当前位置: 首页 > 图文教程 > 操作系统 > Windows > Windows Server 2008提升AD管理效率

Windows
为Windows系统安装新字体的方法
Windows XP系统中实现远程关机和重启
用WinRAR实现Wiindows系统快速关机
将XP SP3集成到Windows XP安装光盘
Windows XP中用ReadyBoost给系统加速
安装Windows Vista SP1需注意3点
XP加上UAC和Windows Vista相差多远
Windows XP常见的系统服务介绍
常用硬件驱动及硬件工具下载
用Windows XP自带工具制作自解压文件
删除“无用”的缩略图缓存文件
轻轻松松卸载多操作系统
10个增强Windows效率的必备免费软件
修复丢失的BOOT.ini启动文件
Windows最实用的七大组合键
将常用文件夹变为盘符
由Windows XP自带驱动引发的系统故障
Windows任务栏音量图标消失不见
WHS的意思是什么?
关于NTFS与FAT32文件系统的互相转换

Windows Server 2008提升AD管理效率


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-01-16   浏览: 94 ::
收藏到网摘: n/a

  AD从Server 2003迁移到Server 2008后,带来的不仅仅是性能上的提升,对管理者来说最享受的是管理与维护中的便捷与高效。Server 2008潜力无限,下面笔者与大家分享3个可提升AD管理效率与安全的技巧。

  1、不重启DC快速进入AD脱机模式

  做过AD(活动目录)的人都知道,基于Windows Server 2000/2003的DC(域控制器)如果要脱机维护AD就必须重启DC然后进入AD的还原模式才可以。这样做其弊端是显而易见的,AD下的诸如RIS服务、文件服务、打印服务等都会受到影响而不能运行。在Windows Server 2008中我们可以不需重新启动DC就可以停止AD服务,进而执行只有在AD脱机脱机状态下才可执行的操作,而对其他服务没有任何影响。

  Windows Server 2008中停止AD服务和停止其他任何服务一样,在命令行(cmd)下执行“net stop ntds”就可停止与AD服务,当然也会停止与AD相关的服务诸如:文件复制服务、站点间通信、DNS 服务器等,但对整个服务器的影响不大,至少比重启DC要迅捷快速得多。(图1)

  提升Windows Server 2008的AD管理效率

  图1 Windows Server 2008中停止AD服务

  AD服务停止后我们就可以执行某些只能在脱机模式下才能进行的操作,比如运行ntdsutil命令对AD数据库进行完整性验证、碎片整理,用copy命令移动数据,用del命令清除日志等操作了。等脱机维护任务完成后,我们只需在命令行中执行“net start ntds”,AD服务又重新启动,是否很快捷呢?(图2)

  提升Windows Server 2008的AD管理效率

  图2运行ntdsutil命令对AD数据库进行完整性验证


  2、快速找到并恢复某个AD备份

  大家知道在基于Windows Server 2000/2003的DC中,如果要恢复某个AD备份需要从多个备份中筛选进行恢复,往往我们需要反复尝试多次才能实现我们所需要的恢复。在Server 2008中利用AD的DMT(AD数据库管理工具)工具就非常方便地利于我们查看备份的时间段,并灵活地选择所要恢复到的时间段。下面我们以AD数据库快照的形式进行查看和演示。

  (1).创建快照

  我们需要用到Ntdsutil.exe命令,这是一个为AD提供管理设施的命令行工具,它可以执行AD数据库的维护,管理和控制单个主机操作,创建应用程序目录分区,以及删除DC中残留的元数据。在命令行下执行Ntdsutil.exe,根据命令提示在ntdsutil后输入snapshot申明快照,在快照后输入activate instance ntds创建的活动实例为ntds,在快照后输入create创建快照,稍等片刻成功创建快照集{c94362d1-1bc9-4bc7-8af7-7cc716208296},这是一个32位的识别码,是随机的且具有唯一性。(图3)

  提升Windows Server 2008的AD管理效率

  图3 snapshot申明快照

  (2).加载快照

  继续在上面的命令提示符下输入mount {c94362d1-1bc9-4bc7-8af7-7cc716208296}装载刚才创建的快照,提示{c94362d1-1bc9-4bc7-8af7-7cc716208296}已作为 C:\$SNAP_200801141137_VOLUMEC$\装载。此时不要关闭该命令行,然后再打开一个命令行(cmd)输入输入dsamain -dbpath C:\$SNAP_200801141137_VOLUMEC$\windows\ntds\ntds.dit -ldapport 33890加载只读数据库的快照,33890为加载的端口号。(图4)

  提升Windows Server 2008的AD管理效率

  图4 加载快照


  (3).查看AD实例

  执行“开始→管理工具→Active Directory 用户和计算机”,在DC域上点击右键选择“更改域控制器”打开“更改目录服务器”对话框,点选“此域控制器或 AD LDS实例”,可以看到当前AD的实例的状态,我们可使得刚才创建的快照实例,只需输入类似“DC:端口”(本例为fr.zhongtian.com:3382)即可。(图5)

  提升Windows Server 2008的AD管理效率

  图5 AD的实例的状态

  (4).删除快照

  运行命令提示符工具,输入ntdsutil进入命令行,输入snapshot进入快照操作,输入list mounted可以查看刚才创建的快照,然后通过delete删除快照。(图6)

  提升Windows Server 2008的AD管理效率

  图6 删除快照


  3、用审核策略加强AD管理

  我们知道在Windows Server 2008以前的Sever版本中当AC启用审计策略后,会产生大量的事件日志造成DC性能的降低和磁盘空间的负担,而且,也不能记录某个属性更改前后的值。二Server 2008的的审核策略非常强大,特别是针对AD做了很多优化和扩展,其审计更为详细。

  笔者认为对于AD,Server 2008的审核策略中针对事件记录,诸如精确记录属性修改前后的值、记录修改时间、记录修改者、记录修改对象这几项非常实用,有助于管理者对DC的安全管理和维护。下面我们结合实例演示一个新的审核策略的详细配置过程。

  首先在命令行下输入命令“auditpol /set /subcategory:"directory service changes" /success:enable”以启用策略(提示,上面的命令适合于英文版的Server 2008,如果你是中文版的可输入命令“AuditPol /set /subcategory:"目录服务更改" /success:enable“directory server changes”。如果还不可以的话,我们用32位ID来代替实例名。我们可以执行命令AuditPol /backup/file:c:\test.csv将审核策略保存为test.csv,然后用记事本打开查看到与“目录服务更改”对应的ID,然后执行命令,比如AuditPol /set /subcategory:{0CCE923C-69AE-11D9-BED3-505054503030} /success:enable即可)。然后输入命令gpupdage更新组策略。(图7)

  提升Windows Server 2008的AD管理效率

  图7 用审核策略加强AD管理

  然后“开始→管理工具→Active Directory用户和计算机”打开AD用户和计算机管理器,找到你需要启用审核策略的OU(组织单元)比如ctocio,右键单击选择“属性”打开其属性对话框,在“安全”标签下点击“高级”按钮在打开的对话框中点击“审核”标签,点击下面的“添加”按钮输入Authenticated Users或者其他对对象然后退回到审核项目窗口。在“应用到”下拉列表中选择“后代 用户 对象”(或者其他),然后勾选“访问”下的“写入全部属性”中的“成功”,最后依次退出设置窗口。(图8)

  提升Windows Server 2008的AD管理效率

  图8 用审核项目


  为了验证效果,我们在ctocio OU中创建一个用户,右键单击选择“新建→用户”根据向导新建用户wf。然后“开始→管理工具→事件查看器”可在“安全日志”中看到与“目录服务更改”相关的内容,查看“详细信息”administrator用户在fr.zhongtian.com的DC的ctocio的OU中创建了wf用户。(图9)

  提升Windows Server 2008的AD管理效率

  图9 安全审核

  总结:Active Directory作为微软在局域网与资源管理等方面的解决方案,在Windows Server 2008中其优越性得到进一步的体现。特别值得一提的是微软对AD的证书服务进行了重新设计,它与组策略设置密切配合,提供更容易的证书注册、发现和存储。作为一款比较新的服务器平台,Server 2008还有许多新的功能与技巧等待我们去利用和挖掘。