|
|
|
|
|
|
|
Server2008搶鮮報
Server 2008的AD目錄服務改變
文/圖 謝合宜.責任編輯/何信達
話說明年二月底要正式上市的Windows Server 2008,除了前面幾期我們所說的新功能改變與加強,那最重要的Active Directory目錄服務的部份到底有哪些改變?容我小心地、偷偷地跟你們說:並沒有!但真要說沒有嗎?其實還是有一些小的改變,只是這些改變並不是那麼大得會讓人特別注意,就讓我們來看看到底有哪些改變吧!
|
|
|
首先,我們可以注意到的應該就是專有名詞的名稱變動,這可以從Server Manager很清楚看到(圖1)。與AD有關的名稱變動如下:
- 「Active Directory Services」改為「Active Directory Domain Services(AD DS) 」
- 「Active Directory Application Mode (ADAM)」改為「Active Directory Lightweight Directory Service(AD LDS)」
- 「Active Directory Federation Services (ADFS)」名稱未變
- 「Certificate Services」改為「Active Directory Certificate Services(AD CS) 」
- 「Windows Rights Management Services (RMS)」改為「Active Directory Rights Management Services(AD RMS)」
AD DS的功能調整
AD目錄服務的變動,當然首先是會遇到的一定是Schema的改變,所以如果要將Windows Server 2003網域控制站升級到Server 2008,必須先進行Schema的調整修改(使用Adprep)。而有關於群組原則(Group
Policy)的改變我們已經在之前的Windows Vista文章中提過,所以對於新的ADMX/ ADML檔案與更多的內容設定就不再多聊。在這裡就談談一些新的改變。
- ‧Auditing
- Fine-Grained Password Policies
- Read-Only Domain Controller (RODC)
- Restartable Active Directory Domain Services
- AD Snapshot Viewer
- 管理工具的介面
AD DS的稽核變動
稽核的部份主要新增了一個叫做 [Directory Services Changes]的子目錄,一樣我們可以透過群組原則中的稽核原則來設定啟用稽核,不過要進行更細部的稽核設定就得使用從Windows
Vista開始提供的新工具程式——「Auditpol . e x e 」(Windows Server 2008似乎參數使用跟Vista不太一樣,如圖2)。先透過[
/list /subcategory:* ]列出可以使用的稽核子目錄,然後透過[ /set ] 來進行設定即可。稽核原則中的[Audit Directory Service
Access]是稽核AD物件被存取的事件成功或失敗情形,當物件的資訊與屬性被更動時,以前只能紀錄到有這樣的事件發生,而現在可以透過[Directory Services
Changes]子目錄來紀錄到變動過程新舊值的情形。這樣的稽核功能一樣也適用於AD LDS。當然透過「Auditpol.exe」,我們也可以發現[Audit Directory
Service Access] 主要分成四個子目錄:
- Directory Service Access
- Directory Service Changes
- Directory Service Replication
- Detailed Directory Service Replication
圖1:Server Manager的畫面。
Fine-Grained Password Policies
記得Windows 2000/2003的帳戶密碼原則吧?我們可以透過密碼原則與帳戶鎖定原則來規範使用者的密碼使用方式,例如符合複雜性、每隔三十天必須更新密碼以及登入失敗三次帳戶就鎖定無法使用等等安全性的控管。不過,很多管理員並不知道這樣的設定值必須設定在網域層次才會生效(透過預設的Default
Domain Policy原則設定),設定在組織單位(OU)是無效的,更無法以使用者帳戶或群組來進行設定!可是,企業內部的安全管制規範可能需要不同的部門(或分公司)使用不同的帳戶密碼原則!
圖2:Auditpol的使用。
圖3:Fine-Grained Password Policies設定。
Windows Server 2008開始提供了新的 [Fine-Grained Password Policies]來處理這樣的需求!要使用這個功能必須網域的功能等級先提昇為Windows
Server 2008等級,接著透過AD網域中新的[Password Settings Container]的位置來進行設定,這個位置可使用[AD Users
and Computers]管理工具,使用[Advanced Features]來開啟System位置就可看到,不過要設定並不是使用[AD Users and
Computers],而是要利用[Adsiedit. msc]或[Ldifde]工具才行!首先開啟[Adsiedit.msc]連結到網域,展開網域的System節點來找到[Password
Settings Container],接著按滑鼠右鍵新增名為 [Password Settings]的Object (PSO),給予適當而清楚的命名,接下來需要輸入表1幾個屬性資料。
新增完成的[Password
Settings Object (PSO)]就可以準備套用,[Fine-Grained Password Policies]只能套用到使用者帳戶或通用安全群組(Global
security group),這是在設定時需要特別注意的。當然會建議大家可以利用新增特別的通用安全群組與適當成員設定來使用比較方便。套用的方式是透過P S O
的 [msDS-PSOAppliesTo]屬性來進行設定,這個設定方式可以使用[Adsiedit.msc]或[AD Users and Computers](圖4)。而使用者與群組帳戶物件則新增了一個屬性[msDSPSOApplied]
好讓我們瞭解套用的情形。
圖4:Password Settings Object的套用設定。
另外要注意,因為是透過PSO物件的屬性設定來套用,所以極可能會有衝突的情形產生(多個PSO設定到單一物件),因此PSO有一個重要屬性[msDS-PasswordSettingsPrecedence]!這屬性是一個1以上的整數值,越低的數字代表有較高的排序(優先權),例如有兩個PSO分別的屬性值為10與20,10的優先權比較高因此才會真的套用到物件上;如果屬性值一樣的話呢?那就以PSO的GUID比較小的會套用!另外如果有分別的PSO設定到使用者帳戶與使用者所隸屬群組的話,則套用到使用者帳戶的才是結果PSO!因為[Fine-Grained
Password Policies] 的套用有點複雜,所以會建議管理員要小心使用[msDS-PasswordSettingsPrecedence]屬性,並且可以利用使用者帳戶物件的新屬性
[msDS-ResultantPso]來確實確認所套用的情形。或者請善用原則結果組工具(RSoP,Resultant Set of Policy)來進行分析確認。對於[Fine-Grained
Password Policies]有興趣的話,可以透過Microsoft的Windows Server 2008 Technical Library找到Stepby-
step文件(http://technet2.microsoft. com/windowsserver2008/en/library/2199dcf7-68fd-4315-87cc-
ade35f8978ea1033.mspx)。
Read-Only Domain Controllers (RODCs)
RODC是Windows Server 2008所提供新的網域控制站種類,用途是讓管理員能在實體伺服器安全無法確認的分支辦公室擺放適當的網域控制站來驗證使用者身份與授權管理(圖5)。
圖5:RODC的使用情境。
RODC的建立需先處理幾件事:
1.確認樹系(Forest)功能等級為Windows Server 2003。
2.確認RODC所在網域的PDC模擬操作主機為Windows Server 2008作業系統。
3.確認有Windows Server 2008的GC Server靠近RODC所在的AD站台。
4.先執行Windows Server 2008光碟上的 Adprep /rodcprep。
接著就可以使用完整功能的Windows Server 2008或Server Core版本來建立RODC,建立方式可以透過[Dcpromo](AD
安裝精靈) 或先利用[ AD Users and Computers]建立電腦帳戶。建立時可以選擇是否也建置為DNS或GC伺服器(圖6),接著的畫面也會詢問是否指定RODC的個別管理員(圖7
)。
圖6:RODC的建立畫面。
圖7:RODC的管理權限指定。
RODC所提供的重要特徵為:
1.唯讀的AD DS資料庫,如此可以避免分支辦公室管理員的不小心管理動作。
2.單向的資料庫複寫,從其他網域控制站變更的資料會複寫過來而已,複寫網路流因此減少,也可減少分支辦公室受到惡意入侵所引起的損害。
3.Read-only的DNS,RODC一樣可以建置成為DNS與GC Server,不過一樣是只有唯讀的資料庫。
4.管理員角色的分割,也就是RODC可以有獨立的管理員指定方式。
5.暫存的使用者帳戶資訊,RODC預設並沒有使用者與電腦帳戶的資訊,而是在第一次進行帳戶驗證的時候發出請求給其他非 RODC的Windows Server 2008網域控制站,網域控制站再透過Password
Replication Policy的設定檢查是否可以將帳戶資訊複寫過去讓RODC暫存,RODC有暫存之後就可以直接服務使用者登入功能。如此我們可以控制只有分支辦公室的小數量帳戶資訊才會儲存在RODC上,因此如果
DODC在沒有完整安全保護的辦公室遭到安全破壞事件時也只有很少量的帳戶資訊洩漏而已。而Password Replication Policy的設定是在RODC的電腦帳戶屬性中設定(
圖8) 。
圖8:RODC的Password Replication Policy設定。
Restartable Active Directory Domain Services
記得要對AD資料庫進行維護、還原的話要如何處理嗎?首先要重新開機然後進入進階開機選項的目錄服務還原模式(D i r e c t o r y Service Restore
Mode),此時AD DS的功能才是停止的狀態,也才能對AD資料庫進行處理(如離線壓縮或移動目錄位置)。現在Windows Server 2008的網域控制站可以直接透過服務(Services)管理工具直接將
AD DS服務停下來了!所以網域控制站將有三個可能的狀態:
1.[AD DS Started],網域控制站正常運作中,提供AD DS相關功能在網路上使用。
2.[AD
DS Stopped],網域控制站功能停止,純粹為成員伺服器的狀態,可以開始進行AD資料庫處理。
3.[Directory Services Restore Mode],跟以前一樣囉。
AD DS: Snapshot Viewer
我想很多人第一次看到這個功能的名詞一定會搞不清楚到底是幹麼的!其實這個功能就類似Windows Server 2003的磁碟陰影複製(Shadow Copy)功能,管理員可以透過拍取AD
DS的狀態快照(Snapshot),來紀錄某個時間點的AD DS狀態,讓我們可以在AD D S 發生資料被刪除或修改意外時,經由 [Snapshot Viewer]來進行快照的比對,如此可以方便決定要透過哪個資料的備份來進行還原動作。[Snapshot
Viewer]不能用來還原被刪除或修改的物件,可是可以方便讓我們用來判斷資料變動的情形! 因為以前利用 [Directory Services Restore
Mode]是無法確定事先所備份出來的AD DS資料庫的情形。這個功能在Windows Server 2008 Technical Library網站稱為[Active
Directory database mounting tool]。使用過程要透過 [Ntdsutil Snapshot]指令來建立(create)與列出(list)、掛載(mount)所需要的Snapshot,並且可以搭配新的Task
Scheduler來進行定時建立快照動作。
圖9:AD DS Snapshot操作。
圖10:AD Users and Computers畫面。
建立好快照後在利用mount指令將快照掛載成另一份AD DS資料庫,也就是說現在一台Windows Server 2008網域控制站可以有多個AD
DS資料庫例項(instance),不同例項透過不同LDAP Port來連結查看!掛載完成就可以在磁碟機代號中看到一個很特殊名稱的資料夾位置。接著使用[Dsamain]將AD
DSSnapshot建立成為一個LDAP Server(使用非port:389),如圖9的操作。接著最後透過LDP工具或[AD Users and Computers]來連結所建立起來LDAP
Server 即可查看某個時間點所建立拍下來AD DS快照情形,透過這樣的快照檢視就可以查看AD DS的資料變動情形。這個[AD DS:Snapshot Viewer]的操作有點複雜,請各位讀者可以參考下列網址的 Step-by-step文件來操作。(http://technet2.microsoft.com/windowsserver2008/en/library/4503d762-0adf-494f-a08b-cf502ecb76021033.mspx)
管理工具的介面
新的Windows Server 2008的AD DS功能有新的調整與改變,當然管理工具的使用操作也會跟著變動與更加便利。首先會看到的當然就是AD DS安裝精靈(Dcpromo)的介面改變,目前已經不必透過/adv的參數來啟動進階功能,而是在畫面直接勾選及可。當然精靈也會提供相關RODC的建置設定選項。而AD的管理工具也有一些小調整,如[AD
Users and Computers]中網域控制站的電腦帳號會顯示站台與角色(如GC)的資訊,網域控制站的屬性中也會有個[ N T D S Setting]的按鈕好顯示資料庫複寫的關係;而透過[Advanced
Features]來看物件的屬性設定的話,就會發現有關[Certificate ] 、 [Password Replication(for
RODC)]與更進階的[Attribute Editor]標籤,相信這些可以讓各樣的網路管理工作更加簡便(圖11)。
圖11:介面的改變。
其他的改變
除了AD DS的功能調整,其實還有個很重要的部份得知道:就是備份、還原的處理不一樣了!Windows Server 2008已經將原來的 NTBackup改成更強的Windows
Server Backup(需先透過Server Manager的Features 來新增安裝) ,所以可以進行除了System State Data備份之外的Full
Server Backup。而還原的部份也可以搭配新的Windows RE 架構來進行。如同一開始所說,Windows Server 2008 的AD DS改變並不多,我還比較期待在Windows
Vista就有另外提供的MDOP中的Advanced Group Policy Management Console 能夠直接加到Windows Server
2008。沒關係,目前還在測試RC的階段,就請大家多看看Microsoft所陸續提供出來的Windows Server 2008相關文件囉。
|
|
|
【原文刊載於RUN!PC雜誌:2007年十二月號】 |
|
|
|
更正啟事 |
 |
RUN!PC 七月號 (第174期)
˙第47頁「UTM產品一覽」表中內容,NUSOFT於「其他產品特色」欄,應加註 「IM/P2P控管等」。
|
|
|