AD從Server 2003遷移到Server 2008后，帶來(lái)的不僅僅是性能上的提升，對(duì)管理者來(lái)說(shuō)最享受的是管理與維護(hù)中的便捷與高效。Server 2008潛力無(wú)限，下面筆者與大家分享3個(gè)可提升AD管理效率與安全的技巧。

　　1、不重啟DC快速進(jìn)入AD脫機(jī)模式

　　做過AD(活動(dòng)目錄)的人都知道，基于Windows Server 2000/2003的DC(域控制器)如果要脫機(jī)維護(hù)AD就必須重啟DC然后進(jìn)入AD的還原模式才可以。這樣做其弊端是顯而易見的，AD下的諸如RIS服務(wù)、文件服務(wù)、打印服務(wù)等都會(huì)受到影響而不能運(yùn)行。在Windows Server 2008中我們可以不需重新啟動(dòng)DC就可以停止AD服務(wù)，進(jìn)而執(zhí)行只有在AD脫機(jī)脫機(jī)狀態(tài)下才可執(zhí)行的操作，而對(duì)其他服務(wù)沒有任何影響。

　　Windows Server 2008中停止AD服務(wù)和停止其他任何服務(wù)一樣，在命令行(cmd)下執(zhí)行“net stop ntds”就可停止與AD服務(wù)，當(dāng)然也會(huì)停止與AD相關(guān)的服務(wù)諸如：文件復(fù)制服務(wù)、站點(diǎn)間通信、DNS 服務(wù)器等，但對(duì)整個(gè)服務(wù)器的影響不大，至少比重啟DC要迅捷快速得多。(圖1)

　　

　　圖1 Windows Server 2008中停止AD服務(wù)

　　AD服務(wù)停止后我們就可以執(zhí)行某些只能在脫機(jī)模式下才能進(jìn)行的操作，比如運(yùn)行ntdsutil命令對(duì)AD數(shù)據(jù)庫(kù)進(jìn)行完整性驗(yàn)證、碎片整理，用copy命令移動(dòng)數(shù)據(jù)，用del命令清除日志等操作了。等脫機(jī)維護(hù)任務(wù)完成后，我們只需在命令行中執(zhí)行“net start ntds”，AD服務(wù)又重新啟動(dòng)，是否很快捷呢?(圖2)

　　

　　圖2運(yùn)行ntdsutil命令對(duì)AD數(shù)據(jù)庫(kù)進(jìn)行完整性驗(yàn)證

 

#p#

2、快速找到并恢復(fù)某個(gè)AD備份

　　大家知道在基于Windows Server 2000/2003的DC中，如果要恢復(fù)某個(gè)AD備份需要從多個(gè)備份中篩選進(jìn)行恢復(fù)，往往我們需要反復(fù)嘗試多次才能實(shí)現(xiàn)我們所需要的恢復(fù)。在Server 2008中利用AD的DMT(AD數(shù)據(jù)庫(kù)管理工具)工具就非常方便地利于我們查看備份的時(shí)間段，并靈活地選擇所要恢復(fù)到的時(shí)間段。下面我們以AD數(shù)據(jù)庫(kù)快照的形式進(jìn)行查看和演示。

　　(1).創(chuàng)建快照

　　我們需要用到Ntdsutil.exe命令，這是一個(gè)為AD提供管理設(shè)施的命令行工具，它可以執(zhí)行AD數(shù)據(jù)庫(kù)的維護(hù)，管理和控制單個(gè)主機(jī)操作，創(chuàng)建應(yīng)用程序目錄分區(qū)，以及刪除DC中殘留的元數(shù)據(jù)。在命令行下執(zhí)行Ntdsutil.exe，根據(jù)命令提示在ntdsutil后輸入snapshot申明快照，在快照后輸入activate instance ntds創(chuàng)建的活動(dòng)實(shí)例為ntds，在快照后輸入create創(chuàng)建快照，稍等片刻成功創(chuàng)建快照集{c94362d1-1bc9-4bc7-8af7-7cc716208296}，這是一個(gè)32位的識(shí)別碼，是隨機(jī)的且具有唯一性。(圖3)

　　

　　圖3 snapshot申明快照

　　(2).加載快照

　　繼續(xù)在上面的命令提示符下輸入mount {c94362d1-1bc9-4bc7-8af7-7cc716208296}裝載剛才創(chuàng)建的快照，提示{c94362d1-1bc9-4bc7-8af7-7cc716208296}已作為 C:\$SNAP_200801141137_VOLUMEC$\裝載。此時(shí)不要關(guān)閉該命令行，然后再打開一個(gè)命令行(cmd)輸入輸入dsamain -dbpath C:\$SNAP_200801141137_VOLUMEC$\windows\ntds\ntds.dit -ldapport 33890加載只讀數(shù)據(jù)庫(kù)的快照，33890為加載的端口號(hào)。(圖4)

　　

　　圖4 加載快照

 

#p#

　(3).查看AD實(shí)例

　　執(zhí)行“開始→管理工具→Active Directory 用戶和計(jì)算機(jī)”，在DC域上點(diǎn)擊右鍵選擇“更改域控制器”打開“更改目錄服務(wù)器”對(duì)話框，點(diǎn)選“此域控制器或 AD LDS實(shí)例”，可以看到當(dāng)前AD的實(shí)例的狀態(tài)，我們可使得剛才創(chuàng)建的快照實(shí)例，只需輸入類似“DC:端口”(本例為fr.zhongtian.com:3382)即可。(圖5)

　　

　　圖***D的實(shí)例的狀態(tài)

　　(4).刪除快照

　　運(yùn)行命令提示符工具，輸入ntdsutil進(jìn)入命令行，輸入snapshot進(jìn)入快照操作，輸入list mounted可以查看剛才創(chuàng)建的快照，然后通過delete刪除快照。(圖6)

　　

　　圖6 刪除快照

 

#p#

　　3、用審核策略加強(qiáng)AD管理

　　我們知道在Windows Server 2008以前的Sever版本中當(dāng)AC啟用審計(jì)策略后，會(huì)產(chǎn)生大量的事件日志造成DC性能的降低和磁盤空間的負(fù)擔(dān)，而且，也不能記錄某個(gè)屬性更改前后的值。二Server 2008的的審核策略非常強(qiáng)大，特別是針對(duì)AD做了很多優(yōu)化和擴(kuò)展，其審計(jì)更為詳細(xì)。

　　筆者認(rèn)為對(duì)于AD，Server 2008的審核策略中針對(duì)事件記錄，諸如精確記錄屬性修改前后的值、記錄修改時(shí)間、記錄修改者、記錄修改對(duì)象這幾項(xiàng)非常實(shí)用，有助于管理者對(duì)DC的安全管理和維護(hù)。下面我們結(jié)合實(shí)例演示一個(gè)新的審核策略的詳細(xì)配置過程。

　　首先在命令行下輸入命令“auditpol /set /subcategory:"directory service changes" /success:enable”以啟用策略(提示，上面的命令適合于英文版的Server 2008，如果你是中文版的可輸入命令“AuditPol /set /subcategory:"目錄服務(wù)更改" /success:enable“directory server changes”。如果還不可以的話，我們用32位ID來(lái)代替實(shí)例名。我們可以執(zhí)行命令A(yù)uditPol /backup/file:c:\test.csv將審核策略保存為test.csv，然后用記事本打開查看到與“目錄服務(wù)更改”對(duì)應(yīng)的ID，然后執(zhí)行命令，比如AuditPol /set /subcategory:{0CCE923C-69AE-11D9-BED3-505054503030} /success:enable即可)。然后輸入命令gpupdage更新組策略。(圖7)

　　

　　圖7 用審核策略加強(qiáng)AD管理

　　然后“開始→管理工具→Active Directory用戶和計(jì)算機(jī)”打開AD用戶和計(jì)算機(jī)管理器，找到你需要啟用審核策略的OU(組織單元)比如ctocio，右鍵單擊選擇“屬性”打開其屬性對(duì)話框，在“安全”標(biāo)簽下點(diǎn)擊“高級(jí)”按鈕在打開的對(duì)話框中點(diǎn)擊“審核”標(biāo)簽，點(diǎn)擊下面的“添加”按鈕輸入Authenticated Users或者其他對(duì)對(duì)象然后退回到審核項(xiàng)目窗口。在“應(yīng)用到”下拉列表中選擇“后代 用戶 對(duì)象”(或者其他)，然后勾選“訪問”下的“寫入全部屬性”中的“成功”，***依次退出設(shè)置窗口。(圖8)

　　

　　圖8 用審核項(xiàng)目

 

#p#

為了驗(yàn)證效果，我們?cè)赾tocio OU中創(chuàng)建一個(gè)用戶，右鍵單擊選擇“新建→用戶”根據(jù)向?qū)陆ㄓ脩魒f。然后“開始→管理工具→事件查看器”可在“安全日志”中看到與“目錄服務(wù)更改”相關(guān)的內(nèi)容，查看“詳細(xì)信息”administrator用戶在fr.zhongtian.com的DC的ctocio的OU中創(chuàng)建了wf用戶。(圖9)

　　

　　圖9 安全審核

　　總結(jié)：Active Directory作為微軟在局域網(wǎng)與資源管理等方面的解決方案，在Windows Server 2008中其優(yōu)越性得到進(jìn)一步的體現(xiàn)。特別值得一提的是微軟對(duì)AD的證書服務(wù)進(jìn)行了重新設(shè)計(jì)，它與組策略設(shè)置密切配合，提供更容易的證書注冊(cè)、發(fā)現(xiàn)和存儲(chǔ)。作為一款比較新的服務(wù)器平臺(tái)，Server 2008還有許多新的功能與技巧等待我們?nèi)ダ煤屯诰颉?/P>

【相關(guān)文章】

• Server 2008升級(jí)安裝和完全安裝全攻略

• 讓你的Windows server 2008 更安全 限制匿名訪問

• Windows Server 2008快速創(chuàng)建新用戶方法