中小型企業(yè)部署域環(huán)境的配置實例一、 理論基礎1) 域環(huán)境部署a. 安裝2008R2 ADDSb. 安裝后的檢查1. 更改DC 的DNS 設置a) 首選DNS 指向自己備用指向BDC2. 檢

中小型企業(yè)部署域環(huán)境的配置實例

一、 理論基礎

1) 域環(huán)境部署

a. 安裝2008R2 ADDS

b. 安裝后的檢查

1. 更改DC 的DNS 設置

a) 首選DNS 指向自己備用指向BDC

2. 檢查DNS 服務DC 注冊SRV 記錄

a) 沒有正向查找區(qū)域，也沒有SRV 記錄，客戶端是沒有辦法通過DNS 找到DC

b) 讓DC 向DNS 服務器注冊SRV 記錄

i. 新建兩個正向查找區(qū)域，域名和_msdcs. ii. 刷新DNS ，重啟netlogo

c. 將計算機加入到指定組織單元

a) 可以預先在指定的OU 中創(chuàng)建計算機賬戶同時也可以指定的用戶將計算機加入到域

d. 域環(huán)境中計算機名稱解析

1. 將DNS 的服務器的區(qū)域設置成允許安全更新，域中的計算機會向DNS 注冊自己的名稱對應的IP 地址

2. 默認情況下，高級TCP/IP設置對話框中，在DNS 選項卡中，已經(jīng)選中“在dns 中注冊此連接的地址”，這時

客戶端會自動向DNS 正向區(qū)域的域名注冊該計算機名對應的IP 地址

3. 使用ipconfig/all 查看到的主DNS 后綴域名，決定了客戶機向哪個正向查找區(qū)域注冊A 記錄

e. 升級活動目錄為2008

1. 只有把所有的域控升級到windows server2003模式，整個森林才能提升到windows2003模式

2. 當域功能級別提升后，運行較老的域控制器將不能加入到域中

3. 將活動目錄升級到2008（2008DC 加入域之前）需要在承載架構主機角色的林中的DC 中運行一次

adprep/forestprep

4. 在做完sehema 拓展之后，還需要進行域拓展（需要域管理員權限）

f. 將計算機加入到域

1. 取消普通用戶的加域權限

a) 右擊 dc=jiangping,dc==com 選屬性

b) Ms-ds-machineaccountquota 數(shù)值為0

2. 授權特定用戶加域權限

a) AD 用戶和計算機 域名右擊選委派控制

b) 授予指定用戶或組常見任務：將計算機加入 c) 刪除授權時可以修改用戶屬性的ACL

2) 管理域用戶和組

a. 域帳號

1. 使用用戶的名，或名的起始三個字母，或名的起始部分創(chuàng)建用戶賬號

2. 使用名和用戶姓的起始幾個字母，或者完整的用戶的姓創(chuàng)建用戶帳號

3. 為解決名稱沖突，在姓、名中間添加附加的字母 b. 設置密碼策略的方針

1. 強密碼的標準

a) 長度至少為7個字符

b) 不包含用戶名、真實姓名或公司名稱

c) 不包含完整的字典詞匯

d) 與先前的密碼大不相同

c. 創(chuàng)建保存的查詢

1. 可查詢特定的活動目錄對象和執(zhí)行特定任務或進行監(jiān)視的一組公共目錄對象。例如：查詢域中指定操作系統(tǒng)的計算機

d. 使用主目錄訪問資源

e. 驗證用戶賬戶的過期

1. 域中的計算機默認是DC 同步時間的

f. 漫游式用戶配置文件

1. 強制性用戶配置文件不保存用戶對工作環(huán)境的修改

2. 漫游式用戶配置文件在本地也有一份配置，但總是優(yōu)先使用漫游的，如果漫游的用戶配置文件不可用，則使用本地的，實現(xiàn)數(shù)據(jù)冗余。

g. 用戶組

1. 組類型

a) 安全組

i. 有安全標識SID, 能夠授權其訪問本地資源或網(wǎng)絡資源

b) 通訊組

i. 沒有安全標識符SID ，不能授權其訪問本地資源或網(wǎng)絡資源，只能用來群發(fā)郵件

2. 組的作用

a) 全局組

i. 全局組代表的是同類用戶身份的用戶賬戶

ii. 創(chuàng)建全局組是為了合并工作職責相似的用戶賬戶

iii. 只能將本域的用戶和組添加到全局組，在多域環(huán)境中不能合并其他域中的用戶。能夠授權其訪問整個域中的資源，在多域環(huán)境中其他域中的資源也能授權其訪問

b) 本地域組

i. 本地域組是針對某個資源的訪問情況而創(chuàng)建的

c) 通用組

i. 作用和全局組一樣，但是可以在多域環(huán)境中能夠合并其他域中的域用戶賬戶

3. 使用組的策略

a) 在單域環(huán)境中使用組，要將用戶賬戶添加到全局組，將用戶帳戶合并，再為本地域組授權對某資源的訪問。授權的過程就變?yōu)閷⑷纸M添加到本地域組的過程，即AGDLP 原則

4. 內置本地組

a) Administrators ：可以執(zhí)行整個活動目錄的管理任務，內置的管理賬戶administrator 是域成員，而且無法刪除，administrators 組默認的成員包含administrator ，domain admins 全局組、enterprice admins 全局組等

b) Remote desktop users：此組中的成員被授予遠程登錄的權限，比如使用其他計算機通過遠程桌面或終端服務連接到域控制器登錄

5. 內置的全局組和通用組

a) 當創(chuàng)建一個域時，系統(tǒng)會在活動目錄中創(chuàng)建一些內置的全局組。這些全局組本身并沒有任何權限與權利，但是可以通過將其加入到具備權利或權限的本地域組，或者直接給全局組指派權限或權利

3) 組策略管理計算機

a. 組策略介紹

1. 使用首選項級別的目標是：通過減少所需的組策略對象數(shù)量來簡化桌面管理

b. 組策略對象

1. 全局唯一標識符GUID 是一個當對象創(chuàng)建時由域控制器分配給他的獨一無二的128位數(shù)。GUID 作為對象的一個屬性被保存起來，并在域、域樹、域森林中來標識對象

2. GPO 的組件被存儲在以下兩個不同的場所：

a) 組策略容器GPC:GPC是包含GPO 屬性和版本信息的活動目錄對象。如果域控制器沒有最新版本，就會從擁有最新版本GPO 的域控制器上進行復制

b) 組策略模版GPT:GPT包含所有的組策略設置和信息，包括管理模版、安全性、軟件安裝、命令和文件夾重定向設置。計算機和SYSVOL 文件夾通過鏈接以獲得這些設置

c) GPT 文件夾的名稱是創(chuàng)建的GPO 的全局唯一標識符GUID ，他和GPC 中用來識別GPO 的guid 是一樣的。域控制器上到GPT 的路徑是：

systemrootSYSVOLsysvol

3. 計算機和用戶的組策略設置

a) 計算機相關的組策略應用在系統(tǒng)初始化和周期性更新循環(huán)過程中。通常計算機組策略在和用戶組策略沖突時有優(yōu)先權

b) 用戶相關的組策略應用在用戶登錄計算機和周期性更新循環(huán)的過程中

4. 管理員不能將GPO 和默認的活動目錄容器---計算機、用戶和Builtin 相連，因為他們不是組織單元。

5. 組策略的應用順序和優(yōu)先級

a) 計算機啟用時，根據(jù)計算機賬戶所處的位置，確定應用的組策略，應用組策略中計算機配置部分 b) 域用戶登錄時，根據(jù)用戶賬戶所處的位置，確定應用的組策略，應用組策略中用戶配置部分

c) 組策略中用戶配置部分，對域中計算機的本地賬戶無法應用

d) 計算機啟動后，已經(jīng)應用了組策略中的計算機配置部分，不管登錄該計算機的是本地用戶還是域用戶，組策略對計算機的管理已經(jīng)完成

e) 計算機在啟動過程中先應用本地的計算機的組策略，然后再找到域控制器，DC 針對計算機賬戶存儲的組織單元，確定應用的組策略以及應用順序，只應用這三個組策略的計算機配置部分

6. 強制應用組策略

a) 設置為強制的組策略，子容器即使設為阻止繼承也必須應用

7. 阻止繼承

a) 在域策略沒有設為強制的情況下，阻止繼承是有效的

c. 組策略刷新

1. 域中的計算機在啟動時會應用組策略，域用戶登錄時也會應用組策略。啟動后或登陸后計算機還會周期性地刷新組策略

2. 修改默認域策略，策略---管理模版---系統(tǒng)--組策略

3. 配置域控制器的組策略刷新間隔為5分鐘

4. 計算機組策略刷新間隔 30分鐘

d. 配置賬戶策略

1. 新建域策略，為賬戶配置密碼策略

2. 修改新建的域策略，為計算機賬戶配置復雜的密碼策略

4) 配置審核策略

a. 定期分析可以使管理員跟蹤并確保每個計算機有足夠的安全級別

b. 可以檢測到系統(tǒng)中隨著時間的推移而有可能產(chǎn)生的所有安全缺陷

c. 組策略的“事件日志容器用于定義與應用程序、安全性和系統(tǒng)事件日志相關的屬性

d. 審核賬戶登錄事件

1. 可以指定是否審核成功、失敗或不審核事件，用來確定哪個人成功、失敗登錄到哪臺計算機

e. 審核賬戶管理

1. 審核賬戶管理設置用于確定是否對計算機上的每個賬戶管理事件進行審核

f. 審核目錄服務訪問

1. 審核目錄訪問設置，用于確定是否對用戶反戈恩AD 對象的事件進行審核，該對象指定了自身的系統(tǒng)訪問控制列表SACL.SACL 是用戶和組的列表

2. 啟用審核目錄服務訪問并在目錄對象上配置SACL, 可以在域控制器的安全日志中生成大量審核項，因此僅在確實要使用所創(chuàng)建的信息時才應啟用這些設置。 g. 審核登錄事件

1. 用于確定是否對用戶在記錄審核事件的計算機上登錄、注銷或建立網(wǎng)絡鏈接的每個實例進行審核。

2. 賬戶登錄事件是在賬戶所在的位置生成的，而登錄事件是在登錄嘗試發(fā)生的位置生成的

h. 審核對象訪問

1. 用于確定是否對用戶訪問了指定了自身SACL 的對象的事件進行審核，僅在確實需要使用記錄的信息時才啟用這些設置

i. 審核策略更改

1. 用于確定是否對用戶行使用戶權限的每個實例進行審核

j. 審核過程跟蹤

1. 用于確定是否審核事件的詳細跟蹤信息，如程序激活，進程退出，句柄復制和間接對象訪問等。

k. 審核系統(tǒng)事件

1. 用于確定在用戶重新啟動或關閉其計算機時，或者在影響系統(tǒng)安全或安全目標的事件發(fā)生時，是否進行審核。

2. 由于同時啟用系統(tǒng)事件的失敗和成功審核時僅記錄極少數(shù)其他事件，并且所有這些事件都非常重要，建議在組織中所有計算機上啟用這些設置

5) 審核設置

a. 計算機配置Windows設置安全設置本地策略審核策略 b. 如果未配置任何審核設置，就不可能確定出現(xiàn)安全事件發(fā)生的情況

c. 組織內的所有計算機都應啟用適當?shù)膶徍瞬呗裕@樣合法用戶可以對其操作負責，而未經(jīng)授權的行為可以被檢測和跟蹤

6) 用戶權限設置

a. 用戶權限是允許用戶在計算機系統(tǒng)或域中執(zhí)行的任務。有兩種：登錄權限和特權，都是由管理員作為計算機安全設