02升级为域控制器
RODC的特征4
• 管理角色分离:您可以使用该特征来允许 一个普通的域用户成为RODC的本地管理员。 这样此用户可以对分支机构的RODC进行管 理操作,例如安装安全更新或者驱动程序。 这个特征好处在于此用用在域中或者任何 可读写的域控制器上没有用户权利。而在 以前都是可读写DC,DC的本地管理员和域 管理员是没有区别的。这使得分支机构用 户可以有效的管理RODC而不会影响整个域 的安全性。
RODC密码复制策略
3、 缓存少数特定的分支机构账户 • 优点: • 保护了密码安全 • 实现了用户离线访问 • 缺点: • 您需要把每个计算机账户和用户账户映射到每 个分支机构,在RODC的属性中可以查看哪些账 户通过RODC进行身份验证,以此来决定有哪些 账户是需要为该分支机构的,需要进行缓存。这 是一个需要管理员交互式操作的过程,所以带来 一定的管理成本增加。
降级域控
删除DC和域
升级现有的域
• 在操作主机上运行升级命令
– Adprep /forestprep – Adprep /domainprep /gpprep
RODC密码复制策略
• 可读写DC是通过密码复制策略来决定账户的密码 是否可以被RODC缓存 1、不缓存账户。这个是默认设置。 优点: • 最高的安全性 • 快速的策略处理 • 缺点: • 任何人都不可以离线访问 • 在另外一个站点一定要有一台可读写DC用于登 陆
RODC密码复制策略
2、 缓存大部分账户 • 优点: • 很容易进行密码管理。我们只需要关注在管理 RODC的安全而不是密码的安全。 • 缺点: • 对于RODC来说,缓存的大部分的密码将是潜 在的安全威胁。
阶段式RODC的安装
• 第一阶段:新建RODC账户。通常在总公司 执行 • 第二阶段:将服务器附加到RODC账户
1、使用windows窗口创建RODC账户
• 在DC容器创建“只读域控制器账户”
– 预定义主机名 – 委派系统用户
2、将服务器附加t:attach • 使用受委派的用户安装
成员计算机加入和脱离域
• 1、在线加域 • 2、离线加域
离线加域
• 从2008R2开始我们已经可以做到让客户端 离线加域了,即客户加域时DC即使离线, 我们照样可以成功完成。 • 实现必要条件:DC是windows2008R2或以 上,客户端是windows7或以上
• 离线加域包括两个步骤
– 1. 在Active Directory创建一个计算机账户, 并将账户信息保存在文件中。 – 2. 将保存的文件导入到要实现离线加域的计 算机中,使用命令模式调用该文件,实现计算 机离线加域。
升级为域控制器
升级方法
• 1、窗口操作 • 2、dcpromo
无人应答安装域
• • • • • • • • • • • • • • • ;第1台域控制器的应答文件 [DCInstall] InstallDNS=yes NewDomain=forest NewDomainDNSName= DomainNetBiosName=ABC ReplicaOrNewDomain=domain ForestLevel=3 DomainLevel=3 CreateDNSDelegation=No DatabasePath=%SystemRoot%\NTDS LogPath=%SystemRoot%\NTDS SYSVOLPath=%SystemRoot%\SYSVOL SafeModeAdminPassword=111aaAA RebootOnCompletion=yes
部署RODC的指南
• 活动目录复制考虑。RODC可以从 Windows Sever 2003域控制器复制架构分 区和配置分区的数据,但是RODC只能从来 自同一域的Windows Server 2008的可读写 域控制器复制域分区的数据更新。因此, 您至少应该在中央站点安装一台Windows Server 2008的域控制器用于RODC复制。
实现RODC的需求
• 至少一台Windows Server 2008的DC。 • 如果只有一台Windows Server 2008 DC, 此DC应该为PDC角色。 • 应该在同一域中实现多台Windows Server 2008 DC,来实现RODC复制的负载平衡。 • 一个域,一个站点只能拥有一台RODC。
RODC的特征2
• 单向复制:RODC对ADDS和DFS执行的 常规的入站复制。因为您不能直接在RODC 上进行写的操作,所以RODC是不支持出站 复制的,所以作为RODC复制伙伴的可读写 DC是不会从RODC接收到数据的。RODC 的单向复制也同样应用到DFS复制
RODC的特征3
• 只读DNS:您可以在RODC上安装DNS服务。 RODC可以复制DNS所使用的所有应用程 序目录分区(Application Directory Partition),包括ForestDNSZones和 DomainDNSZones。如果您在RODC上安 装了DNS,则客户端可以请求RODC进行 名称解析。但是,在RODC上的DNS是不 支持客户端直接进行更新DNS纪录的,因 此RODC不会在它所拥有的活动目录集成区 域里面注册任何NS纪录。
如何提升林和域的功能级别
添加额外的域控制器
• 普通 • RODC
RODC的特征1
• 只读数据:RODC上包含所有ADDS的对象 和属性,但是和可读写的DC不一样的是, 默认情况下,RODC上不包含账户的密码。 在不能保证域控制器的安全性的情况下 (例如分支机构),我们通过RODC实现域 信息的安全性。在分支机构如果有LDAP的 应用程序需要访问活动目录并对活动目录 对象作修改,则该LDAP应用程序可以重定 向到中央站点的可读写DC上
一、在DC上预创建计算机帐户
生成的加入文档(信息已加密)
• 3. 把生成的帐号信息文件拷贝到目标机或 网络上的共享位置。 • 4. 把DC离线(模拟)
二、在win7上实现离线加域
• 1. 登录到win7(用户 身份无所谓)
• 2、离线加域
小结
• 离线加域的两步操作中第一步其实只是在AD数据 库中预先创建一个计算机帐号,并把该计算机帐 号的相关信息保存在一个文件中,第二步便是把 该文件信息利用命令灌入客户机,从而实现离线 加域的目的。必须注意两个问题: • 1. 计算机名必须和第一步创建的计算机名同名。 • 2. 域或林的2008R2功能级别无所谓,只要满足 DC是2008R2,客户端是windows7即可。
