Windows Server 2008 AD架构-第02部分 创建管理域用户与组、只读域控制器RODC.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 只读域控制器RODC RODC的用途和特点 建立RODC 在前几章我们已经认识了AD域中的域控制器（DC）,可是从Windows Server 2008开始,却冒出了一个特殊的角色－－只读域控制器（RODC, Read Only Domain Controller）。 究竟它的用途何在？如何实作？这些都是本章要探讨的主题。 RODC的用途 RODC的特点 在一般AD域中,由于域控制器彼此会利用复制（Replication）机制,来同步AD数据库的内容,所以每一部域控制器的AD数据库都有相同的内容。 从安全的角度来看,每一部域控制器都一样重要！ 在现实环境中,中小企业为了节省成本,分公司（或办事处）的空间大小与人员编制往往不如总公司。 因此分公司的域控制器可能位于主管办公室的角落,既无严密的门禁管制,更无专职的系统管理员。 这形成了一个讽刺的现象－－明明都拥有同等重要的资料,总公司的域控制器拥有五星级的待遇；分公司的域控制器却只得到一星级的对待。 从安全的角度来看,这无异是将前门锁得牢不可破,却留下一道脆弱的后门,形成安全漏洞！ 为了解决上述的问题,微软创造了RODC这个特殊的域控制站,它是一种『万一遭窃或遭入侵,损害较少』的域控制器！ 当企业不得不在安全性较差的处所摆放域控制器时,最佳的选择就是摆放RODC。 RODC具有以下的特点： AD数据库的内容具有『只读』属性 为了避免黑客从RODC入侵、置入伪造的资料,再透过复制机制写到总公司的域控制站,因此将AD数据库的内容强制赋予『只读』属性,任何一位使用者都不能直接修改RODC的AD数据库内容。 RODC只能接受复制进来的数据 一般域控制器的复制（Replication）都是双向的,可以接受其它域控制器送来的数据；也可以送出数据给其它域控制器。 可是RODC的复制只能接受资料,不能送出资料。 刚建立RODC时,就会从指定的域服务器复制AD数据库的内容,后续的更新也都从其它域控制器送过来。 AD数据库的内容不包含用户的密码 为了避免万一RODC被盗,有心人士可从其中的AD数据库破解出用户的名称与密码,因此不在RODC的AD数据库存放密码。 可用本机系统管理员的身分管理RODC 域控制器的系统管理员就是域系统管理员（Domain Administrator）,在域拥有最大权限,即使RODC也不例外。 倘若RODC的系统管理员身分被冒用,等于整个域都失守了。 由于分公司没有专任的IT人员,不宜知道RODC系统管理员的帐户名称和密码。 可是有时候却必须有够大的权限才能执行特定的工作,例如：安装应用程序、更新驱动程序等等,因此该如何赋予分公司管理RODC的使用者的权限,成为一个两难的问题。 如今在建立RODC的过程中,系统会要求我们指定某个使用者或群组来管理RODC。 被指定的对象会获得RODC『本机系统管理员』的权限－－只是『本机』、不是『域』系统管理员！ 所以可以在RODC执行安装应用程序、更新驱动程序等等工作,可是不能登入其它的域控制站,也不能更改AD数据库的内容。 要建立RODC,不但网络环境要能符合基本条件,整个过程还必须在总公司与分公司两处,由不同人员分别执行,因此在看后文时,请读者注意当时的地点与身分。 若要在已经存在的域中另外建立一部RODC,则该域必须符合下列条件： 域的林功能等级必须为Windows Server 2003或Windows Server2008（在后文会说明变更林功能等级的方式）。 域必须有至少一部的Windows Server 2008域控制器。 总公司的.tw域已经有一部Windows Server 2008域控制站,其计算机名称为WS2008。 现在要将域外的另一部Windows Server 2008加入域、并升级为RODC,后文将此计算机简称为『准RODC』,其计算机名称为Server01。 在这里要特别强调一点：准RODC必须是『域外』（亦即『还没加入域』）的Windows Server 2008！ 实验2-1 Windows 2008 RODC-只读域控制器部署实例 * * * * * * * * * * * * * * * * 由于先前建议大家尽量将权限指派给域本机组,因此便以此来示范,不过同样的方式仍可适用于指派给其它组。 假设只要让『Printers』的成员能够使用某印表机,而非所有域使用者都能使用。 请