学习Windows2008——设计活动目录

正确设计Windows Server2008活动目录域服务（ADDS）结构是成功部署该技术的关键要素。

1. 域设计

2. 审视域信任——包括可传递信任、显式信任、捷径信任、跨森林可传递信任。

3. 选择域名称空间——决定ADDS将占用的一个通用域名系统（DNS）名称空间。ADDS围绕DNS展开工做而且二者不能分割。但注意：如在因特网中注册一个AD名称空间则可能暴露给入侵者；所以要考虑好使用内部名称空间仍是外部名称空间，或者将多个名称空间结合到一个森林中。

4. 分析域设计特性——精细粒度口令策略、域重命名功能、跨森林可传递信任、经过媒体提高域控制器。

5. 选择域结构——设计ADDS域结构的一个基本原则：从简单开始，而后仅在必要时予以扩展以解决特殊的需求。域主要的设计模型以下：单域模型、多域模型、单森林中的多树模型、联合森林设计模型、同位体根（peer-root）模型、占位符域模型、专用域模型。

单域的好处是简单、实现了集中式管理。缺点是可能不彻底适合公司所须要，因为单域要求充当模式主控角色的计算机必须位于此域中，这样会讲模式主控放置在包含全部用户帐户的域中，使模式暴露的风险增大。因而设计将模式主控分离到占位符域的模型能够达到解决风险。

若是在基础结构内存在以下特性，则可能有必要向现有的域结构中添加子域：

分布式管理——若是一个公司一般由其不一样的分支机构管理它们本身的IT结构而且从此不打算将它们合并到一个集中式模型中，那么采用多个互连的域多是理想的结构。

地理限制——若是极低速率链路或不可靠的链路以及地理上较远的距离分割公司不一样的部门，那么将用户群体划分到分离的域中或许是明智的作法。而其中地理分布建立域的主要缘由可能在于提升管理的灵活性。

惟一的DNS名称空间问题

增强安全性考虑——根据公司的须要，将模式主控角色分离到一个与用户隔离的域中多是合适的作法。在这种状况下，单域模型再也不适用而采用诸如同位体根或占位符这样的模型更加适合。

多域模型

单个森林中的多树模型——例如你的公司想考虑使用ADDS并但愿将外部名称空间用于公司的设计。可是公司当前的环境使用了多个DNS名称空间并须要将它们集成到同一个设计中。多个名称空间如：hotmail.com、microsoft.com、msn.com、msnbc.com。在此设计中只有一个域是森林的根。在这个示例中microsoft.com是根域而且只有这个域可以控制到森林模式的访问权。域之间的全部信任关系均是可传递的，而且信任能够从一个域流动到另外一个域。通常是依据分离的DNS名称空间，须要整合这些名称空间时 采用。例如政府部门中的消防、公安、公交、医疗等部门。

联合森林设计模型——实现的特性是跨森林可传递信任。容许使用彻底分离的模式在两个森林之间创建可传递信任，从而使森林之间的用户可以共享信息并验证用户。它很是适合于以下两种不一样的情景。一种是当企业出现收购、并购和其余形式的组织重组时就联合两个异类的ADDS结构。在这些状况下，须要连接两个AD森林以交换信息。另外一种是公司内的不一样部门或子公司不只要求绝对安全性和IT结构的全部权并且须要交换信息的状况。有时采用这种设计是因为须要对公司的不一样部门之间的安全性进行完全地隔离。

空根域模型——模式是ADDS的一个最重要的组件，应该获得严密的保护和监管。而空根域模型就是为了将模式的密钥与用户群体相隔离的一种可供考虑的明智选择。着重于安全性的选择。这种模型的好处：安全、能够灵活地重命名域、添加域而且实际上能够移入和移出子域而不须要重命名森林。

专用域设计模型——专用域或森林是服务于特殊需求而创建的。好比公司能够设置一个专用域来容纳外部承包商或临时工人，以限制使用ADDS主森林。分离的专用域的另外一种可能用法是驻留具备目录服务能力的应用程序，处于安全性或其余缘由，这些应用程序要求自身具备对模式的独占访问权。经过创建跨森林信任关系来容许共享两个环境之间的信息。

域重命名有诸多限制：

不能减小森林中域的数量——不能使用域重命名工具从森林中删除额外的域。但可使用ADMT来执行域合并任务。

不能降级当前的根域——尽管域重命名工具能够将域从ADDS名称空间的一部分拼接和移植到另外一部分，可是不能更改树中的根域。但能够重命名根域。

不能在一个周期内转变当前的域名——一个生产域不能命名为与同一个森林中存在的另外一个生产域相同的名称。容许执行域重命名过程两次来得到这种指望的功能。

域重命名的先决条件：

1. 整个森林必须处于Windows Server2003或Windows Server2008功能级别上

2. 必须建立新的DNS区域——一个域的DNS服务器必须为域将重命名到的新域名称空间添加一个区域。

3. 必须从控制台服务器上执行域重命名——一个成员Windows Server2008计算机（而不是域控制器）必须充当域重命名过程的控制台服务器。

4. 可能须要建立捷径信任关系——移接到ADDS森林中某个新位置的任何域都须要在它自身和它将移植到的父域之间创建捷径信任。

仅在没有其余备选方案时才谨慎地使用域重命名。 

除了前面列出的限制和先决条件外，域重命名的大部分障碍是以森林中断的形式出现的，这是因为森林中全部计算机的重启形成的。在知足先决条件以后，能够经过6个基本步骤来实现整个域重命名过程。此例行程序对网络要求至关苛刻，由于它会形成网络基础设施中止运行而不该该视为一种常见的操做。

步骤1：列出当前的森林描述。用于域重命名的工具称为Rendom。从控制台服务器上运行的第一个程序是rendom /list，它用于定位域中的域控制器并将全部域名信息解析到一个名为Domainlist.xml的XML文档 中 。

步骤2：使用新的域名修改森林描述。必须使用新的域名信息修改经过/list标记生成的XML文件。此步骤使用NetBOIS和DNS名称

步骤3：将重命名脚本上载到域控制器（DC）。在使用新的域信息更新XML文档以后，经过使用rendom /upload命令能够将此文档上载到森林中的全部域控制器。此程序将指令和新的域信息向上复制到森林内的全部域控制器。

步骤4：为域重命名准备好域控制器。域重命名是一个全面完全的过程，由于森林中的全部域控制器接收到更新信息是绝对必需的。所以，有必要运行rendom /prepare发起准备过程，以检查ADDS中列出的每一个单域控制器是否响应并指示已准备好升级。不过不是全部单域域控制器都予以响应，准备活动失败后必须从新开始。采用此预防措施能够防止关机或跨越网络不可访问的域控制器随后出如今网络上并企图用旧的域名为客户机提供服务。

步骤5：执行域重命名程序。在全部域控制器确定地响应准备操做之后，能够经过从控制台服务器上运行rendom /execute命令开始实际的域重命名。在运行execute命令以前，实际上没有对生产环境作出更改。可是，当运行此明明时全部域控制器会进行更改并自动重启。而后必须创建一种重启全部成员服务器、工做站及其余客户机的方法，而且随后将它们重启两次以确保全部服务接收到域命名变化。

步骤6：重命名以后的任务。Rendom任务中的最后一个步骤是运行Rendom /clean操做，它将删除在域控制器上建立的临时文件并将域返回到正常操做状态。除了清除任务之外，须要有效重命名每一个域控制器，更改它的主DNS后缀。每一个域控制器都须要通过这个操做，能够经过netdom命令行实用程序来执行此操做。以下步骤概述了域控制器的重命名过程：

1. 打开CMD

2. 输入netdom computername Oldsevername /add:NewServerName

3. 输入netdom computername Oldsevername /makeprimary:NewServerName

4. 重启服务器

5. 输入netdom computername NewServerName /remove:Oldsevername

 

 组织单元OU和组结构都可定制以知足几乎全部业务需求。

组织单元是一种管理级容器，用于在逻辑上组织ADDS中的对象。推荐奖用户和计算机对象从他们默认的容器转移到OU结构中。

OU结构能够嵌套或者能够包含多层深的子OU。可是要记住OU结构越复杂，管理越复杂，而且目录查询将消耗更多的时间。微软推荐嵌套的深度不要超过10层。

OU主要用于知足将管理权委托给分离的管理员组的须要。

OU不会面临目录的威胁，所以在如下状况下会使用OU：当用户但愿向OU的成员发送电子邮件，他将看不到OU结构也看不到OU分组中的成员。为了查看一个组织结构中的成员，应该建立ADDS组。当用户但愿列出组织中的成员和组时能够将组暴露给目录而且让用户看到。

组用于在逻辑上将用户组织到一个便于识别的结构中。但它的工做方式与OU有一些重大的区别，区别以下：

组成员对用户时可见的——尽管OU的可见性被限制在使用特殊管理工具的管理员，可是全部参与域活动的用户均可以查看组。

多个组中的成员资格——OU相似于文件系统的文件夹结构。换句话说，一次仅能将文件保留在一个文件夹中。可是，组成员资格并非独占的。用户能够成为许多组中任何一个组的成员，而且能够随时更改她在该组中的成员资格。

做为安全规则的组——ADDS中的每一个安全组在建立后都含有一个与其相关联的惟一安全标示符（SID）。OU没有相关联的访问控制实体（ACE）并所以不能被应用到对象级别的安全性。这是一个很是显著的区别，由于安全组容许用户根据组成员资格准许或拒绝安全访问资源。可是须要注意的是，此状况的例外是不用于安全性的分配组。

邮件启用组功能——经过分配组和邮件启用的安全组，用户能够向一个组发送电子邮件达到群发效果。

 

组表现为两种形式：安全组、分配组

组按做用范围分：机器本地组、域本地组、全局组、通用组。

OU设计也应该保持简单而且只有在存在必须建立OU的特殊需求下才对其予以扩展。在多数状况下建立OU最有说服力的缘由经常局限于委托管理权限。

OU设计过程当中的第一步是肯定在OU结构内组织用户、计算机和其余域对象的最佳方法。切忌过分使用。

管理员建立组策略来限制用户执行某些任务或自动创建特定的功能。

在某种状况下，仅仅为了应用多个组策略就建立额外的OU对于OU结构的使用而言是低效的，而且一般可能致使OU的过分使用。通常状况下，经过将它们直接应用到组上，这能够获得更简明的使用方法。

组的使用，记住简单的规则：使用域本地组来控制对资源的访问并使用全局组来组织相似的用户组。当完成这些操做后，建立的全局组随后能够做为成员应用到域本地组，从而容许这些用户有权访问这些资源并限制复制对环境所产生的影响。

通用组最适合用于跨越域边界合并组成员资格，而且这应该是它们在Windows2008中的主要功能。

到目前为止，出现了影响OU和组设计的3中大相径庭的模型： 第一种模型基于业务功能需求，其中不一样的部门能够指定OU和组的存在。第二种模型基于地理为止，其中为远程站点授予分离的OU和组。