第1页 / 共64页
第2页 / 共64页
第3页 / 共64页
第4页 / 共64页
第5页 / 共64页
第6页 / 共64页
第7页 / 共64页
第8页 / 共64页
AD域管理员手册.doc
第一章 AD域概述
1.1 AD的逻辑结构
1.2 AD的物理结构
1.3 WIN2003 AD新特性
第二章 AD域的安装和卸载
2.1 安装WIN2003 AD
2.2 确认AD的安装
2.2.1 默认容器
2.2.2 Active Directory 数据库
2.2.3 根域验证
2.2.4 DNS
2.3 自动卸载WIN2003 AD
2.4 手动卸载WIN2003 AD
第三章 基本配置
3.1 划分OU
3.2 站点管理
3.3 建立域间信任
3.4 防病毒软件排除
3.5客户端计算机加入域
第四章 备份与恢复
4.1 备份AD
4.2 AD灾难恢复流程
4.2.1灾难类型
4.2.2恢复方法
4.2.3恢复流程
4.3 非权威恢复与权威恢复
4.3.1非权威恢复
4.3.2权威恢复
4.4 非权威恢复具体操作
4.5 权威恢复恢复具体操作
4.6 AD操作主机转移
4.7 还原模式密码更改
4.8 恢复Active Director
4.8.1 环境分析
4.8.2 从AD中清除主域控制器对象
4.8.3 在额外域控制器上通过ntdsutil.exe工具夺取五种FMSO操作
4.8.4 设置额外控制(bdc.gptri.com)为GC(全局编录)
4.8.5 重新安装并恢复损坏主域控制器
4.8 备份与恢复DHCP
第五章 组策略
5.1组策略概念
5.2 GPMC
5.3常用组策略
5.3.1禁止客户端退出域
5.3.2 修改软件安装的选项
5.3.3修改硬件驱动安装的选项
5.3.4开放WINXP防火墙端口
第六章 常用脚本
6.1管理员密码修改脚本
6.2用户导出脚本
6.3用户自动加入域
6.4将密码设置为从不过期
6.5创建 1,000 个用户帐户
6.6用户帐户属性
6.7用户帐户添加模版
附录
附录一:实施环境准备参考表
目录
第一章 AD 域概述............................................................................................................................3
1.1 AD 的逻辑结构........................................................................................................................3
1.2 AD 的物理结构........................................................................................................................4
1.3 WIN2003 AD 新特性...............................................................................................................5
第二章 AD 域的安装和卸载........................................................................................................... 7
2.1 安装 WIN2003 AD .................................................................................................................. 7
2.2 确认 AD 的安装 ....................................................................................................................13
2.2.1 默认容器 ........................................................................................................................ 14
2.2.2 Active Directory 数据库................................................................................................ 14
2.2.3 根域验证 ........................................................................................................................ 14
2.2.4 DNS................................................................................................................................. 15
2.3 自动卸载 WIN2003 AD ........................................................................................................15
2.4 手动卸载 WIN2003 AD ........................................................................................................16
第三章 基本配置............................................................................................................................ 22
3.1 划分 OU .................................................................................................................................22
3.2 站点管理 ................................................................................................................................24
3.3 建立域间信任 ........................................................................................................................26
3.4 防病毒软件排除 ....................................................................................................................27
3.5 客户端计算机加入域 ............................................................................................................ 28
第四章 备份与恢复........................................................................................................................ 31
4.1 备份 AD .................................................................................................................................31
4.2 AD 灾难恢复流程 ..................................................................................................................33
4.2.1 灾难类型 ......................................................................................................................... 33
4.2.2 恢复方法 ......................................................................................................................... 33
4.2.3 恢复流程 ......................................................................................................................... 34
4.3 非权威恢复与权威恢复 ........................................................................................................37
4.3.1 非权威恢复 ..................................................................................................................... 38
4.3.2 权威恢复 ......................................................................................................................... 38
4.4 非权威恢复具体操作 ............................................................................................................39
4.5 权威恢复恢复具体操作 ........................................................................................................40
4.6 AD 操作主机转移 ............................................................................................................... 40
4.7 还原模式密码更改 ................................................................................................................45
4.8 恢复 ACTIVE DIRECTOR.........................................................................................................45
4.8.1 环境分析 ........................................................................................................................ 45
4.8.2 从 AD 中清除主域控制器对象 .................................................................................... 46
4.8.3 在额外域控制器上通过 ntdsutil.exe 工具夺取五种FMSO操作 ...........................48
4.8.4 设置额外控制(bdc.gptri.com)为GC(全局编录) ............................................. 50
4.8.5 重新安装并恢复损坏主域控制器 ................................................................................50
4.8 备份与恢复 DHCP................................................................................................................50
第五章 组策略................................................................................................................................ 51
5.1 组策略概念 ............................................................................................................................ 51
5.2 GPMC ..................................................................................................................................... 51
5.3 常用组策略 ............................................................................................................................ 52
5.3.1 禁止客户端退出域 ......................................................................................................... 52
5.3.2 修改软件安装的选项 .................................................................................................... 54
5.3.3 修改硬件驱动安装的选项 .............................................................................................55
5.3.4 开放 WINXP 防火墙端口..............................................................................................56
第六章 常用脚本............................................................................................................................ 57
6.1 管理员密码修改脚本 ............................................................................................................ 57
6.2 用户导出脚本 ........................................................................................................................ 57
6.3 用户自动加入域 .................................................................................................................... 58
6.4 将密码设置为从不过期 ........................................................................................................ 60
6.5 创建 1,000 个用户帐户........................................................................................................60
6.6 用户帐户属性 ........................................................................................................................ 61
6.7 用户帐户添加模版 ................................................................................................................ 62
附录...................................................................................................................................................63
附录一:实施环境准备参考表 ..................................................................................................63
第 2页,共 64页
第一章 AD 域概述
目录服务是一种分布式数据库,用于存储与网络资源有关的信息,以便于查
找和管理。Microsoft Active Directory 是用于 Windows 目录服务的实现。涉及
目录服务的基本问题围绕着可以将哪些信息存储在数据库中,存储的方式是什
么,如何查询特定的信息,以及如何对结果进行处理。Active Directory 包含目
录服务本身,以及允许访问支持 X.500 命名规则的数据库的从属服务
活动目录服务提供了单一登录的能力并且为你的整个网络架构提供了一个
集中的信息知识库,它大大的简化了用户和计算机的管理并且提供了网络资源的
更好的访问方式。
1.1 AD 的逻辑结构
网络的逻辑结构是由无形的项目组成的,如对象、OU、域、目录树和目录林。
Active Directory 的基本结构块是对象,这是一个代表网络资源的已命名
特定属性集。对象属性是目录中对象的特征。对象也可以按类进行分组,类是对
象的逻辑分组。用户、组和计算机是不同对象类的例子。
在最低一层,某些对象代表网络上的单个实体,如用户或计算机。这些实体
称为叶对象,它们不能包含其它对象。但是,为了简化目录的管理和组织,可以
第 3页,共 64页
将叶对象放在其它对象(称为容器对象)内部。容器对象也可以采用嵌套(或层
次)形式包含其它容器。
容器对象最常用的类型是组织单元 (OU)。可以使用 OU 将对象进行分类,
并将域变成某种类型的逻辑管理分组。尤其要注意的是,域中 OU 的结构和层次
与任何其它域的结构无关。
所有网络对象只能在一个域中存在(无论是叶对象还是容器对象)。为反映
组织网络的特点,可以使用域将相关对象分成一组。每个创建的域仅存储所包含
对象的信息,而不存储其它对象的信息。每个域表示一个安全边界。对每个域中
对象的访问是由访问控制项 (ACE) 控制的,后者包含在访问控制列表 (ACL)
中。这些安全设置并不跨越域边界。在 Active Directory 中,域也可以称为“分
区”。因为域是 Active Directory 数据库的物理分区,所以您既可以按照业务
功能(人力资源、销售或财务),也可以按照位置(地理或相对)建立其结构。
当将相关域分成一组以便共享全局资源时,您就创建了“目录树”。尽管目
录树可以只包含一个域,但是您可以将层次结构中相同名称空间的多个域合并在
一起。可以使用基于 Kerberos 的安全功能,通过双向信任关系将目录树中的域
透明地连接在一起。这些信任关系可以是永久性的,也可以是暂时的。
目录树中的所有域共享所有对象类型的正式定义(称为“架构”)。此外,任
何给定目录树中的所有域还共享全局编录 。GC 是目录树中对象的中央储存库。
在最高一级,可以将单独的目录树分成一组形成“目录林”。可使用目录林,
将组织中的不同部门,甚至不同组织组合到一起。这些部门不必共享相同的命名
架构并且独立运作,但彼此之间可以进行通信。目录林中的所有目录树共享相同
的架构、全局编录和配置容器。再者,基于 Kerberos 的安全功能在目录树之间
提供了信任关系。
1.2 AD 的物理结构
AD 域的物理结构主要由两大部分组成:域控制器以及站点
域控制器就是存储活动目录的地方,一个域可以有一个或几个域控制器。在
域中,各域控制器相互复制活动目录的改变,在目录林中,各域控制器相互之间
第 4页,共 64页
也把信息自动复制给对方。
站点(Site)是由一个或多个 IP 子网中的一组计算机,确保目录信息的有效交
换,站点中的计算机需要很好地连接,尤其是子网内的计算机。站点和域名称空
间之间没有必要的连接。站点反映网络的物理结构,而域通常反映用户单位的逻
辑结构。逻辑结构和物理结构相互独立,所以网络的物理结构及其域结构之间没
有必要的相关性,活动目录允许单个站点中有多个域,单个域中有多个站点。
如果配置方案未组织成站点,则域和客户之间的信息交换可能非常混乱。站
点能提高网络使用的效率。
1.3 WIN2003 AD 新特性
Windows Server 2003 对于活动目录进行了许多的改善,使得它功能更强
大,更可靠也更经济。Windows Server 2003 中的活动目录提供了如下特性:
更易于部署和管理
Windows Server 2003 增强了管理员的能力以使其即使在包含多个森林、域
及站点的大企业中也能有效的配置和管理活动目录。改进的迁移和管理工具连同
重命名域的功能,使得部署活动目录任务明显简化。工具也提供了更加人性化的
拖曳、多对象的选择以及保存和重用查询的功能。另外对组策略进行了改进以使
其能够被更加简单和有效地在活动目录环境中对大量用户和计算机进行管理。
ADMT 2.0 版本
重命名域
架构(Schema)重定义
活动目录应用模式(AD/AM)
组策略的改进
增强的用户界面
更加安全
第 5页,共 64页
额外的安全特性使得管理多森林和跨域信任关系更加容易。跨森林的信任关
系是有别于现有 Windows 信任关系的新类型,它可以管理两个森林间的安全关
系——大大简化了跨森林的安全管理以及验证。用户可以在不用牺牲单一登录功
能的情况下,访问其他森林的资源,并且由于只需在用户所在的森林中维护它的
用户 ID 和口令,因此管理也被大大的简化了。这对于一些需要在某些分公司或
区域拥有自己森林的场景提供了更好的灵活性,同时也有利于对活动目录的维
护。此外,Windows Server 2003 提供了一个新的凭证管理器来放置用户的凭证
以及 X.509 证书。软件控制策略使得管理员可以阻止用户在网络中安装不被允许
的程序。
跨森林验证
跨森林授权
交叉认证的增强(Cross-Certification)
IAS 和跨森林验证
凭证管理器(Credential Manager)
软件限制策略
改进的性能与可靠性
Windows Server 2003 能够更加有效的管理活动目录的复制与同步。不管是
在域内还是在域间管理员都可以更好地控制需要在域控制器间进行同步的信息
类型。此外,活动目录提供了许多技术可以智能地选择只将那些发生了更改的信
息进行复制,而不是机械地复制整个目录数据库。
在远程办公室更容易登录
组成员列表复制的增强
应用程序目录分区
利用媒介安装副本
可靠性的改善
第 6页,共 64页
第二章 AD 域的安装和卸载
2.1 安装 WIN2003 AD
所有的新安装都是安装成为 Member Server,如果您在新安装 WIN2003
SERVER 时选择安装了“活动目录”选项,则系统就会出现类似于“如果您此时安
装活动目录则系统中的所有域名就不能再次改变……”之类的提示。一般情况下
我们在新安装系统时不选择安装活动目录,以便我们有时间来具体规划与活动目
录有关的协议和系统结构。目录服务都需要事后用 Dcpromo 的命令特别安装。
Dcpromo 是一个图形化的向导程序,引导用户一步一步地建立域控制器,可以新
建一个域森林,一棵域树,或者仅仅是域控制器的另一个备份,非常方便。很多
其他的网络服务,比如 DNS Server、DHCP Server 和 Certificate Server 等,都可
以在以后与活动目录集成安装,便于实施策略管理等。这个图形化界面向导程序
也没有什么特别之处,只要我们在前面理解好了活动目录的含义,并进行了安装
前的一系列规划,则可以很容易完成所有的安装任务。
活动目录还充分地考虑到了备份和恢复目录服务的需要,WIN2K 备份工具
中有专门备份活动目录的选项,在出现意外事故的时候,可以在机器启动时按
F8 进入安全恢复模式,保证减少灾难的恶性影响。
第 7页,共 64页
1、在“运行”菜单内键入“Dcpromo”,系统自动出现如下菜单:
2、单击“下一步”按钮,打开“域控制器类型”对话框,选择“新域的域控制器”
单选按钮,使服务器成为新域中的第一个域控制器。如果网上已有域控制器,
可选择“现有域的额外域控制器”单选按钮。
第 8页,共 64页
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
