中小型企业域环境部署配置实例

中小型企业部署域环境的配置实例一、 理论基础1) 域环境部署a. 安装2008R2 ADDSb. 安装后的检查1. 更改DC 的DNS 设置a) 首选DNS 指向自己备用指向BDC2. 检

中小型企业部署域环境的配置实例

一、 理论基础

1) 域环境部署

a. 安装2008R2 ADDS

b. 安装后的检查

1. 更改DC 的DNS 设置

a) 首选DNS 指向自己备用指向BDC

2. 检查DNS 服务DC 注册SRV 记录

a) 没有正向查找区域，也没有SRV 记录，客户端是没有办法通过DNS 找到DC

b) 让DC 向DNS 服务器注册SRV 记录

i. 新建两个正向查找区域，域名和_msdcs. ii. 刷新DNS ，重启netlogo

c. 将计算机加入到指定组织单元

a) 可以预先在指定的OU 中创建计算机账户同时也可以指定的用户将计算机加入到域

d. 域环境中计算机名称解析

1. 将DNS 的服务器的区域设置成允许安全更新，域中的计算机会向DNS 注册自己的名称对应的IP 地址

2. 默认情况下，高级TCP/IP设置对话框中，在DNS 选项卡中，已经选中“在dns 中注册此连接的地址”，这时

客户端会自动向DNS 正向区域的域名注册该计算机名对应的IP 地址

3. 使用ipconfig/all 查看到的主DNS 后缀域名，决定了客户机向哪个正向查找区域注册A 记录

e. 升级活动目录为2008

1. 只有把所有的域控升级到windows server2003模式，整个森林才能提升到windows2003模式

2. 当域功能级别提升后，运行较老的域控制器将不能加入到域中

3. 将活动目录升级到2008（2008DC 加入域之前）需要在承载架构主机角色的林中的DC 中运行一次

adprep/forestprep

4. 在做完sehema 拓展之后，还需要进行域拓展（需要域管理员权限）

f. 将计算机加入到域

1. 取消普通用户的加域权限

a) 右击 dc=jiangping,dc==com 选属性

b) Ms-ds-machineaccountquota 数值为0

2. 授权特定用户加域权限

a) AD 用户和计算机 域名右击选委派控制

b) 授予指定用户或组常见任务：将计算机加入 c) 删除授权时可以修改用户属性的ACL

2) 管理域用户和组

a. 域帐号

1. 使用用户的名，或名的起始三个字母，或名的起始部分创建用户账号

2. 使用名和用户姓的起始几个字母，或者完整的用户的姓创建用户帐号

3. 为解决名称冲突，在姓、名中间添加附加的字母 b. 设置密码策略的方针

1. 强密码的标准

a) 长度至少为7个字符

b) 不包含用户名、真实姓名或公司名称

c) 不包含完整的字典词汇

d) 与先前的密码大不相同

c. 创建保存的查询

1. 可查询特定的活动目录对象和执行特定任务或进行监视的一组公共目录对象。例如：查询域中指定操作系统的计算机

d. 使用主目录访问资源

e. 验证用户账户的过期

1. 域中的计算机默认是DC 同步时间的

f. 漫游式用户配置文件

1. 强制性用户配置文件不保存用户对工作环境的修改

2. 漫游式用户配置文件在本地也有一份配置，但总是优先使用漫游的，如果漫游的用户配置文件不可用，则使用本地的，实现数据冗余。

g. 用户组

1. 组类型

a) 安全组

i. 有安全标识SID, 能够授权其访问本地资源或网络资源

b) 通讯组

i. 没有安全标识符SID ，不能授权其访问本地资源或网络资源，只能用来群发邮件

2. 组的作用

a) 全局组

i. 全局组代表的是同类用户身份的用户账户

ii. 创建全局组是为了合并工作职责相似的用户账户

iii. 只能将本域的用户和组添加到全局组，在多域环境中不能合并其他域中的用户。能够授权其访问整个域中的资源，在多域环境中其他域中的资源也能授权其访问

b) 本地域组

i. 本地域组是针对某个资源的访问情况而创建的

c) 通用组

i. 作用和全局组一样，但是可以在多域环境中能够合并其他域中的域用户账户

3. 使用组的策略

a) 在单域环境中使用组，要将用户账户添加到全局组，将用户帐户合并，再为本地域组授权对某资源的访问。授权的过程就变为将将全局组添加到本地域组的过程，即AGDLP 原则

4. 内置本地组

a) Administrators ：可以执行整个活动目录的管理任务，内置的管理账户administrator 是域成员，而且无法删除，administrators 组默认的成员包含administrator ，domain admins 全局组、enterprice admins 全局组等

b) Remote desktop users：此组中的成员被授予远程登录的权限，比如使用其他计算机通过远程桌面或终端服务连接到域控制器登录

5. 内置的全局组和通用组

a) 当创建一个域时，系统会在活动目录中创建一些内置的全局组。这些全局组本身并没有任何权限与权利，但是可以通过将其加入到具备权利或权限的本地域组，或者直接给全局组指派权限或权利

3) 组策略管理计算机

a. 组策略介绍

1. 使用首选项级别的目标是：通过减少所需的组策略对象数量来简化桌面管理

b. 组策略对象

1. 全局唯一标识符GUID 是一个当对象创建时由域控制器分配给他的独一无二的128位数。GUID 作为对象的一个属性被保存起来，并在域、域树、域森林中来标识对象

2. GPO 的组件被存储在以下两个不同的场所：

a) 组策略容器GPC:GPC是包含GPO 属性和版本信息的活动目录对象。如果域控制器没有最新版本，就会从拥有最新版本GPO 的域控制器上进行复制

b) 组策略模版GPT:GPT包含所有的组策略设置和信息，包括管理模版、安全性、软件安装、命令和文件夹重定向设置。计算机和SYSVOL 文件夹通过链接以获得这些设置

c) GPT 文件夹的名称是创建的GPO 的全局唯一标识符GUID ，他和GPC 中用来识别GPO 的guid 是一样的。域控制器上到GPT 的路径是：

systemrootSYSVOLsysvol

3. 计算机和用户的组策略设置

a) 计算机相关的组策略应用在系统初始化和周期性更新循环过程中。通常计算机组策略在和用户组策略冲突时有优先权

b) 用户相关的组策略应用在用户登录计算机和周期性更新循环的过程中

4. 管理员不能将GPO 和默认的活动目录容器---计算机、用户和Builtin 相连，因为他们不是组织单元。

5. 组策略的应用顺序和优先级

a) 计算机启用时，根据计算机账户所处的位置，确定应用的组策略，应用组策略中计算机配置部分 b) 域用户登录时，根据用户账户所处的位置，确定应用的组策略，应用组策略中用户配置部分

c) 组策略中用户配置部分，对域中计算机的本地账户无法应用

d) 计算机启动后，已经应用了组策略中的计算机配置部分，不管登录该计算机的是本地用户还是域用户，组策略对计算机的管理已经完成

e) 计算机在启动过程中先应用本地的计算机的组策略，然后再找到域控制器，DC 针对计算机账户存储的组织单元，确定应用的组策略以及应用顺序，只应用这三个组策略的计算机配置部分

6. 强制应用组策略

a) 设置为强制的组策略，子容器即使设为阻止继承也必须应用

7. 阻止继承

a) 在域策略没有设为强制的情况下，阻止继承是有效的

c. 组策略刷新

1. 域中的计算机在启动时会应用组策略，域用户登录时也会应用组策略。启动后或登陆后计算机还会周期性地刷新组策略

2. 修改默认域策略，策略---管理模版---系统--组策略

3. 配置域控制器的组策略刷新间隔为5分钟

4. 计算机组策略刷新间隔 30分钟

d. 配置账户策略

1. 新建域策略，为账户配置密码策略

2. 修改新建的域策略，为计算机账户配置复杂的密码策略

4) 配置审核策略

a. 定期分析可以使管理员跟踪并确保每个计算机有足够的安全级别

b. 可以检测到系统中随着时间的推移而有可能产生的所有安全缺陷

c. 组策略的“事件日志容器用于定义与应用程序、安全性和系统事件日志相关的属性

d. 审核账户登录事件

1. 可以指定是否审核成功、失败或不审核事件，用来确定哪个人成功、失败登录到哪台计算机

e. 审核账户管理

1. 审核账户管理设置用于确定是否对计算机上的每个账户管理事件进行审核

f. 审核目录服务访问

1. 审核目录访问设置，用于确定是否对用户反戈恩AD 对象的事件进行审核，该对象指定了自身的系统访问控制列表SACL.SACL 是用户和组的列表

2. 启用审核目录服务访问并在目录对象上配置SACL, 可以在域控制器的安全日志中生成大量审核项，因此仅在确实要使用所创建的信息时才应启用这些设置。 g. 审核登录事件

1. 用于确定是否对用户在记录审核事件的计算机上登录、注销或建立网络链接的每个实例进行审核。

2. 账户登录事件是在账户所在的位置生成的，而登录事件是在登录尝试发生的位置生成的

h. 审核对象访问

1. 用于确定是否对用户访问了指定了自身SACL 的对象的事件进行审核，仅在确实需要使用记录的信息时才启用这些设置

i. 审核策略更改

1. 用于确定是否对用户行使用户权限的每个实例进行审核

j. 审核过程跟踪

1. 用于确定是否审核事件的详细跟踪信息，如程序激活，进程退出，句柄复制和间接对象访问等。

k. 审核系统事件

1. 用于确定在用户重新启动或关闭其计算机时，或者在影响系统安全或安全目标的事件发生时，是否进行审核。

2. 由于同时启用系统事件的失败和成功审核时仅记录极少数其他事件，并且所有这些事件都非常重要，建议在组织中所有计算机上启用这些设置

5) 审核设置

a. 计算机配置Windows设置安全设置本地策略审核策略 b. 如果未配置任何审核设置，就不可能确定出现安全事件发生的情况

c. 组织内的所有计算机都应启用适当的审核策略，这样合法用户可以对其操作负责，而未经授权的行为可以被检测和跟踪

6) 用户权限设置

a. 用户权限是允许用户在计算机系统或域中执行的任务。有两种：登录权限和特权，都是由管理员作为计算机安全设