中小型企業(yè)部署域環(huán)境的配置實(shí)例一、 理論基礎(chǔ)1) 域環(huán)境部署a. 安裝2008R2 ADDSb. 安裝后的檢查1. 更改DC 的DNS 設(shè)置a) 首選DNS 指向自己備用指向BDC2. 檢

中小型企業(yè)部署域環(huán)境的配置實(shí)例

一、 理論基礎(chǔ)

1) 域環(huán)境部署

a. 安裝2008R2 ADDS

b. 安裝后的檢查

1. 更改DC 的DNS 設(shè)置

a) 首選DNS 指向自己備用指向BDC

2. 檢查DNS 服務(wù)DC 注冊(cè)SRV 記錄

a) 沒有正向查找區(qū)域，也沒有SRV 記錄，客戶端是沒有辦法通過(guò)DNS 找到DC

b) 讓DC 向DNS 服務(wù)器注冊(cè)SRV 記錄

i. 新建兩個(gè)正向查找區(qū)域，域名和_msdcs. ii. 刷新DNS ，重啟netlogo

c. 將計(jì)算機(jī)加入到指定組織單元

a) 可以預(yù)先在指定的OU 中創(chuàng)建計(jì)算機(jī)賬戶同時(shí)也可以指定的用戶將計(jì)算機(jī)加入到域

d. 域環(huán)境中計(jì)算機(jī)名稱解析

1. 將DNS 的服務(wù)器的區(qū)域設(shè)置成允許安全更新，域中的計(jì)算機(jī)會(huì)向DNS 注冊(cè)自己的名稱對(duì)應(yīng)的IP 地址

2. 默認(rèn)情況下，高級(jí)TCP/IP設(shè)置對(duì)話框中，在DNS 選項(xiàng)卡中，已經(jīng)選中“在dns 中注冊(cè)此連接的地址”，這時(shí)

客戶端會(huì)自動(dòng)向DNS 正向區(qū)域的域名注冊(cè)該計(jì)算機(jī)名對(duì)應(yīng)的IP 地址

3. 使用ipconfig/all 查看到的主DNS 后綴域名，決定了客戶機(jī)向哪個(gè)正向查找區(qū)域注冊(cè)A 記錄

e. 升級(jí)活動(dòng)目錄為2008

1. 只有把所有的域控升級(jí)到windows server2003模式，整個(gè)森林才能提升到windows2003模式

2. 當(dāng)域功能級(jí)別提升后，運(yùn)行較老的域控制器將不能加入到域中

3. 將活動(dòng)目錄升級(jí)到2008（2008DC 加入域之前）需要在承載架構(gòu)主機(jī)角色的林中的DC 中運(yùn)行一次

adprep/forestprep

4. 在做完sehema 拓展之后，還需要進(jìn)行域拓展（需要域管理員權(quán)限）

f. 將計(jì)算機(jī)加入到域

1. 取消普通用戶的加域權(quán)限

a) 右擊 dc=jiangping,dc==com 選屬性

b) Ms-ds-machineaccountquota 數(shù)值為0

2. 授權(quán)特定用戶加域權(quán)限

a) AD 用戶和計(jì)算機(jī) 域名右擊選委派控制

b) 授予指定用戶或組常見任務(wù)：將計(jì)算機(jī)加入 c) 刪除授權(quán)時(shí)可以修改用戶屬性的ACL

2) 管理域用戶和組

a. 域帳號(hào)

1. 使用用戶的名，或名的起始三個(gè)字母，或名的起始部分創(chuàng)建用戶賬號(hào)

2. 使用名和用戶姓的起始幾個(gè)字母，或者完整的用戶的姓創(chuàng)建用戶帳號(hào)

3. 為解決名稱沖突，在姓、名中間添加附加的字母 b. 設(shè)置密碼策略的方針

1. 強(qiáng)密碼的標(biāo)準(zhǔn)

a) 長(zhǎng)度至少為7個(gè)字符

b) 不包含用戶名、真實(shí)姓名或公司名稱

c) 不包含完整的字典詞匯

d) 與先前的密碼大不相同

c. 創(chuàng)建保存的查詢

1. 可查詢特定的活動(dòng)目錄對(duì)象和執(zhí)行特定任務(wù)或進(jìn)行監(jiān)視的一組公共目錄對(duì)象。例如：查詢域中指定操作系統(tǒng)的計(jì)算機(jī)

d. 使用主目錄訪問資源

e. 驗(yàn)證用戶賬戶的過(guò)期

1. 域中的計(jì)算機(jī)默認(rèn)是DC 同步時(shí)間的

f. 漫游式用戶配置文件

1. 強(qiáng)制性用戶配置文件不保存用戶對(duì)工作環(huán)境的修改

2. 漫游式用戶配置文件在本地也有一份配置，但總是優(yōu)先使用漫游的，如果漫游的用戶配置文件不可用，則使用本地的，實(shí)現(xiàn)數(shù)據(jù)冗余。

g. 用戶組

1. 組類型

a) 安全組

i. 有安全標(biāo)識(shí)SID, 能夠授權(quán)其訪問本地資源或網(wǎng)絡(luò)資源

b) 通訊組

i. 沒有安全標(biāo)識(shí)符SID ，不能授權(quán)其訪問本地資源或網(wǎng)絡(luò)資源，只能用來(lái)群發(fā)郵件

2. 組的作用

a) 全局組

i. 全局組代表的是同類用戶身份的用戶賬戶

ii. 創(chuàng)建全局組是為了合并工作職責(zé)相似的用戶賬戶

iii. 只能將本域的用戶和組添加到全局組，在多域環(huán)境中不能合并其他域中的用戶。能夠授權(quán)其訪問整個(gè)域中的資源，在多域環(huán)境中其他域中的資源也能授權(quán)其訪問

b) 本地域組

i. 本地域組是針對(duì)某個(gè)資源的訪問情況而創(chuàng)建的

c) 通用組

i. 作用和全局組一樣，但是可以在多域環(huán)境中能夠合并其他域中的域用戶賬戶

3. 使用組的策略

a) 在單域環(huán)境中使用組，要將用戶賬戶添加到全局組，將用戶帳戶合并，再為本地域組授權(quán)對(duì)某資源的訪問。授權(quán)的過(guò)程就變?yōu)閷⑷纸M添加到本地域組的過(guò)程，即AGDLP 原則

4. 內(nèi)置本地組

a) Administrators ：可以執(zhí)行整個(gè)活動(dòng)目錄的管理任務(wù)，內(nèi)置的管理賬戶administrator 是域成員，而且無(wú)法刪除，administrators 組默認(rèn)的成員包含administrator ，domain admins 全局組、enterprice admins 全局組等

b) Remote desktop users：此組中的成員被授予遠(yuǎn)程登錄的權(quán)限，比如使用其他計(jì)算機(jī)通過(guò)遠(yuǎn)程桌面或終端服務(wù)連接到域控制器登錄

5. 內(nèi)置的全局組和通用組

a) 當(dāng)創(chuàng)建一個(gè)域時(shí)，系統(tǒng)會(huì)在活動(dòng)目錄中創(chuàng)建一些內(nèi)置的全局組。這些全局組本身并沒有任何權(quán)限與權(quán)利，但是可以通過(guò)將其加入到具備權(quán)利或權(quán)限的本地域組，或者直接給全局組指派權(quán)限或權(quán)利

3) 組策略管理計(jì)算機(jī)

a. 組策略介紹

1. 使用首選項(xiàng)級(jí)別的目標(biāo)是：通過(guò)減少所需的組策略對(duì)象數(shù)量來(lái)簡(jiǎn)化桌面管理

b. 組策略對(duì)象

1. 全局唯一標(biāo)識(shí)符GUID 是一個(gè)當(dāng)對(duì)象創(chuàng)建時(shí)由域控制器分配給他的獨(dú)一無(wú)二的128位數(shù)。GUID 作為對(duì)象的一個(gè)屬性被保存起來(lái)，并在域、域樹、域森林中來(lái)標(biāo)識(shí)對(duì)象

2. GPO 的組件被存儲(chǔ)在以下兩個(gè)不同的場(chǎng)所：

a) 組策略容器GPC:GPC是包含GPO 屬性和版本信息的活動(dòng)目錄對(duì)象。如果域控制器沒有最新版本，就會(huì)從擁有最新版本GPO 的域控制器上進(jìn)行復(fù)制

b) 組策略模版GPT:GPT包含所有的組策略設(shè)置和信息，包括管理模版、安全性、軟件安裝、命令和文件夾重定向設(shè)置。計(jì)算機(jī)和SYSVOL 文件夾通過(guò)鏈接以獲得這些設(shè)置

c) GPT 文件夾的名稱是創(chuàng)建的GPO 的全局唯一標(biāo)識(shí)符GUID ，他和GPC 中用來(lái)識(shí)別GPO 的guid 是一樣的。域控制器上到GPT 的路徑是：

systemrootSYSVOLsysvol

3. 計(jì)算機(jī)和用戶的組策略設(shè)置

a) 計(jì)算機(jī)相關(guān)的組策略應(yīng)用在系統(tǒng)初始化和周期性更新循環(huán)過(guò)程中。通常計(jì)算機(jī)組策略在和用戶組策略沖突時(shí)有優(yōu)先權(quán)

b) 用戶相關(guān)的組策略應(yīng)用在用戶登錄計(jì)算機(jī)和周期性更新循環(huán)的過(guò)程中

4. 管理員不能將GPO 和默認(rèn)的活動(dòng)目錄容器---計(jì)算機(jī)、用戶和Builtin 相連，因?yàn)樗麄儾皇墙M織單元。

5. 組策略的應(yīng)用順序和優(yōu)先級(jí)

a) 計(jì)算機(jī)啟用時(shí)，根據(jù)計(jì)算機(jī)賬戶所處的位置，確定應(yīng)用的組策略，應(yīng)用組策略中計(jì)算機(jī)配置部分 b) 域用戶登錄時(shí)，根據(jù)用戶賬戶所處的位置，確定應(yīng)用的組策略，應(yīng)用組策略中用戶配置部分

c) 組策略中用戶配置部分，對(duì)域中計(jì)算機(jī)的本地賬戶無(wú)法應(yīng)用

d) 計(jì)算機(jī)啟動(dòng)后，已經(jīng)應(yīng)用了組策略中的計(jì)算機(jī)配置部分，不管登錄該計(jì)算機(jī)的是本地用戶還是域用戶，組策略對(duì)計(jì)算機(jī)的管理已經(jīng)完成

e) 計(jì)算機(jī)在啟動(dòng)過(guò)程中先應(yīng)用本地的計(jì)算機(jī)的組策略，然后再找到域控制器，DC 針對(duì)計(jì)算機(jī)賬戶存儲(chǔ)的組織單元，確定應(yīng)用的組策略以及應(yīng)用順序，只應(yīng)用這三個(gè)組策略的計(jì)算機(jī)配置部分

6. 強(qiáng)制應(yīng)用組策略

a) 設(shè)置為強(qiáng)制的組策略，子容器即使設(shè)為阻止繼承也必須應(yīng)用

7. 阻止繼承

a) 在域策略沒有設(shè)為強(qiáng)制的情況下，阻止繼承是有效的

c. 組策略刷新

1. 域中的計(jì)算機(jī)在啟動(dòng)時(shí)會(huì)應(yīng)用組策略，域用戶登錄時(shí)也會(huì)應(yīng)用組策略。啟動(dòng)后或登陸后計(jì)算機(jī)還會(huì)周期性地刷新組策略

2. 修改默認(rèn)域策略，策略---管理模版---系統(tǒng)--組策略

3. 配置域控制器的組策略刷新間隔為5分鐘

4. 計(jì)算機(jī)組策略刷新間隔 30分鐘

d. 配置賬戶策略

1. 新建域策略，為賬戶配置密碼策略

2. 修改新建的域策略，為計(jì)算機(jī)賬戶配置復(fù)雜的密碼策略

4) 配置審核策略

a. 定期分析可以使管理員跟蹤并確保每個(gè)計(jì)算機(jī)有足夠的安全級(jí)別

b. 可以檢測(cè)到系統(tǒng)中隨著時(shí)間的推移而有可能產(chǎn)生的所有安全缺陷

c. 組策略的“事件日志容器用于定義與應(yīng)用程序、安全性和系統(tǒng)事件日志相關(guān)的屬性

d. 審核賬戶登錄事件

1. 可以指定是否審核成功、失敗或不審核事件，用來(lái)確定哪個(gè)人成功、失敗登錄到哪臺(tái)計(jì)算機(jī)

e. 審核賬戶管理

1. 審核賬戶管理設(shè)置用于確定是否對(duì)計(jì)算機(jī)上的每個(gè)賬戶管理事件進(jìn)行審核

f. 審核目錄服務(wù)訪問

1. 審核目錄訪問設(shè)置，用于確定是否對(duì)用戶反戈恩AD 對(duì)象的事件進(jìn)行審核，該對(duì)象指定了自身的系統(tǒng)訪問控制列表SACL.SACL 是用戶和組的列表

2. 啟用審核目錄服務(wù)訪問并在目錄對(duì)象上配置SACL, 可以在域控制器的安全日志中生成大量審核項(xiàng)，因此僅在確實(shí)要使用所創(chuàng)建的信息時(shí)才應(yīng)啟用這些設(shè)置。 g. 審核登錄事件

1. 用于確定是否對(duì)用戶在記錄審核事件的計(jì)算機(jī)上登錄、注銷或建立網(wǎng)絡(luò)鏈接的每個(gè)實(shí)例進(jìn)行審核。

2. 賬戶登錄事件是在賬戶所在的位置生成的，而登錄事件是在登錄嘗試發(fā)生的位置生成的

h. 審核對(duì)象訪問

1. 用于確定是否對(duì)用戶訪問了指定了自身SACL 的對(duì)象的事件進(jìn)行審核，僅在確實(shí)需要使用記錄的信息時(shí)才啟用這些設(shè)置

i. 審核策略更改

1. 用于確定是否對(duì)用戶行使用戶權(quán)限的每個(gè)實(shí)例進(jìn)行審核

j. 審核過(guò)程跟蹤

1. 用于確定是否審核事件的詳細(xì)跟蹤信息，如程序激活，進(jìn)程退出，句柄復(fù)制和間接對(duì)象訪問等。

k. 審核系統(tǒng)事件

1. 用于確定在用戶重新啟動(dòng)或關(guān)閉其計(jì)算機(jī)時(shí)，或者在影響系統(tǒng)安全或安全目標(biāo)的事件發(fā)生時(shí)，是否進(jìn)行審核。

2. 由于同時(shí)啟用系統(tǒng)事件的失敗和成功審核時(shí)僅記錄極少數(shù)其他事件，并且所有這些事件都非常重要，建議在組織中所有計(jì)算機(jī)上啟用這些設(shè)置

5) 審核設(shè)置

a. 計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置本地策略審核策略 b. 如果未配置任何審核設(shè)置，就不可能確定出現(xiàn)安全事件發(fā)生的情況

c. 組織內(nèi)的所有計(jì)算機(jī)都應(yīng)啟用適當(dāng)?shù)膶徍瞬呗裕@樣合法用戶可以對(duì)其操作負(fù)責(zé)，而未經(jīng)授權(quán)的行為可以被檢測(cè)和跟蹤

6) 用戶權(quán)限設(shè)置

a. 用戶權(quán)限是允許用戶在計(jì)算機(jī)系統(tǒng)或域中執(zhí)行的任務(wù)。有兩種：登錄權(quán)限和特權(quán)，都是由管理員作為計(jì)算機(jī)安全設(shè)