|
AD从Server 迁移到Server 后带来的不仅仅是性能上的提升对管理者来说最享受的是管理与维护中的便捷与高效Server 潜力无限下面笔者与大家分享个可提升AD管理效率与安全的技巧 不重启DC快速进入AD脱机模式 做过AD(活动目录)的人都知道基于Windows Server /的DC(域控制器)如果要脱机维护AD就必须重启DC然后进入AD的还原模式才可以这样做其弊端是显而易见的AD下的诸如RIS服务文件服务打印服务等都会受到影响而不能运行在Windows Server 中我们可以不需重新启动DC就可以停止AD服务进而执行只有在AD脱机脱机状态下才可执行的操作而对其他服务没有任何影响 Windows Server 中停止AD服务和停止其他任何服务一样在命令行(cmd)下执行net stop ntds就可停止与AD服务当然也会停止与AD相关的服务诸如文件复制服务站点间通信DNS 服务器等但对整个服务器的影响不大至少比重启DC要迅捷快速得多(图) 图 Windows Server 中停止AD服务 AD服务停止后我们就可以执行某些只能在脱机模式下才能进行的操作比如运行ntdsutil命令对AD数据库进行完整性验证碎片整理用copy命令移动数据用del命令清除日志等操作了等脱机维护任务完成后我们只需在命令行中执行net start ntdsAD服务又重新启动是否很快捷呢?(图) 图运行ntdsutil命令对AD数据库进行完整性验证 快速找到并恢复某个AD备份 大家知道在基于Windows Server /的DC中如果要恢复某个AD备份需要从多个备份中筛选进行恢复往往我们需要反复尝试多次才能实现我们所需要的恢复在Server 中利用AD的DMT(AD数据库管理工具)工具就非常方便地利于我们查看备份的时间段并灵活地选择所要恢复到的时间段下面我们以AD数据库快照的形式进行查看和演示 ()创建快照 我们需要用到Ntdsutilexe命令这是一个为AD提供管理设施的命令行工具它可以执行AD数据库的维护管理和控制单个主机操作创建应用程序目录分区以及删除DC中残留的元数据在命令行下执行Ntdsutilexe根据命令提示在ntdsutil后输入snapshot申明快照在快照后输入activate instance ntds创建的活动实例为ntds在快照后输入create创建快照稍等片刻成功创建快照集{cdbcbcafcc}这是一个位的识别码是随机的且具有唯一性(图) 图 snapshot申明快照 ()加载快照 继续在上面的命令提示符下输入mount {cdbcbcafcc}装载刚才创建的快照提示{cdbcbcafcc}已作为 C:\$SNAP__VOLUMEC$\装载此时不要关闭该命令行然后再打开一个命令行(cmd)输入输入dsamain dbpath C:\$SNAP__VOLUMEC$\windows\ntds\ntdsdit ldapport 加载只读数据库的快照为加载的端口号(图) 图 加载快照 ()查看AD实例 执行开始→管理工具→Active Directory 用户和计算机在DC域上点击右键选择更改域控制器打开更改目录服务器对话框点选此域控制器或 AD LDS实例可以看到当前AD的实例的状态我们可使得刚才创建的快照实例只需输入类似DC:端口(本例为:)即可(图) 图 AD的实例的状态 ()删除快照 运行命令提示符工具输入ntdsutil进入命令行输入snapshot进入快照操作输入list mounted可以查看刚才创建的快照然后通过delete删除快照(图) 图 删除快照 用审核策略加强AD管理 我们知道在Windows Server 以前的Sever版本中当AC启用审计策略后会产生大量的事件日志造成DC性能的降低和磁盘空间的负担而且也不能记录某个属性更改前后的值二Server 的的审核策略非常强大特别是针对AD做了很多优化和扩展其审计更为详细 笔者认为对于ADServer 的审核策略中针对事件记录诸如精确记录属性修改前后的值记录修改时间记录修改者记录修改对象这几项非常实用有助于管理者对DC的安全管理和维护下面我们结合实例演示一个新的审核策略的详细配置过程 首先在命令行下输入命令auditpol /set /subcategory:directory service changes /success:enable以启用策略(提示上面的命令适合于英文版的Server 如果你是中文版的可输入命令AuditPol /set /subcategory:目录服务更改 /success:enabledirectory server changes如果还不可以的话我们用位ID来代替实例名我们可以执行命令AuditPol /backup/file:c:\testcsv将审核策略保存为testcsv然后用记事本打开查看到与目录服务更改对应的ID然后执行命令比如AuditPol /set /subcategory:{CCECAEDBED} /success:enable即可)然后输入命令gpupdage更新组策略(图) 图 用审核策略加强AD管理 然后开始→管理工具→Active Directory用户和计算机打开AD用户和计算机管理器找到你需要启用审核策略的OU(组织单元)比如ctocio右键单击选择属性打开其属性对话框在安全标签下点击高级按钮在打开的对话框中点击审核标签点击下面的添加按钮输入Authenticated Users或者其他对对象然后退回到审核项目窗口在应用到下拉列表中选择后代 用户 对象(或者其他)然后勾选访问下的写入全部属性中的成功最后依次退出设置窗口(图) 图 用审核项目 为了验证效果我们在ctocio OU中创建一个用户右键单击选择新建→用户根据向导新建用户wf然后开始→管理工具→事件查看器可在安全日志中看到与目录服务更改相关的内容查看详细信息administrator用户在的DC的ctocio的OU中创建了wf用户(图) 图 安全审核 总结Active Directory作为微软在局域网与资源管理等方面的解决方案在Windows Server 中其优越性得到进一步的体现特别值得一提的是微软对AD的证书服务进行了重新设计它与组策略设置密切配合提供更容易的证书注册发现和存储作为一款比较新的服务器平台Server 还有许多新的功能与技巧等待我们去利用和挖掘 |
