Windows Server 2008活动目录新特性解析
|
活动目录(Active Directory)这个名词相比对Windows Server管理员们来说并不陌生。微软从Win2000中引入了活动目录的概念,活动目录是一种集成管理技术,与现实生活中的各种管理模式一样,它的出 现是为了更有效,更灵活的实现管理目的。活动目录是一个层次的、树状的结构,通过活动目录组织和存储网络上的对象信息,可以让管理员非常方便的进行对象的查询、组织和管理。活动目录具有与DNS集成、便于查询、可伸缩可扩展、可以进行基于策略的管理、安全高效等特点,通过组织活动目录,可以实现提高用户生产力、增强安全性、减少宕机时间、减轻IT管理的负担与成本等优势。
简单回顾了一下活动目录的概念和作用,下文我们将对微软新一代企业级应用平台Windows Server 2008中活动目录的新功能进行简单介绍。首先从活动目录服务的名称上看,在Win2000和Win2003系统中,活动目录服务被命名为AD Directory Service,而在Win2008中,活动目录服务有了一个新的名称:Active Directory Domain Service(在下文中简称ADDS)。名称的改变意味着微软对Win2008的活动目录进行了较大的调整,增加了功能强大的新特性并且对原有特性进行 了增强。 1、活动目录审核新特性 活动目录审核(Audit)并不是Win2008活动目录中的一个新功能,在Win2000/Win2003的活动目录中也可以指派审核策略。通过审核功能,系统可以将服务器的状态、用户登录状态以及活动目录等状态进行记录,以日志的方式进行储存,管理员可以通过管理工具中的“Event Viewer”来查看日志,查看日志是管理员了解系统状态、排除错误的一个重要手段。 但是在Win2000/2003中的活动目录审核功能具有一定的缺陷,当我们在活动目录中的一个容器启用Directory Service Access审核策略,来记录这个容器下的对象的活动,以检测活动目录的变化的时候,与活动目录相关的事件日志会快速爆满,这样一来管理员在事件查看器 (Event Viewer)中查找需要的日志的时候就会非常麻烦,而且日志比较简单,不是很详细。 事件查看器中充满了日志,想找到自己所需的日志并不是一件容易的事情。这时候需要用到事件查看器中的筛选器(Filter)功能,可以按照时间、事件类型 或者事件ID来进行检索。活动目录中,每一类相同的事件比如活动目录对象转移、添加等都会有一个相同的事件ID,通过筛选相同的事件ID就可以找到同一类 事件。除了使用时间查看器中的筛选器筛选日志外,可以通过导出事件到Excel进行分类排序,也可以找到需要的日志。 这样虽然能够找到需要的日志,但是操作起来也非常繁琐,影响效率。Win2008中的审计功能进行了较大的优化,更为细化、精确,可以在日 志中查看谁对活动目录做出过修改,修改何时发生、修改了哪些对象与属性以及修改的值等信息,这些细化的事件又分别对应着不同的事件ID,这样就使日志的可 读性以及易检索性大大加强。 Win2008通过将全局的活动目录审核策略Active Directory Service Access细化为4个子类别,并且增添了新的审核子类别“Directory Service Changes”来实现上述的功能。通过这个新的子类别,我们可以审核活动目录中对象的创建,修改,移动及恢复的行为,这样一来就使日志记录得更加准确。
审核子类别“Directory Service Changes”可以审核活动目录中对象的创建,修改,移动及恢复的行为。其事件ID分别依次为:5137、5136、5139、5138。在事件查看器中筛选这些ID就可以查到相关的日志。 最后需要注意一点,如果启用全局的Directory Service Access审核策略,会自动启用其下四个子类审核策略,这样也会造成日志的爆满。但是值得庆幸的是这四个子类审核策略可以在不启用Directory Service Access审核策略的请款下单独启用,彼此相互独立,这样使日志更加精确,便于分类查找。 2、多元密码策略新特性 目录服务器DC的安全性至关重要,密码的保护是安全性保护中重要的一环。为活动目录制定密码策略可以减少人为的和来自网络入侵的安全威胁,保证活动目录的安全。应用过Win2000/2003的用户可能都记得,密码策略需要指派到域上,不能单独应用于活动目录中的对象。换句话说,密码策略在域级别起作用,一个域只能有一个密码策略。 为解决这个问题,在Win2008中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略,例如,可以为管理员组指派超强密码策略,密码16位以上、两周过 期;为服务帐号指派中等密码策略,密码31天过期,不配置密码锁定策略;为普通域用户指派密码90天过期等。多元密码策略适应了不同用户对于安全性的不同 要求。 多元密码策略部署要求有以下几点:所有域控制器都是windows Server 2008,域功能级别为2008 Domain Functional Mode,使用ADSIEDIT或者LDIFDE工具进行管理,客户端无需变更。 有一点需要注意,多元密码策略只能应用于活动目录中的用户和全局安全组,而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU。多元密码策略虽 然满足了不同级别用户对于密码安全性的要求,但是配置多个密码策略为管理员增加了管理复杂度,管理起来也不是很方便,所谓鱼和熊掌不可兼得。 3、可重启的活动目录域服务 在Win2000/2003中,如果要执行离线整理活动目录数据库或者进入目录服务还原模式进行活动目录的修复或者还原,需要重启服务器进行切换。这时候服务器上的所有服务都会一同停止,这样就影响了其他不依赖于目录服务的一些如DHCP、流媒体等服务的执行。 在Win2008中支持可重启的活动目录域服务(Restartable Active Directory Domain Services)功能,这时候活动目录域服务(Active Directory Domain Services)是直接作为一个服务而存在,可以在系统服务控制台中停止或者启动,而不必像Win2000/2003中必须将服务器重启才能停止。
这时候,Win2008具有了三种状态: ·活动目录域服务启动状态:所有服务正常运行,可以正常响应客户端的身份验证请求。 ·活动目录域服务停止状态:活动目录域服务停止,其他服务工作正常,可以实现安装更新、整理活动目录数据库、实现权威性还原等操作。 ·目录服务还原模式:可以执行目录服务的权威性还原。 可重启的活动目录域服务功能的加入使不依赖于目录服务的服务在目录服务停止后仍可以正常运行,减少了服务器重启的次数,减少了Win2008执行操作的时间。 4、只读域控制器 只读域控制器RODC(Read-only domain controller) 是Win2008活动目录中变化非常大的一点。在之前的微软服务器操作系统版本中,如Win2000/2003,森林中的所有域控制器均可以进行更新,管理员可以在任何一个域控制器上进行写操作,这些操作会同步到其他域控制器上。 这样就造成了安全隐患。比如某一台域控制器一旦被盗,或者有人为的恶意操作,将活动目录改写,这样错误的信息也会同步到其他的域控制器,这样一来只能通过活动目录恢复来恢复数据。 RODC就解决了这样的问题,RODC具有以下这几点特性:RODC上存有活动目录域服务中所有的对象和属性,但是RODC上的数据只可读、不可写,在分 支机构如果有LDAP的应用程序需要访问活动目录并对活动目录对象作修改,则该LDAP应用程序可以重定向到中央站点的可读写DC上。同时,RODC是单 向复制,包括AD数据库和SYSVOL,只可以从其他域控制器上同步信息,不可以向其他域控制器同步信息。DNS也是只读的,客户端找RODC进行DNS 纪录更新时,RODC将返回一个指针。然后客户端计算机将联系指针所指向的DNS服务器更新DNS纪录。可以缓存用户密码,客户端到总公司DC进行验证之 后,验证信息会缓存在RODC上。可以委派一个普通域用户作为RODC的本地管理员,可以执行服务器升级驱动等操作,但是没有域控制器或者域的管理权,不能登录到其他域控制器进行管理操作。 由于具有上述这些特性,RODC可以应用于物理安全上没有保障,或者IT管理水平不高的企业分支机构,将域和域控制器的安全级别提升了一个层次。 总结:Windows Server 2008是微软企业级平台中功能最强大的产品,其管理特性以及安装部署等方面也相对前几个平台进行了较大的改进。除了在核心服务活动目录上的多方面增强之 外,Win2008在用户体验、服务器管理、虚拟化、安全性以及一些基本服务如多媒体服务、终端服务、信息服务等均有了较大程度的增强。这个新一代微软企 业级平台已经正式发布3个月左右,ZOL企业中心也针对其新特性进行了一系列的体验与研究,我们之后会针对其特性及应用继续展开报道和探讨,将一些经验与 读者分享。 |
