Windows-Server下加强系统安全性系列之方案【九】
为企业部署RODC<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
Xiaotang公司的网络是一个 Windows 2008的域环境,域名是benet.com,在这种复杂的域环境中,有时需要安装多台域控制器,管理员可以在任意一台域控制器上修改Active Directory的内容,这样无形中会增加管理的负担和安全隐患。为了减轻管理的负担和安全隐患,可以在域环境当中安装RODC(只读域控制器)。它的作用和附加域控制器的作用一样,不同的是RODC中加载的是只读的Active Directory数据库,无论普通用户还是管理员都不能修改活动目录的内容。最近公司新成立了一个部门,并为该部门组建了一个单独的局域网,公司打算在不增加管理负担的基础上,专门为该部门安装一台域控制器,以提高该部门用户登录到域控制器的速度,但是不允许该部门的人修改域控制器的配置。
1. 部署RODC服务器
(1) 以Aaministrator 身份登录到现有的域控制器上。
(2) 打开“Active Directory域和信任关系”,右击“Active Directory域和信任关系”,选择“提升林功能级别”将林的功能级别提升到Windows 2003或Windows 2008的版本。(注:如果新建的林中只运行Windows 2008域控制器,则不必执行此步骤)。
(3) 先将Windows 2008的安装光盘放入光驱。进入光盘的\sources\adprep目录,执行“adprep/rodcprep”命令。
2. 安装RODC服务器
(1) 将要安装的RODC的计算机加入benet.com的域。
(2) 在RODC的计算机中安装“Active Directory域服务”。
(3) 运行“dcpromo”命令,在弹出的对话框中选择“使用高级模式安装”,单击“下一步”按钮。
(4) 单击“下一步”按钮,选择“现有林”和“向现有域添加域控制器”,单击“下一步”按钮。
(5) 请输入域名并指定网络凭据,单击“下一步”按钮。
(6) 先选择要加入的域,单击“下一步”按钮。
(7) 选择想要添加的站点,再单击“下一步”按钮。
(8) 选择“只读域控制器”,单击“下一步”按钮。
(9) 接受默认的密码复制策略,单击“下一步”按钮。
(10)指定用于安装和管理RDOC的用户或组,选择该用户或组将成为RODC计算机的本地管理员,它是可以管理RODC的,但在域中只是一个普通的用户。
(11)选择“通过网络从现有域控制器复制数据”,单击“下一步”按钮。
(12)选择源域控制器,单击“下一步”按钮。
(13)指定数据库、日志文件和SYSVOL的位置,单击“下一步”按钮。
(14)设置目录服务器还原模式的密码,在单击“下一步”按钮。
(15)在“摘要”页直接单击“下一步”按钮。
(16)安装向导开始安装RODC,选择安装完成后自动重新启动计算机。
3.验证安装的结果。
(1)安装完成之后以域管理员Administrator的身份登录到域控制器。
(2)打开“Active Directory用户和计算机”,展开“Domain controllers”容器,可以看到RODC的计算机。
(3)单击域名benet.com,选择“更改域控制器”选项,选中刚刚安装好的RODC的计算机,单击“确定”按钮开始连接到RODC。
(4)打开“Active Directory用户和计算机”,在任意空白处右击,可以看到在RODC上不能修改活动目录配置(肯定是没有“新建”选项的)。
(5)注销域管理员的用户账户,再以“rodc_domain”的域用户账户登录到域控制器上,可以方便、快捷去管理企业的RODC。
转载于:https://blog.51cto.com/tangdewei/283569