活动目录的安全配置

  1. 云栖社区>
  2. 博客>
  3. 正文

活动目录的安全配置

科技小能手 2017-11-07 01:45:00 浏览881
展开阅读全文
 windows 活动目录的出现,将我们从繁重的工作组环境中解脱,带来了更安全,更方便管理的网络环境。但活动目录本身成为了入侵的对象,而在这个入侵的方向中,数域控制器这一个节点最为薄弱,我们要通过什么样的操作来保证域控制器的安全。
1)限制用户登录域控制器
      域控制器是整个域环境的核心,并且在活动目录中许多默认组的成员都可以自由登录域控制器,这就增加了域控制器的安全隐患,我们需要通过本地安全策略限制一些用户登录到域控制器。
      在组策略编辑器中: 
                             计算机配置——策略——windows设置——安全设置——本地策略——用户权限分配         选择允许在本地登录策略。
image
      在这里添加只让他登录域控制器的账户或者组,保证其他用户不能登录,这样就首先保证了登录账户的辨别,从而达到安全的效果。
2)创建只读域控制器
      在windows server 2008中,出现了我们期待已久的RODC(只读域控制器)。 
      在windows server 2008中所部属的RODC能为我们带来什么呢? 

1)更高的安全性 
2)更高效的连接域控制器 
3)更快速的访问网络中的资源
      先前我们已经有了站点的概念。例如有上海contoso总公司和西安contoso分公司,当西安的员工需要登录域的时候,需要连接到上海contoso总公司的域控制器上,今天不是2012年,网络速度远远达不到用户的要求,所以我们就在西安站点也搭建了一个域控制器,在windows server 2003的概念下,我们搭建的是可写的域控制器,但是在一个小的分公司中,我们不能为这个可写域控制器提供他需要的保护,例如ISA等等,虽然提高了用户登录效率,反而降低了整个公司网络的网络安全,而这种想法在windows server 2008中就是不存在的,我们可以使用RODC(只读域控制器)来代替之前的可写域控制器来实现安全的网络环境。那么,RODC是如何实现这样的事情的呢?我们接着看。

      第一点,我们的RODC保存了可写域控制器上除账户密码之外的所有对象包括其属性,并且RODC修改或者更新的方法只能通过复制可写域控制器,并不能直接对RODC进行修改。 

      第二点,我们可以通过进行筛选的功能将我们不希望发布到RODC上的属性,但是在设置的时候要注意不要将RODC工作所需要的系统关键属性禁用掉了。其中包括: 
本地安全机构,安全账户管理器,安全服务提供程序接口等。 

      第三点,单向复制,RODC可以从可写域控制器上复制属性到本地,但是可写域控制器不会产生来自RODC的更改,就算RODC出现了故障,也不会影响到其他的地方。 

      第四点,如果账户密码不被复制,那么通过什么样的手段来进行加速域用户登录的呢?在RODC上可以使用缓存凭据的功能来进行,而这样设置也保证了账户的安全,当RODC被侵入,只是丢了在RODC缓存上的用户凭据,而在网络中的其他部分仍然是安全的。
3)建立辅助域控制器 

      
现在的企业网络环境中,一般至少都存在两台域控制器,第二台就是我们这里提到的辅助域控制器。当主域控制器发生故障,可以通过提升辅域控制器来接任他的工作。http://zhengweiit.blog.51cto.com/1109863/300783在前面的博文中,描述了迁移活动目录的方法,在命令行下,也是非常容易的。那么,建立辅助域控制器的优点一共有哪些呢?
1)提高用户登录效率,这个道理如同我们在站点内建立只读域控制器的道理一样,多台域控制器能加快用户登录的速度,将网络负担平摊。
2)备份活动目录,如果建立了辅助域控制器,等于备份了主域控制器,提高了安全性。
3)提高安全性,当一台域控制器瘫痪,用户仍然可以通过另外一台进行登录,不会造成网络瘫痪。
如何部署辅助域控制器:
      其实部署辅助域控制器与部署主域控制器的方法是一样的,只需在选择某一部署配置对话框的时候,选择向现有林添加域控制器,然后填写相关的信息即可。
image
      选择现有域中的额外域控制器。点击下一步,输入相关信息即可。
通过以上3点的设置,我们就可以大幅度的提高域控制器本身的安全特性,也就更好的让活动目录服务于我们的网络环境。


本文转自 郑伟  51CTO博客,原文链接:http://blog.51cto.com/zhengweiit/350497

网友评论

登录后评论
0/500
评论
科技小能手
+ 关注