管理员操作手册AD域控及组策略管理51CTO下载Word文件下载.docx
《管理员操作手册AD域控及组策略管理51CTO下载Word文件下载.docx》由会员分享,可在线阅读,更多相关《管理员操作手册AD域控及组策略管理51CTO下载Word文件下载.docx(34页珍藏版)》请在冰点文库上搜索。
但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。
10)、可扩展性
在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。
因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。
11)、安全性
域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。
也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。
域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。
12)、可冗余性
每个域控制器保存和维护目录的一个副本。
在域中,你创建的每一个用户都会对应目录的一个记录。
当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。
当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。
3、ActiveDirectory(AD)活动目录的功能
活动目录(ActiveDirectory)主要提供以下功能:
1)、基础网络服务:
包括DNS、WINS、DHCP、证书服务等。
2)、服务器与客户端计算机管理:
管理服务器与客户端计算机账户,所有服务器与客户端计算机加入域管理并实施组策略。
3)、用户服务:
管理用户域账户、用户信息、企业通讯录(与电子系统集成)、用户组管理、用户身份认证、用户授权管理等,按地市实施组管理策略。
4)、资源管理:
管理打印机、文件共享服务等网络资源。
5)、桌面配置:
系统管理员可以集中的配置各种桌面配置策略,如:
界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
6)、应用系统支撑:
支持财务、人事、电子、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。
二、AD域控(DC)基本操作
1、登陆AD域控
登陆到本地市的域控服务器,依次点击“开始-管理工具-ActiveDirectory用户和计算机”,如下图:
图2-1
进入如下管理界面:
图2-2
以市公司为例:
在的只读域控服务器上可以看到个省公司下各地市的节点:
但是只能对自己公司的节点进行维护:
图2-3
2、新建组织单位(OU)
OU(OrganizationalUnit,组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。
通俗一点说,如果把AD比作一个公司的话,那么每个OU就是一个相对独立的部门。
图1-3中以
图标开头的均表示组织单位,
若需要添加组织单位时,在需要添加的组织单位的上级节点依次点击点击“右键-新建-组织单位”,如下图:
图2-4
填写组织单位名称-点击确定
既可在选中的组织单位节点下新增组织单位。
注:
删除组织单位时,要在查看中勾选高级功能
图2-5
然后选中的组织单位属性-对象中将“防止对象被意外删除”前的勾去掉,才能删除。
图2-6
3、新建用户
图2-1右侧窗口中以
图标开头的就是用户。
与新建组织单位相似。
对自己有权操作维护的组织单位点击“右键-新建-用户”,填写用户基本信息,点击下一步。
图2-7
填写初始密码,点击下一步
图2-8
点击完成
图2-9
既可在选中的组织单位节点下新增用户
图2-10
4、调整用户
右键点击用户-属性
图2-11
进入用户信息修改:
图2-12
其中常规中必填
图2-13
选项卡中移动必填
图2-14
单位选项卡中所有信息必填
图2-15
直接下属不需要维护
这几个选项卡是常用,并且需要注意的。
5、调整计算机
当用户利用自己的加入域后,在AD管理工具中就能看到登入域的计算机右键点击计算机可对其进行管理
图2-16
三、AD域控常用命令
AD域控管理命令可以用命令行的方式,依次点击“开始-运行-cmd”,打开命令行工具。
AD域控常用命令有很多,下面列举一些比较常见的例子:
1、创建组织单位:
(dsadd)
命令格式:
dsaddou<
OUDN>
[-desc描述][{-s服务器|-d域}][-u用户名][-p{密码|*}][-q][{-uc|-uoc|-uci}]
注意:
OU名称应为要创建的OU的LDAP绝对路径(DN,DistinguishedName),如果DN中包含空格,应该在路径两端使用双引号。
例如要在yjx域中建立一个名为finance的OU,可以执行以下命令:
C:
\>
dsaddouou=finance,dc=yjx,dc=-desc"
财务部"
2、创建域用户(dsadd)
dsadduser<
UserDN>
[-samid<
SAMName>
]-pwd{<
Password>
|*}–upnUPN
例如要在yjx域中建立一个名为mike的用户,该用户将位于salesOU中,其显示名称为“mikeyang”,则可以执行以下命令:
dsadduser=mike,ou=sales,dc=yjx,dc=-samidmike-pwdbenet3.0-display“mikeyang”
3、创建计算机(dsadd)
dsaddcomputer<
ComputerDN>
要在yjx域中的salesOU中建立一个名为client-2的计算机,可以执行以下命令:
dsaddcomputer=client-2,ou=sales,dc=yjx,dc=
要在yjx域中的salesOU中建立一个名为client-3的计算机,并设置计算机账户的描述信息为“测试工作站”,可以执行以下命令:
dsaddcomputer=client-3,ou=sales,dc=yjx,dc=-desc测试工作站
4、创建联系人(dsadd)
dsaddcontact<
ContactDN>
[-fn<
FirstName>
][-mi<
Initial>
][-ln<
LastName>
][-display<
DisplayName>
][-desc<
Description>
]
要在yjx域中的salesOU中建立一个名为建新的联系人,执行以下命令:
dsaddcontact=建新,ou=sales,dc=yjx,dc=-fnjianxin-lnyang-display建新
5、修改活动目录对象(dsmod)
用于修改AD对象的属性,可以对OU、用户、组、联系人等对象进行修改。
dsmoduser/?
描述:
修改目录中现有的用户。
语法:
dsmoduser<
UserDN...>
[-upn<
UPN>
][-fn<
[-mi<
[-fnp<
firstnamephonetic>
][-lnp<
lastnamephonetic>
[-displayp<
displaynamephonetic>
[-empid<
EmployeeID>
][-pwd{<
|*}]
[-desc<
][-office<
Office>
][-tel<
Phone#>
[-email<
Email>
][-hometel<
HomePhone#>
][-pager<
Pager#>
[-mobile<
CellPhone#>
][-fax<
Fax#>
][-iptel<
IPPhone#>
[-webpg<
WebPage>
][-title<
Title>
][-dept<
Department>
[-company<
Company>
][-mgr<
Manager>
][-hmdir<
HomeDir>
[-hmdrv<
DriveLtr>
:
][-profile<
ProfilePath>
[-loscr<
ScriptPath>
][-mustchpwd{yes|no}]
[-canchpwd{yes|no}][-reversiblepwd{yes|no}]
[-pwdneverexpires{yes|no}]
[-acctexpires<
NumDays>
][-disabled{yes|no}]
[{-s<
Server>
|-d<
Domain>
}][-u<
UserName>
[-p{<
|*}][-c][-q][{-uc|-uco|-uci}]]
几个具体用法如下:
重置用户的密码
dsmoduserUserDN-pwd新密码[-mustchpwd{yes|no}]下次登录时修改此密码
启用或禁用账户
dsmoduserUserDN可分辨名称-disabled{yes|no}yes禁用no启用
修改计算机属性的格式为:
dsmodcomputerComputerDN...[-descDescription][-locLocation][-disabled{yes|no}][-reset][{-sServer|-dDomain}][-uUserName][-p{Password|*}][-c][-q][{-uc|-uco|-uci}]
重设计算机
dsmodcomputerComputerDN-reset
启用或禁用计算机
dsmodcomputerComputerDN可分辨名称-disabled{yes|no}yes禁止登录no允许登录
将计算机添加到组中
dsmodgroupGroupDN-addmbrComputerDN
要创建一个sales全局组,并将用户mike加入到该组中,可以执行以下命令:
dsaddgroup=sales,ou=sales,dc=yjx,dc=-desc销售部
dsadd成功:
cn=sales,ou=sales,dc=yjx,dc=
dsmodgroup=sales,ou=sales,dc=yjx,dc=-addmbrcn=mike,ou=sales,dc=yjx,dc=
dsmod成功:
6、其他命令(dsquery、dsmove、dsrm)
其他的活动目录操作命令还包括dsquery、dsmove、dsrm等,分别用于活动目录对象的查询、移动和删除。
要查找salesOU中的所有用户,可以执行以下命令:
dsqueryuserou=sales,dc=yjx,dc=-name*
"
CN=mike,OU=sales,DC=yjx,DC="
CN=user1,OU=sales,DC=yjx,DC="
CN=user2,OU=sales,DC=yjx,DC="
要查找salesOU中已经3个星期不活动的用户,可以执行以下命令:
dsqueryuserou=sales,dc=yjx,dc=-inactive3
要将mike用户移动到financeOU中,可以执行以下命令:
dsmove=mike,ou=sales,dc=yjx,dc=-newparentou=finance,dc=yjx,dc=
dsmove成功:
cn=mike,ou=sales,dc=yjx,dc=
要删除salesOU中的用户user1,可以执行以下命令:
dsrm=user1,ou=sales,dc=yjx,dc=
您确认要删除cn=user1,ou=sales,dc=yjx,dc=吗(Y/N)?
y
dsrm成功:
cn=user1,ou=sales,dc=yjx,dc=
四、组策略管理
1、打开组策略管理器
依次点击“开始-管理工具-点击进入组策略管理”,进入组策略管理器。
如下图:
图4-1
图4-2
2、受信任的根证书办法机构组策略设置
1、启动组策略管理:
开始-管理工具-组策略管理
图4-3
2、选择拥有管理权限并需进行组策略设置的ou,右键选择创建组策略对象
图4-4
3、输入新建的GPO的名称
图4-5
4、选择新建的GPO,右键编辑
图4-6
5、在组策略管理编辑器中选择计算机配置-策略-windows设置-安全设置-公钥策略-受信任的根证书颁发机构右键选择导入
图4-7
6、选择需要导入的证书(可以利用证书管理进行导出)
7、选择受信任的根证书颁发机构
图4-8
8、点击完成,完成组策略设置
图4-9
3、IE安全与隐私组策略设置
图4-10
图4-11
图4-12
图4-13
5、在组策略管理编辑器中选择:
用户配置-策略-windows设置-InternetExplorer维护-安全,在右侧窗口中选择:
安全区域和容分级右键选择属性
图4-14
6、选择导入当前安全区域和隐私设置
图4-15
7、在弹出的IE增强的安全配置中选择继续
图4-16
8、在安全和隐私设置选项卡中单击修改设置,在弹出的Internet属性窗体中设置相应的IE安全设置,点击确定,完成组策略设置
图4-17
4、注册表项推送
图4-18
图4-19
图4-20
图4-21
图4-22
五、设置DNS转发
效能协同平台DNS服务器只负责对效能协同平台相关、Lync、Outlook等进行路由,而每台电脑DNS只可以设置一个主要DNS和一个备用DNS。
为了保证用户使用效能协同平台时可以继续访问其他站点与应用,可以在DNS上设置转发。
具体配置如下:
依次点击:
开始-管理工具-DNS,进入如下管理界面:
右键点击DNS-连接到DNS服务器,选择下列计算机输入:
LSRODC
图4-3
连接成功后右键点击LSRODC-属性
图4-4
选择转发器点击编辑
图4-5
加入需要转发的服务器地址:
图4-6
升级会员 