对用户在公司中所担当的角色自动向其分 发软件,以减少或消除系统管理员为软件安装和配置而安排的多次行程。 ●更好的实现IT资源的最大化安全地将管理功能分派到组织机构的 所有层次上。 ●降低总体拥有成本(TCO)通过使网络资源容易被定位、配置和 使用来简化对文件和打印服务的管理和使用。 活动目录如何简化管理 以层次化组织用户和网络资源,活动目录使管理员拥有对用户账号、客户、服务器和应用程序进行管理的单一点。这就减少了冗余的管理任务,同时,通过让管理员管理对象组或容器而非每个独立的对象来增加管理的准确性。 图4:活动目录简化了网络资源的管理 活动目录允许管理员分派特定的管理权限和任务给单独的用户和组,以便更好地使用系统管理资源。如上图所示,特定的管理任务,例如重新设置用户密码,可以被分派给市场机构的办公室管理员。更多的特权功能,如"创建用户",可以为IT管理员保留。 活动目录也允许组织机构针对用户在公司中所担当的角色自动地将软件分 发给他们。例如,一个公司可以指定职员容器中的所有用户(无论是从哪里登录到网络上的)均可使用人力资源管理应用程序。活动目录集中存储这些信息,同时,应用智能镜像管理技术自动安装所分配的应用程序,并给予用户访问其桌面系统的能力而无论用户正在使用网络中的哪个工作站。
包含所有的计算机视频教程
计算机视频教程 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1237 北京师范大-多媒体视频 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1240 北京理工大学编译原理串讲 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1241 北京大学计算机网络视频教程 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1243 北京大学计算机网络教程 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1245 北京大学ASP视频教学 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1246 北航微机接口视频讲座 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1248 保护劳动成果,用Photoshop为作品加上水印(Photoshop应用)https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1250 安装和配置MOM2005 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1252 安装3389终端服务 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1253 安全风险管理(下) https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1255 安全风险管理(上) https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1257 安全的Windows Mobile解决方案(下)(服务器) https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1259 安全的Windows Mobile解决方案(上)(客户端) https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1261 Word使用视频教程 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1262 word教程 OFFICE专家 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1264 Word点点通 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1266 Word长篇文档排版技巧^ https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1268 Word长篇文档排版技巧 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1270 Winzip使用技巧视频常用软件 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1272 Winrar使用技巧视频常用软件 https://www.360docs.net/doc/d05718069.html,/soft/show.asp?id=1274
Windows Server 2008活动目录组部署论文
浅谈Windows Server 2008活动目录的组策略部署摘要:在windows server 2008 active directory环境中,组策略可以使it管理员自动管理用户和计算机,从而简化管理任务并降低it成本。如何部署和配置组策略,实施安全性的设置,是it管理员在实施网络安全管理的过程中至关重要的部分,能够使管理工作变得简单化、条理化。 关键词:windows server 2008;active directory活动目录;组策略 中图分类号:tp399 文献标识码:a 文章编号:1007-9599 (2011) 22-0000-01 group policy arrangement study of windows server 2008 active directory xu wenming (college of computer science&technology,huaqiao university,quanzhou 362000,china) abstract:in windows server 2008 active directory environment,group policy enables it administrators to manage users and computers automatically,simplifying management tasks and reduce it costs.how to deploy and configure group policy to implement security settings,it administrators in the implementation of network security management a vital part of the process,enabling management to become
ad活动目录解决方案ppt
ad活动目录,解决方案,ppt 篇一:活动目录AD解决方案 客户现状:现在客户在各地共有4个办公点。每个点采用的是独立的域环境。现在客户希望将分散在各地的办公点连接起来,能够实现各地间的访问与共享。 一、客户方案:通过VPN技术实现网络的互联,并通过林间的信任来实现各地间的互相信任,以达到共享与访问。 客户的方案如下:拓扑图如下: 由于客户各地点域已经建立,现在需要做的如下: 1、DNS的转发: 作用:处理本地没有应答的DNS查询。 方法:每个域内的DNS服务器都需要做到其他域的DNS 转发,以便于DNS的解析。 2、信任关系的建立 作用:为了使不同域可以互相访问。 方法:在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。在这里建立A,B的相互信任,B,C的相互信任,C,D的相互信任,A,D的相互信任(一但前三个相互信任形成,则第四个A,D的相互信任自动形成。) 3、 WINS服务器的安装
作用:信任域间可以通过主机名称进行访问。 方法:每个域建立独立的WINS服务器,并与其他域内的WINS服务器建立“推/拉”伙伴关系,实现域间WINS服务器的同步。各域客户端WINS服务器指向本地服务器。 说明:每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。 二、单域多站点结构 方案拓扑图: 方案描述如下: 所有站点处于同一个域下,每个站点的子网不相同。在A站点建立主DC服务器,其他站点分别建立额外DC,如, , 实现方法: 1. 子网划分:分配各个站点的子网,要求子网不能够相同,比如A站点/24 B站点 /24; C站点/24; D站点/24 2. 主DC的建立:A站点域控制器集成AD与DNS服务,并且在DNS 上做转发,实现对外网的访问。在A站点建立域内主DC,DNS地址指向本地地址。 3. 额外DC的建立:首先DC
数据库管理员需掌握技术
MCDBA微软认证数据库管理员 对象对应考试课程纲要 三门核心考试: 第一部分管理和维护Microsoft Windows Server 2003 系统环境 2273 70-290 将会掌握如何进行windows2003系统的用户和计算机帐号管理,组、资源的访问;实现打印,管理打印和组织单元中的对象访问;着重了解如何使用组策略管理用户环境和管理Windows2003中的安全性;能够管理服务器与监视服务器的性能;能够维护设备驱动,管理磁盘、数据存储、冗错;掌握使用软件更新服务维护软件。 本课程目标技能 用户和组:管理用户帐户;管理组帐户;管理组策略;运用Windows 2003 组策略管理安全;利用GPMC在域间迁移GPO;使用RsoP定制和检修GP;使用FAZAM2000实施组策略控制;GPO的备份和修复; 规划、安装与配置:建立Windows Server 2003网络基础结构规划;运用Winnt和Winnt32命令行方式安装Windows Server 2003;处理安装过程中的各种问题;使用MMC工具来配置和管理计算机;数据源配置(ODBC) 备存储管理:应用Windows Server 2003的磁盘管理服务;远程存储和分级存储管理;利用磁盘管理管理单元;基本磁盘转化为动态磁盘;创建和管理RAID-0、1、5卷;利用磁盘配额管理存储;修复磁盘和卷的状态;修复RAID冗余故障。 备份与灾难恢复:建立数据备份/恢复的质量基准;编写备份批处理文件和备份脚本;使用可移动存储设备备份数据;使用Shadow Copy 技术;编制灾难恢复计划;开发、测试响应计划;根据备份进行恢复操作;活动目录的灾难恢复;注册表的灾难恢复;分析计算机崩溃的原因。 第二部分:数据库管理和维护 2072 2071 70-228 l SQL Server的结构和组件; l Transact-SQL的语句介绍; l 创建数据库、数据库索引、多表查询、以及其他高级查询技术; l 数据统计,如GROUP BY和HA VING语句等; l 管理事务和锁; l 分布式数据的处理; l 实现数据视图和存储过程。 第三部分:设计数据库 2073 70-229 l SQL Server 2000的体系结构和组件,安装和配置; l SQL Server2000的安全性问题,如怎样为服务器选择验证模式,怎样给用户和角色分配登录帐号等; l 管理数据库文件,备份和恢复数据库文件; l 用SQL Server Agent来使一些管理任务自动化,比如用电子邮件来通知操作员和建立作业等; l 数据传输; l SQL Server2000的监控和维护; l 复制的规划、建立和管理
Windows Server 2008 R2之活动目录服务部署
Windows Server 2008 R2之活动目录服务部署 测试环境: 服务器:计算机名Win2008R2CNDC,已安装Windows Server 2008 R2。 IPV4:192.168.1.13,255.255.255.0,网关地址192.168.1.1 管理员:Bill.XU 实验要求:安装第一个企业根据域控制器域名为https://www.360docs.net/doc/d05718069.html,。 部署过程: 以下操作都是以管理员Bill.XU登录完成 方法一:手动部署 1、使用事件查看器(EventVWR.MSC),查看日志情况。并要所查看情况,进行系统诊断,确保安装前系统的状态正常 2、打开网络连接,设置网卡的IP4地址为一静态地址,同时将DNS服务器地址设置为127.0.0.1 3、运行DCPROMO,出现设置向导。设置过程如下图 检测系统是否安装AD域服务二进制文件,如果没有,系统会自动安装(也可以在运行命令之前,通过服务器管理器,添加活动目录域服务角色来安装) 出现活动目录域服务安装向导,选择高级模式(如果不选择此项,安装过程中将无法对有些设置进行更改,如域Netbios名的更改等)
由于这是森林中的第一台服务器,所以选择在新林中新建域。
功能级别,所提供的功能不同。如要使用R2新增的活动目录回收站功能,必须将功能级别提升到2008 R2功能级别。要使用棵粒化密码策略,须将功能级别提升到2008。R2新增了一种功能级别即2008 R2级别。注意功能级别的操作是单向,即当提升到一个高功能级别后,它不能再降为低功能级别。除非得新安装AD域服务 具体见: Appendix of Functional Level Features
企业AD域控规划设计方案
企业活动AD域控规划方案活动目录介绍 活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.1. 应用Windows 2003 Server AD的好处 Windows 2003 Server是微软最新推出的网络操作系统服务器,它沿用了Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。 应用Windows 2003 Server的好处如下表所示: 优势描述 可靠性Windows Server 2003 是迄今为止最快、最可靠和最安全的Windows 服务器操作系统。 ●提供集成结构,用于帮助您确保商业信息的安全性。 ●提供可靠性、实用性和可伸缩性,使您可以提供用户需要的网络结构。
部署活动目录将客户机加入域
实验背景:benet公司的网络中有100台计算机。公司需要集中管理计算机和用户账户以及网络资源,这就需要建立域环境来实现,域名为https://www.360docs.net/doc/d05718069.html,。 公司网络拓扑: DC1 服务器角色:域控服务器IP:192.168.100.1/24 DC2 服务器角色:域控服务器IP:192.168.100.2/24 Client1 192.168.100.10 Client2 192.168.100.11 Client3 192.168.100.13 Client4 192.168.100.14 Client5 192.168.100.15 Client6 192.168.100.16行政部门\人事部门工程部门\销售部门\财务部门 需求描述: 在服务器dc1上安装https://www.360docs.net/doc/d05718069.html,域 将客户机cient1-----client6加入域中 实验步骤: 一.搭建实验环境 根据实验要求我们搭建实验所需要的环境 准备两台虚拟机,一台为全新的windows server 2008,一台为全新的windows2003虚拟机,其中windows server 2008作为dc1的域控,windows server 2003作为client1客户机 1.准备两台全新的虚拟机 Windows server 2008
Windows server 2003 2.修改计算机名称 修改windows 2008计算机名称为dc1,修改windows 2003计算机名称为client1,修改完成后重新启动计算机 (1)修改windows 2008计算机名称为dc1 右击计算机,选择属性---高级计算机属性---计算机名称
活动目录小结
活动目录管理及维护 部署windows域:dcpromo 注意:新建域的选项,管理者身份,操作系统,NTFS文件系统,ip及dns。 客户机加入域需注意:ip及dns,是否ping通 认识组的类型:安全组(权限),通讯组(通信)。 作用域:本地域组,全局组,通用组。 Ou:组织单位的管理 域控管理:添加额外域 作用:提供容错功能,负载均衡以及便于用户的链接和访问 注意:配置dns应指向根域,卸载时需要联机,卸载后降为域成员服务器 组策略的应用:组策略对象(GPO)和活动目录的容器---影响容器中的用户及计算机。 策略的应用顺序:LSDOU----本地—站点—域—组织单位 注意:软件分发格式为msi,文件需共享,分发方式为\\服务器名或ip地址\共享名Windows备份和灾难恢复:在功能中添加 注意:NTFS格式的卷,不能备份到磁带,计划的备份需要一个单独专用磁盘 查看磁盘:wbadmin get disks 把新加卷D:上的数据备份到新加卷E:wbadmin start backup –backuptarget:E:-include:D: 开始备份:start backup 备份储存的位置:backuptarget 要包含在备份中的项目列表:include 使用命令备份---- 显示可用磁盘:wbadmin get disks 创建备份计划:wbadmin enable backup –addtarget{可用磁盘标示符} –schedule:22:00 -include:D: -allCritical 启用备份:enable backup 备份目标位置磁盘卷(标示符):addtarget 备份执行时间:schedule 要包含在备份的项目列表:include 包含系统磁盘分区卷:allCritical 查看备份版本:wbadmin get versions 命令还原:wbadmin start recovery –version:(版本标示符)-itemtype:file –items:D:\file1.doc –recoverytarget:D:\ 开始恢复:start recovery 需要恢复的备份版本(标示符):version 需要恢复的类型,分别为volume、app、file :items 要还原到的目录:recoverytarget 任务计划:bat文件 命令:wbadmin start backup –backuptarget:E: -include:D: -quiet 活动目录备份和灾难恢复:wbadmin 系统状态备份:wbadmin start systemstatebackup –backuptarget:F: 备份的储存位置:backuptarget 自动选项:-quiet 任务备份----保存为bat格式后加:-quiet
Windows Server 2008 R2 AD活动目录域控制器安装配置手册
金航数码科技有限责任公司 Windows Server 2008 R2 AD活动目录 域控制器安装配置手册 2012年10月25日
Windows Server 2008 R2 AD活动目录域控制器安装配置手册 目 录 安装部署活动目录条件: (3) 硬件需求 (3) 软件需求 (3) 安装活动目录具体步骤: (4) 1.首先是“开始>运行”打开运行窗口 (4) 2.运行当中输入“dcpromo”开始安装活动目录 (5) 3.进入安装界面 (5) 4.新建域控制器 (6) 5.设置域控制器的域名 (7) 6.设置林功能级别 (8) 7.安装DNS服务器和全局服务 (9) 8.设置保存数据库、日志文件和SYSVOL的位置 (10) 9.设置目录还原模式的Administrator密码 (11) 10.安装完成自动重启 (12) 11.安装完成后的登陆界面 (13) 12.查看安装AD后的相关的服务,AD活动目录安装完成 (14)
安装部署活动目录条件: 硬件需求 硬件 需求 处理器 最低:1.4 GHz(x64处理器) 注意:Windows Server 2008 for Itanium-Based Systems 版本需要Intel Itanium 2处理器。 内存 最低:512 MB RAM 最大:8 GB(基础版)或32 GB(标准版)或2 TB(企业版、数据中心版及 Itanium-Based Systems 版) 可用磁盘空间 最低:32 GB或以上 基础版:10 GB或以上 注意:配备16 GB以上RAM的计算机将需要更多的磁盘空间,以进行分页处理、休眠及转储文件。 显示器 VGA(800 × 600)或更高分辨率的显示器 其他 DVD驱动器、键盘和Microsoft鼠标(或兼容的指针设备) 软件需求 软件 需求 安装权限 安装着必须具有本地管理员权限 操作系统 操作系统必须满足条件(除web版以外) 文件系统 本地磁盘至少有一个分区是NTFS文件系统 IP设置 有TCP/IP设置 DNS设置 有DNS服务器的支持 磁盘空间 有足够的可用磁盘空间