深入解析WindowsServer2008用户与组管理及ActiveDirectory安全策略

### 深入解析Windows Server 2008用户与组管理及Active Directory安全策略 #### 1. Active Directory管理安全策略 在Active Directory管理中，有诸多关键的安全策略需要遵循。首先，OU级别的管理员不应被添加到任何域的“Domain Admins”组中，因为这会使关键的域服务面临风险。以MCITY.INC域为例，该域存在单一的安全边界，其域控制器（DC）分布在两个中心站点（HQ和DR）。若缺乏精细的安全模型，OU级管理员有可能获得对该域中所有DC的完全控制权。 最佳实践表明，层级管理员不应具备访问根域中DC的权限。只有根域中“Domain Admins”组的成员才被允许管理或管理根DC服务器（通过RPC或命令行通道）。同时，层级管理员不能成为该域中内置本地“Administrators”组的成员，也不能加入任何属于内置本地“Administrators”组的全局（如“Domain Admins”）或通用（如“Enterprise Admins”）组，因为这会赋予他们整个森林的完全和无限制权限。 为保护域，最佳做法是不创建任何类型的管理OU，并且除森林的创建成员（“Administrator”和“Enterprise Admins”组的成员）外，不向任何人委派该域的管理权限。此外，根域中管理组的成员资格应限于少数最受信任和经验丰富的管理员，因为域级管理组成员有可能损害整个森林及其资源和子域。鉴于MCITY目前仅维护一个根域，建议采用更严格的根域安全模型。 #### 2. Windows Server 2008用户与组管理概述 对于网络或域管理员而言，管理用户和组既能带来满足感，也可能成为极具挑战性的任务。在Windows Server 2008中，用户和组管理变得更加复杂，这与Active Directory中用户和组对象及其支持密切相关，同时还涉及到集成Windows NT 4.0及更早版本网络的负担。 不过，借助Active Directory的开放接口和对可编程对象的访问，管理员可以开发自动化工具，提升管理效率。由于目录开放并支持广泛可用的API（ADSI）和访问协议（LDAP），还可以扩展用户和组对象以满足企业需求或自定义应用程序。 #### 3. 用户与组的基本概念 - **用户的定义**：在Windows网络域和本地计算机中，用户的定义涉及自主进程、网络对象（设备和计算机）以及人类。Windows Server 2008安全子系统将所有使用其资源的对象视为安全主体，初始时给予信任。用户对象源自Active Directory中的单个用户类，而机器账户则从用户对象派生而来。要访问用户对象，在程序或脚本代码中需要引用其可分辨名称（DN），若编写访问该对象的脚本，则应引用其GUID。 - **联系人的概念**：联系人是Windows 2000网络引入的对象，与用户对象源自相同的类层次结构，但不继承其父对象的安全属性，仅用于通信目的，如电子邮件、传真、电话等。Windows Server 2008的分发列表由联系人组成，可通过Outlook、Outlook Express等LDAP兼容客户端软件访问。 - **本地用户的定义**：“本地用户”通常用于描述两种类型的用户：本地登录到工作站服务的机器本地用户，以及网络或域的本地用户。为避免混淆，建议明确“本地用户”在自身环境中的定义，一般指本地登录到工作站、PC或服务器的用户。 - **组的概念**：组是用户、联系人、计算机和其他组的集合（嵌套过程），在Active Directory和本地计算机的安全子系统中均受支持。创建和使用组的目的是在安全边界内包含用户对象和其他组的访问权限，同时包含对网络对象（如共享、文件夹、文件、打印机等）具有相同访问权限的用户对象，为用户和其他组访问资源提供安全过滤。此外，组还可用于创建分发列表，方便电子邮件管理。 #### 4. 组与组织单位（OU）的比较 许多人认为组对象已被OU取代，但实际上，只有当OU被安全子系统和访问控制机制识别为安全主体时，这种说法才成立。组是一种复杂的管理容器，能对其包含的用户账户和其他组进行各种控制。组的优势在于可以跨组织和多域边界包含成员，而组织单位属于特定域。对于复杂的合并和收购以及分布广泛的公司，组是包含其收购或成员公司及部门组织单位成员的理想选择。 #### 5. 用户和计算机管理工具 Windows Server 2008提供了多种管理本地登录账户和Active Directory账户的工具。独立机器（包括运行Windows Server 2008 Professional的工作站）和成员服务器使用“Users and Passwords”和“Local Users and Groups”，域控制器则使用“Active Directory Users and Computers”。 “Active Directory Users and Computers” MMC管理单元是创建和管理网络域中用户的主要工具。运行该管理单元时，可将其设置为高级功能模式以查看所有菜单选项。在左窗格中，它会加载代表所管理域的树结构，包含多个内置文件夹： - **Builtin文件夹**：包含安装Active Directory并将服务器提升为域控制器时创建的内置或默认组。 - **Computers文件夹**：包含添加到所管理域的计算机，若尚未添加则为空。 - **Domain Controllers文件夹**：始终包含至少一台计算机，即当前正在操作的域控制器。 - **ForeignSecurityPrincipals文件夹**：是与其他受信任域中的对象关联的安全标识符（SID）的默认容器。 - **Users文件夹**：包含内置用户和组账户。升级Windows 2000 Server到Windows Server 2008后，旧域中的所有用户账户会被放置在此文件夹中。该文件夹不是OU，不能链接OU组策略。通常，在全新安装Windows Server 2008并将其提升为Active Directory时，此文件夹应为空或至少不包含任何账户，内置账户应放置在“Builtin”文件夹中。 - **LostAndFound文件夹**：包含孤立的对象。 - **System文件夹**：包含内置系统设置。 - **Data文件夹**：是应用程序数据的默认位置。 - **NTDS Quotas文件夹**：是配额规范的默认位置。 #### 6. 深入了解用户账户的重要性 理解用户账户的工作原理有两个层面。通过在“Active Directory User and Computers”管理单元的MMC面板中探索，可以了解用户账户的基础知识；而深入学习用户账户的重要属性，则能将管理知识和技能提升到更高水平。 作为管理员，了解用户账户的构成有助于进行高级用户搜索、科学管理密码、更好地保护资源和进行故