Windows Server 2008提升AD管理效率

ll32 · 发表于 2009-6-29 13:58

AD从Server 2003迁移到Server 2008后，带来的不仅仅是性能上的提升，对管理者来说最享受的是管理与维护中的便捷与高效。Server 2008潜力无限，下面笔者与大家分享3个可提升AD管理效率与安全的技巧。
　　1、不重启DC快速进入AD脱机模式
　　做过AD(活动目录)的人都知道，基于Windows Server 2000/2003的DC(域控制器)如果要脱机维护AD就必须重启DC然后进入AD的还原模式才可以。这样做其弊端是显而易见的，AD下的诸如RIS服务、文件服务、打印服务等都会受到影响而不能运行。在Windows Server 2008中我们可以不需重新启动DC就可以停止AD服务，进而执行只有在AD脱机脱机状态下才可执行的操作，而对其他服务没有任何影响。
　　Windows Server 2008中停止AD服务和停止其他任何服务一样，在命令行(cmd)下执行“net stop ntds”就可停止与AD服务，当然也会停止与AD相关的服务诸如：文件复制服务、站点间通信、DNS 服务器等，但对整个服务器的影响不大，至少比重启DC要迅捷快速得多。(图1)

　　

登录/注册后可看大图

　　图1 Windows Server 2008中停止AD服务

　　AD服务停止后我们就可以执行某些只能在脱机模式下才能进行的操作，比如运行ntdsutil命令对AD数据库进行完整性验证、碎片整理，用copy命令移动数据，用del命令清除日志等操作了。等脱机维护任务完成后，我们只需在命令行中执行“net start ntds”，AD服务又重新启动，是否很快捷呢?(图2)

　　

登录/注册后可看大图

　　图2运行ntdsutil命令对AD数据库进行完整性验证

2、快速找到并恢复某个AD备份

　　大家知道在基于Windows Server 2000/2003的DC中，如果要恢复某个AD备份需要从多个备份中筛选进行恢复，往往我们需要反复尝试多次才能实现我们所需要的恢复。在Server 2008中利用AD的DMT(AD数据库管理工具)工具就非常方便地利于我们查看备份的时间段，并灵活地选择所要恢复到的时间段。下面我们以AD数据库快照的形式进行查看和演示。
　　(1)创建快照
　　我们需要用到Ntdsutil.exe命令，这是一个为AD提供管理设施的命令行工具，它可以执行AD数据库的维护，管理和控制单个主机操作，创建应用程序目录分区，以及删除DC中残留的元数据。在命令行下执行Ntdsutil.exe，根据命令提示在ntdsutil后输入snapshot申明快照，在快照后输入activate instance ntds创建的活动实例为ntds，在快照后输入create创建快照，稍等片刻成功创建快照集{c94362d1-1bc9-4bc7-8af7-7cc716208296}，这是一个32位的识别码，是随机的且具有唯一性。(图3)

　

登录/注册后可看大图

　　图3 snapshot申明快照

　　(2)加载快照
　　继续在上面的命令提示符下输入mount {c94362d1-1bc9-4bc7-8af7-7cc716208296}装载刚才创建的快照，提示{c94362d1-1bc9-4bc7-8af7-7cc716208296}已作为 C:\\$SNAP_200801141137_VOLUMEC$\\装载。此时不要关闭该命令行，然后再打开一个命令行(cmd)输入输入dsamain -dbpath C:\\$SNAP_200801141137_VOLUMEC$\\windows\\ntds\\ntds.dit -ldapport 33890加载只读数据库的快照，33890为加载的端口号。(图4)

　　

登录/注册后可看大图

　　图4 加载快照

(3)查看AD实例

　　执行“开始→管理工具→Active Directory 用户和计算机”，在DC域上点击右键选择“更改域控制器”打开“更改目录服务器”对话框，点选“此域控制器或 AD LDS实例”，可以看到当前AD的实例的状态，我们可使得刚才创建的快照实例，只需输入类似“DC:端口”(本例为fr.zhongtian.com:3382)即可。(图5)

　

登录/注册后可看大图

　　图5 AD的实例的状态

　　(4)删除快照
　　运行命令提示符工具，输入ntdsutil进入命令行，输入snapshot进入快照操作，输入list mounted可以查看刚才创建的快照，然后通过delete删除快照。(图6)

　　

登录/注册后可看大图

　　图6 删除快照

3、用审核策略加强AD管理

　　我们知道在Windows Server 2008以前的Sever版本中当AC启用审计策略后，会产生大量的事件日志造成DC性能的降低和磁盘空间的负担，而且，也不能记录某个属性更改前后的值。二Server 2008的的审核策略非常强大，特别是针对AD做了很多优化和扩展，其审计更为详细。
　　笔者认为对于AD，Server 2008的审核策略中针对事件记录，诸如精确记录属性修改前后的值、记录修改时间、记录修改者、记录修改对象这几项非常实用，有助于管理者对DC的安全管理和维护。下面我们结合实例演示一个新的审核策略的详细配置过程。
　　首先在命令行下输入命令“auditpol /set /subcategory:\"directory service changes\" /success:enable”以启用策略(提示，上面的命令适合于英文版的Server 2008，如果你是中文版的可输入命令“AuditPol /set /subcategory:\"目录服务更改\" /success:enable“directory server changes”。如果还不可以的话，我们用32位ID来代替实例名。我们可以执行命令AuditPol /backup/file:c:\\test.csv将审核策略保存为test.csv，然后用记事本打开查看到与“目录服务更改”对应的ID，然后执行命令，比如AuditPol /set /subcategory:{0CCE923C-69AE-11D9-BED3-505054503030} /success:enable即可)。然后输入命令gpupdage更新组策略。(图7)

　

登录/注册后可看大图

　　图7 用审核策略加强AD管理

　　然后“开始→管理工具→Active Directory用户和计算机”打开AD用户和计算机管理器，找到你需要启用审核策略的OU(组织单元)比如ctocio，右键单击选择“属性”打开其属性对话框，在“安全”标签下点击“高级”按钮在打开的对话框中点击“审核”标签，点击下面的“添加”按钮输入Authenticated Users或者其他对对象然后退回到审核项目窗口。在“应用到”下拉列表中选择“后代用户对象”(或者其他)，然后勾选“访问”下的“写入全部属性”中的“成功”，最后依次退出设置窗口。(图8)

　　

登录/注册后可看大图

　　图8 用审核项目

为了验证效果，我们在ctocio OU中创建一个用户，右键单击选择“新建→用户”根据向导新建用户wf。然后“开始→管理工具→事件查看器”可在“安全日志”中看到与“目录服务更改”相关的内容，查看“详细信息”administrator用户在fr.zhongtian.com的DC的ctocio的OU中创建了wf用户。(图9)

登录/注册后可看大图

图9 安全审核

　　总结：Active Directory作为微软在局域网与资源管理等方面的解决方案，在Windows Server 2008中其优越性得到进一步的体现。特别值得一提的是微软对AD的证书服务进行了重新设计，它与组策略设置密切配合，提供更容易的证书注册、发现和存储。作为一款比较新的服务器平台，Server 2008还有许多新的功能与技巧等待我们去利用和挖掘。

ll32 · 发表于 2009-6-29 13:58

AD从Server 2003迁移到Server 2008后，带来的不仅仅是性能上的提升，对管理者来说最享受的是管理与维护中的便捷与高效。Server 2008潜力无限，下面笔者与大家分享3个可提升AD管理效率与安全的技巧。
　　1、不重启DC快速进入AD脱机模式
　　做过AD(活动目录)的人都知道，基于Windows Server 2000/2003的DC(域控制器)如果要脱机维护AD就必须重启DC然后进入AD的还原模式才可以。这样做其弊端是显而易见的，AD下的诸如RIS服务、文件服务、打印服务等都会受到影响而不能运行。在Windows Server 2008中我们可以不需重新启动DC就可以停止AD服务，进而执行只有在AD脱机脱机状态下才可执行的操作，而对其他服务没有任何影响。
　　Windows Server 2008中停止AD服务和停止其他任何服务一样，在命令行(cmd)下执行“net stop ntds”就可停止与AD服务，当然也会停止与AD相关的服务诸如：文件复制服务、站点间通信、DNS 服务器等，但对整个服务器的影响不大，至少比重启DC要迅捷快速得多。(图1)

　　

登录/注册后可看大图

　　图1 Windows Server 2008中停止AD服务

　　AD服务停止后我们就可以执行某些只能在脱机模式下才能进行的操作，比如运行ntdsutil命令对AD数据库进行完整性验证、碎片整理，用copy命令移动数据，用del命令清除日志等操作了。等脱机维护任务完成后，我们只需在命令行中执行“net start ntds”，AD服务又重新启动，是否很快捷呢?(图2)

　　

登录/注册后可看大图

　　图2运行ntdsutil命令对AD数据库进行完整性验证

2、快速找到并恢复某个AD备份

　　大家知道在基于Windows Server 2000/2003的DC中，如果要恢复某个AD备份需要从多个备份中筛选进行恢复，往往我们需要反复尝试多次才能实现我们所需要的恢复。在Server 2008中利用AD的DMT(AD数据库管理工具)工具就非常方便地利于我们查看备份的时间段，并灵活地选择所要恢复到的时间段。下面我们以AD数据库快照的形式进行查看和演示。
　　(1)创建快照
　　我们需要用到Ntdsutil.exe命令，这是一个为AD提供管理设施的命令行工具，它可以执行AD数据库的维护，管理和控制单个主机操作，创建应用程序目录分区，以及删除DC中残留的元数据。在命令行下执行Ntdsutil.exe，根据命令提示在ntdsutil后输入snapshot申明快照，在快照后输入activate instance ntds创建的活动实例为ntds，在快照后输入create创建快照，稍等片刻成功创建快照集{c94362d1-1bc9-4bc7-8af7-7cc716208296}，这是一个32位的识别码，是随机的且具有唯一性。(图3)

　

登录/注册后可看大图

　　图3 snapshot申明快照

　　(2)加载快照
　　继续在上面的命令提示符下输入mount {c94362d1-1bc9-4bc7-8af7-7cc716208296}装载刚才创建的快照，提示{c94362d1-1bc9-4bc7-8af7-7cc716208296}已作为 C:\\$SNAP_200801141137_VOLUMEC$\\装载。此时不要关闭该命令行，然后再打开一个命令行(cmd)输入输入dsamain -dbpath C:\\$SNAP_200801141137_VOLUMEC$\\windows\\ntds\\ntds.dit -ldapport 33890加载只读数据库的快照，33890为加载的端口号。(图4)

　　

登录/注册后可看大图

　　图4 加载快照

(3)查看AD实例

　　执行“开始→管理工具→Active Directory 用户和计算机”，在DC域上点击右键选择“更改域控制器”打开“更改目录服务器”对话框，点选“此域控制器或 AD LDS实例”，可以看到当前AD的实例的状态，我们可使得刚才创建的快照实例，只需输入类似“DC:端口”(本例为fr.zhongtian.com:3382)即可。(图5)

　

登录/注册后可看大图

　　图5 AD的实例的状态

　　(4)删除快照
　　运行命令提示符工具，输入ntdsutil进入命令行，输入snapshot进入快照操作，输入list mounted可以查看刚才创建的快照，然后通过delete删除快照。(图6)

　　

登录/注册后可看大图

　　图6 删除快照

3、用审核策略加强AD管理

　　我们知道在Windows Server 2008以前的Sever版本中当AC启用审计策略后，会产生大量的事件日志造成DC性能的降低和磁盘空间的负担，而且，也不能记录某个属性更改前后的值。二Server 2008的的审核策略非常强大，特别是针对AD做了很多优化和扩展，其审计更为详细。
　　笔者认为对于AD，Server 2008的审核策略中针对事件记录，诸如精确记录属性修改前后的值、记录修改时间、记录修改者、记录修改对象这几项非常实用，有助于管理者对DC的安全管理和维护。下面我们结合实例演示一个新的审核策略的详细配置过程。
　　首先在命令行下输入命令“auditpol /set /subcategory:\"directory service changes\" /success:enable”以启用策略(提示，上面的命令适合于英文版的Server 2008，如果你是中文版的可输入命令“AuditPol /set /subcategory:\"目录服务更改\" /success:enable“directory server changes”。如果还不可以的话，我们用32位ID来代替实例名。我们可以执行命令AuditPol /backup/file:c:\\test.csv将审核策略保存为test.csv，然后用记事本打开查看到与“目录服务更改”对应的ID，然后执行命令，比如AuditPol /set /subcategory:{0CCE923C-69AE-11D9-BED3-505054503030} /success:enable即可)。然后输入命令gpupdage更新组策略。(图7)

　

登录/注册后可看大图

　　图7 用审核策略加强AD管理

　　然后“开始→管理工具→Active Directory用户和计算机”打开AD用户和计算机管理器，找到你需要启用审核策略的OU(组织单元)比如ctocio，右键单击选择“属性”打开其属性对话框，在“安全”标签下点击“高级”按钮在打开的对话框中点击“审核”标签，点击下面的“添加”按钮输入Authenticated Users或者其他对对象然后退回到审核项目窗口。在“应用到”下拉列表中选择“后代用户对象”(或者其他)，然后勾选“访问”下的“写入全部属性”中的“成功”，最后依次退出设置窗口。(图8)

　　

登录/注册后可看大图

　　图8 用审核项目

为了验证效果，我们在ctocio OU中创建一个用户，右键单击选择“新建→用户”根据向导新建用户wf。然后“开始→管理工具→事件查看器”可在“安全日志”中看到与“目录服务更改”相关的内容，查看“详细信息”administrator用户在fr.zhongtian.com的DC的ctocio的OU中创建了wf用户。(图9)

登录/注册后可看大图

图9 安全审核

　　总结：Active Directory作为微软在局域网与资源管理等方面的解决方案，在Windows Server 2008中其优越性得到进一步的体现。特别值得一提的是微软对AD的证书服务进行了重新设计，它与组策略设置密切配合，提供更容易的证书注册、发现和存储。作为一款比较新的服务器平台，Server 2008还有许多新的功能与技巧等待我们去利用和挖掘。

ll32 · 发表于 2009-6-29 13:58

AD从Server 2003迁移到Server 2008后，带来的不仅仅是性能上的提升，对管理者来说最享受的是管理与维护中的便捷与高效。Server 2008潜力无限，下面笔者与大家分享3个可提升AD管理效率与安全的技巧。
　　1、不重启DC快速进入AD脱机模式
　　做过AD(活动目录)的人都知道，基于Windows Server 2000/2003的DC(域控制器)如果要脱机维护AD就必须重启DC然后进入AD的还原模式才可以。这样做其弊端是显而易见的，AD下的诸如RIS服务、文件服务、打印服务等都会受到影响而不能运行。在Windows Server 2008中我们可以不需重新启动DC就可以停止AD服务，进而执行只有在AD脱机脱机状态下才可执行的操作，而对其他服务没有任何影响。
　　Windows Server 2008中停止AD服务和停止其他任何服务一样，在命令行(cmd)下执行“net stop ntds”就可停止与AD服务，当然也会停止与AD相关的服务诸如：文件复制服务、站点间通信、DNS 服务器等，但对整个服务器的影响不大，至少比重启DC要迅捷快速得多。(图1)

　　

登录/注册后可看大图

　　图1 Windows Server 2008中停止AD服务

　　AD服务停止后我们就可以执行某些只能在脱机模式下才能进行的操作，比如运行ntdsutil命令对AD数据库进行完整性验证、碎片整理，用copy命令移动数据，用del命令清除日志等操作了。等脱机维护任务完成后，我们只需在命令行中执行“net start ntds”，AD服务又重新启动，是否很快捷呢?(图2)

　　

登录/注册后可看大图

　　图2运行ntdsutil命令对AD数据库进行完整性验证

2、快速找到并恢复某个AD备份

　　大家知道在基于Windows Server 2000/2003的DC中，如果要恢复某个AD备份需要从多个备份中筛选进行恢复，往往我们需要反复尝试多次才能实现我们所需要的恢复。在Server 2008中利用AD的DMT(AD数据库管理工具)工具就非常方便地利于我们查看备份的时间段，并灵活地选择所要恢复到的时间段。下面我们以AD数据库快照的形式进行查看和演示。
　　(1)创建快照
　　我们需要用到Ntdsutil.exe命令，这是一个为AD提供管理设施的命令行工具，它可以执行AD数据库的维护，管理和控制单个主机操作，创建应用程序目录分区，以及删除DC中残留的元数据。在命令行下执行Ntdsutil.exe，根据命令提示在ntdsutil后输入snapshot申明快照，在快照后输入activate instance ntds创建的活动实例为ntds，在快照后输入create创建快照，稍等片刻成功创建快照集{c94362d1-1bc9-4bc7-8af7-7cc716208296}，这是一个32位的识别码，是随机的且具有唯一性。(图3)

　

登录/注册后可看大图

　　图3 snapshot申明快照

　　(2)加载快照
　　继续在上面的命令提示符下输入mount {c94362d1-1bc9-4bc7-8af7-7cc716208296}装载刚才创建的快照，提示{c94362d1-1bc9-4bc7-8af7-7cc716208296}已作为 C:\\$SNAP_200801141137_VOLUMEC$\\装载。此时不要关闭该命令行，然后再打开一个命令行(cmd)输入输入dsamain -dbpath C:\\$SNAP_200801141137_VOLUMEC$\\windows\\ntds\\ntds.dit -ldapport 33890加载只读数据库的快照，33890为加载的端口号。(图4)

　　

登录/注册后可看大图

　　图4 加载快照

(3)查看AD实例

　　执行“开始→管理工具→Active Directory 用户和计算机”，在DC域上点击右键选择“更改域控制器”打开“更改目录服务器”对话框，点选“此域控制器或 AD LDS实例”，可以看到当前AD的实例的状态，我们可使得刚才创建的快照实例，只需输入类似“DC:端口”(本例为fr.zhongtian.com:3382)即可。(图5)

　

登录/注册后可看大图

　　图5 AD的实例的状态

　　(4)删除快照
　　运行命令提示符工具，输入ntdsutil进入命令行，输入snapshot进入快照操作，输入list mounted可以查看刚才创建的快照，然后通过delete删除快照。(图6)

　　

登录/注册后可看大图

　　图6 删除快照

3、用审核策略加强AD管理

　　我们知道在Windows Server 2008以前的Sever版本中当AC启用审计策略后，会产生大量的事件日志造成DC性能的降低和磁盘空间的负担，而且，也不能记录某个属性更改前后的值。二Server 2008的的审核策略非常强大，特别是针对AD做了很多优化和扩展，其审计更为详细。
　　笔者认为对于AD，Server 2008的审核策略中针对事件记录，诸如精确记录属性修改前后的值、记录修改时间、记录修改者、记录修改对象这几项非常实用，有助于管理者对DC的安全管理和维护。下面我们结合实例演示一个新的审核策略的详细配置过程。
　　首先在命令行下输入命令“auditpol /set /subcategory:\"directory service changes\" /success:enable”以启用策略(提示，上面的命令适合于英文版的Server 2008，如果你是中文版的可输入命令“AuditPol /set /subcategory:\"目录服务更改\" /success:enable“directory server changes”。如果还不可以的话，我们用32位ID来代替实例名。我们可以执行命令AuditPol /backup/file:c:\\test.csv将审核策略保存为test.csv，然后用记事本打开查看到与“目录服务更改”对应的ID，然后执行命令，比如AuditPol /set /subcategory:{0CCE923C-69AE-11D9-BED3-505054503030} /success:enable即可)。然后输入命令gpupdage更新组策略。(图7)

　

登录/注册后可看大图

　　图7 用审核策略加强AD管理

　　然后“开始→管理工具→Active Directory用户和计算机”打开AD用户和计算机管理器，找到你需要启用审核策略的OU(组织单元)比如ctocio，右键单击选择“属性”打开其属性对话框，在“安全”标签下点击“高级”按钮在打开的对话框中点击“审核”标签，点击下面的“添加”按钮输入Authenticated Users或者其他对对象然后退回到审核项目窗口。在“应用到”下拉列表中选择“后代用户对象”(或者其他)，然后勾选“访问”下的“写入全部属性”中的“成功”，最后依次退出设置窗口。(图8)

　　

登录/注册后可看大图

　　图8 用审核项目

为了验证效果，我们在ctocio OU中创建一个用户，右键单击选择“新建→用户”根据向导新建用户wf。然后“开始→管理工具→事件查看器”可在“安全日志”中看到与“目录服务更改”相关的内容，查看“详细信息”administrator用户在fr.zhongtian.com的DC的ctocio的OU中创建了wf用户。(图9)

登录/注册后可看大图

图9 安全审核

　　总结：Active Directory作为微软在局域网与资源管理等方面的解决方案，在Windows Server 2008中其优越性得到进一步的体现。特别值得一提的是微软对AD的证书服务进行了重新设计，它与组策略设置密切配合，提供更容易的证书注册、发现和存储。作为一款比较新的服务器平台，Server 2008还有许多新的功能与技巧等待我们去利用和挖掘。