學習Windows2008——活動目錄域服務

AD使用的是Jet數據庫，鬆散地遵循X.500目錄模型。

ADDS的結構：域、域樹、森林

域是ADDS的初始邏輯邊界，充當對象的管理安全性邊界，幷包含他們本身的安全策略。記住，域是對象的邏輯結構而且能夠方便地跨越多個物理位置。所以，再也不須要爲不一樣的遠程辦公機構創建多個域。能夠經過使用ADDS站點或只讀域控制器較好地解決公司關心的複製和安全問題。

ADDS樹由多個經過雙向可傳遞信任鏈接的域構成。ADDS樹中的每一個域共享一個公共的模式和全局目錄。可傳遞信任關係是自動的。一棵域樹內的全部域共享相同的名稱空間。管理權是細粒度的且能夠配置。

森林是一組互聯的域樹。隱式的信任將每棵樹的根連在一塊兒構成一個公共的森林。森林是ADDS主要的組織安全性邊界，而且假定森林中的全部域管理員在必定程度上是可信任的。若是某個域管理員不可信任，那麼應將此域管理員放置在一個分離的森林中。

WindowsNT4.0使用一種稱爲NT局域網管理器（NT LAN Manager,NTLM)的認證系統。這種認證方式採用散列的形式跨越網絡傳送加密的口令。這種認證方式存在的問題在於任何人能夠監視網絡中傳遞的散列信息、收集這些信息並隨後使用第三方解密工具進行口令破譯。

Windows2000、20003和2008採用了一種被稱爲Kerberos的認證方法。它不在網絡上發送口令信息而且自己要比NTLM安全。

Windows2008 ADDS中的功能級別：Windows2000本地的功能級別、Windows Server 2003功能級別、Windows Server2008功能級別。

ADDS模式是目錄中全部對象類型及其相關屬性的一組定義。該模式定義了全部用戶、計算機和其餘對象數據存儲在ADDS中並配置成跨越整個ADDS結構的標準規格的方式。經過使用任意訪問控制列表（DACL）來提供安全保護，該模式控制ADDS內每一個對象可能的屬性。簡單地說，該模式是目錄自身的基本定義而且對於環境的功能起着決定性的做用。應該當心地將模式控制權委託給高度可選擇的管理員組，由於模式修改會影響到整個ADDS環境。

模式對象：即ADDS結構內的對象，如用戶，計算機、打印機等等

擴充模式：如安裝Exchange須要擴充AD模式等。

使用ADDS服務接口（ADDS Service Interface， ADSI）協議執行模式修改。

ADDS利用的目錄服務協議基於RFC-1777定義的因特網標準輕量級目錄訪問協議（Lightweight Directory Access Protocol）。

全局目錄是ADDS數據庫的一個索引，包含其內容的部分副本。ADDS樹中的全部對象均可以在全局目錄內進行索引，從而容許用戶搜索位於其餘域內的對象。並非將每一個對象的全部屬性都複製到全局目錄，而是僅複製那些經常使用於搜索操做的屬性，如名字和姓等。

全局目錄服務器一般稱爲GC或GC/DC，是包含一個全局目錄副本的ADDS域控制器。在每一個物理位置放置一個最小配置的全局目錄服務器或利用遠程站點中的只讀域控制器（RDOC）是明智的，由於客戶機常常會訪問全局目錄而且跨越低速廣域網（WAN）鏈路的流量將會限制這類通訊量。

操做主控（OM）角色 ：

1. 模式主控——在整個ADDS森林中只能有一個模式主控。它用於限制對模式的訪問並最小化潛在的複製衝突。

2. 域命名主控——在森林中只能有一個域命名主控。它負責向ADDS森林添加域，必須放置在全局目錄服務器上，由於它必須擁有全部域和對象的記錄以便執行它的功能。

3. PDC仿真器——每一個ADDS域有一個PDC仿真器FSMO角色。它用於模仿過時的爲低級客戶端服務的WindowsNT 4.0主域控制器（PDC）。在Windows2008中，它仍執行此角色，如充當主用時間同步服務器。

4. RID主控 ——在每一個ADDS域中有一個RID主控。它負責分配RID池。ADDS內可以分配權限的全部對象都經過使用安全標示符（SID）來惟一標示。每一個SID由一個域SID（對單個域中的每一個對象都是相同的）和一個相對標識符（RID，對該域內的每一個對象都是惟一的）構成。當分配SID時，域控制器必須可以從它在RID主控那裏得到的RID池中分配一個相對應的RID。當該池的RID耗盡時，它將向RID主控請求得到另外一個池。若是RID主控失效而且制定的域控制器耗盡了分配給它的RID池，那麼可能沒法在域中建立新的對象。

5. 基礎結構主控——在每一個ADDS域中有一個基礎結構主控。它管理對不在它本身域內的域對象的引用，換句話說，一個域中的DC包含一個它本身域內的全部對象的列表，以及一個到森林中其餘域中的其餘對象的引用列表。假如引用對象發生變化，基礎結構主控就負責處理這種變化。因爲它僅處理引用的對象而不是對象自身的副本，所以基礎結構主控必定不能駐留在多域環境中的一個全局目錄服務器上。須要說明的是，若是結構主機在全局編錄服務器上運行，它將會中止更新對象信息，緣由是它只包含對它所擁有的對象的引用。只有一個域，這時你不管把基礎結構主控放在哪都無所謂。由於沒有其它域的信息須要引用。多域環境，但全部DC都是GC。這時基礎結構主控也無需工做，由於全部的DC都是GC，GC擁有其它域的只讀信息。

OM角色的遷移和捕捉都是經過使用一個叫作ntdsutil的命令行工具執行的。注意：僅在緊急狀況下才利用此實用工具，而且不要讓已將其角色在線恢復的舊式OM服務器返回域中，由於這會帶來一些嚴重系統衝突的風險。

域信任

可傳遞信任——當建立一個子域或向ADDS森林中添加了一個域樹時，會自動創建雙向可傳遞信任。可傳遞信任一般是雙向的，結構式每一個域信任另外一個域。

顯式信任——顯式信任是手工創建的信任。它是單向的，可是能夠創建兩個顯式信任來建立一個雙向信任。當創建顯式信任以加快從一個子域到另外一個子域的信任流動時，稱之爲捷徑信任。捷徑信任容許更快地處理認證檢驗，而沒必要遍歷域樹。顯式信任的另外一種可能的用法是容許在ADDS森林和一個外部域之間創建鏈接。這種顯式定義的信任稱爲 外部信任，而且它們容許不一樣的森林共享信息而實際上沒必要合併模式信息或全局目錄。

組織單元OU

OU是邏輯上存儲目錄信息的容器並提供了一種經過LDAP尋址ADDS的方法。一般用於細分資源便於組織和委託賦權管理、策略應用等，主要用於隔離管理功能。

一般狀況下，適當組織OU以使不一樣的部門對其自身用戶擁有各類不一樣級別的管理控制權，這種作法是推薦的。設計域時的經驗法則是從單域開始而且僅在必需時 才添加額外的域。

組

組能夠用於在邏輯上組織安全功能。

在ADDS中有兩種組類型：安全組、分配組。

安全組——能夠用來向組成員的對象施加權限。

分配組——不能用於權限而是向組成員發送郵件。

組範圍有4種：

機器本地組——簡稱「本地組」。理論上能夠包含來自任何可信任位置的成員，本地域中及其餘可信任域和森林中的用戶和組均可以包含在此組中。做用：只對該機器本地的資源訪問控制有效。

域本地組——域本地組能夠包含來自其餘任何可信任域中的用戶和組。做用：用於管理僅位於他們本身域中的資源，准予不一樣域中的組訪問資源。

全局組——全局組與域本地組剛好相反，它們包含僅在域中存在但准許訪問其餘可信任域中的資源的用戶。做用：適合用於爲共享類似功能的用戶帳戶提供安全成員資格，如銷售全局組。

通用組——它能夠包含森林中任何域的用戶和組而且容許訪問森林中的任何資源，每一個通用組的全部成員都存儲在全局目錄中，這會增長複製負擔，在Windows2008中這種複製是增量的。做用：通用組僅在本地（Native）模式域中可用。

OU和組之間的基本區別在於當向對象應用安全策略時可使用組，而當須要委託管理功能時 採用OU。

ADDS複製

站點——經過高速鏈路彼此互聯的服務器組成一個站點。

站點鏈路——用於鏈接兩個貨多個位置（這些位置有多是經過低速鏈路鏈接的）的鏈接。

站點鏈路橋頭堡——經過它們自身的傳送完成站點間複製的服務器。每一個站點中有一個域控制器充當站點鏈路橋頭堡。

經過一種稱爲源寫入（Originating Writes）的特性能夠完成域控制器之間的對象複製。當對象發生變化時，該屬性值會遞增。

DNS

外部（發佈的）名稱空間

內部（隱藏的）名稱空間

動態DNS（Dynamic DNS，DDNS）

標準DNS區域

AD集成的DNS區域——DNS區域自己做爲ADDS中的對象存在，從而容許完成自動區域轉移。DNS複製通訊量捎帶在ADDS通訊量中，而且DNS記錄做爲對象存儲在目錄中。

域安全

Kerberos認證——它不準跨越網絡傳送加密或未加密的用戶口令，採用這種方式傳送口令大大減小了竊取口令的安全威脅。

採用額外的安全預防措施——如使用IPSec的安全服務器到服務器的通訊或使用智能卡及其餘加密技術，能夠加強ADDS結構的安全性。此外，經過使用組策略來更改參數設置，如用戶口令限制、域安全性和登陸訪問權限，也能夠保護用戶的環境。

服務關聯性：中止ADDS會中止其餘相關服務（如DNS、DFS、Kerberos和Intersite Messaging）。

實現每一個域多口令策略：

1. 域中的全部DC必須運行Windows Server 2008；

2. 精細粒度的口令策略老是賽過域空靈策略；

3. 口令策略能夠應用於組，可是這些組必須是全局安全組。

4. 應用於用戶的精細粒度口令策略老是賽過應用於組的策略設置；

5. 口令設置對象（Password Setting Objects，PSO）存儲在AD內的口令設置容器中（也就是CN=Password Settings Container、CN=System、DC=companyabc、DC=com）

6. 只能向一個用戶施加一組口令策略。若是應用了多個口令策略，具備較低數字優先級的策略將勝出。

爲了爲特定的用戶建立自動定義的口令策略，必須使用ADSIEdit工具建立口令設置對象PSO，該工具用於ADDS或ADLDS目錄對象和屬性的低級更改。使用它時要格外當心。爲了建立PSO，必須按照正確的格式輸入全部屬性。

PSO屬性：

Cn

msDS-Password***

msDS-MinimumPassword**

msDS-MaximumPassword**

msDS-Lockout**

msDS-PSOAppliesTo

建立PSO步驟：

1. 打開ADSIEdit，並讓它指向將建立PSO的域的全限定域名（FQDN），好比CN=System,CN=Password Settings Container;

2. 右擊CN=Password Settings Container並選擇New|Object；

3. 選擇msDS-PasswordSettings並單擊Next按鈕繼續操做；

4. 在彈出的Create Object對話框中，依次輸入所需的屬性，

5. 依據嚮導輸入完相關屬性後，最後應用。

審覈對AD對象所作的修改

Windows2008爲了可以讓管理員肯定什麼時候修改、移動或刪除了AD對象，改進了對活動目錄對象的修改的審覈。

啓用AD對象審覈：

單擊Start | All Programs | Administrative Tools | Group Policy Management

定位到<forest name> | Domains | <domain name> | Domain Controllers | Default Domain Controllers Policy

單擊Edit

在GPO窗口中，定位到Computer Configuration | Windows Settings | Security Settings | Local Policies | Audit Policy

在Audit Policy設置中，右擊Audit Directory Service Access，而後單擊Properties

選取Define These Policy Settings複選框，而後選取Success and Failure複選框，最後單擊OK。

查看額外的活動目錄服務

 Windows2008有5種包含Active Directory標記的分離的技術，以下：

活動目錄輕量級目錄服務（ADLDS）

活動目錄聯合服務（ADFS）

活動目錄證書服務（ADCS）

活動目錄權限管理服務（ADRMS）

Windows2008 ADDS的改進：

只讀 域控制器RODC支持

組策略中央存儲——在windows2008中 ，組策略的管理模板存儲在PDC仿真器上的sysvol（系統卷）中，致使複製縮減和sysvol尺寸減小。

Sysvol的DFS-R複製——Windows2008功能域使用改進的分佈式文件系統複製（DFSR）技術 而不是老式的有問題的文件複製服務（FRS）來複制sysvol。

活動目錄數據庫安裝工具（DSAMain）——活動目錄數據庫安裝工具（DSAMain）容許管理員查看ADDS或ADLDS數據庫內的數據瞬態圖。這能夠容許比較數據庫內的數據，當執行ADDS數據存儲時可使用它。

GlobalNames DNS區域——Windows2008 DNS容許建立GlobalNames DNS區域的概念。這種類型的DNS區域容許跨越多個子域分佈全局名稱空間。