Windows Server 2008活动目录应用指南

第1部分 WindowsServer2008活动目录概述
第1章 WindowsServer2008活动目录的新增功能
1.1 活动目录域服务的新功能
1.1.1 只读域控制器(RODC)
1.1.2 活动目录域服务审核
1.1.3 细化密码策略
1.1.4 可重新启动的活动目录域服务
1.1.5 数据库装载工具
1.1.6 用户界面改进
1.2 其他活动目录服务角色
1.2.1 活动目录证书服务角色
1.2.2 活动目录联合身份验证服务角色1
1.2.3 活动目录轻型目录服务角色1
1.2.4 活动目录权限管理服务角色1
1.3 小结1
第2章 活动目录域服务组件1
2.1 ADDS物理结构1
2.1.1 目录数据存储1
2.1.2 域控制器1
2.1.3 全局编录服务器1
2.1.4 只读域控制器1
2.1.5 操作主机2
2.1.6 转移操作主机角色2
2.1.7 架构2
2.2 ADDS逻辑结构2
2.2.1 ADDS分区2
2.2.2 域3
2.2.3 林3
2.2.4 信任3
2.2.5 站点3
2.2.6 组织单位3
2.3 小结4
2.4 补充资源4
2.4.1 相关工具4
2.4.2 下载代码中的资源4
2.4.3 相关帮助主题4
第3章 活动目录域服务和域名系统4
3.1 集成DNS和ADDS4
3.1.1 服务位置(SRV)资源记录4
3.1.2 ADDS域控制器注册的SRV记录4
3.1.3 DNS定位器服务4
3.1.4 自动站点覆盖4
3.2 ADDS集成区域5
3.2.1 使用ADDS集成区域的好处5
3.2.2 DNS的默认应用程序分区5
3.2.3 管理ADDS集成区域5
3.3 集成DNS命名空间和ADDS域5
3.3.1 DNS委派5
3.3.2 转发器和根提示5
3.3.3 DNS和ADDS集成故障排除6
3.3.4 DNS故障排除6
3.3.5 SRV记录注册故障排除6
3.4 小结6
3.5 最佳实践6
3.6 补充资源6
3.6.1 相关信息6
3.6.2 相关工具6
3.6.3 下载代码中的资源6
3.6.4 相关帮助主题6
第4章 活动目录域服务复制6
4.1 ADDS复制模型6
4.2 复制过程6
4.2.1 更新类型6
4.2.2 复制更改6
4.3 复制SYSVOL目录7
4.4 站点内和站点间复制7
4.4.1 站点内复制7
4.4.2 站点间复制7
4.4.3 复制延迟7
4.4.4 紧急复制7
4.5 生成复制拓扑7
4.5.1 知识一致性检查器7
4.5.2 连接对象7
4.5.3 站点内复制拓扑7
4.5.4 全局编录复制7
4.5.5 站点间复制拓扑8
4.5.6 RODC和复制拓扑8
4.6 配置站点间复制8
4.6.1 创建额外的站点8
4.6.2 站点链接8
4.6.3 站点链接桥8
4.6.4 复制传输协议8
4.6.5 配置桥头服务器8
4.7 复制故障排除9
4.7.1 ADDS复制故障排除的步骤9
4.7.2 ADDS复制故障排除工具9
4.8 小结9
4.9 最佳实践9
4.10补充资源9
4.1.1 相关信息9
4.10.2 相关工具9
4.10.3 下载代码中的资源9
4.10.4 相关帮助主题9
第2部分 设计和实现WindowsServer2008活动目录
第5章 设计活动目录域服务结构9
5.1 定义目录服务需求9
5.1.1 定义业务和技术需求10
5.1.2 记录当前环境10
5.2 设计林结构10
5.2.1 林和ADDS设计10
5.2.2 单个林或多个林10
5.2.3 针对ADDS安全进行林设计11
5.2.4 林设计模型11
5.2.5 设计林所有权11
5.2.6 林变更控制策略11
5.3 设计多个林的集成11
5.3.1 设计林间信任11
5.3.2 设计林间目录集成11
5.4 设计域结构11
5.4.1 确定域数量11
5.4.2 设计林根域12
5.4.3 设计域层次结构12
5.4.4 域树和信任12
5.4.5 部署后更改域层次结构12
5.4.6 定义域所有权12
5.5 定义域和林功能级别12
5.5.1 在域功能级别启用的功能12
5.5.2 在林功能级别启用的功能12
5.5.3 实现域和林功能级别12
5.6 设计DNS基础结构12
5.7 设计组织单位结构13
5.7.1 组织单位和ADDS设计13
5.7.2 设计OU结构13
5.7.3 创建OU设计13
5.8 设计站点拓扑13
5.8.1 站点和ADDS设计13
5.8.2 创建站点设计13
5.8.3 创建复制设计13
5.8.4 设计服务器位置14
5.9 小结14
5.10最佳实践14
5.11补充资源14
5.11.1 相关信息14
5.11.2 下载代码中的资源14
第6章 安装活动目录域服务14
6.1 安装ADDS的必备条件14
6.1.1 硬盘空间需求15
6.1.2 网络连接15
6.1.3 DNS15
6.1.4 管理权限15
6.1.5 操作系统兼容性15
6.2 了解ADDS安装选项15
6.2.1 安装配置任务和添加角色向导15
6.2.2 服务器管理器15
6.2.3 活动目录域服务安装15
6.2.4 无人参与安装15
6.3 使用活动目录域服务安装向导15
6.3.1 部署配置15
6.3.2 命名域15
6.3.3 设置WindowsServer2008功能级别15
6.3.4 其他域控制器选项15
6.3.5 文件位置15
6.3.6 完成安装16
6.3.7 验证ADDS的安装16
6.4 执行无人参与安装16
6.5 部署只读域控制器16
6.5.1 服务器核心安装WindowsServer200816
6.5.2 部署RODC16
6.6 删除ADDS16
6.6.1 删除额外的域控制器16
6.6.2 删除最后一台域控制器16
6.6.3 无人参与删除ADDS16
6.6.4 强制删除WindowsServer2008域控制器16
6.7 小结16
6.8 补充资源16
6.8.1 相关信息16
6.8.2 相关工具16
第7章 迁移到活动目录域服务16
7.1 迁移路径16
7.1.1 域升级迁移路径17
7.1.2 域重构17
7.2 确定迁移路径17
7.3 升级域17
7.4 重构域17
7.5 林内迁移18
7.6 配置林间信任18
7.7 小结18
7.8 最佳实践18
7.9 补充资源18
7.9.1 相关信息18
7.9.2 相关工具18
第3部分 管理WindowsServer2008活动目录
第8章 活动目录域服务安全18
8.1 ADDS安全基础18
8.1.1 安全主体18
8.1.2 访问控制列表18
8.1.3 访问令牌19
8.1.4 身份验证19
8.1.5 授权19
8.2 Kerberos安全19
8.2.1 Kerberos简介19
8.2.2 Kerberos身份验证19
8.2.3 身份验证委派19
8.2.4 在WindowsServer2008中配置Kerberos20
8.2.5 与公钥基础结构集成20
8.2.6 与智能卡集成20
8.2.7 与其他Kerberos系统互操作20
8.2.8 Kerberos故障排除20
8.3 NTLM身份验证20
8.4 实现域控制器安全20
8.4.1 减少域控制器的攻击面20
8.4.2 配置默认域控制器策略21
8.4.3 配置SYSKEY21
8.5 设计安全管理实践21
8.6 小结21
8.7 最佳实践21
8.8 补充资源21
8.8.1 相关信息21
8.8.2 相关工具21
8.8.3 下载代码中的资源22
8.8.4 相关帮助主题22
第9章 委派活动目录域服务管理22
9.1 活动目录管理任务22
9.2 访问活动目录对象22
9.3 活动目录对象权限22
9.3.1 标准权限22
9.3.2 特殊权限22
9.3.3 权限继承22
9.3.4 有效权限23
9.3.5 活动目录对象的所有权23
9.4 委派管理任务23
9.5 审核管理权限的使用23
9.5.1 为域控制器配置审核策略23
9.5.2 在活动目录对象上配置审核23
9.6 委派管理工具23
9.7 计划管理委派24
9.8 小结24
9.9 补充资源24
第10章 管理活动目录对象24
10.1 管理用户24
10.1.1 用户对象24
10.1.2 inetOrgPerson对象24
10.1.3 联系对象24
10.1.4 服务账户24
10.2 管理组24
10.2.1 组类型24
10.2.2 组作用域24
10.2.3 活动目录中的默认组25
10.2.4 特殊标识25
10.2.5 创建安全组设计25
10.3 管理计算机25
10.4 管理打印机对象25
10.4.1 在活动目录中发布打印机25
10.4.2 跟踪打印机位置25
10.5 管理已发布共享文件夹25
10.6 自动化活动目录对象管理26
10.6.1 管理活动目录的命令行工具26
10.6.2 使用LDIFDE和CSVDE26
10.6.3 使用VBScript管理活动目录对象26
10.7 小结26
10.8 最佳实践26
10.9 补充资源26
10.9.1 相关信息26
10.9.2 相关工具26
10.9.3 下载代码中的资源26
第11章 组策略简介26
11.1 组策略概述27
11.1.1 组策略工作原理27
11.1.2 WindowsServer2008组策略中的新增功能27
11.2 组策略组件27
11.2.1 组策略容器概述27
11.2.2 组策略模板的组件27
11.2.3 组策略对象组件的复制27
11.3 组策略处理27
11.3.1 客户端如何处理GPO27
11.3.2 初始GPO处理27
11.3.3 后台GPO刷新28
11.3.4 如何刷新与组策略相关的GPO历史记录28
11.3.5 默认后台处理间隔时间的例外情况28
11.4 实现组策略28
11.4.1 GPMC概述28
11.4.2 使用GPMC创建和链接GPO28
11.4.3 修改GPO处理的作用域28
11.4.4 委派GPO管理29
11.4.5 在域和林之间实现组策略29
11.5 管理组策略对象29
11.5.1 备份和还原GPO29
11.5.2 复制组策略对象29
11.5.3 导入组策略对象设置29
11.5.4 建模和报告组策略结果29
11.6 编写组策略管理脚本30
11.7 计划组策略实现30
11.8 组策略故障排除30
11.9 小结30
11.10 补充资源30
第12章 使用组策略管理用户桌面30
12.1 使用组策略管理桌面30
12.2 管理用户数据和配置文件设置31
12.2.1 管理用户配置文件31
12.2.2 使用组策略管理漫游用户配置文件31
12.2.3 文件夹重定向31
12.3 管理模板32
12.3.1 理解管理模板文件32
12.3.2 管理基于域的模板文件32
12.3.3 管理ADMX模板文件的最佳实践32
12.4 使用脚本管理用户环境32
12.5 使用组策略部署软件32
12.5.1 WindowsInstaller技术32
12.5.2 部署应用程序32
12.5.3 使用组策略分发非WindowsInstaller应用程序33
12.5.4 配置软件包属性33
12.5.5 使用组策略配置WindowsInstaller33
12.5.6 计划组策略软件安装33
12.5.7 使用组策略管理软件的局限性33
12.6 组策略首选项概述33
12.6.1 组策略首选项与策略设置33
12.6.2 组策略首选项设置34
12.6.3 组策略首选项选项34
12.7 小结34
12.8 补充资源34
12.8.1 相关信息34
12.8.2 下载代码中的资源34
第13章 使用组策略管理安全34
13.1 使用组策略配置域安全34
13.1.1 默认域策略概述34
13.1.2 默认域控制器策略概述34
13.1.3 为域重新创建默认GPO35
13.1.4 细化密码策略35
13.2 使用组策略强化服务器安全35
13.3 使用组策略配置网络安全36
13.3.1 配置有线网络安全36
13.3.2 配置无线网络安全36
13.3.3 配置Windows防火墙和IPsec安全36
13.4 使用安全模板配置安全设置36
13.5 小结36
13.6 补充资源36
第4部分 维护WindowsServer2008活动目录
第14章 监视和维护活动目录37
14.1 监视活动目录37
14.1.1 为什么监视活动目录37
14.1.2 监视服务器可靠性和性能37
14.1.3 如何监视活动目录37
14.1.4 监视内容38
14.1.5 监视复制38
14.2 活动目录数据库维护38
14.2.1 垃圾收集38
14.2.2 联机碎片整理38
14.2.3 活动目录数据库的脱机碎片整理38
14.2.4 使用Ntdsutil管理活动目录数据库38
14.3 小结38
14.4 补充资源39
第15章 活动目录灾难恢复39
15.1 计划应对灾难39
15.2 活动目录数据存储39
15.3 备份活动目录39
15.3.1 备份的需要39
15.3.2 逻辑删除生存时间39
15.3.3 备份频率39
15.4 还原活动目录39
15.4.1 通过创建一台新的域控制器还原活动目录39
15.4.2 执行活动目录非授权还原39
15.4.3 执行活动目录授权还原40
15.4.4 还原组成员身份40
15.4.5 重新激活逻辑删除对象40
15.4.6 使用活动目录数据库装载工具40
15.4.7 还原SYSVOL信息40
15.4.8 还原操作主机和全局编录服务器40
15.5 小结41
15.6 最佳实践41
15.7 补充资源41
15.7.1 相关信息41
15.7.2 相关工具41
第5部分 活动目录标识和访问管理
第16章 活动目录轻型目录服务41
16.1 ADLDS概述41
16.1.1 ADLDS功能41
16.1.2 ADDS部署场景41
16.2 ADLDS的结构和组件41
16.2.1 ADLDS服务器41
16.2.2 ADLDS实例42
16.2.3 目录分区42
16.2.4 ADLDS复制42
16.2.5 ADLDS安全42
16.3 实现ADLDS43
16.3.1 配置实例和应用程序分区43
16.3.2 ADLDS管理工具43
16.3.3 配置复制43
16.3.4 备份和还原ADLDS43
16.4 配置ADDS和ADLDS同步44
16.5 小结44
16.6 最佳实践44
16.7 补充资源44
16.7.1 相关工具44
16.7.2 下载代码中的资源44
16.7.3 相关帮助主题44
第17章 活动目录证书服务44
17.1 活动目录证书服务概述44
17.1.1 公钥基础结构组件44
17.1.2 证书颁发机构45
17.1.3 证书服务部署场景45
17.2 实现ADCS45
17.2.1 安装ADCS根证书颁发机构45
17.2.2 安装ADCS从属证书颁发机构45
17.2.3 配置Web注册45
17.2.4 配置证书吊销45
17.2.5 管理密钥存档和恢复46
17.3 管理ADCS中的证书46
17.3.1 配置证书模板46
17.3.2 配置证书自动注册46
17.3.3 使用组策略管理证书接受46
17.3.4 配置凭据漫游46
17.4 设计ADCS实现46
17.4.1 设计CA层次结构46
17.4.2 设计证书模板47
17.4.3 设计证书分发和吊销47
17.5 小结47
17.6 最佳实践47
17.7 补充资源47
17.7.1 相关信息47
17.7.2 相关工具47
第18章 活动目录权限管理服务47
18.1 ADRMS概述47
18.1.1 ADRMS功能47
18.1.2 ADRMS组件47
18.1.3 ADRMS的工作原理47
18.1.4 ADRMS部署方案48
18.2 实现ADRMS48
18.2.1 安装ADRMS之前的预安装考虑事项48
18.2.2 安装ADRMS群集48
18.2.3 配置ADRMS服务连接点48
18.2.4 使用ADRMS客户端48
18.3 管理ADRMS48
18.3.1 管理信任策略48
18.3.2 管理权限策略模板49
18.3.3 配置排除策略49
18.3.4 配置安全策略49
18.3.5 查看报告49
18.4 小结50
18.5 补充资源50
第19章 活动目录联合身份验证服务50
19.1 ADFS概述50
19.1.1 联合身份验证50
19.1.2 Web服务50
19.1.3 ADFS组件50
19.1.4 ADFS部署设计50
19.2 实现ADFS51
19.2.1 ADFS部署要求51
19.2.2 在联合WebSSO设计中实现ADFS51
19.2.3 配置账户伙伴联合身份验证服务52
19.2.4 配置资源伙伴ADFS组件52
19.2.5 为基于WindowsNT令牌的应用程序配置ADFS53
19.2.6 实现WebSSO设计53
19.2.7 实现具有林信任的联合WebSSO设计53
19.3 小结53
19.4 最佳实践53
19.5 补充资源53
19.5.1 下载代码中的资源53
19.5.2 相关帮助主题53