Pages

Subscribe:

Ads 468x60px

Labels

顯示具有 AD 標籤的文章。 顯示所有文章
顯示具有 AD 標籤的文章。 顯示所有文章

2017年5月16日 星期二

Andy 的隨手寫技術筆記本: 將現有 Windows Server 2003 R2 網域升級至 Windows Server 20...

Andy 的隨手寫技術筆記本: 將現有 Windows Server 2003 R2 網域升級至 Windows Server 20...: 在之前的文章中,已經有帶大家從 Windows Server 2003 R2 的網域升級至 Windows Server 2008 R2 ,而現在 Windows Server 2012 R2 也在 PreView 階段,在不久後也即將上市。對於尚未升級的企業來說,也許可以考慮等...

2016年4月30日 星期六

Windows AD 常用群組原則(組策略)

資料來源

摘要:整理的常用群組原則
這是我大學時,半工半讀,在做SI幫客戶設計的一份群組原則~

一、利用群組原則設定WSUS更新來源
[電腦設定] > [系統管理範本] > [Windows 元件] > [Windows Update]。
設定近端,並輸入WSUS 的IP
二、利用群組原則設定IE
(1).Active X啟動 (記得閉閉Server 2008的IE ESC)
群組原則 > 使用者設定 > windows設定 > Internet Explorer維護 > 安全性
以下三個種類型的網路都要設定(網際網路、近端網路、信認網路)
  1. 關閉快顯封鎖
  2. Active X 自動執行
  3. 允許Flash 播放器 和 Java script

(2).固定首頁
1.群組原則 > 使用者設定 > windows設定 > Internet Explorer維護 > 安全性 > 重要URL: http://www.ABC.gov.tw/對應> 192.168.29.2

2.DNS要設定解析,不然找不到主機。

(3).匯入我的最愛
群組原則 > 使用者設定 > windows設定 > Internet Explorer維護 > URL> 我的最愛與連結

三、利用群組原則複製桌面捷徑
(1)請解開桌面捷徑包.rar 放置fileserver 並分享
(2). 群組原則 >使用者設定>Windows 設定> 指令碼> 登入>新增兩個個批次檔
Copylink_XP.bat
@echo off
copy /y "\\win2008ad1\desktop_templates\INFINITT G3 PACS.lnk" "%USERPROFILE%"\桌面"

copy /y "\\win2008ad1\desktop_templates\UltraVNC Viewer.lnk" "%USERPROFILE%"\桌面"


Copylink_Win 7.bat
@echo off

copy /y "\\win2008ad1\desktop_templates\UltraVNC Viewer.lnk" "%USERPROFILE%"\desktop"

copy /y "\\win2008ad1\desktop_templates\欲佈署至使用者桌面的程式.lnk" "%USERPROFILE%"\desktop"
(3).在DC 上,開啟群組原則,找到WMI篩選器。
(4).右鍵點選「新增」,在名稱裏輸入您指定的名稱(例如Windows 7 /Vista),再點選「新增」。
(5).在下方的查詢裏,請直接貼入Select * from Win32_OperatingSystem Where (Caption Like "%Microsoft Windows 7%") OR (Caption Like "%Microsoft® Windows Vista%") 文字 ,再按下「確定」,再到步驟2的圖中,按下「儲存」。

(6).重覆步驟2和3,新增一條For Windows XP的規則,其內容為Select * from Win32_OperatingSystem Where (Caption Like "%Microsoft Windows XP%")

(7).在Group policy上,建立二條Policy,分別是針對舊的防火牆和新的防火牆做設定。假設這條Policy要套在Vista和Win7上,請在右下方的 WMI篩選上以下拉選單選到剛剛步驟3產生的條件。同樣的,假設您的policy是要套在XP上,請選到for XP的條件。

(8).如此,即使 OU下同時有不同版本的作業系統,即使這二條policy同時和此 OU產生連結,當Client電腦開機後,會依照WMI篩選器的條件,只套用符合規定的policy來套用。


四、隱藏C糟Orant 資料夾(避免被User刪掉)
(1).在ghost source 裡隱藏c糟orant之資料夾
(2).移除隱藏資料夾
平時我們隱藏資料夾後,別人只需在資料夾選項裡顯示所有文件,就可以看見了,我們可以在群組原則裡移除這個選項:
位置:用戶組態>管理範本>Windows元件>Windows檔案總管從 [工具] 功能表移除 [資料夾選項] 功能表項目
五、關閉Windows 防火牆
GPO內的 系統管理範本 > 網路 > 網路連線 > windows防火牆 > 網域設定檔 > Windows 防火牆:保護所有的網路連線> 停用

GPO內的 系統管理範本 > 網路 > 網路連線 >windows防火牆 > 標準設定檔 > Windows 防火牆:保護所有的網路連線 > 停用

六、開機訊息
GPO內的 電腦設定 > windows設定 > 安全性設定 > 本機原則 > 安全性選項
在右窗格,連按兩下 原則 ,然後根據這些的步驟,建立訊息文字:
a.按一下 [ 互動式登入: 訊息的嘗試登入的使用者標題 ],然後輸入希望出現在郵件 對話方塊的標題列的文字。
b.按一下 [ 互動式登入: 訊息給嘗試登入的使用者的文字 ],然後輸入希望出現在郵件] 對話方塊訊息的文字。
七、關閉開機登入Ctrl+alt +DEL鍵
群組原則 > 電腦設定 > Windows 設定 > 安全性設定 > 本機原則 > 安全性選項
把“互動式登入:不需要按 CTRL+ALT+DEL 鍵”改為啟用即可。

八、密碼原則相關設定
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 密碼原則 > 最少密碼長度 = ?
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 密碼原則 > 密碼最長使用期限 = ?
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 密碼原則 > 密碼最短使用期限 = ?
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 帳戶鎖定原則 > 重設帳戶間隔 = ? 分
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 帳戶鎖定原則 > 帳戶鎖定時間 = ?分
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 帳戶鎖定原則 > 帳戶鎖定閥值 = ? 次

九、開機關機預設網域
僅能對 Win Nt / 2000 / xp / 2003 有效,因為Vista/Win7/2008 後並沒有支援預設網域這個機碼。
電腦設定 > 原則 > Windows 設定 > 指令碼 > 啟動 > 開機
Logon Script
@ECHO OFF
If exist "%Temp%\~import.reg" (
Attrib -R -S -H "%Temp%\~import.reg"
del /F /Q "%Temp%\~import.reg"
If exist "%Temp%\~import.reg" (
Echo Could not delete file "%Temp%\~import.reg"
Pause
)
)
> "%Temp%\~import.reg" ECHO Windows Registry Editor Version 5.00
>> "%Temp%\~import.reg" ECHO.
>> "%Temp%\~import.reg" ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
>> "%Temp%\~import.reg" ECHO.
>> "%Temp%\~import.reg" ECHO "AltDefaultDomainName"="ABC"
>> "%Temp%\~import.reg" ECHO "DefaultDomainName"="ABC"
>> "%Temp%\~import.reg" ECHO "AutoAdminLogon"="0"
START /WAIT REGEDIT /S "%Temp%\~import.reg"
DEL "%Temp%\~import.reg"
十、禁用外接儲存媒體
在Windows Server 2003 AD下
將下列文字存成一個ADM檔案:
=================================
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END

Windosw Server 2008_資料夾重新導向實作 By Keynes

資料來源

實驗環境
 
Windows Server 2008 AD : 網域AD角色,我們會於此電腦上,開立一個共用資料夾供資料夾重新導向存放資料之用
 
Windows XP: 工作站測試角色,我們利用資料夾重新導向GPO原則套用此工作站登入者yadier 做為GPO生效測試
 
實驗目標
 
若我們規劃一台File Server 對網域使用者進行 資料夾重新導向GPO套用(假如:我的文件夾),我們可以即可以建立
 
檔案異地備份,當 網域使用者yadier一登入該主機後,我們可以規範使用者將公司內部重要資產文件儲存於我的文件夾
 
內即可將該文件備份遠端FileServer效果.
 
———-實驗開始————-      
 
 (1.)打開AD使用者電腦工具:我們增加一組織名為solo,便建立一位User名為: yadier
 
      
 
(2.)AD角色(MIKE):我們於AD角色這台主機上 C:data_test 分享共用
               
                   *我們於權限設置新增成員Everyone:共用擁有者*(完全控制之權限)
                    
 
                   *設定共享完成後,其完整共享路徑為: \mikedata_test     (強烈建議隱藏該共用資料夾)
 
      
 
(3.)AD角色(MIKE):接者我們打開"群組原則管理"工具->群組原則物件(新增一筆新原則)
 
     
 
      新增GPO->取名為:資料夾重新導向
 
     
     
 
     接者我們著手編輯"資料夾重新導向"這條GPO
 
    
 
      群組原則編輯器: 我們找到以下路徑
 
                                    電腦設定/使用者設定/Windows 設定/資料夾重新導向 ,我們點選[ 文件 ]以設計資料夾重新導向
 
                                    *我們可以知道資料夾重新導向下有許多類別(Exsample:桌面,文件….下載等)*
 
                                      此些類別完全適用且符合資料夾路徑對應的OS僅有: Windows 7 與Windows VISTA 新系統架構
                                    
                                      舊系統Windows XP, Server 2003, Server 2000, 僅適用以下資料夾重新導向類別套用
                                     
                                      我的文件,我的圖片,開始功能表 三類別 
   
    
 
      基本: 我們設計將每個人資料夾重新導向同一位置(便於存放管理)
           
      進階:當然我們可以一群組劃分多個重新導向資料夾設置
 
    
 
     目標資料夾位置:
 
     為每個使用於根路徑建立一個資料夾:  即是:當被資料夾重新導向GPO套用的User(Or組織)假設為yadier,即會在
 
                                                                        \mikedata_test                #此路徑下建立一個是用者資料夾Ex: yadier      
 
                                                                                                                 [即是: yadier 之我的文件夾實際存放的位置]       
 
      根路徑:  \mikedata_test       #請填入如左所述     
                                                          
 
    
 
      接者切換[設定值]: 請將一併將重新導向原則套用至window 2000 ,windows 2003, Windowxp….打勾
 
                                       預設此OPTION在Server 2008 是未開啟(可能希望企業加速汰換成vista或windows 7 = =")
 
                                       若您工作站為舊版Windows XP,Windows  Server 2003 ,有使用到資料夾重新導向功能 
 
                                      請務必勾選此OPTION,若不信邪不勾選此OPTION,此GPO一輩子都不會生效……
 
     
 
    資料夾重新導向GPO: 經由上面幾個步驟我們設置完成此GPO接下來是做[繫結]GPO動作   
 
                                         我們打開[群組原則管理]工具
 
                                         套用目標:  OU = solo, User = yadier    #我們將利用 SOLO此組織下User yadier進行套用測試
 
                                         點選solo此組織(右鍵): 連結至現有GPO(選擇資料夾重新導向)即可
 
    
 
    接者我們檢查此GPO繼承內容是否已符合我們需要(下圖顯示已OK)
 
    
 
    此階段我們必須下 gpupdate /force  強制使GPO套用至組織&生效
 
   
 
   
(4.)工作站登入測試(WindowsXP):接者我們利用yadier 此網域帳號登入該工作站
 
                                                        我們點開[我的文件]: 很明顯的,我們可以發現此資料夾路徑已被導向至遠端File Server
 
                                                                                             *套用此GPO之前為本機路徑*
 
     
 
      最後我們切換至[AD角色]: 我們查看\mikedata_test 實體路境內容有何變動(已新增一個名為yadier 子目錄)
 
                                                    此資料夾內容將與yadier[我的文件]即為同步存取,順利完成此LAB
 
     

2015年9月4日 星期五

設定AD帳戶網路磁碟空間

資料來源
以NAS (網路附接儲存設備) 為例,做如下規劃:1. 使用者擁有10GB的個人網路硬碟空間 2. 建立「資源分享區」存放公用軟體 (使用者僅有下載無上傳權限),NAS需支援Active Directory或LDAP目錄服務,即使不執行上述服務只要AD使用者帳密與NAS使用者帳密一致即可。

步驟一:在AD上建立個人網路硬碟空間連結至NAS

1. 在AD Server上開啟「Active Directory 使用和與電腦」à 使用者 (按滑鼠右鍵選「內容」) à 設定檔 à 主資料夾 à 連線Z磁碟機到NAS帳戶資料夾

2. 選擇「套用」 à 出現「Active Directory 網域服務」視窗,說明主資料夾的設定成功 à 連按2次「確定」完成設定。

3. 使用者登入後,在「我的電腦」內可發現多出 Z 磁碟機並以帳戶名稱命名的網路硬碟

步驟二:在AD上建立「資源分享區」連結至NAS

1. 建立使用者登入指令(Script)檔,檔名 TPCSoft.bat,內容如下:

   @echo off
   net use X: \\nas\資源分享區

2. 開始 à 系統管理工具 à 群組原則管理 à 樹系 à 網域 à 網域名稱 (例: Yingge.local) à 群組原則物件 à Default Domain Policy (滑鼠右鍵) à 編輯(Eà 使用者設定 à 原則 à Windows設定 à指令碼 - (登入/登出) à 登入 à  顯示檔案(S)... à將Script登入檔放入並關閉視窗 à 新增(D)... à瀏覽(B)... à選該Script檔 à開啟舊檔(Oà 確定 à 確定

3. 執行 gpupdate 

4. 使用者登入後,在「我的電腦」內可發現 X 磁碟機「資源分享區」的網路硬碟

5. 上述步驟會讓每位登入網域使用者均套用登入指令檔去使用「資源分享區」的公用資料夾 (這是因為我們用群組原則的關係),若只給部分使用者套用則可採另一種方式,假設欲連至另一台nas的行政資料夾,首先建立使用者登入指令(Script)檔,檔名 教務處.bat,內容如下:

   net use y: \\nasold\教務處

6. 於AD主機上,開始 à 執行 à 輸入 \\AD名稱\netlogon,此時會跳出NETLOGON的資料夾

7. 將Script登入檔 (教務處.bat) 放入資料夾內

8. 在AD Server上開啟「Active Directory 使用和與電腦」 à 使用者 (按滑鼠右鍵選「內容」) à 設定檔 à 使用者設定檔 à 登入指令檔(S): à 輸入 教務處.bat à 確定

9. 使用者登入後,在「我的電腦」內可發現Y磁碟機「教務處」的網路硬碟

2015年9月2日 星期三

Apache 整合 Acitve Directory 達成 one single signon


我的公司使用AD進行使用者驗證,因此在使用者操作的便利性考量前提下.如何讓使用者不需要重覆輸入帳號與密碼,而直接抓取使用者已經登入AD的帳號資訊,已經變成系統開發必須要考量的項目之一 (至少我自己是這樣認為啦 @@)
.NET整合AD的資訊已經有大大實做成功並且實際運用於目前的系統上.由於都是微軟家族的產品,因此整合上比較容易.
但是目前公司存在有Apache+PHP+MySQL on Windows的架構,因此如何讓這樣的架構也可以快速的抓取使用者AD資訊是我今天要介紹的項目.
[版本需求]
1. Apache 2.x 以上
2. PHP和MySQL都沒有特殊的版本要求,不過我還是建議安裝PHP 5.x和MySQL 4.1.x以上的版本
[安裝過程]
1. 將mod_auth_sspi.so (下載位址)放到path_to_apache/modules這個目錄下面
2. 在httpd.conf裡面加上下面兩段
  (1) LoadModule sspi_auth_module modules/mod_auth_sspi.so
  (2)在需要進行驗證的目錄設定加上下面的內容,並且將AllowOverride開啟
      AuthName "A Protected Place"
      AuthType SSPI
      SSPIDomain tpe.compalcomm.com
      SSPIAuth On
      SSPIAuthoritative On
      SSPIOfferBasic On
      require valid-user
          
    修改後應該會像這樣
   
     Options Indexes FollowSymLinks
     AllowOverride All
     Order allow,deny
     Allow from all
     AuthName "A Protected Place"
     AuthType SSPI
     SSPIDomain tpe.compalcomm.com
     SSPIAuth On
     SSPIAuthoritative On
     SSPIOfferBasic On
     require valid-user
 

3. 重新啟動Apache
[如何抓取使用者登入AD的帳號]
程式只有一行,真的只有一行.
$_SERVER["REMOTE_USER"] 就只需要這行就可以抓到使用者登入AD的帳號.
後面要怎麼達成one single signon,我相信各位程式高手都知道該怎麼做了,我就不獻醜了.
[如何抓取使用者在AD中的其他資訊]
我之前有找到一個adLDAP.php的class,只需要確定ldap_binding正常,
然後將剛剛抓到的使用者AD帳號傳進去,AD裡面所有的資訊全部都可以抓出來.
adLDAP http://adldap.sourceforge.net/

2014年5月9日 星期五

[MIS求生] 網管人員一定要做的十大限制手段

還記得我們之前提到的網管人員最想禁止的10大危險動作嗎?其實辦公室的資源雖然是公司的,卻是大家都在使用,一旦出現任何問題,往往受害的還是自己(工作被耽誤、被客戶老闆譙),所以如果你有前面的十項危險行為,請記得要改正才好。

接下來我們來看看網管人員為了保持辦公室的網路安全,通常都會使用哪些手段來管理和預防,如果你自己本身就是MIS,請看看以下10項是否都有做到,這是身為網管必備的求生技能喔!

1. 善用作業系統中的管理工具
(AD網域是一定要架設的,這樣群組原則設定就可以對大多危險行為做出控管了)

2. 降低使用者的操作權限
(透過不同的帳戶層級來對使用者限制,通常不會給一般員工Administrator的權限)

3. 依使用需求開放程式的使用權
(有些程式必須要有Administrator權限才能使用,這時候就必須依照特殊要求來開放了)

4. 強制要求密碼強度
(根據統計,123456是最多人使用的懶人密碼,網管可以限制使用者使用類似的簡單密碼,加強安全性)

5. 善用安全程式所內建的密碼控管
(幫防毒軟體設定移除密碼可以增加不少安全性)

6. 停用密碼記憶功能
(許多軟體都會有密碼記憶功能,如果可以關掉的話將可減少被駭客濫用資料的危險)

7. 禁用隨身碟或明令要求資料不許攜出
(隨身碟這類產品對於許多公家機關或金融機構都是禁止的,如果你公司的資料也都是屬於機密,最好也能避免使用)

8. 教育使用者
(其實對多數使用者曉以大義,並且告訴他們合適的替代方案,大多可以接受網管的安排使用新方式辦公)

9. 使用獎勵或懲罰
(獎勵與懲罰可以在主管同意後進行,若是沒有主管的背書則往往流於形式)

10.其它
※想知道這更詳細的網管手段嗎?想知道更多的網管自保能力嗎?請看:
MIS救難手冊:網管問題實戰速解

SPICEWORKS—IT管理工具簡易操作教學 : 布丁布丁吃什麼?

SPICEWORKS—IT管理工具簡易操作教學 : 布丁布丁吃什麼?

將現有電腦加入 AD 網域的最佳實務 ( 對應 User Profile )

一般來說公司若是首次導入 AD 網域,在 AD 網域建立完成後就要開始將現有的電腦一一加入 AD 網域了,當電腦加入網域後第一次用 AD 帳號登入在電腦內會新增一個獨立的網域使用者(Domain User)帳號,而這個網域帳號與舊有的本機帳號是完全不一樣的,除了所在目錄不一樣之外,每台電腦的 User SID 也不一樣,所以通常都需要大費周章的將原本帳號下的檔案與資料搬移到新帳號中,這過程耗時又費力,今天我將分享另一種更好的方式,讓現有電腦加入 AD 網域更有效率的方法。
由於一般 PC 使用者都享有完整的電腦掌控權,而我今天介紹的方法僅適用於「加入 AD 後也一樣具有完整的本機掌控權」,如果你希望導入後能限制使用者使用電腦的權力,那應該使用我這個方法可能會發生一些權限的問題。
整個加入的流程有兩大步驟說明如下:

第一大步驟:建立帳號與修正檔案、目錄、HIVE 控制檔權限

  1. 先在 Domain Controller 中新增使用者帳號 ( 假設帳號名稱為 AD1\UserA )
    備註: AD 中的使用者會有一個自己的 SID
  2. 現有電腦設定加入 AD 網域 ( 假設現有電腦名稱為 PC1 )
  3. 在 PC1 用網域使用者(AD1\UserA)的身份登入 ( 假設使用者名稱為 User1 ),此時在 PC1 中會建立一組新的使用者設定檔(User Profile),接著直接登出
  4. 然後在用具有本機管理者權限的身分登入 PC1 ( 例如:Domain Admins 或 Local Administrator )
  5. 將 User1 加入 PC1 的本機系統管理者群組
  6. [開始]\[執行]  regedt32 開啟 "登錄編輯器" 視窗
  7. 選取 "HKEY_USERS",並點檔案選單的 "載入HIVE 控制檔",然後選擇您舊 Profiles 下的ntuser.dat 檔案。例如:C:\Documents and settings\User1\ntuser.dat
    選取 "HKEY_USERS",並點檔案選單的 "載入HIVE 控制檔",然後選擇您舊 Profiles 下的ntuser.dat 檔案。例如:C:\Documents and settings\User1\ntuser.dat
  8. 然後給一個機碼名稱 "User1" (使用者的名稱),且您也可以在 HKEY_USERS 下看到此 "User1" 的機碼。
    您也可以在 HKEY_USERS 下看到此 "User1" 的機碼。
  9. 使用滑鼠右鍵點選 "User1",再點選 "使用權限"
    使用滑鼠右鍵點選 "User1",再點選 "使用權限"
  10. 請在權限的地方新增您在 AD 中建立的使用者 ( AD1\UserA ) 並設定為 "完全控制",再按"確定"
  11. 請使用滑鼠點選 "User1",再點選 檔案選單的 "HIVE 解除載入"。注意:此步驟非常重要!!
    請使用滑鼠點選 "User1",再點選 檔案選單的 "HIVE 解除載入"。注意:此步驟非常重要!!
  12. 關閉 "登錄編輯器"。

第二大步驟:修改 USER PROFILE 與 SID 的對應關係

這個步驟主要是將 AD1\UserA 的 SID 對應到的 User Profile 目錄改變到原本的 User Profile目錄下。
  1. 以登入本機管理者權限登入
    ( 需具有 Local Administrator 或 Domain Account 具有 Local Administrator 權限 )
  2. 登入需查詢這個 Domain User ( AD1\UserA ) 的 SID 是多少,你可以利用 Sysinternal 工具組中的PsGetSid 工具幫你查出該使用者的 SID。
    如下範例可取出 SID 為 S-1-5-21-1734555294-521365412-12323243404-5525
  3. C:\>psgetsid AD1\UserA
    
    PsGetSid v1.43 - Translates SIDs to names and vice versa
    Copyright (C) 1999-2006 Mark Russinovich
    Sysinternals - www.sysinternals.com
    
    SID for ad1\UserA:
    S-1-5-21-1734555294-521365412-12323243404-5525
  4. [開始]\[執行]  regedt32 開啟 "登錄編輯器" 視窗
  5. 找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
  6. 然後找到跟這個第2步查到的 SID 一樣名稱的機碼
  7. 然後找到 ProfileImagePath 這個「可擴充字串值」後,修改路徑到原本使用者的 Profile 路徑。
    例如:%SystemDrive%\Documents and Settings\User1
---
囉唆的步驟終於完成。但畢竟只要麻煩這一次,不用再辛辛苦苦的搬移個人檔案的資料了。

2014年5月8日 星期四

Active Directory 設計

Active Directory 設計

Active Directory 可供應用程式在分散式計算環境中尋找、使用和管理目錄資源。在建立 Active Directory 架構時,您必須小心考量環境的安全性界限。詳細規劃組織的安全性委派和實作時間表可使組織的Active Directory 設計獲得更高的安全保障。
建立 Windows Server 2003 目錄界限
這些界限在安裝 Active Directory 時自動建立,但是您必須確定權限界限符合組織需求和原則。
安全性界限-定義組織內各種群組的自治或區隔。
樹系對網域安全性界限-建立個別的樹系來使您的環境遠離居心不良的管理員。
管理界限-由於區隔服務和資料的潛在需要,定義必要的各種管理層級。
服務管理員-負責設定和提供目錄服務。
1.主要負責目錄服務的網域管理群組。
2.負責網域名稱系統 (DNS) 管理的管理員群組。
3.負責 OU 管理的管理員群組。
4.負責基礎結構伺服器管理的管理員群組。
資料管理員-負責管理儲存在 Active Directory 中或加入 Active Directory 的電腦上的資料。
促進群組原則管理和委派的 OU 結構
了解如何透過群組原則保障您組織的網域、網域控制站,並確保特定的伺服器角色安全。

OU->提供一個簡單的方法來對為使用者、電腦和其他安全性主體進行分組,也是區隔系統管理界限的有效方法。
     ->依據伺服器角色,提供不同的群組原則物件 (GPO)

委派管理和套用群組原則
在每一個容器上個別設定存取權控制清單 (ACL),將 OU 控制委派給群組或個人。
管理群組
將使用者、安全性群組或伺服器群體以容器區隔,來達到自治管理的目的。
基礎結構伺服器就是一個應用範圍。包含執行基本網路服務 (如執行 WINS 和 DHCP 服務) 的伺服器等所有非網域控制站
所有 DNS 伺服器都是在位於網域控制站 OU 中的網域控制站上執行。這裡的 DNS 伺服器就不算是基礎結構伺服器。
下列圖表提供這種 OU 的高層次檢視。
管理的 OU 委派
圖 1 
管理的 OU 委派

只要將伺服器移到一個 OU (也就是基礎結構 OU),然後將 OU 控制委派給相關的管理群組即可。
群組原則應用
請使用群組原則和委派管理來套用特定設定、權利和行為到 OU 內的所有伺服器。
GPO 應用程式層級
圖 2 
GPO 應用程式層級

安全性範本
安全性範本是以文字為主的檔案。範本檔案的有些段落含有以由 Security Descriptor Definition Language (SDDL) 撰寫的特定 ACL。
範本管理
通過驗證的使用者有權讀取「群組原則」物件中所含的所有設定。將用於實際執行環境的安全性範本儲存在負責實作群組原則的管理員可以存取的安全位置。處理未經授權的篡改。
管理群組原則和匯入安全性範本
成功的 GPO 應用事件
時間設定
基礎伺服器角色組織單位-目標是建立涵蓋所有伺服器的完整群組原則,同時確保位於 Active Directory 內的伺服器符合您的環境的安全性標準。
成員伺服器基礎原則
伺服器角色類型和組織單位

設定增量群組原則
圖 3 
設定增量群組原則

表 1:Windows Server 2003 角色
伺服器角色
說明
安全性範本
Windows Server 2003 網域控制站
含有 Active Directory 網域控制站的群組。
Enterprise Client – Domain Controller.inf
Windows Server 2003 成員伺服器
屬於網域的成員並位於成員伺服器 OU 之中或以下的所有伺服器。
Enterprise Client – Member Server Baseline.inf
Windows Server 2003 檔案伺服器
含有已鎖定檔案伺服器的群組。
Enterprise Client – File Server.inf
Windows Server 2003 列印伺服器
含有已鎖定列印伺服器的群組。
Enterprise Client – Print Server.inf
Windows Server 2003 基礎結構伺服器
含有已鎖定 DNS、WINS 和 DHCP 伺服器的群組。
Enterprise Client – Infrastructure Server.inf
Windows Server 2003 IAS 伺服器
含有已鎖定 IAS 伺服器的群組。
Enterprise Client – IAS Server.inf
Windows Server 2003 憑證服務伺服器
含有已鎖定憑證授權 (CA) 伺服器的群組。
Enterprise Client – CA Server.inf
Windows Server 2003 Bastion 主機
含有網際網路專用伺服器的群組。
High Security – Bastion Host.inf
Windows Server 2003 IIS 伺服器
含有已鎖定 IIS 伺服器的群組。
Enterprise Client – IIS Server.inf
 


OU 設計範例
圖 4 
OU 設計範例

表 2:OU 及管理群組
OU 名稱
管理群組
網域控制站
網域工程
成員伺服器器
網域工程
基礎結構
作業
檔案
作業
列印
作業
IAS
網域工程
CA
企業管理
Web
Web 服務