中大型 Active Directory 实施的定期维护和安全活动有哪些?

中大型 Active Directory 实施的定期维护和安全活动有哪些?

为确保中型到大型 Active Directory 实施顺利且安全地运行,需要执行哪些最常见的定期活动。

答案1

DCDiag.exe 是一个很好的起点。

答案2

我将添加 replmon 和 repadmin 作为基础知识 - 这些应该每周至少检查一次以确保您的 AD 复制正常运行。

如果您可以从 DC 中提取所有相关事件日志(目录服务、DNS、FRS),这也是了解正在发生的事情的好方法。

答案3

删除或禁用以前的用户和计算机。用户相当容易,但计算机可能很难,具体取决于您的设置。查看大量 Powershell 脚本,它们确实可以使 AD 管理更容易。还要检查以确保您的 OU 结构得到保留。检查任何可能不必要的 GPO 并禁用它们。

答案4

根据您的环境,您可能想知道某些组的成员资格何时发生变化(例如工资部门)。我建议您找到一个您满意的工具/方法。我有一些脚本,可以运行 windiff 来直观地查看更改。

Microsoft Baseline Security Analyzer 是跟踪所需补丁数量的好方法。

活动目录(NTP、DNS、LDAP、NTFRS)

NTP - 确保您的 PDC 模拟器的时间与互联网同步。

DNS - 有人告诉我,所有 DC 都转到一个运行 DNS 的主 DC 作为它们列出的第一个 DNS 服务器,并通过服务器自己的 ip 获取第二个 DNS 地址。

LDAP - 我有 14 个 DC 需要管理,因此我创建了一个 OU 并为每个 DC 创建了联系人,我让 DC 上的脚本每 10 分钟运行一次,以使用 GMT 和本地时间更新描述字段。这样,如果我的 Exchange 管理员或任何其他人想知道 DC 上次从另一个站点获得复制更改的时间,他们可以在此操作系统的 ADUC 中查看本地站点的 dc 并查看时间变化。

NTFRS - 这是复制组策略信息的方法。我曾看到 DC 上的 p2v(不支持)导致组策略复制出现问题,此后我想知道组策略何时未复制,因此我将更新测试策略文件夹中的 txt 文件,然后查看该文件是否已在我的域控制器中更新。

请务必记下哪些 DC 也是 GC、FSMO 角色持有者在哪里 - 以及如果其中一个 DC 发生故障应该采取什么步骤。

如果您在一定次数的无效尝试后锁定帐户或设置系统对类似事件采取行动,您可能希望定期触发它们以查看它们是否按预期运行。

我还喜欢审核卸载密钥、IP 配置信息和已安装的 Windows 组件。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\OcManager\Subcomponents ipconfig /all > ip_info.txt

标记

相关内容