域是微软局域网解决方案的重要组成部分,几乎每一个Windows Server版本的发布都会在域方面有非常大的改进和提升。作为微软***版本的Windows Server 2008会带给我们什么样的域体验呢?下面笔者结合实例,和大家分享几个基于Windows Server 2008域的新应用,希望这些新特性会带给大家不同的域管理体验。
1、部署只读域控制器
域控制器(DC)的安全,特别是其物理安全让管理员颇为担心。在Windows Server 2008中新增了一种特殊的域控制器即只读域控制器(RODC),借助RODC我们可以在无法保证物理安全性的网络节点中部署只读域控制器。这样不仅能够提升其安全性,而且可以实现更快的登录以及更加有效地访问网络资源。
在Windows Server 2008中要部署一台只读域控制器(RODC)是非常简单的。比如我们要将jp.com域中的一台Windows Server 2008主机部署成只读域控制器可以进行这样的操作:首先以管理员用户登录该主机,然后以Administrator身份允许命令提示符,接下来执行命令:
dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:Woodgrovebank.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!
即可。其中“/replicadomaindnsname:Woodgrovebank.com”指定域名,“/safemodeadminpassword:ctocio!”设置域控制器管理员的密码为ctocio!
需要说明的是,在安装获得目录(AD)的过程中还将同时安装并配置DNS,以及为活动目录的恢复模式设置管理员密码。另外,在安装过程中,一定要主要查看屏幕中木马复制策略的输出。除此之外,其它的设置我们可以保持默认。在活动目录安装完毕后,系统将会重新启动,系统重启后该主机就成为一台只读域控制器(RODC)。
2、管理角色的分离
管理角色分离是只读域控制器(RODC)的一个重大的特征,我们可以指定一个域用户到RODC上的角色,而而无需授予该用户对该域或其他域控制器的任何用户权限。其实,这些角色非常类似于本地组。通过这一功能,我们可以为分支机构的RODC指派管理员进行日常维护(如磁盘碎片的整理等),而不需要给他域管理员用户名和密码。这么做的好处是非常明显的:首先,可以解放管理员,实现DC管理任务的分配;另外,会大大地提升域的安全性,因为授权用户只能执行指定的操作,而不会危害到域中其他部分的安全。同时,也避免了时刻使用管理员用户进行DC管理因误操作而造成破坏的风险。
我们在一台只读域控制器(RODC)上执行管理角色的分离操作:以管理员身份登录该主机,运行管理员身份的命令提示符,接下依次执行如下命令:
NTDSUTIL
Local Roles
Add Woodgrovebank.com\jp Administrators
Show Role Administrators
Quit
Quit
图1 NTDSUTIL
简单解释一下上面的命令,***行是进入NTDSUTIL.exe命令行,第二行是进入本地角色设置状态,第三行是关键命令即添加用户jp到Woodgrovebank.com域的管理员(administrators)组,第四行命令是显示角色管理员组的成员,第五、第六行命令是退出NTDSUTIL工具。
3、用新账户执行管理操作
通过上面的操作我们赋予了jp用户对于Woodgrovebank.com域的操作权限,下面我们验证一下上述操作的有效性。以jp用户登录名为SFO-DC-01.Woodgrovebank.com的只读域控制器(RODC)。我们首先打开命令提示符工具,执行命令:
whoami /user /groups : find "Administrators”
可以看到域用户jp已经成功扥两个到这台只读域控制器(RODC),并且已经为其本地管理员。
图2 只读域控制器
下面我们执行一个系统管理操作,比如格式化该主机的F分区。在命令行下执行一个命令“Format F: /q”,可以看到对该只读域控制器(RODC)的F分区的快速格式化操作成功完成。这说明,我们在刚才在只读域控制器(RODC)执行的管理角色的分离操作是成功了。不过要说明的是,此用户在域中只是普通域用户只具有域策略赋予的一般权限。大家可以试试,创建这样的用户,然后登录域控制器,你会发现登录失败,因为一般域用户是无法登录域控制器的。
#p#
4、执行活动目录的脱机维护操作
我们知道,在以前Windows Server版本中,如果需要脱机维护活动目录,需要重新启动域控制器然后按住F8,进入活动目录还原模式才能够完成操作。但这样做将会影响运行在域控制器上的其它服务,例如文件服务,打印服务等等,是非常不方便的。但在Windows Server 2008中,我们不需要重新启动就可以停止活动目录域服务,然后执行需要需要活动目录脱机才能执行的操作,例如对活动目录数据库进行碎片整理,移动等等。下面笔者在测试环境中进行演示,大家可亲身体验一下Windows Server 2008中的这样新功能。
在命令提示符中,输入命令“net stop NTDS”,然后执行会提示“您想继续此操作吗?”,我们输入y,然后回车后即可停止获得目录服务。接下面我们这些如下的操作对活动目录进行脱机维护:
MD C:\compact
ntdsutil
Activate Instance NTDS
Files
Compact to C:\compact
quit
quit
Del C:\Windows\NTDS\*.log
Copy /y C:\compact\ntds.dit C:\Windows\NTDS\ntds.dit
ntdsutil
Activate Instance ntds
files
integrity
quit
semantic database analysis
go fixup
quit
quit
exit
图3 域维护
通过上面的命令我们对活动目录进行的脱机操作主要是:在C分区创建一个名为compact的目录,然后利用ntdsutil工具创建活动目录快照,将把经过压缩处理的ntds.dit文件放置到这个文件夹中保存存到C:\compact。接下来清除了获得目录中的的log文件,并用刚才创建的ntds.dit代替原来的同名文件,并执行了获得目录数据库的同步。上面所有的针对活动目录的脱机维护我们都是在不重启DC的情况下完成的,并且并不影响DC中运行的其他服务。可见,Windows Server 2008的这样特性在实际生产中还是非常有用的。在完成活动目录的脱机维护后,我们在命令提示符下执行“net start NTDS”将重启活动目录服务,其他被停止的相关服务也将在后台被启动。至此,Windows Server 2008下活动目录的一次脱机维护快速完成,将维护成本降到***。
总结:上面列举的几个实例,只是Windows Server 2008域管理新特性中很小的一部分。如果你们部署了基于Windows Server 2008的AD,挖掘和应用好这些新特性一定会极大地提升域管理的效率。
【编辑推荐】
- Windows Server 2008四项优化技巧
- 解答通过路由器在内网上设置rootkit
- Windows Server 2008巧妙配置DHCP服务器
- Windows Server 2008 IIS 7.0下配置asp.net 1.1
- Windows Server 2008与Window 7并存时的故障详解