首先我们在Sea-DC1(此计算机为一台Windows Server 2008的域控制器)上进行RODC安装的活动目录准备工作。插入Windows Server 2008的安装光盘。进入\Sources\adprep目录,执行命令adprep /rodcprep,如下图(1)、(2)所示。
图(1
图(2
注:此命令将更新森林中所有DNS应用程序目录分区的权限。另外活动目录服务可以在那些同时是DNS服务器的RODC上成功进行复制。
 
接下来我将把一台计算机名称为Sea-Svr1(此计算机为一台加入域的成员服务器)的计算机安装为只读的域控制器(RODC)。在Sea-Svr1上打开Server Manager,如下图(3)所示。
图(3
点击Roles,选择Add Role,出现如下图(4)所示的向导,选择Active Directory Domain Services,点击Next
图(4
等待一段时间,Active Directory Domain Services安装完成了。如图(5)所示。
图(5
通过提示可以看到,它告诉我们需要完成安装,还需要继续运行Active Directory Domain Service Installation Wizard。那下面我们就运行它,展开Roles,选择Active Directory Domain Service,在详细窗格中点击Run the Active Directory Domain Service Installation Wizarddcpromo.exe。如图(6)所示。
图(6
此时将会运行Active Directory Domain Service Installation Wizard如下图7所示
图(7
注意,要想安装RODC的话,需要选择Use Advanced mode installation。如上图(7)所示。
 
点击Next,选择Existing Forest。如下图(8)所示。
图(8
点击Next,输入域名contoso.com,并指定执行安装的账户为contoso\administrator,如下图(9)所示。
图(9
点击Next,选择域contoso.com,如下图(10)所示。
图(10
点击Next,选择站点Default-First-Site-Name,如下图(11)所示。
图(11
点击Next,在此处是关键设置,我们需要选择Read-only Domain Controller(RODC),我同时还指定它为DNS Server。如下图(12)所示。
图(12
点击Next,在此将会指定密码复制策略来设置那些账户的密码是允许被此RODC缓存的。其中Settings下设置为Allow将会缓存。如下图(13)所示。
图(13
因为在安装好RODC之后是可以重新修改密码复制策略的,因此我们在这里不作任何修改,直接点击Next,将出现如下图(14)所示的画面。
图(14
图(14中我们指定一个普通的域用户Alice MuttenSea-svr1这台RODC的本地管理员。其实在这里也体现了管理角色分离的思想。以后Alice Mutten可以管理和维护这台RODC,但是在域中只有普通用户的权限,当然更加不能管理其他可读写的DC,所以提高了域的安全性。
 
点击Next,将出现Install from media窗口,我们可以选择从网络复制数据,也可以选择从媒介读取数据。在这里我选择了默认设置,也就是从网络复制数据,如下图(15)所示。
图(15
点击Next,指定那一台源域控制器将作为安装时复制数据的复制伙伴,通常我们可以指定中央站点的可读写的Windows Server 2008的桥头服务器。在这里,我指定Sea-DC1。如下图(16)所示。
图(16
后面的步骤非常简单,我就不在一一解释了。如下图(17~图(19)所示。
图(17
 
 
图(18
 
图(19
 
完成安装以后,重新启动Sea-svr1这台计算机并用contoso\administrator进行登录。打开Active Directory Users and Computers展开Computers容器,发现Sea-Svr1显示为一台RODC。如下图(20)所示。
 
图(20
选择contoso.com,右击选择Change Domain Controller,选择Sea-svr1.contoso.com。这样我们就连接到了Sea-svr1这台RODC上了。如下图(21)所示。
 
图(21
然后尝试在组织单位Sales下右击,可以发现根本没有新建对象的选择。如下图(22)所示。
图(22
重新选择contoso.com,右击选择Change Domain Controller,选择Sea-DC1.contoso.com。创建用于后面密码复制策略和管理角色分离实验中用到的全局安全组Sales Admins。如下图(23)、(24)所示。
图(23
 
图(24
Alice Mutten用户账户从Users容器移动回组织单位Sales并添加作为Sales Admins组的成员。如下图(25)、(26)所示。
 
图(25
 
图(26
 
下面我们将配置密码复制策略。点击Domain Controllers组织单位,打开Sea-svr1计算机账户的属性,如下图(27)所示。
图(27
点击Password Replication Policy选项卡。如下图(28)所示。
图(28
 
从图(28)中点击Advanced,将打开图(29)所示的画面。
图(29
从图(29)可以看出,除了RODC自身的计算机账户和Kerberos 票据授权票 (KRBTGT)账户之外,确实默认情况下没有缓存任何账户的密码。
 
 
更改选项,选择Accounts that have been authenticated to this Read-Only Domain Controller,可以看出它把曾经找RODC进行身份验证的用户Administrator列出来了(通过这个列表其实可以帮助您来确定哪些账户的密码应该允许此RODC进行缓存)。如下图(30)所示。
图(30
点击Close,添加Sales Admins组,设置为Allow。这样Sales Admins组的成员的密码将可以被Sea-svr1这台RODC缓存。设置步骤如下图(31)、(32)所示。
图(31
图(32
 
再次点击Advanced,选择Resultant Policy选项卡。添加Alice Mutten Bob Smith两个账户,可以发现ADDS将自动检查这两个账户的密码复制策略设置是什么。如下图(33)所示。
 
图(33
 
Sea-svr1这台RODC上点击注销,重新以Alice mutten进行登陆。如下图(34)所示。
 
图(34
 
使用whoami命令查看Alice Mutten的令牌中组的成员信息。如下图(35)所示。
图(35
从图中可以看出Alice MuttenSea-svr1这台RODC的本地管理员的成员。其实这是我们在安装Sea-svr1这台RODC的时候指定的设置。
 
Sea-DC1上打开Active Directory Users and Computers,打开Sea-svr1的属性,选择Password Replication Policy,点击Advanced。可以看到Alice Mutten的密码已经被Sea-svr1缓存了下来。如下图(36)所示。
图(36
更改选项,选择Accounts that have been authenticated to this Read-Only Domain Controller,可以看出它列出了AdministratorAlice Mutten。如下图(37)所示。
图(37
其实您也可以在用户没有找RODC进行身份验证的时候手动的把账户的密码复制到RODC上,当然该账户依然要满足密码复制策略的设置。否则手动复制是不能进行的。
 
下面我把Bob Smith账户也加入Sales Admins 组,如下图(38)所示。
图(38
打开Sea-svr1的属性,选择Password Replication Policy点击Advanced。点击Prepopulate Passwords如下图(39)所示。
图(39
添加Bob Smith,如下图(40)所示。
图(40
 
在这里,请注意一下,如果您希望在没有可读写DC可用的情况下,用户依然可以通过RODC登陆,则用户账户的密码和用户登陆的计算机账户的密码都必须存储在RODC上。也就是说您除了要添加Bob Smith,最好同时要添加Bob Smith所使用的计算机账户。
 
添加完以后,可以看到Bob Smith的密码也已经被缓存了。如图(41)所示。
图(41
如果Sea-Svr1因为分支机构的安全问题丢失了或者被偷了。你可以在任何可读写的DC上删除此RODC的计算机账户,在删除计算机账户的时候,您可以重设所有被RODC缓存的账户的密码。如下图(42~44)所示。
 
图(42
 
图(43
图(44
从图(44)可以看出,如果您重设了所有被缓存的用户账户密码,那这些用户将需要联系Helpdesk来获得新密码,如果重设了所有被缓存的计算机账户的密码,那么这些计算机需要重新加入域。另外我们也可以把被缓存的账户的列表导出来获知在此RODC上具体有哪些账户被缓存了。
 
 
 
最后我们来看一下管理角色分离这一特性。
 回到Sea-svr1这台RODC上,之前我们是以Alice Muten用户登录此计算机的,该用户是此计算机的本地管理员组的成员。打开run,输入cmd,输入命令dsmgmt.exe。如下图(45)所示。
图(45
从图中可以看出有一个权限提升的提示,这其实就是和Windows Vista一样的UAC(用户账户控制)功能。在打开的窗口依次输入local roleslist roles,如下图(46)所示。
图(46
我们把Sales Admins全局安全组加入Sea-svr1这台RODC的本地Account Operators(账户操作员)组中。如下图(47)所示。
图(47
Sea-svr1注销,用Bob Smith登陆,使用Whoami命令查看令牌中组成员资格信息,可以看到Bob Smith已经属于Account Operators组了。如下图(48)所示。
图(48
 
作者按:本文到此就结束了,请关注《第四篇:Windows Server 2008 活动目录备份及还原》。在下一篇中我将讲解Windows Server 2008 活动目录的备份及还原。
 
今天我拼了,连发三篇。