Windows Server 2008活動目錄應(yīng)用指南

第1部分 WindowsServer2008活動目錄概述
第1章 WindowsServer2008活動目錄的新增功能
1.1 活動目錄域服務(wù)的新功能
1.1.1 只讀域控制器(RODC)
1.1.2 活動目錄域服務(wù)審核
1.1.3 細化密碼策略
1.1.4 可重新啟動的活動目錄域服務(wù)
1.1.5 數(shù)據(jù)庫裝載工具
1.1.6 用戶界面改進
1.2 其他活動目錄服務(wù)角色
1.2.1 活動目錄證書服務(wù)角色
1.2.2 活動目錄聯(lián)合身份驗證服務(wù)角色1
1.2.3 活動目錄輕型目錄服務(wù)角色1
1.2.4 活動目錄權(quán)限管理服務(wù)角色1
1.3 小結(jié)1
第2章 活動目錄域服務(wù)組件1
2.1 ADDS物理結(jié)構(gòu)1
2.1.1 目錄數(shù)據(jù)存儲1
2.1.2 域控制器1
2.1.3 全局編錄服務(wù)器1
2.1.4 只讀域控制器1
2.1.5 操作主機2
2.1.6 轉(zhuǎn)移操作主機角色2
2.1.7 架構(gòu)2
2.2 ADDS邏輯結(jié)構(gòu)2
2.2.1 ADDS分區(qū)2
2.2.2 域3
2.2.3 林3
2.2.4 信任3
2.2.5 站點3
2.2.6 組織單位3
2.3 小結(jié)4
2.4 補充資源4
2.4.1 相關(guān)工具4
2.4.2 下載代碼中的資源4
2.4.3 相關(guān)幫助主題4
第3章 活動目錄域服務(wù)和域名系統(tǒng)4
3.1 集成DNS和ADDS4
3.1.1 服務(wù)位置(SRV)資源記錄4
3.1.2 ADDS域控制器注冊的SRV記錄4
3.1.3 DNS定位器服務(wù)4
3.1.4 自動站點覆蓋4
3.2 ADDS集成區(qū)域5
3.2.1 使用ADDS集成區(qū)域的好處5
3.2.2 DNS的默認應(yīng)用程序分區(qū)5
3.2.3 管理ADDS集成區(qū)域5
3.3 集成DNS命名空間和ADDS域5
3.3.1 DNS委派5
3.3.2 轉(zhuǎn)發(fā)器和根提示5
3.3.3 DNS和ADDS集成故障排除6
3.3.4 DNS故障排除6
3.3.5 SRV記錄注冊故障排除6
3.4 小結(jié)6
3.5 最佳實踐6
3.6 補充資源6
3.6.1 相關(guān)信息6
3.6.2 相關(guān)工具6
3.6.3 下載代碼中的資源6
3.6.4 相關(guān)幫助主題6
第4章 活動目錄域服務(wù)復(fù)制6
4.1 ADDS復(fù)制模型6
4.2 復(fù)制過程6
4.2.1 更新類型6
4.2.2 復(fù)制更改6
4.3 復(fù)制SYSVOL目錄7
4.4 站點內(nèi)和站點間復(fù)制7
4.4.1 站點內(nèi)復(fù)制7
4.4.2 站點間復(fù)制7
4.4.3 復(fù)制延遲7
4.4.4 緊急復(fù)制7
4.5 生成復(fù)制拓撲7
4.5.1 知識一致性檢查器7
4.5.2 連接對象7
4.5.3 站點內(nèi)復(fù)制拓撲7
4.5.4 全局編錄復(fù)制7
4.5.5 站點間復(fù)制拓撲8
4.5.6 RODC和復(fù)制拓撲8
4.6 配置站點間復(fù)制8
4.6.1 創(chuàng)建額外的站點8
4.6.2 站點鏈接8
4.6.3 站點鏈接橋8
4.6.4 復(fù)制傳輸協(xié)議8
4.6.5 配置橋頭服務(wù)器8
4.7 復(fù)制故障排除9
4.7.1 ADDS復(fù)制故障排除的步驟9
4.7.2 ADDS復(fù)制故障排除工具9
4.8 小結(jié)9
4.9 最佳實踐9
4.10補充資源9
4.1.1 相關(guān)信息9
4.10.2 相關(guān)工具9
4.10.3 下載代碼中的資源9
4.10.4 相關(guān)幫助主題9
第2部分 設(shè)計和實現(xiàn)WindowsServer2008活動目錄
第5章 設(shè)計活動目錄域服務(wù)結(jié)構(gòu)9
5.1 定義目錄服務(wù)需求9
5.1.1 定義業(yè)務(wù)和技術(shù)需求10
5.1.2 記錄當前環(huán)境10
5.2 設(shè)計林結(jié)構(gòu)10
5.2.1 林和ADDS設(shè)計10
5.2.2 單個林或多個林10
5.2.3 針對ADDS安全進行林設(shè)計11
5.2.4 林設(shè)計模型11
5.2.5 設(shè)計林所有權(quán)11
5.2.6 林變更控制策略11
5.3 設(shè)計多個林的集成11
5.3.1 設(shè)計林間信任11
5.3.2 設(shè)計林間目錄集成11
5.4 設(shè)計域結(jié)構(gòu)11
5.4.1 確定域數(shù)量11
5.4.2 設(shè)計林根域12
5.4.3 設(shè)計域?qū)哟谓Y(jié)構(gòu)12
5.4.4 域樹和信任12
5.4.5 部署后更改域?qū)哟谓Y(jié)構(gòu)12
5.4.6 定義域所有權(quán)12
5.5 定義域和林功能級別12
5.5.1 在域功能級別啟用的功能12
5.5.2 在林功能級別啟用的功能12
5.5.3 實現(xiàn)域和林功能級別12
5.6 設(shè)計DNS基礎(chǔ)結(jié)構(gòu)12
5.7 設(shè)計組織單位結(jié)構(gòu)13
5.7.1 組織單位和ADDS設(shè)計13
5.7.2 設(shè)計OU結(jié)構(gòu)13
5.7.3 創(chuàng)建OU設(shè)計13
5.8 設(shè)計站點拓撲13
5.8.1 站點和ADDS設(shè)計13
5.8.2 創(chuàng)建站點設(shè)計13
5.8.3 創(chuàng)建復(fù)制設(shè)計13
5.8.4 設(shè)計服務(wù)器位置14
5.9 小結(jié)14
5.10最佳實踐14
5.11補充資源14
5.11.1 相關(guān)信息14
5.11.2 下載代碼中的資源14
第6章 安裝活動目錄域服務(wù)14
6.1 安裝ADDS的必備條件14
6.1.1 硬盤空間需求15
6.1.2 網(wǎng)絡(luò)連接15
6.1.3 DNS15
6.1.4 管理權(quán)限15
6.1.5 操作系統(tǒng)兼容性15
6.2 了解ADDS安裝選項15
6.2.1 安裝配置任務(wù)和添加角色向?qū)?5
6.2.2 服務(wù)器管理器15
6.2.3 活動目錄域服務(wù)安裝15
6.2.4 無人參與安裝15
6.3 使用活動目錄域服務(wù)安裝向?qū)?5
6.3.1 部署配置15
6.3.2 命名域15
6.3.3 設(shè)置WindowsServer2008功能級別15
6.3.4 其他域控制器選項15
6.3.5 文件位置15
6.3.6 完成安裝16
6.3.7 驗證ADDS的安裝16
6.4 執(zhí)行無人參與安裝16
6.5 部署只讀域控制器16
6.5.1 服務(wù)器核心安裝WindowsServer200816
6.5.2 部署RODC16
6.6 刪除ADDS16
6.6.1 刪除額外的域控制器16
6.6.2 刪除最后一臺域控制器16
6.6.3 無人參與刪除ADDS16
6.6.4 強制刪除WindowsServer2008域控制器16
6.7 小結(jié)16
6.8 補充資源16
6.8.1 相關(guān)信息16
6.8.2 相關(guān)工具16
第7章 遷移到活動目錄域服務(wù)16
7.1 遷移路徑16
7.1.1 域升級遷移路徑17
7.1.2 域重構(gòu)17
7.2 確定遷移路徑17
7.3 升級域17
7.4 重構(gòu)域17
7.5 林內(nèi)遷移18
7.6 配置林間信任18
7.7 小結(jié)18
7.8 最佳實踐18
7.9 補充資源18
7.9.1 相關(guān)信息18
7.9.2 相關(guān)工具18
第3部分 管理WindowsServer2008活動目錄
第8章 活動目錄域服務(wù)安全18
8.1 ADDS安全基礎(chǔ)18
8.1.1 安全主體18
8.1.2 訪問控制列表18
8.1.3 訪問令牌19
8.1.4 身份驗證19
8.1.5 授權(quán)19
8.2 Kerberos安全19
8.2.1 Kerberos簡介19
8.2.2 Kerberos身份驗證19
8.2.3 身份驗證委派19
8.2.4 在WindowsServer2008中配置Kerberos20
8.2.5 與公鑰基礎(chǔ)結(jié)構(gòu)集成20
8.2.6 與智能卡集成20
8.2.7 與其他Kerberos系統(tǒng)互操作20
8.2.8 Kerberos故障排除20
8.3 NTLM身份驗證20
8.4 實現(xiàn)域控制器安全20
8.4.1 減少域控制器的攻擊面20
8.4.2 配置默認域控制器策略21
8.4.3 配置SYSKEY21
8.5 設(shè)計安全管理實踐21
8.6 小結(jié)21
8.7 最佳實踐21
8.8 補充資源21
8.8.1 相關(guān)信息21
8.8.2 相關(guān)工具21
8.8.3 下載代碼中的資源22
8.8.4 相關(guān)幫助主題22
第9章 委派活動目錄域服務(wù)管理22
9.1 活動目錄管理任務(wù)22
9.2 訪問活動目錄對象22
9.3 活動目錄對象權(quán)限22
9.3.1 標準權(quán)限22
9.3.2 特殊權(quán)限22
9.3.3 權(quán)限繼承22
9.3.4 有效權(quán)限23
9.3.5 活動目錄對象的所有權(quán)23
9.4 委派管理任務(wù)23
9.5 審核管理權(quán)限的使用23
9.5.1 為域控制器配置審核策略23
9.5.2 在活動目錄對象上配置審核23
9.6 委派管理工具23
9.7 計劃管理委派24
9.8 小結(jié)24
9.9 補充資源24
第10章 管理活動目錄對象24
10.1 管理用戶24
10.1.1 用戶對象24
10.1.2 inetOrgPerson對象24
10.1.3 聯(lián)系對象24
10.1.4 服務(wù)賬戶24
10.2 管理組24
10.2.1 組類型24
10.2.2 組作用域24
10.2.3 活動目錄中的默認組25
10.2.4 特殊標識25
10.2.5 創(chuàng)建安全組設(shè)計25
10.3 管理計算機25
10.4 管理打印機對象25
10.4.1 在活動目錄中發(fā)布打印機25
10.4.2 跟蹤打印機位置25
10.5 管理已發(fā)布共享文件夾25
10.6 自動化活動目錄對象管理26
10.6.1 管理活動目錄的命令行工具26
10.6.2 使用LDIFDE和CSVDE26
10.6.3 使用VBScript管理活動目錄對象26
10.7 小結(jié)26
10.8 最佳實踐26
10.9 補充資源26
10.9.1 相關(guān)信息26
10.9.2 相關(guān)工具26
10.9.3 下載代碼中的資源26
第11章 組策略簡介26
11.1 組策略概述27
11.1.1 組策略工作原理27
11.1.2 WindowsServer2008組策略中的新增功能27
11.2 組策略組件27
11.2.1 組策略容器概述27
11.2.2 組策略模板的組件27
11.2.3 組策略對象組件的復(fù)制27
11.3 組策略處理27
11.3.1 客戶端如何處理GPO27
11.3.2 初始GPO處理27
11.3.3 后臺GPO刷新28
11.3.4 如何刷新與組策略相關(guān)的GPO歷史記錄28
11.3.5 默認后臺處理間隔時間的例外情況28
11.4 實現(xiàn)組策略28
11.4.1 GPMC概述28
11.4.2 使用GPMC創(chuàng)建和鏈接GPO28
11.4.3 修改GPO處理的作用域28
11.4.4 委派GPO管理29
11.4.5 在域和林之間實現(xiàn)組策略29
11.5 管理組策略對象29
11.5.1 備份和還原GPO29
11.5.2 復(fù)制組策略對象29
11.5.3 導(dǎo)入組策略對象設(shè)置29
11.5.4 建模和報告組策略結(jié)果29
11.6 編寫組策略管理腳本30
11.7 計劃組策略實現(xiàn)30
11.8 組策略故障排除30
11.9 小結(jié)30
11.10 補充資源30
第12章 使用組策略管理用戶桌面30
12.1 使用組策略管理桌面30
12.2 管理用戶數(shù)據(jù)和配置文件設(shè)置31
12.2.1 管理用戶配置文件31
12.2.2 使用組策略管理漫游用戶配置文件31
12.2.3 文件夾重定向31
12.3 管理模板32
12.3.1 理解管理模板文件32
12.3.2 管理基于域的模板文件32
12.3.3 管理ADMX模板文件的最佳實踐32
12.4 使用腳本管理用戶環(huán)境32
12.5 使用組策略部署軟件32
12.5.1 WindowsInstaller技術(shù)32
12.5.2 部署應(yīng)用程序32
12.5.3 使用組策略分發(fā)非WindowsInstaller應(yīng)用程序33
12.5.4 配置軟件包屬性33
12.5.5 使用組策略配置WindowsInstaller33
12.5.6 計劃組策略軟件安裝33
12.5.7 使用組策略管理軟件的局限性33
12.6 組策略首選項概述33
12.6.1 組策略首選項與策略設(shè)置33
12.6.2 組策略首選項設(shè)置34
12.6.3 組策略首選項選項34
12.7 小結(jié)34
12.8 補充資源34
12.8.1 相關(guān)信息34
12.8.2 下載代碼中的資源34
第13章 使用組策略管理安全34
13.1 使用組策略配置域安全34
13.1.1 默認域策略概述34
13.1.2 默認域控制器策略概述34
13.1.3 為域重新創(chuàng)建默認GPO35
13.1.4 細化密碼策略35
13.2 使用組策略強化服務(wù)器安全35
13.3 使用組策略配置網(wǎng)絡(luò)安全36
13.3.1 配置有線網(wǎng)絡(luò)安全36
13.3.2 配置無線網(wǎng)絡(luò)安全36
13.3.3 配置Windows防火墻和IPsec安全36
13.4 使用安全模板配置安全設(shè)置36
13.5 小結(jié)36
13.6 補充資源36
第4部分 維護WindowsServer2008活動目錄
第14章 監(jiān)視和維護活動目錄37
14.1 監(jiān)視活動目錄37
14.1.1 為什么監(jiān)視活動目錄37
14.1.2 監(jiān)視服務(wù)器可靠性和性能37
14.1.3 如何監(jiān)視活動目錄37
14.1.4 監(jiān)視內(nèi)容38
14.1.5 監(jiān)視復(fù)制38
14.2 活動目錄數(shù)據(jù)庫維護38
14.2.1 垃圾收集38
14.2.2 聯(lián)機碎片整理38
14.2.3 活動目錄數(shù)據(jù)庫的脫機碎片整理38
14.2.4 使用Ntdsutil管理活動目錄數(shù)據(jù)庫38
14.3 小結(jié)38
14.4 補充資源39
第15章 活動目錄災(zāi)難恢復(fù)39
15.1 計劃應(yīng)對災(zāi)難39
15.2 活動目錄數(shù)據(jù)存儲39
15.3 備份活動目錄39
15.3.1 備份的需要39
15.3.2 邏輯刪除生存時間39
15.3.3 備份頻率39
15.4 還原活動目錄39
15.4.1 通過創(chuàng)建一臺新的域控制器還原活動目錄39
15.4.2 執(zhí)行活動目錄非授權(quán)還原39
15.4.3 執(zhí)行活動目錄授權(quán)還原40
15.4.4 還原組成員身份40
15.4.5 重新激活邏輯刪除對象40
15.4.6 使用活動目錄數(shù)據(jù)庫裝載工具40
15.4.7 還原SYSVOL信息40
15.4.8 還原操作主機和全局編錄服務(wù)器40
15.5 小結(jié)41
15.6 最佳實踐41
15.7 補充資源41
15.7.1 相關(guān)信息41
15.7.2 相關(guān)工具41
第5部分 活動目錄標識和訪問管理
第16章 活動目錄輕型目錄服務(wù)41
16.1 ADLDS概述41
16.1.1 ADLDS功能41
16.1.2 ADDS部署場景41
16.2 ADLDS的結(jié)構(gòu)和組件41
16.2.1 ADLDS服務(wù)器41
16.2.2 ADLDS實例42
16.2.3 目錄分區(qū)42
16.2.4 ADLDS復(fù)制42
16.2.5 ADLDS安全42
16.3 實現(xiàn)ADLDS43
16.3.1 配置實例和應(yīng)用程序分區(qū)43
16.3.2 ADLDS管理工具43
16.3.3 配置復(fù)制43
16.3.4 備份和還原ADLDS43
16.4 配置ADDS和ADLDS同步44
16.5 小結(jié)44
16.6 最佳實踐44
16.7 補充資源44
16.7.1 相關(guān)工具44
16.7.2 下載代碼中的資源44
16.7.3 相關(guān)幫助主題44
第17章 活動目錄證書服務(wù)44
17.1 活動目錄證書服務(wù)概述44
17.1.1 公鑰基礎(chǔ)結(jié)構(gòu)組件44
17.1.2 證書頒發(fā)機構(gòu)45
17.1.3 證書服務(wù)部署場景45
17.2 實現(xiàn)ADCS45
17.2.1 安裝ADCS根證書頒發(fā)機構(gòu)45
17.2.2 安裝ADCS從屬證書頒發(fā)機構(gòu)45
17.2.3 配置Web注冊45
17.2.4 配置證書吊銷45
17.2.5 管理密鑰存檔和恢復(fù)46
17.3 管理ADCS中的證書46
17.3.1 配置證書模板46
17.3.2 配置證書自動注冊46
17.3.3 使用組策略管理證書接受46
17.3.4 配置憑據(jù)漫游46
17.4 設(shè)計ADCS實現(xiàn)46
17.4.1 設(shè)計CA層次結(jié)構(gòu)46
17.4.2 設(shè)計證書模板47
17.4.3 設(shè)計證書分發(fā)和吊銷47
17.5 小結(jié)47
17.6 最佳實踐47
17.7 補充資源47
17.7.1 相關(guān)信息47
17.7.2 相關(guān)工具47
第18章 活動目錄權(quán)限管理服務(wù)47
18.1 ADRMS概述47
18.1.1 ADRMS功能47
18.1.2 ADRMS組件47
18.1.3 ADRMS的工作原理47
18.1.4 ADRMS部署方案48
18.2 實現(xiàn)ADRMS48
18.2.1 安裝ADRMS之前的預(yù)安裝考慮事項48
18.2.2 安裝ADRMS群集48
18.2.3 配置ADRMS服務(wù)連接點48
18.2.4 使用ADRMS客戶端48
18.3 管理ADRMS48
18.3.1 管理信任策略48
18.3.2 管理權(quán)限策略模板49
18.3.3 配置排除策略49
18.3.4 配置安全策略49
18.3.5 查看報告49
18.4 小結(jié)50
18.5 補充資源50
第19章 活動目錄聯(lián)合身份驗證服務(wù)50
19.1 ADFS概述50
19.1.1 聯(lián)合身份驗證50
19.1.2 Web服務(wù)50
19.1.3 ADFS組件50
19.1.4 ADFS部署設(shè)計50
19.2 實現(xiàn)ADFS51
19.2.1 ADFS部署要求51
19.2.2 在聯(lián)合WebSSO設(shè)計中實現(xiàn)ADFS51
19.2.3 配置賬戶伙伴聯(lián)合身份驗證服務(wù)52
19.2.4 配置資源伙伴ADFS組件52
19.2.5 為基于WindowsNT令牌的應(yīng)用程序配置ADFS53
19.2.6 實現(xiàn)WebSSO設(shè)計53
19.2.7 實現(xiàn)具有林信任的聯(lián)合WebSSO設(shè)計53
19.3 小結(jié)53
19.4 最佳實踐53
19.5 補充資源53
19.5.1 下載代碼中的資源53
19.5.2 相關(guān)幫助主題53