附錄 D
本附錄簡述了《Windows 2000 安全性操作指南》中所描述基礎結構的部署方式。文中以逐步指引的方式帶領您建立一個測試環境、安裝所有相關的作業系統、服務及修補程式等等。在實際進行測試之前,請先使用 dcpromo 和 checks 設定 Active Directory 以驗證此環境。 建置測試環境
安裝一個可提供最多支援10 部電腦的扁平式網路拓樸的網路或開關。
在所有測試伺服器上將 Windows 2000 Server 安裝在 NTFS 磁碟分割,使用圖中的命名方式和 IP 位址。
指派一個增強式密碼給系統管理員帳戶。
將所有電腦設定成均使用 192.168.99.7 作為其主要 DNS 伺服器。
將所有電腦設定成均使用 192.168.99.7 作為其主要 WINS 伺服器。
將所有電腦均設定為 Workgroup 工作群組的成員。
在「基礎結構伺服器」(Infrastructure Server ) 上安裝 DNS、DHCP 及 WINS。
在所有電腦上安裝 Window 2000 Service Pack 2。
安裝「Knowledge Base」(知識庫) 文件編號 Q295444:SCE Cannot Alter a Service's SACL Entry in the Registry on all computers (SCE 無法變更所有電腦登錄上某個服務的 SACL 項目)。
在測試網域中將 AD01 升級成網域控制站。
將 AD02 加入 Active Directory 網域內。
將成員伺服器加入 Active Directory 網域內。
使用本書第 3 章的步驟建立 OU 結構。
使用本書第 5 章的步驟安裝及執行 Hfnetchk。
測試案例
測試案例 | 優先順序 | 受測條件 | 執行細節 | 需要的資料 | 預期結果 |
---|---|---|---|---|---|
1.1 | 低 | 無 | 將每一部伺服器的系統狀態備份到磁碟 | 無 | 成功備份 |
1.2 | 高 | 匯入「網域控制站」的基礎群組原則,並驗證 Win2KSOG 中所述的步驟 |
|
Baselinedc.inf | 網域控制站被鎖定 |
1.3 | 高 | 使用 GpoTool 及 Gpresult 等公用程式來檢查 DC 的群組原則設定 |
|
確認網域控制站 GPO 是否已套用 | |
1.4 | 高 | 測試「網域控制站」的基礎群組原則,並驗證 Win2KSOG 中所述的步驟 |
|
|
|
1.5 | 高 | 匯入「成員伺服器」的基礎群組原則,並將 AP01 移至 OU,然後驗證 Win2KSOG 中所述的步驟 |
|
Baseline.inf
RepAdmin 或 ReplMon |
AP01 成員伺服器被鎖定 |
1.6 | 高 | 使用 GpoTool 及 Gpresult 等公用程式來檢查 AP01 成員伺服器的群組原則設定 |
|
顯示已套用 AP01 成員伺服器 GPO。 | |
1.7 | 高 | 測試「成員伺服器」的基礎群組原則,並驗證 Win2KSOG 中所述的步驟 |
|
|
|
Misc | 低 | 使用 SMTP 進行站台間複寫 |
|
複寫應與套用的原則搭配 | |
2.1 | 高 | 在所有伺服器執行 HfNetChk | Win2KSOG 第5 章第7 頁的參考流程 | 若要執行 HfNetChk:
|
|
2.2 | 高 | 在安裝清單中的某些修補程式之後,重新執行 HfNetChk |
|
同上 |
|
2.3 | 中 | 以多重伺服器清單執行 HfNetChk 並測試排程功能 |
|
同上 |
|
1.1 DTP 1 | 高 | 匯入「檔案及列印伺服器」的個別伺服器原則,並驗證 Win2KSOG 中所述的步驟 | Win2KSOG 第4 章第3 和17 頁的參考流程
|
File&print Incremental.inf 範本 |
|
2. | 高 | 用 GpoTool 及 Gpresult 等公用程式來檢查原則設定 |
|
GpoTool 及Gpresult |
|
3 | 高 | 依 Win2KSOG 所述測試個別原則的額外設定,並驗證其組態設定 |
|
|
|
1.2 DTP 4 | 高 | 匯入「基礎結構伺服器」的個別伺服器原則,並驗證 Win2KSOG 中所述的步驟 | Win2KSOG 第4 章第17 頁的參考流程
|
Infrastructure.inf 範本 |
|
5. | 高 | 使用 GpoTool 及 Gpresult 等公用程式來檢查原則設定 |
|
GpoTool 及Gpresult |
|
6 | 高 | 依 Win2KSOG 所述測試個別原則的額外設定,並驗證其組態設定 |
|
|
|
1.3 DTP 7 | 高 | 匯入「IIS 伺服器」的個別伺服器原則,並驗證 Win2KSOG 中所述的步驟 | Win2KSOG 第4 章第17 和18 頁的參考流程
|
|
|
8. | 高 | 使用 GpoTool 及 Gpresult 等公用程式來檢查原則設定 |
|
GpoTool 及Gpresult | |
1.4 DTP 9 | 高 | 依 Win2KSOG 所述測試個別原則的額外設定,並驗證其組態設定 |
|
|
|
1.5 DTP 10. | 高 | 變更至建議的環境以進行遠端管理 | Win2KSOG 第 4 章第17 和18 頁的參考流程
|
|
|
1.1 | 高 | 部署及測試 EventCombMT |
|
Eventcombmt |
|
1.2 | 低 | 使用不同的公用程式 (如 Dcdiag 及 Repadmin 等) 進行臨機操作 (Ad Hoc) 測試 |