Presentation is loading. Please wait.

Presentation is loading. Please wait.

第 6 章 唯讀網域控制站(RODC).

Similar presentations


Presentation on theme: "第 6 章 唯讀網域控制站(RODC)."— Presentation transcript:

1 第 6 章 唯讀網域控制站(RODC)

2 本章重點 6 - 1 RODC 的用途和特點 6 - 2 建立 RODC

3 唯讀網域控制站(RODC) 在前幾章我們已經認識了 AD 網域中的網域控制站(DC), 可是從 Windows Server 2008 開始, 卻冒出了一個特殊的角色--唯讀網域控制站(RODC, Read Only Domain Controller)。 究竟它的用途何在?如何實作?這些都是本章要探討的主題。

4 6 - 1 RODC 的用途和特點 RODC 的用途 RODC 的特點

5 RODC 的用途 在一般 AD 網域中, 由於網域控制站彼此會利用複寫(Replication)機制, 來同步 AD 資料庫的內容, 所以每一部網域控制站的 AD 資料庫都有相同的內容。 從資安的角度來看, 每一部網域控制站都一樣重要! 在現實環境中, 中小企業為了節省成本, 分公司(或辦事處)的空間大小與人員編制往往不如總公司。

6 RODC 的用途 因此分公司的網域控制站可能位於主管辦公室的一隅, 既無嚴密的門禁管制, 更無專職的系統管理員。
這形成了一個諷刺的現象--明明都擁有同等重要的資料, 總公司的網域控制站擁有五星級的待遇;分公司的網域控制站卻只得到一星級的對待。 從資安的角度來看, 這無異是將前門鎖得牢不可破, 卻留下一道脆弱的後門, 形成安全漏洞!

7 RODC 的用途 為了解決上述的問題, 微軟創造了 RODC 這個特殊的網域控制站, 它是一種『萬一遭竊或遭入侵, 損害較少』的網域控制站!

8 RODC 的特點 RODC 具有以下的特點: AD 資料庫的內容具有『唯讀』屬性
為了避免駭客從 RODC 入侵、置入偽造的資料, 再透過複寫機制寫到總公司的網域控制站, 因此將 AD 資料庫的內容強制賦予『唯讀』屬性, 任何一位使用者都不能直接修改 RODC 的 AD 資料庫內容。 RODC 只能接受複寫進來的資料

9 RODC 的特點 一般網域控制站的複寫(Replication)都是雙向的, 可以接受其它網域控制站送來的資料;也可以送出資料給其它網域控制站。 可是 RODC 的複寫只能接受資料, 不能送出資料。 剛建立 RODC 時, 就會從指定的網域伺服器複製 AD 資料庫的內容, 後續的更新也都從其它網域控制站送過來。 AD 資料庫的內容不包含使用者的密碼

10 RODC 的特點 為了避免萬一 RODC 遭竊, 有心人士可從其中的 AD 資料庫破解出使用者的名稱與密碼, 因此不在 RODC 的 AD 資料庫存放密碼。 可用本機系統管理員的身分管理 RODC 網域控制站的系統管理員就是網域系統管理員(Domain Administrator), 在網域擁有最大權限, 即使 RODC 也不例外。 倘若 RODC 的系統管理員身分被冒用, 等於整個網域都失守了。

11 RODC 的特點 由於分公司沒有專任的 IT 人員, 不宜知道 RODC 系統管理員的帳戶名稱和密碼。
如今在建立 RODC 的過程中, 系統會要求我們指定某個使用者或群組來管理 RODC。

12 RODC 的特點 被指定的對象會獲得 RODC『本機系統管理員』的權限--只是『本機』、不是『網域』系統管理員!
所以可以在 RODC 執行安裝應用程式、更新驅動程式等等工作, 可是不能登入其它的網域控制站, 也不能更改 AD 資料庫的內容。

13 6 - 2 建立 RODC 要建立 RODC, 不但網路環境要能符合基本條件, 整個過程還必須在總公司與分公司兩處, 由不同人員分別執行, 因此在看後文時, 請讀者注意當時的地點與身分。

14 要建立 RODC 的基本條件 若要在已經存在的網域中另外建立一部 RODC, 則該網域必須符合下列條件:
網域的樹系功能等級必須為 Windows Server 2003 或 Windows Server 2008(在後文會說明變更樹系功能等級的方式)。 網域必須有至少一部的 Windows Server 2008 網域控制站。

15 建立 RODC 的步驟 假設目前的網路環境如下:

16 建立 RODC 的步驟 總公司的 xdom.biz.tw 網域已經有一部 Windows Server 2008 網域控制站, 其電腦名稱為 WS2008。 現在要將網域外的另一部 Windows Server 2008 加入網域、並升級為 RODC, 後文將此電腦簡稱為『準 RODC』, 其電腦名稱為 Server01。 在這裡要特別強調一點:準 RODC 必須是『網域外』(亦即『還沒加入網域』)的 Windows Server 2008!

17 建立 RODC 的步驟 倘若找不到符合此條件的主機, 就必須先將一部網域內的主機退出網域, 以擔任準 RODC。
後續所要執行的工作區分為以下 3 階段: 第 1 階段:在總公司的網域控制站提升樹系功能等級。 第 2 階段:在總公司的網域控制站建立 RODC 電腦帳戶。 第 3 階段:在分公司將準 RODC 附加到 RODC 電腦帳戶。

18 建立 RODC 的步驟 可是要知道, 在正常的情形下, 以上 3 階段是在不同地點、由不同人員執行, 如下圖:

19 建立 RODC 的步驟 當然囉, 如果您覺得這種不同地、不同人的執行方式太麻煩, 也可以要求分公司將準 RODC 送到總公司, 由 IT 部門人員做完一切設定後, 再送回分公司。 不過若總公司與分公司相距甚遠時(例如:位於不同國家), 恐怕就不適合這樣做了。

20 1. 在總公司的網域控制站提升樹系功能等級 由於建立第 1 部網域控制站時, 預設的樹系功能等級是『Windows 2000』, 不符合目前的要求, 所以必須修改。 請以隸屬於 Enterprise Admin 群組的帳戶登入網域控制站, 而後執行『開始 / 系統管理工具 / Active Directory 網域及信任』命令, 並如下操作。

21 在總公司的網域控制站提升樹系功能等級

22 在總公司的網域控制站提升樹系功能等級 接著按兩次確定鈕即可。

23 2. 在總公司的網域控制站建立 RODC 電腦帳戶
請在總公司的網域控制站(WS2008)執行『開始 / 系統管理工具 / Active Directory 使用者和電腦』命令:

24 在總公司的網域控制站建立 RODC 電腦帳戶

25 在總公司的網域控制站建立 RODC 電腦帳戶

26 在總公司的網域控制站建立 RODC 電腦帳戶

27 在總公司的網域控制站建立 RODC 電腦帳戶

28 在總公司的網域控制站建立 RODC 電腦帳戶

29 指定密碼複寫原則 先前曾提到 RODC 預設不儲存使用者的密碼, 但是這樣有一個缺點:當分公司與總公司之間的線路不通時, 分公司的所有員工都無法登入。 因此我們可以做一點彈性調整, 讓 RODC 儲存某些使用者的密碼, 這就是利用所謂的密碼複寫原則來設定。 我們延續先前的步驟, 按下一步鈕之後會看到以下的交談窗。

30 指定密碼複寫原則

31 指定密碼複寫原則 在上圖的名稱欄位出現了 6 個內建的群組:RODC 對於 Administrators、Server Operators、Backup Operators、Account Operators 和 Denied RODC Password Replication Group 等 5 個群組, 都拒絕儲存其成員的密碼。

32 指定密碼複寫原則 只允許儲存 Allowed RODC Password Replication Group 群組成員的密碼, 不過該群組預設無任何成員, 因此 RODC 預設還是未儲存任何使用者的密碼。 本例暫時不新增任何使用者或群組, 直接按下一步鈕繼續。

33 委派 RODC 的本機系統管理員權限 我們不想讓分公司的員工知道網域系統管理員的帳戶名稱與密碼, 可是又得讓其中部分人員能安裝應用程式。
為了便於管理, 最好以群組為指定對象, 再藉由將使用者加入或退出該群組, 以管制本機系統管理員權限的賦予。

34 委派 RODC 的本機系統管理員權限 假設我們已經新增了一個 RODC Admins 網域群組, 希望此群組的成員擁有 RODC 的本機系統管理員權限, 請延續先前的步驟:

35 委派 RODC 的本機系統管理員權限

36 委派 RODC 的本機系統管理員權限

37 委派 RODC 的本機系統管理員權限

38 委派 RODC 的本機系統管理員權限 完成以上步驟之後, 在 Domain Controllers 容器就會多出一部電腦, 如下圖:

39 委派 RODC 的本機系統管理員權限 在上圖中, 剛建立的 RODC 電腦帳戶標示著未佔用的 DC 帳戶, 代表此電腦帳戶還沒對應到實體主機。 而下一階段, 要在分公司的『準 RODC』執行, 將它加入網域、並與這個未佔用的 RODC 電腦帳戶建立對應關係, Windows Server 2008 將此動作稱為『附加(Attach)到電腦帳戶』。

40 3. 在分公司將準 RODC 附加到 RODC 電腦帳戶
首先, 請分公司的操作者以本機系統管理員 Administrator 身分登入準 RODC, 然後將慣用 DNS 伺服器設為總公司網域控制站的 IP 位址(假設總公司的網域控制站兼任網域 DNS 伺服器), 這部分的操作請參考 5-2 節。 然後在『開始 / 所有程式 / 附屬應用程式/ 命令提示字元』按右鈕, 執行『以系統管理員身分執行』命令, 接著輸入 "dcpromo /UseExistingAccount:Attach", 如下圖。

41 在分公司將準 RODC 附加到 RODC 電腦帳戶

42 在分公司將準 RODC 附加到 RODC 電腦帳戶

43 在分公司將準 RODC 附加到 RODC 電腦帳戶

44 在分公司將準 RODC 附加到 RODC 電腦帳戶

45 在分公司將準 RODC 附加到 RODC 電腦帳戶

46 在分公司將準 RODC 附加到 RODC 電腦帳戶

47 在分公司將準 RODC 附加到 RODC 電腦帳戶

48 在分公司將準 RODC 附加到 RODC 電腦帳戶

49 在分公司將準 RODC 附加到 RODC 電腦帳戶

50 在分公司將準 RODC 附加到 RODC 電腦帳戶

51 在分公司將準 RODC 附加到 RODC 電腦帳戶

52 在分公司將準 RODC 附加到 RODC 電腦帳戶

53 在分公司將準 RODC 附加到 RODC 電腦帳戶

54 在分公司將準 RODC 附加到 RODC 電腦帳戶
爾後在 RODC 以『xdom \ tony』帳戶登入, 便可擁有本機系統管理員的權限, 能安裝應用程式、修改電腦設定等等。 我們再回頭看看總公司網域控制站的 Active Directory 使用者和電腦視窗, 就會發現以下的變化。

55 在分公司將準 RODC 附加到 RODC 電腦帳戶


Download ppt "第 6 章 唯讀網域控制站(RODC)."

Similar presentations


Ads by Google