AD从Server 2003迁移到Server 2008后,带来的不仅仅是性能上的提升,对管理者来说最享受的是管理与维护中的便捷与高效。Server 2008潜力无限,下面笔者与大家分享3个可提升AD管理效率与
安全的技巧。
1、不重启DC快速进入AD脱机模式 做过AD(活动目录)的人都知道,基于
Windows Server 2000/2003的DC(域控制器)如果要脱机维护AD就必须重启DC然后进入AD的还原模式才可以。这样做其弊端是显而易见的,AD下的诸如RIS服务、文件服务、打印服务等都会受到影响而不能运行。在
Windows Server 2008中我们可以不需重新启动DC就可以停止AD服务,进而执行只有在AD脱机脱机状态下才可执行的操作,而对其他服务没有任何影响。
Windows Server 2008中停止AD服务和停止其他任何服务一样,在命令行(cmd)下执行“net stop ntds”就可停止与AD服务,当然也会停止与AD相关的服务诸如:文件复制服务、站点间通信、DNS
服务器等,但对整个
服务器的影响不大,至少比重启DC要迅捷快速得多。(图1)
图1 Windows Server 2008中停止AD服务
AD服务停止后我们就可以执行某些只能在脱机模式下才能进行的操作,比如运行ntdsutil命令对AD数据库进行完整性验证、碎片整理,用copy命令移动数据,用del命令清除日志等操作了。等脱机维护任务完成后,我们只需在命令行中执行“net start ntds”,AD服务又重新启动,是否很快捷呢?(图2)
图2运行ntdsutil命令对AD数据库进行完整性验证
2、快速找到并恢复某个AD备份 大家知道在基于Windows Server 2000/2003的DC中,如果要恢复某个AD备份需要从多个备份中筛选进行恢复,往往我们需要反复尝试多次才能实现我们所需要的恢复。在Server 2008中利用AD的DMT(AD数据库管理工具)工具就非常方便地利于我们查看备份的时间段,并灵活地选择所要恢复到的时间段。下面我们以AD数据库快照的形式进行查看和演示。
(1).创建快照
我们需要用到Ntdsutil.exe命令,这是一个为AD提供管理设施的命令行工具,它可以执行AD数据库的维护,管理和控制单个主机操作,创建应用程序目录分区,以及删除DC中残留的元数据。在命令行下执行Ntdsutil.exe,根据命令提示在ntdsutil后输入snapshot申明快照,在快照后输入activate instance ntds创建的活动实例为ntds,在快照后输入create创建快照,稍等片刻成功创建快照集{c94362d1-1bc9-4bc7-8af7-7cc716208296},这是一个32位的识别码,是随机的且具有唯一性。(图3)
图3 snapshot申明快照
(2).加载快照
继续在上面的命令提示符下输入mount {c94362d1-1bc9-4bc7-8af7-7cc716208296}装载刚才创建的快照,提示{c94362d1-1bc9-4bc7-8af7-7cc716208296}已作为 C:\$SNAP_200801141137_VOLUMEC$\装载。此时不要关闭该命令行,然后再打开一个命令行(cmd)输入输入dsamain -dbpath C:\$SNAP_200801141137_VOLUMEC$\windows\ntds\ntds.dit -ldapport 33890加载只读数据库的快照,33890为加载的端口号。(图4)
图4 加载快照
(3).查看AD实例
执行“开始→管理工具→Active Directory 用户和计算机”,在DC域上点击右键选择“更改域控制器”打开“更改目录服务器”对话框,点选“此域控制器或 AD LDS实例”,可以看到当前AD的实例的状态,我们可使得刚才创建的快照实例,只需输入类似“DC:端口”(本例为fr.zhongtian.com:3382)即可。(图5)
图5 AD的实例的状态
(4).删除快照
运行命令提示符工具,输入ntdsutil进入命令行,输入snapshot进入快照操作,输入list mounted可以查看刚才创建的快照,然后通过delete删除快照。(图6)
图6 删除快照
3、用审核策略加强AD管理 我们知道在Windows Server 2008以前的Sever版本中当AC启用审计策略后,会产生大量的事件日志造成DC性能的降低和磁盘空间的负担,而且,也不能记录某个属性更改前后的值。二Server 2008的的审核策略非常强大,特别是针对AD做了很多优化和扩展,其审计更为详细。
笔者认为对于AD,Server 2008的审核策略中针对事件记录,诸如精确记录属性修改前后的值、记录修改时间、记录修改者、记录修改对象这几项非常实用,有助于管理者对DC的
安全管理和维护。下面我们结合实例演示一个新的审核策略的详细配置过程。
首先在命令行下输入命令“auditpol /set /subcategory:"directory service changes" /success:enable”以启用策略(提示,上面的命令适合于英文版的Server 2008,如果你是中文版的可输入命令“AuditPol /set /subcategory:"目录服务更改" /success:enable“directory server changes”。如果还不可以的话,我们用32位ID来代替实例名。我们可以执行命令AuditPol /backup/file:c:\test.csv将审核策略保存为test.csv,然后用记事本打开查看到与“目录服务更改”对应的ID,然后执行命令,比如AuditPol /set /subcategory:{0CCE923C-69AE-11D9-BED3-505054503030} /success:enable即可)。然后输入命令gpupdage更新组策略。(图7)
图7 用审核策略加强AD管理
然后“开始→管理工具→Active Directory用户和计算机”打开AD用户和计算机管理器,找到你需要启用审核策略的OU(组织单元)比如ctocio,右键单击选择“属性”打开其属性对话框,在“安全”标签下点击“高级”按钮在打开的对话框中点击“审核”标签,点击下面的“添加”按钮输入Authenticated Users或者其他对对象然后退回到审核项目窗口。在“应用到”下拉列表中选择“后代 用户 对象”(或者其他),然后勾选“访问”下的“写入全部属性”中的“成功”,最后依次退出设置窗口。(图8)
图8 用审核项目
为了验证效果,我们在ctocio OU中创建一个用户,右键单击选择“新建→用户”根据向导新建用户wf。然后“开始→管理工具→事件查看器”可在“安全日志”中看到与“目录服务更改”相关的内容,查看“详细信息”administrator用户在fr.zhongtian.com的DC的ctocio的OU中创建了wf用户。(图9)
图9 安全审核
总结:Active Directory作为微软在局域网与资源管理等方面的解决方案,在Windows Server 2008中其优越性得到进一步的体现。特别值得一提的是微软对AD的证书服务进行了重新设计,它与组策略设置密切配合,提供更容易的证书注册、发现和
存储。作为一款比较新的服务器平台,Server 2008还有许多新的功能与技巧等待我们去利用和挖掘。