首先我们在Sea-DC1(此计算机为一台Windows Server 2008的域控制器)上进行RODC安装的活动目录准备工作。插入Windows Server 2008的安装光盘。进入\Sources\adprep目录,执行命令adprep /rodcprep,如下图(1)、(2)所示。
图(1)
图(2)
注:此命令将更新森林中所有DNS应用程序目录分区的权限。另外活动目录服务可以在那些同时是DNS服务器的RODC上成功进行复制。
接下来我将把一台计算机名称为Sea-Svr1(此计算机为一台加入域的成员服务器)的计算机安装为只读的域控制器(RODC)。在Sea-Svr1上打开Server Manager,如下图(3)所示。
图(3)
点击Roles,选择Add Role,出现如下图(4)所示的向导,选择Active Directory Domain Services,,点击Next。
图(4)
等待一段时间,Active Directory Domain Services安装完成了。如图(5)所示。
图(5)
通过提示可以看到,它告诉我们需要完成安装,还需要继续运行Active Directory Domain Service Installation Wizard。那下面我们就运行它,展开Roles,选择Active Directory Domain Service,在详细窗格中点击Run the Active Directory Domain Service Installation Wizard(dcpromo.exe)。如图(6)所示。
图(6)
此时将会运行Active Directory Domain Service Installation Wizard。如下图(7)所示。
图(7)
注意,要想安装RODC的话,需要选择Use Advanced mode installation。如上图(7)所示。
点击Next,选择Existing Forest。如下图(8)所示。
图(8)
点击Next,输入域名contoso.com,并指定执行安装的账户为contoso\administrator,如下图(9)所示。
图(9)
点击Next,选择域contoso.com,如下图(10)所示。
图(10)
点击Next,选择站点Default-First-Site-Name,如下图(11)所示。
图(11)
点击Next,在此处是关键设置,我们需要选择Read-only Domain Controller(RODC),我同时还指定它为DNS Server。如下图(12)所示。
图(12)
点击Next,在此将会指定密码复制策略来设置那些账户的密码是允许被此RODC缓存的。其中Settings下设置为Allow将会缓存。如下图(13)所示。
图(13)
因为在安装好RODC之后是可以重新修改密码复制策略的,因此我们在这里不作任何修改,直接点击Next,将出现如下图(14)所示的画面。
图(14)
在图(14)中我们指定一个普通的域用户Alice Mutten为Sea-svr1这台RODC的本地管理员。其实在这里也体现了管理角色分离的思想。以后Alice Mutten可以管理和维护这台RODC,但是在域中只有普通用户的权限,当然更加不能管理其他可读写的DC,所以提高了域的安全性。
点击Next,将出现Install from media窗口,我们可以选择从网络复制数据,也可以选择从媒介读取数据。在这里我选择了默认设置,也就是从网络复制数据,如下图(15)所示。
图(15)
点击Next,指定那一台源域控制器将作为安装时复制数据的复制伙伴,通常我们可以指定中央站点的可读写的Windows Server 2008的桥头服务器。在这里,我指定Sea-DC1。如下图(16)所示。
图(16)
后面的步骤非常简单,我就不在一一解释了。如下图(
17)
~图(
19)所示。
图(17)
图(18)
图(19)
完成安装以后,重新启动
Sea-svr1这台计算机并用
contoso\administrator进行登录。打开
Active Directory Users and Computers,展开
Computers容器,发现
Sea-Svr1显示为一台
RODC。如下图(
20)所示。
图(20)
选择
contoso.com,右击选择
Change Domain Controller,选择
Sea-svr1.contoso.com。这样我们就连接到了
Sea-svr1这台
RODC上了。如下图(
21)所示。
图(21)
然后尝试在组织单位
Sales下右击,可以发现根本没有新建对象的选择。如下图(
22)所示。
图(22)
重新选择
contoso.com,右击选择
Change Domain Controller,选择
Sea-DC1.contoso.com。创建用于后面密码复制策略和管理角色分离实验中用到的全局安全组
Sales Admins。如下图(
23)、(
24)所示。
图(23)
图(24)
将
Alice Mutten用户账户从
Users容器移动回组织单位
Sales并添加作为
Sales Admins组的成员。如下图(
25)、(
26)所示。
图(25)
图(26)
下面我们将配置密码复制策略。点击
Domain Controllers组织单位,打开
Sea-svr1计算机账户的属性,如下图(
27)所示。
图(27)
点击
Password Replication Policy选项卡。如下图(
28)所示。
图(28)
从图
(28)中点击
Advanced,将打开图(
29)所示的画面。
图(29)
从图(29)可以看出,除了RODC自身的计算机账户和Kerberos 票据授权票 (KRBTGT)账户之外,确实默认情况下没有缓存任何账户的密码。
更改选项,选择
Accounts that have been authenticated to this Read-Only Domain Controller,可以看出它把曾经找
RODC进行身份验证的用户
Administrator列出来了
(
通过这个列表其实可以帮助您来确定哪些账户的密码应该允许此RODC进行缓存
)。如下图
(30)所示。
图(30)
点击
Close,添加
Sales Admins组,设置为
Allow。这样
Sales Admins组的成员的密码将可以被
Sea-svr1这台
RODC缓存。设置步骤如下图(
31)、(
32)所示。
图(31)
图(32)
再次点击
Advanced,选择
Resultant Policy选项卡。添加
Alice Mutten 和
Bob Smith两个账户,可以发现
ADDS将自动检查这两个账户的密码复制策略设置是什么。如下图(
33)所示。
图(33)
在
Sea-svr1这台
RODC上点击注销,重新以
Alice mutten进行登陆。如下图(
34)所示。
图(34)
使用
whoami命令查看
Alice Mutten的令牌中组的成员信息。如下图(
35)所示。
图(35)
从图中可以看出
Alice Mutten是
Sea-svr1这台
RODC的本地管理员的成员。其实这是我们在安装
Sea-svr1这台
RODC的时候指定的设置。
从
Sea-DC1上打开
Active Directory Users and Computers,打开
Sea-svr1的属性,选择
Password Replication Policy,点击
Advanced。可以看到
Alice Mutten的密码已经被
Sea-svr1缓存了下来。如下图(
36)所示。
图(36)
更改选项,选择
Accounts that have been authenticated to this Read-Only Domain Controller,可以看出它列出了
Administrator和
Alice Mutten。如下图(
37)所示。
图(37)
其实您也可以在用户没有找RODC进行身份验证的时候手动的把账户的密码复制到RODC上,当然该账户依然要满足密码复制策略的设置。否则手动复制是不能进行的。
下面我把
Bob Smith账户也加入
Sales Admins
组,如下图(
38)所示。
图(38)
打开
Sea-svr1的属性,选择
Password Replication Policy,点击
Advanced。点击
Prepopulate Passwords。如下图(
39)所示。
图(39)
添加
Bob Smith,如下图(
40)所示。
图(40)
在这里,请注意一下,如果您希望在没有可读写DC可用的情况下,用户依然可以通过RODC登陆,则用户账户的密码和用户登陆的计算机账户的密码都必须存储在RODC上。也就是说您除了要添加Bob Smith,最好同时要添加Bob Smith所使用的计算机账户。
添加完以后,可以看到
Bob Smith的密码也已经被缓存了。如图(
41)所示。
图(41)
如果
Sea-Svr1因为分支机构的安全问题丢失了或者被偷了。你可以在任何可读写的
DC上删除此
RODC的计算机账户,在删除计算机账户的时候,您可以重设所有被
RODC缓存的账户的密码。如下图(
42)
~(
44)所示。
图(42)
图(43)
图(44)
从图(
44)可以看出,如果您重设了所有被缓存的用户账户密码,那这些用户将需要联系
Helpdesk来获得新密码,如果重设了所有被缓存的计算机账户的密码,那么这些计算机需要重新加入域。另外我们也可以把被缓存的账户的列表导出来获知在此
RODC上具体有哪些账户被缓存了。
最后我们来看一下管理角色分离这一特性。
回到 Sea-svr1这台 RODC上,之前我们是以 Alice Muten用户登录此计算机的,该用户是此计算机的本地管理员组的成员。打开 run,输入 cmd,输入命令 dsmgmt.exe。如下图( 45)所示。
图(45)
从图中可以看出有一个权限提升的提示,这其实就是和
Windows Vista一样的
UAC(用户账户控制)功能。在打开的窗口依次输入
local roles,list roles,如下图(
46)所示。
图(46)
我们把
Sales Admins全局安全组加入
Sea-svr1这台
RODC的本地
Account Operators(账户操作员)组中。如下图(
47)所示。
图(47)
将
Sea-svr1注销,用
Bob Smith登陆,使用
Whoami命令查看令牌中组成员资格信息,可以看到
Bob Smith已经属于
Account Operators组了。如下图(
48)所示。
图(48)
作者按:本文到此就结束了,请关注《第四篇:Windows Server 2008 活动目录备份及还原》。在下一篇中我将讲解Windows Server 2008 活动目录的备份及还原。
本文转自 chinaperrylee 51CTO博客,原文链接:http://blog.51cto.com/perry/145517,如需转载请自行联系原作者
