第六章 Windows域管理

2017-03-27

17057

第6章 Wind ows 域管理很多人对域名、活动目录、DHCP 、DNS 等术语可能还停留在概念性的阶段，于实际操作却有些陌生，本章有助于改善这一点。本章主要内容包括：⏹⏹⏹ 介绍域、活动目录等基

第6章 Wind ows 域管理

很多人对域名、活动目录、DHCP 、DNS 等术语可能还停留在概念性的阶段，于实际操作却有些陌生，本章有助于改善这一点。本章主要内容包括：

⏹

⏹ 介绍域、活动目录等基础概念；活动目录部署和配置； DHCP 部署和配置；

⏹ 组策略

涉及以下一些方面：

⏹

⏹ 普通Server 2003和域控制器之间的升降级 DHCP 和DNS 的配置使用添加或删除域用户计算机加入域 SAM 数据库和Syskey 组策略应用：对组策略进行编辑、设置，掌握强化系统的安全性的方法。

实验1 域管理基础

域是（Domain ）Windows 网络管理的一个基本单位。域管理涉及域、活动目录（AD ）和SAM 数据库等概念。

1. 域和工作组

首先我们介绍一下工作组（Work Group ）的概念。域和工作组都是局域网环境下的两种不同的网络资源管理模式。

工作组的概念想必大家都很熟悉。它是我们默认安装完系统以后的最初、也是最常用的一种工作模式。工作组将局域网中的电脑按功能分组，以便查找和浏览共享资源。同一个工作组内部或不同工作组成员之间可以通过“网上邻居”实现资源共享。从“网上邻居”最先看到的是本机所在的工作组的机器。

“工作组”是一个“对等”网结构，就像一个自由加入和退出的俱乐部一样，可以随时自由出入毫无限制，它本身的作用仅仅是提供一个“房间”，以方便查找。在这种模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，没有server 或client 的概念。共享文件即使加有访问密码，也非常容易被破解。以工作组组成的局域网中，每一台电脑实现“个人自治”，一切设置在本机上进行，包括各种策略，用户登录也是在本机进行的，密码也是放在本机的数据库来验证的。显然，工作组模式在安全性上存在很大问题。域的提出，放弃了可以随便出出进进的工作组模式，而采用了“中央集权”式的严格控制。我们可以说，域既是Windows 网络系统的逻辑组织单元，也是Internet 的逻辑组织单元。在Windows 网络系统中，“域是安全边界”。以域方式组成的网络，里面必须至少有一台服务器作为管理机，即“域控制器（Domain Controller ，DC ）”，同一个域中的计算机彼此之间已经建立了信任关系。而在一个独立的工作站上，域就是计算机自身。

我们可以把域和工作组联系起来理解。每个域中有主域控制器、备份域控制器和服务器、

工作站。每个域都有自己的安全策略以及与其他域相关的安全信任关系。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能访问或管理其他的域。如果计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证。这样做方便管理。

不同于工作组，域的登陆密码是通过域控服务器验证的。当电脑联入网络时，域控制器首先要进行网络身份验证，鉴别这台电脑是否属于本域，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。他只能作为本机用户访问Windows 共享出来的资源，这样就在一定程度上保护了网络上的资源。显然，域的安全性高于工作组。

2. 域和活动目录

一个好的安全体系是多层防护的。在域的基础上，Windows 提出了一种分层结构的服务器安全模型，即通过使用森林（活动目录，Active Directory，AD ）、域树和组织单元（OU ）这些概念来实现分层管理。活动目录由一个或多个域组成，当多个域通过信任关系连接起来，并且共享一个模式、配置和全局目录的时候，它们组成一个域树。多个域树可以组成一个森林。森林即相互信任的一个或多个活动目录树形成的小组。在该模型中，一个企业中可以有多个域树，通过信任关系建立域之间的联系。

活动目录是指存储网络资源信息的目录数据库，以及让这些信息可供网络用户使用的所有服务。网络中的所有资源，包括用户帐户、组、计算机、打印机、服务器、文件数据、数据库和安全策略等，都可以存放在活动目录中，从而使用户的使用、管理和检索变得更加简单和方便。AD 是一个分布式的目录服务网络，标识了分散在网络中多台不同计算机上的所有信息资源，保证用户可以快速访问和容错，同时，不管用户从何处访问或信息处在何处，都对用户提供统一的视图。

域中所有用户帐户使用域控制器的“Active Directory用户和计算机”创建。该域的账户、密码、用户访问策略、属于该域的计算机等关键信息都存储在Active Directory 数据库中，集中管理，集中控制。域中可以建立多个域控制器，Active Directory数据库中的信息可以在域控服务器之间复制。

利用活动目录自带的强大功能，可以非常有效的帮助企业强化网络整体安全。简单来说，活动目录的首要目标是客户端的安全管理和标准化管理，防止用户在计算机上乱装软件、乱拷东西而带入大量病毒，并把所有计算机的软件或者桌面都统一起来。如果这两点完成了，那么再往高级了说，活动目录将成为企业基础架构的根本，所有的高级服务都会向活动目录整合，以利用其统一的身份验证、安全管理以及资源公用。

AD 是中央神经系统的大脑或者说是控制中心，它负责用户身份验证，管理安全、访问控制、通信、打印、信息存取等，而主域控制器则是AD 的主机。域可以跨越多个物理区域，由于客户端所进行的应用以及相关配置全部存储在服务器上，故而用户在域内的移动和物理的计算机脱离关系，域帐户可以在同一域的任何一台计算机登陆。用户甚至用一个张智能卡就可以在域中的任何工作站上，随意切换自己的工作任务。正是由于服务器接管大部分的客户端任务，故而服务器的硬件以及网络的带宽要求也比较高。从AD 的规范管理来讲，最好是能够先在各自的OU 中建立好计算机帐户，然后再将客户端加入到域中。

活动目录对整个网络系统中不同角色的信息整合作用如图2-1-1所示。

图2-1-1 活动目录中的信息

DNS 服务主要用于名称解析和查询，AD 的可靠性和可用性很大程度上依赖于DNS 服务的正常运行，如果没有DNS 服务，DC 将无法互相查找并复制目录信息，客户端也将无法联系DC 来进行身份验证。Windows2000/2003中的DNS 区域可以与AD 集成，集成的DNS 区域数据存放在AD 中。使用组策略设置DNS 服务自动启动，控制器只归域管理员，可以避免DNS 服务被未经授权的用户操纵，也可防止管理员疏忽而禁用该服务。

3. 域模型与信任关系

信任关系是域与域之间建立的连接关系。它可以执行对经过委托的域内用户的登录审核工作。域之间经过委托后，用户只要在某一个域内有一个用户帐号，就可以使用其他域内的网络资源了。例如，若A 域信任委托B 域，则B 域的用户可以访问A 域的资源，而A 域的用户则不能访问B 域的资源，这就是单向委托。若A 域的用户也想访问B 域的资源，那么必须再建立B 域信任A 域的委托关系，这就是双向委托。

有四种基本的域模型：

⏹

⏹ 单域模型：网络中只有一个域，就是主域，域中有一个主域控制器和一或多个备份域控制器。该模型适合于用户较少的网络。主域模型：网络中至少有两个域，但只在其中一个域（主域）中创建所有用户并存

储这些用户信息。其他域则称为资源域，负责维护文件目录和打印机资源，但不需要维护用户账户。资源域都信任主域，使用主域中定义的用户和全局组。该模型适⏹ 合于用户不太多，但又必须将资源分组的情况。多主域模型：网络中有多个主域和多个资源域，其中主域作为账户域，所有的用户

账户和组都在主域之上创建。各主域都相互信任，其他的资源域都信任主域，但各

资源域之间不相互信任。该模型便于大网络的统一管理，具有较好的伸缩性。因此，该模型适合于用户数很多且有一个专门管理机构的网络中。完全信任域模型：网络中有多个主域，且这些域都相互信任。所有域在控制上都是

平等的，每个域都执行自己的管理。该模型适合于各部门管理自己的网络情况。

4. AD 灾难恢复

AD 灾难恢复的原则是用最短的时间，承受最小的损失，得到最好的可能结果。在磁盘上，AD 显示为几个文件，它们分别是Ntds.dit （AD 数据库），一个组交易记录Edb.log （即日志）和记录数据库最后一个缓冲区的检查点文件，还有一个暂时性的数据库文件Temp.edb ，这些数据库文件存储在SystemRootntds目录下（安装时可以重新指定位置），如图2-1-2所示。

图2-1-2 AD系统文件

SYSVOL 系统卷是可以由文件复制服务复制的文件夹、文件系统重分析点和组策略设置的集合，存储在SystemRootsysvol目录下，有三种不同的恢复方法：重建、还原、修复。

一般，一个DC 的备份数据只能用于还原该DC ，不能被用来还原另一个DC 。因此，我们应尽量对每一个DC 都进行备份。备份策略的最低备份要求是所有具有操作主机角色的DC ，所有具有全局编录角色的DC ，根域中第一个DC 。

非权威性还原（Non-Authoritative Restore ）是AD 还原的默认方法，对象恢复后会保持它们在备份时用的版本号，用Ntbackup 还原到已知的某个好的状态，并重新进入AD 正常模式让其自由同步更新。下面的情况可以使用该方法还原：域中有多台DC ，其他DC 至少有一台是工作正常的情况，域中只有单台DC 的情况，或者典型情况如硬件问题等。

权威性还原（Authoritative Restore）本质是非权威性还原的扩展，需要比非权威性还原多做一步，即提高还原对象属性的更新版本号，使其在目录中成为权威的拷贝。权威性还原是DC 上选定的对象在域中具有权威性。典型情况如意外修改或删除了对象时就需要使用这种方式了。用Ntdsutil 工具标记AD 对象为权威，找到还含有该对象的DC ，或者先从备份还原，恢复时尽量定位到最特定的DN 。还原SYSVOL 至相匹配的版本，目的是让SYSVOL 和所备份时的SYSVOL 相同，从而使整个恢复回来的AD 具有一致性，在目录恢复模式下恢复SYSVOL 至替换目录，一旦重启系统，将替换目录下的SYSVOL 相应文件拷回原位置。

操作主机的恢复有转移和抓取两种方式，五种操作主机应区别对待，能转移的尽量不要用获取，转移操作可逆，抓取操作主机角色是最后手段，原主机不能再恢复在线。以正常模式重新引导，检查目录和系统事件日志是否存在错误消息，就可以验证灾难恢复。

5. 域的用户访问控制模型

域对用户帐户的管理包括如下一些方面：

1）帐号规则：对用户帐号和口令进行安全管理，即入网访问控制。它还包括对用户入网时间限制、入网站点限制、帐号锁定、用户对特定文件/目录的访问权限限制和用户使用的网络环境的限制等内容。

2）权限规则：

Windows 采用两类访问权限：用户访问权限和资源访问权限。用户访问权限有四种：完全控制、更改、读写和拒绝访问，完全控制权限最大。NTFS 允许用两种访问权限来控制用户对特定目录和文件的访问：一种是标准权限(基本安全性措施) ；另一种是特殊权限(特殊安全性措施) 。

3）审核规则：

它是系统对用户操作行为的跟踪，管理员可根据审核结果来控制用户的操作。Windows 可对如下事件进行审核：登录和注销、文件和对象的访问、用户权限的使用、用户和组的管理、安全性策略的改变、启动与关闭系统的安全性和进程的跟踪等。跟踪审核结果存放在安全日志文件中。

域中的每个用户帐户都是由域管理员在DC 上创建的，其中包括用户名、口令、访问权限等信息。创建帐户后，系统还必须为帐户指定一个唯一的安全标识符（SID ）。安全帐号管理器对用户帐户的管理正是通过SID 进行的。一旦删除某个帐户，其对应的SID 也被删除。即使用相同的用户名重建帐号，也会被赋予不同的SID ，不会保留原来的权限。不同用户的SID 不同。如果存在两个同样SID 的用户，这两个帐户将被鉴别为同一个帐户，原理上如果帐户无限制增加的时候，会产生同样的SID ，在通常的情况下SID 是唯一的，他由计算机名、当前时间、当前用户态线程的CPU 耗费时间的总和三个参数决定以保证它的唯一性。

系统为每个用户指定一个用户组，为用户组指定文件和目录访问权限。这样，当用户角色变更时，只要把该用户从工作组中删除或指定他属于另一组，即可收回或更改该用户的访问权限。为此，系统为每个用户或用户组分配一个访问控制条目（access control entry，ACE ）。它包括一个SID （标识这个ACE 的应用对象）以及允许或者拒绝访问的ACE 信息的类型。

访问控制表（access control list，ACL ）是用来定义用户或用户组与文件、目录或其他资源相关的访问权限的一组数据。在活动目录服务中，一个ACL 是一个存储访问权限与对象之间相互关系的列表。在 Windows 操作系统中，一个ACL 作为一个二进制值保存，称之为安全描述符。实际上，在活动目录中，系统为存储的每一个对象分配安全描述符，列出了允许访问的用户和组和他们的权限。对象的访问权限作为属性的一部分，以ACL 形式存放。当用户访问时，系统比对文件对象ACL 和用户存取标识是否相符，符合的话才允许访问，否则拒绝。

6. SAM 数据库

SAM 文件即安全帐号管理器（Security Account Manager，SAM ），它是NT 架构的操作系统（包括Windows NT/2000/XP/2003）的核心。所有用户的登录名和口令等相关信息都保存在SAM 文件中。使用“本地用户和组”创建本地用户帐户后，相关信息也保存在SAM 文件中。用户登录时进行本地身份验证。

单机环境下，SAM 存储在本机的C:WINDOWSsystem32config文件夹下的sam 文件中，并在C:WINDOWSrepair里有一个备份。而对于加入到域的计算机来说，它存储在域控制器上。

SAM 文件可以认为类似于Unix 系统中的Passwd 文件，不过没有Passwd 文件那么直观明了。虽然也用文件保存账号信息，不过Windows 系统对SAM 文件中的资料全部加密，一般的编辑器无法打开，在系统运行中，无法对其进行任何修改。

SAM 数据库（Security Account Management Database）通过存储在计算机注册表中的安全账户来管理用户和用户组的信息，在注册表中，存放用户信息的具体地方是HKLMSAMSAMDomains�countUsers中，下面的十六进制项都是用户的SID ，比如用户Administrator 的SID 是000001F4，guest 的SID 是000001F5，其他每项都对应一个用户名。同时，在HKLMSAMSAMDomains�countUsersNames项下面保存的是用户名，下面的每项都是机器中的用户名。当添加一个新用户时，系统会在HKLMSAMSAMDomains�countUsers下添加一个新的SID 项来标记新用户，同时在Names 下建立一个用户名的项，而项的类型为这个新的SID 。比如添加一个名为xiaobai 的用户，系统就会在HKLMSAMSAMDomains�countUsers下添加一个新的SID 项，假设是000003ED ，与此同时，你会发现在HKLMSAMSAMDomains�countUsersNames下面多了一个名为xiaobai 的项，类型为0x3ed 。当删除一个用户时，系统所做的工作就是把添加用户时对应添加的两个项删除。

SAM 数据库的一个拷贝能够被某些工具用来破解口令，而NT 的Admin 帐户、Admin 组中的所有成员、备份操作员、服务器操作员以及所有具有备份特权的用户，都可以拷贝SAM 数据库的内容。特洛伊木马和病毒可能利用默认权力对SAM 数据库进行备份，获取访问SAM 数据库中的口令信息。

7. 组策略

组策略是微软操作系统中自带的最强大的设置管理工具之一。基于活动目录的组策略绝对是管理员的利器。我们可以把组看作某类有相同特点及属性的资源的集合。组类似于某种容器，可以将用户帐户、计算机帐户、其他组帐户、资源和权限组合在一起实现统一管理。使用组而不是单独的用户可以简化管理和维护，使用组策略，再也不需要亲自到每一台计算机上执行管理操作，轻松点击即可批量配置。通过对 Active Directory 中组策略对象的使用，系统管理员可以集中应用保护企业系统所要求的安全级别。组策略使用组策略编辑器这一安全配置工具来进行管理，有以下作用：

管理员可使用安全模板管理单元来定义和使用安全模板。

管理员可使用安全配置和分析管理单元来配置和分析本地的安全性。

管理员可使用组策略管理单元来配置Active Directory中的安全性。

管理员可以集中管理软件安装。

管理员可以执行设定开机、登录、注销、关机脚本，控制用户IE 属性，文件夹重定向等多种功能。

计算机的组策略设置在操作系统初始化时和系统刷新周期内应用，使用“计算机配置”节点，而用户的组策略设置在用户登录时和系统刷新周期内应用，使用“用户配置”节点。默认情况下，计算机组策略会每隔90分钟刷新一次，而DC 上的策略刷新间隔为5分钟。

组策略内容相当丰富，几乎所有的Windows 常用或不常用的配置项都可以从中找到。我们从图2-1-3就可见一斑。详细讲解组策略将是一个繁重的任务，我们只能点到为止。