AD從Server 遷移到Server 後帶來的不僅僅是性能上的提升對管理者來說最享受的是管理與維護中的便捷與高效Server 潛力無限下面筆者與大家分享個可提升AD管理效率與安全的技巧
不重啟DC快速進入AD脫機模式
做過AD(活動目錄)的人都知道基於Windows Server /的DC(域控制器)如果要脫機維護AD就必須重啟DC然後進入AD的還原模式才可以這樣做其弊端是顯而易見的AD下的諸如RIS服務文件服務打印服務等都會受到影響而不能運行在Windows Server 中我們可以不需重新啟動DC就可以停止AD服務進而執行只有在AD脫機脫機狀態下才可執行的操作而對其他服務沒有任何影響
Windows Server 中停止AD服務和停止其他任何服務一樣在命令行(cmd)下執行net stop ntds就可停止與AD服務當然也會停止與AD相關的服務諸如文件復制服務站點間通信DNS 服務器等但對整個服務器的影響不大至少比重啟DC要迅捷快速得多(圖)
圖 Windows Server 中停止AD服務
AD服務停止後我們就可以執行某些只能在脫機模式下才能進行的操作比如運行ntdsutil命令對AD數據庫進行完整性驗證碎片整理用copy命令移動數據用del命令清除日志等操作了等脫機維護任務完成後我們只需在命令行中執行net start ntdsAD服務又重新啟動是否很快捷呢?(圖)
圖運行ntdsutil命令對AD數據庫進行完整性驗證
快速找到並恢復某個AD備份
大家知道在基於Windows Server /的DC中如果要恢復某個AD備份需要從多個備份中篩選進行恢復往往我們需要反復嘗試多次才能實現我們所需要的恢復在Server 中利用AD的DMT(AD數據庫管理工具)工具就非常方便地利於我們查看備份的時間段並靈活地選擇所要恢復到的時間段下面我們以AD數據庫快照的形式進行查看和演示
()創建快照
我們需要用到Ntdsutilexe命令這是一個為AD提供管理設施的命令行工具它可以執行AD數據庫的維護管理和控制單個主機操作創建應用程序目錄分區以及刪除DC中殘留的元數據在命令行下執行Ntdsutilexe根據命令提示在ntdsutil後輸入snapshot申明快照在快照後輸入activate instance ntds創建的活動實例為ntds在快照後輸入create創建快照稍等片刻成功創建快照集{cdbcbcafcc}這是一個位的識別碼是隨機的且具有唯一性(圖)
圖 snapshot申明快照
()加載快照
繼續在上面的命令提示符下輸入mount {cdbcbcafcc}裝載剛才創建的快照提示{cdbcbcafcc}已作為 C:\$SNAP__VOLUMEC$\裝載此時不要關閉該命令行然後再打開一個命令行(cmd)輸入輸入dsamain dbpath C:\$SNAP__VOLUMEC$\windows\ntds\ntdsdit ldapport 加載只讀數據庫的快照為加載的端口號(圖)
圖 加載快照
(
)
查看AD實例
執行開始→管理工具→Active Directory 用戶和計算機在DC域上點擊右鍵選擇更改域控制器打開更改目錄服務器對話框點選此域控制器或 AD LDS實例可以看到當前AD的實例的狀態我們可使得剛才創建的快照實例只需輸入類似DC:端口(本例為:)即可(圖)
圖 AD的實例的狀態
()刪除快照
運行命令提示符工具輸入ntdsutil進入命令行輸入snapshot進入快照操作輸入list mounted可以查看剛才創建的快照然後通過delete刪除快照(圖)
圖 刪除快照
用審核策略加強AD管理
我們知道在Windows Server 以前的Sever版本中當AC啟用審計策略後會產生大量的事件日志造成DC性能的降低和磁盤空間的負擔而且也不能記錄某個屬性更改前後的值二Server 的的審核策略非常強大特別是針對AD做了很多優化和擴展其審計更為詳細
筆者認為對於ADServer 的審核策略中針對事件記錄諸如精確記錄屬性修改前後的值記錄修改時間記錄修改者記錄修改對象這幾項非常實用有助於管理者對DC的安全管理和維護下面我們結合實例演示一個新的審核策略的詳細配置過程
首先在命令行下輸入命令auditpol /set /subcategory:directory service changes /success:enable以啟用策略(提示上面的命令適合於英文版的Server 如果你是中文版的可輸入命令AuditPol /set /subcategory:目錄服務更改 /success:enabledirectory server changes如果還不可以的話我們用位ID來代替實例名我們可以執行命令AuditPol /backup/file:c:\testcsv將審核策略保存為testcsv然後用記事本打開查看到與目錄服務更改對應的ID然後執行命令比如AuditPol /set /subcategory:{CCECAEDBED} /success:enable即可)然後輸入命令gpupdage更新組策略(圖)
圖 用審核策略加強AD管理
然後開始→管理工具→Active Directory用戶和計算機打開AD用戶和計算機管理器找到你需要啟用審核策略的OU(組織單元)比如ctocio右鍵單擊選擇屬性打開其屬性對話框在安全標簽下點擊高級按鈕在打開的對話框中點擊審核標簽點擊下面的添加按鈕輸入Authenticated Users或者其他對對象然後退回到審核項目窗口在應用到下拉列表中選擇後代 用戶 對象(或者其他)然後勾選訪問下的寫入全部屬性中的成功最後依次退出設置窗口(圖)
圖 用審核項目
為了驗證效果
我們在ctocio OU中創建一個用戶
右鍵單擊選擇
新建→用戶
根據向導新建用戶wf
然後
開始→管理工具→事件查看器
可在
安全日志
中看到與
目錄服務更改
相關的內容
查看
詳細信息
administrator用戶在的DC的ctocio的OU中創建了wf用戶
(圖
)
圖
安全審核
總結Active Directory作為微軟在局域網與資源管理等方面的解決方案在Windows Server 中其優越性得到進一步的體現特別值得一提的是微軟對AD的證書服務進行了重新設計它與組策略設置密切配合提供更容易的證書注冊發現和存儲作為一款比較新的服務器平台Server 還有許多新的功能與技巧等待我們去利用和挖掘
From:http://tw.wingwit.com/Article/os/xtgl/201311/9315.html
