WindowsServer2008活动目录解析

在Windows Server 2008中，活动目录域服务(AD DS)与上一代操作系统相比有了很大的改进。本文简要介绍其新特点。

一.审计战略

在Windows Server 2008中，您现在可以通过使用新审核策略(目录服务更改)的子类来建立AD DS审核策略。当Active Directory对象及其属性发生变化时，新的审核策略可以记录新的和旧的属性值。

广告审计能做什么？

通过定义此策略设置(通过修改默认域控制器策略)，我们可以指定审核成功的事件、失败的事件或什么都不做。您可以在AD DS对象的“属性”对话框的“安全”选项卡中设置系统访问控制列表。“审计目录服务访问”与应用程序中的审计对象访问一致。但它仅适用于AD DS对象，而不适用于文件对象或注册表对象。

审核AD DS访问

AD DS中新的审核策略子类(目录服务更改)增加了以下功能:

当对象的属性被成功修改时，AD DS将记录以前的属性值和当前的属性值。如果一个属性包含多个值，则只记录作为修改操作结果而更改的值。
如果创建了一个新的对象，将会记录赋予属性的时间，属性值也会被记录。在大多数情况下，AD DS为sAMAccountName等系统属性分配默认属性，这些系统属性值不会被记录。
如果将一个对象移动到同一个域中，将会记录以前和新的位置(以可分辨名称的形式)。当对象移动到不同的域时，目标域的域控制器上将生成一个创建事件。
如果对象被取消删除，对象被移动的位置将被记录。此外，如果在反删除操作中添加、修改或删除了属性，也会记录这些属性的值。

当启用“目录服务更改”审核子类别时，当对象类别的更改满足管理员指定的审核条件时，AD DS将在安全日志中记录事件。下表描述了这些事件。

事件类型事件描述

536修改此事件是成功修改目录对象属性的结果。

537创建此事件是创建新目录对象的结果。

538取消删除该事件在取消删除目录对象时发生。

539当对象在同一个域内移动时，此时会发生移动。

二、密码策略

Windows Server 2008为组织提供了一种为特定域中的不同用户集定义不同密码和帐户锁定策略的方法。
细致灵活的密码策略能做什么？

您可以使用详细而灵活的密码策略在同一个域中指定不同的密码策略。同时，您还可以使用详细而灵活的密码策略，对同一域中的不同用户集应用不同的密码和帐户锁定策略限制。

该功能提供了哪些新功能？

默认情况下，密码容器创建在域的系统容器下。您可以通过使用Active Directory用户和计算机管理单元并启用高级功能来查看它。它存储域的密码设置对象(以下简称PSOs)。

您不能重命名、移动或删除该容器。虽然您可以创建附加的自定义密码设置容器，但它们不计入为对象计算的组策略结果集中。因此，不建议创建额外的自定义密码设置容器。

密码对象包含可以在默认域策略中定义的所有属性设置(Kerberos设置除外)。这些设置包含以下密码设置属性:

强制密码历史记录
最长密码期限

最短密码使用寿命

最小密码长度
密码必须满足复杂性要求。

使用可恢复加密来存储密码。

这些设置还包括以下帐户锁定设置

帐户锁定时间
帐户锁定阈值

重置帐户锁定计数器

此外，PSO还包含以下两个新属性:

PSO链接:这是一个链接到用户或组对象的多值属性。

优先级:这是一个整数值，用于解决多个PSO应用于单个用户或组对象时的冲突。

这九个属性值必须定义，缺一不可。来自多个PSO的设置不能合并。

使用图形界面(adsiedit.msc)建立PSO

1.单击开始按钮，单击运行，输入adsiedit.msc，然后单击确定。*如果您是第一次在DC上运行adsiedit.msc，请继续查看步骤2。如果没有，请跳到步骤4。

2.在ADSI编辑界面，右键单击ADSI编辑，然后单击连接到。

3.在名称属性框中输入要在其中创建PSO的域的完全限定域名(FQDN ),然后单击确定。

4.双击该域。

5.双击DC=。

6.双击CN=System。

7.右键单击CN =密码设置容器，单击新建，然后单击对象。

8.在创建对象对话框中，选择msDS-PasswordSettings，然后单击下一步。

9.输入PSO的名称，点击下一步，根据向导提示，输入需要的属性。

10.在向导的最后一页，单击“更多属性”。

11.在选择要查看的属性菜单中，单击可选或两者都选。

12.在选择要查看的属性的下拉菜单中，选择msDS-PSOAppliesTo。

13.在“编辑”属性中，添加需要应用PSO的用户和全局安全组的相对可分辨名称。

14.如果需要将PSO应用于多个用户和全局安全组，请重复步骤13。

15.单击完成。