Windows Server 2008

ドメインでの効率的なドメイン管理エクスペリエンスは、Microsoft LANソリューションの重要な部分であり、ほぼすべてのバージョンのWindows Serverのリリースが大幅に改善され、ドメイン内で改善されます。 MicrosoftのWindows Server 2008の新バージョンはどのようなドメインエクスペリエンスをもたらすのでしょうか？ここでは例を組み合わせてWindows Server 2008ドメインに基づくいくつかの新しいアプリケーションを紹介します。体験してください。

1.読み取り専用ドメインコントローラーの展開

ドメインコントローラー（DC）のセキュリティ、特にその物理的なセキュリティは、管理者にとっての懸念事項です。特別なドメインコントローラ、読み取り専用ドメインコントローラ（RODC）がWindows Server 2008に追加されました。RODCを使用すると、物理的なセキュリティを保証できないネットワークノードに読み取り専用ドメインコントローラを展開できます。これによりセキュリティが向上するだけでなく、ログインが速くなり、ネットワークリソースへのアクセスがより効率的になります。

Windows Server 2008に読み取り専用ドメインコントローラー（RODC）を展開するのは非常に簡単です。たとえば、jp.comドメインのWindows Server 2008ホストを読み取り専用ドメインコントローラーとして展開する場合は、まず管理者ユーザーとしてホストにログインし、次に管理者としてコマンドプロンプトを許可してから、次のコマンドを実行します。 ' dcpromo /replicaornewdomain：readonlyreplica /installdns：yes /replicadomaindnsname:Woodgrovebank.com /sitename =デフォルトの最初のサイト名/safemodeadminpassword：ctocio！' /replicadomaindnsname:Woodgrovebank.com'指定したドメイン名、&safemodeadminpassword：ctocio！'ドメインコントローラ管理者のパスワードをctocio！に設定します。

ディレクトリ（AD）のインストール中に、DNSが同時にインストールおよび構成され、管理者パスワードがActive Directoryの回復モードに設定されることに注意してください。また、インストールプロセス中は、主にトロイの木馬コピーポリシーの出力を画面に表示するようにしてください。これに加えて、デフォルト設定を維持することができます。 Active Directoryのインストール後、システムは再起動し、システムの再起動後にホストは読み取り専用ドメインコントローラー（RODC）になります。

2、管理役割の分離

管理役割の分離は読み取り専用ドメインコントローラー（RODC）の主な機能です。ドメインユーザーをRODCの役割に指定できます。ドメインまたは他のドメインコントローラに対するユーザー権限をユーザーに付与する必要はありません。実際、これらの役割は地元のグループと非常によく似ています。この機能を使用すると、ドメイン管理者のユーザー名とパスワードを与えなくても、定期的なメンテナンス（ディスクの最適化など）のために管理者をブランチオフィスのRODCに割り当てることができます。最初に、管理者を解放してDC管理タスクを割り当てることができ、さらに、承認されたユーザーはドメインに害を与えずに特定の操作しか実行できないため、ドメインのセキュリティが大幅に向上します。セキュリティの残りの部分。同時に、それはまたいつでもDC管理の誤用によって引き起こされる損害の危険性を避けます。

読み取り専用ドメインコントローラー（RODC）に対して管理役割の別の操作を実行します。管理者としてホストにログインし、管理者のコマンドプロンプトを実行してから、次のコマンドを順番に実行します。

NTDSUTIL

ローカルロール

追加Woodgrovebank.com \\ jp管理者

ロールを表示する管理者

終了

を終了（図2）

図2 NTDSUTIL

上のコマンドを簡単に説明します。最初の行はNTDSUTIL.exeです。コマンドライン、2行目はローカルロール設定状態に入ること、3行目はユーザーjpをWoodgrovebank.comドメインの管理者（administrator）グループに追加するためのキーコマンド、4行目は管理者グループのロールを表示すること、1行目は6行目のコマンドは、NTDSUTILツールを終了することです。

3.新規アカウントで管理操作を行う

以上の操作により、jp usersにWoodgrovebank.comドメインを操作する権限を与えました。 jpユーザーとしてSFO-DC-01.Woodgrovebank.comという名前の読み取り専用ドメインコントローラー（RODC）としてログインします。最初にコマンドプロンプトツールを開き、' whoami /user /groups |コマンドを実行します。  「管理者」を検索すると、ドメインユーザーjpがこの読み取り専用ドメインコントローラー（RODC）に2つのハッキングに成功し、既にそのローカル管理者であることがわかります。 （図3）

図3読み取り専用ドメイン制御

以下で、ホストのFパーティションのフォーマットなどのシステム管理操作を実行します。コマンドラインで「Command F：/q」コマンドを実行して、読み取り専用ドメインコントローラ（RODC）のFパーティションの高速フォーマット操作が正常に完了したことを確認します。これは、読み取り専用ドメインコントローラー（RODC）に対して実行したばかりの管理役割の分離が成功したことを示しています。ただし、このユーザーはドメイン内の通常のドメインユーザーにすぎず、ドメインポリシーによって一般的なアクセス許可のみが付与されていることに注意してください。試してみて、そのようなユーザーを作成してからドメインコントローラーにログインすると、一般的なドメインユーザーはドメインコントローラーにログインできないため、ログインに失敗したことがわかります。

4. Active Directoryのオフラインメンテナンスを実行します。

以前のバージョンのWindows Serverでは、Active Directoryをオフラインに維持する必要がある場合は、ドメインコントローラを再起動してF8キーを押し続ける必要があります。 、Active Directoryの復元モードに入り、操作を完了します。しかし、そうするとファイルサービス、印刷サービスなど、ドメインコントローラ上で実行されている他のサービスに影響を与えます。これは非常に不便です。しかし、Windows Server 2008では、再起動せずにActive Directoryドメインサービスを停止してから、Active Directoryデータベースの最適化、移動など、オフラインでActive Directoryを実行する必要がある操作を実行できます。以下に、著者はテスト環境で実証し、あなたはWindows Server 2008の新機能を体験することができます。

コマンドプロンプトで< net stop NTDS>コマンドを入力すると、実装からプロンプトが表示されますか？' yと入力し、Enterキーを押してディレクトリを停止しますサービスActive Directoryのオフラインメンテナンスを実行するには、次の操作を行います。

MD C：\\ compact

ntdsutil

インスタンスのアクティブ化NTDS

ファイル< Br>

Cに圧縮：\\ compact

終了

終了

Del C：\\ Windows \\ NTDS \\ * .log

コピー/y C：\\ compact \\ ntds.dit C：\\ Windows \\ NTDS \\ ntds.dit

ntdsutil

インスタンスのアクティブ化ntds

ファイル

integrity < Br>

終了

意味データベースの分析

終了修正

終了

終了

終了

（図4）