您好,欢迎来到思海网络,我们将竭诚为您提供优质的服务! 诚征网络推广 | 网站备案 | 帮助中心 | 软件下载 | 购买流程 | 付款方式 | 联系我们 [ 会员登录/注册 ]
促销推广
客服中心
业务咨询
有事点击这里…  531199185
有事点击这里…  61352289
点击这里给我发消息  81721488
有事点击这里…  376585780
有事点击这里…  872642803
有事点击这里…  459248018
有事点击这里…  61352288
有事点击这里…  380791050
技术支持
有事点击这里…  714236853
有事点击这里…  719304487
有事点击这里…  1208894568
有事点击这里…  61352289
在线客服
有事点击这里…  531199185
有事点击这里…  61352288
有事点击这里…  983054746
有事点击这里…  893984210
当前位置:首页 >> 技术文章 >> 文章浏览
技术文章

Windows Server 2008下高效域管理体验

添加时间:2018-4-25 19:44:48  添加: 思海网络 

  域是微软局域网解决方案的重要组成部分,几乎每一个Windows Server版本的发布都会在域方面有非常大的改进和提升。作为微软最新版本的Windows Server 2008会带给我们什么样的域体验呢?下面笔者结合实例,和大家分享几个基于Windows Server 2008域的新应用,希望这些新特性会带给大家不同的域管理体验。

  1、部署只读域控制器

  域控制器(DC)的安全,特别是其物理安全让管理员颇为担心。在Windows Server 2008中新增了一种特殊的域控制器即只读域控制器(RODC),借助RODC我们可以在无法保证物理安全性的网络节点中部署只读域控制器。这样不仅能够提升其安全性,而且可以实现更快的登录以及更加有效地访问网络资源。

  在Windows Server 2008中要部署一台只读域控制器(RODC)是非常简单的。比如我们要将abc.com域中的一台Windows Server 2008主机部署成只读域控制器可以进行这样的操作:首先以管理员用户登录该主机,然后以Administrator身份允许命令提示符,接下来执行命令“dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:servers.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!”即可。其中/replicadomaindnsname:servers.com”指定域名,“/safemodeadminpassword:ctocio!”设置域控制器管理员的密码为ctocio!。

  需要说明的是,在安装获得目录(AD)的过程中还将同时安装并配置DNS,以及为活动目录的恢复模式设置管理员密码。另外,在安装过程中,一定要主要查看屏幕中木马复制策略的输出。除此之外,其它的设置我们可以保持默认。在活动目录安装完毕后,系统将会重新启动,系统重启后该主机就成为一台只读域控制器(RODC)。

  2、管理角色的分离

  管理角色分离是只读域控制器(RODC)的一个重大的特征,我们可以指定一个域用户到RODC上的角色,而而无需授予该用户对该域或其他域控制器的任何用户权限。其实,这些角色非常类似于本地组。通过这一功能,我们可以为分支机构的RODC指派管理员进行日常维护(如磁盘碎片的整理等),而不需要给他域管理员用户名和密码。这么做的好处是非常明显的:首先,可以解放管理员,实现DC管理任务的分配;另外,会大大地提升域的安全性,因为授权用户只能执行指定的操作,而不会危害到域中其他部分的安全。同时,也避免了时刻使用管理员用户进行DC管理因误操作而造成破坏的风险。

  我们在一台只读域控制器(RODC)上执行管理角色的分离操作:以管理员身份登录该主机,运行管理员身份的命令提示符,接下依次执行如下命令:

  NTDSUTIL

  Local Roles

  Add servers.com\abc Administrators

  Show Role Administrators

  Quit

  Quit

  简单解释一下上面的命令,第一行是进入NTDSUTIL.exe命令行,第二行是进入本地角色设置状态,第三行是关键命令即添加用户abc到servers.com域的管理员(administrators)组,第四行命令是显示角色管理员组的成员,第五、第六行命令是退出NTDSUTIL工具。

  3、用新账户执行管理操作

  通过上面的操作我们赋予了abc用户对于servers.com域的操作权限,下面我们验证一下上述操作的有效性。以abc用户登录名为SFO-DC-01.servers.com的只读域控制器(RODC)。我们首先打开命令提示符工具,执行命令“whoami /user /groups | find "Administrators"”可以看到域用户abc已经成功扥两个到这台只读域控制器(RODC),并且已经为其本地管理员。

  下面我们执行一个系统管理操作,比如格式化该主机的F分区。在命令行下执行一个命令“Format F: /q”,可以看到对该只读域控制器(RODC)的F分区的快速格式化操作成功完成。这说明,我们在刚才在只读域控制器(RODC)执行的管理角色的分离操作是成功了。不过要说明的是,此用户在域中只是普通域用户只具有域策略赋予的一般权限。大家可以试试,创建这样的用户,然后登录域控制器,你会发现登录失败,因为一般域用户是无法登录域控制器的。

  4、执行活动目录的脱机维护操作

  我们知道,在以前Windows Server版本中,如果需要脱机维护活动目录,需要重新启动域控制器然后按住F8,进入活动目录还原模式才能够完成操作。但这样做将会影响运行在域控制器上的其它服务,例如文件服务,打印服务等等,是非常不方便的。但在Windows Server 2008中,我们不需要重新启动就可以停止活动目录域服务,然后执行需要需要活动目录脱机才能执行的操作,例如对活动目录数据库进行碎片整理,移动等等。下面笔者在测试环境中进行演示,大家可亲身体验一下Windows Server 2008中的这样新功能。

  在命令提示符中,输入命令“net stop NTDS”,然后执行会提示“您想继续此操作吗?”,我们输入y,然后回车后即可停止获得目录服务。接下面我们这些如下的操作对活动目录进行脱机维护:

  MD C:\compact

  ntdsutil

  Activate Instance NTDS

  Files

  Compact to C:\compact

  quit

  quit

  Del C:\Windows\NTDS\*.log

  Copy /y C:\compact\ntds.dit C:\Windows\NTDS\ntds.dit

  ntdsutil

  Activate Instance ntds

  files

  integrity

  quit

  semantic database analysis

  go fixup

  quit

  quit

  exit

  通过上面的命令我们对活动目录进行的脱机操作主要是:在C分区创建一个名为compact的目录,然后利用ntdsutil工具创建活动目录快照,将把经过压缩处理的ntds.dit文件放置到这个文件夹中保存存到C:\compact。接下来清除了获得目录中的的log文件,并用刚才创建的ntds.dit代替原来的同名文件,并执行了获得目录数据库的同步。上面所有的针对活动目录的脱机维护我们都是在不重启DC的情况下完成的,并且并不影响DC中运行的其他服务。可见,Windows Server 2008的这样特性在实际生产中还是非常有用的。在完成活动目录的脱机维护后,我们在命令提示符下执行“net start NTDS”将重启活动目录服务,其他被停止的相关服务也将在后台被启动。至此,Windows Server 2008下活动目录的一次脱机维护快速完成,将维护成本降到最低。

  总结:上面列举的几个实例,只是Windows Server 2008域管理新特性中很小的一部分。如果你们部署了基于Windows Server 2008的AD,挖掘和应用好这些新特性一定会极大地提升域管理的效率。

关键字:Server 2008、局域网、域控制器

分享到:

顶部 】 【 关闭
版权所有:佛山思海电脑网络有限公司 ©1998-2018 All Rights Reserved.
联系电话:(0757)22630313、22633833
公司地址: 广东省佛山市顺德区大良国际商业城A区4座3楼106号   邮编:528300
机房7x24小时服务热线:(0757)23628508、23628509
中华人民共和国增值电信业务经营许可证: 粤B1.B2-20030321 备案号:粤B2-20030321-1
网站公安备案编号:44060602000007 交互式栏目专项备案编号:200303DD003  
察察 工商 网安 举报有奖  警警  手机打开网站