域是微軟局域網(wǎng)解決方案的重要組成部分,幾乎每一個Windows Server版本的發(fā)布都會在域方面有非常大的改進和提升��。作為微軟最新版本的Windows Server 2008會帶給我們什么樣的域體驗?zāi)?下面筆者結(jié)合實例����,和大家分享幾個基于Windows Server 2008域的新應(yīng)用���,希望這些新特性會帶給大家不同的域管理體驗�。
1�、部署只讀域控制器
域控制器(DC)的安全,特別是其物理安全讓管理員頗為擔(dān)心����。在Windows Server 2008中新增了一種特殊的域控制器即只讀域控制器(RODC),借助RODC我們可以在無法保證物理安全性的網(wǎng)絡(luò)節(jié)點中部署只讀域控制器��。這樣不僅能夠提升其安全性���,而且可以實現(xiàn)更快的登錄以及更加有效地訪問網(wǎng)絡(luò)資源�。
在Windows Server 2008中要部署一臺只讀域控制器(RODC)是非常簡單的�。比如我們要將jp.com域中的一臺Windows Server 2008主機部署成只讀域控制器可以進行這樣的操作:首先以管理員用戶登錄該主機,然后以Administrator身份允許命令提示符,接下來執(zhí)行命令“dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:Woodgrovebank.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!”即可��。其中/replicadomaindnsname:Woodgrovebank.com”指定域名����,“/safemodeadminpassword:ctocio!”設(shè)置域控制器管理員的密碼為ctocio!�。
需要說明的是,在安裝獲得目錄(AD)的過程中還將同時安裝并配置DNS,以及為活動目錄的恢復(fù)模式設(shè)置管理員密碼。另外��,在安裝過程中���,一定要主要查看屏幕中木馬復(fù)制策略的輸出���。除此之外,其它的設(shè)置我們可以保持默認�。在活動目錄安裝完畢后,系統(tǒng)將會重新啟動��,系統(tǒng)重啟后該主機就成為一臺只讀域控制器(RODC)��。
2�����、管理角色的分離
管理角色分離是只讀域控制器(RODC)的一個重大的特征�,我們可以指定一個域用戶到RODC上的角色����,而而無需授予該用戶對該域或其他域控制器的任何用戶權(quán)限�����。其實��,這些角色非常類似于本地組�����。通過這一功能��,我們可以為分支機構(gòu)的RODC指派管理員進行日常維護(如磁盤碎片的整理等)���,而不需要給他域管理員用戶名和密碼。這么做的好處是非常明顯的:首先��,可以解放管理員�����,實現(xiàn)DC管理任務(wù)的分配;另外���,會大大地提升域的安全性���,因為授權(quán)用戶只能執(zhí)行指定的操作��,而不會危害到域中其他部分的安全�����。同時�����,也避免了時刻使用管理員用戶進行DC管理因誤操作而造成破壞的風(fēng)險�。
我們在一臺只讀域控制器(RODC)上執(zhí)行管理角色的分離操作:以管理員身份登錄該主機����,運行管理員身份的命令提示符,接下依次執(zhí)行如下命令:
NTDSUTIL
Local Roles
Add Woodgrovebank.com\jp Administrators
Show Role Administrators
Quit
Quit
(圖2)
圖2 NTDSUTIL
簡單解釋一下上面的命令�,第一行是進入NTDSUTIL.exe命令行,第二行是進入本地角色設(shè)置狀態(tài)���,第三行是關(guān)鍵命令即添加用戶jp到Woodgrovebank.com域的管理員(administrators)組���,第四行命令是顯示角色管理員組的成員���,第五���、第六行命令是退出NTDSUTIL工具��。
上一頁12 3 下一頁 閱讀全文
