网络安全-Windows系统安全5

Window系统安全

活动目录与域概述

域和域控制器

工作组

• 特点：地位平等、管理分散，没有实现集中管理
• 默认工作组名：WORKGROUP
• 工作组环境下创建的用户称为本地用户，本地用户是本地创建、本地存储、本地登录且只能登录本地一台计算机

域（Domain）

• 集中管理网络中多台计算机的一种逻辑模式
• 有别于工作组的对等式管理
• 是组织与存储资源的核心管理单元

域控制器（Domain Controller）

• 每个域中至少有一台域控制器
• 集中存放整个域的用户账号和安全数据库

活动目录的概念

活动目录（Active Directory）

• Windows网络中的目录服务
• 提供了存储网络对象信息并使网络用户使用这些数据的方法

活动目录特点

• 集中管理、便捷的网络资源（用户/组账号、共享文件夹、打印机）访问
• 可扩展性

创建AD域网络

升级域控的条件

• 安装者必须具有本地管理员权限
• 操作系统版本必须为Windows Server版
• 本地磁盘至少有一个分区为NTFS文件系统
• 静态TCP/IP设置（IP地址、子网掩码等）
• 有相应的DNS服务器支持
• 有足够的可用磁盘空间

安装第一台域控制器

推荐步骤

• 设置网络环境和主机名
• Active Directory域服务
• 提升为域控制器
• 在新林中新建域
• 林功能级别
• 设置目录服务还原模式的Administrator密码
• 安装

设置网络参数和主机名

配置域控制器网络环境

添加活动目录

添加Active Directory域服务

活动目录安装向导

添加新林、输入域名

林级别及目录服务还原密码

安装

加入域网络

客户计算机加入域

配置客户端网络环境

设置 “计算机名/域更改”

输入域用户账户名

确认域成员身份

域用户管理

创建域用户账户

域用户账户存储在活动目录数据库中

创建域用户的工具

显示名

• 在同一组织单位（OU）内应唯一

用户登录名

• 在整个域唯一
• 最长20字符

配置域用户账户属性

• 登录时间
• 登录到
• 账户过期

登录时间

• 默认任意时间都能登录

登录到

• 可限制登录的计算机

OU与组策略

组织单元（OU）

概念

• 容器：有效地组织活动目录对象

设计方式

• 基于部门的OU
• 基于地理位置的OU
• 基于对象类型的OU
• OU的设计也可以是混合的

组策略的作用

组策略（一组策略的集合）

• 可以统一修改系统、设置程序
• 调整桌面环境、安全设置、自动执行脚本、软件分发

使用组策略可以：

• 对整个域设置组策略，可影响所有成员计算机和域用户的工作环境
• 对OU设置组策略，可影响该OU下的所有计算机和域用户的工作环境
• 降低布置用户和计算机环境的总费用，方便推行公司计算机使用规范及安全策略

组策略设置对象

组策略的具体设置保存在GPO中

默认的2个GPO

• 默认域策略（Default Domain Policy）
• 默认域控制器策略（Default Domain Controller Policy）

计算机配置与用户配置