第3章ActiveDirectory和组策略ppt课件

1、第3章 Active Directory 和组战略规划根底构造效力效力器角色规划和实现组战略方案本章课程设置： 第1课 Windows Server 2021 Active Directory 第2课 Windows Server 2021 组战略1第1课 windows Server 2021 AD学习目的：列举和描画Windows Server 2021 Active Directory域效力AD DS的新特征和功能规划和配置域功能级别规划林功能级别规划林信任运用目录效力器23.1.1引见Windows Server 2021目录效力器角色目录效力器角色AD DS引入的新功能：只读域控制器

2、RODC新的和加强的工具和导游：AD DS安装导游细化的平安战略：多元密码战略可重启的AD DS：允许离线操作AD DS数据发掘工具：可查看快照数据33.1.1引见Windows Server 2021 目录效力器角色1只读域控制器RODCRODC是具有 Active Directory 文件库只读版本的域控制器，可部署于域控制器平安性无法确保的环境中。包括域控制器的物理平安性有疑虑的分支机构，或者具有额外角色功能并需求其他用户登入与管理效力器的域控制器。可以把RODC管理委派给一个域用户或平安组，从而在本地管理员不是Domain Admins组成员的地方运用RODC。 43.1.1引见Win

3、dows Server 2021 目录效力器角色运用案例：远程分公司的用户，普统统过广域网WAN衔接到总公司的DC进展身份验证。缺陷：延迟或不能登录。怎样处理？可写的DC?存放一个可写的DC和一个管理员，浪费太大。存放一个可写的DC，让管理员远程管理，带宽低，费时又棘手。存放一个可写的DC不如WAN平安。RODC处理方案：RODC提供了加强的平安性；使登录更快速，并且允许更有效地访问本地资源；RODC管理可以委派给一个没有管理权限的用户或组。51只读域控制器RODC假设分公司运用的LOBline-of-business业务运用程序只需安装到一个域控制器上才干运转，也要选择部署RODC。RODC

4、从一个可写DC接纳它的配置。敏感的平安信息不被复制到RODC。用户在分公司第一次登录时经过WAN进展身份确认，然后RODC可以把凭证缓存，以后就可以在本地验证。因此，在用户相对较少，物理平安性差，网络带宽较低，IT 知识贫乏的环境下，可以采用RODC。提供了只读AD DS数据库、单向复制、凭证缓存、管理员角色分别、只读DNS不支持客户更新等功能。3.1.1引见Windows Server 2021 目录效力器角色63.1.1引见Windows Server 2021 目录效力器角色2规划RODC实现条件：远程启动Server 2021晋级或有一个2021的AD DS域，即可方案实现RODC。R

5、ODC安装的两个阶段：第一阶段：为该域中的RODC创建计算机账户时，可以为特定的RODC规定密码复制战略。在RODC上安装DNS实现一个辅助的DNS效力器，可以复制该DNS运用的一切运用程序目录分区。客户更新数据，可以恳求单一更新DNS。第二阶段：安装73.1.1引见Windows Server 2021 目录效力器角色3利用安装导游加强功能Windows Server 2021添加了AD DS安装导游，以简化AD DS安装，并引入了RODC安装等新特征。单击“添加角色输入命令dcpromo高级方式安装使他可以更好地控制安装过程。83.1.1引见Windows Server 2021 目录效力

6、器角色4委派RODC安装在总公司DC中，可以委派适宜的权限给一个用户或组。分支办公室的用户接受了委派权限后，就可以执行RODC的安装，并可以管理RODC，但不需求域管理员权限。过程：首先创建RODC账户；安装过程中就可以关联/委派。93.1.1引见Windows Server 2021 目录效力器角色5利用MMC管理单元加强功能Windows Server 2021加强了MMC管理单元工具如AD用户和计算机的功能。查找命令：该命令允许查找放置DC的站点。可以协助处理复制问题。提供配置“密码复制战略选项卡，用于配置RODC的设置。单击“高级按钮，可以查看哪些密码已被发送或存储到RODC中，也就知

7、道谁在运用RODC。103.1.1引见Windows Server 2021 目录效力器角色6规划多元密码和帐户锁定战略以前的Active Directory实现中，只能对域中的一切用户运用一个密码和帐户锁定战略。Windows Server 2021允许规定多元密码战略。可以规定多个密码战略，并对单个域中的不同用户组运用不同的密码限制和账户锁定战略。密码设置容器PSC密码设置对象PSO通常，规划的战略可以包含至少3个但不能多于10个PSO。不能直接将PSO运用于组织单元OU。而思索为这些OU创建影子组全局平安组，然后运用PSO。113.1.1引见Windows Server 2021 目录效

8、力器角色6规划多元密码和帐户锁定战略将PSO运用于组而不是OU，可以不用修正OU层次构造，组为管理各用户集提供了更好的灵敏性。运用多元密码，需求具有2021域功能级别。只需域管理组的成员才可以创建PSO，以及将一个PSO运用于某个组或用户。多元密码战略只能运用于用户对象和全局平安组，不能运用于计算机对象。多元密码战略不能干涉自定义的密码挑选器。PSO分配给一个全局组后，可以把一个特殊的PSO直接运用于特定的用户。可以方案委派多元密码管理。123.1.1引见Windows Server 2021 目录效力器角色7规划数据发掘工具的运用目的：为了方便恢复被删除的AD DS对象。数据发掘工具Dsam

9、ain.exe使被删除的数据可以以卷影复制效力VSS备份的AD DS快照方式进展保管。可以利用轻型目录访问协议工具，如ldp.exe查看这些快照中的只读数据。规划被删除数据的复原战略：决议如何最好地保管删除的数据，使它可以被复原，从而在需求的时候复原该数据。决议数据丧失后或者破坏时应复原哪个快照。确定了需求恢复的对象或OU，可以在快照中标识并记录它们的属性和前往链接。思索快照的平安问题，制定恢复方案。133.1.1引见Windows Server 2021 目录效力器角色8规划AD DS审核在Windows Server 2021中，全局审核战略“审核目录效力访问默许启动。该战略控制启用还是禁

10、用目录效力事件的审核。记录事件写入“平安性事件日志以及如何呼应事件。DS访问DS改动DS复制审核DS复制被进一步细分，提供两个审核级别的选择：正常和详细。如何呼应事件： “将义务附加到该事件。143.1.2 规划域和林功能将域和林晋级到Windows Server 2021时，总会提升域和林的功能级别。提升功能级别非常容易，但是不能够降低它们，除了卸载重装。要规划需求为域设置什么功能级别以及什么时候提升功能，需求知道每个功能级别支持什么DC以及提升功能级别提供哪些附加功能，还需求知道域和林功能级别之间的关系。域功能级别思索要素林功能级别思索要素153.1.3 规划林级信任林信任即林级信任允许一

11、个林中的每个域信任另一个林中的每个域。可以是单向传入信任、单向传出信任或双向信任。运用：同伴公司或亲密联络的组织之间可以运用林信任。林信任能够构成并购或者接纳战略的组成部分。对AD隔离也可以运用林信任。161规划信任类型和信任方向类型：林信任：最常见的跨林运作的信任类型。快捷方式信任外部信任：林中的一个域需求与一个不属于林的域建立信任关系，那么建立一个域信任。领域信任：Unix领域和Windows域之间，经过Kerberos身份验证，建立信任。信任方向：单向传入、传出、双向3.1.3 规划林级信任173.1.3 规划林级信任2创建林信任在创建前，需求确保两个林的林功能级别是Windows Se

12、rver 2003 或 Windows Server 2021。下一步是确保每个林的根域可以访问其他林的根域。从“管理工具中翻开“Active Directory域和信任关系。启动“新建信任导游。18本课小结 Windows Server 2021 引入许多新的AD DS功能，包括RODC、多元平安战略和数据发掘工具等。 在分支办公室中，假设可写入的DC能够成为一种平安要挟，那么可以安装RODC来改良登录和DNS解析。 可以配置PSO以存储不同于域战略的密码和账户锁定战略，可以将用户和平安组与一个PSO关联。 数据发掘工具使被删除的AD DS 或AD LDS数据可以以VSS获得的AD DS快照

13、方式保管下来。 Windows Server 2021 加强了MMC管理单元工具的功能。 加强了AD DS审核功能，允许断定AD DS发生了什么改动以及这些改动是何时发生的。 林级信任允许一个林中的某个域的用户访问另一个林中的某个域中的资源。19第2课 Windows Server 2021组战略组战略经过自动完成很多与用户和计算机管理相关的义务来简化管理。可以运用组战略在客户端按需安装允许的运用程序，并使运用程序坚持更新。 在Windows Server 2021中，组战略管理控制台GPMC是内置的。经过“添加功能导游可以安装GPMC。 管理模板ADM文件用来描画基于注册表的组战略设置。在W

14、indows Server 2021中ADM文件被交换为XML格式的ADMX文件，使管理更加容易。20第2课 Windows Server 2021 组战略学习目的：了解组战略，安装GPMC列举Windows Server 2021 引入的新的组战略设置和阐明它们的功能编写简单的ADMX文件讨论配置组战略时能够发生的各种问题以及如何处理它们213.2.1 了解组战略组战略对象GPO中包含的组战略设置可以链接到OU，而OU既可以从父OU承继设置，也可以阻断承继，并从它们本人链接的GPO获得特定的设置。战略特别是平安战略可以设置为“不覆盖，使它们不能被阻断或覆盖，并强迫子OU从父OU承继设置。22

15、Windows Server 2021引入了以下组战略设置：允许远程启动未列出的程序允许时间区域重定向在衔接时一直显示桌面磁盘诊断：配置自定义警告文本、配置执行级别不允许剪贴板重定向登录时不自动显示初始配置义务窗口登录时不显示效力器管理器页面实施远程桌面墙纸的删除组战略管理编辑器 3.2.1 了解组战略233.2.2 规划和管理组战略规划组战略的部分任务是规划组织构造。坚持构造简单，不要跨站点边境链接OU和GPO，赋予OU和GPO有意义的称号。充分了解组战略在客户端是如何处置的。处置分如下两个阶段：中心处置：中心组战略引擎在初始阶段处置。衔接DC，能否有GPO被修正，以及哪些战略设置必需处置。

16、客户端扩展CSE处置：从DC下来的组战略设置被放到了不同的分类，每个分类的设置都有一个特定的CSE处置。中心组战略引擎调用所需的CSE来处置客户端运用的设置。243.2.2 规划和管理组战略1运用ADMX文件管理组战略ADMX是用来定义注册表的战略设置。运用基于XML的文件格式。ADMX文件分为言语中立资源.admx文件和言语特定的资源.adml文件。2ADMX位置ADMX文件可以存储在一个中心位置。这就大大减少了维护GPO所需的存储空间。中心存储位置不是默许可用的，而是需求人工创建它。253.2.2 规划和管理组战略3创建自定义的ADMX文件假设Windows Serer 2021所带的规范

17、组战略设置不能满足要求，可以思索创建自定义的ADMX文件。ADMX修正注册表。所以要在隔离的实验网络上对自定义的ADMX文件进展测试，不能把它们直接安装到消费网络上。运用XML编辑器或文本编辑器可以创建和编辑ADMX文件。XML文件是区分大小写的。263.2.3 组战略疑问解答组战略是强壮的，几乎不会break。由于战略承继和OU构造设计得不正确，组战略会不起作用。调试组战略的第一步，通常是检查正确地规划和实现了域根底构造。确保所需的效力和组件都如期望的那样运转和配置。假设某一个有问题，首先验证能否被连入网络，参与了域，具有正确的系统时间。其次检查他配置的平安挑选等设置有没有影响正常的GPO处置。273.2.3 组战略疑问解答1运用组战略工具GPResult.exe：验证对某个特定用户或计算机起作用的一切战略设置。GPOTool.exe：一个资源工具包，检查域的每个DC上的GPO一致性，以及确定这些战略能否有效，显示有关复制的GPO的详细信息。2处理中心处置问题假设中心处置没有快速有效地发生，CSE处置能够无法开场，组战略得不到运用。28本课小结 GPMC与Windows Server 2021严密集成，运用效力器管理器可以安装该工具。 Wind