注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

_

_

 
 
 

日志

 
 

Active Directory  

2014-01-16 01:21:01|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

Active Directory

Active Directory 可提供管理身分識別和構成企業網路之環境關係的方法,因此 Windows Server 2008 將次世代 Active Directory 整合於其中,以便帶給您立即可用的功能,滿足您對集中設定與管理系統、使用者以及設定應用程式的需求。擁有 Active Directory 後,您僅需透過單一登入(SSO)動作即可存取網路資源,以及協助增強所儲存之資訊與通訊的隱私權和安全性,以簡化使用者與電腦的管理工作。

Active Directory 已在 Windows Server 2003 R2 中,自我證明是一項功能健全的目錄服務。Windows Server 2008 係基於 Active Directory 先前的成功基礎而推出,並提供了多項新增及改善功能:

Active Directory Domain Services

Active Directory Domain Services(AD DS)舊稱 Active Directory Directory Services,是儲存於樹系中之組態設定資訊、驗證請求以及所有物件相關資訊的中央集區,您只需利用 Active Directory,即可從安全且集中化的單一地點,有效率地管理使用者、電腦、群組、印表機、應用程式以及其他目錄式物件。 Windows Server 2008 中的 AD DS 包含了以下加強功能:

  • 稽核:您可以紀錄對 Active Directory 物件所做的變更,即可知道物件有哪些改變以及已變更屬性的先前值和目前值。

  • 精細密碼 (Fine-Grained Passwords):您可以針對網域中的不同群組設定密碼原則,使在同一網域中的每一個帳戶不再受限於必須使用相同的密碼原則。

  • 唯讀網域控制站:您可以在無法確保網域控制站之安全性的環境中,部署使用唯讀版本 Active Directory 資料庫的網域控制站,例如網域控制站的實體安全性有疑慮的分公司,或具有額外角色功能並需要其他使用者登入,以及管理伺服器的網域控制站。由於唯讀網域控制站(RODC)係使用資料複本,因此可避免因分公司對資料所做的更改而發生破壞或損毀 AD 樹系的情形, RODC 亦可讓分公司網域控制站避免使用發行前中繼站台(Staging Site),或避免派送安裝媒體與網域系統管理員至分公司。

  • 可重新啟動的 Active Directory Domain Services:您可中止進行 Active Directory Domain Services 的維護工作。大部分維護作業都不需要將網域控制站重開機,以及重新啟動為 Directory Services Restore Mode,而且在目錄服務離線期間,網域控制站上的其他服務亦仍可繼續運作。

  • 資料庫掛載工具:此工具可掛載 Active Directory 資料庫快照,供網域系統管理員檢視快照中的物件,以便在必要時判斷還原需求。

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Service(AD LDS)舊稱 Active Directory Application Mode,能夠為目錄式應用程式提供目錄服務。AD LDS 可取代企業的 AD DS 資料庫儲存目錄式應用程式的資料,還可與 AD DS 同時使用,如此,您不僅可以擁有一個安全性帳戶的中央集區(AD DS),同時也可擁有另一個支援應用程式設定和目錄資料(AD LDS)的地點。您可利用 AD LDS 減輕與複製 Active Directory 的相關負荷,而且不需要為了支援應用程式而擴充 Active Directory 架構,還可將目錄結構分割,讓 AD LDS 服務只會部署至必須支援目錄式應用程式的伺服器。 Windows Server 2008 中的 AD LDS 包含了以下功能加強:

  • 從您建立的媒體安裝: 讓您可以利用 Ntdsutil.exe 或 Dsdbutil.exe 建立 AD LDS 安裝媒體。

  • 稽核:目錄服務中變動值的稽核。

  • 資料庫掛載工具:可檢視資料庫檔案快照中的資料。

  • Active Directory Sites and Services 支援:可使用 Active Directory Sites and Services 管理 AD LDS 資料異動的複製。

  • LDIF 檔案的動態清單:具備此項功能便可在自訂 LDIF 檔案,與用以將 AD LDS 安裝於伺服器上的現有預設 LDIF 檔案之間建立關聯性。

  • Recursive Linked-Attribute Queries:LDAP 查詢可深入巢狀屬性連結找出其他屬性內容,例如群組會員。

Active Directory Certificate Services

大部分企業係使用憑證機制證明使用者或電腦的身分,且在透過不安全的網路連線傳輸資料時將資料加密,而 Active Directory Certificate Services(AD CS)即可將個人、裝置或服務的身分識別與他們本身的私密金鑰結合,進而增強安全性。將憑證與私密金鑰儲存在 Active Directory 內,不僅可安全地保護身分識別資料,亦可在應用程式提出請求時,以 Active Directory 作為擷取適當資訊的集中地點。Windows Server 2008 中的 AD CS 包含了以下功能加強:

  • Enrollment Agent Templates:可針對每一個範本指定委派的註冊代理程式。

  • 整合式Simple Certificate Enrollment Protocol(SCEP):可將憑證發給網路裝置,例如路由器。

  • Online Responder:Certificate Revocation List(CRL)項目可透過單一憑證回應,而非以整個 CRL 的方式回傳給提出請求者,即可減少用戶端驗證憑證時所耗用的網路流量。

  • Enterprise PKI (PKI View):此工具是 AD CS 的新管理工具,可讓 Certificate Services 系統管理員管理憑證授權單位(Certification Authorities,CAs)的階層架構、瞭解CA的整體健康狀況,以及讓錯誤疑難排解變得更容易。

Active Directory Federation Services

Active Directory Federation Services 是一項高度安全、高延展性,且具備網際網路擴充性的身分識別存取解決方案,可協助企業驗證來自合作夥伴企業的使用者。使用 Windows Server 2008 中的 AD FS,您即可輕鬆且安全地授予外部使用者存取您企業網域資源的存取權, AD FS 亦可簡化不受信任的資源和您自己企業內的網域資源之間的整合。 Windows Server 2008 中的 AD FS 包含了以下功能加強:

  • 可作為整合式伺服器角色:AD FS 是 Windows Server 2008 內的伺服器之一,可透過 Server Manager 輕易地部署與管理,而無需如 Windows Server 2003 R2 般以新增功能的方式處理。

  • 整合 Microsoft Office SharePoint Server 2007:AD FS 可以協助 Office SharePoint Server 2007 的單一登入解決方案。

  • 整合 Active Directory Rights Management Services(AD RMS):AD FS 可與 AD RMS 整合,在無需於雙方企業內部署 AD RMS 的情況下,在企業之間分享受權限保護的內容。

  • 改善的管理:信任資訊的匯入和匯出功能已進行強化,因此每一企業都能快速匯出或匯入 XML 檔案協助設定信任資訊。

Active Directory Rights Management Services

企業的智慧財產必須保持高度安全,以避免受危害。Active Directory Rights Management Services 是 Windows Server 2008 所提供的一個元件,可協助確保只有需要檢視檔案的人員才可加以檢視,由於 AD RMS 可辨識使用者在檔案上具有哪些權限,而得以保護檔案,您亦可設定受權限保護之資訊的權限,以便限制使用者開啟、修改、列印、轉寄或執行其他動作,因此只要擁有了 AD RMS,即使資料在您的網路以外傳送也同樣可以受到保護。Windows Server 2008 中的 AD RMS 包含了以下功能加強:

  • 應用程式支援:Windows Vista 已內含 AD RMS 支援,而 Internet Explorer 7 和 2007 Microsoft Office 系統亦均可支援 AD RMS,因此 AD RMS 用戶端將可安裝於其他的 Windows 作業系統中。

  • 持續不斷的保護:您的資料內容將會隨時隨地受到保護。您可以指定哪些人才可以開啟、修改、列印、管理內容,而且即使資料內容已經傳送到您的企業以外之處,這些權限仍會與資料內容連在一起。

  • 使用原則範本(Usage Policy Templates):如果您具備一組可控制資訊存取的共同權限,即可建立一個使用原則範本後,將其套用至內容上,如此即可減少為每一個欲保護的檔案重新建立使用權限設定的需求。

  • AD RMS Software Development Kit:獨立軟體廠商(ISV)可使用 AD RMS Software Development Kit(SDK)讓應用程式支援權限機制,此即表示您所投資的應用程式可能會(或將會)與 AD RMS 相容。

Active Directory 的其他改善

Active Directory 安裝精靈包含了多項針對先前版本所做的改善,這些改善可讓系統管理員對在網域中安裝網域控制站有更好的控制能力。增強內容包括:

  • Server Manager 可提供更好的管理:Server Manager 是 Windows Server 2008 新的伺服器管理工具,可讓系統管理員預先接移(pre-stage)網域控制站。當您從 Server Manager 主控台新增網域控制站角色時,執行目錄服務安裝所需的檔案便會被複製到伺服器,因此當系統管理員開啟安裝精靈(亦即 dcpromo.exe)時,檔案便已快取備妥且可以使用。

    • 安裝 DNS。

    • 建立 Global Catalog 伺服器。

    • 建立唯讀網域控制站(Read-Only Domain Controller)。

    • 選擇網域控制站的網域(包括從樹狀清單中選擇網域)。

    • 選擇網域控制站的 Active Directory 站台。

    • 設定網域的功能層級。

    • 委派唯讀網域控制站的安裝和管理人員。

    • 設定唯讀網域控制站的密碼複製原則。

    • 設定唯讀網域控制站的密碼複製原則。

  • 建立回應檔案(Answer File):如果多個網域控制站在安裝時均使用相同的設定,您即可利用「Summary」頁面從目前的安裝將設定匯出至一個回應檔案,且不會將 Directory Services Restore Mode 系統管理員帳戶所使用的密碼匯出至回應檔案,您亦可設定永遠都會出現提示,要求安裝網域控制站的使用者提供系統管理員密碼,如此,具回應檔案存放位置存取權的使用者便無法得知密碼。

  • 安裝唯讀網域控制站:新的唯讀網域控制站角色可以利用安裝精靈進行安裝,您亦可在安裝唯讀網域控制站時,定義哪些人才可以安裝以及管理網域控制站。網域系統管理員可在安裝過程的第一個階段中,定義出可以安裝唯讀網域控制站的帳戶,當定義完成後,與唯讀網域控制站有關的使用者即可擁有安裝目錄服務的權限。

其他的 Active Directory 改良

Active Active Directory 安裝精靈包括多種優於先前版本的功能改良。這些功能改善可以幫助系統管理員更輕鬆地控制網域內網域控制站的安裝工作。增強功能包括:

  • 新的樹系功能等級:Windows Server 2008 R2 包含新的 Active Directory 樹系功能等級。Active Directory 伺服器角色中的許多新功能都需要使用這個新的功能等級來設定 Active Directory 樹系。
  • 增強命令列及自動化管理功能:Windows PowerShell Cmdlet 提供完整管理 Active Directory 伺服器角色的功能。
  • 改良式自動化監視及通知:更新的 System Center Manager 2007 Management Pack 可改良 Active Directory 伺服器角色的監視和管理。
  • 搭配伺服器管理員強化管理:「伺服器管理員」是 Windows Server 2008 R2 伺服器管理工具,可以讓系統管理員預先安排網域控制站。由 [伺服器管理員] 主控台加入網域控制站角色時,執行目錄服務安裝所需要的檔案會複製到伺服器。系統管理員啟動 [安裝精靈] (即 dcpromo.exe) 時,檔案已經位於快取記憶體而且就緒可用。
  • 加強對既有標準和最佳做法的相符性:Windows Server 2008 R2 針對每個伺服器角色,都提供內建的 Best Practices Analyzer。Best Practices Analyzer 會在伺服器管理員內,為目標角色建立檢查清單,供您調度執行所有的組態工作。
  • 製作回答檔:如果多個網域控制站於安裝時使用相同的設定,那麼 [摘要] 頁面可以讓您將設定從目前的安裝匯出至回應檔案。Directory Services Restore Mode 系統管理員的帳戶密碼並不會隨回應檔案匯出,而且您可以指定要求安裝網域控制站的使用者都必須輸入系統管理員帳戶密碼。如此一來,存取回應檔案儲存位置的使用者就無法直接取得密碼。
  • 唯讀網域控制站安裝:唯讀網域控制站角色可以透過安裝精靈安裝。安裝唯讀網域控制站時,您可以定義哪些使用者可以安裝並管理網域控制站。 在安裝的第一階段中,網域系統管理員可以定義能夠安裝唯讀網域控制站的帳戶。定義後,與唯讀網域控制站關聯的使用者便具有安裝目錄服務的權限。
  评论这张
 
阅读(644)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017