第一章
在windows server 2008的活动目录中都有哪些新东西?
在活动目录域服务中都有些什么改进?
尽管大多数你想知道的关于如何管理一个活动目录域的知识点都是和以前版本中的(例如Windows 2000和Windows Server 2003)相同,但还是有一些新的颇具吸引力的特性在Windows Server 2008中被加入出来,管理员可以通过这些新特性更好地控制域环境和保障它的安全。本章我们就一起来看看Windows Server 2008活动目录域服务(AD DS)中的这六大增强的特性,同时,还要看看四个新的在你的企业中未来可能会用到或者已经用到的活动目录服务角色的概念。
只读域控制器(Read-Only Domain Controllers, 简称RODC)
在Windows Server 2008中一个很重要的新特性就是提供给了用户部署一个只读域控(RODC)的可选项。正如它的名称所示,这种新的类型的域控制器在其上承载着活动目录数据库只读分区。
借助RODC,组织可以在无法保证物理安全性的环境中轻松部署域控制器,例如办公室分支机构,或者在本地存储域用户密码被视为主要威胁的环境,例如面向应用程序的角色中,或者作为Windows Server 2008核心安装选项。
对于那些在分支机构中放置域控也有足够的物理安全保障的组织,部署只读域控仍不失为一剂良方。因为RODC的出现降低了IT管理需求,实现了管理员角色分隔。
由于RODC的管理权限可以委派给一个普通域用户或者一个安全组,所以RODC同样适合部署于一个没有任何域管理员用户的站点内。RODC拥有下列所述的特征:
只读活动目录域服务数据库(Read-Only AD DS Database )
除了账户密码以外,RODC保存了可写域控制器上所保留的大多数Active Directory对象和属性。无论如何,谁都无法对存储在RODC上的数据库进行更改。所有的更改必须在可写域控制器上进行然后再被复制回RODC。
请求读取访问目录的本地应用程序可以获得访问权限。请求写入访问的采用轻型目录应用程序协议(LDAP)的应用程序将收到一条LDAP引用响应。这个响应会将应用程序的请求定向到一个可写域控制器(一般在一个中心站点内)上。
RODC筛选的属性集(RODC filtered attribute set)
只有一些属性会被复制到RODC上。你可以动态地配置一组属性,这组属性被称为RODC筛选的属性集,以便这些属性不会被复制到RODC上去。在RODC筛选的属性集中定义的属性将不被允许复制到林中的任何RODC。
已危及到RODC安全的恶意用户能够尝试用这种方法配置RODC,以试图复制在RODC筛选的属性集中定义的属性。如果RODC尝试从运行Windows Server 2008系统的域控制器上覆制这些属性,则复制请求会被拒绝。因此,出于安全考虑,如果你计划配置RODC筛选的属性集,请确保林功能级别为Windows Server 2008。当林功能级别为Windows Server 2008时,已受到损害的RODC将无法再被利用,因为林中不允许运行Windows Server 2003系统的域控制器。
单项复制(Unidirectional replication)
因为不会有更改能直接写入进RODC,所以也不会有更改源自RODC。也鉴于此,作为复制伙伴的可写域控制器也不必从RODC那里拉进改变。这意味着恶意用户在分支位置可能进行的任何更改或者损害都不能从RODC复制到林的其余部分。这样也减少了中心区域的桥头服务器的工作负荷以及监视复制所需要的花费开销。
RODC 单向复制同时适用于 AD DS 和 SYSVOL 的分布式文件系统 (DFS) 复制。针对 AD DS 和 SYSVOL 更改,RODC 执行正常的入站复制。
凭据缓存(Credential caching)
凭据缓存就是对用户或者计算机凭据(包含被表示为一串哈希值的用户密码)的存储。默认情况下,RODC不存储用户或计算机凭据。例外情况是RODC对应的计算机帐户和每个RODC具有的特殊(且独一无二的)krbtgt帐户。
你可以通过为特定域控制器修改密码复制策略来为RODC配置凭据缓存。举个例子,如果你想要RODC来缓存所有在分支机构办公且平时都是从分支机构登录域的用户凭据,你可以将全部的域用户帐号加入到密码复制策略中。这样一来,即使广域网失效而无法连接到可写域控制器,用户一样可以登录到域。同样的,你可以将分支机构的所有计算机帐号添加进来,这样即使广域网连接宕掉,这些计算机帐户仍可以验证到RODC。不过,在上述场景中,在第一次使用凭据登录到域时需要确保与可写域控制器连接的广域网是有效可用的。
管理员角色分隔(Administrator role separation)
你可以将RODC的本地管理员权限委派给任何普通域用户,而且无需授予该用户对该域或者其他域控制器的任何用户权限。这样的好处是在本地分支机构的域用户可以登录到RODC并在服务器上执行维护工作,例如对驱动程序的升级。但是,分支机构用户不能登录到任何其他域控制器或者在域中执行任何其他的管理任务。这样一来,分支用户可以被委派在分支机构中有效率地管理RODC,而不会危害域的其他部分的安全。
只读DNS(Read-only DNS)
你可以在RODC上安装DNS服务器服务。RODC能够复制DNS使用的所有应用程序目录分区(包括ForestDNSZones和DomainDNSZones)。如果在RODC上安装了DNS服务器后,客户端就可以像与查询任何其他DNS服务器一样的查询该DNS服务器而获得名称解析。
但是,RODC上的DNS服务器并不支持客户端直接更新。因此,RODC不会在其上维护的任何活动目录集成区域中注册名称服务器(NS)资源记录。当客户端试图向RODC更新它的DNS纪录时,服务器会返回引用消息。然后客户端再尝试根据引用消息中提供的DNS服务器请求更新。在后台RODC上的DNS服务器会尝试从那些已更新好的DNS服务器上覆制更新记录。这种复制请求仅适用於单个对象(DNS记录)。在此特殊的replicate-single-object请求过程中,不会复制更改区域或者域数据的完整列表。为了增强安全,作为一台Windows Server 2008 域控制器,分支机构的RODC需要注册它的域控制器相关记录(例如时间服务器,ldap主机,kdc主机记录,等等)。然后就算RODC受到危害,DNS记录将无法被更改并且仿冒其他域控制器,也无法在它自己的站点之外宣告给客户端。