Active Directory 域服务新增功能.docx
《Active Directory 域服务新增功能.docx》由会员分享,可在线阅读,更多相关《Active Directory 域服务新增功能.docx(15页珍藏版)》请在冰豆网上搜索。
ActiveDirectory域服务新增功能
2008ActiveDirectory域服务新增功能
Microsoft通过Windows2000向世人展示了ActiveDirectory。
接下来,在WindowsServer2003这一重要版本中,ActiveDirectory得到了极大的改进,但未做任何
重大更改。
如今,ActiveDirectory®已成为功能强大且极其成熟的目录服务。
尽管如此,ActiveDirectory团队仍通过不懈的努力在最新版本中继续完善其功能,以提高这一核心网络服务的安全性和可管理性。
在世纪之交,ActiveDirectory主要是验证登录的用户、对用户和计算机应用组策略并协助其找到所需的打印机。
仅仅几年后,Microsoft又发布了一个独立的改良版,称为ActiveDirectory应用程序模式(ADAM)。
到了2006,一切都焕然一新。
ActiveDirectory不再是一种特定的技术。
现在,它已成为一种品牌名称,代表一系列Windows®身份和访问控制服务。
图1为您展示了ActiveDirectory品牌组成内容的纲要。
Figure 1 ActiveDirectory组件
当前ActiveDirectory技术
先前称谓
说明
ActiveDirectory域服务(ADDS)
ActiveDirectory
我们习惯称为ActiveDirectory。
它为域用户和计算机提供Kerberos和基于NTLM的验证,并管理OU、用户、组、组策略等等。
ActiveDirectory轻型目录服务(ADLDS)
ActiveDirectory应用程序模式(ADAM)
以ADDS所用源代码为基础的高性能LDAP服务器。
ActiveDirectory证书服务(ADCS)
证书服务
使用X.509证书提供强验证。
ActiveDirectoryRightsManagementServices(ADRMS)
权限管理服务器
通过创建受权限保护的文件和容器防止未授权用户使用数字资产,如文档和电子邮件。
ActiveDirectory联合身份验证服务(ADFS)
ActiveDirectory联合身份验证服务
为兼容WS-*的Web服务提供Web单点登录和联合身份验证。
因此,要是为使用合适的术语,应该将这篇文章称为“域服务”介绍。
但为了不产生混淆,还是应该把它叫做自2000年以来深为您称道的ActiveDirectory。
WindowsServer2008中的服务器管理器
对于ActiveDirectory,我首先要讨论的两项改进并不是ActiveDirectory域服务(ADDS)中的更改;而是Windows中的更改,它们会改变您管理ActiveDirectory的方式。
第一项是新的“服务器管理器”,它在您首次启动WindowsServer®2008服务器时就会出现。
(第二项是ActiveDirectory安装,稍后我们将对其进行解说。
)
安装WindowsServer2003后,默认会随后出现“配置服务器向导”,您可能从中对服务器管理器有一定的了解。
但那个版本对于日常管理不是十分有用,我所认识的每个人都选择了“登录时不显示此页”复选框。
WindowsServer2008中的服务器管理器则非常有用(请参阅ByronHynes在本期《TechNet杂志》撰写的文章了解服务器管理器的概况)。
首先,如图2中所示,服务器管理器现在属于Microsoft®管理控制台(MMC)管理单元,而非MicrosoftHTML应用程序(HTA)。
这意味着它具备了用户所熟悉的界面,功能完备且易于自定义。
您可随时使用服务器管理器掌控服务器角色(DNS、ADDS和IIS这类主要服务)和功能(Microsoft.NETFramework、BitLockerTM驱动器加密和WindowsPowerShellTM这类软件组件)的安装。
除了添加和删除软件,服务器管理器还为运行诊断工具(如事件查看器和PerfMon)及系统配置实用工具(如设备管理器和Windows防火墙管理单元)提供了单点联络。
如果您能为ActiveDirectory加入MMC管理单元,例如,用户和计算机、域和信任关系、站点和服务,您将获得一个极为出色的界面,用于执行WindowsServer2008域控制器(DC)的日常管理。
图2 WindowsServer2008中的服务器管理器 (单击该图像获得较大视图)
WindowsServer2008ServerCore
WindowsServerCore是一个新的Windows安装选项,它提供一个精简的Windows,仅包含运行某些关键的服务器角色(包括ActiveDirectory域服务)所必需的组件。
(图3中列出了ServerCore支持的角色。
)虽然ServerCore安装程序有图形化UI,但它并不运行Windows桌面外壳程序,并且几乎略去了所有管理和配置Windows的图形工具(请参阅图4)。
取而代之的是一个命令行窗口,让您对接下来的操作甚感迷茫。
如何更改计算机名称?
如何配置静态IP地址?
图4 在ServerCoreUI中看不到太多的内容 (单击该图像获得较大视图)
在ServerCore最初安装的几分钟,可能会有些混乱。
很快您就会重新熟悉WMIC、NETSH和NETDOM,然后轻松完成所有常规设置和配置任务。
并且,您仍可用注册表编辑器和记事本满足图形工具的需求。
ServerCore的主要优点是移除了许多典型Windows安装需要,而这些核心服务器角色不需要的代码。
这样遭受恶意软件攻击的几率降低了(是件好事),并且DC所需的补丁和重新启动次数也大为减少(更好的事)。
占用的磁盘空间少了许多,从而减小的硬盘要求,可能在一般条件下不算什么,但对于虚拟服务器环境的帮助却很大。
缺少图形化实用工具对ADDS的管理会造成困难吗?
完全不会。
通过在工作站运行实用工具,然后连接网络上的域控制器,您可远程执行绝大部分管理任务。
我期望ServerCore安装最终可以运行大部分DC。
DCPROMO更改
ADDS本身最先引起您注意的更改是新的DCPROMO。
它的作用与WindowsServer2003中的DCPROMO一样,但经过重新编写后更容易使用了。
例如,您不必输入您的域管理员凭证,DCPROMO可以将您的登录凭证提供给服务器。
您也不必通过键入DCPROMO/ADV来取得“高级模式DCPROMO”选项,现在第一个DCPROMO对话框中提供了这些选项的复选框。
高级模式还允许您选择复制所需的现有域控制器。
这样,您就可以从生产DC中转移DCPROMO的复制负荷。
将DC提升到新域或林中时,DCPROMO会为您提供选项,供您设置林和域操作级别,而不是在提升后才准许您设置。
您还可指定想要在提升期间放置DC的ActiveDirectory站点,如果存在无人参与的DCPROMO,这会非常有帮助。
DCPROMO甚至会根据DC的IP地址对最好的站点给出建议。
新的DCPROMO还在一个页面上汇集了所有配置选项,让你在此选择新DC是全局编录、DNS服务器还是只读DC。
您不必转到ActiveDirectory站点和服务管理单元中的偏僻位置将DC标记为GC。
新DCPROMO能恰好在提升开始前在一个响应文件中保存所有DCPROMO设置,这可能是它最出色的功能。
比起手工整理响应文件,这要简单得多,还不容易出错。
您随后可使用响应文件在其他服务器上执行无人参与的DCPROMO。
为了满足脚本痴迷者的愿望,所有DCPROMO选项现在均可通过命令行访问。
只读域控制器
在ActiveDirectory的早期阶段,企业常常在用户可能登录的每个站点均部署域控制器。
例如,银行通常在每个支行都安装DC。
其中的逻辑是每个支行的用户都能登录并访问本地网络资源,即使WAN失效也能如此。
那时,实际的DC安全需求没有被很好地理解。
我看到过控制器堆放在桌子下面,路过的人可以轻易接触到它们。
直到几年后,ActiveDirectory架构师才完全领会到不安全的DC所带来的安全风险,IT组织开始将DC重新放回到中央数据中心。
这以使分支用户必须经由WAN进行验证,但由于提高了安全性,这也是值得的。
WindowsServer2008中的ActiveDirectory通过引进只读域控制器或RODC改变了分支部署的规则。
它们是WindowsServer2008域服务中最大的变化。
ActiveDirectory团队在设计RODC时重点考虑了分支机构的需求,他们的目标是“在分支机构就地解决问题”。
这其中的要点是如果您在实际条件不安全的分支部署了DC,基本上您是无法防止DC(和信任它的机器)受到攻击的,但是您可防止攻击向其他域扩散。
注意,即使这需要对ADDS基础结构做很大的更改,但RODC的实现并不复杂。
您的域必须处于WindowsServer2003的林功能级,并且域中必须至少有一个WindowsServer2008DC。
除了是分支解决方案,在面对互联网的环境中和DC处于网络外围的情况下,RODC同样发挥着重要的作用。
DC离职
在分支机构中,需要考虑几类威胁。
第一类是“DC失窃”,即有人带着DC或DC的磁盘溜之大吉。
这不但会使本地的服务崩溃,攻击者最终还有可能得到域中所有的用户名和密码,并由得以访问保密资源或造成拒绝服务。
为防范这种威胁,默认情况下,RODC不将密码哈希存储在其目录信息树(DIT)中。
因此,用户首次向特定的RODC进行身份验证时,RODC会将该请求发送给域中的完全域控制器(FDC)。
FDC处理该请求,如果验证成功,RODC会签发密码哈希复制请求。
受到攻击的RODC有可能请求敏感帐户的密码哈希。
为防止这种情况发生,域管理员可为每个RODC配置密码复制策略。
该策略由RODC计算机对象的两个属性组成。
msDS-RevealOnDemandGroup属性包含密码缓存于RODC上的组、用户或计算机帐户的独有名称(它们通常是与RODC位于同一站点的用户和计算机)。
msDS-NeverRevealGroup包含密码未缓存于RODC上的组、用户或计算机帐户的独有名称(例如,域管理员帐户绝不应将其密码哈希缓存于RODC上)。
如RODC请求特殊帐户的密码哈希,FDC会根据密码复制策略评估请求,以确定是否应将密码哈希复制给RODC。
如DC失窃,则受攻击的对象仅限于在从网络转移时在失窃RODC上缓存的密码,重要的密码不会受到攻击。
RODC计算机对象包含的其他两个属性可以帮您精准确定应缓存其密码的帐户。
msDS-AuthenticatedAtDC属性列出RODC已验证了密码的帐户,msDS-RevealedList属性命名其密码当前由RODC存储的帐户。
用户和计算机密码哈希并不是DC存储的唯一秘密信息。
KrbTGT帐户包含在每个域控制器上运行的Kerberos密钥分发中心(KDC)服务的密钥。
在通常情况下,域中的每个KDC共享相同的KrbTGT帐户,所以有可能攻击者从窃得的DC上获取这些密钥,然后使用它们攻击域的其余部分。
但是,如果每个RODC均有其自己的KrbTGT帐户和密钥,就可防止这种攻击。
应用程序还经常在DIT中存储密码或其他机密信息。
如果攻击者窃得了DC,可能会得到这些应用程序密码,进而用其访问应用程序。
为防范这类攻击,WindowsServer2008域服务允许管理员定义只读过滤属性集(RO-FAS)。
RO-FAS中的属性绝不会复制到RODC,因此不能从失窃的DC中获取这些属性。
通过设置构架中相应attributeSchema对象的searchFlags属性的第9位(0x0200),您可以将属性指定给RO-FAS。
门内粗汉
分支机构域控制器会面临的另一类威胁是本地服务器管理员通过利用DC的权限提升自己的权限,进而访问其他域资源或发起拒绝服务攻击。
同样,如果本地管理员可以实际接触到域控制器,就很难防范这类攻击。
但是,可以防止攻击者通过使用分支机构的域控制器攻击域中的其他DC。
此域中的完全DC不会将RODC视为域控制器予以信任。
从信任角度讲,FDC将RODC视为域中的成员服务器。
RODC不是企业域控制器或域控制器组的成员。
RODC更新目录中任何内容的能力十分有限,因此即使攻击者获得了RODC帐户,也不会得到很高的权限。
RODC甚至可能不出现在DS复制拓扑中。
由于RODC类似正常的成员服务器,而不象域控制器,知识一致性检查器(KCC,该进程在每个DC上负责计算DS复制拓扑)不会从RODC构建连接对象。
完全DC或RODC都不会试图从RODC进行复制。
另一方面,RODC将创建一个代表源自完全DC入站复制协定的连接对象,但是此连接对象仅存在于RODC副本中,其他DC没有该连接对象的副本。
从复制的角度,RODC像目录对象的RoachMotel。
对象向内复制,但不向外复制。
RODC上的管理角色分离
由本地服务器管理员管理分支机构DC是很寻常的现象,这些管理员做每项工作,从在域控制器上运行备份,到整理键盘。
但是,授予远程站点管理员在域控制器进行常规维护所必需的权限会有安全风险,站点管理员有可能提升其在域中的权限。
RODC通过提供两种管理角色分离来防止此种威胁。
第一种是域管理员可以使用DCPROMO,以正常方式提升RODC,或者使用两个步骤的过程,实际的提升流程安全地委派给分支站点管理员,而不授予任何域管理权限。
域管理员使用ActiveDirectory用户和计算机MMC管理单元预先在域中创建RODC计算机帐户,如图5中所示。
图5 预先创建RODC计算机帐户 (单击该图像获得较大视图)
选择“预创建只读域控制器帐户”会运行精简型DCPROMO,它执行要求有域管理访问权限的所有任务,包括创建计算机帐户、向站点指派RODC、指定DC的角色、指定密码复制策略并定义需要权限来在RODC上完成DCPROMO操作的用户或组。
委派的管理员或组存储在RODC计算机对象的managedBy属性中。
委派的管理员随后可在服务器上运行DCPROMO。
DCPROMO将检测预创建的帐户并将服务器转化为RODC。
以此方式运行DCPROMO不需要域管理员凭据。
RODC提供管理角色分离的第二种方式是在RODC本身创建本地管理角色。
这些角色看起来像机器本地组,它们存储在RODC的注册表中,并且只能在RODC上进行评估。
但是,管理员是使用NTDSUTIL管理本地RODC角色,而不是使用计算机管理MMC管理单元。
图6列出了RODC上的本地管理角色。
这些角色与Windows中的内置组一一对应。
Figure 6 本地RODC管理角色
帐户操作员
Administrators
备份操作员
证书服务DCOM访问
加密操作员
分布式COM用户
事件日志读取器
Guests
IIS_IUSRS
传入林信任构建器
网络配置操作员
性能日志用户
性能监控器用户
Windows2000以前版本兼容访问
打印操作员
RemoteDesktopUsers
Replicator
服务器操作员
终端服务器许可证服务器
用户
Windows授权访问组
RODC特性
由于RODC是只读的,并且其他域控制器不从其进行复制,它们会出现一些异常的行为。
例如,延迟对象(即,因为DC的复制时间不能长于林的生存周期,所以除了特殊的DC,该类对象已从其他位置删除)通常由DC的出站复制伙伴检测。
但是,由于RODC没有入站复制伙伴,因而它们不会检测延迟对象。
RODC不会为LDAP更新(添加、修改、删除、重命名或移动)操作提供服务。
而是返回错误,其中包含对能提供操作的可写DC的LDAP参照。
如果发起LDAP更新的应用程序对参照操作处置不当,应用程序将无法使用。
最后,如果林中其他域的用户试图向RODC验证,RODC必须能够访问其所在域的完全DC来获取信任密码,以便将验证请求正确传递给用户域中的DC。
如果在其域中RODC和完全DC之间的网络连接不可用,验证将失败。
精准密码策略
能在域中定义多个密码策略可能是WindowsServer2008ADDS最受欢迎的功能。
您可能知道,在Windows2000和WindowsServer2003ActiveDirectory中,每个域仅支持一个应用于域中所有安全主体的密码策略。
如果一组特定用户需要一个单独的密码策略,您必须创建一个单独的域。
但现在WindowsServer2008ADDS中新增了一项功能,称为精准密码策略,您可以用它在域中定义多个密码策略。
新策略使用组将精准的密码策略应用于用户。
您先在CN=密码设置容器、CN=系统、DC=<域>容器中创建新msDS-PasswordSettings对象来定义精准密码策略。
msDS-PasswordSettings对象(简称PSO)包含与“组策略”中的密码策略设置平行的属性(请参见图7)。
Figure 7 mSDS-PasswordSettings对象中的属性
属性
说明
mSDS-PasswordReversibleEncryptionEnabled
指示是否使用了可逆加密对密码进行加密的布尔值。
mSDS-PasswordHistoryLength
密码历史记录中维护的条目数量。
mSDS-PasswordComplexityEnabled
指示是否启用了密码复杂性限制的布尔值。
mSDS-MinimumPasswordLength
定义最短密码长度的整数。
mSDS-MinimumPasswordAge
指示可以更改密码前其最短使用期限的INTEGER8。
mSDS-MaximumPasswordAge
指示必须更改密码前其最长使用期限的INTEGER8。
mSDS-LockoutThreshold
指示锁定前失败登录数目的整数。
mSDS-LockoutObservationWindow
指示纳秒数的INTEGER8,为触发锁定,必须在此间隔内连续出现登录失败。
mSDS-LockoutDuration
指示帐户锁定纳秒数的INTEGER8。
随后,您可通过将用户或组名称添加到PSO的多值mDS-PSOAppliesTo属性中为用户或组指派密码策略。
一旦您接受不向OU应用密码策略这一观念,会非常易于实施。
但在其他方面还有一些复杂。
用户通常是许多组的成员。
因此,如果由于这些组成员关系导致了用户产生多项相互冲突的密码策略,那又将如何呢?
在这种情况下,ADDS使用优先级评估来确定应用哪个密码策略。
其工作原理如下所示:
1.如果密码策略直接链接用户对象(而不是通过组成员关系),将应用该密码策略。
2.如果多个密码策略直接与用户链接,将应用优先权值最小(由PSO的msDS-PasswordSettingsPrecendence属性值确定)的策略。
3.如果多个PSO的优先权相同,将应用objectGUID值最小的那个PSO。
4.如果没有PSO与用户直接链接,ADDS将评估与用户组相链接的PSO。
如果有多个PSO,将应用msDS-PasswordSettingsPrecedence属性中值最小的那个PSO。
5. 如果多个PSO的优先权值相同,将应用objectGUID值最小的那个PSO。
6.如果没有PSO与用户相关联,将使用域密码策略。
用户对象有一个名为msDS-ResultantPSO的新属性,协助精确排序应用给用户的PSO。
此属性包含控制该用户密码的PSO的独有名称。
精准密码策略赋予您更多的灵活性,但您必须仔细管理并简化这些策略。
要定义精准密码策略,没有现成的实用工具,您需要使用ADSIEdit或查找第三方实用工具。
可重启的ActiveDirectory目录服务
每次关闭域控制器进行DIT维护时,都会在网络服务层造成一些中断。
WindowsServer2008DC有一项新功能,可以让您不必完全关闭DC就行停止目录服务。
在WindowsServer2008DC上使用NETSTOPNTDS命令来中止ADDS。
执行此操作时,DC上的本地安全机构(LSASS)继续运行,但它会卸载所有与ADDS相关的DLL,因此无法再使用目录服务。
LSASS随后将域验证请求转发给DC,其操作方式与成员服务器并无二致。
由于卸载了处理ADDS的DLL,您可以应用与ADDS相关的补丁程序,或执行离线DIT碎片整理。
ADDS的启动与NETSTARTNTDS一样简单。
但是,从系统状态备份恢复DIT仍需要您重新启动,然后进入目录服务修复模式。
您需要知晓目录服务并不是真正的Windows服务。
它仍是LSASS的一个构成组件,不关机,您无法停止LSASS。
但是在WindowsServer2008中启动和停止目录服务非常便利。
备份和恢复
WindowsServer2008中对整个备份和恢复机制进行了修改。
这里我不想一一累述,但新的WindowsServer备份有一些更改影响到了ADDS。
WindowsServer备份是一个基于卷的备份解决方案,这意味着它一次备份整个磁盘卷。
另外,它仅备份到磁盘(或类似磁盘)设备,不支持磁带。
WBADMIN命令行备份实用工具有一个系统状态备份选项。
使用WBADMINSTARTSYSTEMSTATEBACKUP命令,您现在可以创建备份映像,其中包含在域控制器恢复ActiveDirectory所需的全部重要系统文件。
这样,备份集中最多可以有五个卷,但每个卷只包含恢复系统状态所需的文件。
更有些恼人的是,从WindowsServer2008的RC0起,您无法对网络共享执行系统状态备份。
您必须有可供系统状态备份映像使用的本地磁盘卷,且该卷不能是系统状态备份卷集的一部分。
对于您要进行系统状态备份的每个域控制器,您可能必须向其新添加一个磁盘卷。
系统状态还原非常简单。
只需将DC引导为目录服务还原模式,然后运行WBADMINSTARTSYSTE
升级会员 