管理員操作手冊-AD域控及組策略管理

..>--.--考試資料.AD域控及組策略管理目錄一、ActiveDirectory(AD)活動目錄簡介21、工作組與域的區(qū)別22、公司采用域管理的好處23、ActiveDirectory(AD)活動目錄的功能3二、AD域控〔DC〕根本操作31、登陸AD域控32、新建組織單位〔OU〕33、新建用戶34、調(diào)整用戶35、調(diào)整計算機(jī)3三、AD域控常用命令31、創(chuàng)立組織單位：(dsadd)32、創(chuàng)立域用戶帳戶(dsadd)33、創(chuàng)立計算機(jī)帳戶(dsadd)34、創(chuàng)立聯(lián)系人(dsadd)35、修改活動目錄對象〔dsmod〕36、其他命令〔dsquery、dsmove、dsrm〕3四、組策略管理31、翻開組策略管理器32、受信任的根證書方法機(jī)構(gòu)組策略設(shè)置33、IE平安及隱私組策略設(shè)置34、注冊表項推送3五、設(shè)置DNS轉(zhuǎn)發(fā)3ActiveDirectory(AD)活動目錄簡介1、工作組與域的區(qū)別域管理與工作組管理的主要區(qū)別在于：1〕、工作組網(wǎng)實現(xiàn)的是分散的管理模式，每一臺計算機(jī)都是單單獨主的，用戶賬戶和權(quán)限信息保存在本機(jī)中，同時借助工作組來共享信息，共享信息的權(quán)限設(shè)置由每臺計算機(jī)控制。在網(wǎng)上鄰居中能夠看到的工作組機(jī)的列表叫瀏覽列表是通過播送查詢?yōu)g覽主控效勞器，由瀏覽主控效勞器提供的。而域網(wǎng)實現(xiàn)的是主/從管理模式，通過一臺域控制器來集中管理域內(nèi)用戶帳號和權(quán)限，帳號信息保存在域控制器內(nèi)，共享信息分散在每臺計算機(jī)中，但是訪問權(quán)限由控制器統(tǒng)一管理。這就是兩者最大的不同。2〕、在"域〞模式下，資源的訪問有較嚴(yán)格的管理,至少有一臺效勞器負(fù)責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作，相當(dāng)于一個單位的門衛(wèi)一樣，稱為"域控制器〔DomainController，簡寫為DC〕〞。3〕、域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，則域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問效勞器上有權(quán)限保護(hù)的資源，他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。而工作組只是進(jìn)展本地電腦的信息與平安的認(rèn)證。2、公司采用域管理的好處1〕、方便管理,權(quán)限管理比較集中，管理人員可以較好的管理計算機(jī)資源。2〕、平安性高，有利于企業(yè)的一些保密資料的管理，比方一個文件只能讓*一個人看,或者指定人員可以看,但不可以刪/改/移等。3〕、方便對用戶操作進(jìn)展權(quán)限設(shè)置，可以分發(fā)，指派軟件等,實現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝。4〕、很多效勞必須建立在域環(huán)境中，對管理員來說有好處:統(tǒng)一管理,方便在MS軟件方面集成,如ISAE*CHANGE(郵件效勞器)、ISASERVER(上網(wǎng)的各種設(shè)置與管理)等。5〕、使用漫游賬戶和文件夾重定向技術(shù)，個人賬戶的工作文件及數(shù)據(jù)等可以存儲在效勞器上，統(tǒng)一進(jìn)展備份、管理，用戶的數(shù)據(jù)更加平安、有保障。6〕、方便用戶使用各種資源。7〕、SMS〔SystemManagementServer〕能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動安裝。并能集中管理系統(tǒng)補(bǔ)丁〔如WindowsUpdates〕，不需每臺客戶端效勞器都下載同樣的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。8〕、資源共享用戶和管理員可以不知道他們所需要的對象確實切名稱，但是他們可能知道這個對象的一個或多個屬性，他們可以通過查找對象的局部屬性在域中得到一個所有屬性相匹配的對象列表，通過域使得基于一個或者多個對象屬性來查找一個對象變得可能。9〕、管理域控制器集中管理用戶對網(wǎng)絡(luò)的訪問，如登錄、驗證、訪問目錄和共享資源。為了簡化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上進(jìn)展修改，這種更新可以復(fù)制到域中所有的其他域控制器上。域的實施通過提供對網(wǎng)絡(luò)上所有對象的單點管理進(jìn)一步簡化了管理。因為域控制器提供了對網(wǎng)絡(luò)上所有資源的單點登錄，管理遠(yuǎn)可以登錄到一臺計算機(jī)來管理網(wǎng)絡(luò)中任何計算機(jī)上的管理對象。在NT網(wǎng)絡(luò)中，當(dāng)用戶一次登陸一個域效勞器后，就可以訪問該域中已經(jīng)開放的全部資源，而無需對同一域進(jìn)展屢次登陸。但在需要共享不同域中的效勞時，對每個域都必須要登陸一次，否則無法訪問未登陸域效勞器中的資源或無法獲得未登陸域的效勞。10〕、可擴(kuò)展性在活動目錄中，目錄通過將目錄組織成幾個局部存儲信息從而允許存儲大量的對象。因此，目錄可以隨著組織的增長而一同擴(kuò)展，允許用戶從一個具有幾百個對象的小的安裝環(huán)境開展成擁有幾百萬對象的大型安裝環(huán)境。11〕、平安性域為用戶提供了單一的登錄過程來訪問網(wǎng)絡(luò)資源，如所有他們具有權(quán)限的文件、打印機(jī)和應(yīng)用程序資源。也就是說，用戶可以登錄到一臺計算機(jī)來使用網(wǎng)絡(luò)上另外一臺計算機(jī)上的資源，只要用戶具有對資源的適宜權(quán)限。域通過對用戶權(quán)限適宜的劃分，確定了只有對特定資源有合法權(quán)限的用戶才能使用該資源，從而保障了資源使用的合法性和平安性。12〕、可冗余性每個域控制器保存和維護(hù)目錄的一個副本。在域中，你創(chuàng)立的每一個用戶帳號都會對應(yīng)目錄的一個記錄。當(dāng)用戶登錄到域中的計算機(jī)時，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。當(dāng)存在多個域控制器時，他們會定期的相互復(fù)制目錄信息，域控制器間的數(shù)據(jù)復(fù)制，促使用戶信息發(fā)生改變時〔比方用戶修改了口令〕，可以迅速的復(fù)制到其他的域控制器上，這樣當(dāng)一臺域控制器出現(xiàn)故障時，用戶仍然可以通過其他的域控制進(jìn)展登錄，保障了網(wǎng)絡(luò)的順利運行。3、ActiveDirectory(AD)活動目錄的功能活動目錄(ActiveDirectory)主要提供以下功能：1〕、根底網(wǎng)絡(luò)效勞：包括DNS、WINS、DHCP、證書效勞等。2〕、效勞器及客戶端計算機(jī)管理：管理效勞器及客戶端計算機(jī)賬戶，所有效勞器及客戶端計算機(jī)參加域管理并實施組策略。3〕、用戶效勞：管理用戶域賬戶、用戶信息、企業(yè)通訊錄〔與電子郵件系統(tǒng)集成〕、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按地市實施組管理策略。4〕、資源管理：管理打印機(jī)、文件共享效勞等網(wǎng)絡(luò)資源。5〕、桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、平安配置限制等。6〕、應(yīng)用系統(tǒng)支撐：支持財務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補(bǔ)丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。AD域控〔DC〕根本操作1、登陸AD域控登陸到本地市的域控效勞器，依次點擊"開場-管理工具-ActiveDirectory用戶和計算機(jī)〞，如以下列圖：圖2-1進(jìn)入如下管理界面：圖2-2以樂山市公司為例：在樂山的只讀域控效勞器上可以看到個省公司下各地市的節(jié)點：但是只能對自己公司的節(jié)點進(jìn)展維護(hù)：圖2-32、新建組織單位〔OU〕OU(OrganizationalUnit，組織單位)是可以將用戶、組、計算機(jī)和其它組織單位放入其中的AD容器，是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單元。通俗一點說，如果把AD比作一個公司的話，則每個OU就是一個相對獨立的部門。圖1-3中以圖標(biāo)開頭的均表示組織單位，假設(shè)需要添加組織單位時，在需要添加的組織單位的上級節(jié)點依次點擊點擊"右鍵-新建-組織單位〞，如以下列圖：圖2-4填寫組織單位名稱-點擊確定圖2-4既可在選中的組織單位節(jié)點下新增組織單位。注：刪除組織單位時，要在查看中勾選高級功能圖2-5然后選中的組織單位屬性-對象中將"防止對象被意外刪除〞前的勾去掉，才能刪除。圖2-63、新建用戶圖2-1右側(cè)窗口中以圖標(biāo)開頭的就是用戶。與新建組織單位相似。對自己有權(quán)操作維護(hù)的組織單位點擊"右鍵-新建-用戶〞，填寫用戶根本信息，點擊下一步。圖2-7填寫初始密碼，點擊下一步圖2-8點擊完成圖2-9既可在選中的組織單位節(jié)點下新增用戶圖2-104、調(diào)整用戶右鍵點擊用戶-屬性圖2-11進(jìn)入用戶信息修改：圖2-12其中常規(guī)中號碼必填圖2-13選項卡中移動必填圖2-14單位選項卡中所有信息必填圖2-15注：直接下屬不需要維護(hù)這幾個選項卡是常用，并且需要注意的。5、調(diào)整計算機(jī)當(dāng)用戶利用自己的帳號參加域后，在AD管理工具中就能看到登入域的計算機(jī)右鍵點擊計算機(jī)可對其進(jìn)展管理圖2-16AD域控常用命令A(yù)D域控管理命令可以用命令行的方式，依次點擊"開場-運行-cmd〞，翻開命令行工具。AD域控常用命令有很多，下面列舉一些比較常見的例子：1、創(chuàng)立組織單位：(dsadd)命令格式：dsaddou<OUDN>[-desc描述][{-s效勞器|-d域}][-u用戶名][-p{密碼|*}][-q][{-uc|-uoc|-uci}]注意：OU名稱應(yīng)為要創(chuàng)立的OU的LDAP絕對路徑〔DN，DistinguishedName〕，如果DN中包含空格，應(yīng)該在路徑兩端使用雙引號。例如要在yj*域中建立一個名為finance的OU，可以執(zhí)行以下命令：C:\>dsaddouou=finance,dc=yj*,dc=-desc"財務(wù)部"2、創(chuàng)立域用戶帳戶(dsadd)命令格式：dsadduser<UserDN>[-samid<SAMName>]-pwd{<Password>|*}–upnUPN例如要在yj*域中建立一個名為mike的用戶帳戶，該用戶將位于salesOU中，其顯示名稱為"mikeyang〞，則可以執(zhí)行以下命令：C:\>dsadduser=mike,ou=sales,dc=yj*,dc=-samidmike-pwdbenet3.0-display"mikeyang〞3、創(chuàng)立計算機(jī)帳戶(dsadd)命令格式：dsaddcomputer<ComputerDN>要在yj*域中的salesOU中建立一個名為client-2的計算機(jī)帳戶，可以執(zhí)行以下命令：C:\>dsaddcomputer=client-2,ou=sales,dc=yj*,dc=要在yj*域中的salesOU中建立一個名為client-3的計算機(jī)帳戶，并設(shè)置計算機(jī)賬戶的描述信息為"測試工作站〞，可以執(zhí)行以下命令：C:\>dsaddcomputer=client-3,ou=sales,dc=yj*,dc=-desc測試工作站4、創(chuàng)立聯(lián)系人(dsadd)命令格式：dsaddcontact<ContactDN>[-fn<FirstName>][-mi<Initial>][-ln<LastName>][-display<DisplayName>][-desc<Description>]要在yj*域中的salesOU中建立一個名為楊建新的聯(lián)系人，執(zhí)行以下命令：C:\>dsaddcontact=楊建新,ou=sales,dc=yj*,dc=-fnjian*in-lnyang-display楊建新5、修改活動目錄對象〔dsmod〕用于修改AD對象的屬性，可以對OU、用戶、組、聯(lián)系人等對象進(jìn)展修改。C:\>dsmoduser/"描述:修改目錄中現(xiàn)有的用戶。語法:dsmoduser<UserDN...>[-upn<UPN>][-fn<FirstName>][-mi<Initial>][-ln<LastName>][-display<DisplayName>][-fnp<firstnamephonetic>][-lnp<lastnamephonetic>][-displayp<displaynamephonetic>][-empid<EmployeeID>][-pwd{<Password>|*}][-desc<Description>][-office<Office>][-tel<Phone#>][-email<Email>][-hometel<HomePhone#>][r<Pager#>][-mobile<CellPhone#>][-fa*<Fa*#>][-iptel<IPPhone#>][-webpg<WebPage>][-title<Title>][-dept<Department>][-company<Company>][-mgr<Manager>][-hmdir<HomeDir>][-hmdrv<DriveLtr>:][-profile<ProfilePath>][-loscr<ScriptPath>][-mustchpwd{yes|no}][-canchpwd{yes|no}][-reversiblepwd{yes|no}][-pwdnevere*pires{yes|no}][-accte*pires<NumDays>][-disabled{yes|no}][{-s<Server>|-d<Domain>}][-u<UserName>][-p{<Password>|*}][-c][-q][{-uc|-uco|-uci}]]幾個具體用法如下：重置用戶帳戶的密碼dsmoduserUserDN-pwd新密碼[-mustchpwd{yes|no}]下次登錄時修改此密碼啟用或禁用賬戶dsmoduserUserDN可分辨名稱-disabled{yes|no}yes禁用no啟用修改計算機(jī)帳戶屬性的格式為：dsmodcomputerComputerDN...[-descDescription][-locLocation][-disabled{yes|no}][-reset][{-sServer|-dDomain}][-uUserName][-p{Password|*}][-c][-q][{-uc|-uco|-uci}]重設(shè)計算機(jī)帳戶dsmodcomputerComputerDN-reset啟用或禁用計算機(jī)帳戶dsmodcomputerComputerDN可分辨名稱-disabled{yes|no}yes制止登錄no允許登錄將計算機(jī)帳戶添加到組中dsmodgroupGroupDN-addmbrComputerDN要創(chuàng)立一個sales全局組，并將用戶mike參加到該組中，可以執(zhí)行以下命令：C:\>dsaddgroup=sales,ou=sales,dc=yj*,dc=-desc銷售部dsadd成功:cn=sales,ou=sales,dc=yj*,dc=C:\>dsmodgroup=sales,ou=sales,dc=yj*,dc=-addmbrcn=mike,ou=sales,dc=yj*,dc=dsmod成功:cn=sales,ou=sales,dc=yj*,dc=6、其他命令〔dsquery、dsmove、dsrm〕其他的活動目錄操作命令還包括dsquery、dsmove、dsrm等，分別用于活動目錄對象的查詢、移動和刪除。要查找salesOU中的所有用戶，可以執(zhí)行以下命令：C:\>dsqueryuserou=sales,dc=yj*,dc=-name*"CN=mike,OU=sales,DC=yj*,DC=""CN=user1,OU=sales,DC=yj*,DC=""CN=user2,OU=sales,DC=yj*,DC="要查找salesOU中已經(jīng)3個星期不活動的用戶，可以執(zhí)行以下命令：C:\>dsqueryuserou=sales,dc=yj*,dc=-inactive3要將mike用戶移動到financeOU中，可以執(zhí)行以下命令：C:\>dsmove=mike,ou=sales,dc=yj*,dc=-newparentou=finance,dc=yj*,dc=dsmove成功:cn=mike,ou=sales,dc=yj*,dc=要刪除salesOU中的用戶user1，可以執(zhí)行以下命令：C:\>dsrm=user1,ou=sales,dc=yj*,dc=您確認(rèn)要刪除cn=user1,ou=sales,dc=yj*,dc=嗎(Y/N)"ydsrm成功:cn=user1,ou=sales,dc=yj*,dc=組策略管理1、翻開組策略管理器依次點擊"開場-管理工具-點擊進(jìn)入組策略管理〞，進(jìn)入組策略管理器。如以下列圖：圖4-1圖4-22、受信任的根證書方法機(jī)構(gòu)組策略設(shè)置啟動組策略管理：開場-管理工具