ActiveDirectory和组策略教材(30张)课件

1、第3章 Active Directory 和组策略规划基础结构服务服务器角色规划和实现组策略方案本章课程设置： 第1课 Windows Server 2008 Active Directory 第2课 Windows Server 2008 组策略1第1页，共32页。第1课 windows Server 2008 AD学习目标：列举和描述Windows Server 2008 Active Directory域服务（AD DS）的新特征和功能规划和配置域功能级别规划林功能级别规划林信任使用目录服务器2第2页，共32页。3.1.1介绍Windows Server 2008目录服务器角色目录服务器

2、角色AD DS引入的新功能：只读域控制器RODC新的和增强的工具和向导：AD DS安装向导细化的安全策略：多元密码策略可重启的AD DS：允许离线操作AD DS数据挖掘工具：可查看快照数据3第3页，共32页。3.1.1介绍Windows Server 2008 目录服务器角色1只读域控制器RODCRODC是具有 Active Directory 文件库只读版本的域控制器，可部署于域控制器安全性无法确保的环境中。包括域控制器的物理安全性有疑虑的分支机构，或者具有额外角色功能并需要其他用户登入与管理服务器的域控制器。可以把RODC管理委派给一个域用户或安全组，从而在本地管理员不是Domain Ad

3、mins组成员的地方使用RODC。 4第4页，共32页。3.1.1介绍Windows Server 2008 目录服务器角色使用案例：远程分公司的用户，一般通过广域网WAN连接到总公司的DC进行身份验证。缺点：延迟或不能登录。怎么解决？可写的DC?存放一个可写的DC和一个管理员，浪费太大。存放一个可写的DC，让管理员远程管理，带宽低，费时又棘手。存放一个可写的DC不如WAN安全。RODC解决方案：RODC提供了增强的安全性；使登录更快速，并且允许更有效地访问本地资源；RODC管理可以委派给一个没有管理权限的用户或组。5第5页，共32页。1只读域控制器RODC如果分公司使用的LOB（line-o

4、f-business）业务应用程序只有安装到一个域控制器上才能运行，也要选择部署RODC。RODC从一个可写DC接收它的配置。敏感的安全信息不被复制到RODC。用户在分公司第一次登录时通过WAN进行身份确认，然后RODC可以把凭证缓存，以后就可以在本地验证。因此，在用户相对较少，物理安全性差，网络带宽较低，IT 知识贫乏的环境下，可以采用RODC。提供了只读AD DS数据库、单向复制、凭证缓存、管理员角色分离、只读DNS（不支持客户更新）等功能。3.1.1介绍Windows Server 2008 目录服务器角色6第6页，共32页。3.1.1介绍Windows Server 2008 目录服务

5、器角色2规划RODC实现条件：远程启动Server 2008升级或有一个2008的AD DS域，即可计划实现RODC。RODC安装的两个阶段：第一阶段：为该域中的RODC创建计算机账户时，可以为特定的RODC规定密码复制策略。在RODC上安装DNS实现一个辅助的DNS服务器，可以复制该DNS使用的所有应用程序目录分区。客户更新数据，可以请求单一更新DNS。第二阶段：安装7第7页，共32页。3.1.1介绍Windows Server 2008 目录服务器角色3利用安装向导增强功能Windows Server 2008增加了AD DS安装向导，以简化AD DS安装，并引入了RODC安装等新特征。单

6、击“添加角色”输入命令dcpromo高级模式安装使你能够更好地控制安装过程。8第8页，共32页。3.1.1介绍Windows Server 2008 目录服务器角色4委派RODC安装在总公司DC中，可以委派合适的权限给一个用户或组。分支办公室的用户接受了委派权限后，就可以执行RODC的安装，并可以管理RODC，但不需要域管理员权限。过程：首先创建RODC账户；安装过程中就可以关联/委派。9第9页，共32页。3.1.1介绍Windows Server 2008 目录服务器角色5利用MMC管理单元增强功能Windows Server 2008增强了MMC管理单元工具（如AD用户和计算机）的功能。查

7、找命令：该命令允许查找放置DC的站点。可以帮助解决复制问题。提供配置“密码复制策略”选项卡，用于配置RODC的设置。单击“高级”按钮，可以查看哪些密码已被发送或存储到RODC中，也就知道谁在使用RODC。10第10页，共32页。3.1.1介绍Windows Server 2008 目录服务器角色6规划多元密码和帐户锁定策略以前的Active Directory实现中，只能对域中的所有用户应用一个密码和帐户锁定策略。Windows Server 2008允许规定多元密码策略。可以规定多个密码策略，并对单个域中的不同用户组应用不同的密码限制和账户锁定策略。密码设置容器（PSC）密码设置对象（PSO

8、）通常，规划的策略可以包含至少3个但不能多于10个PSO。不能直接将PSO应用于组织单元OU。而考虑为这些OU创建影子组（全局安全组），然后应用PSO。11第11页，共32页。3.1.1介绍Windows Server 2008 目录服务器角色6规划多元密码和帐户锁定策略将PSO应用于组而不是OU，可以不用修改OU层次结构，组为管理各用户集提供了更好的灵活性。使用多元密码，需要具有2008域功能级别。只有域管理组的成员才可以创建PSO，以及将一个PSO应用于某个组或用户。多元密码策略只能应用于用户对象和全局安全组，不能应用于计算机对象。多元密码策略不能干预自定义的密码筛选器。PSO分配给一个全

9、局组后，可以把一个特殊的PSO直接应用于特定的用户。可以计划委派多元密码管理。12第12页，共32页。3.1.1介绍Windows Server 2008 目录服务器角色7规划数据挖掘工具的使用目的：为了方便恢复被删除的AD DS对象。数据挖掘工具Dsamain.exe使被删除的数据能够以卷影复制服务VSS备份的AD DS快照方式进行保留。可以利用轻型目录访问协议工具，如ldp.exe查看这些快照中的只读数据。规划被删除数据的还原策略：决定如何最好地保留删除的数据，使它能够被还原，从而在需要的时候还原该数据。决定数据丢失后或者破坏时应还原哪个快照。确定了需要恢复的对象或OU，可以在快照中标识并

10、记录它们的属性和返回链接。考虑快照的安全问题，制订恢复计划。13第13页，共32页。3.1.1介绍Windows Server 2008 目录服务器角色8规划AD DS审核在Windows Server 2008中，全局审核策略“审核目录服务访问”默认启动。该策略控制启用还是禁用目录服务事件的审核。审核：记录事件写入“安全性”事件日志以及如何响应事件。DS访问DS改变DS复制审核DS复制被进一步细分，提供两个审核级别的选择：正常和详细。如何响应事件： “将任务附加到该事件”。14第14页，共32页。3.1.2 规划域和林功能将域和林升级到Windows Server 2008时，总会提升域和林

11、的功能级别。提升功能级别非常容易，但是不可能降低它们，除了卸载重装。要规划需要为域设置什么功能级别以及什么时候提升功能，需要知道每个功能级别支持什么DC以及提升功能级别提供哪些附加功能，还需要知道域和林功能级别之间的关系。域功能级别考虑因素林功能级别考虑因素15第15页，共32页。3.1.3 规划林级信任林信任（即林级信任）允许一个林中的每个域信任另一个林中的每个域。可以是单向传入信任、单向传出信任或双向信任。应用：伙伴公司或密切联系的组织之间可以使用林信任。林信任可能构成并购或者接管战略的组成部分。对AD隔离也可以使用林信任。16第16页，共32页。1规划信任类型和信任方向类型：林信任：最常

12、见的跨林运作的信任类型。快捷方式信任外部信任：林中的一个域需要与一个不属于林的域建立信任关系，则建立一个域信任。领域信任：Unix领域和Windows域之间，通过Kerberos身份验证，建立信任。信任方向：单向（传入、传出）、双向3.1.3 规划林级信任17第17页，共32页。3.1.3 规划林级信任2创建林信任在创建前，需要确保两个林的林功能级别是Windows Server 2003 或 Windows Server 2008。下一步是确保每个林的根域可以访问其他林的根域。从“管理工具”中打开“Active Directory域和信任关系”。启动“新建信任向导”。18第18页，共32页。

13、本课小结 Windows Server 2008 引入许多新的AD DS功能，包括RODC、多元安全策略和数据挖掘工具等。 在分支办公室中，如果可写入的DC可能成为一种安全威胁，则可以安装RODC来改进登录和DNS解析。 可以配置PSO以存储不同于域策略的密码和账户锁定策略，可以将用户和安全组与一个PSO关联。 数据挖掘工具使被删除的AD DS 或AD LDS数据能够以VSS获得的AD DS快照方式保留下来。 Windows Server 2008 增强了MMC管理单元工具的功能。 增强了AD DS审核功能，允许判定AD DS发生了什么改变以及这些改变是何时发生的。 林级信任允许一个林中的某个

14、域的用户访问另一个林中的某个域中的资源。19第19页，共32页。第2课 Windows Server 2008组策略组策略通过自动完成很多与用户和计算机管理相关的任务来简化管理。可以使用组策略在客户端按需安装允许的应用程序，并使应用程序保持更新。 在Windows Server 2008中，组策略管理控制台（GPMC）是内置的。通过“添加功能向导”可以安装GPMC。 管理模板（ADM）文件用来描述基于注册表的组策略设置。在Windows Server 2008中ADM文件被替换为XML格式的ADMX文件，使管理更加容易。20第20页，共32页。第2课 Windows Server 2008 组

15、策略学习目标：了解组策略，安装GPMC列举Windows Server 2008 引入的新的组策略设置和说明它们的功能编写简单的ADMX文件讨论配置组策略时可能发生的各种问题以及如何解决它们21第21页，共32页。3.2.1 了解组策略组策略对象（GPO）中包含的组策略设置可以链接到OU，而OU既可以从父OU继承设置，也可以阻断继承，并从它们自己链接的GPO获得特定的设置。策略（特别是安全策略）可以设置为“不覆盖”，使它们不能被阻断或覆盖，并强制子OU从父OU继承设置。22第22页，共32页。Windows Server 2008引入了下列组策略设置：允许远程启动未列出的程序允许时间区域重定向

16、在连接时始终显示桌面磁盘诊断：配置自定义警告文本、配置执行级别不允许剪贴板重定向登录时不自动显示初始配置任务窗口登录时不显示服务器管理器页面实施远程桌面墙纸的删除组策略管理编辑器 3.2.1 了解组策略23第23页，共32页。3.2.2 规划和管理组策略规划组策略的部分工作是规划组织结构。保持结构简单，不要跨站点边界链接OU和GPO，赋予OU和GPO有意义的名称。充分了解组策略在客户端是如何处理的。处理分如下两个阶段：核心处理：核心组策略引擎在初始阶段处理。连接DC，是否有GPO被修改，以及哪些策略设置必须处理。客户端扩展（CSE）处理：从DC下来的组策略设置被放到了不同的分类，每个分类的设置

17、都有一个特定的CSE处理。核心组策略引擎调用所需的CSE来处理客户端应用的设置。24第24页，共32页。3.2.2 规划和管理组策略1使用ADMX文件管理组策略ADMX是用来定义注册表的策略设置。使用基于XML的文件格式。ADMX文件分为语言中立资源（.admx文件）和语言特定的资源（.adml文件）。2ADMX位置ADMX文件可以存储在一个中心位置。这就大大减少了维护GPO所需的存储空间。中心存储位置不是默认可用的，而是需要人工创建它。25第25页，共32页。3.2.2 规划和管理组策略3创建自定义的ADMX文件如果Windows Serer 2008所带的标准组策略设置不能满足要求，可以考

18、虑创建自定义的ADMX文件。ADMX修改注册表。所以要在隔离的试验网络上对自定义的ADMX文件进行测试，不能把它们直接安装到生产网络上。使用XML编辑器或文本编辑器可以创建和编辑ADMX文件。XML文件是区分大小写的。26第26页，共32页。3.2.3 组策略疑难解答组策略是健壮的，几乎不会break。由于策略继承和OU结构设计得不正确，组策略会不起作用。调试组策略的第一步，通常是检查正确地规划和实现了域基础结构。确保所需的服务和组件都如期望的那样运行和配置。如果某一个有问题，首先验证是否被连入网络，加入了域，具有正确的系统时间。其次检查你配置的安全筛选等设置有没有影响正常的GPO处理。27第

19、27页，共32页。3.2.3 组策略疑难解答1使用组策略工具GPResult.exe：验证对某个特定用户或计算机起作用的所有策略设置。GPOTool.exe：一个资源工具包，检查域的每个DC上的GPO一致性，以及确定这些策略是否有效，显示有关复制的GPO的详细信息。2解决核心处理问题如果核心处理没有快速有效地发生，CSE处理可能无法开始，组策略得不到应用。28第28页，共32页。本课小结 GPMC与Windows Server 2008紧密集成，使用服务器管理器可以安装该工具。 Windows Server 2008 引入了许多组策略设置，特别是与TS服务器角色有关的设置。 ADMX语言中立和

20、语言特定的文件定义Windows Server 2008域中可配置的组策略设置。这些文件可以存储在DC上的一个中心存储位置，需要在某个DC上创建该中心存储位置。DFSR把它复制到域中的其他DC。 有各种各样的工具可以帮助解决组策略问题，其中最有用的是使用GPMC保存GPO报告的功能。29第29页，共32页。本章小结P134 3.1.5 本课小结P152 3.2.5 本课小结P154 本章小结P134 3.1.6 复习题P152 3.2.6 复习题P154 关键术语30第30页，共32页。1、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你努力的不够多。2、孤单一人的时间使自己变得优秀，

21、给来的人一个惊喜，也给自己一个好的交代。3、命运给你一个比别人低的起点是想告诉你，让你用你的一生去奋斗出一个绝地反击的故事，所以有什么理由不努力!4、心中没有过分的贪求，自然苦就少。口里不说多余的话，自然祸就少。腹内的食物能减少，自然病就少。思绪中没有过分欲，自然忧就少。大悲是无泪的，同样大悟无言。缘来尽量要惜，缘尽就放。人生本来就空，对人家笑笑，对自己笑笑，笑着看天下，看日出日落，花谢花开，岂不自在，哪里来的尘埃!5、心情就像衣服，脏了就拿去洗洗，晒晒，阳光自然就会蔓延开来。阳光那么好，何必自寻烦恼，过好每一个当下，一万个美丽的未来抵不过一个温暖的现在。6、无论你正遭遇着什么，你都要从落魄中

22、站起来重振旗鼓，要继续保持热忱，要继续保持微笑，就像从未受伤过一样。7、生命的美丽，永远展现在她的进取之中;就像大树的美丽，是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽，是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽，是展现在它波涛汹涌一泻千里的奔流中。8、有些事，不可避免地发生，阴晴圆缺皆有规律，我们只能坦然地接受;有些事，只要你愿意努力，矢志不渝地付出，就能慢慢改变它的轨迹。9、与其埋怨世界，不如改变自己。管好自己的心，做好自己的事，比什么都强。人生无完美，曲折亦风景。别把失去看得过重，放弃是另一种拥有;不要经常艳羡他人，人做到了，心悟到了，相信属于你的风景就在下一个拐弯处。1

23、0、有些事想开了，你就会明白，在世上，你就是你，你痛痛你自己，你累累你自己，就算有人同情你，那又怎样，最后收拾残局的还是要靠你自己。11、人生的某些障碍，你是逃不掉的。与其费尽周折绕过去，不如勇敢地攀登，或许这会铸就你人生的高点。12、有些压力总是得自己扛过去，说出来就成了充满负能量的抱怨。寻求安慰也无济于事，还徒增了别人的烦恼。13、认识到我们的所见所闻都是假象，认识到此生都是虚幻，我们才能真正认识到佛法的真相。钱多了会压死你，你承受得了吗?带，带不走，放，放不下。时时刻刻发悲心，饶益众生为他人。14、梦想总是跑在我的前面。努力追寻它们，为了那一瞬间的同步，这就是动人的生命奇迹。15、懒惰不

24、会让你一下子跌倒，但会在不知不觉中减少你的收获;勤奋也不会让你一夜成功，但会在不知不觉中积累你的成果。人生需要挑战，更需要坚持和勤奋!16、人生在世：可以缺钱，但不能缺德;可以失言，但不能失信;可以倒下，但不能跪下;可以求名，但不能盗名;可以低落，但不能堕落;可以放松，但不能放纵;可以虚荣，但不能虚伪;可以平凡，但不能平庸;可以浪漫，但不能浪荡;可以生气，但不能生事。17、人生没有笔直路，当你感到迷茫、失落时，找几部这种充满正能量的电影，坐下来静静欣赏，去发现生命中真正重要的东西。18、在人生的舞台上，当有人愿意在台下陪你度过无数个没有未来的夜时，你就更想展现精彩绝伦的自己。但愿每个被努力支撑

25、的灵魂能吸引更多的人同行。第31页，共32页。1、想要体面生活，又觉得打拼辛苦；想要健康身体，又无法坚持运动。人最失败的，莫过于对自己不负责任，连答应自己的事都办不到，又何必抱怨这个世界都和你作对？人生的道理很简单，你想要什么，就去付出足够的努力。2、时间是最公平的，活一天就拥有24小时，差别只是珍惜。你若不相信努力和时光，时光一定第一个辜负你。有梦想就立刻行动，因为现在过的每一天，都是余生中最年轻的一天。3、无论正在经历什么，都请不要轻言放弃，因为从来没有一种坚持会被辜负。谁的人生不是荆棘前行，生活从来不会一蹴而就，也不会永远安稳，只要努力，就能做独一无二平凡可贵的自己。4、努力本就是年轻人

26、应有的状态，是件充实且美好的事，可一旦有了表演的成分，就会显得廉价，努力，不该是为了朋友圈多获得几个赞，不该是每次长篇赘述后的自我感动，它是一件平凡而自然而然的事，最佳的努力不过是：但行好事，莫问前程。愿努力，成就更好的你！5、付出努力却没能实现的梦想，爱了很久却没能在一起的人，活得用力却平淡寂寞的青春，遗憾是每一次小的挫折，它磨去最初柔软的心智、让我们懂得累积时间的力量；那些孤独沉寂的时光，让我们学会守候内心的平和与坚定。那些脆弱的不完美，都会在努力和坚持下，改变模样。6、人生中总会有一段艰难的路，需要自己独自走完，没人帮助，没人陪伴，不必畏惧，昂头走过去就是了，经历所有的挫折与磨难，你会发现，自己远比想象中要强大得多。多走弯路，才会找到捷径，经历也是人生，修炼一颗强大的内心，做更好的自己！7、“一定要成功”这种内在的推动力是我们生命中最神奇最有趣的东西。一个人要做成大事，绝不能缺少这种力量，因为这种力量能够驱动人不停地提高自己的能力。一个人只有先在心里肯定自己，相信自己，才能成就自己！8、人生的旅途中，最清晰的脚印，往往印在最泥泞的路上，所以，别畏惧暂时的困顿，即使无人鼓掌，也要全情投入，优雅坚