保护WindowsServer活动目录

时间：2025-09-28 07:41:29 其他范文收藏本文下载本文

以下是小编为大家整理的保护WindowsServer活动目录，本文共3篇，欢迎阅读与收藏。

篇1：保护WindowsServer活动目录

如果我告诉你，WindowsNTServer4.0的安全性要高于WindowsServer，你也许会认为我在说胡话，但是有时候，事实比胡话更加令人不可思议。在某些情况下，WindowsNTServer确实要比Windows2000Server具有更好的安全性。不过Microsoft已经发现了这个问题，并在WindowsServer2003的活动目录中重新采用了类似于WindowsNT4.0的安全架构。下面我们就来研究一下这个安全问题，然后我会提供几个小技巧，帮助你更好的确保AD环境的安全。

物理安全是首位

当我们试图保证AD环境的安全时，首先要考虑的就是它的物理环境是否安全。如果任何你不信任的人可以随意接触到你的域控制器或DNS服务器，那么你的AD环境肯定不会安全。很多管理工具以及灾难恢复工具的存在也可以为提供相当大的便利。

假如可以从物理上接触到服务器，那么就算是电脑水平一般的人也可以在较短时间内进入你的系统。因此，在你没有确保服务器位于一个安全环境时，也不用考虑如何加强AD的安全性了。

WindowsNT对阵Windows2000不要误解我在文章开始时所说的话。在很多情况下，Windows2000所提供的安全性确实要强于WindowsNT。但是不能忘记计算机领域的一个基本规则：越是复杂的程序越容易出现可被利用的安全漏洞。毫无疑问，Windows2000要比WindowsNT复杂的多。

这方面最好的例子就是在不同操作系统中，域模式的实现方式不同。在WindowsNT中，域是唯一的组织结构。一个域可以包含整个公司内的全部用户、组、以及计算机。如果这个公司非常大，那么可以设立多个域，并在域之间建立信任关系，但是每个域都是独立的结构。

在开发Windows2000时，微软意识到WindowsNT中的域模式并不能很好的用于更大型的企业，因此微软在一个被称为森林（forest）的结构上采用了活动目录（AD）模式。在一个森林中，你可以创建多个不同的域，甚至可以使用父域以及子域等树木结构。和在WindowsNT环境中一样，每一个域仍然有自己的管理员，不过相似性也就只有这些了。

在Windows2000中，微软认为应该让域变得更加易于管理，因此它为域的管理创建了不同的等级。比如，一个DomainAdmins组的成员可以管理当前域以及当前域的子域。而EnterpriseAdmins组的成员则可以管理整个森林中的任何一个域，

由此也产生了一些问题。

在Windows2000的AD模式中，最大的问题是森林中所有的域都是相互信任的，这将引发一系列问题。首先，当安全规则没有设立好时，域管理员可以通过把自己添加到EnterpriseAdmins组的方式提高自己的管理权限，这样他们就具有了管理整个森林中任何一个域的权限。如果该域具有一定的安全规则，那么恶意的管理员也可以通过篡改SID纪录以及运行提升权限操作等对整个森林进行攻击。通过操作SID纪录，管理员可以赋予自己EnterpriseAdmin的权限。

另外，Windows2000的AD安全模式中还存在一些固有的薄弱环节。也许你知道，每一个域都至少需要一个域控制器，而每一个域控制器都包含了该域以及整个森林的信息。这些信息包括AD结构以及一些基本的配置。

现在设想一下，假如公司里的一个管理员一时疏忽，安装了一个恶意程序，或者对AD做了一些不正确的配置。如果这个配置的改动是针对森林级的AD组件进行的，那么最终这个改变将传递到整个森林里的每个域控制器上，这将破坏每个域控制器上的AD配置副本并有可能造成整个公司的网络瘫痪。

让我们再来对比一下WindowsNT中的情况。就算一个域信任另一个域，每个域中都会包含和各自域有关的安全帐户管理副本。因此，怀有恶意的管理员无法通过修改本地域的SAM文件来间接破坏对方域的SAM文件。同样，在WindowsNT中没有一个足够大的管理员权限可以让某个域的管理员将权限提升到可以控制公司网络内其它域的地步。

另一个有关WindowsNT的信任关系的优势在于，这种信任关系既可以是单向的，也可以是双向的，并且这种信任关系本质上是不可以传递的。这种单向性意味着，假如你有两个域，Users域和Admin域，你可以让他们之间相互信任，也可以仅让Users域信任Admin域，而Admin域不信任Users域。而信任关系的不可传递性意味着，假如域A信任域B，而域B又信任域C，那么域A依然不会信任域C，除非管理员亲自指定这种信任关系。

WindowsServer2003的安全性

看到这里，你也许会很好奇，在WindowsServer2003中，这种域的安全性到底有什么特点呢？我之所以在一开始介绍了WindowsNT和Windows2000的区别，就是为了让大家更好的理解WindowsServer2003的特点。在WindowsServer2003种，微软将WindowsNT和Windows2000的两种模式融合在一起，因此，为了更好的保护你的WindowsServer2003网络，你必须理解上两个系统的安全模式中存在的优势和不足。Windows2000中最大的AD安全弱点就是一个森林中的所有域都是通过一个通用的管理架构相联系的，这个通用的管理架构也就是森林本身。在WindowsServer2003中，森林架构依然被沿用下来，并且其作用也和Windows2000中没有什么区别。

篇2：活动目录对象删除与保护深入理解

大家都知道，在2000和时代，当我们从AD中删除某个对象时，其实AD并非将此对象直接删除，而是将此对象标记为墓碑对象，并且，墓碑对象会在活动目录中再保存180天时间(2000和2003是60天，2003打了SP1之后是180天)，这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改，我们只需要找到Configuration\\Services\\Windows NT\\Directory Service下的tombstoneLifetime属性进行更改即可。

注：墓碑生存时间(tombstoneLifetime)是指：从在AD中删除某对象开始，到该对象真正被删除的时间间隔，默认值为180天，这样做是为了保证：这种删除操作被复制到域中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的，不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份中，恢复活动目录。活动目录对象如果被删除，并不直接消失，而是放入一个不可见的CN，名字叫deleted object，里面存放180天(默认)，在这180天内，可以进行恢复，在域控制器上，每24小时执行一次名叫“垃圾收集”的进程，将超过180天的被删除记录真正的删除。那只能通过备份加以恢复了。在这里讨论的是在180天之内的情况。

现在，我们在看看用微软的活动目录LDP工具查看。

选择connection，输入要连接的域控制器。我们可以发现LDAP协议所用的端口为389号端口。

在菜单bind中，选择输入连接操作者的身份凭据，

在输入后，我们可以见到显示出authendicated user=“administrator”

选择菜单当中的options，选择菜单项controls,在其中，选择return deleted object

注意，在Active controls窗口中，显示出ID，该号码是管理信息库所识别的一个ID，代表着被删除对象

view菜单中，选择tree,输入域的DN

在子目录下，选择cn=deleted object容器，在其中找到被删除的对象

输入attribute 值为 isdeleted ，在operation中选择delete, 点击Enter将其添加到entry list中

再在attribute中输入另一个属性distinguishedName，在Values中，输入准备恢复对象存放的位置DN，在operation中，选择replace，点击enter,将其添加到entry list中。

选择勾选Synchronous和Extended，然后点击Run按钮。被删除的对象，就得以恢复了

在Windows Server 时代活动目录对象保护

除了以上03的基础上，在windows server 2008中的ADDS。我们在创建对象时，可直接勾选是否启用防误删保护。

勾选这个，conan.han觉得不赖，至少在某些情况下防止热血工程师删除资源(包括我自己，哈哈)，保护OU，资源的重要性相比不用多说，误删除一个OU，那这个部门的资料就...如果要删，此时，windows就会提醒你刀下留人!

好了，刚刚的客户问题就出来了，那怎么解决呢。

篇3：活动目录对象删除与保护深入学会

大家都知道，在2000和2003时代，当我们从AD中删除某个对象时，其实AD并非将此对象直接删除，而是将此对象标记为墓碑对象，并且，墓碑对象会在活动目录中再保存180天时间(2000和2003是60天，2003打了SP1之后是180天)，这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改，我们只需要找到Configuration\\Services\\Windows NT\\Directory Service下的tombstoneLifetime属性进行更改即可。