煙草公司管理員操作辦法

四川省煙草專賣局（公司）效能協(xié)同平臺治理員操作手冊AD域控及組策略治理版本號1.0日期:2011年6月山東浪潮齊魯軟件產(chǎn)業(yè)股份有限公司

文檔修訂記錄版本日期更改人描述0.12011-6-9孫正敏新建文檔0.22011-6-17李浩完善文檔1.02011-6-21孫正敏完善文檔

目錄一、 ActiveDirectory(AD)活動目錄簡介 41、工作組與域的區(qū)不 42、公司采納域治理的好處 43、ActiveDirectory(AD)活動目錄的功能 6二、 AD域控（DC）差不多操作 61、登陸AD域控 62、新建組織單位（OU） 83、新建用戶 104、調整用戶 115、調整計算機 14三、 AD域控常用命令 151、創(chuàng)建組織單位：(dsadd) 152、創(chuàng)建域用戶帳戶(dsadd) 153、創(chuàng)建計算機帳戶(dsadd) 154、創(chuàng)建聯(lián)系人(dsadd) 165、修改活動目錄對象（dsmod） 166、其他命令（dsquery、dsmove、dsrm） 17四、 組策略治理 191、打開組策略治理器 192、受信任的根證書方法機構組策略設置 203、IE安全及隱私組策略設置 254、注冊表項推送 30五、 設置DNS轉發(fā) 33

ActiveDirectory(AD)活動目錄簡介1、工作組與域的區(qū)不域治理與工作組治理的要緊區(qū)不在于：1）、工作組網(wǎng)實現(xiàn)的是分散的治理模式，每一臺計算機差不多上獨自自主的，用戶賬戶和權限信息保存在本機中，同時借助工作組來共享信息，共享信息的權限設置由每臺計算機操縱。在網(wǎng)上鄰居中能夠看到的工作組機的列表叫掃瞄列表是通過廣播查詢掃瞄主控服務器，由掃瞄主控服務器提供的。而域網(wǎng)實現(xiàn)的是主/從治理模式，通過一臺域操縱器來集中治理域內用戶帳號和權限，帳號信息保存在域操縱器內，共享信息分散在每臺計算機中，然而訪問權限由操縱器統(tǒng)一治理。這確實是兩者最大的不同。2）、在“域”模式下，資源的訪問有較嚴格的治理,至少有一臺服務器負責每一臺聯(lián)入網(wǎng)絡的電腦和用戶的驗證工作，相當于一個單位的門衛(wèi)一樣，稱為“域操縱器（DomainController，簡寫為DC）”。3）、域操縱器中包含了由那個域的賬戶、密碼、屬于那個域的計算機等信息構成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡時，域操縱器首先要鑒不這臺電腦是否是屬于那個域的，用戶使用的登錄賬號是否存在、密碼是否正確。假如以上信息有一樣不正確，那么域操縱器就會拒絕那個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限愛護的資源，他只能以對等網(wǎng)用戶的方式訪問Windows共享出來的資源，如此就在一定程度上愛護了網(wǎng)絡上的資源。而工作組只是進行本地電腦的信息與安全的認證。2、公司采納域治理的好處1）、方便治理,權限治理比較集中，治理人員能夠較好的治理計算機資源。2）、安全性高，有利于企業(yè)的一些保密資料的治理，比如一個文件只能讓某一個人看,或者指定人員能夠看,但不能夠刪/改/移等。3）、方便對用戶操作進行權限設置，能夠分發(fā)，指派軟件等,實現(xiàn)網(wǎng)絡內的軟件一起安裝。4）、專門多服務必須建立在域環(huán)境中，對治理員來講有好處:統(tǒng)一治理,方便在MS軟件方面集成,如ISAEXCHANGE(郵件服務器)、ISASERVER(上網(wǎng)的各種設置與治理)等。5）、使用漫游賬戶和文件夾重定向技術，個人賬戶的工作文件及數(shù)據(jù)等能夠存儲在服務器上，統(tǒng)一進行備份、治理，用戶的數(shù)據(jù)更加安全、有保障。6）、方便用戶使用各種資源。7）、SMS（SystemManagementServer）能夠分發(fā)應用程序、系統(tǒng)補丁等，用戶能夠選擇安裝，也能夠由系統(tǒng)治理員指派自動安裝。并能集中治理系統(tǒng)補丁（如WindowsUpdates），不需每臺客戶端服務器都下載同樣的補丁，從而節(jié)約大量網(wǎng)絡帶寬。8）、資源共享用戶和治理員能夠不明白他們所需要的對象的確切名稱，然而他們可能明白那個對象的一個或多個屬性，他們能夠通過查找對象的部分屬性在域中得到一個所有已知屬性相匹配的對象列表，通過域使得基于一個或者多個對象屬性來查找一個對象變得可能。9）、治理域操縱器集中治理用戶對網(wǎng)絡的訪問，如登錄、驗證、訪問目錄和共享資源。為了簡化治理，所有域中的域操縱器差不多上平等的，你能夠在任何域操縱器上進行修改，這種更新能夠復制到域中所有的其他域操縱器上。域的實施通過提供對網(wǎng)絡上所有對象的單點治理進一步簡化了治理。因為域操縱器提供了對網(wǎng)絡上所有資源的單點登錄，治理遠能夠登錄到一臺計算機來治理網(wǎng)絡中任何計算機上的治理對象。在NT網(wǎng)絡中，當用戶一次登陸一個域服務器后，就能夠訪問該域中差不多開放的全部資源，而無需對同一域進行多次登陸。但在需要共享不同域中的服務時，對每個域都必須要登陸一次，否則無法訪問未登陸域服務器中的資源或無法獲得未登陸域的服務。10）、可擴展性在活動目錄中，目錄通過將目錄組織成幾個部分存儲信息從而同意存儲大量的對象。因此，目錄能夠隨著組織的增長而一同擴展，同意用戶從一個具有幾百個對象的小的安裝環(huán)境進展成擁有幾百萬對象的大型安裝環(huán)境。11）、安全性域為用戶提供了單一的登錄過程來訪問網(wǎng)絡資源，如所有他們具有權限的文件、打印機和應用程序資源。也確實是講，用戶能夠登錄到一臺計算機來使用網(wǎng)絡上另外一臺計算機上的資源，只要用戶具有對資源的合適權限。域通過對用戶權限合適的劃分，確定了只有對特定資源有合法權限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。12）、可冗余性每個域操縱器保存和維護目錄的一個副本。在域中，你創(chuàng)建的每一個用戶帳號都會對應目錄的一個記錄。當用戶登錄到域中的計算機時，域操縱器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。當存在多個域操縱器時，他們會定期的相互復制目錄信息，域操縱器間的數(shù)據(jù)復制，促使用戶信息發(fā)生改變時（比如用戶修改了口令），能夠迅速的復制到其他的域操縱器上，如此當一臺域操縱器出現(xiàn)故障時，用戶仍然能夠通過其他的域操縱進行登錄，保障了網(wǎng)絡的順利運行。3、ActiveDirectory(AD)活動目錄的功能活動目錄(ActiveDirectory)要緊提供以下功能：1）、基礎網(wǎng)絡服務：包括DNS、WINS、DHCP、證書服務等。2）、服務器及客戶端計算機治理：治理服務器及客戶端計算機賬戶，所有服務器及客戶端計算機加入域治理并實施組策略。3）、用戶服務：治理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組治理、用戶身份認證、用戶授權治理等，按地市實施組治理策略。4）、資源治理：治理打印機、文件共享服務等網(wǎng)絡資源。5）、桌面配置：系統(tǒng)治理員能夠集中的配置各種桌面配置策略，如：界面功能的限制、應用程序執(zhí)行特征限制、網(wǎng)絡連接限制、安全配置限制等。6）、應用系統(tǒng)支撐：支持財務、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補丁治理、防病毒系統(tǒng)等各種應用系統(tǒng)。AD域控（DC）差不多操作1、登陸AD域控登陸到本地市的域控服務器，依次點擊“開始-治理工具-ActiveDirectory用戶和計算機”，如下圖：圖2-1進入如下治理界面：圖2-2以樂山市公司為例：在樂山的只讀域控服務器上能夠看到個省公司下各地市的節(jié)點：然而只能對自己公司的節(jié)點進行維護：圖2-32、新建組織單位（OU）OU(OrganizationalUnit，組織單位)是能夠將用戶、組、計算機和其它組織單位放入其中的AD容器，是能夠指派組策略設置或委派治理權限的最小作用域或單元。通俗一點講，假如把AD比作一個公司的話，那么每個OU確實是一個相對獨立的部門。圖1-3中以圖標開頭的均表示組織單位，若需要添加組織單位時，在需要添加的組織單位的上級節(jié)點依次點擊點擊“右鍵-新建-組織單位”，如下圖：圖2-4填寫組織單位名稱-點擊確定圖2-4既可在選中的組織單位節(jié)點下新增組織單位。注：刪除組織單位時，要在查看中勾選高級功能圖2-5然后選中的組織單位屬性-對象中將“防止對象被意外刪除”前的勾去掉，才能刪除。圖2-63、新建用戶圖2-1右側窗口中以圖標開頭的確實是用戶。與新建組織單位相似。對自己有權操作維護的組織單位點擊“右鍵-新建-用戶”，填寫用戶差不多信息，點擊下一步。圖2-7填寫初始密碼，點擊下一步圖2-8點擊完成圖2-9既可在選中的組織單位節(jié)點下新增用戶圖2-104、調整用戶右鍵點擊用戶-屬性圖2-11進入用戶信息修改：圖2-12其中常規(guī)中電話號碼必填圖2-13電話選項卡中移動電話必填圖2-14單位選項卡中所有信息必填圖2-15注：直接下屬不需要維護這幾個選項卡是常用，同時需要注意的。5、調整計算機當用戶利用自己的帳號加入域后，在AD治理工具中就能看到登入域的計算機右鍵點擊計算機可對其進行治理圖2-16AD域控常用命令AD域控治理命令能夠用命令行的方式，依次點擊“開始-運行-cmd”，打開命令行工具。AD域控常用命令有專門多，下面列舉一些比較常見的例子：1、創(chuàng)建組織單位：(dsadd)命令格式：dsaddou<OUDN>[-desc描述][{-s服務器|-d域}][-u用戶名][-p{密碼|*}][-q][{-uc|-uoc|-uci}]注意：OU名稱應為要創(chuàng)建的OU的LDAP絕對路徑（DN，DistinguishedName），假如DN中包含空格，應該在路徑兩端使用雙引號。例如要在域中建立一個名為finance的OU，能夠執(zhí)行以下命令：C:\>dsaddouou=finance,dc=yjx,dc=com-desc"財務部"2、創(chuàng)建域用戶帳戶(dsadd)命令格式：dsadduser<UserDN>[-samid<SAMName>]-pwd{<Password>|*}–upnUPN例如要在域中建立一個名為mike的用戶帳戶，該用戶將位于salesOU中，其顯示名稱為“mikeyang”，則能夠執(zhí)行以下命令：C:\>dsaddusercn=mike,ou=sales,dc=yjx,dc=com-samidmike-pwdbenet3.0-display“mikeyang”3、創(chuàng)建計算機帳戶(dsadd)命令格式：dsaddcomputer<ComputerDN>要在域中的salesOU中建立一個名為client-2的計算機帳戶，能夠執(zhí)行以下命令：C:\>dsaddcomputercn=client-2,ou=sales,dc=yjx,dc=com要在域中的salesOU中建立一個名為client-3的計算機帳戶，并設置計算機賬戶的描述信息為“測試工作站”，能夠執(zhí)行以下命令：C:\>dsaddcomputercn=client-3,ou=sales,dc=yjx,dc=com-desc測試工作站4、創(chuàng)建聯(lián)系人(dsadd)命令格式：dsaddcontact<ContactDN>[-fn<FirstName>][-mi<Initial>][-ln<LastName>][-display<DisplayName>][-desc<Description>]要在域中的salesOU中建立一個名為楊建新的聯(lián)系人，執(zhí)行以下命令：C:\>dsaddcontactcn=楊建新,ou=sales,dc=yjx,dc=com-fnjianxin-lnyang-display楊建新5、修改活動目錄對象（dsmod）用于修改AD對象的屬性，能夠對OU、用戶、組、聯(lián)系人等對象進行修改。C:\>dsmoduser/?描述:修改目錄中現(xiàn)有的用戶。語法:dsmoduser<UserDN...>[-upn<UPN>][-fn<FirstName>][-mi<Initial>][-ln<LastName>][-display<DisplayName>][-fnp<firstnamephonetic>][-lnp<lastnamephonetic>][-displayp<displaynamephonetic>][-empid<EmployeeID>][-pwd{<Password>|*}][-desc<Description>][-office<Office>][-tel<Phone#>][-email<Email>][-hometel<HomePhone#>][r<Pager#>][-mobile<CellPhone#>][-fax<Fax#>][-iptel<IPPhone#>][-webpg<WebPage>][-title<Title>][-dept<Department>][-company<Company>][-mgr<Manager>][-hmdir<HomeDir>][-hmdrv<DriveLtr>:][-profile<ProfilePath>][-loscr<ScriptPath>][-mustchpwd{yes|no}][-canchpwd{yes|no}][-reversiblepwd{yes|no}][-pwdneverexpires{yes|no}][-acctexpires<NumDays>][-disabled{yes|no}][{-s<Server>|-d<Domain>}][-u<UserName>][-p{<Password>|*}][-c][-q][{-uc|-uco|-uci}]]幾個具體用法如下：重置用戶帳戶的密碼dsmoduserUserDN-pwd新密碼[-mustchpwd{yes|no}]下次登錄時修改此密碼啟用或禁用賬戶dsmoduserUserDN可分辨名稱-disabled{yes|no}yes禁用no啟用修改計算機帳戶屬性的格式為：dsmodcomputerComputerDN...[-descDescription][-locLocation][-disabled{yes|no}][-reset][{-sServer|-dDomain}][-uUserName][-p{Password|*}][-c][-q][{-uc|-uco|-uci}]重設計算機帳戶dsmodcomputerComputerDN-reset啟用或禁用計算機帳戶dsmodcomputerComputerDN可分辨名稱-disabled{yes|no}yes禁止登錄no同意登錄將計算機帳戶添加到組中dsmodgroupGroupDN-addmbrComputerDN要創(chuàng)建一個sales全局組，并將用戶mike加入到該組中，能夠執(zhí)行以下命令：C:\>dsaddgroupcn=sales,ou=sales,dc=yjx,dc=com-desc銷售部dsadd成功:cn=sales,ou=sales,dc=yjx,dc=comC:\>dsmodgroupcn=sales,ou=sales,dc=yjx,dc=com-addmbrcn=mike,ou=sales,dc=yjx,dc=comdsmod成功:cn=sales,ou=sales,dc=yjx,dc=com6、其他命令（dsquery、dsmove、dsrm）其他的活動目錄操作命令還包括dsquery、dsmove、dsrm等，分不用于活動目錄對象的查詢、移動和刪除。要查找salesOU中的所有用戶，能夠執(zhí)行以下命令：C:\>dsqueryuserou=sales,dc=yjx,dc=com-name*"CN=mike,OU=sales,DC=yjx,DC=com""CN=user1,OU=sales,DC=yjx,DC=com""CN=user2,OU=sales,DC=yjx,DC=com"要查找salesOU中差不多3個星期不活動的用戶，能夠執(zhí)行以下命令：C:\>dsqueryuserou=sales,dc=yjx,dc=com-inactive3要將mike用戶移動到financeOU中，能夠執(zhí)行以下命令：C:\>dsmovecn=mike,ou=sales,dc=yjx,dc=com-newparentou=finance,dc=yjx,dc=comdsmove成功:cn=mike,ou=sales,dc=yjx,dc=com要刪除salesOU中的用戶user1，能夠執(zhí)行以下命令：C:\>dsrmcn=user1,ou=sales,dc=yjx,dc=com您確認要刪除cn=user1,ou=sales,dc=yjx,dc=com嗎(Y/N)?ydsrm成功:cn=user1,ou=sales,dc=yjx,dc=com

組策略治理1、打開組策略治理器依次點擊“開始-治理工具-點擊進入組策略治理”，進入組策略治理器。如下圖：圖4-1圖4-22、受信任的根證書方法機構組策略設置啟動組策略治理：開始-治理工具-組策略治理圖4