學習Windows2008——設計活動目錄

正確設計Windows Server2008活動目錄域服務（ADDS）結構是成功部署該技術的關鍵要素。

1. 域設計

2. 審視域信任——包括可傳遞信任、顯式信任、捷徑信任、跨森林可傳遞信任。

3. 選擇域名稱空間——決定ADDS將佔用的一個通用域名系統（DNS）名稱空間。ADDS圍繞DNS展開工做而且二者不能分割。但注意：如在因特網中註冊一個AD名稱空間則可能暴露給入侵者；所以要考慮好使用內部名稱空間仍是外部名稱空間，或者將多個名稱空間結合到一個森林中。

4. 分析域設計特性——精細粒度口令策略、域重命名功能、跨森林可傳遞信任、經過媒體提高域控制器。

5. 選擇域結構——設計ADDS域結構的一個基本原則：從簡單開始，而後僅在必要時予以擴展以解決特殊的需求。域主要的設計模型以下：單域模型、多域模型、單森林中的多樹模型、聯合森林設計模型、同位體根（peer-root）模型、佔位符域模型、專用域模型。

單域的好處是簡單、實現了集中式管理。缺點是可能不徹底適合公司所須要，因爲單域要求充當模式主控角色的計算機必須位於此域中，這樣會講模式主控放置在包含全部用戶帳戶的域中，使模式暴露的風險增大。因而設計將模式主控分離到佔位符域的模型能夠達到解決風險。

若是在基礎結構內存在以下特性，則可能有必要向現有的域結構中添加子域：

分佈式管理——若是一個公司一般由其不一樣的分支機構管理它們本身的IT結構而且從此不打算將它們合併到一個集中式模型中，那麼採用多個互連的域多是理想的結構。

地理限制——若是極低速率鏈路或不可靠的鏈路以及地理上較遠的距離分割公司不一樣的部門，那麼將用戶羣體劃分到分離的域中或許是明智的作法。而其中地理分佈建立域的主要緣由可能在於提升管理的靈活性。

惟一的DNS名稱空間問題

增強安全性考慮——根據公司的須要，將模式主控角色分離到一個與用戶隔離的域中多是合適的作法。在這種狀況下，單域模型再也不適用而採用諸如同位體根或佔位符這樣的模型更加適合。

多域模型

單個森林中的多樹模型——例如你的公司想考慮使用ADDS並但願將外部名稱空間用於公司的設計。可是公司當前的環境使用了多個DNS名稱空間並須要將它們集成到同一個設計中。多個名稱空間如：hotmail.com、microsoft.com、msn.com、msnbc.com。在此設計中只有一個域是森林的根。在這個示例中microsoft.com是根域而且只有這個域可以控制到森林模式的訪問權。域之間的全部信任關係均是可傳遞的，而且信任能夠從一個域流動到另外一個域。通常是依據分離的DNS名稱空間，須要整合這些名稱空間時 採用。例如政府部門中的消防、公安、公交、醫療等部門。

聯合森林設計模型——實現的特性是跨森林可傳遞信任。容許使用徹底分離的模式在兩個森林之間創建可傳遞信任，從而使森林之間的用戶可以共享信息並驗證用戶。它很是適合於以下兩種不一樣的情景。一種是當企業出現收購、併購和其餘形式的組織重組時就聯合兩個異類的ADDS結構。在這些狀況下，須要連接兩個AD森林以交換信息。另外一種是公司內的不一樣部門或子公司不只要求絕對安全性和IT結構的全部權並且須要交換信息的狀況。有時採用這種設計是因爲須要對公司的不一樣部門之間的安全性進行完全地隔離。

空根域模型——模式是ADDS的一個最重要的組件，應該獲得嚴密的保護和監管。而空根域模型就是爲了將模式的密鑰與用戶羣體相隔離的一種可供考慮的明智選擇。着重於安全性的選擇。這種模型的好處：安全、能夠靈活地重命名域、添加域而且實際上能夠移入和移出子域而不須要重命名森林。

專用域設計模型——專用域或森林是服務於特殊需求而創建的。好比公司能夠設置一個專用域來容納外部承包商或臨時工人，以限制使用ADDS主森林。分離的專用域的另外一種可能用法是駐留具備目錄服務能力的應用程序，處於安全性或其餘緣由，這些應用程序要求自身具備對模式的獨佔訪問權。經過創建跨森林信任關係來容許共享兩個環境之間的信息。

域重命名有諸多限制：

不能減小森林中域的數量——不能使用域重命名工具從森林中刪除額外的域。但可使用ADMT來執行域合併任務。

不能降級當前的根域——儘管域重命名工具能夠將域從ADDS名稱空間的一部分拼接和移植到另外一部分，可是不能更改樹中的根域。但能夠重命名根域。

不能在一個週期內轉變當前的域名——一個生產域不能命名爲與同一個森林中存在的另外一個生產域相同的名稱。容許執行域重命名過程兩次來得到這種指望的功能。

域重命名的先決條件：

1. 整個森林必須處於Windows Server2003或Windows Server2008功能級別上

2. 必須建立新的DNS區域——一個域的DNS服務器必須爲域將重命名到的新域名稱空間添加一個區域。

3. 必須從控制檯服務器上執行域重命名——一個成員Windows Server2008計算機（而不是域控制器）必須充當域重命名過程的控制檯服務器。

4. 可能須要建立捷徑信任關係——移接到ADDS森林中某個新位置的任何域都須要在它自身和它將移植到的父域之間創建捷徑信任。

僅在沒有其餘備選方案時才謹慎地使用域重命名。 

除了前面列出的限制和先決條件外，域重命名的大部分障礙是以森林中斷的形式出現的，這是因爲森林中全部計算機的重啓形成的。在知足先決條件以後，能夠經過6個基本步驟來實現整個域重命名過程。此例行程序對網絡要求至關苛刻，由於它會形成網絡基礎設施中止運行而不該該視爲一種常見的操做。

步驟1：列出當前的森林描述。用於域重命名的工具稱爲Rendom。從控制檯服務器上運行的第一個程序是rendom /list，它用於定位域中的域控制器並將全部域名信息解析到一個名爲Domainlist.xml的XML文檔 中 。

步驟2：使用新的域名修改森林描述。必須使用新的域名信息修改經過/list標記生成的XML文件。此步驟使用NetBOIS和DNS名稱

步驟3：將重命名腳本上載到域控制器（DC）。在使用新的域信息更新XML文檔以後，經過使用rendom /upload命令能夠將此文檔上載到森林中的全部域控制器。此程序將指令和新的域信息向上複製到森林內的全部域控制器。

步驟4：爲域重命名準備好域控制器。域重命名是一個全面完全的過程，由於森林中的全部域控制器接收到更新信息是絕對必需的。所以，有必要運行rendom /prepare發起準備過程，以檢查ADDS中列出的每一個單域控制器是否響應並指示已準備好升級。不過不是全部單域域控制器都予以響應，準備活動失敗後必須從新開始。採用此預防措施能夠防止關機或跨越網絡不可訪問的域控制器隨後出如今網絡上並企圖用舊的域名爲客戶機提供服務。

步驟5：執行域重命名程序。在全部域控制器確定地響應準備操做之後，能夠經過從控制檯服務器上運行rendom /execute命令開始實際的域重命名。在運行execute命令以前，實際上沒有對生產環境作出更改。可是，當運行此明明時全部域控制器會進行更改並自動重啓。而後必須創建一種重啓全部成員服務器、工做站及其餘客戶機的方法，而且隨後將它們重啓兩次以確保全部服務接收到域命名變化。

步驟6：重命名以後的任務。Rendom任務中的最後一個步驟是運行Rendom /clean操做，它將刪除在域控制器上建立的臨時文件並將域返回到正常操做狀態。除了清除任務之外，須要有效重命名每一個域控制器，更改它的主DNS後綴。每一個域控制器都須要通過這個操做，能夠經過netdom命令行實用程序來執行此操做。以下步驟概述了域控制器的重命名過程：

1. 打開CMD

2. 輸入netdom computername Oldsevername /add:NewServerName

3. 輸入netdom computername Oldsevername /makeprimary:NewServerName

4. 重啓服務器

5. 輸入netdom computername NewServerName /remove:Oldsevername

 

 組織單元OU和組結構都可定製以知足幾乎全部業務需求。

組織單元是一種管理級容器，用於在邏輯上組織ADDS中的對象。推薦獎用戶和計算機對象從他們默認的容器轉移到OU結構中。

OU結構能夠嵌套或者能夠包含多層深的子OU。可是要記住OU結構越複雜，管理越複雜，而且目錄查詢將消耗更多的時間。微軟推薦嵌套的深度不要超過10層。

OU主要用於知足將管理權委託給分離的管理員組的須要。

OU不會面臨目錄的威脅，所以在如下狀況下會使用OU：當用戶但願向OU的成員發送電子郵件，他將看不到OU結構也看不到OU分組中的成員。爲了查看一個組織結構中的成員，應該建立ADDS組。當用戶但願列出組織中的成員和組時能夠將組暴露給目錄而且讓用戶看到。

組用於在邏輯上將用戶組織到一個便於識別的結構中。但它的工做方式與OU有一些重大的區別，區別以下：

組成員對用戶時可見的——儘管OU的可見性被限制在使用特殊管理工具的管理員，可是全部參與域活動的用戶均可以查看組。

多個組中的成員資格——OU相似於文件系統的文件夾結構。換句話說，一次僅能將文件保留在一個文件夾中。可是，組成員資格並非獨佔的。用戶能夠成爲許多組中任何一個組的成員，而且能夠隨時更改她在該組中的成員資格。

做爲安全規則的組——ADDS中的每一個安全組在建立後都含有一個與其相關聯的惟一安全標示符（SID）。OU沒有相關聯的訪問控制實體（ACE）並所以不能被應用到對象級別的安全性。這是一個很是顯著的區別，由於安全組容許用戶根據組成員資格准許或拒絕安全訪問資源。可是須要注意的是，此狀況的例外是不用於安全性的分配組。

郵件啓用組功能——經過分配組和郵件啓用的安全組，用戶能夠向一個組發送電子郵件達到羣發效果。

 

組表現爲兩種形式：安全組、分配組

組按做用範圍分：機器本地組、域本地組、全局組、通用組。

OU設計也應該保持簡單而且只有在存在必須建立OU的特殊需求下才對其予以擴展。在多數狀況下建立OU最有說服力的緣由經常侷限於委託管理權限。

OU設計過程當中的第一步是肯定在OU結構內組織用戶、計算機和其餘域對象的最佳方法。切忌過分使用。

管理員建立組策略來限制用戶執行某些任務或自動創建特定的功能。

在某種狀況下，僅僅爲了應用多個組策略就建立額外的OU對於OU結構的使用而言是低效的，而且一般可能致使OU的過分使用。通常狀況下，經過將它們直接應用到組上，這能夠獲得更簡明的使用方法。

組的使用，記住簡單的規則：使用域本地組來控制對資源的訪問並使用全局組來組織相似的用戶組。當完成這些操做後，建立的全局組隨後能夠做爲成員應用到域本地組，從而容許這些用戶有權訪問這些資源並限制複製對環境所產生的影響。

通用組最適合用於跨越域邊界合併組成員資格，而且這應該是它們在Windows2008中的主要功能。

到目前爲止，出現了影響OU和組設計的3中大相徑庭的模型： 第一種模型基於業務功能需求，其中不一樣的部門能夠指定OU和組的存在。第二種模型基於地理爲止，其中爲遠程站點授予分離的OU和組。