รับติดตั้ง Windows Serverและ Promote domain เพื่อใช้ในองค์กร ของท่าน ในด้านต่างๆ

มาดู ความสามารถ บางส่วน ของ Domain หลังจากทำหาร Promote แล้ว 

บริการโดเมน Active Directory (เดิมเรียกว่า Active Directory) และการจัดการข้อมูลใน Windows Server 2008 ขณะนี้ครอบคลุมบริการที่แตกต่างกันหลายประการ :

• บริการโดเมน Active Directory (AD DS)
• Active Directory Federation Services (AD FS)
• Directory Lightweight บริการ Active Directory (AD LDS)
• สิทธิการบริหารจัดการบริการไดเรกทอรีใช้งานอยู่ (AD RMS)
• บริการรับรอง Active Directory (AD CS)

บริการแต่ละบทบาทของเซิร์ฟเวอร์ซึ่งเป็นแนวคิดใหม่ใน Windows Server 2008

มีอะไรใหม่ใน Windows Server 2008

มีจำนวนมากคุณลักษณะใหม่และฟังก์ชั่นที่เพิ่มไปยัง Active Directory ใน Windows Server 2008

ในบทความนี้ผมจะเน้นที่บริการโดเมน Active Directory (AD DS) ใน Windows Server 2008 ซึ่งรวมถึงการปรับปรุงหลายและคุณสมบัติใหม่เมื่อเทียบกับ Windows Server 2003

นี่เป็นภาพรวมสั้น ๆ ของการเปลี่ยนแปลงหลักและโดเมนฟังก์ชันการทำงานใหม่ Services ซึ่งผมจะเน้นในบทความนี้คือ

• บริการโดเมน Active Directory -- อ่านอย่างเดียวตัวควบคุมโดเมน
• บริการโดเมน Active Directory -- restartable บริการโดเมนของ Active Directory
• บริการโดเมน Active Directory -- ละเอียดนโยบายรหัสผ่าน

บริการโดเมน Active Directory

โดเมนที่ฟังก์ชันการทำงานบริการได้รับการดำเนินการปรับปรุงไปข้างหน้าและใน Windows Server 2008, พร้อมด้วยตัวช่วยสร้างติดตั้งปรับปรุงให้ดีขึ้น (ผู้จัดการ Server) นอกจากนี้ยังมีตัวเลือกในการจัดการใหม่สำหรับคุณสมบัติ AD DS เช่นอ่านอย่างเดียวตัวควบคุมโดเมน (RODCs)

ยัง Active Directory ตัวควบคุมโดเมน Read - Only (RODC) เป็นชนิดใหม่ของตัวควบคุมโดเมนใน Windows Server 2008 กับ RODC องค์กรสามารถปรับตัวควบคุมโดเมนในสถานที่ที่ปลอดภัยทางกายภาพไม่สามารถรับประกันได้

วัตถุประสงค์หลัก RODC คือการปรับปรุงการรักษาความปลอดภัยในสำนักงานสาขา ในสำนักงานสาขาก็มักจะยากที่จะได้รับการความปลอดภัยทางกายภาพที่จำเป็นสำหรับโครงสร้างพื้นฐานด้านไอทีโดยเฉพาะอย่างยิ่งสำหรับตัวควบคุมโดเมนที่มีข้อมูลที่สำคัญDC มักจะสามารถพบได้ใต้โต๊ะในสำนักงาน ถ้ามีคนได้รับการเข้าถึงทางกายภาพเป็น DC ก็ไม่ยากที่จะจัดการระบบและได้รับการเข้าถึงข้อมูล RODC แก้ปัญหาเหล​​่านี้

สาระสำคัญของ RODC มีดังนี้ :

• ใน Domain Controller Read - Only
   
• การแยกบทบาทของผู้บริหาร
   
• การใช้แคชกับข้อมูลประจำตัว
   
• Read - Only DNS
   

ใน Domain Controller Read - Only

RODC ถือเป็นสำเนาไม่สามารถเขียนได้และอ่านอย่างเดียวจากฐานข้อมูล Active Directory กับวัตถุทั้งหมดและคุณสมบัติ RODC สนับสนุนเฉพาะการจำลองแบบทิศทางเดียวจากการเปลี่ยนแปลงของ Active Directory, ซึ่งหมายความว่า RODC เสมอซ้ำโดยตรงกับตัวควบคุมโดเมนในไซต์ฮับ

รูป A : การจำลองแบบเพื่อ RODC

RODC นี้จะดำเนินการจำลองแบบขาเข้าตามปกติจากฮับไซต์สำหรับ Active Directory และ DFS การเปลี่ยนแปลง RODC จะได้รับทุกอย่างจาก Active Directory แต่ข้อมูลที่สำคัญโดยบัญชีเริ่มต้นเช่น Domain Admins, องค์กรผู้ดูแลระบบและผู้ดูแลระบบแบบแผนจะถูกแยกออกจากการจำลองแบบเพื่อ RODC

ถ้าโปรแกรมต้องการเข้าถึงการเขียนไปยัง Active Directory, RODC ส่งการตอบสนองการอ้างอิงของ LDAP ซึ่งโดยอัตโนมัติการเปลี่ยนเส้นทางการประยุกต์ใช้กับตัวควบคุมโดเมนที่สามารถเขียนได้อยู่ในฮับไซต์หลัก RODC นี้ยังมีความสามารถในการทำงานบทบาทของรายการทั่วโลกสำหรับการเข้าสู่ระบบได้เร็วขึ้นถ้าจำเป็น

นี้เป็นประโยชน์ที่ยิ่งใหญ่สำหรับสำนักงานสาขาเพราะถ้าคนที่ได้รับการเข้าถึงทางกายภาพไปยังเซิร์ฟเวอร์หรือแม้กระทั่งขโมยมันคนอาจจะสามารถ crack รหัสผ่านในบัญชีผู้ใช้ในการโฆษณา แต่ไม่ใด ๆ ของบัญชีที่สำคัญ -- ตั้งแต่พวกเขาเป็น ไม่อยู่บน RODC

นอกจากนี้ยังหมายความว่าผู้ที่มีบัญชีผู้ดูแลระบบที่มีความสำคัญจะไม่สามารถเข้าสู่ RODC ถ้ามีการเชื่อมโยง WAN ไปยังเว็บไซต์ของฮับหลักไม่สามารถใช้งาน

เพื่อดำเนินการ RODC ในสภาพแวดล้อมของคุณคุณต้องโดเมนและป่าไม้ของคุณที่ใช้ Windows Server 2003 โหมดการทำงานและ DC emulator PDC จะต้องมีการใช้ Windows Server 2008

การแยกบทบาทของผู้บริหาร

คุณสามารถมอบหมายสิทธิ์ของผู้ดูแลท้องถิ่นสำหรับเซิร์ฟเวอร์ RODC ให้กับผู้ใช้ใน Active Directory ใด ๆ บัญชีผู้ใช้ที่ได้รับมอบหมายในขณะนี้จะสามารถเข้าสู่เซิร์ฟเวอร์และการดำเนินงานการบำรุงรักษาเซิร์ฟเวอร์โดยไม่ต้องมีสิทธิ์ AD DS และผู้ใช้ไม่ได้มีการเข้าถึงตัวควบคุมโดเมนอื่นใน Active Directory, การรักษาความปลอดภัยด้วยวิธีนี้จะไม่บุกรุกสำหรับโดเมน

การใช้แคชกับข้อมูลประจำตัว

โดยค่าเริ่มต้น RODC ไม่ได้จัดเก็บผู้ใช้หรือข้อมูลประจำตัวของเครื่องคอมพิวเตอร์ยกเว้นบัญชีคอมพิวเตอร์ของ RODC ตัวเองและเป็นพิเศษบัญชี"krbtgt"ที่แต่ละคนมี RODC

RODC สามารถ แต่จะกำหนดให้รหัสผ่านแคชนี้คือการจัดการตามนโยบายการจำลองแบบรหัสผ่าน นโยบายการจำลองแบบผ่านการพิจารณาว่าการทำแบบจำลองจาก DC เพื่อให้สามารถเขียนได้ RODC ที่ได้รับอนุญาตสำหรับผู้ใช้หรือข้อมูลประจำตัวของเครื่องคอมพิวเตอร์ หากผู้ใช้บางอย่างเป็นที่อนุญาตให้ใช้สิทธิของผู้ใช้ที่มีการเก็บไว้ใน RODC ที่การเข้าสู่ระบบ

เมื่อบัญชีถูกรับรองความถูกต้องประสบความสำเร็จกับ RODC ที่พยายามที่จะติดต่อ RODC ตัวควบคุมโดเมนที่สามารถเขียนได้ที่เว็บไซต์ของฮับ ถ้ารหัสผ่านไม่ได้เป็นแคช RODC จะส่งต่อการร้องขอการตรวจสอบไปยัง ดี.ซี. เขียนได้ ดี.ซี. ได้รับการร้องขอจะรับรู้ว่าการร้องขอมาจาก RODC และตรวจสอบกับนโยบายการจำลองแบบรหัสผ่าน

ประโยชน์ของการใช้แคช Credential เป็นที่จะช่วยให้มีการป้องกันรหัสผ่านที่สำนักงานสาขาและลดความเสี่ยงของข้อมูลประจำตัวในกรณีที่ RODC ถูกบุกรุก เมื่อมีการใช้การใช้แคช Credential และถ้า RODC ถูกขโมยบัญชีผู้ใช้และบัญชีผู้ใช้คอมพิวเตอร์สามารถมีรหัสผ่านใหม่ได้ขึ้นอยู่กับ RODC ที่เป็นของ

การใช้แคชกับข้อมูลประจำตัวสามารถด้านซ้ายพิการและนี้จะ จำกัด การแสดงผลในที่สุด แต่ก็ยังจะเพิ่มขึ้นจราจร WAN เนื่องจากทุกขอตรวจสอบจะถูกส่งต่อไปยัง DCs เขียนได้ในฮับไซต์หลัก

Read - Only DNS

นอกจาก RODC ก็ยังเป็นไปได้ที่จะติดตั้งบริการ DNS DNS เซิร์ฟเวอร์ที่ทำงานบน RODC ไม่สนับสนุนการปรับปรุงแบบไดนามิกแต่ลูกค้าสามารถที่จะใช้เซิร์ฟเวอร์ DNS แบบสอบถามสำหรับการจำแนกชื่อ

เนื่องจาก DNS เป็น Read - Only ลูกค้าไม่สามารถปรับปรุงระเบียนในนั้น แต่ถ้าลูกค้าต้องการที่จะปรับปรุงระเบียน DNS ของตัวเอง RODC จะส่งต่อไปข้างหน้าไปเขียนได้ DNS บันทึกการปรับปรุงต่อไปเดียวจะถูกจำลองแบบจากเซิร์ฟเวอร์ที่สามารถเขียนไปยังเซิร์ฟเวอร์ DNS บน RODC นี้เป็นวัตถุเดียวพิเศษ (บันทึก DNS) การทำแบบจำลองเพื่อให้เซิร์ฟเวอร์ RODC DNS up - to - วันที่และให้ลูกค้าที่อยู่ในสำนักงานสาขาที่ความละเอียดชื่อได้เร็วขึ้น

restartable บริการโดเมนไดเรกทอรีที่ใช้งาน
ด้วย Windows Server 2008, ใช้งานบริการโดเมน Directory (AD DS) ตอนนี้หยุดและทํางาน ซึ่งหมายความว่าคุณสามารถหยุด DS AD เพื่อดำเนินการและการบำรุงรักษาซึ่งในรุ่นก่อนของ Windows Server จำเป็นต้องรีบูตเข้าคืนค่าบริการไดเรกทอรีโหมด (dsrm) นี้คือคุณสมบัติที่ดีเยี่ยมสำหรับการเขียนสคริปต์และงานเหล่านั้นโดยอัตโนมัติ

รัฐเป็นไปได้สำหรับ DS AD มีดังนี้ :

• AD DS -- การเริ่มต้น
   
• AD DS -- หยุด
   
• AD DS Restore Mode (dsrm)
   

มันเป็นประโยชน์ที่งานที่ใช้ในการต้องรีบูตเพื่อใช้ DS AD ออฟไลน์ตอนนี้ใช้ได้โดยตรงจากคอนโซล นี้จะช่วยให้ผู้ดูแลระบบมีความยืดหยุ่นต่อการรักษาและประสิทธิภาพการดำเนินงานแบบออฟไลน์ AD DS ได้รวดเร็วยิ่งขึ้นบางส่วน

ละเอียดนโยบายรหัสผ่าน

ก่อนที่จะใช้ Windows Server 2008, คุณอาจจะมีได้เพียงหนึ่งรหัสผ่านและนโยบายการล็อกบัญชีต่อโดเมนที่ใช้กับผู้ใช้ทั้งหมดในโดเมน ในฐานะที่เป็นสิ่งใหม่ ๆ ใน Windows Server 2008 AD DS ก็คือตอนนี้ไปได้ด้วยความละเอียดนโยบายรหัสผ่านเพื่อกำหนดชุดที่แตกต่างจากนโยบายของรหัสผ่านหรือการล็อกการตั้งค่าที่แตกต่างกันของผู้ใช้ในโดเมนเดียวกัน

ด้วยอย่างละเอียดนโยบายรหัสผ่านการตั้งค่าที่ใช้ได้มีดังนี้

นโยบายรหัสผ่าน :

• การบังคับใช้รหัสผ่านประวัติ
   
• อายุรหัสผ่านสูงสุด
   
• อายุรหัสผ่านขั้นต่ำ
   
• ยาวของรหัสผ่านขั้นต่ำ
   
• รหัสผ่านจะต้องตอบสนองความต้องการที่ซับซ้อน
   
• Store รหัสผ่านโดยใช้การเข้ารหัสกลับ
   

นโยบาย lockout :

• ระยะเวลาการล็อกบัญชี
   
• เกณฑ์การล็อกบัญชี
   
• รีเซ็ต lockout บัญชีหลังจากที่
   

ละเอียดนโยบายรหัสผ่านสามารถนำไปใช้วัตถุที่ผู้ใช้และกลุ่มความปลอดภัยทั่วโลก มันไม่ได้เป็นไปได้ที่จะนำไปใช้และกำาหน

การใช้นโยบายรหัสผ่านที่ละเอียดโดเมนระดับการทำงานจะต้องใช้ Windows Server 2008

ข้อสรุป

Windows Server 2008 บริการโดเมน Active Directory (AD DS) มีคุณสมบัติใหม่บางที่ดีและฟังก์ชั่นซึ่งสามารถเพิ่มประสิทธิภาพมากในการบริหารจัดการโดเมน เพื่อสรุป;

สำหรับสถานการณ์ที่สำนักงานสาขาของตัวควบคุมโดเมน Read - Only (RODC) คือไกลโดยที่คุณสมบัติใหม่ที่ยิ่งใหญ่ที่สุดของ Windows Server 2008, มันเป็นการเพิ่มประสิทธิภาพที่ดีของการรักษาความปลอดภัยสำหรับองค์กรที่ใช้ตัวควบคุมโดเมนในสถานที่ที่ห่างไกล

ละเอียดนโยบายรหัสผ่านเป็นคุณลักษณะใหม่ที่ดีที่ให้ความยืดหยุ่นเพิ่มเติมในโดเมนใด ๆ ที่มีความสามารถในการมีรหัสผ่านหลายและนโยบาย lockout

ร่วมกันของคุณสมบัติใหม่ที่เพิ่มความปลอดภัยและความยืดหยุ่นใน Active Directory

ถ้าคุณต้องการที่จะได้รับแจ้งเมื่อปีเตอร์ชมิดท์ออกส่วนถัดไปของชุดบทความนี้โปรดลงทะเบียนเพื่อ WindowsNetworking.com เวลาที่จริงบทความจดหมายข่าวการปรับปรุง .

แหล่งข้อมูลเพิ่มเติมเกี่ยวกับ Windows Server 2008