第 6 章 唯讀網域控制站(RODC).

Slides:



Advertisements
Similar presentations
第 7 章 中文輸入法介紹.
Advertisements

计算机网络高级工 梁绍宇.
國立高雄海洋科技大學 電子郵件收信軟體設定說明
Windows 2003 Server FTP站台的架設
VMware Player 安裝說明 2018/11/14.
9/28號專題報告 Web網頁遊戲 曾建瑋.
第 5 章 建立網域.
Q101 在701 SDX Linux上的標準安裝與使用程序v2
第一篇 Unix/Linux 操作介面 第 1 章 Unix/Linux 系統概論 第 2 章 開始使用 Unix/Linux
JDK 安裝教學 (for Win7) Soochow University
第1章 認識Arduino.
AD & DNS.
第 8 章 規劃與建立群組.
计算机网络管理技术 第1章 网络管理技术概述 第2章 SNMP网络管理架构 第3章 网络流量监控技术与方法 第4章 磁盘管理
HiNet 光世代非固定制 用戶端IPv6設定方式說明
在NS-2上模擬多個FTP連線,觀察頻寬的變化
SQL Stored Procedure SQL 預存程序.
R教學 安裝RStudio 羅琪老師.
安裝JDK 安裝Eclipse Eclipse 中文化
安裝公文製作系統 1.*到文書組下載公文製作系統* 或 2.輸入網址
Echo Server/Client Speaker:Fang.
第 5 章 SQL Server 的安全性管理.
TCP/IP介紹 講師:陳育良 2018/12/28.
連結資料庫管理系統.
硬體話機設定說明.
雲端運算的基石(2) 虛擬化技術實作(XP篇─上)
檔案與磁碟的基本介紹.
系統設定 IE8相容性檢視
FTP檔案上傳下載 實務與運用.
Chap3 Linked List 鏈結串列.
DHCP for W2K.
電腦攻擊與防禦 使用電腦教室VMware軟體說明.
網路安全技術期末報告 Proxy Server
人事差勤系統 網路簽到退 資訊室 黃怡智.
建立一 function s (type) 可以用來繪製cyclic-harmonic curves
UpToDate Anywhere 設定方法
本院使用建教合作之輔仁大學 圖書館資料庫 設定方式說明
網頁程式概論 建國科技大學資管系 饒瑞佶 2015/9 V1 2016/4 V2 2016/9 V3.
資料來源 2 網路過濾軟體之安裝說明 資料來源 2.
EPSON 點矩陣印表機LQ-300+ 發票紙張格式設定.
WinPXE 無硬碟系統 6.0 安裝說明 憶傑科技股份有限公司
安裝 / 操作 flashget SOP (以Win 7 作業系統為範例)
Google協作平台+檔案分享(FileZilla+網路芳鄰)
個人網路空間 資訊教育.
指導老師:溫翔安 組員:溫允中4970E011 李雅俐4970E025 蕭積遠4970E026 陳欣暉4970E086
GridView操作 (II).
如何使用Gene Ontology 網址:
CVPlayer下載及安裝& IVS操作說明
探測工具:NetCat.
Class & Object 靜宜大學資工系 蔡奇偉副教授 ©2011.
FTP使用教學 簡介: 軟體名稱:FileZilla 軟體性質:Freeware 版本: 繁體中文版
主要内容: 活动目录的基本知识 活动目录的安装 构造域帐户 安全策略的设置 设置共享文件夹 安装网络打印机
雲端計算.
編輯網頁可用那些應用程式? 記事本 Word FrontPage Dreamweaver.
程式移植.
SCM系統使用說明 1. 登入系統 2. 修改密碼 3. PO-回復 4. DN-回復 5. Forecast維護(暫不能用)
1. 查詢個人電腦版本 1.進入控制台 2.點選“所有控制台項目” 3.點選“系統”.
國立屏東大學宿舍網路連線 設定說明 104/08/12.
動畫演示 Node規範了一些基本的方法,像是增加節點、刪除節點、讓節點做一些事、取得第n個節點等等
Cloud Operating System - Unit 03: 雲端平台建構實驗
PVQC-校內賽 考生注意事項.
資料結構與C++程式設計進階 期末考 講師:林業峻 CSIE, NTU 7/ 15, 2010.
安裝JDK 配置windows win7 環境變數
ARP攻擊 A 吳峻誠.
多站台網路預約系統之 AJAX即時資料更新機制
Chapter 4 Multi-Threads (多執行緒).
DNS (Domain Name System)
Develop and Build Drives by Visual C++ IDE
Quantum-Wise軟體教學.
InputStreamReader Console Scanner
Presentation transcript:

第 6 章 唯讀網域控制站(RODC)

本章重點 6 - 1 RODC 的用途和特點 6 - 2 建立 RODC

唯讀網域控制站(RODC) 在前幾章我們已經認識了 AD 網域中的網域控制站(DC), 可是從 Windows Server 2008 開始, 卻冒出了一個特殊的角色--唯讀網域控制站(RODC, Read Only Domain Controller)。 究竟它的用途何在?如何實作?這些都是本章要探討的主題。

6 - 1 RODC 的用途和特點 RODC 的用途 RODC 的特點

RODC 的用途 在一般 AD 網域中, 由於網域控制站彼此會利用複寫(Replication)機制, 來同步 AD 資料庫的內容, 所以每一部網域控制站的 AD 資料庫都有相同的內容。 從資安的角度來看, 每一部網域控制站都一樣重要! 在現實環境中, 中小企業為了節省成本, 分公司(或辦事處)的空間大小與人員編制往往不如總公司。

RODC 的用途 因此分公司的網域控制站可能位於主管辦公室的一隅, 既無嚴密的門禁管制, 更無專職的系統管理員。 這形成了一個諷刺的現象--明明都擁有同等重要的資料, 總公司的網域控制站擁有五星級的待遇;分公司的網域控制站卻只得到一星級的對待。 從資安的角度來看, 這無異是將前門鎖得牢不可破, 卻留下一道脆弱的後門, 形成安全漏洞!

RODC 的用途 為了解決上述的問題, 微軟創造了 RODC 這個特殊的網域控制站, 它是一種『萬一遭竊或遭入侵, 損害較少』的網域控制站!

RODC 的特點 RODC 具有以下的特點: AD 資料庫的內容具有『唯讀』屬性 為了避免駭客從 RODC 入侵、置入偽造的資料, 再透過複寫機制寫到總公司的網域控制站, 因此將 AD 資料庫的內容強制賦予『唯讀』屬性, 任何一位使用者都不能直接修改 RODC 的 AD 資料庫內容。 RODC 只能接受複寫進來的資料

RODC 的特點 一般網域控制站的複寫(Replication)都是雙向的, 可以接受其它網域控制站送來的資料;也可以送出資料給其它網域控制站。 可是 RODC 的複寫只能接受資料, 不能送出資料。 剛建立 RODC 時, 就會從指定的網域伺服器複製 AD 資料庫的內容, 後續的更新也都從其它網域控制站送過來。 AD 資料庫的內容不包含使用者的密碼

RODC 的特點 為了避免萬一 RODC 遭竊, 有心人士可從其中的 AD 資料庫破解出使用者的名稱與密碼, 因此不在 RODC 的 AD 資料庫存放密碼。 可用本機系統管理員的身分管理 RODC 網域控制站的系統管理員就是網域系統管理員(Domain Administrator), 在網域擁有最大權限, 即使 RODC 也不例外。 倘若 RODC 的系統管理員身分被冒用, 等於整個網域都失守了。

RODC 的特點 由於分公司沒有專任的 IT 人員, 不宜知道 RODC 系統管理員的帳戶名稱和密碼。 如今在建立 RODC 的過程中, 系統會要求我們指定某個使用者或群組來管理 RODC。

RODC 的特點 被指定的對象會獲得 RODC『本機系統管理員』的權限--只是『本機』、不是『網域』系統管理員! 所以可以在 RODC 執行安裝應用程式、更新驅動程式等等工作, 可是不能登入其它的網域控制站, 也不能更改 AD 資料庫的內容。

6 - 2 建立 RODC 要建立 RODC, 不但網路環境要能符合基本條件, 整個過程還必須在總公司與分公司兩處, 由不同人員分別執行, 因此在看後文時, 請讀者注意當時的地點與身分。

要建立 RODC 的基本條件 若要在已經存在的網域中另外建立一部 RODC, 則該網域必須符合下列條件: 網域的樹系功能等級必須為 Windows Server 2003 或 Windows Server 2008(在後文會說明變更樹系功能等級的方式)。 網域必須有至少一部的 Windows Server 2008 網域控制站。

建立 RODC 的步驟 假設目前的網路環境如下:

建立 RODC 的步驟 總公司的 xdom.biz.tw 網域已經有一部 Windows Server 2008 網域控制站, 其電腦名稱為 WS2008。 現在要將網域外的另一部 Windows Server 2008 加入網域、並升級為 RODC, 後文將此電腦簡稱為『準 RODC』, 其電腦名稱為 Server01。 在這裡要特別強調一點:準 RODC 必須是『網域外』(亦即『還沒加入網域』)的 Windows Server 2008!

建立 RODC 的步驟 倘若找不到符合此條件的主機, 就必須先將一部網域內的主機退出網域, 以擔任準 RODC。 後續所要執行的工作區分為以下 3 階段: 第 1 階段:在總公司的網域控制站提升樹系功能等級。 第 2 階段:在總公司的網域控制站建立 RODC 電腦帳戶。 第 3 階段:在分公司將準 RODC 附加到 RODC 電腦帳戶。

建立 RODC 的步驟 可是要知道, 在正常的情形下, 以上 3 階段是在不同地點、由不同人員執行, 如下圖:

建立 RODC 的步驟 當然囉, 如果您覺得這種不同地、不同人的執行方式太麻煩, 也可以要求分公司將準 RODC 送到總公司, 由 IT 部門人員做完一切設定後, 再送回分公司。 不過若總公司與分公司相距甚遠時(例如:位於不同國家), 恐怕就不適合這樣做了。

1. 在總公司的網域控制站提升樹系功能等級 由於建立第 1 部網域控制站時, 預設的樹系功能等級是『Windows 2000』, 不符合目前的要求, 所以必須修改。 請以隸屬於 Enterprise Admin 群組的帳戶登入網域控制站, 而後執行『開始 / 系統管理工具 / Active Directory 網域及信任』命令, 並如下操作。

在總公司的網域控制站提升樹系功能等級

在總公司的網域控制站提升樹系功能等級 接著按兩次確定鈕即可。

2. 在總公司的網域控制站建立 RODC 電腦帳戶 請在總公司的網域控制站(WS2008)執行『開始 / 系統管理工具 / Active Directory 使用者和電腦』命令:

在總公司的網域控制站建立 RODC 電腦帳戶

在總公司的網域控制站建立 RODC 電腦帳戶

在總公司的網域控制站建立 RODC 電腦帳戶

在總公司的網域控制站建立 RODC 電腦帳戶

在總公司的網域控制站建立 RODC 電腦帳戶

指定密碼複寫原則 先前曾提到 RODC 預設不儲存使用者的密碼, 但是這樣有一個缺點:當分公司與總公司之間的線路不通時, 分公司的所有員工都無法登入。 因此我們可以做一點彈性調整, 讓 RODC 儲存某些使用者的密碼, 這就是利用所謂的密碼複寫原則來設定。 我們延續先前的步驟, 按下一步鈕之後會看到以下的交談窗。

指定密碼複寫原則

指定密碼複寫原則 在上圖的名稱欄位出現了 6 個內建的群組:RODC 對於 Administrators、Server Operators、Backup Operators、Account Operators 和 Denied RODC Password Replication Group 等 5 個群組, 都拒絕儲存其成員的密碼。

指定密碼複寫原則 只允許儲存 Allowed RODC Password Replication Group 群組成員的密碼, 不過該群組預設無任何成員, 因此 RODC 預設還是未儲存任何使用者的密碼。 本例暫時不新增任何使用者或群組, 直接按下一步鈕繼續。

委派 RODC 的本機系統管理員權限 我們不想讓分公司的員工知道網域系統管理員的帳戶名稱與密碼, 可是又得讓其中部分人員能安裝應用程式。 為了便於管理, 最好以群組為指定對象, 再藉由將使用者加入或退出該群組, 以管制本機系統管理員權限的賦予。

委派 RODC 的本機系統管理員權限 假設我們已經新增了一個 RODC Admins 網域群組, 希望此群組的成員擁有 RODC 的本機系統管理員權限, 請延續先前的步驟:

委派 RODC 的本機系統管理員權限

委派 RODC 的本機系統管理員權限

委派 RODC 的本機系統管理員權限

委派 RODC 的本機系統管理員權限 完成以上步驟之後, 在 Domain Controllers 容器就會多出一部電腦, 如下圖:

委派 RODC 的本機系統管理員權限 在上圖中, 剛建立的 RODC 電腦帳戶標示著未佔用的 DC 帳戶, 代表此電腦帳戶還沒對應到實體主機。 而下一階段, 要在分公司的『準 RODC』執行, 將它加入網域、並與這個未佔用的 RODC 電腦帳戶建立對應關係, Windows Server 2008 將此動作稱為『附加(Attach)到電腦帳戶』。

3. 在分公司將準 RODC 附加到 RODC 電腦帳戶 首先, 請分公司的操作者以本機系統管理員 Administrator 身分登入準 RODC, 然後將慣用 DNS 伺服器設為總公司網域控制站的 IP 位址(假設總公司的網域控制站兼任網域 DNS 伺服器), 這部分的操作請參考 5-2 節。 然後在『開始 / 所有程式 / 附屬應用程式/ 命令提示字元』按右鈕, 執行『以系統管理員身分執行』命令, 接著輸入 "dcpromo /UseExistingAccount:Attach", 如下圖。

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶

在分公司將準 RODC 附加到 RODC 電腦帳戶 爾後在 RODC 以『xdom \ tony』帳戶登入, 便可擁有本機系統管理員的權限, 能安裝應用程式、修改電腦設定等等。 我們再回頭看看總公司網域控制站的 Active Directory 使用者和電腦視窗, 就會發現以下的變化。

在分公司將準 RODC 附加到 RODC 電腦帳戶