域是微軟局域網解決方案的重要組成部分,幾乎每一個Windows Server版本的發布都會在域方面有非常大的改進和提升。作為微軟最新版本的Windows Server 2008會帶給我們什麼樣的域體驗呢?下面筆者結合實例,和大家分享幾個基於Windows Server 2008域的新應用,希望這些新特性會帶給大家不同的域管理體驗。
1、部署只讀域控制器
域控制器(DC)的安全,特別是其物理安全讓管理員頗為擔心。在Windows Server 2008中新增了一種特殊的域控制器即只讀域控制器(RODC),借助RODC我們可以在無法保證物理安全性的網絡節點中部署只讀域控制器。這樣不僅能夠提升其安全性,而且可以實現更快的登錄以及更加有效地訪問網絡資源。
在Windows Server 2008中要部署一台只讀域控制器(RODC)是非常簡單的。比如我們要將jp.com域中的一台Windows Server 2008主機部署成只讀域控制器可以進行這樣的操作:首先以管理員用戶登錄該主機,然後以Administrator身份允許命令提示符,接下來執行命令“dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:Woodgrovebank.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!”即可。其中/replicadomaindnsname:Woodgrovebank.com”指定域名,“/safemodeadminpassword:ctocio!”設置域控制器管理員的密碼為ctocio!。
需要說明的是,在安裝獲得目錄(AD)的過程中還將同時安裝並配置DNS,以及為活動目錄的恢復模式設置管理員密碼。另外,在安裝過程中,一定要主要查看屏幕中木馬復制策略的輸出。除此之外,其它的設置我們可以保持默認。在活動目錄安裝完畢後,系統將會重新啟動,系統重啟後該主機就成為一台只讀域控制器(RODC)。
2、管理角色的分離
管理角色分離是只讀域控制器(RODC)的一個重大的特征,我們可以指定一個域用戶到RODC上的角色,而而無需授予該用戶對該域或其他域控制器的任何用戶權限。其實,這些角色非常類似於本地組。通過這一功能,我們可以為分支機構的RODC指派管理員進行日常維護(如磁盤碎片的整理等),而不需要給他域管理員用戶名和密碼。這麼做的好處是非常明顯的:首先,可以解放管理員,實現DC管理任務的分配;另外,會大大地提升域的安全性,因為授權用戶只能執行指定的操作,而不會危害到域中其他部分的安全。同時,也避免了時刻使用管理員用戶進行DC管理因誤操作而造成破壞的風險。
我們在一台只讀域控制器(RODC)上執行管理角色的分離操作:以管理員身份登錄該主機,運行管理員身份的命令提示符,接下依次執行如下命令:
NTDSUTIL
Local Roles
Add Woodgrovebank.com\jp Administrators
Show Role Administrators
Quit
Quit
(圖2)
圖2 NTDSUTIL
簡單解釋一下上面的命令,第一行是進入NTDSUTIL.exe命令行,第二行是進入本地角色設置狀態,第三行是關鍵命令即添加用戶jp到Woodgrovebank.com域的管理員(administrators)組,第四行命令是顯示角色管理員組的成員,第五、第六行命令是退出NTDSUTIL工具。
上一頁12 3 下一頁 閱讀全文
