优秀的接班人——Windows Server 2008
何更改操作,所有对AD数据库的修改操作,只能在可写的域控上进行,然后这些修改再通过复制拓扑复制到RODC上。而且,在默认情况下,RODC 不保存任何账户信息和密码。这样的话,即使 RODC 受到安全攻击,管理员们也无需担心入侵者更改安全配置或利用服务器上保存的信息访问整个网络。
RODC使用的复制拓扑是单向的,即只能从可写域控制器复制到RODC,没有任何属性的更改会被直接写入RODC,所以,任何更改都不会从RODC发起,作为复制伙伴的可写域控制器也就不会产生从RODC“拉”数据的操作。这不仅意味着上述的恶意用户通过攻击在分支结构的RODC,在其上进行的操作的结果不会被复制到森林的其余部分,而且这一体制也减少了枢纽站点里的桥头服务器的工作量,以及为了监视复制所产生的数据量。RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。 前面提到,RODC上不会保存账户信息和密码,实际上,在默认情况下,RODC上还是会存放少量的账户信息,不过RODC只存储它自己的计算机账户和一个用于这台RODC的特殊的Kerberos 票据授权(KRBTGT)账户,此账户是被可写域控制器用来验证RODC身份的。如果需要在RODC上存储用户凭据或者计算机凭据的话,你需要在RODC上允许这些凭据被缓存。因为RODC一般是总是放置在比较小的分支机构,所以被允许凭据缓存的计算机账户和用户账户应该都不多。这样即使RODC被偷了,我们只会丢失那些缓存在RODC上的凭据。如果你连这些账户信息也非常在乎,在发现RODC被偷走之后,你可以立即在可写域控上将RODC的计算机账户删除,在删除时还可以对缓存在该RODC上的凭据进行密码重设,这样丢失掉的这些凭据就没有任何作用了。 RODC还支持一种称为“管理员角色分离”的功能,我们可以使用该功能来指派一个普通的域用户成为RODC的本地管理员。这样这个特定的域用户就拥有了对分支机构的RODC服务器进行一些系统维护或管理操作的权限,例如安装安全更新或者驱动程序。这个功能的好处在于:此用户在域中其他机器或者任何可读写的域控制器上并没有用户权利。而在以前的AD中,所有DC都是可读写的,DC上的本机管理事实上是使用域管理员账户的。这使得分支机构用户可以有效的管理RODC而不会影响整个域的安全性。 为了进一步减少对分支机构和总部之间网络的占用,你还能在RODC上安装DNS服务。安装在RODC上的DNS也是只读的,它能够复制其他DNS使用的所有程序目录分区,包括ForestDNSZones以及DomainDNSZones。这样,就使得用户能够像查询其它DNS服务器一样进行名称解析和服务位置查询。 总之,RODC的实现,为需要在分支机构部署域服务的管理员们,提供了即完整又安全的解决方案。 网络访问保护(NAP) 要问到Windows Server 2008最吸引眼球的功能,网络访问保护(NAP)绝对当之无愧! 现如今,令管理员非常头痛的事是:如何在一个充斥着家庭计算机、出差用户、来访客户等不在他们控制范围的各种移动客户端的网络中确保安全性?这些计算机很可能存在没有及时安装关键补丁、没有启用防火墙、没有及时升级病毒库等非常严重的安全隐患,当他们接入公司内网的时候,势必给企业内网的安全带来非常大的考验。好在NAP及时出现在我们的视线中。 要想描述清楚NAP系统是不容易的,简单来说NAP是一组服务器的集合,其核心服务器称为网络策略服务器(NPS),配合NPS工作的有健康注册管理机构(HRA)、安全修正服务器以及运行在客户端的安全状况收集程序——系统健康代理(SHA)等。一个典型的NAP系统通常有以下几个部分: NAP客户端 若要访问网络,首先由NAP代理从运行在NAP客户端计算机本地的系统健康代理(SHA)收集有关该客户端健康状况的信息。NAP代理是一种在本地计算机上运行的服务,能够收集来自 SHA 的信息。安装在客户端 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |