硅谷杂志:域控制器的使用和安全 |
| 2012-08-13 10:24 作者:邢 华 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
硅谷网8月13日消息 《硅谷》杂志2012年第13期刊文称,现在的局域网很多都采用的是服务器/客户端模式,在局域网中,特别是在网吧、学校这种需要集中管理的环境里,如果每台机器都进行同样的操作,将会浪费管理员大量的时间和精力,如果这些事情都可以统一化,综合比较各种方法,域管理比较简单易行的方法之一,使用域控制器管理可以减少网络管理员很多的工作,提升效率。那么,到底什么是域?我们又如何在网络管理中使用它?如何保证它的安全?这篇文章,就是对上面这几个问题的解答,这里以学校的域管理为例进行简单介绍。
1为什么选择域,而不是工作组
在网内用户比较多的时候,通过引入“工作组”的概念,我们可以快速定位一台机器,比如,要找到计算机系张老师的机器,我们可以先找到计算机系,然后再找到张老师的机器。可以说,工作组有优化网络的作用,但是作用很有限。
假如,我们期待达成这样一种效果:计算机的张老师和其他计算机老师一样,可以看到计算机组的共享资源,不能看到其他组(比如说电子组)的共享资源;而做为计算机领导的王老师可以看到各部门的共享资源,但无法查看财务组的资源;校领导郭老师可以查看包括财务组在内的所有资源;除此之外,每位用户都有自己的私有资源,除了自己,其他任何人都无法查看。也就是说,每个用户是有自己的权限的,只要在这个网络里,我们都遵循权限的规定。为了达到这种资源共享方式,我们在企事业单位经常使用域控制实现。
2域的配置
2.1安装AD
创建一个域控制器,首先要安装一个独立的服务器或成员服务器,然后将其升级为域控制器。这里,我们以建立一个域xx.com为例,具体步骤为:
1)运行,键入dcpromo,打开ActiveDirectory安装向导,按照提示进行选择,均选择默认即可。
2)选择“只在这台计算机上安装和配置DNS”,输入新域的DNS名称xx.com。安装后,从“开始”\“管理工具”\”ActiveDirectory用户和计算机”,打开”ActiveDirectory用户和计算机”窗口,确保AD是正常的。
3)在程序界面右击“users”,在弹出的菜单中单击“新建”,然后选择“用户”,之后按实际要求新建账户和密码,然后将账户和密码发给学校里的每一个员工。
2.2提升域级别
在安装完AD之后,我们可以使用AD来提升服务器为域控制器。方法很简单,打开“ActiveDirectory用户和计算机”窗口,选择我们之前刚建好的新DNS“xx.com”,单击右键,选择”提升域功能级别”即可。
提高域功能级别将影响整个域,提高域功能将不能够恢复并重新安装,除非移除AD,如果域有多个域控制器,只提高一个级别,就可以将它复制到每个域控制器。
2.3提升林级别
提升林功能级别之前,你需要升级域控制器在同一水平。提升林功能级别的操作和升级域控制器基本上是相同的。
加强林域功能级别,将影响整个林,提高林功能将不能够恢复并重新安装,除非移除AD,如果林有多个域控制器,只提高一个级别,就可以将它复制到每个域控制器。
2.4客户端设置
添加客户端到域中,右击“我的电脑”/“属性”/“网络标识”,选择所属的域,本例中域名为“xx.com”。注意,用户登录的账户和密码是之前由管理员设定的那个,当然,我们也可以设置为用户自己定义。加入到域中的用户只能够查看本域中的内容。
3域设置
2.1规划域和组织单位
在我们上面提到学校逻辑结构中,可以设置为单域,域名为xx.com,按照部门划分组织单位OU,例如计算机系、商贸系、电子系、机械系、财务部、招生部、人事部等。相比较多域结构而言,单域更为集中,管理上也比较简单和低成本。因为用户较多,所以无法为每个用户分别设置权限,那么我们就对不同的OU设置权限,那么它里面的用户也会继承这些权限。
此外,在进行规划之前,应当了解和充分考虑诸如安全组、嵌套组、组作用域、域功能等概念和系统应用需求。
2.2AD和NIS的集成
活动目录标识着网络上的所有资源,完成诸如身份验证、授权、组策略等多项服务。在实际情况里,AD并不孤单,由于企业中Windows+UNIX/Linux的混合型网络系统情况很多,两种操作系统的互访也比较常见。所以,我们通过将AD和NIS集成的方法来实现Windows和UNIX/Linux系统的帐户、口令的统一配置管理。也就是说,如果我们要给每台主机都设定账户密码,工作量是相当大的,通过综合两种策略的优点,我们可以减轻系统管理员的工作,提高效率。
3域控制器的安全
域控制器是AD目录服务的核心,保存着所有的域帐户信息,并保证用户登陆域和访问域中的网络资源。如果在非法授权的情况下进入了域控制器,那也相当于可以对域内的全部网络资源具有访问和控制力,加强域控制器的管理的重要性不言而喻。
3.1域控制器安全
域控制器的安全系统应建立规范的操作流程:应有记录单填写并规范操作流程。另外,应建立与外部网络隔离的域控制器,安装并及时更新防病毒软件和防火墙,并确保域控制器不直接接入互联网,防止信息通过域控制器泄露而造成巨大损失。此外,因为包含重要信息,而且一旦进入将影响到域内的所有用户,所以安装域控制器的计算机是网络的一个重要一环,应安装规范设置开机密码。
3.2域帐户管理,通过以下方式加强管理域帐户:
1)改变系统内置帐户的名称,并修改该帐户的描述。
2)创建一个帐户,继承管理员权限,然后禁用内置管理员帐户。
3)所有帐户密码符合密码策略的复杂性要求。
4)外部域之间执行选择性身份验证
3.3移动活动目录数据库
对于活动目录的维护包括备份、恢复、移动和整理碎片等。首先我们先讲一下如何将它的位置移动,因为AD数据库包括很多系统的核心信息,它的位置是最好不是默认位置,而是移动到其他位置。例如,我们将活动目录数据库的文件移动到一个冗余或者镜像卷,以便提高域控制器的性能、方便之后的数据恢复。转移活动目录数据库和日志文件的方法如下:
1)重新启动域控制器。在开机时按F8键,进入高级选项菜单“窗口中,单击”目录服务还原模式“选项。
2)输入compacttoc:\new,把新的ntds.dit文件,经过压缩处理的后放入new文件夹,如果文件夹new不存在,自动创建。
3)退出ntdsutil.exe、重新启动域控制器,并重新进入系统。
3.4备份活动目录数据库
如先前所讲,域控制器是单一集中的网络管理设备,如果它崩溃了,其后果可能是灾难性的。备份AD数据库可以通过向导来完成,操作非常简单。单击“开始”程序、附件、“系统工具”、备份,打开“备份还原向导”对话框,点击“下一步”,选择要备份的项目“SystemState”选择存放路径,就可以了。
3.5多域安全
单域网络往往是自主可控的,但当它和其他网络相连的时候,我们将会面临大量的用户,这些用户的身份都是未知的,我们怎么在保证单域原有应用的基础上,和其他域实现安全的互通信息?也就是说,如何跨域授权。为了解决这个问题,已经形成的有以下方法:1)使用网格,框架由认证中心和个体安全域组成,当我们需要跨域访问资源的时候,单个安全域的用户可以通过认证中心来获取不同安全域的安全令牌;2)动态监控访问者,每完成一步访问,就更改它的信任级别。
4结束语
本文简单介绍了域控制器在局域网中的配置、使用和安全,总之,综合使用域安全技术,可以提升管理效能,并为网络管理和系统安全筑起屏障。(原文载于《硅谷》杂志2012年第13期,硅谷网及《硅谷》杂志版权所有,未经允许禁止转载)
|
|
|
|
【对“硅谷杂志:域控制器的使用和安全”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
