Windows Server 2008中活动目录的改进:
1、活动目录审核(Audit)新特性
活动目录审核(Audit)并不是Win2008活动目录中的一个新功能,在Win2000/Win2003的活动目录中也可以指派审核策略。通过审核功能,系统可以将服务器的状态、用户登录状态以及活动目录等状态进行记录,以日志的方式进行储存,管理员可以通过管理工具中的“Event Viewer”来查看日志,查看日志是管理员了解系统状态、排除错误的一个重要手段。
但是日志常常会迅速爆满,想找到自己所需的日志并不是一件容易的事情。这时候需要用到事件查看器中的筛选器(Filter)功能,但是操作起来也非常繁 琐,影响效率。Win2008中将全局的活动目录审核策略Active Directory Service Access细化为4个子类别,并且增添了新的审核子类别“Directory Service Changes”,将审计功能进行了较大的优化,更为细化、精确,可以在日志中查看谁对活动目录做出过修改,修改何时发生、修改了哪些对象与属性以及修改 的值等信息,这些细化的事件又分别对应着不同的事件ID,这样就使日志的可读性以及易检索性大大加强。
2、多元密码策略新特性
目录服务器DC的安全性至关重要,密码的保护是安全性保护中重要的一环。为活动目录制定密码策略可以减少人为的和来自网络入侵的安全威胁,保证活动目录的 安全。应用过Win2000/2003的用户可能都记得,密码策略需要指派到域上,不能单独应用于活动目录中的对象。换句话说,密码策略在域级别起作用, 一个域只能有一个密码策略。
统一的密码策略虽然大大提高了安全性,但是提高了域用户使用的复杂度。为解决这个问题,在Win2008中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略,例如,可以为管理员组指派超强密码策略,密码16位以上、两周过 期;为服务帐号指派中等密码策略,密码31天过期,不配置密码锁定策略;为普通域用户指派密码90天过期等。多元密码策略适应了不同用户对于安全性的不同 要求。
3、可重启的活动目录域服务
在Win2000/2003中,如果要执行离线整理活动目录数据库或者进入目录服务还原模式进行活动目录的修复或者还原,需要重启服务器进行切换。这时候服务器上的所有服务都会一同停止,这样就影响了其他不依赖于目录服务的一些如DHCP、流媒体等服务的执行。
在Win2008中支持可重启的活动目录域服务(Restartable Active Directory Domain Services)功能,这时候活动目录域服务(Active Directory Domain Services)是直接作为一个服务而存在,可以在系统服务控制台中停止或者启动,而不必像Win2000/2003中必须将服务器重启才能停止。可重 启的活动目录域服务功能的加入使不依赖于目录服务的服务在目录服务停止后仍可以正常运行,减少了服务器重启的次数,减少了Win2008执行操作的时间。
4、只读域控制器
只读域控制器RODC(Read-only domain controller) 是Win2008活动目录中变化非常大的一点。在之前的微软服务器操作系统版本中,如Win2000/2003,森林中的所有域控制器均可以进行更新,管理员可以在任何一个域控制器上进行写操作,这些操作会同步到其他域控制器上。
而Win2008的RODC具有以下这几点特性:RODC上存有活动目录域服务中所有的对象和属性,但是RODC上的数据只可读、不可写,RODC是单向 复制,包括AD数据库和SYSVOL,只可以从其他域控制器上同步信息,不可以向其他域控制器同步信息。由于具有上述这些特性,RODC可以应用于物理安 全上没有保障,或者IT管理水平不高的企业分支机构,将域和域控制器的安全级别提升了一个层次。
R2活动目录的新改进:
由于Windows Server 2008 R2是基于Win 2008,所以R2的活动目录基本特性与Win 2008是相同的,所以上述Win 2008活动目录所具有的活动目录审核新特性、多元密码策略新特性、可重启的活动目录域服务、只读域控制器等特性也是R2所具有的。除此之外,在 Windows Server 2008 R2的活动目录中,还增加了活动目录管理中心、活动目录回收站、离线加域等新功能。
1、活动目录(Active Directory)管理中心
虽然Windows Server 2008的活动目录已经很强大,但是不免有一些不足之处。在网络环 境比较复杂的情况下,如对多个域甚至多个森林中的对象进行管理,如更改用户密码和权力等,需要在活动目录中逐个域的查找,操作起来不是很方便。在R2活动 目录中增加了活动目录管理中心的新功能,是一个面向任务的管理模型,能管理大量数据集合与环境,比如管理多个森林或多个域,具有强大的检索和管理能力,底 层通过PowerShell Cmdlet实现,可以通过同一个图形界面对活动目录中的一些常见任务如检索用户、更改密码等操作进行处理,使对活动目录的管理大大简化,提高效率。
2、活动目录回收站
Windows 2000和Windows 2003时代,当我们从AD中删除某个对象时,其实AD并非将此对象直接删除,而是将此对象标记为墓碑对象。并且,墓碑对象会在活动目录中再保存60天时 间,这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改,我们只需要找到 Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。
而在Windows Server 2008 AD中,微软对活动目录对象增加了一层新的防误删保护机制。我们在创建对象时,可直接勾选是否启用防误删保护。Win2008 R2里面就为我们提供了一个近似“回收站”的对象保护功能,如果管理员将此功能启用,在活动目录中删除任何对象时都会被放到此回收站中,并可以通过命令将 被删除对象数据恢复到原始位置。
3、离线加域
在之前的Windows Server环境中,计算机需要在有网络连接的情况下才能加入域,并且加入域后还需要重启。在Windows Server 2008 R2中增加了离线加域功能,可以在域中预先准备好计算机帐户,添加帐户的时候不需要网络连接,计算机在最初启动的过程中就会自动加入到域,不需要重启,这 样大大减少了将计算机加入到域的步骤和时间。
. TAG: windows 2008 R2 活动目录