Ghjconan在他的博客发表了文章《一次moveuser的使用经历》,原帖地址:
http://blogs.itecn.net/blogs/ghjconan/archive/2008/11/08/moveuser.aspx
正好最近正在做一个项目,是活动目录基础架构,花费的大部分时间是加域。于是我就将Ghjconan的设想在我的虚拟机上实验了下。
1、如果源用户是本地administrator
现在有些单位直接采用的网上流行的GHOST镜像安装系统,结果导致终端用户使用的就是administrator。 目标用户将拥有administrator的配置文件,结果该用户具有了本地管理员的权限!
2、Moveuser的原理
两个月前,我就对用户配置文件做个一次测试。我检查了下Moveuser的工作原理,我发现了几个系统修改的地方。
a、Moveuser修改了注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList下源用户SID项项值改成了目标用户的SID。
b、修改了源用户在document and setting下的文件夹权限,去掉了源用户,添加了目标用户,并给予了完全控制的权限。
c、源用户登陆不能在使用他原来的配置文件了,他将从default user中复制配置文件。
‘
在WIN7下用IE8无响应了两次,郁闷啊。
一、 域功能级别
域的功能级别取决于域中最低的域控服务器。
二、 RODC
Ÿ 只读AD数据库。
Ÿ 单向复制,复制方式采用DFS-R方式。
Ÿ 客户端与DC时间相差48小时,客户端将不与DC进行时间同步。
Ÿ Dcpromo采用新的UI,并且可以保存应答文件。
Ÿ 只读域控制器预创建,目的是提升RODS人员不需要使用administrator账户。
Ÿ RODC的密码存储
2.1 Client与RODC验证过程:
i. client向RODC发起验证请求
ii. RODC直接转发验证请求到可写DC
iii. 可写DC将验证结果发送给RODC
iv. RODC缓存用户账户密码,断开Client的请求,要求Client重新进行验证。RODC使用缓存的密码进行账户验证。
2.2 当RODC从域中退出时(比如RODC丢失),RODC存储的账户密码会全部reset,管理员要重新设置那些账户的密码。
http://dong8745.blog.51cto.com/43588/70530
三、 Auditing
Ÿ 2008将审核记录更改前的值和更改后的值,(这两个事件在日志不会紧挨着)
Ÿ 2008的事件日志的事件ID=以前的事件ID+4096
四、 Fine Grain Password Policy
2003密码策略是整个域有效,不能单独为某个用户或OU设置。
Ÿ 这项策略可以针对某个用户设置,2003级别域策略才有效。
Ÿ 在ADSI中设置
CN=SYSTEM,CN=PasswordSettingContainer(时间表示方法:XX:XX:XX:XX)
五、 DFS
Ÿ DFS UI有些变化。
Ÿ Access-Based enumeration,访问\\sharename时,没有访问权限的人是不能在浏览器自动完成中看到的。
Ÿ DFSR 2008采用DFSR进行文件复制与同步
DFSR使用的是远程差分压缩,这种方式通过确定需要复制哪些目标文件块来与源文件同步,极大地减少了文件复制流量。
六、 PKI
Ÿ OCSP:online certificate status protocol(在线证书状态协议)。
Ÿ OCSP Certificate:用来验证证书是否被吊销,是否依然有效。
Ÿ CA授权某个服务器用来做OCSP,客户端从OCSP验证证书是否被吊销或过期。
Ÿ 证书权限管理:证书的吊销和申请设置了权限,只有具备权限的人才能对证书进行吊销或申请。
Ÿ 支持网络设备的注册
Ÿ 支持V3证书模板
七、 WSUS 3.0
组策略:对计划的自动更新安装不执行重新启动。这条策略并非不会重新启动计算机,而是指有用户连接到服务器上时,不重新启动。
八、 Terminal Services
TS Web Access,基于Https。
TS Gateway:
TS Session Broker(保证用户下一次连接时,连接的是之前使用的TS服务器。)
RemoteAPP的发布:RDP及MSI方式。
九、 IIS 7.0
IIS不支持SMTP管理,需要安装IIS 6.0管理控制台
后记:
本人才疏学浅,培训了四天就总结出这么些东西,也许对各位IT专家来说都是小儿科了。献丑了。
苏州Windows 2008 TTT培训
本次由微软组织的培训主要是两名讲师进行课程讲授,两位老师都是微软全球技术支持中心的专家。我们的培训定位的是level 400。按他们的话说属于最高级别的了。和我一起培训的大部分都是MCT,还有微软自己的一些人。微软给他们的任务是以教材6416B为主,将2008的新功能及已有功能的改进都给点一遍。也许是level太高,我没有获得很深的体验。下面以流水账的方式简述下培训内容。
一、User interface differences in Windowsserver2008
1.1 初始配置任务
1.2 服务器管理器
2008相对于2003,在UI上有很多的改变,比如网络和共享中心,重新定义的开始菜单。最主要的还是要说服务的安装和管理。在2008中,服务的安装和管理都由ServerManager(服务器管理器)来进行管理。
2008中,MMC是3.0的版本。在配置某项服务时,2008将自动把该服务需要的相关的组件都给自动安装起来。比如说你安装一个证书服务,系统会自动帮你把IIS装上,而不再是提示你IIS没有安装。
二、2008系统集成的功能,都可以通过“服务器管理器”来管理。
2.1 role(角色)和features(功能)
这是2008新增的特性,2008将系统的功能划分成role和features。我已经忘记了老师是如何定义这两个名词的,他们俩看起来并没有太多的区别。记住了这么一句话:role是重要的功能,而features是不重要的功能。
2.2 常见的Role和Features
Active Directory Domain Services (AD DS)
Active Directory Certificate Services (AD CS)
Active Directory Federation Services (AD FS)
http://technet2.microsoft.com/windowsserver/zh-chs/library/050392bc-c8f5-48b3-b30e-bf310399ff5d2052.mspx
Active Directory Lightweight Directory Services (AD LDS)
2.3 添加Role
2.4 添加Features
三、DNS
l 2008的DNS提供了对IPV6的支持。
l Background zone loading。
在08以前,机器重新启动后,DNS所有区域加载完毕后才会对查询作出响应。08的DNS区域数据在后台一个或多个线程进行加载,以提高响应和启动速度。
2008中的DNS服务器服务通过执行后台区域加载提高了数据检索的速度。过去,当Windows Server 2003中的DNS服务器服务在重新启动后尝试从Active Directory中检索DNS数据时,具有在Active Directory中包含大量记录的区域的企业曾经历长达一个小时甚至更长时间的延迟。在此类延迟期间,DNS服务器对于其任何托管区域的服务DNS客户端请求均不可用。
为解决此问题,Windows Server 2008中的DNS服务器服务在启动后将在后台从Active Directory检索区域数据,以便对其他区域的数据请求做出响应。在服务启动时,它会创建一个或多个执行线程来加载存储在Active Directory中的区域。由于有单独的线程分别加载基于Active Directory的区域,因此在进行区域加载的同时,DNS服务器服务可响应查询。如果DNS客户端请求已加载区域中的数据,DNS服务器会做出适当响应。如果请求的数据位于一个尚未完全检索的区域中,DNS服务器将改为从Active Directory中检索特定数据。
l 对RODC的支持
l Global Names zone:存储单标签名称,Wins不支持IPV6,GNZ提供单标签名称解析。
i. Global Names zone的记录是静态的,需要人工维护。
ii. Global Names zone默认是不启用的。
iii. Global Names zone的查询顺序默认低于非Global Names zone。
与WINS不同,GlobalNames区域旨在为有限的一组主机名称(通常是组织内由其IT部门管理的中央服务器和关键服务器)提供单标签名称解析。GlobalNames区域的目的不是用于存储IPv4地址可能发生变化的台式计算机或其他服务器的名称,并且它根本不支持DNS动态更新。它最常用于存储别名(CNAME)资源记录,以将单标签名称映射为完全限定域名(FQDN)。对于当前使用WINS的网络,GlobalNames区域通常包含已在WINS中静态配置的IT管理名称的资源记录。
Windows Server 2008中的DNS增强功能:
http://technet.microsoft.com/zh-cn/magazine/cc137727.aspx
四、WDS(Windows Deployment Services):
提供对VISTA的支持
http://technet2.microsoft.com/windowsserver2008/zh-CHS/library/d153f150-94f8-436e-ae5c-b3832d3ffdb52052.mspx
五、Windows 2008 Server Core
5.1
Ÿ 不能从低版本系统直接升级到Server Core,也不能从Server Core升级为完整版。
Ÿ Server Core以命令行为主。Server Core不支持.Net,所有以.net平台开发的程序都无法运行。
Ÿ 命令行窗口关闭后,可以按下ctrl +alt +del,打开任务管理器,调用Cmd
Ÿ Forefront可以安装在Server Core上
5.2
i. 添加Role和Features
|
> start /w ocsetup RolePackage
> start /w ocsetup Featurename |
Role和Features名称区分大小写。
ii. 提升为域控
|
> Dcpromo /unattend:Unattendfile |
iii. 配置服务
|
> start /w ocsetup DHCPServerCore
> Netsh dhcp add server dhcpsrv1.example.microsoft.com10.2.2.2 |
5.3:可通过其他控制台连接到Server Core进行管理
六、Windows Server Backups
Ÿ 新的,更快的备份技术
Ÿ 还原更方便
对于之前使用过Windows backup做备份还原的用户来说,一定深知还原文件时的苦恼,尤其是那些做过增量备份的文件更是需要一点一点的来还原,这给我们的工作带来了极大的不便,如果能够在还原时自动识别出备份操作的增量备份动作,然后一次性的完成还原,那么必然会大大的降低我们的工作强度,Windows 2008中的Backup就实现了这一改进,用户可以简单的选择所需还原的文件的不同版本,同时用户还可以选择还原一个完成的文件夹或者是文件夹中的某些特定文件。
Ÿ Windows Backups最小备份单位是分区
Ÿ 制定备份计划,最大备份间隔时间是一天(24H)。
Ÿ 最多512次连续非Full backup
Ÿ 不再支持磁带机,但支持DVD,支持Universal Disk Format(兼容大部分的操作系统)。
七、PowerShell
默认下,Windows Server 2008并没有安装PowerShell,PowerShell是08的一个功能。
PowerShell的语法是V+N,也就是动词+名词。
微软以后更多的产品支持通过PowerShell来进行管理。
PowerShell是Windows Server 2008的一种基于任务的新命令行shell和脚本语言,专门为系统管理设计。Windows PowerShell构建在.NET Frameword之上,可帮助IT专业人士和超级用户控制和自动化在Windows上运行的Windows操作系统和应用程序的管理。言简之,PowerShell是一种命令行和脚本工具,旨在帮助专业IT人士进行系统管理与维护。
http://www.microsoft.com/china/msdn/events/webcasts/shared/webcast/Series/PowerShell.aspx
八、其他
Ÿ Receive windows Auto Tuning
Auto Tuning能够根据网络应用情况调整、优化,从而提高网络传输速率
Ÿ Use server and domain isolation
基于Windows IPSec及ADDS(Active Directory directory service),使管理员无需昂贵的网络基础设施或应用,更好地保护免遭网络攻击,有助于防止未经授权访问私有网络资源。
Ÿ Windows Firewall with Advanced Security
i. 新的图形化界面。
现在通过一个管理控制台单元来配置这个高级防火墙。
ii. 双向保护。
对出站、入站通信进行过滤。
iii. 与IPSEC更好的配合。
具有高级安全性的Windows防火墙将Windows防火墙功能和Internet协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。
iv. 高级规则配置。
你可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
当配置好某项服务后,系统将自动配置防火墙,开放服务所需要的所有端口,而不需要人工配置。
九、NAP
为了预防不符合企业安全策略的计算机,NAP可以透过批准连接与否而加以限制,这些不符合策略的状态包括:未启动自动更新、定期修补系统漏洞不确实、未安装防毒软件或启用个人防火墙、防毒软件特征码/扫毒引擎超过期限而未更新。
想要启动NAP,必须从Server Manager上加入新的服务器角色开始,它的名称是Network Policy and Access Services(NPAS)。
Client向NPS(网络策略服务器)发送访问请求。NPS将Client的SHA(系统健康状况代理)提交的Client健康状况发送到SHV(系统健康验证器),SHV将Client的健康状况和从HCS(系统健康状况服务器)获得健康定义进行比较。如果不满足健康条件,NPS将Client分配到一个限制网络,在受限制网络,Client通过RS(修补服务器)修复健康状况。Client再次发送访问请求,验证通过,允许访问。
Ÿ DHCP、802.1x、IPSEC、VPN等多种强制方式来实现对不健康主机的隔离。
Ÿ 采用一种或多种加强网络的安全。
Ÿ SCCM本身不提供网络保护的功能,而是结合Windows Server 2008中提供的NAP功能,对未达到健康标准的机器,限制其访问并进行修复。
Ÿ 客户端要求Vista或XP SP3以上,客户端服务Network Access Protection Agent默认是手动的。
http://www.chinaz.com/Program/MSSQL/060630H62008.html
http://www.microsoft.com/china/windowsserver2008/network-access-protection.mspx
十、SSTP(Secure Socket Tunneling Protocol,安全套接字隧道协议)
为了避开防火墙或者NAT对VPN连接的影响,SSTP通过HTTPS(SSL)建立VPN隧道,大部分防火墙是允许出方向的SSL访问通过的。但是SSTP并不支持站点到站点的VPN,只适合于客户端到站点的远程访问连接。
可以简单的认为SSTP是VPN over HTTPS
http://forums.microsoft.com/china/ShowPost.aspx?PostID=3722016&SiteID=15
http://hi.baidu.com/maxzoo/blog/item/e18dbc3f933f93ef54e723a6.html
十一、 Hyper-V
Hyper-V需要64位CPU,需要硬件支持虚拟化,可支持4颗逻辑处理器。(Hyper-V SP1将支持更多。)
Hyper-V采用基于VMbus的高速内存总线架构,来自虚机的硬件请求(显卡、鼠标、磁盘、网络),可以直接经过VSC,通过VMbus总线发送到根分区的VSP,VSP调用对应的设备驱动,直接访问硬件,中间不需要Hypervisor的帮助。
十二、 ADFS、ADLDS、ADRMS
ADFS用于不信任的两个域之间的进行验证。
本文也许不专业,文章有漏洞,还请见谅!
本人在公司用俩机器,一台700MHZ的老机器,装了XP。一台Vista SP1(公司唯一日常使用的,其他人都用XP,囧)。不巧,XP出了故障,一登陆系统就蓝屏,安全模式也如此。个人认为安全模式也如此,不如重装的解决问题的彻底。故而给机器安装上了Windows XP 集成了SP3。
SP3有一点,就是远程桌面更新到了V6.1。查看了相关网页,了解到6.0以上版本的远程桌面是支持NLA(Network Level Authentication )的。NLA说白了就是在你进行远程桌面之前就进行身份验证,而不是你连上之后再在登陆的时候进行身份验证。
而Vista 默认是“只允许运行带网络身份验证的远程计算机连接”。于是乎,我从SP3连Vista失败。
网上解决办法是:设置vista的远程桌面连接方式为“允许任意版本远程桌面连接”。这种降级来适应XP,我以为是一种倒退,不然将XP 的远程桌面升级到6.1没有任何意义啊。故而在合作伙伴新闻组中发帖询问微软工程师:
微软工程师起初的答复是XP不支持NLA。后来纠正说SP3支持NLA,并告诉我按照以下方法操作使XP支持NLA。他给我我一片KB:
http://support.microsoft.com/kb/951608/
开启NLA操作是:
1. 单击 开始 ,单击 运行 ,键入 regedit ,然后按 ENTER 键。
2. in navigation pane,locate and then click following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. 在详细信息窗格中, 用鼠标右键单击 SecurityProviders ,然后单击 修改 。
4. 在 数值数据 框,键入 tspkg 。 留下特定于其他 SSP,任何数据,然后单击 确定 。
5. in navigation pane,locate and then click following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
6. in details pane,right-click SecurityProviders,and then click Modify 。
7. 在 数值数据 框,键入 credssp.dll 。 留下特定于其他 SSP,任何数据,然后单击 确定 。
8. exit Registry Editor。
9. 请重新启动计算机。.
按KB操作,在XP的远程桌面中看到了支持网络级身份验证。
输入vista 主机的IP,哎,有了,要求身份验证:
很不幸,发生身份验证错误:发生身份验证错误(代码:0x80090303)
再次向微软工程师,工程师也不知道具体所在,但是提供了一些排错方法,最后是通过抓取网络包来排查故障,发现是因为我在进行远程连接的时候输入的是IP地址,而不是计算机名(VISTA加入了域,XP未加域,而且XP的DNS与VISTA的不同,不在同一个网段),导致Kerberos验证失败。在HOST文件中加入域控和vista机器的域名解析,终于连接成功。
我对为什么要输入计算机名而不是IP大惑不解,因为我们通常都是用ip来连接目标主机的,工程师给出的答复是:
这也是kerberos验证的特性决定的. 要进行kerberos的验证, 要用到SPN (service principle name). 而 SPN都是用计算机名称注册的. 所以我们必须使用计算机名称来连接Windows Vista, 而 不能使用IP地址.
虽然我不是很了解,但是这个问题算是结了。
Windows 2000时代,Administrator用户默认是EFS的恢复代理。到了Windows XP,工作组模式下默认是没有恢复代理的,恢复代理需要我们自己去设置。下面是步骤:
1.要做恢复代理,需生成administrator的恢复代理证书和密钥。我这里就不切换到administrator用户了,我指定我当前用户smile为恢复代理。
点开始菜单,运行,cmd。使用cipher.exe命令生成证书。我们将密钥和证书生成到C盘的根目录下。
---------------------
C:\Documents and Settings\Smile>cipher.exe /r:c:\
请键入密码来保护 .PFX 文件:
请重新键入密码来进行确认:
.CER 文件已成功创建。
.PFX 文件已成功创建。
C:\Documents and Settings\Smile>
-----------------------
2.设置组策略,指定smile为恢复代理
a.打开组策略,如图:
b.在弹出的向导中选择下一步,点击浏览,选择我们刚生成的证书
c.点击下一步,完成。
3.加密一个文件。
切换到另一个用户,选择一个文件,右键,属性,高级,加密文件。
加密后再次查看该文件属性,可以看到smile已经是该文件的恢复代理了。
4.切换回smile,去掉刚才被加密的文件的加密复选框,确定,发现拒绝访问!无法解密。
5.何解呢?经查阅,我们需要把我们第一步生成的证书安装到系统中。选择我们导出的证书,右键,安装。根据向导安装证书。
6.再次解密刚才加密的文件,确发现依然拒绝!我们导入了证书为什么不行呢?!难道微软的EFS有BUG?!网上也很少关于恢复代理如何解密文件。经过一番摸索后,终于发现,我们在生成EFS恢复代理证书时候,一共生成了两个文件,除了证书以外,还有一个PFX文件。我们在安装证书时,应通过我们导出来的PFX文件导入证书,PFX包含了我们的私钥和个人信息!右键选择PFX文件,选择安装PFX。根据向导,安装我们的证书。图就不截了。解密被加密的文件,成功!
这是笔者从现象来探讨这个问题,但是没有看到本质,还需进一步研究。另在活动目录下,EFS的恢复代理默认是domain administrator,还要进一步研究,时间仓储,下次继续发。
PS:我再51cto已经发过一次,所以这里引用的图片都是51cto的。没什么技术含量,希望各位大大多多指点。