版权声明:原创作品,答应转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。http://zhengweiit.blog.51cto//
windows活动目录的出现,将我们从繁重的工作组环境中解脱,带来了更安全,更方便治理的网络环境。但活动目录本身成为了进侵的对象,而在这个进侵的方向中,数域控制器这一个节点最为薄弱,我们要通过什么样的操纵来保证域控制器的安全。
1)限制用户登录域控制器 [/b]域控制器是整个域环境的核心,并且在活动目录中很多默认组的成员都可以自由登录域控制器,这就增加了域控制器的安全隐患,我们需要通过本地安全策略限制一些用户登录到域控制器。 在组策略编辑器中:
计算机配置——策略——windows设置——安全设置——本地策略——用户权限分配选择答应在本地登录策略。
在这里添加只让他登录域控制器的账户或者组,
双色球专家预测保证其他用户不能登录,这样就首先保证了登录账户的辨别,从而达到安全的效果。
[b]2)创建只读域控制器
在windowsserver2008中,出现了我们期待已久的RODC(只读域控制器)。
在windowsserver2008中所部属的RODC能为我们带来什么呢?
1)更高的安全性 2)更高效的连接域控制器 3)更快速的访问网络中的资源 先前我们已经有了站点的概念。例如有上海contoso总公司和西安contoso分公司,当西安的员工需要登录域的时候,需要连接到上海contoso总公司的域控制器上,今天不是2012年,网络速度远远达不到用户的要求,所以我们就在西安站点也搭建了一个域控制器,在windowsserver2003的概念下,我们搭建的是可写的域控制器,但是在一个小的分公司中,我们不能为这个可写域控制器提供他需要的保护,
一码中特例如ISA等等,固然进步了用户登录效率,反而降低了整个公司网络的网络安全,而这种想法在windowsserver2008中就是不存在的,我们可以使用RODC(只读域控制器)来代替之前的可写域控制器来实现安全的网络环境。
双色球专家预测那么,RODC是如何实现这样的事情的呢?我们接着看。
第一点,我们的RODC保存了可写域控制器上除账户密码之外的所有对象包括其属性,并且RODC修改或者更新的方法只能通过复制可写域控制器,并不能直接对RODC进行修改。
第二点,我们可以通过进行筛选的功能将我们不希看发布到RODC上的属性,但是在设置的时候要留意不要将RODC工作所需要的系统关键属性禁用掉了。其中包括:
本地安全机构,安全账户治理器,安全服务提供程序接口等。
第三点,单向复制,RODC可以从可写域控制器上复制属性到本地,但是可写域控制器不会产生来自RODC的更改,就算RODC出现了故障,也不会影响到其他的地方。
第四点,假如账户密码不被复制,那么通过什么样的手段来进行加速域用户登录的呢?在RODC上可以使用缓存凭据的功能来进行,而这样设置也保证了账户的安全,当RODC被侵进,只是丢了在RODC缓存上的用户凭据,而在网络中的其他部分仍然是安全的。
3)建立辅助域控制器 [/b]现在的企业网络环境中,一般至少都存在两台域控制器,第二台就是我们这里提到的辅助域控制器。当主域控制器发生故障,可以通过提升辅域控制器来接任他的工作。http://zhengweiit.blog.51cto//在前面的博文中,描述了迁移活动目录的方法,在命令行下,也是非常轻易的。那么,建立辅助域控制器的优点一共有哪些呢? [b]1)进步用户登录效率,这个道理如同我们在站点内建立只读域控制器的道理一样,多台域控制器能加快用户登录的速度,将网络负担平摊。
双色球专家预测 2)备份活动目录,假如建立了辅助域控制器,即是备份了主域控制器,进步了安全性。 3)进步安全性,当一台域控制器瘫痪,用户仍然可以通过另外一台进行登录,不会造成网络瘫痪。 如何部署辅助域控制器: [b][/b]实在部署辅助域控制器与部署主域控制器的方法是一样的,只需在选择某一部署配置对话框的时候,选择向现有林添加域控制器,然后填写相关的信息即可。
双色球论坛 选择现有域中的额外域控制器。点击下一步,输进相关信息即可。
通过以上3点的设置,我们就可以大幅度的进步域控制器本身的安全特性,也就更好的让活动目录服务于我们的网络环境。
本文出自“Mylearningpath'”博客,请务必保存此出处http://zhengweiit.blog.51cto//