管理員操作手冊AD域控及組策略管理CTO

AD名目 一、ActiveDirectory(AD)活動名目簡介錯誤!未指定書簽。1、工作組與域的區(qū)分 錯誤!未指定書簽。2、公司承受域治理的好處 錯誤!未指定書簽。3、ActiveDirectory(AD)活動名目的功能 錯誤!未指定書簽。二、AD域控〔DC〕根本操作 錯誤!未指定書簽。1、登陸AD域控 錯誤!未指定書簽。2、建組織單位〔OU〕 錯誤!未指定書簽。3、建用戶 錯誤!未指定書簽。4、調(diào)整用戶 錯誤!未指定書簽。5、調(diào)整計算機 錯誤!未指定書簽。三、AD域控常用命令 錯誤!未指定書簽。1、創(chuàng)立組織單位：(dsadd) 錯誤!未指定書簽。2、創(chuàng)立域用戶帳戶(dsadd) 錯誤!未指定書簽。3、創(chuàng)立計算機帳戶(dsadd) 錯誤!未指定書簽。4、創(chuàng)立聯(lián)系人(dsadd) 錯誤!未指定書簽。5、修改活動名目對象〔dsmod〕 錯誤!未指定書簽。6、其他命令〔dsquery、dsmove、dsrm〕 錯誤!未指定書簽。四、組策略治理 錯誤!未指定書簽。1、翻開組策略治理器 錯誤!未指定書簽。2、受信任的根證書方法機構(gòu)組策略設置 錯誤!未指定書簽。3、IE安全及隱私組策略設置 錯誤!未指定書簽。4、注冊表項推送 錯誤!未指定書簽。五、設置DNS轉(zhuǎn)發(fā) 錯誤!未指定書簽。一、ActiveDirectory(AD)活動名目簡介1、工作組與域的區(qū)分域治理與工作組治理的主要區(qū)分在于：、工作組網(wǎng)實現(xiàn)的是分散的治理模式，每一臺計算機都是單單獨主的，用戶賬戶和權限信息保存在本機中，同時借助工作組來共享信息，共享信息的權限設置由每臺計算機把握。在網(wǎng)上鄰居中能夠看到的工作組機的列表叫掃瞄列表是通過播送查詢掃瞄主控效勞器，由掃瞄主控效勞器供給的。而域網(wǎng)實現(xiàn)的是主/從治理模式，通過一臺域把握器來集中治理域內(nèi)用戶帳號和權限，帳號信息保存在域把握器內(nèi)，共享信息分散在每臺計算機中，但是訪問權限由把握器統(tǒng)一治理。這就是兩者最大的不同。、在“域”模式下，資源的訪問有較嚴格的治理,至少有一臺效勞器負責每一臺聯(lián)入網(wǎng)絡的電腦和用戶的驗證工作，相當于一個單位的門衛(wèi)一樣，稱為“域把握〔DomainControlle，簡寫為DC、域把握器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡時，域把握器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。假設以上信息有一樣不正確，那么域把握器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問效勞器上有權限保護的資源，他只能以對等網(wǎng)用戶的方式訪問Windows就在確定程度上保護了網(wǎng)絡上的資源。而工作組只是進展本地電腦的信息與安全的認證。2、公司承受域治理的好處、便利治理,權限治理比較集中，治理人員可以較好的治理計算機資源。、安全性高，有利于企業(yè)的一些保密資料的治理，比方一個文件只能讓某一個人看,或者指定人員可以看,但不行以刪/改/移等。、便利對用戶操作進展權限設置，可以分發(fā)，指派軟件等,實現(xiàn)網(wǎng)絡內(nèi)的軟件一起安裝。、很多效勞必需建立在域環(huán)境中，對治理員來說有好處:統(tǒng)一治理,便利在MS軟件方面集成,如ISAEXCHANGE(郵件效勞器)、ISASERVER(上網(wǎng)的各種設置與治理)等。、使用漫游賬戶和文件夾重定向技術，個人賬戶的工作文件及數(shù)據(jù)等可以存儲在效勞器上，統(tǒng)一進展備份、治理，用戶的數(shù)據(jù)更加安全、有保障。、便利用戶使用各種資源。、SMS〔SystemManagementServer〕能夠分發(fā)應用程序、系統(tǒng)補丁等，用戶可以選擇安裝，也可以由系統(tǒng)治理員指派自動安裝。并能集中治理系統(tǒng)補丁〔如WindowsUpdate寬。、資源共享用戶和治理員可以不知道他們所需要的對象的精準名稱，但是他們可能知道這個對象的一個或多個屬性，他們可以通過查找對象的局部屬性在域中得到一個全部屬性相匹配的對象列表，通過域使得基于一個或者多個對象屬性來查找一個對象變得可能。、治理域把握器集中治理用戶對網(wǎng)絡的訪問，如登錄、驗證、訪問名目和共享資源。為了簡化治理，全部域中的域把握器都是公正的，你可以在任何域把握器上進展修改，這種更可以復制到域中全部的其他域把握器上。域的實施通過供給對網(wǎng)絡上全部對象的單點治理進一步簡化了治理。由于域把握器供給了對網(wǎng)絡上全部資源的單點登錄，治理遠可以登錄到一臺計算機來治理網(wǎng)絡中任何計算機上的治理對象。在NT以訪問該域中已經(jīng)開放的全部資源，而無需對同一域進展屢次登陸。但在需要共享不同域中的效勞時，對每個域都必需要登陸一次，否則無法訪問未登陸域效勞器中的資源或無法獲得未登陸域的效勞。、可擴展性在活動名目中，名目通過將名目組織成幾個局部存儲信息從而允許存儲大量的對象。因此，名目可以隨著組織的增長而一同擴展，允許用戶從一個具有幾百個對象的小的安裝環(huán)境進展成擁有幾百萬對象的大型安裝環(huán)境。、安全性域為用戶供給了單一的登錄過程來訪問網(wǎng)絡資源，如全部他們具有權限的文件、打印機和應用程序資源。也就是說，用戶可以登錄到一臺計算機來使用網(wǎng)絡上另外一臺計算機上的資源，只要用戶具有對資源的適宜權限。域通過對用戶權限適宜的劃分，確定了只有對特定資源有合法權限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。、可冗余性每個域把握器保存和維護名目的一個副本。在域中，你創(chuàng)立的每一個用戶帳號都會對應名目的一個記錄。當用戶登錄到域中的計算機時，域把握器將依據(jù)名目檢查用戶名、口令、登錄限制以驗證用戶。當存在多個域把握器時，他們會定期的相互復制名目信息，域把握器間的數(shù)據(jù)復制，促使用戶信息發(fā)生轉(zhuǎn)變時〔比方用戶修改了口令用戶照舊可以通過其他的域把握進展登錄，保障了網(wǎng)絡的順當運行。3、ActiveDirectory(D動名目的功能活動名目(ActiveDirectory)主要供給以下功能：DNS、WINS、DHCP、證書效勞等。、效勞器及客戶端計算機治理：治理效勞器及客戶端計算機賬戶，全部效勞器及客戶端計算機參與域治理并實施組策略。、用戶效勞：治理用戶域賬戶、用戶信息、企業(yè)通訊錄〔與電子郵件系統(tǒng)集成、用戶組治理、用戶身份認證、用戶授權治理等，按地市實施組治理策略。、資源治理：治理打印機、文件共享效勞等網(wǎng)絡資源。、桌面配置：系統(tǒng)治理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應用程序執(zhí)行特征限制、網(wǎng)絡連接限制、安全配置限制等。、應用系統(tǒng)支撐：支持財務、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補丁治理、防病毒系統(tǒng)等各種應用系統(tǒng)。二、根本操作1、登陸AD-ActiveDirectory2-1進入如下治理界面：2-2以樂山市公司為例：在樂山的只讀域控效勞器上可以看到個省公司下各地市的節(jié)點：但是只能對自己公司的節(jié)點進展維護：2-32、建組織單位〔OU〕1-3圖標開頭的均表示組織單位，OU(OrganizationalUnit，組織單位)是可以將用戶、組、計算機和其它組織單位放入其中的AD通俗一點說，假設把AD1-3圖標開頭的均表示組織單位，假設需要添加組織單位時，在需要添加的組織單位的上級節(jié)點依次點擊點擊“右2-4填寫組織單位名稱-點擊確定2-4既可在選中的組織單位節(jié)點下增組織單位。注：刪除組織單位時，要在查看中勾選高級功能2-5然后選中的組織單位屬性-對象中將“防止對象被意外刪除”前的勾去掉，才能刪除。2-62-1右側(cè)窗口中以圖標開頭的就是用戶。與建組織單位相像。對自己有2-1右側(cè)窗口中以圖標開頭的就是用戶。與建組織單位相像。對自己有2-7填寫初始密碼，點擊下一步2-8點擊完成2-9組織單位節(jié)點下增用戶2-104、調(diào)整用戶右鍵點擊用戶-屬性2-11進入用戶信息修改：2-12其中常規(guī)中號碼必填2-13選項卡中移動必填2-14單位選項卡中全部信息必填2-15注：直接下屬不需要維護這幾個選項卡是常用，并且需要留意的。5、調(diào)整計算機當用戶利用自己的帳號參與域后，在AD鍵點擊計算機可對其進展治理2-16三、ADAD-cm行工具。AD1、創(chuàng)立組織單位：(dsadd)命令格式：dsaddou<OUDN>[-desc描述][{-s效勞器|-d域}][-u用戶名][-p{密碼|*}][-q][{-uc|-uoc|-uci}]U名稱應為要創(chuàng)立的U的P確定路徑，假設DN中包含空格，應當在路徑兩端使用雙引號。yjxfinanceOU，可以執(zhí)行以下命令：C:\>dsaddouou=finance,dc=yjx,dc=com-desc“財務部“2、創(chuàng)立域用戶帳戶(dsadd)yjxmikesalesOUC:\>dsaddusercn=mike,ou=sales,dc=yjx,dc=com-samidmike-pwdbenet3.0-display“mikeyang”3、創(chuàng)立計算機帳戶(dsadd)yjxsalesOUclient-2令：C:\>dsaddcomputercn=client-2,ou=sales,dc=yjx,dc=comyjxsalesOUclient-3戶的描述信息為“測試工作站C:\>dsaddcomputercn=client-3,ou=sales,dc=yjx,dc=com-desc測試工作站4、創(chuàng)立聯(lián)系人(dsadd)命令格式：dsaddcontact<ContactDN>[-fn<FirstName>][-mi<Initial>][-ln<LastName>][-display<DisplayName>][-desc<Description>]yjxsalesOU中建立一個名為楊建的聯(lián)系人，執(zhí)行以下命令：楊建5、修改活動名目對象〔dsmod〕ADOU、用戶、組、聯(lián)系人等對象進展修改。C:\>dsmoduser/?描述:修改名目中現(xiàn)有的用戶。語法:dsmoduser<UserDN...>[-upn<UPN>][-fn<FirstName>][-mi<Initial>][-ln<LastName>][-display<DisplayName>][-fnp<firstnamephonetic>][-lnp<lastnamephonetic>][-displayp<displaynamephonetic>][-empid<EmployeeID>][-pwd{<Password>|*}][-desc<Description>][-office<Office>][-tel<Phone#>][-email<Email>][-hometel<HomePhone#>][-r<r#>][-mobile<CellPhone#>][-fax<Fax#>][-iptel<IPPhone#>][-webpg<Web>][-title<Title>][-dept<Department>][-company<Company>][-mgr<Manager>][-hmdir<HomeDir>][-hmdrv<DriveLtr>:][-profile<ProfilePath>][-loscr<ScriptPath>][-mustchpwd{yes|no}][-canchpwd{yes|no}][-reversiblepwd{yes|no}][-pwdneverexpires{yes|no}][-acctexpires<NumDays>][-disabled{yes|no}][{-s<Server>|-d<Domain>}][-u<UserName>][-p{<Password>|*}][-c][-q][{-uc|-uco|-uci}]]幾個具體用法如下：重置用戶帳戶的密碼密碼[-mustchpwd{yes|no}]下次登錄時修改此密碼啟用或禁用賬戶可區(qū)分名稱-disabled{yes|no}yesno啟用修改計算機帳戶屬性的格式為：dsmodcomputerComputerDN...[-descDescription][-locLocation][-disabled{yes|no}][-reset][{-sServer|-dDomain}][-uUserName][-p{Password|*}][-c][-q][{-uc|-uco|-uci}]重設計算機帳戶dsmodcomputerComputerDN-reset啟用或禁用計算機帳戶可區(qū)分名稱-disabled{yes|no}yesno允許登錄將計算機帳戶添加到組中dsmodgroupGroupDN-addmbrComputerDNsalesmike參與到該組中，可以執(zhí)行以下命令：銷售部dsadd成功:cn=sales,ou=sales,dc=yjx,dc=comC:\>dsmodgroupcn=sales,ou=sales,dc=yjx,dc=com-addmbrcn=mike,ou=sales,dc=yjx,dc=comdsmod成功:cn=sales,ou=sales,dc=yjx,dc=com6、其他命令〔dsquery、dsmove、dsrm〕其他的活動名目操作命令還包括dsquery、dsmove、dsrm對象的查詢、移動和刪除。salesOU中的全部用戶，可以執(zhí)行以下命令：C:\>dsqueryuserou=sales,dc=yjx,dc=com-name*“CN=mike,OU=sales,DC=yjx,DC=com““CN=user1,OU=sales,DC=yjx,DC=com““CN=user2,OU=sales,DC=yjx,DC=com“salesOU3個星期不活動的用戶，可以執(zhí)行以下命令：C:\>dsqueryuserou=sales,dc=yjx,dc=com-inactive3mikefinanceOU中，可以執(zhí)行以下命令：C:\>dsmovecn=mike,ou=sales,dc=yjx,dc=com-newparentou=finan