1. Location:
  2. / Computer learning >> Datamaskin læring >> system >> windows server >> windows server 2008 >>

Windows Server 2008 Domain Services - Del 1

Hvis du ønsker å lese neste del i denne artikkelserien kan du gå til Windows Server 2008 Domain Services - Del 2: Active Directory Federation Services
< .no>

Active Directory Domain Services (tidligere kjent som Active Directory) og Identity Management i Windows Server 2008 nå dekker flere ulike tjenester:

  • Active Directory Domain Services (AD DS) < LI> Active Directory Federation Services (AD FS)
  • Active Directory Lightweight Directory Services (AD LDS)
  • Active Directory Rights Management Services (AD RMS).
  • Active Directory Certificate Services (AD CS)

    Hver tjenesten utgjør en Server Role, et nytt konsept i Windows Server 2008.

    Hva er nytt i Windows Server 2008 Anmeldelser

    Det har vært en rekke nye egenskaper og funksjoner lagt til Active Directory i Windows Server 2008.

    I denne artikkelen vil jeg fokusere på Active Directory Domain Services (AD DS) i Windows Server 2008, som inkluderer flere forbedringer og nye funksjoner i forhold til Windows Server 2003.

    Her er en kort oversikt over de viktigste endringene og ny Domain Services-funksjonalitet, som jeg vil fokusere på i denne artikkelen:

      < LI> Active Directory Domain Services - Read-Only Domain Controllers
      Active Directory Domain Services - startet på nytt Active Directory Domain Services
    • Active Directory Domain Services - finkornet passordpolicyer

      Active Directory Domain Tjenester

      The Domain Services funksjonaliteten er fremføring og oppdatert i Windows Server 2008, sammen med en forbedret installasjonsveiviseren (Server Manager). Dette gir også nye behandlingsalternativer for AD DS funksjoner som Read-Only Domain Controllers (RODCs).

      Active Directory Read-Only Domain Controller (RODC) er en ny type domenekontroller i Windows Server 2008. Med en RODC kan organisasjoner enkelt distribuere en domenekontroller på steder hvor fysisk sikkerhet ikke kan garanteres.

      RODC hovedformål er å forbedre sikkerheten i avdelingskontorer. I avdelingskontorer er det ofte vanskelig å få den fysiske sikkerheten som trengs for en IT-infrastruktur, spesielt for domenekontrollere som inneholder sensitive data. Ofte en DC kan bli funnet under et skrivebord på kontoret. Hvis noen får fysisk tilgang til DC, er det ikke vanskelig å manipulere systemet og få tilgang til dataene. Den RODC løser disse problemene.

      Det vesentlige av RODC er:

      • Read-Only Domain Controller
      • Administrative Role Separation
      • Legitimasjons Caching
      • Read-Only DNS

        Read-Only Domain Controller

        RODC innehar en ikke-skrivbar og skrivebeskyttet kopi av Active Directory-database med alle objekter og attributter. RODC støtter bare enveis replikering av Active Directory endringer, noe som betyr at RODC replikerer alltid direkte med domenekontrollere i HUB nettstedet


        Figur A Bilde:. Replication til RODC

        RODC vil utføre normal innkommende replikering fra HUB stedet for Active Directory og DFS endringer. Den RODC vil motta alt fra Active Directory, men sensitiv informasjon, ved standardkontoer som Domain Admins, Enterprise Admins og Schema Admins er ekskludert fra replikering til RODC.

        Hvis et program trenger skrivetilgang til Active Directory, sender RODC en LDAP henvisning respons som automatisk omdirigerer programmet til en skrivbar domenekontroller, ligger i hoved HUB nettstedet. Den RODC er også i stand til å kjøre Global Catalog rolle for raskere pålogging hvis nødvendig.

        Dette er en stor fordel for avdelingskontorer, fordi hvis noen får fysisk tilgang til serveren eller stjeler det, kan personen være i stand til å knekke passord på brukerkontoene i AD, men ikke noen av de sensitive regnskap -. siden de ikke er plassert på RODC

        Dette betyr også at de sensitive admin kontoer er ikke i stand til å logge inn på RODC hvis koblingen WAN til hoved HUB nettstedet er utilgjengelig.

        For å implementere RODC i miljøet, trenger du ditt domene og skog på Windows 2003-modus Server og DC kjører PDC emulator må kjøre Windows Server 2008.

        Administrative Role Separation

        Du kan delegere lokale administratortillatelser for RODC server til alle brukere i Active Directory. Delegert brukerkontoen vil nå være i stand til å logge inn på serveren og gjør serveren vedlikeholdsoppgaver, uten å ha noen AD DS tillatelser og brukeren ikke har tilgang til andre domenekontrollere i Active Directory, er dette måten sikkerhet ikke kompromittert for domenet.

        Legitimasjons Caching

        Som standard RODC ikke lagrer noen bruker eller datamaskin legitimasjon, bortsett fra datamaskinen hensyn til RODC seg selv og en spesiell "krbtgt" konto som hver RODC har.

        RODC Imidlertid kan konfigureres til å cache passord, er dette håndteres av Password Replication personvern. Passord Replication Regler avgjør om replikering fra skrivbar DC til RODC er tillatt for brukeren eller data legitimasjon. Hvis en bestemt bruker har lov, er brukerens legitimasjon bufret på RODC ved innlogging.

        Når en konto er vellykket autentisert mot RODC, prøver RODC å kontakte en skrivbar domenekontroller på HUB nettstedet. Hvis et passord ikke er lagret, vil den RODC videreautentiseringsforespørsel til en skrivbar DC. DC mottatt anmodningen erkjenner at forespørselen kommer fra en RODC og sjekker med passordet Replication policy.

        Fordelen med Credential Caching er som hjelper til med passordbeskyttelse ved avdelingskontorer og minimerer eksponering av legitimasjon, i Dersom RODC er kompromittert. Ved bruk Legitimasjons Caching og hvis en RODC blir stjålet, kan brukerkontoen og datamaskinen konto har sine passord tilbakestille, basert på RODC de tilhører.

        Legitimasjons Caching kan stå ufør og dette vil begrense eventuell eksponering , men det vil også øke WAN trafikk, siden alle autentiseringsforespørsler vil bli videresendt til de skrivbare DC i hoved HUB nettstedet.

        Read-Only DNS

        I tillegg til RODC, er det også mulig å installere en DNS-tjeneste. En DNS-server som kjører på en RODC støtter ikke dynamiske oppdateringer. Men kundene er i stand til å bruke DNS-serveren til å spørre etter navn oppløsning.

        Siden DNS er skrivebeskyttet, klienter kan ikke oppdatere poster på det. Men hvis en klient ønsker å oppdatere sin egen DNS-posten, vil RODC sende en henvisning videre til en skrivbar DNS. Singelen oppdatert posten vil etterpå bli kopiert fra skrivbar DNS serveren til DNS server på RODC. Dette er en spesiell enkelt objekt (DNS record) replikering, for å holde RODC DNS-serverne up-to-date og gi klientene i avdelingskontoret raskere navneløsing.

        startet på nytt Active Directory Domain Services
        Med Windows Server 2008 Active Directory Domain Services (AD DS) er nå Stoppable og startet på nytt. Dette betyr at du kan stoppe AD DS til å utføre oppgaver og vedlikehold, som i tidligere versjoner av Windows Server krevde en omstart inn Directory Services Restore Mode (DSRM). Dette er en utmerket funksjon for scripting og automatisering av disse oppgavene

        De mulige tilstander for AD DS er:.

        • AD DS - startet
        • AD DS - stoppet
        • AD DS Restore Mode (DSRM)

          Det er en fordel at oppgaver som tidligere krevde en omstart for å ta AD DS offline er nå tilgjengelig direkte fra konsollen. Dette gir administratorer en viss fleksibilitet til å opprettholde og utføre offline AD DS operasjoner raskere.

          finkornet passordpolicyer

          Før Windows Server 2008, kan du bare ha ett passord og konto lockout policy per domene, noe som gjelder for alle brukere i domenet. Som noe nytt i Windows Server 2008 AD DS, er det nå mulig med finkornet passordpolicyer å definere forskjellige sett med passord eller lockout politikk til ulike sett av brukere i samme domene.

          Med finkornet Passord Politikk Følgende innstillinger er tilgjengelige:

          Passord Regler:


            Håndheve passord historie
          • Maksimal passordalder
          • Minimum passordalder
          • Minimum passordlengde
          • passord må oppfylle kravene kompleksitet
            Lagre passord ved å bruke reversibel kryptering

            Lockout Regler:

            • konto lockout varighet
            • konto lockout terskelen
            • Reset konto lockout etter < .no>

              finkornet passordpolicyer kan brukes på brukerobjekter og globale sikkerhetsgrupper. Det er ikke mulig å bruke dem i organisasjonsenheter.

              For å bruke finkornet passordpolicyer domenet funksjonelt nivå må være Windows Server 2008.

              Konklusjon

              Windows Server 2008 Active Directory Domain Services (AD DS) har noen flotte nye egenskaper og funksjoner, som kan optimalisere mye domeneadministrasjon. Å oppsummere;

              For avdelingskontor scenarier Read-Only Domain Controller (RODC) er den desidert største nye funksjonen i Windows Server 2008, er det en stor forbedring av sikkerheten for organisasjoner som kjører Domain Controllers på avsidesliggende steder.

              finkornet passordpolicyer er en ny funksjon som gir ekstra fleksibilitet i alle domener med evnen til å ha flere passord og lockout politikk.

              Sammen de nye funksjonene, øke sikkerheten og fleksibilitet i Active Directory.

              Hvis du ønsker å bli varslet når Peter Schmidt utgivelser neste del av denne artikkelserien kan du
              melde seg til WindowsNetworking.com Sanntid artikkelen oppdatering nyhetsbrev
              .

              Andre ressurser om Windows Server 2008

              Microsofts Windows Server 2008 hjemmeside

              Hvis du ønsker å lese neste del i denne artikkelserien kan du gå til Windows Server 2008 Domain Services - Del 2: Active Directory Federation Services Anmeldelser