第6章 Wind ows 域管理很多人對(duì)域名、活動(dòng)目錄、DHCP 、DNS 等術(shù)語(yǔ)可能還停留在概念性的階段，于實(shí)際操作卻有些陌生，本章有助于改善這一點(diǎn)。本章主要內(nèi)容包括：??? 介紹域、活動(dòng)目錄等基

第6章 Wind ows 域管理

很多人對(duì)域名、活動(dòng)目錄、DHCP 、DNS 等術(shù)語(yǔ)可能還停留在概念性的階段，于實(shí)際操作卻有些陌生，本章有助于改善這一點(diǎn)。本章主要內(nèi)容包括：

?

?

? 介紹域、活動(dòng)目錄等基礎(chǔ)概念； 活動(dòng)目錄部署和配置； DHCP 部署和配置；

? 組策略

涉及以下一些方面：

?

?

?

?

?

? 普通Server 2003和域控制器之間的升降級(jí) DHCP 和DNS 的配置使用 添加或刪除域用戶 計(jì)算機(jī)加入域 SAM 數(shù)據(jù)庫(kù)和Syskey 組策略應(yīng)用：對(duì)組策略進(jìn)行編輯、設(shè)置，掌握強(qiáng)化系統(tǒng)的安全性的方法。

實(shí)驗(yàn)1 域管理基礎(chǔ)

域是（Domain ）Windows 網(wǎng)絡(luò)管理的一個(gè)基本單位。域管理涉及域、活動(dòng)目錄（AD ）和SAM 數(shù)據(jù)庫(kù)等概念。

1. 域和工作組

首先我們介紹一下工作組（Work Group ）的概念。域和工作組都是局域網(wǎng)環(huán)境下的兩種不同的網(wǎng)絡(luò)資源管理模式。

工作組的概念想必大家都很熟悉。它是我們默認(rèn)安裝完系統(tǒng)以后的最初、也是最常用的一種工作模式。工作組將局域網(wǎng)中的電腦按功能分組，以便查找和瀏覽共享資源。同一個(gè)工作組內(nèi)部或不同工作組成員之間可以通過(guò)“網(wǎng)上鄰居”實(shí)現(xiàn)資源共享。從“網(wǎng)上鄰居”最先看到的是本機(jī)所在的工作組的機(jī)器。

“工作組”是一個(gè)“對(duì)等”網(wǎng)結(jié)構(gòu)，就像一個(gè)自由加入和退出的俱樂(lè)部一樣，可以隨時(shí)自由出入毫無(wú)限制，它本身的作用僅僅是提供一個(gè)“房間”，以方便查找。在這種模式下，任何一臺(tái)電腦只要接入網(wǎng)絡(luò)，其他機(jī)器就都可以訪問(wèn)共享資源，沒(méi)有server 或client 的概念。共享文件即使加有訪問(wèn)密碼，也非常容易被破解。以工作組組成的局域網(wǎng)中，每一臺(tái)電腦實(shí)現(xiàn)“個(gè)人自治”，一切設(shè)置在本機(jī)上進(jìn)行，包括各種策略，用戶登錄也是在本機(jī)進(jìn)行的，密碼也是放在本機(jī)的數(shù)據(jù)庫(kù)來(lái)驗(yàn)證的。顯然，工作組模式在安全性上存在很大問(wèn)題。 域的提出，放棄了可以隨便出出進(jìn)進(jìn)的工作組模式，而采用了“中央集權(quán)”式的嚴(yán)格控制。我們可以說(shuō)，域既是Windows 網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，也是Internet 的邏輯組織單元。在Windows 網(wǎng)絡(luò)系統(tǒng)中，“域是安全邊界”。以域方式組成的網(wǎng)絡(luò)，里面必須至少有一臺(tái)服務(wù)器作為管理機(jī)，即“域控制器（Domain Controller ，DC ）”，同一個(gè)域中的計(jì)算機(jī)彼此之間已經(jīng)建立了信任關(guān)系。而在一個(gè)獨(dú)立的工作站上，域就是計(jì)算機(jī)自身。

我們可以把域和工作組聯(lián)系起來(lái)理解。每個(gè)域中有主域控制器、備份域控制器和服務(wù)器、

工作站。每個(gè)域都有自己的安全策略以及與其他域相關(guān)的安全信任關(guān)系。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能訪問(wèn)或管理其他的域。如果計(jì)算機(jī)加入域的話，各種策略是域控制器統(tǒng)一設(shè)定，用戶名和密碼也是放到域控制器去驗(yàn)證。這樣做方便管理。

不同于工作組，域的登陸密碼是通過(guò)域控服務(wù)器驗(yàn)證的。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證，鑒別這臺(tái)電腦是否屬于本域，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。他只能作為本機(jī)用戶訪問(wèn)Windows 共享出來(lái)的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。顯然，域的安全性高于工作組。

2. 域和活動(dòng)目錄

一個(gè)好的安全體系是多層防護(hù)的。在域的基礎(chǔ)上，Windows 提出了一種分層結(jié)構(gòu)的服務(wù)器安全模型，即通過(guò)使用森林（活動(dòng)目錄，Active Directory，AD ）、域樹(shù)和組織單元（OU ）這些概念來(lái)實(shí)現(xiàn)分層管理?；顒?dòng)目錄由一個(gè)或多個(gè)域組成，當(dāng)多個(gè)域通過(guò)信任關(guān)系連接起來(lái)，并且共享一個(gè)模式、配置和全局目錄的時(shí)候，它們組成一個(gè)域樹(shù)。多個(gè)域樹(shù)可以組成一個(gè)森林。森林即相互信任的一個(gè)或多個(gè)活動(dòng)目錄樹(shù)形成的小組。在該模型中，一個(gè)企業(yè)中可以有多個(gè)域樹(shù)，通過(guò)信任關(guān)系建立域之間的聯(lián)系。

活動(dòng)目錄是指存儲(chǔ)網(wǎng)絡(luò)資源信息的目錄數(shù)據(jù)庫(kù)，以及讓這些信息可供網(wǎng)絡(luò)用戶使用的所有服務(wù)。網(wǎng)絡(luò)中的所有資源，包括用戶帳戶、組、計(jì)算機(jī)、打印機(jī)、服務(wù)器、文件數(shù)據(jù)、數(shù)據(jù)庫(kù)和安全策略等，都可以存放在活動(dòng)目錄中，從而使用戶的使用、管理和檢索變得更加簡(jiǎn)單和方便。AD 是一個(gè)分布式的目錄服務(wù)網(wǎng)絡(luò)，標(biāo)識(shí)了分散在網(wǎng)絡(luò)中多臺(tái)不同計(jì)算機(jī)上的所有信息資源，保證用戶可以快速訪問(wèn)和容錯(cuò)，同時(shí)，不管用戶從何處訪問(wèn)或信息處在何處，都對(duì)用戶提供統(tǒng)一的視圖。

域中所有用戶帳戶使用域控制器的“Active Directory用戶和計(jì)算機(jī)”創(chuàng)建。該域的賬戶、密碼、用戶訪問(wèn)策略、屬于該域的計(jì)算機(jī)等關(guān)鍵信息都存儲(chǔ)在Active Directory 數(shù)據(jù)庫(kù)中，集中管理，集中控制。域中可以建立多個(gè)域控制器，Active Directory數(shù)據(jù)庫(kù)中的信息可以在域控服務(wù)器之間復(fù)制。

利用活動(dòng)目錄自帶的強(qiáng)大功能，可以非常有效的幫助企業(yè)強(qiáng)化網(wǎng)絡(luò)整體安全。簡(jiǎn)單來(lái)說(shuō)，活動(dòng)目錄的首要目標(biāo)是客戶端的安全管理和標(biāo)準(zhǔn)化管理，防止用戶在計(jì)算機(jī)上亂裝軟件、亂拷東西而帶入大量病毒，并把所有計(jì)算機(jī)的軟件或者桌面都統(tǒng)一起來(lái)。如果這兩點(diǎn)完成了，那么再往高級(jí)了說(shuō)，活動(dòng)目錄將成為企業(yè)基礎(chǔ)架構(gòu)的根本，所有的高級(jí)服務(wù)都會(huì)向活動(dòng)目錄整合，以利用其統(tǒng)一的身份驗(yàn)證、安全管理以及資源公用。

AD 是中央神經(jīng)系統(tǒng)的大腦或者說(shuō)是控制中心，它負(fù)責(zé)用戶身份驗(yàn)證，管理安全、訪問(wèn)控制、通信、打印、信息存取等，而主域控制器則是AD 的主機(jī)。域可以跨越多個(gè)物理區(qū)域，由于客戶端所進(jìn)行的應(yīng)用以及相關(guān)配置全部存儲(chǔ)在服務(wù)器上，故而用戶在域內(nèi)的移動(dòng)和物理的計(jì)算機(jī)脫離關(guān)系，域帳戶可以在同一域的任何一臺(tái)計(jì)算機(jī)登陸。用戶甚至用一個(gè)張智能卡就可以在域中的任何工作站上，隨意切換自己的工作任務(wù)。正是由于服務(wù)器接管大部分的客戶端任務(wù)，故而服務(wù)器的硬件以及網(wǎng)絡(luò)的帶寬要求也比較高。從AD 的規(guī)范管理來(lái)講，最好是能夠先在各自的OU 中建立好計(jì)算機(jī)帳戶，然后再將客戶端加入到域中。

活動(dòng)目錄對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)中不同角色的信息整合作用如圖2-1-1所示。

圖2-1-1 活動(dòng)目錄中的信息

DNS 服務(wù)主要用于名稱解析和查詢，AD 的可靠性和可用性很大程度上依賴于DNS 服務(wù)的正常運(yùn)行，如果沒(méi)有DNS 服務(wù)，DC 將無(wú)法互相查找并復(fù)制目錄信息，客戶端也將無(wú)法聯(lián)系DC 來(lái)進(jìn)行身份驗(yàn)證。Windows2000/2003中的DNS 區(qū)域可以與AD 集成，集成的DNS 區(qū)域數(shù)據(jù)存放在AD 中。使用組策略設(shè)置DNS 服務(wù)自動(dòng)啟動(dòng)，控制器只歸域管理員，可以避免DNS 服務(wù)被未經(jīng)授權(quán)的用戶操縱，也可防止管理員疏忽而禁用該服務(wù)。

3. 域模型與信任關(guān)系

信任關(guān)系是域與域之間建立的連接關(guān)系。它可以執(zhí)行對(duì)經(jīng)過(guò)委托的域內(nèi)用戶的登錄審核工作。域之間經(jīng)過(guò)委托后，用戶只要在某一個(gè)域內(nèi)有一個(gè)用戶帳號(hào)，就可以使用其他域內(nèi)的網(wǎng)絡(luò)資源了。例如， 若A 域信任委托B 域，則B 域的用戶可以訪問(wèn)A 域的資源，而A 域的用戶則不能訪問(wèn)B 域的資源，這就是單向委托。若A 域的用戶也想訪問(wèn)B 域的資源，那么必須再建立B 域信任A 域的委托關(guān)系，這就是雙向委托。

有四種基本的域模型：

?

? 單域模型：網(wǎng)絡(luò)中只有一個(gè)域，就是主域，域中有一個(gè)主域控制器和一或多個(gè)備份域控制器。該模型適合于用戶較少的網(wǎng)絡(luò)。 主域模型：網(wǎng)絡(luò)中至少有兩個(gè)域，但只在其中一個(gè)域（主域）中創(chuàng)建所有用戶并存

儲(chǔ)這些用戶信息。其他域則稱為資源域，負(fù)責(zé)維護(hù)文件目錄和打印機(jī)資源，但不需要維護(hù)用戶賬戶。資源域都信任主域，使用主域中定義的用戶和全局組。該模型適? 合于用戶不太多，但又必須將資源分組的情況。 多主域模型：網(wǎng)絡(luò)中有多個(gè)主域和多個(gè)資源域，其中主域作為賬戶域，所有的用戶

賬戶和組都在主域之上創(chuàng)建。各主域都相互信任，其他的資源域都信任主域，但各

資源域之間不相互信任。該模型便于大網(wǎng)絡(luò)的統(tǒng)一管理，具有較好的伸縮性。因此， 該模型適合于用戶數(shù)很多且有一個(gè)專門(mén)管理機(jī)構(gòu)的網(wǎng)絡(luò)中。 完全信任域模型：網(wǎng)絡(luò)中有多個(gè)主域，且這些域都相互信任。所有域在控制上都是

平等的，每個(gè)域都執(zhí)行自己的管理。該模型適合于各部門(mén)管理自己的網(wǎng)絡(luò)情況。

4. AD 災(zāi)難恢復(fù)

AD 災(zāi)難恢復(fù)的原則是用最短的時(shí)間，承受最小的損失，得到最好的可能結(jié)果。在磁盤(pán)上，AD 顯示為幾個(gè)文件，它們分別是Ntds.dit （AD 數(shù)據(jù)庫(kù)），一個(gè)組交易記錄Edb.log （即日志）和記錄數(shù)據(jù)庫(kù)最后一個(gè)緩沖區(qū)的檢查點(diǎn)文件，還有一個(gè)暫時(shí)性的數(shù)據(jù)庫(kù)文件Temp.edb ，這些數(shù)據(jù)庫(kù)文件存儲(chǔ)在SystemRootntds目錄下（安裝時(shí)可以重新指定位置），如圖2-1-2所示。

圖2-1-2 AD系統(tǒng)文件

SYSVOL 系統(tǒng)卷是可以由文件復(fù)制服務(wù)復(fù)制的文件夾、文件系統(tǒng)重分析點(diǎn)和組策略設(shè)置的集合，存儲(chǔ)在SystemRootsysvol目錄下，有三種不同的恢復(fù)方法：重建、還原、修復(fù)。

一般，一個(gè)DC 的備份數(shù)據(jù)只能用于還原該DC ，不能被用來(lái)還原另一個(gè)DC 。因此，我們應(yīng)盡量對(duì)每一個(gè)DC 都進(jìn)行備份。備份策略的最低備份要求是所有具有操作主機(jī)角色的DC ，所有具有全局編錄角色的DC ，根域中第一個(gè)DC 。

非權(quán)威性還原（Non-Authoritative Restore ）是AD 還原的默認(rèn)方法，對(duì)象恢復(fù)后會(huì)保持它們?cè)趥浞輹r(shí)用的版本號(hào)，用Ntbackup 還原到已知的某個(gè)好的狀態(tài)，并重新進(jìn)入AD 正常模式讓其自由同步更新。下面的情況可以使用該方法還原：域中有多臺(tái)DC ，其他DC 至少有一臺(tái)是工作正常的情況，域中只有單臺(tái)DC 的情況，或者典型情況如硬件問(wèn)題等。

權(quán)威性還原（Authoritative Restore）本質(zhì)是非權(quán)威性還原的擴(kuò)展，需要比非權(quán)威性還原多做一步，即提高還原對(duì)象屬性的更新版本號(hào)，使其在目錄中成為權(quán)威的拷貝。權(quán)威性還原是DC 上選定的對(duì)象在域中具有權(quán)威性。典型情況如意外修改或刪除了對(duì)象時(shí)就需要使用這種方式了。用Ntdsutil 工具標(biāo)記AD 對(duì)象為權(quán)威，找到還含有該對(duì)象的DC ，或者先從備份還原，恢復(fù)時(shí)盡量定位到最特定的DN 。還原SYSVOL 至相匹配的版本，目的是讓SYSVOL 和所備份時(shí)的SYSVOL 相同，從而使整個(gè)恢復(fù)回來(lái)的AD 具有一致性，在目錄恢復(fù)模式下恢復(fù)SYSVOL 至替換目錄，一旦重啟系統(tǒng)，將替換目錄下的SYSVOL 相應(yīng)文件拷回原位置。

操作主機(jī)的恢復(fù)有轉(zhuǎn)移和抓取兩種方式，五種操作主機(jī)應(yīng)區(qū)別對(duì)待，能轉(zhuǎn)移的盡量不要用獲取，轉(zhuǎn)移操作可逆，抓取操作主機(jī)角色是最后手段，原主機(jī)不能再恢復(fù)在線。以正常模式重新引導(dǎo)，檢查目錄和系統(tǒng)事件日志是否存在錯(cuò)誤消息，就可以驗(yàn)證災(zāi)難恢復(fù)。

5. 域的用戶訪問(wèn)控制模型

域?qū)τ脩魩舻墓芾戆ㄈ缦乱恍┓矫妫?/p>

1）帳號(hào)規(guī)則：對(duì)用戶帳號(hào)和口令進(jìn)行安全管理，即入網(wǎng)訪問(wèn)控制。它還包括對(duì)用戶入網(wǎng)時(shí)間限制、入網(wǎng)站點(diǎn)限制、帳號(hào)鎖定、用戶對(duì)特定文件/目錄的訪問(wèn)權(quán)限限制和用戶使用的網(wǎng)絡(luò)環(huán)境的限制等內(nèi)容。

2）權(quán)限規(guī)則：

Windows 采用兩類訪問(wèn)權(quán)限：用戶訪問(wèn)權(quán)限和資源訪問(wèn)權(quán)限。用戶訪問(wèn)權(quán)限有四種：完全控制、更改、讀寫(xiě)和拒絕訪問(wèn)，完全控制權(quán)限最大。NTFS 允許用兩種訪問(wèn)權(quán)限來(lái)控制用戶對(duì)特定目錄和文件的訪問(wèn)：一種是標(biāo)準(zhǔn)權(quán)限(基本安全性措施) ；另一種是特殊權(quán)限(特殊安全性措施) 。

3）審核規(guī)則：

它是系統(tǒng)對(duì)用戶操作行為的跟蹤，管理員可根據(jù)審核結(jié)果來(lái)控制用戶的操作。Windows 可對(duì)如下事件進(jìn)行審核：登錄和注銷、文件和對(duì)象的訪問(wèn)、用戶權(quán)限的使用、用戶和組的管理、安全性策略的改變、啟動(dòng)與關(guān)閉系統(tǒng)的安全性和進(jìn)程的跟蹤等。跟蹤審核結(jié)果存放在安全日志文件中。

域中的每個(gè)用戶帳戶都是由域管理員在DC 上創(chuàng)建的，其中包括用戶名、口令、訪問(wèn)權(quán)限等信息。創(chuàng)建帳戶后，系統(tǒng)還必須為帳戶指定一個(gè)唯一的安全標(biāo)識(shí)符（SID ）。安全帳號(hào)管理器對(duì)用戶帳戶的管理正是通過(guò)SID 進(jìn)行的。一旦刪除某個(gè)帳戶，其對(duì)應(yīng)的SID 也被刪除。即使用相同的用戶名重建帳號(hào)，也會(huì)被賦予不同的SID ，不會(huì)保留原來(lái)的權(quán)限。 不同用戶的SID 不同。如果存在兩個(gè)同樣SID 的用戶，這兩個(gè)帳戶將被鑒別為同一個(gè)帳戶，原理上如果帳戶無(wú)限制增加的時(shí)候，會(huì)產(chǎn)生同樣的SID ，在通常的情況下SID 是唯一的，他由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU 耗費(fèi)時(shí)間的總和三個(gè)參數(shù)決定以保證它的唯一性。

系統(tǒng)為每個(gè)用戶指定一個(gè)用戶組，為用戶組指定文件和目錄訪問(wèn)權(quán)限。這樣，當(dāng)用戶角色變更時(shí)，只要把該用戶從工作組中刪除或指定他屬于另一組，即可收回或更改該用戶的訪問(wèn)權(quán)限。為此，系統(tǒng)為每個(gè)用戶或用戶組分配一個(gè)訪問(wèn)控制條目（access control entry，ACE ）。它包括一個(gè)SID （標(biāo)識(shí)這個(gè)ACE 的應(yīng)用對(duì)象）以及允許或者拒絕訪問(wèn)的ACE 信息的類型。

訪問(wèn)控制表（access control list，ACL ）是用來(lái)定義用戶或用戶組與文件、目錄或其他資源相關(guān)的訪問(wèn)權(quán)限的一組數(shù)據(jù)。在活動(dòng)目錄服務(wù)中，一個(gè)ACL 是一個(gè)存儲(chǔ)訪問(wèn)權(quán)限與對(duì)象之間相互關(guān)系的列表。在 Windows 操作系統(tǒng)中，一個(gè)ACL 作為一個(gè)二進(jìn)制值保存，稱之為安全描述符。實(shí)際上，在活動(dòng)目錄中，系統(tǒng)為存儲(chǔ)的每一個(gè)對(duì)象分配安全描述符，列出了允許訪問(wèn)的用戶和組和他們的權(quán)限。對(duì)象的訪問(wèn)權(quán)限作為屬性的一部分，以ACL 形式存放。當(dāng)用戶訪問(wèn)時(shí)，系統(tǒng)比對(duì)文件對(duì)象ACL 和用戶存取標(biāo)識(shí)是否相符，符合的話才允許訪問(wèn)，否則拒絕。

6. SAM 數(shù)據(jù)庫(kù)

SAM 文件即安全帳號(hào)管理器（Security Account Manager，SAM ），它是NT 架構(gòu)的操作系統(tǒng)（包括Windows NT/2000/XP/2003）的核心。所有用戶的登錄名和口令等相關(guān)信息都保存在SAM 文件中。使用“本地用戶和組”創(chuàng)建本地用戶帳戶后，相關(guān)信息也保存在SAM 文件中。用戶登錄時(shí)進(jìn)行本地身份驗(yàn)證。

單機(jī)環(huán)境下，SAM 存儲(chǔ)在本機(jī)的C:WINDOWSsystem32config文件夾下的sam 文件中，并在C:WINDOWSrepair里有一個(gè)備份。而對(duì)于加入到域的計(jì)算機(jī)來(lái)說(shuō)，它存儲(chǔ)在域控制器上。

SAM 文件可以認(rèn)為類似于Unix 系統(tǒng)中的Passwd 文件，不過(guò)沒(méi)有Passwd 文件那么直觀明了。雖然也用文件保存賬號(hào)信息，不過(guò)Windows 系統(tǒng)對(duì)SAM 文件中的資料全部加密，一般的編輯器無(wú)法打開(kāi)，在系統(tǒng)運(yùn)行中，無(wú)法對(duì)其進(jìn)行任何修改。

SAM 數(shù)據(jù)庫(kù)（Security Account Management Database）通過(guò)存儲(chǔ)在計(jì)算機(jī)注冊(cè)表中的安全賬戶來(lái)管理用戶和用戶組的信息，在注冊(cè)表中，存放用戶信息的具體地方是HKLMSAMSAMDomains?countUsers中，下面的十六進(jìn)制項(xiàng)都是用戶的SID ，比如用戶Administrator 的SID 是000001F4，guest 的SID 是000001F5，其他每項(xiàng)都對(duì)應(yīng)一個(gè)用戶名。同時(shí)，在HKLMSAMSAMDomains?countUsersNames項(xiàng)下面保存的是用戶名，下面的每項(xiàng)都是機(jī)器中的用戶名。當(dāng)添加一個(gè)新用戶時(shí)，系統(tǒng)會(huì)在HKLMSAMSAMDomains?countUsers下添加一個(gè)新的SID 項(xiàng)來(lái)標(biāo)記新用戶，同時(shí)在Names 下建立一個(gè)用戶名的項(xiàng)，而項(xiàng)的類型為這個(gè)新的SID 。比如添加一個(gè)名為xiaobai 的用戶，系統(tǒng)就會(huì)在HKLMSAMSAMDomains?countUsers下添加一個(gè)新的SID 項(xiàng)，假設(shè)是000003ED ，與此同時(shí)，你會(huì)發(fā)現(xiàn)在HKLMSAMSAMDomains?countUsersNames下面多了一個(gè)名為xiaobai 的項(xiàng)，類型為0x3ed 。當(dāng)刪除一個(gè)用戶時(shí)，系統(tǒng)所做的工作就是把添加用戶時(shí)對(duì)應(yīng)添加的兩個(gè)項(xiàng)刪除。

SAM 數(shù)據(jù)庫(kù)的一個(gè)拷貝能夠被某些工具用來(lái)破解口令，而NT 的Admin 帳戶、Admin 組中的所有成員、備份操作員、服務(wù)器操作員以及所有具有備份特權(quán)的用戶，都可以拷貝SAM 數(shù)據(jù)庫(kù)的內(nèi)容。特洛伊木馬和病毒可能利用默認(rèn)權(quán)力對(duì)SAM 數(shù)據(jù)庫(kù)進(jìn)行備份，獲取訪問(wèn)SAM 數(shù)據(jù)庫(kù)中的口令信息。

7. 組策略

組策略是微軟操作系統(tǒng)中自帶的最強(qiáng)大的設(shè)置管理工具之一。基于活動(dòng)目錄的組策略絕對(duì)是管理員的利器。我們可以把組看作某類有相同特點(diǎn)及屬性的資源的集合。組類似于某種容器，可以將用戶帳戶、計(jì)算機(jī)帳戶、其他組帳戶、資源和權(quán)限組合在一起實(shí)現(xiàn)統(tǒng)一管理。使用組而不是單獨(dú)的用戶可以簡(jiǎn)化管理和維護(hù)，使用組策略，再也不需要親自到每一臺(tái)計(jì)算機(jī)上執(zhí)行管理操作，輕松點(diǎn)擊即可批量配置。通過(guò)對(duì) Active Directory 中組策略對(duì)象的使用，系統(tǒng)管理員可以集中應(yīng)用保護(hù)企業(yè)系統(tǒng)所要求的安全級(jí)別。組策略使用組策略編輯器這一安全配置工具來(lái)進(jìn)行管理，有以下作用：

管理員可使用安全模板管理單元來(lái)定義和使用安全模板。

管理員可使用安全配置和分析管理單元來(lái)配置和分析本地的安全性。

管理員可使用組策略管理單元來(lái)配置Active Directory中的安全性。

管理員可以集中管理軟件安裝。

管理員可以執(zhí)行設(shè)定開(kāi)機(jī)、登錄、注銷、關(guān)機(jī)腳本，控制用戶IE 屬性，文件夾重定向等多種功能。

計(jì)算機(jī)的組策略設(shè)置在操作系統(tǒng)初始化時(shí)和系統(tǒng)刷新周期內(nèi)應(yīng)用，使用“計(jì)算機(jī)配置”節(jié)點(diǎn)，而用戶的組策略設(shè)置在用戶登錄時(shí)和系統(tǒng)刷新周期內(nèi)應(yīng)用，使用“用戶配置”節(jié)點(diǎn)。默認(rèn)情況下，計(jì)算機(jī)組策略會(huì)每隔90分鐘刷新一次，而DC 上的策略刷新間隔為5分鐘。

組策略內(nèi)容相當(dāng)豐富，幾乎所有的Windows 常用或不常用的配置項(xiàng)都可以從中找到。我們從圖2-1-3就可見(jiàn)一斑。詳細(xì)講解組策略將是一個(gè)繁重的任務(wù)，我們只能點(diǎn)到為止。

圖2-1-3 組策略界面概要

實(shí)驗(yàn)1 域的安裝和配置

【實(shí)驗(yàn)?zāi)康摹?/p>

本實(shí)驗(yàn)主要介紹如何在Windows 2003 Server上安裝和配置域。

【實(shí)驗(yàn)環(huán)境】

Windows XP以上操作系統(tǒng)，內(nèi)裝Windows 2003 Server的VMware Workstation 7.0。

【實(shí)驗(yàn)步驟】

A. 配置AD 為域控制器

域是與活動(dòng)目錄聯(lián)系在一起的，活動(dòng)目錄的安裝可以說(shuō)是系統(tǒng)由工作組狀態(tài)升級(jí)為域狀態(tài)的關(guān)鍵。在前面章節(jié)建立的分組VLAN 中，到目前為止，我們的AD 服務(wù)器都還只是一臺(tái)普通的Server 2003服務(wù)器。接下來(lái)，我們?cè)谄渲习惭bActive Directory ，將之升級(jí)為域

控制器，有兩種辦法。

a) 通過(guò)“配置服務(wù)器向?qū)А卑惭b

首先，打開(kāi)Server 2003 的“控制面板-管理工具”，雙擊“配置服務(wù)器向?qū)А保鐖D2-1-4所示。在出現(xiàn)的“配置服務(wù)器向?qū)А敝袉螕簟跋乱徊健?，如圖2-1-5所示。

圖2-1-4 打開(kāi)“控制面板－管理工具”

圖2-1-5 配置服務(wù)器向?qū)?/p> ,

步驟2，在“預(yù)備步驟”頁(yè)面單擊“下一步”，開(kāi)始搜索網(wǎng)絡(luò)連接，如圖2-1-6所示。

圖2-1-6 預(yù)備步驟搜索網(wǎng)絡(luò)連接

步驟3，因?yàn)槭切陆ǚ?wù)器，所以我們?cè)凇芭渲眠x項(xiàng)”頁(yè)面中選擇“第一臺(tái)服務(wù)器的典型配置”，然后單擊“下一步”，如圖2-1-7所示。

圖2-1-7 配置選項(xiàng)

步驟4，輸入新域名，然后連續(xù)單擊“下一步”，如圖2-1-8和圖2-1-9所示。

圖2-1-8 輸入新域名

圖2-1-9 新域的NetBIOS 名

步驟5，在開(kāi)始安裝前，系統(tǒng)將會(huì)給出總結(jié)，點(diǎn)擊“下一步”按鈕，開(kāi)始安裝服務(wù)器，如圖2-1-10到圖2-1-14所示。從總結(jié)中可以看出，安裝活動(dòng)目錄是，系統(tǒng)會(huì)檢查是否存在DHCP 和DNS ，如果沒(méi)有就會(huì)補(bǔ)裝上。

圖2-1-10 即將開(kāi)始安裝

圖2-1-11 安裝服務(wù)器