Pages

Subscribe:

Ads 468x60px

Labels

顯示具有 Windows Server 2008 標籤的文章。 顯示所有文章
顯示具有 Windows Server 2008 標籤的文章。 顯示所有文章

2016年4月30日 星期六

Windows AD 常用群組原則(組策略)

資料來源

摘要:整理的常用群組原則
這是我大學時,半工半讀,在做SI幫客戶設計的一份群組原則~

一、利用群組原則設定WSUS更新來源
[電腦設定] > [系統管理範本] > [Windows 元件] > [Windows Update]。
設定近端,並輸入WSUS 的IP
二、利用群組原則設定IE
(1).Active X啟動 (記得閉閉Server 2008的IE ESC)
群組原則 > 使用者設定 > windows設定 > Internet Explorer維護 > 安全性
以下三個種類型的網路都要設定(網際網路、近端網路、信認網路)
  1. 關閉快顯封鎖
  2. Active X 自動執行
  3. 允許Flash 播放器 和 Java script

(2).固定首頁
1.群組原則 > 使用者設定 > windows設定 > Internet Explorer維護 > 安全性 > 重要URL: http://www.ABC.gov.tw/對應> 192.168.29.2

2.DNS要設定解析,不然找不到主機。

(3).匯入我的最愛
群組原則 > 使用者設定 > windows設定 > Internet Explorer維護 > URL> 我的最愛與連結

三、利用群組原則複製桌面捷徑
(1)請解開桌面捷徑包.rar 放置fileserver 並分享
(2). 群組原則 >使用者設定>Windows 設定> 指令碼> 登入>新增兩個個批次檔
Copylink_XP.bat
@echo off
copy /y "\\win2008ad1\desktop_templates\INFINITT G3 PACS.lnk" "%USERPROFILE%"\桌面"

copy /y "\\win2008ad1\desktop_templates\UltraVNC Viewer.lnk" "%USERPROFILE%"\桌面"


Copylink_Win 7.bat
@echo off

copy /y "\\win2008ad1\desktop_templates\UltraVNC Viewer.lnk" "%USERPROFILE%"\desktop"

copy /y "\\win2008ad1\desktop_templates\欲佈署至使用者桌面的程式.lnk" "%USERPROFILE%"\desktop"
(3).在DC 上,開啟群組原則,找到WMI篩選器。
(4).右鍵點選「新增」,在名稱裏輸入您指定的名稱(例如Windows 7 /Vista),再點選「新增」。
(5).在下方的查詢裏,請直接貼入Select * from Win32_OperatingSystem Where (Caption Like "%Microsoft Windows 7%") OR (Caption Like "%Microsoft® Windows Vista%") 文字 ,再按下「確定」,再到步驟2的圖中,按下「儲存」。

(6).重覆步驟2和3,新增一條For Windows XP的規則,其內容為Select * from Win32_OperatingSystem Where (Caption Like "%Microsoft Windows XP%")

(7).在Group policy上,建立二條Policy,分別是針對舊的防火牆和新的防火牆做設定。假設這條Policy要套在Vista和Win7上,請在右下方的 WMI篩選上以下拉選單選到剛剛步驟3產生的條件。同樣的,假設您的policy是要套在XP上,請選到for XP的條件。

(8).如此,即使 OU下同時有不同版本的作業系統,即使這二條policy同時和此 OU產生連結,當Client電腦開機後,會依照WMI篩選器的條件,只套用符合規定的policy來套用。


四、隱藏C糟Orant 資料夾(避免被User刪掉)
(1).在ghost source 裡隱藏c糟orant之資料夾
(2).移除隱藏資料夾
平時我們隱藏資料夾後,別人只需在資料夾選項裡顯示所有文件,就可以看見了,我們可以在群組原則裡移除這個選項:
位置:用戶組態>管理範本>Windows元件>Windows檔案總管從 [工具] 功能表移除 [資料夾選項] 功能表項目
五、關閉Windows 防火牆
GPO內的 系統管理範本 > 網路 > 網路連線 > windows防火牆 > 網域設定檔 > Windows 防火牆:保護所有的網路連線> 停用

GPO內的 系統管理範本 > 網路 > 網路連線 >windows防火牆 > 標準設定檔 > Windows 防火牆:保護所有的網路連線 > 停用

六、開機訊息
GPO內的 電腦設定 > windows設定 > 安全性設定 > 本機原則 > 安全性選項
在右窗格,連按兩下 原則 ,然後根據這些的步驟,建立訊息文字:
a.按一下 [ 互動式登入: 訊息的嘗試登入的使用者標題 ],然後輸入希望出現在郵件 對話方塊的標題列的文字。
b.按一下 [ 互動式登入: 訊息給嘗試登入的使用者的文字 ],然後輸入希望出現在郵件] 對話方塊訊息的文字。
七、關閉開機登入Ctrl+alt +DEL鍵
群組原則 > 電腦設定 > Windows 設定 > 安全性設定 > 本機原則 > 安全性選項
把“互動式登入:不需要按 CTRL+ALT+DEL 鍵”改為啟用即可。

八、密碼原則相關設定
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 密碼原則 > 最少密碼長度 = ?
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 密碼原則 > 密碼最長使用期限 = ?
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 密碼原則 > 密碼最短使用期限 = ?
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 帳戶鎖定原則 > 重設帳戶間隔 = ? 分
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 帳戶鎖定原則 > 帳戶鎖定時間 = ?分
電腦設定 > 原則 > 系統管理範本 > 安全性設定 > 帳戶原則 > 帳戶鎖定原則 > 帳戶鎖定閥值 = ? 次

九、開機關機預設網域
僅能對 Win Nt / 2000 / xp / 2003 有效,因為Vista/Win7/2008 後並沒有支援預設網域這個機碼。
電腦設定 > 原則 > Windows 設定 > 指令碼 > 啟動 > 開機
Logon Script
@ECHO OFF
If exist "%Temp%\~import.reg" (
Attrib -R -S -H "%Temp%\~import.reg"
del /F /Q "%Temp%\~import.reg"
If exist "%Temp%\~import.reg" (
Echo Could not delete file "%Temp%\~import.reg"
Pause
)
)
> "%Temp%\~import.reg" ECHO Windows Registry Editor Version 5.00
>> "%Temp%\~import.reg" ECHO.
>> "%Temp%\~import.reg" ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
>> "%Temp%\~import.reg" ECHO.
>> "%Temp%\~import.reg" ECHO "AltDefaultDomainName"="ABC"
>> "%Temp%\~import.reg" ECHO "DefaultDomainName"="ABC"
>> "%Temp%\~import.reg" ECHO "AutoAdminLogon"="0"
START /WAIT REGEDIT /S "%Temp%\~import.reg"
DEL "%Temp%\~import.reg"
十、禁用外接儲存媒體
在Windows Server 2003 AD下
將下列文字存成一個ADM檔案:
=================================
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END

Windosw Server 2008_資料夾重新導向實作 By Keynes

資料來源

實驗環境
 
Windows Server 2008 AD : 網域AD角色,我們會於此電腦上,開立一個共用資料夾供資料夾重新導向存放資料之用
 
Windows XP: 工作站測試角色,我們利用資料夾重新導向GPO原則套用此工作站登入者yadier 做為GPO生效測試
 
實驗目標
 
若我們規劃一台File Server 對網域使用者進行 資料夾重新導向GPO套用(假如:我的文件夾),我們可以即可以建立
 
檔案異地備份,當 網域使用者yadier一登入該主機後,我們可以規範使用者將公司內部重要資產文件儲存於我的文件夾
 
內即可將該文件備份遠端FileServer效果.
 
———-實驗開始————-      
 
 (1.)打開AD使用者電腦工具:我們增加一組織名為solo,便建立一位User名為: yadier
 
      
 
(2.)AD角色(MIKE):我們於AD角色這台主機上 C:data_test 分享共用
               
                   *我們於權限設置新增成員Everyone:共用擁有者*(完全控制之權限)
                    
 
                   *設定共享完成後,其完整共享路徑為: \mikedata_test     (強烈建議隱藏該共用資料夾)
 
      
 
(3.)AD角色(MIKE):接者我們打開"群組原則管理"工具->群組原則物件(新增一筆新原則)
 
     
 
      新增GPO->取名為:資料夾重新導向
 
     
     
 
     接者我們著手編輯"資料夾重新導向"這條GPO
 
    
 
      群組原則編輯器: 我們找到以下路徑
 
                                    電腦設定/使用者設定/Windows 設定/資料夾重新導向 ,我們點選[ 文件 ]以設計資料夾重新導向
 
                                    *我們可以知道資料夾重新導向下有許多類別(Exsample:桌面,文件….下載等)*
 
                                      此些類別完全適用且符合資料夾路徑對應的OS僅有: Windows 7 與Windows VISTA 新系統架構
                                    
                                      舊系統Windows XP, Server 2003, Server 2000, 僅適用以下資料夾重新導向類別套用
                                     
                                      我的文件,我的圖片,開始功能表 三類別 
   
    
 
      基本: 我們設計將每個人資料夾重新導向同一位置(便於存放管理)
           
      進階:當然我們可以一群組劃分多個重新導向資料夾設置
 
    
 
     目標資料夾位置:
 
     為每個使用於根路徑建立一個資料夾:  即是:當被資料夾重新導向GPO套用的User(Or組織)假設為yadier,即會在
 
                                                                        \mikedata_test                #此路徑下建立一個是用者資料夾Ex: yadier      
 
                                                                                                                 [即是: yadier 之我的文件夾實際存放的位置]       
 
      根路徑:  \mikedata_test       #請填入如左所述     
                                                          
 
    
 
      接者切換[設定值]: 請將一併將重新導向原則套用至window 2000 ,windows 2003, Windowxp….打勾
 
                                       預設此OPTION在Server 2008 是未開啟(可能希望企業加速汰換成vista或windows 7 = =")
 
                                       若您工作站為舊版Windows XP,Windows  Server 2003 ,有使用到資料夾重新導向功能 
 
                                      請務必勾選此OPTION,若不信邪不勾選此OPTION,此GPO一輩子都不會生效……
 
     
 
    資料夾重新導向GPO: 經由上面幾個步驟我們設置完成此GPO接下來是做[繫結]GPO動作   
 
                                         我們打開[群組原則管理]工具
 
                                         套用目標:  OU = solo, User = yadier    #我們將利用 SOLO此組織下User yadier進行套用測試
 
                                         點選solo此組織(右鍵): 連結至現有GPO(選擇資料夾重新導向)即可
 
    
 
    接者我們檢查此GPO繼承內容是否已符合我們需要(下圖顯示已OK)
 
    
 
    此階段我們必須下 gpupdate /force  強制使GPO套用至組織&生效
 
   
 
   
(4.)工作站登入測試(WindowsXP):接者我們利用yadier 此網域帳號登入該工作站
 
                                                        我們點開[我的文件]: 很明顯的,我們可以發現此資料夾路徑已被導向至遠端File Server
 
                                                                                             *套用此GPO之前為本機路徑*
 
     
 
      最後我們切換至[AD角色]: 我們查看\mikedata_test 實體路境內容有何變動(已新增一個名為yadier 子目錄)
 
                                                    此資料夾內容將與yadier[我的文件]即為同步存取,順利完成此LAB
 
     

2014年5月9日 星期五

[MIS求生] 網管人員一定要做的十大限制手段

還記得我們之前提到的網管人員最想禁止的10大危險動作嗎?其實辦公室的資源雖然是公司的,卻是大家都在使用,一旦出現任何問題,往往受害的還是自己(工作被耽誤、被客戶老闆譙),所以如果你有前面的十項危險行為,請記得要改正才好。

接下來我們來看看網管人員為了保持辦公室的網路安全,通常都會使用哪些手段來管理和預防,如果你自己本身就是MIS,請看看以下10項是否都有做到,這是身為網管必備的求生技能喔!

1. 善用作業系統中的管理工具
(AD網域是一定要架設的,這樣群組原則設定就可以對大多危險行為做出控管了)

2. 降低使用者的操作權限
(透過不同的帳戶層級來對使用者限制,通常不會給一般員工Administrator的權限)

3. 依使用需求開放程式的使用權
(有些程式必須要有Administrator權限才能使用,這時候就必須依照特殊要求來開放了)

4. 強制要求密碼強度
(根據統計,123456是最多人使用的懶人密碼,網管可以限制使用者使用類似的簡單密碼,加強安全性)

5. 善用安全程式所內建的密碼控管
(幫防毒軟體設定移除密碼可以增加不少安全性)

6. 停用密碼記憶功能
(許多軟體都會有密碼記憶功能,如果可以關掉的話將可減少被駭客濫用資料的危險)

7. 禁用隨身碟或明令要求資料不許攜出
(隨身碟這類產品對於許多公家機關或金融機構都是禁止的,如果你公司的資料也都是屬於機密,最好也能避免使用)

8. 教育使用者
(其實對多數使用者曉以大義,並且告訴他們合適的替代方案,大多可以接受網管的安排使用新方式辦公)

9. 使用獎勵或懲罰
(獎勵與懲罰可以在主管同意後進行,若是沒有主管的背書則往往流於形式)

10.其它
※想知道這更詳細的網管手段嗎?想知道更多的網管自保能力嗎?請看:
MIS救難手冊:網管問題實戰速解

2014年5月8日 星期四

Windows Server 2008基礎架構與管理的改善

文/圖 羅濟棠.責任編輯/陳啟川 

本系列文章一共有六篇,第一至四篇將會為大家介紹Windows Server 2008新的改變,第五篇則會為大家介紹從Windows 2000 Server昇級到Windows Server 2008的程序以及注意事項,最後一篇則會為大家介紹Windows Server 2008的自動化及遠端管理功能。在這一篇中將為大家介紹Windows Server 2008中的新改變:伺服器管理員以及Active Directory。 

自從微軟在西元2000年發佈Windows 2000 Server至今已有九個年頭。根據微軟對產品生命週期的承諾,Windows 2000 Server即將在明年停止支援,並且停止大多數的更新(除了會造成立即性危害的重大安全性更新之外,讀者可造訪http://support.microsoft.com/lifecycle/?p1=7274 )。而隨著微軟在去年發佈最新一版的Windows Server 2008,許多目前還在使用Windows 2000 Server的公司,也開始在討論昇級到Windows Server 2008的相關議題。

在這個系列的文章中,我們將為大家介紹微軟在Windows Server 2008中所做的改變,以及這些改變將如何的改善你目前現有的Windows 2000 Server環境。此外,我們也會針對從Windows 2000 Server昇級到Windows Server 2008的環境時,有哪些是必需注意的事項。正所謂知已知彼,掌握這些新的改變功能將會對日後的昇級提供更順利的途徑。


全新的伺服器管理員 
當部署完裝完Windows Server 2008第一次登入時,便會馬上出現一個全新的管理工具:伺服器管理員。伺服器管理員使用了全新整合式的Microsoft Management Console(MMC),提供了針對單一台伺服器最佳的管理工具架構。它取代了在Windows 2000及2003時代中的「新增或移除 Windows 元件」功能。也取代了在Windows Server 2003中的「管理你的伺服器」以及「設定你的伺服器」兩個功能,另外它也取代了「電腦管理」的MMC工具。


全新的伺服器管理員。 


從圖1中你可以看到伺服器管理員的整合式管理晝面,伺服器管理員可提供單一介面讓系統管理員看到簡要的伺服器概述、變更伺服器的系統屬性,以及安裝或移除角色或功能。利用伺服器管理員,系統管理員可以輕易地:

.檢視及變更伺服器中所安裝的伺服器角色和功能。
.執行伺服器運作生命週期的相關管理工作,例如啟動或停止服務,以及管理本機使用者帳戶(當Windows Server 2008未安裝Active Directory網域服務時)。
.執行伺服器中之安裝角色的運作生命週期的管理工作。
.瞭解伺服器的狀態、辨別重大事件,以及進行設定問題或故障的分析和疑難排解。
.利用 Windows 命令列安裝或移除角色、角色服務和功能。

由於Windows Server 2008將原先的「新增或移除 Windows 元件」功能中所管理的Windows元件一分為二變成了「角色」與「功能」。伺服器管理員中的精靈是透過縮短安裝、設定或移除角色、角色服務和功能的時間,來簡化在企業內部署伺服器的工作,因此你僅需利用伺服器管理員的安裝精靈,即能夠在單一工作階段中安裝或移除多重角色、角色服務或功能。伺服器管理員的精靈會在執行過程中執行依存性檢查,以確定選用角色所需的角色和角色服務皆已安裝,且不會移除其餘角色或角色服務可能還會使用到的角色和角色服務。


伺服器角色 
伺服器角色說明伺服器的主要功能。系統管理員可以選擇將整部電腦專用於一個伺服器角色,或者在單一電腦上安裝多個伺服器角色。每個角色均可包含一或多個角色服務,稱為角色的子元件。Windows Server 2008 中提供下列伺服器角色,可使用伺服器管理員來安裝及管理。


Windows Server 2008所提供的伺服器角色。 


如果你是安裝Windows Server 2008標準版、企業版或是Data Center的64位元版本,還會多增加一個Hyper-V的伺服器角色(註1)。

一般而言,功能不會說明伺服器的主要功能。功能會為伺服器提供輔助或支援功能。一般而言,系統管理員新增功能的目的不是做為伺服器的主要功能,而是為了加強已安裝之角色的功能。Windows Server 2008中提供下列功能,並可於伺服器管理員中中使用命令來安裝。
Windows Server 2008所提供的功能。 


在絕大多數的情況下,你只需要透過單一的伺服器管理員儀表版就可以管理所有安裝在此伺服器上的所有角色及功能,而毋需另外再開啟相對應的MMC管理工具。例如在圖1中已經新增加了『Active Directory網域服務』及『DNS伺服器』的伺服器角色,直接就可以透過伺服器理員對Active Directory的使用者及電腦進行管理。除了新增和移除『角色』及『功能』之外,伺服器管理員還提供單一窗口來執行診斷工具(例如事件檢視器和 PerfMon)和系統設定公用程式(例如裝置管理員和 Windows防火牆嵌入式管理單元)。

伺服器管理員就像一份報紙的頭版頭一樣,它提供單一位置,讓系統管理員可以查看伺服器的簡要概觀、變更伺服器的系統內容,以及安裝或移除角色或功能。


大變革後的Active Directory網域服務 
微軟在西元2000年所發表的Windows 2000 Server是第一個內含Active Directory的Windows伺服器版本。在第一版中的Active Directory不過是在使用者登入時驗證他的身分、套用群組原則到使用者及其電腦,以及幫助他找出他正在尋找的印表機的一項技術。之後的Windows Server 2003重大版本則大幅度的做了改進,以提升此核心網路服務的安全性和管理性。又過了幾年後微軟推出了Active Directory的獨立變體:Active Directory Application Mode應用程式模式(ADAM)。隨著時間不斷的演進,如今Active Directory已經算是相當穩固且成熟的技術。現在,Active Directory不再是特定的技術,它現在是一項產品,可識別許多Windows內建識別和存取控制服務。


新制與舊制比較說明 
在Windows Server 2008中的Active Directory使用的名稱上做了一些更改並且使用了相對應的縮寫。下列將簡單的介紹了新舊Active Directory服務在名稱對照上的差異。


 Active Directory與Active Directory網域服務(AD DS) 

Active Directory Domain Services (AD?DS) 儲存使用者、電腦與網路上其他裝置的相關資訊。AD?DS協助系統管理員以安全的方式管理這項資訊,並有助於使用者之間的資源共用與協同作業。若要安裝支援目錄功能的應用程式(例如,Microsoft Exchange Server)以及應用其他Windows Server技術 (例如,群組原則),就必需安裝使用ADDS。

#小標=Active Directory應用程式模式(ADAM)與Active Directory輕量型目錄服務(AD LDS) 組織中若有需要使用目錄才能儲存應用程式資料的應用程式,則可以使用Active Directory輕量型目錄服務(AD LDS)做為資料存放區。AD LDS可以用非作業系統服務的形式執行,因此,它不需部署在網域控制站上。由於可以用非作業系統服務的形式執行,你可以在單一伺服器上同時執行多個 AD LDS執行個體,且每個執行個體均可個別設定供多個應用程式使用。


 憑證服務與Active Directory憑證服務(AD CS) 

Active Directory憑證服務(AD CS)提供建立及管理公開金鑰憑證的自訂服務,這些憑證可用於採用公開金鑰技術的軟體安全性系統。組織可利用Active Directory憑證服務,將個人、裝置或服務的識別身分繫結至對應的私密金鑰,以強化安全性。Active Directory憑證服務也包含其他功能,讓你管理各種彈性環境中的憑證註冊與撤銷。

Active Directory憑證服務所支援的應用程式包括安全/多用途網際網路郵件延伸(S/MIME)、安全無線網路、虛擬私人網路(VPN)、網際網路通訊協定安全性(IPsec)、加密檔案系統(EFS)、智慧卡登入、安全通訊端層/傳輸層安全性(SSL/TLS)與數位簽章等。


 版權管理伺服器與Active Directory Rights Management Services (AD RMS) 

AD RMS 是一種資訊保護技術,可與支援AD RMS的應用程式搭配使用,以防止數位資訊遭到未經授權使用。內容擁有者可定義接收者可使用資訊的確切方式,例如哪些人可開啟、修改、列印、轉寄資訊,或是對資訊執行其他動作。組織可建立「機密 - 唯讀」之類的自訂使用方式權限範本,以直接套用到財務報表、產品規格、客戶資料與電子郵件訊息等資訊上。


 Active Directory Federation Services與Active Directory Federation Services(ADFS) 

Active Directory Federation Services (AD FS)提供網頁單一登入(SSO)技術,以使用單一使用者帳戶對多個網頁應用程式驗證使用者。AD FS可在夥伴組織間透過數位宣告的形式安全地建立使用者識別身分與存取權限的聯盟或共用,以完成上述作業。

這些新舊的比較有些是從Windows 2000 Server時代便有的名詞,有些則是在Windows Server 2003時代才開始出現。然後不論其出現的順序,在Window Server 2008都做了名稱對應的縮寫。這些縮寫名稱將會大量的被使用到官方或非官方的正式文件之中,因此記住這些縮些在閱讀相關的文件時會更加容易理解。


可重新啟動的Active Directory服務 
眼尖的你或許已經發現Windows Server 2008中的Active Directory已經以作業系統的服務(Service)方式來提供,不再像舊版的Active Directory是與整個作業系統綁在一起。這意謂著以服務方式提供存取的Active Directory變得更加有彈性。

例如當你要為Active Directory進行手動維護的時候,不用再像舊版的Active Directory必需要將整台DC重新開機並進行目錄還原模式中進行操作,現在只需要執行NET STOP NTDS(圖4) Active Directory Domain Services即可對DIT資料庫執行離線的重組,之後若想要重新啟動ADDS只需要執行NET START NTDS(圖5)即可。


停用ADDS也會一併停用相關的相依服務。 




重新啟用ADDS也會一併將圖五中的相關依存服務啟用。 



DCPROMO的變更 
由於Windows 2000 Server與Windows Server 2008作業系統有著本質上的差異,因此在昇級的時候並不支援你從Windows 2000的網域控制台直接做本機的昇級動作(註2)。因此,你在Windows Server 2008 ADDS中第一個發現的變更就是DCPROMO,它完全不同於Windows 2000,因為重新徹底改寫過以更利於使用。

還記得筆者第一次接觸Windows 2000 DCPROMO時,就被那DNS伺服器的設定搞得團團轉。由於當時筆者是初次接觸到Active Directory,所以壓根就不知道Windows Active Directory必需非常的依賴DNS伺服器的樹狀架構,因此在安裝Windows 2000網域的第一台網域控制站之前必需先手動設定好Windows DNS 網域名稱的正向及反向DNS對應區域。偏偏那時候對DNS伺服器的運作一知半解,結果DCPRMO起來的Windows 2000 DC都會有複寫上的錯誤。所以在Windows 2000時代你必需先搞懂DNS Server的設定及運作原理,才有辦法將Windows 2000 DC順利的Promote起來。

新的DCPROMO提供了檢測本機TCP/IP元件中所指向的DNS伺服器是否存在或者符合DCPROMO的需求。當無法符合需求時,可以讓你選擇使用精靈自動安裝設定的方式(圖6)將DNS伺服器部署完成而毋需再手動事先加以設定。


透過ADDS安裝精靈自動安裝設定DNS。 


新的DCPROMO還會將所有設定選項全都收集到單一頁面上,提供一個位置讓你選擇新的DC是要作為通用類別目錄(GC)、DNS伺服器,還是唯讀DC。你不必在Active Directory [站台及服務] 嵌入式管理單元中,進入難找的地方將DC標示為GC。如果在你是屬於需要大量部署網域控制站的環境,那麼新的DCPROMO還提供將升級程序開始前將所有DCPROMO設定全都儲存到一個回應檔中的功能,之後便可以使用該回應檔在其他伺服器上執行自動DCPROMO作業(圖7)。


使用新的DCPROMO匯出的回應檔。 



唯讀網域控制站 
在早期規劃Active Directory架構時,大家都會在有使用者登入需求的站台放置一台DC或GC。這樣做的目地無法是當分點的WAN斷線時,當地的使用者還可以藉由當地的DC/GC登入網域存取當地的資源。然而這樣的設計規劃若是沒有相對的配套措施(例如:分點沒有人力及適當的保全地點可以管理保全DC機器),將對Active Directory造成很大的安全風險。

唯讀網域控制站Read Only Domain Controller(RoDC)以及唯讀通用目錄伺服器Read Only Global Catalog Server(RoGC)。要實作它們很簡單,你的網域必須是位於Windows Server 2003樹系功能等級,而且網域裡面必須至少有一個Windows Server 2008 DC。然後執行adprep /rodcprep Active Directory準備之後便可以安裝一台唯讀的網域控制站或唯讀的通用目錄伺服器(註3)。

為此,Active Directory設計小組以『在分點發生的,就留在分點』的觀點,設計了全新的 RODC預設並不會將密碼雜湊儲存在RODC的目錄資訊樹(Directory Information Tree,DIT)中。因此若要向網域驗證使用者,當使用者先向特定RODC進行驗證時,RODC會將要求傳送給網域內的完整網域控制站(FDC)。FDC會處理該要求,若成功,RODC便會發出密碼雜湊的複寫要求。密碼複寫原則是由RODC的電腦物件上的兩個屬性構成。

msDS-RevealOnDemandGroup屬性包含其密碼可快取在RODC上的群組、使用者或電腦帳戶的分辨名稱(這些一般是跟RODC位於相同站台的使用者和電腦)。而msDS-NeverRevealGroup則包含其密碼不可快取在RODC的群組、使用者或電腦帳戶的分辨名稱(例如網域系統管理員帳戶絕對不應該將它的密碼雜湊快取在RODC上)。當RODC要求特定帳戶的密碼雜湊時,FDC會比照密碼複寫原則來評估要求,以判斷是否應該將密碼雜湊複寫到RODC。

當DC遭竊時,這可將受影響的範圍侷限在那些在遭竊的RODC從網路移除當時快取的密碼,並且也消除了重要密碼遭到入侵的可能性。在網域中完整的DC並不會信任RODC為網域控制站。從信任的觀點來看,FDC會將RODC當作網域中的成員伺服器來對待。RODC並不是企業網域控制站或網域控制站群組的成員。RODC帳戶更新目錄內容的能力非常有限,因此即使攻擊者真的入侵RODC 帳戶,所獲得的權限也幾乎無用武之地。

RODC甚至不會顯示在標準DS複寫拓樸中。因為RODC看起來像一般的成員伺服器,而不像網域控制站,所以知識一致性檢查程式(KCC,這是每個DC上負責計算DS應用程式拓樸的處理程序)不會從RODC建立連線物件。完整DC或RODC全都不會嘗試從RODC複寫。但是,RODC會建立一個連線物件來代表完整DC的輸入複寫授權合約,不過這個連線物件只存在於RODC的複本中,其他DC完全沒有該連線物件的複本。

從複寫的觀點來看,RODC就像是目錄物件的蟑螂屋。物件只能往內複寫,不能往外複寫。在Windows Server 2008的系統管理員可以定義「唯讀 DC 已篩選屬性集」(Read-Only DC Filtered Attribute Set,RO-FAS)。你可以在架構中將相對應attributeSchema物件的searchFlags屬性設為位元9 (0x0200),將屬性指定到RO-FAS。當屬性被定義成RO-FAS時該屬性永遠都不會複寫到RODC。如此可以更大幅度的降低RODC被竊或入侵時的風險。


更具彈性的密碼原則 
如你所知道的一樣,在Windows 2000或Windows Server 2003的Active Directory網域中只能設定一組有效的密碼原則。而且這個密碼原則會套用到相同網域中的所有安全性物件之中,如果有部份的使用者或群組成員需要套用不同的密碼原則,就必需要建立另一個網域來存放這些具有特殊需求的使用者帳號。但在新版的Window Server 2008的Active Directory則應大家熱烈的需求允許可以為指定的帳戶或是以群組為單位的方式來套用不同的密碼原則。

在Windows Server 2008網域服務中使用『密碼設定容器(Password Settings Container,PSC)』以及『密碼設定物件(Password Settings objects,PSO)』兩個物件來儲存新的密碼原則。密碼設定容器 (PSC) 物件類別預設會建立在網域的『SYSTEM』容器下(圖8)。此容器儲存網域的密碼設定物件 (PSO)。你無法重新命名、移動或刪除這個容器。


PSC密碼設定容器。 


要設定新的密碼原則你必需在PSC上建立新的密碼設定物作PSO。底下表1則列出PSO可使用定義的屬性值。



表1=PSO可使用定義的屬性值。 屬性名稱 用途說明 msDS-PasswordHistoryLength 強制密碼歷程記錄 msDS-MaximumPasswordAge 密碼最長使用期限 msDS-MinimumPasswordAge 密碼最短使用期限 msDS-MinimumPasswordLength 最小密碼長度 msDS-Password-ComplexityEnabled 密碼必須符合複雜性需求 msDS-PasswordReversibleEncryptionEnabled 使用可還原的加密來存放密碼 msDS-LockoutDuration 帳戶鎖定期間 msDS-LockoutThreshold 帳戶鎖定閾值 msDS-LockoutObservationWindow 重設帳戶鎖定計數器的時間 msDS-PSOAppliesTo PSO 連結。此為多重值的屬性,它會連結到使用者和群組物件。 msDS-PasswordSettingsPrecedence 優先順序。這是整數值,用於解決當多重 PSO 套用至使用者或群組物件時的衝突。

Windows Server 2008 ADDS雖然提供了更加彈性的密碼原則,但是目前僅能透過ADSI的編輯工具來設定上述的相關屬性值。因此你必需相當小心的管理這些原則,盡量單純不要複雜化你的密碼原則將會有助於控制網域的安全性風險。


瞭解新增功能以利昇級規劃 
在新版Windows Server 2008的網域服務中除了上述新功能改變之外,你還可以找到其它一些不錯的功能。例如:將Active Directory使用者及電腦的檢視改為進行之後,便可以將任一DS物件勾選『保護物件不被意外刪除』的功能以防止被管理者誤刪。此外,也可以在進階檢視中的『屬性編輯器』頁面中直接修改該DS物件的屬性值,就如同使用ADSI編輯工具修改一樣。

當你從Windows 2000 Server要昇級至Windows Server 2008前,瞭解新版的功能新增及改變,可以讓你在事先規劃時便將這些改變納入考量。而在昇級後也能夠讓管理更快速的上手。在下一篇中我們將為大家介紹Windows Server 2008在綠化IT中所提供的新功能。在節能減碳的風潮下當你在規劃昇級時如何充份利用Windows Server 2008的新功能來達成目標。





【原文刊載於RUN!PC雜誌:2009年2月號】
 

2014年3月19日 星期三

Hyper-V Server 2008 R2 安裝及遠端管理

內容

  1. 前言
  2. 教學影片
  3. Hyper-V Server 2008 R2 SP1 端設定
    1. 安裝 Hyper-V Server 2008 R2 SP1
    2. 了解 Hyper-V Server 2008 R2 預設開啟 Port 號
    3. Hyper-V Server 設定固定 IP 位址
    4. 啟動 Hyper-V Server 遠端桌面功能
    5. 新增 Hyper-V Server 本機系統管理員帳號
    6. 變更 Hyper-V Server 電腦名稱
    7. Hyper-V Server 開啟遠端管理功能
    8. Hyper-V Server 防火牆允許 ICMP Type 8 (允許 ping)
  4. Windows 7 端 (RSAT 端) 設定
    1. Windows 7 安裝 RSAT 遠端伺服器管理工具
    2. Windows 7 設定 hosts 解析檔案
    3. Windows 7 設定遠端管理事項
  5. Hyper-V Server 允許遠端伺服器管理工具設定
  6. Windows 7 使用伺服器管理員進行遠端管理
  7. 其它基礎設定
    1. 查看軟體授權資訊
    2. Windows Update 設定
    3. 下載並安裝 Windows Update 更新
    4. 日期和時間
    5. 登入時不顯示這個功能表
    6. 其它選項
    7. 不小心把 cmd 及 sconfig 都關閉時
  8. 參考
  9. Me FAQ
    1. Q.設定靜態 IP 位址套用時出現錯誤訊息?
    2. Q.無法使用 Hyper-V 管理員進行遠端管理 (您沒有完成此工作的必要使用權限)?
    3. Q.無法使用 Hyper-V 管理員進行遠端管理 (拒絕存取)?
    4. Q.無法使用 Hyper-V 管理員進行遠端管理 (無法解析電腦)?
    5. Q.無法使用 伺服器管理員 進行遠端管理 (WinRM 用戶端無法處理該要求)?
    6. Q.伺服器管理員中無法查看 裝置管理員?
    7. Q.伺服器管理員中無法查看 磁碟管理?
    8. Q.伺服器管理員中無法查看 進階安全性防火牆?
    9. Q.執行 winrm quickconfig 指令時發生錯誤?
    10. Q.如何增加 VM 虛擬主機 Virtual Processors 數量?

前言

本文將說明 Hyper-V Server 2008 R2 安裝及遠端管理部份,至於 Hyper-V Server 2008 R2 具備什麼功能請參考站內文章 Hyper-V 版本清單 即可。

教學影片

筆者已將此篇文章中的要求以教學影片的方式進行錄製,有興趣的朋友可以參考看看。

2014年3月17日 星期一

Windows Server 2008 R2 加入 2003 網域

建置環境架構圖

使用「Windows Server 2008 R2」加入「Windows Server 2003」網域,會遇到「此問題

 將「Windows Server 2008 R2」光碟,放入「Windows Server 2003」,進入「support\adprep」找到「adprep32.exe
PS.「adprep」分「32」與「64」兩種位元版本,「adprep32」為「32」位元,「adprep」為「64」位元

使用「命令提示字元」執行「adprep32 /forestprep

輸入「C」,然後「Enter

自動運行「Schema」擴充,讓「2003」認得「2008

跑完以後,就會出現
Adprep Successfully updated the forest-wide information」,表示成功嚕 

接下來,執行「adprep32 /domainprep /gpprep

奇怪,怎麼顯示
Adprep detected that the domain is not in native mode

別忘記,需要提高「Windows Server 2003」網域功能等級

提高「網域功能等級」為「Windows Server 2003
PS. 預設為「Server 2000

接著再次執行「adprep32 /domainprep /gpprep」,就完成嚕

完成上述步驟,您的「Windows Server 2008 R2」,就可以順利加入「Windows Server 2003」的「網域

參考資料: