WindowsServer2008活動目錄解析

在Windows Server 2008中，活動目錄域服務(wù)（Active Directory Domain Services縮寫AD DS）相比前一代操作系統(tǒng)又有了重大的提升和改進(jìn)，本文簡要介紹一下其新特性。
    一、審核策略
    在Windows Server 2008中，你現(xiàn)在能夠通過使用新的審核策略的子類（目錄服務(wù)更改）來建立AD DS審核策略。當(dāng)活動目錄對象及它們的屬性發(fā)生變化時，新的審核策略可以記錄新舊屬性值。
    AD DS審核能干什么？
    我們定義本策略設(shè)置（通過修改默認(rèn)域控制器策略），能夠指定審核成功的事件，失敗的事件，或者什么也不審核。能夠在AD DS對象的屬性對話框中的安全選項(xiàng)卡中設(shè)置系統(tǒng)訪問控制列表。”審核目錄服務(wù)訪問“在應(yīng)用上同審核對象訪問一致。但只適用與AD DS對象上而不是文件對象或注冊表對象。
    審核AD DS訪問
    在AD DS中新的審核策略子類（目錄服務(wù)更改）增加了以下的功能：
    當(dāng)對對像的屬性修改成功時，AD DS會紀(jì)錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個以上的值時，只有作為修改操作結(jié)果變化的值才會被記錄。
    如果新的對像被創(chuàng)建，屬性被賦予的時間將會被記錄，屬性值也會被記錄，在多數(shù)情景中，AD DS分配缺省屬性給諸如sAMAccountName等系統(tǒng)屬性，這些系統(tǒng)屬性值將不被記錄。
    如果一個對像被移動到同一個域中，那么先前的以及新的位置（以distinguished name 形式）將被記錄。當(dāng)對象被移動到不同域時，一個創(chuàng)建事件將會在目標(biāo)域的域控制器上生成。
    如果一個對象被反刪除，那么這個對象被移動到的位置將會被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那么這些屬性的值也會被記錄。
    當(dāng)"目錄服務(wù)更改"審核子類別啟用以后，AD DS會在安全日志中記錄事件當(dāng)對象屬相的變化滿足管理員指定的審核條件。下面的這張表格描述了這些事件。
    事件號 事件類型 事件描述
    5136 修改 這個事件產(chǎn)生于成功的修改目錄對象屬性。
    5137 創(chuàng)建 這個事件產(chǎn)生于新的目錄對象被創(chuàng)建。
    5138 反刪除 這個事件產(chǎn)生于目錄對象被反刪除時。
    5139 移動 這個時間產(chǎn)生于對象在同一域內(nèi)移動時。
    二、密碼策略
    Windows Server 2008 為組織提供了一種方法，使得組織能在某一域中針對不同的用戶集來定義不同的密碼和賬號鎖定策略。
    細(xì)致靈活的密碼策略能干什么？
    你能夠使用細(xì)致靈活的密碼策略在同一個域內(nèi)指定多樣化的密碼策略。同時你也你能夠使用細(xì)致靈活的密碼策略對同一域內(nèi)的不同用戶集應(yīng)用不同的密碼和賬號鎖定策略限制。
    這項(xiàng)特性提供了什么新功能？
    密碼設(shè)置容器默認(rèn)被創(chuàng)建在域的系統(tǒng)（System）容器下。你能夠通過使用活動目錄用戶與計算機(jī)管理單元并啟用高級特性來查看。它為域儲存了密碼設(shè)置對象（Password Settings objects 一下簡稱PSOs）。
    你不能夠重命名，移動，或者刪除這個容器。盡管你能夠創(chuàng)建額外的自定義的密碼設(shè)置容器，它們不被針對一個對象計算的組策略結(jié)果集計算在內(nèi)。因此創(chuàng)建額外的自定義的密碼設(shè)置容器不被推薦。
    密碼設(shè)置對像包含了能在默認(rèn)域策略中定義的所有屬性設(shè)置（除了Kerberos設(shè)置）。這些設(shè)置包含了以下密碼設(shè)置屬性：
    強(qiáng)制密碼歷史
    密碼最長使用期限
    密碼最短使用期限
    密碼長度最小值
    密碼必須符合復(fù)雜性要求
    用可還原的加密來儲存密碼
    這些設(shè)定也包含了以下的賬戶鎖定設(shè)置
    賬戶鎖定時間
    賬戶鎖定閾值
    復(fù)位賬戶鎖定計數(shù)器
    另外，PSO也包含了以下兩個新屬性：
    PSO鏈接（PSO Link）：這是鏈接到用戶或者組對象的多值屬性
    優(yōu)先（Precedence）：這是一個用來解決多個PSO被應(yīng)用到單個用戶或組對象產(chǎn)生沖突時的整數(shù)值
    這九個屬性值必須被定義，缺一不可。來自多個PSO的設(shè)置不能被合并。
    使用圖形界面（adsiedit.msc）建立PSO
    1. 單擊開始按鈕，單擊運(yùn)行，輸入 adsiedit.msc ，單擊確定。*如果你是在DC上第一次運(yùn)行adsiedit.msc，請繼續(xù)看第二步，不是的話跳到第四步。
    2. 在ADSI EDIT界面中，右擊ADSI Edit，再單擊連接到。
    3. 在Name屬性框中輸入你想要創(chuàng)建PSO的域的完全合格域名（FQDN），然后單擊確定。
    4. 雙擊域。
    5. 雙擊DC= <域名> 。
    6. 雙擊CN=System 。
    7. 右擊 CN=Password Settings Container，單擊新建，再單擊對象 。
    8. 在創(chuàng)建對象對話框中，選擇msDS-PasswordSettings，單擊下一步 。
    9. 輸入PSO的名稱，單擊下一步，根據(jù)向?qū)?，輸入必備屬性?BR>    10. 在向?qū)У淖詈笠豁摚瑔螕舾鄬傩浴?BR>    11. 在選擇查看何種屬性菜單中，單擊可選或者兩者 。
    12. 在選擇一種屬性進(jìn)行查看的下拉菜單中，選擇msDS-PSOAppliesTo。
    13. 在編輯屬性中，添加需要應(yīng)用PSO的用戶和全局安全組的相對可分辨名稱 。
    14. 重復(fù)第13步，如果你需要將PSO應(yīng)用到多個用戶和全局安全組。
    15. 單擊完成 。