1、第3章 Active Directory 和組戰略規劃根底構造效力效力器角色規劃和實現組戰略方案本章課程設置： 第1課 Windows Server 2021 Active Directory 第2課 Windows Server 2021 組戰略1第1課 windows Server 2021 AD學習目的：列舉和描畫Windows Server 2021 Active Directory域效力AD DS的新特征和功能規劃和配置域功能級別規劃林功能級別規劃林信任運用目錄效力器23.1.1引見Windows Server 2021目錄效力器角色目錄效力器角色AD DS引入的新功能：只讀域控制器

2、RODC新的和加強的工具和導游：AD DS安裝導游細化的平安戰略：多元密碼戰略可重啟的AD DS：允許離線操作AD DS數據發掘工具：可查看快照數據33.1.1引見Windows Server 2021 目錄效力器角色1只讀域控制器RODCRODC是具有 Active Directory 文件庫只讀版本的域控制器，可部署于域控制器平安性無法確保的環境中。包括域控制器的物理平安性有疑慮的分支機構，或者具有額外角色功能并需求其他用戶登入與管理效力器的域控制器。可以把RODC管理委派給一個域用戶或平安組，從而在本地管理員不是Domain Admins組成員的地方運用RODC。 43.1.1引見Win

3、dows Server 2021 目錄效力器角色運用案例：遠程分公司的用戶，普統統過廣域網WAN銜接到總公司的DC進展身份驗證。缺陷：延遲或不能登錄。怎樣處理？可寫的DC?存放一個可寫的DC和一個管理員，浪費太大。存放一個可寫的DC，讓管理員遠程管理，帶寬低，費時又棘手。存放一個可寫的DC不如WAN平安。RODC處理方案：RODC提供了加強的平安性；使登錄更快速，并且允許更有效地訪問本地資源；RODC管理可以委派給一個沒有管理權限的用戶或組。51只讀域控制器RODC假設分公司運用的LOBline-of-business業務運用程序只需安裝到一個域控制器上才干運轉，也要選擇部署RODC。RODC

4、從一個可寫DC接納它的配置。敏感的平安信息不被復制到RODC。用戶在分公司第一次登錄時經過WAN進展身份確認，然后RODC可以把憑證緩存，以后就可以在本地驗證。因此，在用戶相對較少，物理平安性差，網絡帶寬較低，IT 知識貧乏的環境下，可以采用RODC。提供了只讀AD DS數據庫、單向復制、憑證緩存、管理員角色分別、只讀DNS不支持客戶更新等功能。3.1.1引見Windows Server 2021 目錄效力器角色63.1.1引見Windows Server 2021 目錄效力器角色2規劃RODC實現條件：遠程啟動Server 2021晉級或有一個2021的AD DS域，即可方案實現RODC。R

5、ODC安裝的兩個階段：第一階段：為該域中的RODC創建計算機賬戶時，可以為特定的RODC規定密碼復制戰略。在RODC上安裝DNS實現一個輔助的DNS效力器，可以復制該DNS運用的一切運用程序目錄分區。客戶更新數據，可以懇求單一更新DNS。第二階段：安裝73.1.1引見Windows Server 2021 目錄效力器角色3利用安裝導游加強功能Windows Server 2021添加了AD DS安裝導游，以簡化AD DS安裝，并引入了RODC安裝等新特征。單擊“添加角色輸入命令dcpromo高級方式安裝使他可以更好地控制安裝過程。83.1.1引見Windows Server 2021 目錄效力

6、器角色4委派RODC安裝在總公司DC中，可以委派適宜的權限給一個用戶或組。分支辦公室的用戶接受了委派權限后，就可以執行RODC的安裝，并可以管理RODC，但不需求域管理員權限。過程：首先創建RODC賬戶；安裝過程中就可以關聯/委派。93.1.1引見Windows Server 2021 目錄效力器角色5利用MMC管理單元加強功能Windows Server 2021加強了MMC管理單元工具如AD用戶和計算機的功能。查找命令：該命令允許查找放置DC的站點。可以協助處理復制問題。提供配置“密碼復制戰略選項卡，用于配置RODC的設置。單擊“高級按鈕，可以查看哪些密碼已被發送或存儲到RODC中，也就知

7、道誰在運用RODC。103.1.1引見Windows Server 2021 目錄效力器角色6規劃多元密碼和帳戶鎖定戰略以前的Active Directory實現中，只能對域中的一切用戶運用一個密碼和帳戶鎖定戰略。Windows Server 2021允許規定多元密碼戰略。可以規定多個密碼戰略，并對單個域中的不同用戶組運用不同的密碼限制和賬戶鎖定戰略。密碼設置容器PSC密碼設置對象PSO通常，規劃的戰略可以包含至少3個但不能多于10個PSO。不能直接將PSO運用于組織單元OU。而思索為這些OU創建影子組全局平安組，然后運用PSO。113.1.1引見Windows Server 2021 目錄效

8、力器角色6規劃多元密碼和帳戶鎖定戰略將PSO運用于組而不是OU，可以不用修正OU層次構造，組為管理各用戶集提供了更好的靈敏性。運用多元密碼，需求具有2021域功能級別。只需域管理組的成員才可以創建PSO，以及將一個PSO運用于某個組或用戶。多元密碼戰略只能運用于用戶對象和全局平安組，不能運用于計算機對象。多元密碼戰略不能干涉自定義的密碼挑選器。PSO分配給一個全局組后，可以把一個特殊的PSO直接運用于特定的用戶。可以方案委派多元密碼管理。123.1.1引見Windows Server 2021 目錄效力器角色7規劃數據發掘工具的運用目的：為了方便恢復被刪除的AD DS對象。數據發掘工具Dsam

9、ain.exe使被刪除的數據可以以卷影復制效力VSS備份的AD DS快照方式進展保管。可以利用輕型目錄訪問協議工具，如ldp.exe查看這些快照中的只讀數據。規劃被刪除數據的復原戰略：決議如何最好地保管刪除的數據，使它可以被復原，從而在需求的時候復原該數據。決議數據喪失后或者破壞時應復原哪個快照。確定了需求恢復的對象或OU，可以在快照中標識并記錄它們的屬性和前往鏈接。思索快照的平安問題，制定恢復方案。133.1.1引見Windows Server 2021 目錄效力器角色8規劃AD DS審核在Windows Server 2021中，全局審核戰略“審核目錄效力訪問默許啟動。該戰略控制啟用還是禁

10、用目錄效力事件的審核。記錄事件寫入“平安性事件日志以及如何呼應事件。DS訪問DS改動DS復制審核DS復制被進一步細分，提供兩個審核級別的選擇：正常和詳細。如何呼應事件： “將義務附加到該事件。143.1.2 規劃域和林功能將域和林晉級到Windows Server 2021時，總會提升域和林的功能級別。提升功能級別非常容易，但是不能夠降低它們，除了卸載重裝。要規劃需求為域設置什么功能級別以及什么時候提升功能，需求知道每個功能級別支持什么DC以及提升功能級別提供哪些附加功能，還需求知道域和林功能級別之間的關系。域功能級別思索要素林功能級別思索要素153.1.3 規劃林級信任林信任即林級信任允許一

11、個林中的每個域信任另一個林中的每個域。可以是單向傳入信任、單向傳出信任或雙向信任。運用：同伴公司或親密聯絡的組織之間可以運用林信任。林信任能夠構成并購或者接納戰略的組成部分。對AD隔離也可以運用林信任。161規劃信任類型和信任方向類型：林信任：最常見的跨林運作的信任類型。快捷方式信任外部信任：林中的一個域需求與一個不屬于林的域建立信任關系，那么建立一個域信任。領域信任：Unix領域和Windows域之間，經過Kerberos身份驗證，建立信任。信任方向：單向傳入、傳出、雙向3.1.3 規劃林級信任173.1.3 規劃林級信任2創建林信任在創建前，需求確保兩個林的林功能級別是Windows Se

12、rver 2003 或 Windows Server 2021。下一步是確保每個林的根域可以訪問其他林的根域。從“管理工具中翻開“Active Directory域和信任關系。啟動“新建信任導游。18本課小結 Windows Server 2021 引入許多新的AD DS功能，包括RODC、多元平安戰略和數據發掘工具等。 在分支辦公室中，假設可寫入的DC能夠成為一種平安要挾，那么可以安裝RODC來改良登錄和DNS解析。 可以配置PSO以存儲不同于域戰略的密碼和賬戶鎖定戰略，可以將用戶和平安組與一個PSO關聯。 數據發掘工具使被刪除的AD DS 或AD LDS數據可以以VSS獲得的AD DS快照

13、方式保管下來。 Windows Server 2021 加強了MMC管理單元工具的功能。 加強了AD DS審核功能，允許斷定AD DS發生了什么改動以及這些改動是何時發生的。 林級信任允許一個林中的某個域的用戶訪問另一個林中的某個域中的資源。19第2課 Windows Server 2021組戰略組戰略經過自動完成很多與用戶和計算機管理相關的義務來簡化管理。可以運用組戰略在客戶端按需安裝允許的運用程序，并使運用程序堅持更新。 在Windows Server 2021中，組戰略管理控制臺GPMC是內置的。經過“添加功能導游可以安裝GPMC。 管理模板ADM文件用來描畫基于注冊表的組戰略設置。在W

14、indows Server 2021中ADM文件被交換為XML格式的ADMX文件，使管理更加容易。20第2課 Windows Server 2021 組戰略學習目的：了解組戰略，安裝GPMC列舉Windows Server 2021 引入的新的組戰略設置和闡明它們的功能編寫簡單的ADMX文件討論配置組戰略時能夠發生的各種問題以及如何處理它們213.2.1 了解組戰略組戰略對象GPO中包含的組戰略設置可以鏈接到OU，而OU既可以從父OU承繼設置，也可以阻斷承繼，并從它們本人鏈接的GPO獲得特定的設置。戰略特別是平安戰略可以設置為“不覆蓋，使它們不能被阻斷或覆蓋，并強迫子OU從父OU承繼設置。22

15、Windows Server 2021引入了以下組戰略設置：允許遠程啟動未列出的程序允許時間區域重定向在銜接時一直顯示桌面磁盤診斷：配置自定義警告文本、配置執行級別不允許剪貼板重定向登錄時不自動顯示初始配置義務窗口登錄時不顯示效力器管理器頁面實施遠程桌面墻紙的刪除組戰略管理編輯器 3.2.1 了解組戰略233.2.2 規劃和管理組戰略規劃組戰略的部分任務是規劃組織構造。堅持構造簡單，不要跨站點邊境鏈接OU和GPO，賦予OU和GPO有意義的稱號。充分了解組戰略在客戶端是如何處置的。處置分如下兩個階段：中心處置：中心組戰略引擎在初始階段處置。銜接DC，能否有GPO被修正，以及哪些戰略設置必需處置。

16、客戶端擴展CSE處置：從DC下來的組戰略設置被放到了不同的分類，每個分類的設置都有一個特定的CSE處置。中心組戰略引擎調用所需的CSE來處置客戶端運用的設置。243.2.2 規劃和管理組戰略1運用ADMX文件管理組戰略ADMX是用來定義注冊表的戰略設置。運用基于XML的文件格式。ADMX文件分為言語中立資源.admx文件和言語特定的資源.adml文件。2ADMX位置ADMX文件可以存儲在一個中心位置。這就大大減少了維護GPO所需的存儲空間。中心存儲位置不是默許可用的，而是需求人工創建它。253.2.2 規劃和管理組戰略3創建自定義的ADMX文件假設Windows Serer 2021所帶的規范

17、組戰略設置不能滿足要求，可以思索創建自定義的ADMX文件。ADMX修正注冊表。所以要在隔離的實驗網絡上對自定義的ADMX文件進展測試，不能把它們直接安裝到消費網絡上。運用XML編輯器或文本編輯器可以創建和編輯ADMX文件。XML文件是區分大小寫的。263.2.3 組戰略疑問解答組戰略是強壯的，幾乎不會break。由于戰略承繼和OU構造設計得不正確，組戰略會不起作用。調試組戰略的第一步，通常是檢查正確地規劃和實現了域根底構造。確保所需的效力和組件都如期望的那樣運轉和配置。假設某一個有問題，首先驗證能否被連入網絡，參與了域，具有正確的系統時間。其次檢查他配置的平安挑選等設置有沒有影響正常的GPO處置。273.2.3 組戰略疑問解答1運用組戰略工具GPResult.exe：驗證對某個特定用戶或計算機起作用的一切戰略設置。GPOTool.exe：一個資源工具包，檢查域的每個DC上的GPO一致性，以及確定這些戰略能否有效，顯示有關復制的GPO的詳細信息。2處理中心處置問題假設中心處置沒有快速有效地發生，CSE處置能夠無法開場，組戰略得不到運用。28本課小結 GPMC與Windows Server 2021嚴密集成，運用效力器管理器可以安裝該工具。 Wind