快速业务通道

优秀的接班人——Windows Server 2008

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-26
地方也许没有域控制器,或者他们有域控制器但是没有足够的物理安全保障、网络带宽以及专门的技术人员来提供支持。这就使得分支机构很可能成为黑客的突破点,进而攻击整个企业网络。

只读域控制器(RODC)就是针对上述的隐患而设计的。

顾名思义,RODC本身是一台域控制器,但是存储于这台域控制器里的数据库是被写保护的,无法对数据库中的数据做任何更改操作,所有对AD数据库的修改操作,只能在可写的域控上进行,然后这些修改再通过复制拓扑复制到RODC上。而且,在默认情况下,RODC 不保存任何账户信息和密码。这样的话,即使 RODC 受到安全攻击,管理员们也无需担心入侵者更改安全配置或利用服务器上保存的信息访问整个网络。

498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' border="0" alt="" width="507" height="477" src="http://images.51cto.com/files/uploadimg/20100603/1120473.png" />

图4 指定安装成RODC

RODC使用的复制拓扑是单向的,即只能从可写域控制器复制到RODC,没有任何属性的更改会被直接写入RODC,所以,任何更改都不会从RODC发起,作为复制伙伴的可写域控制器也就不会产生从RODC“拉”数据的操作。这不仅意味着上述的恶意用户通过攻击在分支结构的RODC,在其上进行的操作的结果不会被复制到森林的其余部分,而且这一体制也减少了枢纽站点里的桥头服务器的工作量,以及为了监视复制所产生的数据量。RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。

前面提到,RODC上不会保存账户信息和密码,实际上,在默认情况下,RODC上还是会存放少量的账户信息,不过RODC只存储它自己的计算机账户和一个用于这台RODC的特殊的Kerberos 票据授权(KRBTGT)账户,此账户是被可写域控制器用来验证RODC身份的。如果需要在RODC上存储用户凭据或者计算机凭据的话,你需要在RODC上允许这些凭据被缓存。因为RODC一般是总是放置在比较小的分支机构,所以被允许凭据缓存的计算机账户和用户账户应该都不多。这样即使RODC被偷了,我们只会丢失那些缓存在RODC上的凭据。如果你连这些账户信息也非常在乎,在发现RODC被偷走之后,你可以立即在可写域控上将RODC的计算机账户删除,在删除时还可以对缓存在该RODC上的凭据进行密码重设,这样丢失掉的这些凭据就没有任何作用了。

RODC还支持一种称为“管理员角色分离”的功能,我们可以使用该功能来指派一个普通的域用户成为RODC的本地管理员。这样这个特定的域用户就拥有了对分支机构的RODC服务器进行一些系统维护或管理操作的权限,例如安装安全更新或者驱动程序。这个功能的好处在于:此用户在域中其他机器或者任何可读写的域控制器上并没有用户权利。而在以前的AD中,所有DC都是可读写的,DC上的本机管理事实上是使用域管理员账户的。这使得分支机构用户可以有效的管理RODC而不会影响整个域的安全性。

为了进一步减少对分支机构和总部之间网络的占用,你还能在RODC上安装DNS服务。安装在RODC上的DNS也是只读的,它能够复制其他DNS使用的所有程序目录分区,包括ForestDNSZones以及DomainDNSZones。这样,就使得用户能够像查询其它DNS服务器一样进行名称解析和服务位置查询。

总之,RODC的实现,为需要在分支机构部署域服务的管理员们,提供了即完整又安全的解决方案。

网络访问保护(NAP)

要问到Windows Server 2008最吸引眼球的功能,网络访问保护(NAP)绝对当之无愧!

现如今,令管理员非常头痛的事是:如何在一个充斥着家庭计算机、出差用户、来访客户等不在他们控制范围的各种移动客户端的网络中确保安全性?这些计算机很可能存在没有及时安装关键补丁、没有启用防火墙、没有及时升级病毒库等非常严重的安全隐患,当他们接入公司内网的时

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号