第六章 Windows域管理

2017-03-27

17057

第6章 Wind ows 域管理很多人對域名、活動目錄、DHCP 、DNS 等術(shù)語可能還停留在概念性的階段，于實際操作卻有些陌生，本章有助于改善這一點。本章主要內(nèi)容包括：??? 介紹域、活動目錄等基

第6章 Wind ows 域管理

很多人對域名、活動目錄、DHCP 、DNS 等術(shù)語可能還停留在概念性的階段，于實際操作卻有些陌生，本章有助于改善這一點。本章主要內(nèi)容包括：

? 介紹域、活動目錄等基礎(chǔ)概念；活動目錄部署和配置； DHCP 部署和配置；

? 組策略

涉及以下一些方面：

? 普通Server 2003和域控制器之間的升降級 DHCP 和DNS 的配置使用添加或刪除域用戶計算機加入域 SAM 數(shù)據(jù)庫和Syskey 組策略應用：對組策略進行編輯、設(shè)置，掌握強化系統(tǒng)的安全性的方法。

實驗1 域管理基礎(chǔ)

域是（Domain ）Windows 網(wǎng)絡(luò)管理的一個基本單位。域管理涉及域、活動目錄（AD ）和SAM 數(shù)據(jù)庫等概念。

1. 域和工作組

首先我們介紹一下工作組（Work Group ）的概念。域和工作組都是局域網(wǎng)環(huán)境下的兩種不同的網(wǎng)絡(luò)資源管理模式。

工作組的概念想必大家都很熟悉。它是我們默認安裝完系統(tǒng)以后的最初、也是最常用的一種工作模式。工作組將局域網(wǎng)中的電腦按功能分組，以便查找和瀏覽共享資源。同一個工作組內(nèi)部或不同工作組成員之間可以通過“網(wǎng)上鄰居”實現(xiàn)資源共享。從“網(wǎng)上鄰居”最先看到的是本機所在的工作組的機器。

“工作組”是一個“對等”網(wǎng)結(jié)構(gòu)，就像一個自由加入和退出的俱樂部一樣，可以隨時自由出入毫無限制，它本身的作用僅僅是提供一個“房間”，以方便查找。在這種模式下，任何一臺電腦只要接入網(wǎng)絡(luò)，其他機器就都可以訪問共享資源，沒有server 或client 的概念。共享文件即使加有訪問密碼，也非常容易被破解。以工作組組成的局域網(wǎng)中，每一臺電腦實現(xiàn)“個人自治”，一切設(shè)置在本機上進行，包括各種策略，用戶登錄也是在本機進行的，密碼也是放在本機的數(shù)據(jù)庫來驗證的。顯然，工作組模式在安全性上存在很大問題。域的提出，放棄了可以隨便出出進進的工作組模式，而采用了“中央集權(quán)”式的嚴格控制。我們可以說，域既是Windows 網(wǎng)絡(luò)系統(tǒng)的邏輯組織單元，也是Internet 的邏輯組織單元。在Windows 網(wǎng)絡(luò)系統(tǒng)中，“域是安全邊界”。以域方式組成的網(wǎng)絡(luò)，里面必須至少有一臺服務器作為管理機，即“域控制器（Domain Controller ，DC ）”，同一個域中的計算機彼此之間已經(jīng)建立了信任關(guān)系。而在一個獨立的工作站上，域就是計算機自身。

我們可以把域和工作組聯(lián)系起來理解。每個域中有主域控制器、備份域控制器和服務器、

工作站。每個域都有自己的安全策略以及與其他域相關(guān)的安全信任關(guān)系。域管理員只能管理域的內(nèi)部，除非其他的域顯式地賦予他管理權(quán)限，他才能訪問或管理其他的域。如果計算機加入域的話，各種策略是域控制器統(tǒng)一設(shè)定，用戶名和密碼也是放到域控制器去驗證。這樣做方便管理。

不同于工作組，域的登陸密碼是通過域控服務器驗證的。當電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要進行網(wǎng)絡(luò)身份驗證，鑒別這臺電腦是否屬于本域，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。他只能作為本機用戶訪問Windows 共享出來的資源，這樣就在一定程度上保護了網(wǎng)絡(luò)上的資源。顯然，域的安全性高于工作組。

2. 域和活動目錄

一個好的安全體系是多層防護的。在域的基礎(chǔ)上，Windows 提出了一種分層結(jié)構(gòu)的服務器安全模型，即通過使用森林（活動目錄，Active Directory，AD ）、域樹和組織單元（OU ）這些概念來實現(xiàn)分層管理?；顒幽夸浻梢粋€或多個域組成，當多個域通過信任關(guān)系連接起來，并且共享一個模式、配置和全局目錄的時候，它們組成一個域樹。多個域樹可以組成一個森林。森林即相互信任的一個或多個活動目錄樹形成的小組。在該模型中，一個企業(yè)中可以有多個域樹，通過信任關(guān)系建立域之間的聯(lián)系。

活動目錄是指存儲網(wǎng)絡(luò)資源信息的目錄數(shù)據(jù)庫，以及讓這些信息可供網(wǎng)絡(luò)用戶使用的所有服務。網(wǎng)絡(luò)中的所有資源，包括用戶帳戶、組、計算機、打印機、服務器、文件數(shù)據(jù)、數(shù)據(jù)庫和安全策略等，都可以存放在活動目錄中，從而使用戶的使用、管理和檢索變得更加簡單和方便。AD 是一個分布式的目錄服務網(wǎng)絡(luò)，標識了分散在網(wǎng)絡(luò)中多臺不同計算機上的所有信息資源，保證用戶可以快速訪問和容錯，同時，不管用戶從何處訪問或信息處在何處，都對用戶提供統(tǒng)一的視圖。

域中所有用戶帳戶使用域控制器的“Active Directory用戶和計算機”創(chuàng)建。該域的賬戶、密碼、用戶訪問策略、屬于該域的計算機等關(guān)鍵信息都存儲在Active Directory 數(shù)據(jù)庫中，集中管理，集中控制。域中可以建立多個域控制器，Active Directory數(shù)據(jù)庫中的信息可以在域控服務器之間復制。

利用活動目錄自帶的強大功能，可以非常有效的幫助企業(yè)強化網(wǎng)絡(luò)整體安全。簡單來說，活動目錄的首要目標是客戶端的安全管理和標準化管理，防止用戶在計算機上亂裝軟件、亂拷東西而帶入大量病毒，并把所有計算機的軟件或者桌面都統(tǒng)一起來。如果這兩點完成了，那么再往高級了說，活動目錄將成為企業(yè)基礎(chǔ)架構(gòu)的根本，所有的高級服務都會向活動目錄整合，以利用其統(tǒng)一的身份驗證、安全管理以及資源公用。

AD 是中央神經(jīng)系統(tǒng)的大腦或者說是控制中心，它負責用戶身份驗證，管理安全、訪問控制、通信、打印、信息存取等，而主域控制器則是AD 的主機。域可以跨越多個物理區(qū)域，由于客戶端所進行的應用以及相關(guān)配置全部存儲在服務器上，故而用戶在域內(nèi)的移動和物理的計算機脫離關(guān)系，域帳戶可以在同一域的任何一臺計算機登陸。用戶甚至用一個張智能卡就可以在域中的任何工作站上，隨意切換自己的工作任務。正是由于服務器接管大部分的客戶端任務，故而服務器的硬件以及網(wǎng)絡(luò)的帶寬要求也比較高。從AD 的規(guī)范管理來講，最好是能夠先在各自的OU 中建立好計算機帳戶，然后再將客戶端加入到域中。

活動目錄對整個網(wǎng)絡(luò)系統(tǒng)中不同角色的信息整合作用如圖2-1-1所示。

圖2-1-1 活動目錄中的信息

DNS 服務主要用于名稱解析和查詢，AD 的可靠性和可用性很大程度上依賴于DNS 服務的正常運行，如果沒有DNS 服務，DC 將無法互相查找并復制目錄信息，客戶端也將無法聯(lián)系DC 來進行身份驗證。Windows2000/2003中的DNS 區(qū)域可以與AD 集成，集成的DNS 區(qū)域數(shù)據(jù)存放在AD 中。使用組策略設(shè)置DNS 服務自動啟動，控制器只歸域管理員，可以避免DNS 服務被未經(jīng)授權(quán)的用戶操縱，也可防止管理員疏忽而禁用該服務。

3. 域模型與信任關(guān)系

信任關(guān)系是域與域之間建立的連接關(guān)系。它可以執(zhí)行對經(jīng)過委托的域內(nèi)用戶的登錄審核工作。域之間經(jīng)過委托后，用戶只要在某一個域內(nèi)有一個用戶帳號，就可以使用其他域內(nèi)的網(wǎng)絡(luò)資源了。例如，若A 域信任委托B 域，則B 域的用戶可以訪問A 域的資源，而A 域的用戶則不能訪問B 域的資源，這就是單向委托。若A 域的用戶也想訪問B 域的資源，那么必須再建立B 域信任A 域的委托關(guān)系，這就是雙向委托。

有四種基本的域模型：

? 單域模型：網(wǎng)絡(luò)中只有一個域，就是主域，域中有一個主域控制器和一或多個備份域控制器。該模型適合于用戶較少的網(wǎng)絡(luò)。主域模型：網(wǎng)絡(luò)中至少有兩個域，但只在其中一個域（主域）中創(chuàng)建所有用戶并存

儲這些用戶信息。其他域則稱為資源域，負責維護文件目錄和打印機資源，但不需要維護用戶賬戶。資源域都信任主域，使用主域中定義的用戶和全局組。該模型適? 合于用戶不太多，但又必須將資源分組的情況。多主域模型：網(wǎng)絡(luò)中有多個主域和多個資源域，其中主域作為賬戶域，所有的用戶

賬戶和組都在主域之上創(chuàng)建。各主域都相互信任，其他的資源域都信任主域，但各

資源域之間不相互信任。該模型便于大網(wǎng)絡(luò)的統(tǒng)一管理，具有較好的伸縮性。因此，該模型適合于用戶數(shù)很多且有一個專門管理機構(gòu)的網(wǎng)絡(luò)中。完全信任域模型：網(wǎng)絡(luò)中有多個主域，且這些域都相互信任。所有域在控制上都是

平等的，每個域都執(zhí)行自己的管理。該模型適合于各部門管理自己的網(wǎng)絡(luò)情況。

4. AD 災難恢復

AD 災難恢復的原則是用最短的時間，承受最小的損失，得到最好的可能結(jié)果。在磁盤上，AD 顯示為幾個文件，它們分別是Ntds.dit （AD 數(shù)據(jù)庫），一個組交易記錄Edb.log （即日志）和記錄數(shù)據(jù)庫最后一個緩沖區(qū)的檢查點文件，還有一個暫時性的數(shù)據(jù)庫文件Temp.edb ，這些數(shù)據(jù)庫文件存儲在SystemRootntds目錄下（安裝時可以重新指定位置），如圖2-1-2所示。

圖2-1-2 AD系統(tǒng)文件

SYSVOL 系統(tǒng)卷是可以由文件復制服務復制的文件夾、文件系統(tǒng)重分析點和組策略設(shè)置的集合，存儲在SystemRootsysvol目錄下，有三種不同的恢復方法：重建、還原、修復。

一般，一個DC 的備份數(shù)據(jù)只能用于還原該DC ，不能被用來還原另一個DC 。因此，我們應盡量對每一個DC 都進行備份。備份策略的最低備份要求是所有具有操作主機角色的DC ，所有具有全局編錄角色的DC ，根域中第一個DC 。

非權(quán)威性還原（Non-Authoritative Restore ）是AD 還原的默認方法，對象恢復后會保持它們在備份時用的版本號，用Ntbackup 還原到已知的某個好的狀態(tài)，并重新進入AD 正常模式讓其自由同步更新。下面的情況可以使用該方法還原：域中有多臺DC ，其他DC 至少有一臺是工作正常的情況，域中只有單臺DC 的情況，或者典型情況如硬件問題等。

權(quán)威性還原（Authoritative Restore）本質(zhì)是非權(quán)威性還原的擴展，需要比非權(quán)威性還原多做一步，即提高還原對象屬性的更新版本號，使其在目錄中成為權(quán)威的拷貝。權(quán)威性還原是DC 上選定的對象在域中具有權(quán)威性。典型情況如意外修改或刪除了對象時就需要使用這種方式了。用Ntdsutil 工具標記AD 對象為權(quán)威，找到還含有該對象的DC ，或者先從備份還原，恢復時盡量定位到最特定的DN 。還原SYSVOL 至相匹配的版本，目的是讓SYSVOL 和所備份時的SYSVOL 相同，從而使整個恢復回來的AD 具有一致性，在目錄恢復模式下恢復SYSVOL 至替換目錄，一旦重啟系統(tǒng)，將替換目錄下的SYSVOL 相應文件拷回原位置。

操作主機的恢復有轉(zhuǎn)移和抓取兩種方式，五種操作主機應區(qū)別對待，能轉(zhuǎn)移的盡量不要用獲取，轉(zhuǎn)移操作可逆，抓取操作主機角色是最后手段，原主機不能再恢復在線。以正常模式重新引導，檢查目錄和系統(tǒng)事件日志是否存在錯誤消息，就可以驗證災難恢復。

5. 域的用戶訪問控制模型

域?qū)τ脩魩舻墓芾戆ㄈ缦乱恍┓矫妫?/p>

1）帳號規(guī)則：對用戶帳號和口令進行安全管理，即入網(wǎng)訪問控制。它還包括對用戶入網(wǎng)時間限制、入網(wǎng)站點限制、帳號鎖定、用戶對特定文件/目錄的訪問權(quán)限限制和用戶使用的網(wǎng)絡(luò)環(huán)境的限制等內(nèi)容。

2）權(quán)限規(guī)則：

Windows 采用兩類訪問權(quán)限：用戶訪問權(quán)限和資源訪問權(quán)限。用戶訪問權(quán)限有四種：完全控制、更改、讀寫和拒絕訪問，完全控制權(quán)限最大。NTFS 允許用兩種訪問權(quán)限來控制用戶對特定目錄和文件的訪問：一種是標準權(quán)限(基本安全性措施) ；另一種是特殊權(quán)限(特殊安全性措施) 。

3）審核規(guī)則：

它是系統(tǒng)對用戶操作行為的跟蹤，管理員可根據(jù)審核結(jié)果來控制用戶的操作。Windows 可對如下事件進行審核：登錄和注銷、文件和對象的訪問、用戶權(quán)限的使用、用戶和組的管理、安全性策略的改變、啟動與關(guān)閉系統(tǒng)的安全性和進程的跟蹤等。跟蹤審核結(jié)果存放在安全日志文件中。

域中的每個用戶帳戶都是由域管理員在DC 上創(chuàng)建的，其中包括用戶名、口令、訪問權(quán)限等信息。創(chuàng)建帳戶后，系統(tǒng)還必須為帳戶指定一個唯一的安全標識符（SID ）。安全帳號管理器對用戶帳戶的管理正是通過SID 進行的。一旦刪除某個帳戶，其對應的SID 也被刪除。即使用相同的用戶名重建帳號，也會被賦予不同的SID ，不會保留原來的權(quán)限。不同用戶的SID 不同。如果存在兩個同樣SID 的用戶，這兩個帳戶將被鑒別為同一個帳戶，原理上如果帳戶無限制增加的時候，會產(chǎn)生同樣的SID ，在通常的情況下SID 是唯一的，他由計算機名、當前時間、當前用戶態(tài)線程的CPU 耗費時間的總和三個參數(shù)決定以保證它的唯一性。

系統(tǒng)為每個用戶指定一個用戶組，為用戶組指定文件和目錄訪問權(quán)限。這樣，當用戶角色變更時，只要把該用戶從工作組中刪除或指定他屬于另一組，即可收回或更改該用戶的訪問權(quán)限。為此，系統(tǒng)為每個用戶或用戶組分配一個訪問控制條目（access control entry，ACE ）。它包括一個SID （標識這個ACE 的應用對象）以及允許或者拒絕訪問的ACE 信息的類型。

訪問控制表（access control list，ACL ）是用來定義用戶或用戶組與文件、目錄或其他資源相關(guān)的訪問權(quán)限的一組數(shù)據(jù)。在活動目錄服務中，一個ACL 是一個存儲訪問權(quán)限與對象之間相互關(guān)系的列表。在 Windows 操作系統(tǒng)中，一個ACL 作為一個二進制值保存，稱之為安全描述符。實際上，在活動目錄中，系統(tǒng)為存儲的每一個對象分配安全描述符，列出了允許訪問的用戶和組和他們的權(quán)限。對象的訪問權(quán)限作為屬性的一部分，以ACL 形式存放。當用戶訪問時，系統(tǒng)比對文件對象ACL 和用戶存取標識是否相符，符合的話才允許訪問，否則拒絕。

6. SAM 數(shù)據(jù)庫

SAM 文件即安全帳號管理器（Security Account Manager，SAM ），它是NT 架構(gòu)的操作系統(tǒng)（包括Windows NT/2000/XP/2003）的核心。所有用戶的登錄名和口令等相關(guān)信息都保存在SAM 文件中。使用“本地用戶和組”創(chuàng)建本地用戶帳戶后，相關(guān)信息也保存在SAM 文件中。用戶登錄時進行本地身份驗證。

單機環(huán)境下，SAM 存儲在本機的C:WINDOWSsystem32config文件夾下的sam 文件中，并在C:WINDOWSrepair里有一個備份。而對于加入到域的計算機來說，它存儲在域控制器上。

SAM 文件可以認為類似于Unix 系統(tǒng)中的Passwd 文件，不過沒有Passwd 文件那么直觀明了。雖然也用文件保存賬號信息，不過Windows 系統(tǒng)對SAM 文件中的資料全部加密，一般的編輯器無法打開，在系統(tǒng)運行中，無法對其進行任何修改。

SAM 數(shù)據(jù)庫（Security Account Management Database）通過存儲在計算機注冊表中的安全賬戶來管理用戶和用戶組的信息，在注冊表中，存放用戶信息的具體地方是HKLMSAMSAMDomains?countUsers中，下面的十六進制項都是用戶的SID ，比如用戶Administrator 的SID 是000001F4，guest 的SID 是000001F5，其他每項都對應一個用戶名。同時，在HKLMSAMSAMDomains?countUsersNames項下面保存的是用戶名，下面的每項都是機器中的用戶名。當添加一個新用戶時，系統(tǒng)會在HKLMSAMSAMDomains?countUsers下添加一個新的SID 項來標記新用戶，同時在Names 下建立一個用戶名的項，而項的類型為這個新的SID 。比如添加一個名為xiaobai 的用戶，系統(tǒng)就會在HKLMSAMSAMDomains?countUsers下添加一個新的SID 項，假設(shè)是000003ED ，與此同時，你會發(fā)現(xiàn)在HKLMSAMSAMDomains?countUsersNames下面多了一個名為xiaobai 的項，類型為0x3ed 。當刪除一個用戶時，系統(tǒng)所做的工作就是把添加用戶時對應添加的兩個項刪除。

SAM 數(shù)據(jù)庫的一個拷貝能夠被某些工具用來破解口令，而NT 的Admin 帳戶、Admin 組中的所有成員、備份操作員、服務器操作員以及所有具有備份特權(quán)的用戶，都可以拷貝SAM 數(shù)據(jù)庫的內(nèi)容。特洛伊木馬和病毒可能利用默認權(quán)力對SAM 數(shù)據(jù)庫進行備份，獲取訪問SAM 數(shù)據(jù)庫中的口令信息。

7. 組策略

組策略是微軟操作系統(tǒng)中自帶的最強大的設(shè)置管理工具之一?；诨顒幽夸浀慕M策略絕對是管理員的利器。我們可以把組看作某類有相同特點及屬性的資源的集合。組類似于某種容器，可以將用戶帳戶、計算機帳戶、其他組帳戶、資源和權(quán)限組合在一起實現(xiàn)統(tǒng)一管理。使用組而不是單獨的用戶可以簡化管理和維護，使用組策略，再也不需要親自到每一臺計算機上執(zhí)行管理操作，輕松點擊即可批量配置。通過對 Active Directory 中組策略對象的使用，系統(tǒng)管理員可以集中應用保護企業(yè)系統(tǒng)所要求的安全級別。組策略使用組策略編輯器這一安全配置工具來進行管理，有以下作用：

管理員可使用安全模板管理單元來定義和使用安全模板。

管理員可使用安全配置和分析管理單元來配置和分析本地的安全性。

管理員可使用組策略管理單元來配置Active Directory中的安全性。

管理員可以集中管理軟件安裝。

管理員可以執(zhí)行設(shè)定開機、登錄、注銷、關(guān)機腳本，控制用戶IE 屬性，文件夾重定向等多種功能。

計算機的組策略設(shè)置在操作系統(tǒng)初始化時和系統(tǒng)刷新周期內(nèi)應用，使用“計算機配置”節(jié)點，而用戶的組策略設(shè)置在用戶登錄時和系統(tǒng)刷新周期內(nèi)應用，使用“用戶配置”節(jié)點。默認情況下，計算機組策略會每隔90分鐘刷新一次，而DC 上的策略刷新間隔為5分鐘。

組策略內(nèi)容相當豐富，幾乎所有的Windows 常用或不常用的配置項都可以從中找到。我們從圖2-1-3就可見一斑。詳細講解組策略將是一個繁重的任務，我們只能點到為止。

圖2-1-3 組策略界面概要

實驗1 域的安裝和配置

【實驗目的】

本實驗主要介紹如何在Windows 2003 Server上安裝和配置域。

【實驗環(huán)境】

Windows XP以上操作系統(tǒng)，內(nèi)裝Windows 2003 Server的VMware Workstation 7.0。

【實驗步驟】

A. 配置AD 為域控制器

域是與活動目錄聯(lián)系在一起的，活動目錄的安裝可以說是系統(tǒng)由工作組狀態(tài)升級為域狀態(tài)的關(guān)鍵。在前面章節(jié)建立的分組VLAN 中，到目前為止，我們的AD 服務器都還只是一臺普通的Server 2003服務器。接下來，我們在其之上安裝Active Directory ，將之升級為域

控制器，有兩種辦法。

a) 通過“配置服務器向?qū)А卑惭b

首先，打開Server 2003 的“控制面板-管理工具”，雙擊“配置服務器向?qū)А?，如圖2-1-4所示。在出現(xiàn)的“配置服務器向?qū)А敝袉螕簟跋乱徊健?，如圖2-1-5所示。