Windows Server 2008下高效域管理体验

系统 Windows
作为微软最新版本的Windows Server 2008,在域方面有着非常大的改进和提升。本文便和大家分享了几个基于Windows Server 2008域的新应用,希望这些新特性会带给大家不同的域管理体验。

是微软局域网解决方案的重要组成部分,几乎每一个Windows Server版本的发布都会在域方面有非常大的改进和提升。作为微软***版本的Windows Server 2008会带给我们什么样的域体验呢?下面笔者结合实例,和大家分享几个基于Windows Server 2008域的新应用,希望这些新特性会带给大家不同的域管理体验。

1、部署只读域控制器

域控制器(DC)的安全,特别是其物理安全让管理员颇为担心。在Windows Server 2008中新增了一种特殊的域控制器即只读域控制器(RODC),借助RODC我们可以在无法保证物理安全性的网络节点中部署只读域控制器。这样不仅能够提升其安全性,而且可以实现更快的登录以及更加有效地访问网络资源。

在Windows Server 2008中要部署一台只读域控制器(RODC)是非常简单的。比如我们要将jp.com域中的一台Windows Server 2008主机部署成只读域控制器可以进行这样的操作:首先以管理员用户登录该主机,然后以Administrator身份允许命令提示符,接下来执行命令:

dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:Woodgrovebank.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!
 

即可。其中“/replicadomaindnsname:Woodgrovebank.com”指定域名,“/safemodeadminpassword:ctocio!”设置域控制器管理员的密码为ctocio!

需要说明的是,在安装获得目录(AD)的过程中还将同时安装并配置DNS,以及为活动目录的恢复模式设置管理员密码。另外,在安装过程中,一定要主要查看屏幕中木马复制策略的输出。除此之外,其它的设置我们可以保持默认。在活动目录安装完毕后,系统将会重新启动,系统重启后该主机就成为一台只读域控制器(RODC)。

2、管理角色的分离

管理角色分离是只读域控制器(RODC)的一个重大的特征,我们可以指定一个域用户到RODC上的角色,而而无需授予该用户对该域或其他域控制器的任何用户权限。其实,这些角色非常类似于本地组。通过这一功能,我们可以为分支机构的RODC指派管理员进行日常维护(如磁盘碎片的整理等),而不需要给他域管理员用户名和密码。这么做的好处是非常明显的:首先,可以解放管理员,实现DC管理任务的分配;另外,会大大地提升域的安全性,因为授权用户只能执行指定的操作,而不会危害到域中其他部分的安全。同时,也避免了时刻使用管理员用户进行DC管理因误操作而造成破坏的风险。

我们在一台只读域控制器(RODC)上执行管理角色的分离操作:以管理员身份登录该主机,运行管理员身份的命令提示符,接下依次执行如下命令:

NTDSUTIL
Local Roles
Add Woodgrovebank.com\jp Administrators
Show Role Administrators
Quit
Quit

NTDSUTIL

图1 NTDSUTIL

简单解释一下上面的命令,***行是进入NTDSUTIL.exe命令行,第二行是进入本地角色设置状态,第三行是关键命令即添加用户jp到Woodgrovebank.com域的管理员(administrators)组,第四行命令是显示角色管理员组的成员,第五、第六行命令是退出NTDSUTIL工具。

3、用新账户执行管理操作

通过上面的操作我们赋予了jp用户对于Woodgrovebank.com域的操作权限,下面我们验证一下上述操作的有效性。以jp用户登录名为SFO-DC-01.Woodgrovebank.com的只读域控制器(RODC)。我们首先打开命令提示符工具,执行命令:

whoami /user /groups : find "Administrators”

可以看到域用户jp已经成功扥两个到这台只读域控制器(RODC),并且已经为其本地管理员。

只读域控制器

图2 只读域控制器

下面我们执行一个系统管理操作,比如格式化该主机的F分区。在命令行下执行一个命令“Format F: /q”,可以看到对该只读域控制器(RODC)的F分区的快速格式化操作成功完成。这说明,我们在刚才在只读域控制器(RODC)执行的管理角色的分离操作是成功了。不过要说明的是,此用户在域中只是普通域用户只具有域策略赋予的一般权限。大家可以试试,创建这样的用户,然后登录域控制器,你会发现登录失败,因为一般域用户是无法登录域控制器的。

#p#

4、执行活动目录的脱机维护操作

我们知道,在以前Windows Server版本中,如果需要脱机维护活动目录,需要重新启动域控制器然后按住F8,进入活动目录还原模式才能够完成操作。但这样做将会影响运行在域控制器上的其它服务,例如文件服务,打印服务等等,是非常不方便的。但在Windows Server 2008中,我们不需要重新启动就可以停止活动目录域服务,然后执行需要需要活动目录脱机才能执行的操作,例如对活动目录数据库进行碎片整理,移动等等。下面笔者在测试环境中进行演示,大家可亲身体验一下Windows Server 2008中的这样新功能。

在命令提示符中,输入命令“net stop NTDS”,然后执行会提示“您想继续此操作吗?”,我们输入y,然后回车后即可停止获得目录服务。接下面我们这些如下的操作对活动目录进行脱机维护:

MD C:\compact
ntdsutil
Activate Instance NTDS 
Files
Compact to C:\compact
quit
quit
Del C:\Windows\NTDS\*.log
Copy /y C:\compact\ntds.dit C:\Windows\NTDS\ntds.dit
ntdsutil
Activate Instance ntds
files
integrity
quit
semantic database analysis
go fixup
quit
quit
exit

域维护

图3 域维护

通过上面的命令我们对活动目录进行的脱机操作主要是:在C分区创建一个名为compact的目录,然后利用ntdsutil工具创建活动目录快照,将把经过压缩处理的ntds.dit文件放置到这个文件夹中保存存到C:\compact。接下来清除了获得目录中的的log文件,并用刚才创建的ntds.dit代替原来的同名文件,并执行了获得目录数据库的同步。上面所有的针对活动目录的脱机维护我们都是在不重启DC的情况下完成的,并且并不影响DC中运行的其他服务。可见,Windows Server 2008的这样特性在实际生产中还是非常有用的。在完成活动目录的脱机维护后,我们在命令提示符下执行“net start NTDS”将重启活动目录服务,其他被停止的相关服务也将在后台被启动。至此,Windows Server 2008下活动目录的一次脱机维护快速完成,将维护成本降到***。

总结:上面列举的几个实例,只是Windows Server 2008域管理新特性中很小的一部分。如果你们部署了基于Windows Server 2008的AD,挖掘和应用好这些新特性一定会极大地提升域管理的效率。

【编辑推荐】

  1. Windows Server 2008四项优化技巧
  2. 解答通过路由器在内网上设置rootkit
  3. Windows Server 2008巧妙配置DHCP服务器
  4. Windows Server 2008 IIS 7.0下配置asp.net 1.1
  5. Windows Server 2008与Window 7并存时的故障详解


 

 

责任编辑:冯宇 来源: ChinaUnix文档频道
相关推荐

2011-07-18 11:32:31

子域域控制器

2011-07-18 09:11:34

Windows SerActive Dire

2009-06-10 08:21:25

Windows Ser微软服务器

2010-12-24 09:32:43

2010-11-01 13:47:56

Windows Ser

2009-06-29 10:18:01

Windows Ser操作系统AD

2010-04-30 15:58:22

2011-03-29 12:42:25

SQL Server 高效性

2010-05-17 10:43:03

Windows Ser实战

2011-08-11 10:38:23

域功能

2009-01-06 10:51:11

Windows2008共享Server2008

2013-09-24 10:20:14

Windows SerWindows Ser

2010-06-03 15:33:12

2010-06-03 17:08:04

2012-09-06 16:33:24

Windows Ser

2011-03-09 15:23:25

Windows Ser

2010-04-14 13:56:48

Windows Ser

2010-06-03 15:43:52

Windows Ser

2010-06-03 11:39:33

2011-09-15 10:13:07

Windows Ser安装体验
点赞
收藏

51CTO技术栈公众号