Windows Server 2008活動目錄應用指南

第1部分 WindowsServer2008活動目錄概述
第1章 WindowsServer2008活動目錄的新增功能
1.1 活動目錄域服務的新功能
1.1.1 只讀域控制器(RODC)
1.1.2 活動目錄域服務審核
1.1.3 細化密碼策略
1.1.4 可重新啟動的活動目錄域服務
1.1.5 數(shù)據(jù)庫裝載工具
1.1.6 用戶界面改進
1.2 其他活動目錄服務角色
1.2.1 活動目錄證書服務角色
1.2.2 活動目錄聯(lián)合身份驗證服務角色1
1.2.3 活動目錄輕型目錄服務角色1
1.2.4 活動目錄權限管理服務角色1
1.3 小結1
第2章 活動目錄域服務組件1
2.1 ADDS物理結構1
2.1.1 目錄數(shù)據(jù)存儲1
2.1.2 域控制器1
2.1.3 全局編錄服務器1
2.1.4 只讀域控制器1
2.1.5 操作主機2
2.1.6 轉移操作主機角色2
2.1.7 架構2
2.2 ADDS邏輯結構2
2.2.1 ADDS分區(qū)2
2.2.2 域3
2.2.3 林3
2.2.4 信任3
2.2.5 站點3
2.2.6 組織單位3
2.3 小結4
2.4 補充資源4
2.4.1 相關工具4
2.4.2 下載代碼中的資源4
2.4.3 相關幫助主題4
第3章 活動目錄域服務和域名系統(tǒng)4
3.1 集成DNS和ADDS4
3.1.1 服務位置(SRV)資源記錄4
3.1.2 ADDS域控制器注冊的SRV記錄4
3.1.3 DNS定位器服務4
3.1.4 自動站點覆蓋4
3.2 ADDS集成區(qū)域5
3.2.1 使用ADDS集成區(qū)域的好處5
3.2.2 DNS的默認應用程序分區(qū)5
3.2.3 管理ADDS集成區(qū)域5
3.3 集成DNS命名空間和ADDS域5
3.3.1 DNS委派5
3.3.2 轉發(fā)器和根提示5
3.3.3 DNS和ADDS集成故障排除6
3.3.4 DNS故障排除6
3.3.5 SRV記錄注冊故障排除6
3.4 小結6
3.5 最佳實踐6
3.6 補充資源6
3.6.1 相關信息6
3.6.2 相關工具6
3.6.3 下載代碼中的資源6
3.6.4 相關幫助主題6
第4章 活動目錄域服務復制6
4.1 ADDS復制模型6
4.2 復制過程6
4.2.1 更新類型6
4.2.2 復制更改6
4.3 復制SYSVOL目錄7
4.4 站點內和站點間復制7
4.4.1 站點內復制7
4.4.2 站點間復制7
4.4.3 復制延遲7
4.4.4 緊急復制7
4.5 生成復制拓撲7
4.5.1 知識一致性檢查器7
4.5.2 連接對象7
4.5.3 站點內復制拓撲7
4.5.4 全局編錄復制7
4.5.5 站點間復制拓撲8
4.5.6 RODC和復制拓撲8
4.6 配置站點間復制8
4.6.1 創(chuàng)建額外的站點8
4.6.2 站點鏈接8
4.6.3 站點鏈接橋8
4.6.4 復制傳輸協(xié)議8
4.6.5 配置橋頭服務器8
4.7 復制故障排除9
4.7.1 ADDS復制故障排除的步驟9
4.7.2 ADDS復制故障排除工具9
4.8 小結9
4.9 最佳實踐9
4.10補充資源9
4.1.1 相關信息9
4.10.2 相關工具9
4.10.3 下載代碼中的資源9
4.10.4 相關幫助主題9
第2部分 設計和實現(xiàn)WindowsServer2008活動目錄
第5章 設計活動目錄域服務結構9
5.1 定義目錄服務需求9
5.1.1 定義業(yè)務和技術需求10
5.1.2 記錄當前環(huán)境10
5.2 設計林結構10
5.2.1 林和ADDS設計10
5.2.2 單個林或多個林10
5.2.3 針對ADDS安全進行林設計11
5.2.4 林設計模型11
5.2.5 設計林所有權11
5.2.6 林變更控制策略11
5.3 設計多個林的集成11
5.3.1 設計林間信任11
5.3.2 設計林間目錄集成11
5.4 設計域結構11
5.4.1 確定域數(shù)量11
5.4.2 設計林根域12
5.4.3 設計域層次結構12
5.4.4 域樹和信任12
5.4.5 部署后更改域層次結構12
5.4.6 定義域所有權12
5.5 定義域和林功能級別12
5.5.1 在域功能級別啟用的功能12
5.5.2 在林功能級別啟用的功能12
5.5.3 實現(xiàn)域和林功能級別12
5.6 設計DNS基礎結構12
5.7 設計組織單位結構13
5.7.1 組織單位和ADDS設計13
5.7.2 設計OU結構13
5.7.3 創(chuàng)建OU設計13
5.8 設計站點拓撲13
5.8.1 站點和ADDS設計13
5.8.2 創(chuàng)建站點設計13
5.8.3 創(chuàng)建復制設計13
5.8.4 設計服務器位置14
5.9 小結14
5.10最佳實踐14
5.11補充資源14
5.11.1 相關信息14
5.11.2 下載代碼中的資源14
第6章 安裝活動目錄域服務14
6.1 安裝ADDS的必備條件14
6.1.1 硬盤空間需求15
6.1.2 網絡連接15
6.1.3 DNS15
6.1.4 管理權限15
6.1.5 操作系統(tǒng)兼容性15
6.2 了解ADDS安裝選項15
6.2.1 安裝配置任務和添加角色向導15
6.2.2 服務器管理器15
6.2.3 活動目錄域服務安裝15
6.2.4 無人參與安裝15
6.3 使用活動目錄域服務安裝向導15
6.3.1 部署配置15
6.3.2 命名域15
6.3.3 設置WindowsServer2008功能級別15
6.3.4 其他域控制器選項15
6.3.5 文件位置15
6.3.6 完成安裝16
6.3.7 驗證ADDS的安裝16
6.4 執(zhí)行無人參與安裝16
6.5 部署只讀域控制器16
6.5.1 服務器核心安裝WindowsServer200816
6.5.2 部署RODC16
6.6 刪除ADDS16
6.6.1 刪除額外的域控制器16
6.6.2 刪除最后一臺域控制器16
6.6.3 無人參與刪除ADDS16
6.6.4 強制刪除WindowsServer2008域控制器16
6.7 小結16
6.8 補充資源16
6.8.1 相關信息16
6.8.2 相關工具16
第7章 遷移到活動目錄域服務16
7.1 遷移路徑16
7.1.1 域升級遷移路徑17
7.1.2 域重構17
7.2 確定遷移路徑17
7.3 升級域17
7.4 重構域17
7.5 林內遷移18
7.6 配置林間信任18
7.7 小結18
7.8 最佳實踐18
7.9 補充資源18
7.9.1 相關信息18
7.9.2 相關工具18
第3部分 管理WindowsServer2008活動目錄
第8章 活動目錄域服務安全18
8.1 ADDS安全基礎18
8.1.1 安全主體18
8.1.2 訪問控制列表18
8.1.3 訪問令牌19
8.1.4 身份驗證19
8.1.5 授權19
8.2 Kerberos安全19
8.2.1 Kerberos簡介19
8.2.2 Kerberos身份驗證19
8.2.3 身份驗證委派19
8.2.4 在WindowsServer2008中配置Kerberos20
8.2.5 與公鑰基礎結構集成20
8.2.6 與智能卡集成20
8.2.7 與其他Kerberos系統(tǒng)互操作20
8.2.8 Kerberos故障排除20
8.3 NTLM身份驗證20
8.4 實現(xiàn)域控制器安全20
8.4.1 減少域控制器的攻擊面20
8.4.2 配置默認域控制器策略21
8.4.3 配置SYSKEY21
8.5 設計安全管理實踐21
8.6 小結21
8.7 最佳實踐21
8.8 補充資源21
8.8.1 相關信息21
8.8.2 相關工具21
8.8.3 下載代碼中的資源22
8.8.4 相關幫助主題22
第9章 委派活動目錄域服務管理22
9.1 活動目錄管理任務22
9.2 訪問活動目錄對象22
9.3 活動目錄對象權限22
9.3.1 標準權限22
9.3.2 特殊權限22
9.3.3 權限繼承22
9.3.4 有效權限23
9.3.5 活動目錄對象的所有權23
9.4 委派管理任務23
9.5 審核管理權限的使用23
9.5.1 為域控制器配置審核策略23
9.5.2 在活動目錄對象上配置審核23
9.6 委派管理工具23
9.7 計劃管理委派24
9.8 小結24
9.9 補充資源24
第10章 管理活動目錄對象24
10.1 管理用戶24
10.1.1 用戶對象24
10.1.2 inetOrgPerson對象24
10.1.3 聯(lián)系對象24
10.1.4 服務賬戶24
10.2 管理組24
10.2.1 組類型24
10.2.2 組作用域24
10.2.3 活動目錄中的默認組25
10.2.4 特殊標識25
10.2.5 創(chuàng)建安全組設計25
10.3 管理計算機25
10.4 管理打印機對象25
10.4.1 在活動目錄中發(fā)布打印機25
10.4.2 跟蹤打印機位置25
10.5 管理已發(fā)布共享文件夾25
10.6 自動化活動目錄對象管理26
10.6.1 管理活動目錄的命令行工具26
10.6.2 使用LDIFDE和CSVDE26
10.6.3 使用VBScript管理活動目錄對象26
10.7 小結26
10.8 最佳實踐26
10.9 補充資源26
10.9.1 相關信息26
10.9.2 相關工具26
10.9.3 下載代碼中的資源26
第11章 組策略簡介26
11.1 組策略概述27
11.1.1 組策略工作原理27
11.1.2 WindowsServer2008組策略中的新增功能27
11.2 組策略組件27
11.2.1 組策略容器概述27
11.2.2 組策略模板的組件27
11.2.3 組策略對象組件的復制27
11.3 組策略處理27
11.3.1 客戶端如何處理GPO27
11.3.2 初始GPO處理27
11.3.3 后臺GPO刷新28
11.3.4 如何刷新與組策略相關的GPO歷史記錄28
11.3.5 默認后臺處理間隔時間的例外情況28
11.4 實現(xiàn)組策略28
11.4.1 GPMC概述28
11.4.2 使用GPMC創(chuàng)建和鏈接GPO28
11.4.3 修改GPO處理的作用域28
11.4.4 委派GPO管理29
11.4.5 在域和林之間實現(xiàn)組策略29
11.5 管理組策略對象29
11.5.1 備份和還原GPO29
11.5.2 復制組策略對象29
11.5.3 導入組策略對象設置29
11.5.4 建模和報告組策略結果29
11.6 編寫組策略管理腳本30
11.7 計劃組策略實現(xiàn)30
11.8 組策略故障排除30
11.9 小結30
11.10 補充資源30
第12章 使用組策略管理用戶桌面30
12.1 使用組策略管理桌面30
12.2 管理用戶數(shù)據(jù)和配置文件設置31
12.2.1 管理用戶配置文件31
12.2.2 使用組策略管理漫游用戶配置文件31
12.2.3 文件夾重定向31
12.3 管理模板32
12.3.1 理解管理模板文件32
12.3.2 管理基于域的模板文件32
12.3.3 管理ADMX模板文件的最佳實踐32
12.4 使用腳本管理用戶環(huán)境32
12.5 使用組策略部署軟件32
12.5.1 WindowsInstaller技術32
12.5.2 部署應用程序32
12.5.3 使用組策略分發(fā)非WindowsInstaller應用程序33
12.5.4 配置軟件包屬性33
12.5.5 使用組策略配置WindowsInstaller33
12.5.6 計劃組策略軟件安裝33
12.5.7 使用組策略管理軟件的局限性33
12.6 組策略首選項概述33
12.6.1 組策略首選項與策略設置33
12.6.2 組策略首選項設置34
12.6.3 組策略首選項選項34
12.7 小結34
12.8 補充資源34
12.8.1 相關信息34
12.8.2 下載代碼中的資源34
第13章 使用組策略管理安全34
13.1 使用組策略配置域安全34
13.1.1 默認域策略概述34
13.1.2 默認域控制器策略概述34
13.1.3 為域重新創(chuàng)建默認GPO35
13.1.4 細化密碼策略35
13.2 使用組策略強化服務器安全35
13.3 使用組策略配置網絡安全36
13.3.1 配置有線網絡安全36
13.3.2 配置無線網絡安全36
13.3.3 配置Windows防火墻和IPsec安全36
13.4 使用安全模板配置安全設置36
13.5 小結36
13.6 補充資源36
第4部分 維護WindowsServer2008活動目錄
第14章 監(jiān)視和維護活動目錄37
14.1 監(jiān)視活動目錄37
14.1.1 為什么監(jiān)視活動目錄37
14.1.2 監(jiān)視服務器可靠性和性能37
14.1.3 如何監(jiān)視活動目錄37
14.1.4 監(jiān)視內容38
14.1.5 監(jiān)視復制38
14.2 活動目錄數(shù)據(jù)庫維護38
14.2.1 垃圾收集38
14.2.2 聯(lián)機碎片整理38
14.2.3 活動目錄數(shù)據(jù)庫的脫機碎片整理38
14.2.4 使用Ntdsutil管理活動目錄數(shù)據(jù)庫38
14.3 小結38
14.4 補充資源39
第15章 活動目錄災難恢復39
15.1 計劃應對災難39
15.2 活動目錄數(shù)據(jù)存儲39
15.3 備份活動目錄39
15.3.1 備份的需要39
15.3.2 邏輯刪除生存時間39
15.3.3 備份頻率39
15.4 還原活動目錄39
15.4.1 通過創(chuàng)建一臺新的域控制器還原活動目錄39
15.4.2 執(zhí)行活動目錄非授權還原39
15.4.3 執(zhí)行活動目錄授權還原40
15.4.4 還原組成員身份40
15.4.5 重新激活邏輯刪除對象40
15.4.6 使用活動目錄數(shù)據(jù)庫裝載工具40
15.4.7 還原SYSVOL信息40
15.4.8 還原操作主機和全局編錄服務器40
15.5 小結41
15.6 最佳實踐41
15.7 補充資源41
15.7.1 相關信息41
15.7.2 相關工具41
第5部分 活動目錄標識和訪問管理
第16章 活動目錄輕型目錄服務41
16.1 ADLDS概述41
16.1.1 ADLDS功能41
16.1.2 ADDS部署場景41
16.2 ADLDS的結構和組件41
16.2.1 ADLDS服務器41
16.2.2 ADLDS實例42
16.2.3 目錄分區(qū)42
16.2.4 ADLDS復制42
16.2.5 ADLDS安全42
16.3 實現(xiàn)ADLDS43
16.3.1 配置實例和應用程序分區(qū)43
16.3.2 ADLDS管理工具43
16.3.3 配置復制43
16.3.4 備份和還原ADLDS43
16.4 配置ADDS和ADLDS同步44
16.5 小結44
16.6 最佳實踐44
16.7 補充資源44
16.7.1 相關工具44
16.7.2 下載代碼中的資源44
16.7.3 相關幫助主題44
第17章 活動目錄證書服務44
17.1 活動目錄證書服務概述44
17.1.1 公鑰基礎結構組件44
17.1.2 證書頒發(fā)機構45
17.1.3 證書服務部署場景45
17.2 實現(xiàn)ADCS45
17.2.1 安裝ADCS根證書頒發(fā)機構45
17.2.2 安裝ADCS從屬證書頒發(fā)機構45
17.2.3 配置Web注冊45
17.2.4 配置證書吊銷45
17.2.5 管理密鑰存檔和恢復46
17.3 管理ADCS中的證書46
17.3.1 配置證書模板46
17.3.2 配置證書自動注冊46
17.3.3 使用組策略管理證書接受46
17.3.4 配置憑據(jù)漫游46
17.4 設計ADCS實現(xiàn)46
17.4.1 設計CA層次結構46
17.4.2 設計證書模板47
17.4.3 設計證書分發(fā)和吊銷47
17.5 小結47
17.6 最佳實踐47
17.7 補充資源47
17.7.1 相關信息47
17.7.2 相關工具47
第18章 活動目錄權限管理服務47
18.1 ADRMS概述47
18.1.1 ADRMS功能47
18.1.2 ADRMS組件47
18.1.3 ADRMS的工作原理47
18.1.4 ADRMS部署方案48
18.2 實現(xiàn)ADRMS48
18.2.1 安裝ADRMS之前的預安裝考慮事項48
18.2.2 安裝ADRMS群集48
18.2.3 配置ADRMS服務連接點48
18.2.4 使用ADRMS客戶端48
18.3 管理ADRMS48
18.3.1 管理信任策略48
18.3.2 管理權限策略模板49
18.3.3 配置排除策略49
18.3.4 配置安全策略49
18.3.5 查看報告49
18.4 小結50
18.5 補充資源50
第19章 活動目錄聯(lián)合身份驗證服務50
19.1 ADFS概述50
19.1.1 聯(lián)合身份驗證50
19.1.2 Web服務50
19.1.3 ADFS組件50
19.1.4 ADFS部署設計50
19.2 實現(xiàn)ADFS51
19.2.1 ADFS部署要求51
19.2.2 在聯(lián)合WebSSO設計中實現(xiàn)ADFS51
19.2.3 配置賬戶伙伴聯(lián)合身份驗證服務52
19.2.4 配置資源伙伴ADFS組件52
19.2.5 為基于WindowsNT令牌的應用程序配置ADFS53
19.2.6 實現(xiàn)WebSSO設計53
19.2.7 實現(xiàn)具有林信任的聯(lián)合WebSSO設計53
19.3 小結53
19.4 最佳實踐53
19.5 補充資源53
19.5.1 下載代碼中的資源53
19.5.2 相關幫助主題53