Windows Server 2022活動目錄管理實踐( 第2版 微課版)-課件全套 郝昆 項目1-27 了解活動目錄- 活動目錄的備份與還原

項目1了解活動目錄活動目錄概念活動目錄結(jié)構(gòu)活動目錄功能目錄活動目錄概念活動目錄概念活動目錄（ActiveDirectory，AD）是一種集中式目錄管理服務(wù)，內(nèi)置于WindowsServer產(chǎn)品中，可以通過多種方式進(jìn)行安裝和配置，用于集中管理企業(yè)內(nèi)Windows操作系統(tǒng)中的各類資源，如用戶、計算機、打印機、應(yīng)用程序等，并且提供了用戶身份認(rèn)證和授權(quán)等功能，是Windows操作系統(tǒng)不可或缺的一部分?；顒幽夸浗Y(jié)構(gòu)與功能活動目錄結(jié)構(gòu)與功能活動目錄（ActiveDirectory，簡稱AD）的結(jié)構(gòu)可以分為邏輯結(jié)構(gòu)物理結(jié)構(gòu)這兩部分分別包含不同的對象，并服務(wù)于不同的管理需求。活動目錄結(jié)構(gòu)與功能1、邏輯結(jié)構(gòu)（1）域（Domain）：域是Windows2000及更高版本目錄服務(wù)的基本管理單位，是活動目錄的核心單元，是賬戶和網(wǎng)絡(luò)資源的集合。其最大好處在于其單一網(wǎng)絡(luò)登錄能力，即用戶只需在域中有一個賬戶，就可以漫游整個網(wǎng)絡(luò)，訪問域內(nèi)的資源。此外，域還是安全的邊界，缺省情況下，一個域的管理員只能管理他自己的域，若需管理其他域，則需專門授權(quán)。域活動目錄結(jié)構(gòu)與功能1、邏輯結(jié)構(gòu)（2）組織單元（OrganizationalUnits,OU）：OU是域下面的容器對象，用于組織對活動目錄對象的管理，是Windows2000及更高版本中最小的管理單元。OU可用來匹配一個企業(yè)的實際組織結(jié)構(gòu)，域的管理員可以指定某個用戶去管理某個OU。OU也可以像域一樣做成樹狀的結(jié)構(gòu)，即OU下面還可以有OU。使用OU可取代WindowsNT4.0的多域網(wǎng)絡(luò)。

組織單元財務(wù)部銷售部……活動目錄結(jié)構(gòu)與功能1、邏輯結(jié)構(gòu)（3）域樹（Tree）：一個域可以是其他域的子域或父域，多個域就構(gòu)成一棵“樹”，稱為域樹。如果創(chuàng)建的新域是已存在域的子域，那么多個域就有連續(xù)的DNS域名。域樹中的第一個域稱為根域（root）。域樹中的每個域共享相同的配置、對象和全局目錄，具有相同的DNS域名后綴，從而實現(xiàn)了連續(xù)的域名空間。域樹活動目錄結(jié)構(gòu)與功能1、邏輯結(jié)構(gòu)（4）域林（Forest）：多個域樹構(gòu)成域林。域林中的域樹不形成連續(xù)的域名空間，每個域樹可以有獨立的DNS名稱。域林中的所有域樹共享一個普通架構(gòu)和全局目錄，但每個域樹可以有自己獨立的DNS名稱和配置。林活動目錄結(jié)構(gòu)與功能2、物理結(jié)構(gòu)：（1）域控制器（DomainController,DC）：安裝了活動目錄的計算機被稱為域控制器。域控制器負(fù)責(zé)存儲和管理域內(nèi)的所有目錄信息，并處理來自客戶端的認(rèn)證和授權(quán)請求。域控制器是活動目錄物理結(jié)構(gòu)的核心，它確保了目錄信息的可用性和一致性。當(dāng)某個域控制器的活動目錄數(shù)據(jù)庫修改以后，會將此修改復(fù)制到其他所有域控制器，以保持?jǐn)?shù)據(jù)的同步。活動目錄結(jié)構(gòu)與功能2、物理結(jié)構(gòu)：（2）站點（Site）：站點是由一個或多個高速連接的IP子網(wǎng)構(gòu)成的網(wǎng)絡(luò)區(qū)域。站點是網(wǎng)絡(luò)的物理結(jié)構(gòu)，站點和域沒有必然聯(lián)系。一個站點可以包含多個域，一個域也可以跨多個站點。創(chuàng)建站點的主要目的是為了優(yōu)化復(fù)制流量和使用戶能夠用可靠的高速線路連接到域控制器?；顒幽夸浌δ芑顒幽夸浌δ芑顒幽夸浛梢詫⒕W(wǎng)絡(luò)中的所有資源組織起來，形成一個層次化的目錄結(jié)構(gòu)，方便管理者對這些資源進(jìn)行分類和控制。此外，普通用戶也可以通過活動目錄很容易地找到并使用網(wǎng)絡(luò)中的各種資源。除了基本的用戶管理和資源控制功能，活動目錄還提供了其他重要的功能，具體如下：（1）集中管理：可以在一臺服務(wù)器上集中管理整個域內(nèi)的計算機、用戶等資源?；顒幽夸浌δ埽?）安全性：提供用戶身份認(rèn)證和授權(quán)等安全功能，保護企業(yè)的信息安全。用戶身份認(rèn)證重要性：用戶身份認(rèn)證是活動目錄的核心功能之一，通過驗證用戶的身份信息，確保只有合法用戶可以訪問網(wǎng)絡(luò)資源。授權(quán)機制作用：授權(quán)機制允許管理員對用戶進(jìn)行權(quán)限分配，控制其對特定資源的訪問和操作權(quán)限，保障企業(yè)信息安全。身份認(rèn)證與授權(quán)的關(guān)聯(lián)性：身份認(rèn)證和授權(quán)緊密相關(guān)，身份認(rèn)證確認(rèn)用戶身份后，授權(quán)機制決定用戶可以訪問的資源和操作權(quán)限?；顒幽夸浌δ埽?）活動目錄的可追溯性和擴展性：活動目錄可以追蹤整個域內(nèi)的使用情況，包括用戶的登錄、資源的使用等，同時還可以擴展到多個域，實現(xiàn)多個域之間的資源共享。項目2基于虛擬化技術(shù)構(gòu)建活動目錄

測試環(huán)境虛擬化技術(shù)SIDVMwareWorkstation虛擬機的克隆技術(shù)目錄虛擬化技術(shù)虛擬化技術(shù)的基本概念利用虛擬化技術(shù)，可以將一臺計算機虛擬為多臺邏輯計算機。在一臺計算機上同時運行多個邏輯計算機，每個邏輯計算機都可以運行不同的操作系統(tǒng)，并且應(yīng)用程序可以在相互獨立的空間內(nèi)運行而互不影響，從而提高計算機的工作效率。在沒有虛擬化技術(shù)的情況下，一臺計算機只能運行一個操作系統(tǒng)，雖然我們可以在一臺計算機上安裝多個操作系統(tǒng)，但是運行的操作系統(tǒng)只有一個。利用虛擬化技術(shù)，我們可以在一臺計算機上創(chuàng)建多臺虛擬機，每臺虛擬機都運行一個操作系統(tǒng)，每個操作系統(tǒng)上都可以有多個不同的應(yīng)用程序，并且這些虛擬機及各自的應(yīng)用程序之間互不干擾。虛擬化技術(shù)的基本概念虛擬機與物理機一樣，是運行操作系統(tǒng)和應(yīng)用程序的計算機，只是虛擬機采用的硬件全部來自宿主計算機的虛擬硬件。因為每臺虛擬機都采用隔離的計算環(huán)境，所以虛擬機之間互不干擾。VMwareWorkstation是一款功能強大的桌面級虛擬化軟件，它可以在一臺計算機上模擬網(wǎng)絡(luò)和計算機環(huán)境，并且支持快照、克隆等虛擬機管理功能，成為企業(yè)的IT開發(fā)人員和系統(tǒng)管理員的重要工具。虛擬化技術(shù)的核心特點資源抽象虛擬化技術(shù)將物理資源（如硬件資源）抽象為虛擬資源，使得用戶可以像使用物理資源一樣使用虛擬資源。隔離性虛擬化技術(shù)確保每個虛擬機之間是相互隔離的，這意味著一個虛擬機的崩潰或故障不會影響其他虛擬機的正常運行。靈活性虛擬化技術(shù)提供了靈活的資源配置和管理方式，使得用戶可以根據(jù)實際需求動態(tài)調(diào)整虛擬機的配置和數(shù)量。高效性通過虛擬化技術(shù)，可以顯著提高計算機資源的利用率，減少資源浪費，從而降低總體擁有成本（TCO）。虛擬化技術(shù)的分類虛擬化技術(shù)可以根據(jù)不同的應(yīng)用場景和資源類型進(jìn)行分類，常見的分類方式包括：1.服務(wù)器虛擬化：將服務(wù)器物理資源（如CPU、內(nèi)存等）抽象成邏輯資源，創(chuàng)建多個獨立的虛擬服務(wù)器。每個虛擬服務(wù)器都可以運行自己的操作系統(tǒng)和應(yīng)用程序，實現(xiàn)資源的高效利用和靈活管理。虛擬化技術(shù)的分類虛擬化技術(shù)可以根據(jù)不同的應(yīng)用場景和資源類型進(jìn)行分類，常見的分類方式包括：2.存儲虛擬化：將存儲資源（如硬盤、磁帶等）整合為一個統(tǒng)一的存儲池，提供邏輯存儲接口給用戶。用戶通過邏輯接口進(jìn)行數(shù)據(jù)的讀寫操作，無需關(guān)心底層存儲設(shè)備的物理位置和狀態(tài)。虛擬化技術(shù)的分類虛擬化技術(shù)可以根據(jù)不同的應(yīng)用場景和資源類型進(jìn)行分類，常見的分類方式包括：3.網(wǎng)絡(luò)虛擬化：將網(wǎng)絡(luò)資源（如交換機、路由器等）進(jìn)行整合和抽象，創(chuàng)建一個或多個虛擬網(wǎng)絡(luò)。每個虛擬網(wǎng)絡(luò)都可以獨立配置和管理，實現(xiàn)網(wǎng)絡(luò)資源的靈活分配和使用。4.桌面虛擬化：將計算機的終端系統(tǒng)（也稱為桌面）進(jìn)行虛擬化，使用戶可以通過網(wǎng)絡(luò)訪問自己的虛擬桌面環(huán)境。這種方式提高了桌面的安全性和靈活性，方便用戶隨時隨地訪問自己的工作環(huán)境。虛擬化技術(shù)的應(yīng)用場景數(shù)據(jù)中心通過虛擬化技術(shù)提高資源利用率、降低管理成本和提高系統(tǒng)的靈活性。云計算虛擬化技術(shù)是云計算平臺的核心技術(shù)之一，通過虛擬化技術(shù)構(gòu)建計算資源池和存儲資源池，為用戶提供按需分配的計算和存儲服務(wù)。測試和開發(fā)環(huán)境虛擬化技術(shù)可以創(chuàng)建隔離的測試和開發(fā)環(huán)境，提高開發(fā)效率和測試質(zhì)量。桌面應(yīng)用桌面虛擬化技術(shù)可以為用戶提供靈活的工作方式，提高工作效率和安全性。SIDSID的概念SID（SecurityIdentifiers，安全標(biāo)識符），是標(biāo)識用戶、組和計算機賬戶的唯一標(biāo)識符。在第一次創(chuàng)建賬戶時，操作系統(tǒng)會給每個賬戶發(fā)布一個唯一的SID。如果存在兩臺具有相同SID的計算機，那么這兩臺計算機會被鑒定為同一臺計算機。如果兩臺計算機是通過克隆得到的，那么它們會具有相同的SID，導(dǎo)致在域測試網(wǎng)絡(luò)中會無法區(qū)分這兩臺計算機。因此，克隆得到的計算機需要重新生成SID，以便區(qū)別于其他計算機。SID的概念用戶可以通過在“命令提示符”窗口中輸入命令“whoami/user”查看計算機的SID（用戶的SID為計算機的SID加上用戶編號，因此，用戶SID去掉最后一段數(shù)字，即為計算機的SID），示例如圖所示。

SID作用唯一性識別SID確保了用戶、組和計算機賬戶在網(wǎng)絡(luò)中的唯一性。即使兩個賬戶具有相同的用戶名，只要它們的SID不同，它們就被視為不同的賬戶。權(quán)限控制Windows等操作系統(tǒng)中的內(nèi)部進(jìn)程會引用賬戶的SID而不是賬戶的用戶名或組名來控制權(quán)限。這意味著，即使賬戶的用戶名被更改，只要SID保持不變，該賬戶的權(quán)限和屬性就不會受到影響。安全驗證用戶驗證后獲得訪問令牌，作為訪問系統(tǒng)資源的憑證。用戶訪問資源時需提供此令牌，系統(tǒng)檢查權(quán)限列表后，若允許則授予相應(yīng)訪問權(quán)限。SID號碼組成SID是一串特殊的字符串，由計算機名、當(dāng)前時間、當(dāng)前用戶態(tài)線程的CPU耗費時間的總和等參數(shù)決定，以保證其唯一性。在通常情況下，SID是唯一的，但如果賬戶無限制增加，理論上可能會產(chǎn)生重復(fù)的SID。然而，在實際情況中，由于SID的生成算法和參數(shù)的選擇，這種情況非常罕見。VMwareWorkstation虛擬機的

克隆技術(shù)VMwareWorkstation虛擬機的克隆技術(shù)VMwareWorkstation可以根據(jù)預(yù)先安裝好的虛擬機快速克隆出多臺虛擬機。此時，源計算機和克隆的虛擬機的硬件ID不同（如網(wǎng)卡MAC），但是操作系統(tǒng)SID和配置完全一致（如計算機名稱、IP地址等）。如果計算機的一些應(yīng)用程序和操作系統(tǒng)SID相關(guān)，則會導(dǎo)致該應(yīng)用程序出錯，因此克隆的虛擬機通常需要手動修改操作系統(tǒng)SID。在活動目錄環(huán)境中，計算機的操作系統(tǒng)SID不能相同，因此克隆的虛擬機必須修改操作系統(tǒng)SID。源虛擬機計算機名：VMIP：/24MAC：08：00：20：0A：8C：6D克隆虛擬機計算機名：VMIP：/24MAC：08：00：20：0A：8C：6CVMwareWorkstation虛擬機的克隆技術(shù)克隆的方式有兩種，分別是完整克隆和鏈接克隆。1）完整克隆完整克隆是復(fù)制源虛擬機的硬盤文件（.vmdk）并創(chuàng)建硬件配置相同的虛擬機?？寺『螅瑑烧弑灰暈楠毩⑦\行的虛擬機，但通常需修改操作系統(tǒng)SID以避免沖突。源虛擬機克隆虛擬機VMwareWorkstation虛擬機的克隆技術(shù)源虛擬機出現(xiàn)故障時，完整克隆虛擬機不受影響源虛擬機克隆虛擬機VMwareWorkstation虛擬機的克隆技術(shù)2）鏈接克隆鏈接克隆基于源虛擬機的快照創(chuàng)建新虛擬機，支持選擇歷史快照進(jìn)行克隆。其磁盤文件小，采用差異存儲技術(shù)僅記錄變更數(shù)據(jù)，顯著節(jié)省空間。然而，大量克隆同時訪問源虛擬機磁盤文件可能影響系統(tǒng)性能，需合理規(guī)劃克隆數(shù)量。源虛擬機快照1快照2快照3當(dāng)前位置鏈接虛擬機VMwareWorkstation虛擬機的克隆技術(shù)源虛擬機出現(xiàn)故障或快照丟失時，鏈接虛擬機無法正常使用。源虛擬機快照1快照2快照3當(dāng)前位置鏈接虛擬機or項目3構(gòu)建林中的第一臺域控制器域控制器的重要性規(guī)劃與準(zhǔn)備配置域控制器目錄域控制器的重要性域控制器的重要性在Windows活動目錄中，域控制器（DomainController，簡稱DC）的重要性不言而喻，它作為網(wǎng)絡(luò)中的核心組件，承擔(dān)著多項關(guān)鍵任務(wù)，確保了網(wǎng)絡(luò)資源的有效管理、用戶身份的安全驗證以及網(wǎng)絡(luò)環(huán)境的整體安全。域控制器的重要性以下是域控制器重要性的詳細(xì)闡述：1.集中管理用戶與計算機管理域控制器通過活動目錄集中管理用戶和計算機，使管理員能高效創(chuàng)建、修改、刪除賬戶，分配權(quán)限，并管理配置與安全策略，從而提升管理效率并降低成本。資源分配與共享域控制器還負(fù)責(zé)管理和分配網(wǎng)絡(luò)中的資源，如文件共享、打印機等。通過域控制器，用戶可以方便地訪問和共享這些資源，提高了工作效率和協(xié)作能力。域控制器的重要性以下是域控制器重要性的詳細(xì)闡述：2.用戶身份驗證身份驗證中心域控制器作為身份驗證中心，驗證用戶登錄請求，確保憑據(jù)有效后授權(quán)訪問網(wǎng)絡(luò)資源，保護資源免受未授權(quán)訪問。密碼策略與賬戶管理域控制器實施密碼策略，監(jiān)控賬戶活動，確保賬戶安全，及時發(fā)現(xiàn)并應(yīng)對異常登錄。域控制器的重要性以下是域控制器重要性的詳細(xì)闡述：3.安全性與可靠性安全策略實施域控制器執(zhí)行安全策略，如ACLs和審計，保護網(wǎng)絡(luò)資源免遭未授權(quán)訪問和攻擊。故障恢復(fù)與冗余域控制器采用冗余設(shè)計，多臺協(xié)同工作確保高可用性和容錯，一臺故障時其他可接管，保障網(wǎng)絡(luò)順暢運行。信任關(guān)系建立多域間，域控制器建信任關(guān)系，基于Kerberos協(xié)議保障跨域訪問安全，用戶無縫訪問資源。規(guī)劃與準(zhǔn)備規(guī)劃與準(zhǔn)備安裝活動目錄的必要條件主要包括以下幾個方面：1.操作系統(tǒng)選擇：WindowsServer版本：WindowsServer2003及以上版本均支持活動目錄的安裝，但Web版除外。Standard版、Enterprise版和Datacenter版等版本均可用于安裝活動目錄。推薦使用較新的版本，如WindowsServer2016或更高版本，以獲取更好的性能和安全性。規(guī)劃與準(zhǔn)備安裝活動目錄的必要條件主要包括以下幾個方面：2.DNS服務(wù)器：（1）DNS支持：活動目錄與DNS是緊密集成的，活動目錄中域的名稱的解析需要DNS的支持。因此，必須準(zhǔn)備一臺DNS服務(wù)器，并確保其支持本地服務(wù)資源記錄（SRV資源記錄）和動態(tài)更新功能。（2）DNS服務(wù)器設(shè)置：在安裝活動目錄的計算機上，需要設(shè)置DNS服務(wù)器的IP地址，以便活動目錄能夠正確解析域名。規(guī)劃與準(zhǔn)備安裝活動目錄的必要條件主要包括以下幾個方面：3.磁盤分區(qū)：安裝活動目錄時，需確保SYSVOL文件夾位于NTFS分區(qū)，以安全存儲組策略等數(shù)據(jù)。該NTFS分區(qū)需要有足夠的空閑磁盤空間，以存放SYSVOL文件夾及其內(nèi)容。通常建議至少保留250MB的空閑空間。NTFS格式足夠空間規(guī)劃與準(zhǔn)備安裝活動目錄的必要條件主要包括以下幾個方面：4.網(wǎng)絡(luò)設(shè)置：靜態(tài)IP地址：安裝活動目錄的計算機必須配置一個靜態(tài)的IP地址，以確保網(wǎng)絡(luò)中的其他計算機能夠穩(wěn)定地訪問它。DNS服務(wù)器IP地址：除了設(shè)置本機的靜態(tài)IP地址外，還需要在TCP/IP設(shè)置中配置DNS服務(wù)器的IP地址，以便活動目錄能夠正確解析域名。規(guī)劃與準(zhǔn)備安裝活動目錄的必要條件主要包括以下幾個方面：5.用戶權(quán)限：管理員權(quán)限：安裝活動目錄時的登錄用戶必須具有管理員組（Administrators）的權(quán)限，以便能夠執(zhí)行必要的安裝和配置操作。配置域控制器配置域控制器在公司部署活動目錄的第一步是創(chuàng)建公司的第一臺域控制器。如果公司已經(jīng)向互聯(lián)網(wǎng)申請了域名，那么其通常會在活動目錄中使用該域名。在本項目中，公司的根域是。將一臺WindowsServer2022服務(wù)器升級為公司的第一臺域控制器，那么這臺域控制器就是該公司域的域根，也是整個域目錄林的林根。項目4將用戶和計算機加入域計算機加入域域賬戶的創(chuàng)建域用戶登錄時間限制策略目錄計算機加入域非域環(huán)境和域環(huán)境的區(qū)別非域環(huán)境的特點非域環(huán)境缺乏集中管理，每臺計算機獨立運作，各自管理安全數(shù)據(jù)庫，導(dǎo)致用戶賬戶和權(quán)限管理不統(tǒng)一，管理過程復(fù)雜且效率低下，需要逐一配置每臺計算機。域環(huán)境的優(yōu)勢域環(huán)境實現(xiàn)了多臺計算機的統(tǒng)一集中管理，由域控制器負(fù)責(zé)用戶賬戶、權(quán)限和安全策略的集中配置，提升管理效率并增強安全性，有效抵御外部攻擊和內(nèi)部誤操作。加入域后的便利性計算機加入域后，可以訪問AD

DS數(shù)據(jù)庫和域資源，方便用戶使用域賬戶登錄并訪問其他域成員計算機內(nèi)的共享資源。將計算機加入域的方法在非域環(huán)境中，用戶通過客戶機的內(nèi)部賬戶登錄和使用該客戶機；在域環(huán)境中，域管理員會將公司的客戶機都加入域。在將計算機加入域后，就可以訪問ADDS數(shù)據(jù)庫和域中的資源了。例如，用戶可以使用域賬戶登錄這些計算機，并且可以訪問其他域成員計算機內(nèi)的共享資源。將客戶機加入域的過程檢查網(wǎng)絡(luò)配置客戶端與域服務(wù)器的連接DNS配置域賬戶的創(chuàng)建域賬戶的位置和功能123域賬戶的分布范圍：域賬戶可以位于域內(nèi)任意一個組織單位中，這意味著它們可以在域中的任何創(chuàng)建和使用域賬戶的默認(rèn)權(quán)限：默認(rèn)情況下，域賬戶可以登錄到任意一臺域客戶機中并能訪問域中的共享資源，這位管理員提供了極大的便利性。域賬戶的身份驗證過程：在域控制器中新建一個域賬號后，此賬號的副本會自動被復(fù)制到域中所有域控制器的數(shù)據(jù)庫中，完成復(fù)制過程后，域中的所有域控制器都可以在登錄過程中對該用戶進(jìn)行身份驗證用戶域賬戶的創(chuàng)建方法打開AD用戶和計算機：重啟計算機后，以管理員身份登錄到服務(wù)器。創(chuàng)建組織單元（可選）：用于將用戶分組管理。創(chuàng)建用戶賬戶：在OU下（或直接在域名下），輸入信息并設(shè)置屬性進(jìn)行創(chuàng)建。分配用戶組：在創(chuàng)建用戶向?qū)е校梢赃x擇將用戶分配到某個用戶組。域用戶登錄時間限制策略創(chuàng)建AD域用戶后默認(rèn)權(quán)限在為用戶在域中創(chuàng)建域賬戶后，該用戶會自動獲得一些默認(rèn)的配置，如用戶登錄域的時間、登錄計算機、共享資源使用權(quán)限等。在默認(rèn)情況下，用戶可以在任意時間登錄域。在用戶的屬性對話框中，可以通過配置“登錄時間”來設(shè)置用戶登錄域的時間。如圖所示。登錄時間的靈活調(diào)整登錄時間限制的設(shè)置方法：通過用戶屬性設(shè)置，可以靈活調(diào)整用戶的登錄時間，滿足企業(yè)對員工工作時間的管理需求登錄時間限制的應(yīng)用案例：企業(yè)可以設(shè)置員工只能在工作日上班時間內(nèi)登錄域，有效防止非工作時間的資源濫用。登錄時間限制的優(yōu)勢分析：通過設(shè)置登錄時間限制，企業(yè)可以更好的管理資源，提高工作效率，同時也可以保護員工的個人隱私。項目5額外域控制器與全局編錄的作用全局編錄額外域控制器目錄全局編錄全局編錄的概述全局編錄（GlobalCatalog，簡稱GC）是WindowsActiveDirectory環(huán)境中的一個重要概念，一個域的活動目錄中只能存儲該域的相關(guān)信息，相當(dāng)于該域的目錄。當(dāng)一個域目錄林中有多個域時，由于每個域都有一個活動目錄，因此如果一個域用戶要在整個域目錄林范圍內(nèi)查找一個對象，就需要搜索該域目錄林中的所有域。這時，全局編錄就起到作用了。全局編錄相當(dāng)于一個總目錄，就像一套系列叢書中有一個總目錄一樣。全局編錄中存儲了已有活動目錄對象的子集。在默認(rèn)情況下，存儲于全局編錄中的對象屬性是經(jīng)常用到的屬性，不同全部屬性。整個域目錄林會共享相同的全局編錄信息。此時，一個域中的用戶就可以根據(jù)全局編錄快速找到所需的對象了。全局編錄的功能提高搜索效率全局編錄存儲常用屬性，快速搜索信息，無需遍歷整個目錄林支持跨域操作全局編錄簡化跨域資源查找，用戶無需關(guān)注對象位置即可訪問。身份驗證全局編錄支持UPN登錄驗證，對驗證跨域?qū)ο笠闷痍P(guān)鍵作用。負(fù)載平衡配置附加全局編錄可平衡認(rèn)證流量，提升系統(tǒng)穩(wěn)定性和性能。全局編錄的工作原理數(shù)據(jù)存儲全局編錄服務(wù)器中不僅保存了本域中所有對象的所有屬性，還保存了其他域所有對象的部分屬性。這些屬性通常是查詢過程中常用的屬性，如對象的名稱、類型、位置等。查詢過程當(dāng)用戶或應(yīng)用程序發(fā)起查詢請求時，查詢請求會被發(fā)送到全局編錄服務(wù)器。全局編錄服務(wù)器會根據(jù)請求中的條件在存儲的對象信息中進(jìn)行搜索，并返回匹配的結(jié)果。身份驗證在執(zhí)行身份驗證時，如果執(zhí)行身份驗證的域控制器沒有用戶UPN賬號信息，全局編錄服務(wù)器將解析用戶主機名稱以完成身份驗證過程。額外域控制器額外域控制器的概述額外域控制器（ExtraDomainController，簡稱EDC）在WindowsActiveDirectory環(huán)境中扮演著重要的角色，它是除了第一臺安裝的域控制器（主域控制器）之外的所有域控制器的統(tǒng)稱。額外域控制器是主域控制器的備份或輔助，用于在主域控制器宕機時自動接替其工作，確保網(wǎng)絡(luò)的連續(xù)性和服務(wù)的可用性。域控制器額外域控制器客戶機額外域控制器的功能容錯與冗余提供容錯功能，當(dāng)主域控制器出現(xiàn)故障時，額外域控制器能夠接替其工作，繼續(xù)提供各種網(wǎng)絡(luò)服務(wù)，避免網(wǎng)絡(luò)癱瘓。負(fù)載均衡在網(wǎng)絡(luò)中的用戶數(shù)量較多或多種網(wǎng)絡(luò)服務(wù)都需要進(jìn)行身份認(rèn)證時，多臺域控制器可以同時分擔(dān)審核用戶的工作，提高用戶登錄的效率。數(shù)據(jù)備份域控制器之間可以相互復(fù)制和備份活動目錄數(shù)據(jù)庫，無需單獨備份每一臺域控制器的數(shù)據(jù)，簡化了數(shù)據(jù)管理流程。額外域控制器安裝與管理在安裝與部署額外域控制器時，重要的是將其DNS設(shè)置指向當(dāng)前域網(wǎng)絡(luò)中的DNS服務(wù)器，并確保其能夠無縫連接到域網(wǎng)絡(luò)中。安裝流程涵蓋運行活動目錄安裝向?qū)?，選擇“現(xiàn)有域的額外域控制器”選項，并準(zhǔn)確提供必要的用戶賬戶信息和域名。完成部署后，為保持其高效運行，需定期進(jìn)行維護與監(jiān)控，包括檢查運行狀態(tài)、評估性能指標(biāo)、審查日志信息等，以便迅速發(fā)現(xiàn)并解決潛在問題，確保域控制器網(wǎng)絡(luò)的穩(wěn)定性和可靠性。額外域控制器優(yōu)點提高用戶登錄效率多臺域控制器可以同時處理用戶登錄請求，加快登錄速度。提供容錯和冗余功能確保在主域控制器故障時，網(wǎng)絡(luò)服務(wù)不會中斷。簡化數(shù)據(jù)管理域控制器之間可以相互復(fù)制和備份數(shù)據(jù)，無需單獨備份每一臺域控制器的數(shù)據(jù)。注意事項1、在安裝額外域控制器之前，需要確保網(wǎng)絡(luò)環(huán)境穩(wěn)定可靠，以避免安裝過程中出現(xiàn)問題。2、在配置額外域控制器時，需要確保其與主域控制器的配置一致，以便能夠順利接替其工作。3、需要定期維護和監(jiān)控額外域控制器的運行狀態(tài)和性能指標(biāo)，以確保其能夠正常運行并提供服務(wù)。項目6子域的加入、域的刪除子域的概述子域的部署條件域控制器的降級目錄子域的概述子域的概述子域是相對于父域而言的，它是域結(jié)構(gòu)中的一個組成部分，用于實現(xiàn)更細(xì)粒度的網(wǎng)絡(luò)管理和資源分配。對于存在分支機構(gòu)或子公司的域管理中，如果分支機構(gòu)或子公司的管理與總公司存在較大差別，并且資源是相對獨立管理的，那么通常建議設(shè)立一個獨立區(qū)域（子域）進(jìn)行自主管理，也就是在現(xiàn)有域下創(chuàng)建一個子域，從而形成域樹的邏輯結(jié)構(gòu)?？蛻魴C用戶DC1父域子域客戶機用戶DC2子域的功能與特點獨立性與集成性：子域在活動目錄中既獨立又依存，擁有獨特管理元素同時共享父域資源，確保域內(nèi)資源訪問和身份驗證的順暢性。管理效率：劃分大型網(wǎng)絡(luò)為多個子域，能實現(xiàn)部門或地區(qū)的獨立管理，提升效率，同時允許管理員為各子域定制專屬安全策略與管理規(guī)范。資源分配：子域擁有專屬資源如文件、打印服務(wù)器，服務(wù)內(nèi)部用戶，同時也能訪問其他域資源，但需遵循訪問控制和權(quán)限規(guī)定。子域的功能與特點在父子域環(huán)境中，由于父子域之間會建立雙向可傳遞的信任關(guān)系，因此在默認(rèn)情況下，父域用戶可以使用子域中的計算機，子域用戶也可以使用父域中的計算機，如圖所示。父域和子域之間的用戶交互登錄子域的部署條件子域的部署條件將一臺WindowsServer2022服務(wù)器升級為子域控制器，首先需要為該服務(wù)器修改主機名，配置IP地址和DNS服務(wù)器，然后在“服務(wù)器管理器”窗口中添加所需的角色和功能，最后在“ActiveDirectory域服務(wù)配置向?qū)А贝翱谥袑⒃摲?wù)器升級為子域控制器。域控制器也是DNS服務(wù)器，因此可以將首選DNS服務(wù)器指向自己。由于子域控制器需要和父域控制器通信，因此需要將備選DNS服務(wù)器指向最近的父域控制器。

域控制器降級域控制器降級定義域控制器降級是一個重要的系統(tǒng)管理操作，它主要涉及到將現(xiàn)有的域控制器（DomainController，簡稱DC）從其當(dāng)前的角色中移除，簡而言之，就是刪除ActiveDirectory（AD）服務(wù)的過程，即將一個域控制器降級為成員服務(wù)器（MemberServer）或獨立服務(wù)器（Stand-aloneServer）。這一操作通常在新服務(wù)器接替舊服務(wù)器工作，或者網(wǎng)絡(luò)架構(gòu)重新規(guī)劃時進(jìn)行。域控制器降級結(jié)果1、其他域控制器存在的情況：如果該域內(nèi)還有其他域控制器，那么被降級的域控制器將被轉(zhuǎn)換為該域的成員服務(wù)器。這意味著它將不再承擔(dān)域控制器的角色，但仍將保留在網(wǎng)絡(luò)中，并可以作為其他服務(wù)的宿主。2、最后一個域控制器的情況：如果被降級的域控制器是該域內(nèi)的最后一個域控制器，那么該計算機將被降級為獨立服務(wù)器。這意味著它將完全脫離當(dāng)前的域環(huán)境，成為一個獨立的計算系統(tǒng)。注意事項全局編錄角色：若被降級域控制器兼為全局編錄，需先確認(rèn)網(wǎng)絡(luò)中存在其他全局編錄域控制器；若無，則需先指定另一域控制器為全局編錄，保障用戶登錄及全局編錄依賴操作不受影響。元數(shù)據(jù)清除：降級后，需在剩余域控制器上清除已降級DC的元數(shù)據(jù)，確保網(wǎng)絡(luò)內(nèi)無殘留指向其的對象和引用。權(quán)限配置：如果在刪除了ActiveDirectory的計算機上，資源訪問控制項（ACE）是基于域本地組的，那么可能需要重新配置這些權(quán)限。因為域本地組在成員服務(wù)器或獨立服務(wù)器上是不可用的。項目7修改域用戶的賬戶策略客戶機用戶的設(shè)置原則域用戶的設(shè)置原則域用戶賬戶策略目錄客戶機用戶的設(shè)置原則客戶機用戶的設(shè)置原則要使用Windows操作系統(tǒng)，必須先輸入有效的用戶賬戶和密碼，在系統(tǒng)驗證無誤后才可以使用，并且在默認(rèn)情況下可以訪問和使用大部分資源。由此可見，用戶對操作系統(tǒng)來說是非常重要的，而域用戶更加重要，因為通過它可以訪問域中的大部分計算機和資源。因此，要保證網(wǎng)絡(luò)中的數(shù)據(jù)安全，需要先確保網(wǎng)絡(luò)中的賬戶安全。用戶賬戶管理唯一性和準(zhǔn)確性：確保每個用戶賬戶都是唯一的，并且賬戶信息（如用戶名、全名、電子郵件地址等）是準(zhǔn)確無誤的。這有助于避免混淆和錯誤，提高網(wǎng)絡(luò)管理的效率。創(chuàng)建與刪除：根據(jù)業(yè)務(wù)需求及時創(chuàng)建新用戶賬戶，并在用戶離職或不再需要訪問網(wǎng)絡(luò)時及時刪除其賬戶。這有助于維護網(wǎng)絡(luò)的安全性和整潔性。命名規(guī)范：制定用戶賬戶命名的規(guī)范，例如使用“姓名首字母+部門縮寫+數(shù)字”的格式，以便于管理和識別。安全策略強密碼策略：實施強密碼策略，要求用戶定期更換密碼，并使用復(fù)雜的密碼組合（包括字母、數(shù)字和特殊字符）。這有助于防止未經(jīng)授權(quán)的訪問和賬戶被破解的風(fēng)險。賬戶鎖定策略：設(shè)置賬戶鎖定策略，當(dāng)用戶連續(xù)輸入錯誤密碼達(dá)到一定次數(shù)時，自動鎖定其賬戶。這可以防止暴力破解攻擊，并保護賬戶安全。權(quán)限分配：根據(jù)用戶的職責(zé)和需要分配適當(dāng)?shù)脑L問權(quán)限。避免給用戶過多的權(quán)限，以減少潛在的安全風(fēng)險。域用戶的設(shè)置原則域用戶的定義域用戶（DomainUser）是在企業(yè)或組織的網(wǎng)絡(luò)環(huán)境中，由網(wǎng)絡(luò)管理員創(chuàng)建和管理的用戶賬號，這些賬號用于訪問網(wǎng)絡(luò)中的資源和服務(wù)。具體來說，域用戶是域環(huán)境中的邏輯組織單元之一，其所有信息都保存在活動目錄（ActiveDirectory,AD）中，并由域控制器（DomainController,DC）進(jìn)行身份驗證和策略管理。域用戶位于域全局組（如DomainUsers）中，與計算機本地用戶賬戶（位于本地User組中）相區(qū)分。當(dāng)計算機加入域時，全局組DomainUsers會被添加到計算機本地User組中，從而允許域用戶在該計算機上登錄和使用資源。域用戶的設(shè)置原則針對域用戶，域管理員通常會對其密碼進(jìn)行以下處理：1.禁止使用空密碼?？彰艽a在給用戶帶來方便的同時，也給惡意用戶帶來了便捷。2.禁止使用與用戶登錄名相同或相關(guān)密碼，這類密碼被破譯的概率非常高。3.禁止使用用戶的相關(guān)個人信息作為密碼。有很多用戶習(xí)慣用生日、電話號碼等個人信息作為密碼，但用戶的個人信息很容易被其他人知道，因此這類密碼非常容易被破譯。4.禁止使用英文單詞作為密碼。各種密碼破譯軟件中都有一個密碼字典，如果你的系統(tǒng)允許別人任意次地猜測密碼，那么這類密碼是非常容易被破譯的。5.建議使用復(fù)雜的密碼。復(fù)雜的密碼至少要包括大小寫字母、數(shù)字、特殊字符，并且是無意義的組合和不少于8位長度，如1qez@WYX。此外，還需要定期修改密碼域用戶設(shè)置的重要性降低成本減少因錯誤配置或安全漏洞導(dǎo)致的損失提高安全通過策略控制訪問權(quán)限簡化管理集中化用戶賬戶和權(quán)限管理提升效率快速部署和更新用戶配置域用戶賬戶策略域用戶賬戶策略在默認(rèn)情況下，活動目錄中的一個域只能使用一套密碼策略，這套密碼策略由“DefaultDomainPolicy”進(jìn)行統(tǒng)一管理。如果一些企業(yè)需要針對不同的群體設(shè)置不同的密碼策略，則需要啟用多元化密碼策略（要求Windowsserver2008R2及以上域功能級別）。多元化密碼策略的部署方法將在后續(xù)項目中進(jìn)行介紹。項目8域用戶的導(dǎo)出與導(dǎo)入用戶主名域用戶的屬性域用戶的創(chuàng)建目錄用戶主名命名規(guī)則名稱唯一性在活動目錄中，每個用戶和組的名稱都必須是唯一的。這是為了確保在管理和識別用戶和組時不會出現(xiàn)混淆。長度限制用戶名稱一般限制在20個字符以內(nèi)。組名稱一般限制在64個字符以內(nèi)。字符限制用戶和組名稱應(yīng)該只包含字母和數(shù)字字符。特殊字符如！、@、#、$等不應(yīng)在名稱中出現(xiàn)。大小寫敏感性活動目錄對于用戶和組名稱是大小寫敏感的。因此，在命名時要特別注意大小寫，以避免不必要的混淆。用戶主名1.用戶的唯一性WindowsServer2022中的用戶可以分為本地用戶和域用戶，本地用戶位于工作組中的計算機或域中非域控制器的計算機上，域用戶位于域控制器上，這些用戶在系統(tǒng)中必須是唯一的。用戶主名前面介紹過，在登錄域客戶機時，可以選擇使用本機用戶登錄本機或使用域用戶登錄域，域客戶機的登錄界面如圖所示。域客戶機的登錄界面用戶主名可以在“用戶名”文本框中輸入“win11-1\tom”或“.\tom”，它們都表示使用該域客戶機的本地賬戶“tom”，用于登錄計算機；也可以在“用戶名”文本框中輸入“tom”或“tom@”，用于登錄jan16域（默認(rèn)為登錄jan16域），“tom@”就是一個用戶主名（用戶主名=用戶名@域名）。在操作系統(tǒng)界面中，用戶主名又稱為登錄用戶名。使用用戶主名可以方便地定位用戶的位置?？梢詫⒂脩糁髅鳛橛脩舻腅mail地址同其他用戶通信。域用戶的屬性域用戶的屬性用戶屬性對話框中包含18個選項卡，默認(rèn)只顯示13個選項卡，如果要查看所有的選項卡，則可以在“ActiveDirectory用戶和計算機”窗口的“查看”菜單中勾選“高級功能”命令。下面介紹常用的幾個選項卡的功能。1）“常規(guī)”選項卡、“地址”選項卡、“電話”選項卡、“組織”選項卡“常規(guī)”選項卡、“地址”選項卡、“電話”選項卡、“組織”選項卡主要用于設(shè)置用戶的個人信息，以便域用戶之間進(jìn)行信息查詢。域用戶的屬性2）“帳戶”選項卡“帳戶”選項卡主要用于設(shè)置用戶賬戶的相關(guān)信息，如圖所示?！皫簟边x項卡域用戶的屬性“用戶登錄名”文本框：主要用于設(shè)置用戶的賬戶登錄名。“帳戶”選項卡域用戶的屬性“登錄時間”按鈕：單擊該按鈕，可以在彈出的對話框中設(shè)置允許該用戶登錄域的時間段，藍(lán)色區(qū)域表示可以登錄的時間，白色區(qū)域表示不可以登錄的時間。圖8-3中的設(shè)置表示公司僅允許用戶“jack”周一—周五的9點—17點登錄域?！皫簟边x項卡域用戶的屬性“登錄到”按鈕：單擊該按鈕，可以在彈出的“登錄工作站”對話框中設(shè)置該用戶賬戶允許使用的客戶機，在默認(rèn)情況下，用戶賬戶可以從域中的所有客戶機上登錄域。這種情況給用戶帶來方便的同時，也給域帶來了安全隱患?？梢栽凇暗卿浌ぷ髡尽睂υ捒蛑羞x擇“下列計算機”單選按鈕，然后將允許該用戶登錄域的客戶機添加“計算機名”列表框中，單擊“確定”按鈕。這樣，該用戶就只能使用“計算機名”列表框中的客戶機登錄域了?！皫簟边x項卡域用戶的屬性“賬戶選項”列表框：主要用于設(shè)置用戶密碼的相關(guān)屬性和用戶的鎖定屬性。“帳戶”選項卡域用戶的屬性3）“配置文件”選項卡“配置文件”選項卡中包含“用戶配置文件”選區(qū)和“主文件夾”選區(qū)，如圖所示?！芭渲梦募边x項卡域用戶的屬性①“用戶配置文件”選區(qū)“用戶配置文件”選區(qū)主要用于定義域用戶登錄計算機時系統(tǒng)配置文件的路徑和登錄時需要處理的腳本文件。如果域管理員希望某個用戶在登錄客戶機時處理一些特定程序，則可以利用“登錄腳本”功能?！芭渲梦募边x項卡域用戶的屬性②“主文件夾”選區(qū)用戶在首次登錄到域客戶機時，客戶機會自動為該用戶創(chuàng)建桌面、開始菜單等的相關(guān)文檔，這些文檔通常存儲于“C:\Users\%SystemName%”（注意：在Windows操作系統(tǒng)中，會將“User”顯示為“用戶”，“%SystemName%”是指當(dāng)前登錄用戶）中，如圖所示?！氨镜芈窂健蔽谋究颍河糜谠O(shè)置配置文件的存儲路徑?！斑B接”文本框：用于為用戶設(shè)置網(wǎng)絡(luò)磁盤，用戶在登錄客戶機時，會自動將配置文件的存儲路徑映射到網(wǎng)絡(luò)共享位置。在客戶機查看用戶tom的主文件夾域用戶的屬性4）“隸屬于”選項卡“隸屬于”選項卡主要用于設(shè)置用戶屬于哪些組的成員。在默認(rèn)情況下，所有域用戶都隸屬于“DomainUsers”組，如圖所示。“隸屬于”選項卡域用戶的屬性4）“隸屬于”選項卡單擊“添加”按鈕可將當(dāng)前用戶添加到特定組中；選中某個組中的賬戶，然后單擊“刪除”按鈕，可以將該用戶從該組中刪除。域的默認(rèn)組如圖所示。AD的默認(rèn)組域用戶的屬性5）“安全”選項卡在活動目錄的大部分屬性對話框中都有“安全”選項卡，如文件夾的屬性對話框?！鞍踩边x項卡主要用于定義對象（如用戶、文件夾等）的安全項，設(shè)置活動目錄中的組或用戶對當(dāng)前賬戶的權(quán)限。域用戶的創(chuàng)建域用戶的創(chuàng)建當(dāng)有新的用戶需要訪問域中的資源時，需要創(chuàng)建一個新的用戶，創(chuàng)建用戶的方式主要有以下幾種。1）“ActiveDirectory用戶和計算機”窗口中按照向?qū)?chuàng)建用戶（1）在域控制器中打開“ActiveDirectory用戶和計算機”窗口，在左側(cè)的列表框中展開域，右擊“Users”選項，在彈出的快捷菜單中選擇“新建”→“用戶”命令，如圖所示?！癆ctiveDirectory用戶和計算機”窗口域用戶的創(chuàng)建（2）彈出“新建對象-用戶”對話框，在第一個界面中設(shè)置“姓名”“用戶登錄名”等，單擊“下一步”按鈕，在下一個界面中設(shè)置用戶的“密碼”“確認(rèn)密碼”等信息，單擊“下一步”按鈕，如圖所示；在最后一個界面中單擊“完成”按鈕，完成新用戶的創(chuàng)建?！靶陆▽ο?用戶”對話框域用戶的創(chuàng)建2）通過復(fù)制命令創(chuàng)建用戶在域中，域管理員在創(chuàng)建用戶時，需要為用戶設(shè)置相應(yīng)的屬性信息，這些信息包括公共信息（如公司、部門、辦公室、郵政編碼等）和私有信息（如、職務(wù)、姓名、手機、郵箱、家庭住址等）。通過復(fù)制命令可以讓域管理員以一個用戶為模板來創(chuàng)建新用戶，并且為創(chuàng)建的新用戶設(shè)置與被復(fù)制用戶完全一致的公共信息，域管理員只為新用戶設(shè)置私有信息，從而節(jié)約新建用戶的信息編輯時間。域用戶的創(chuàng)建假設(shè)市場部來了一位新員工，我們要為其創(chuàng)建一個新用戶“jack”，并且“jack”用戶和“tom”用戶的部門是一樣的（“jack”的個人信息已經(jīng)輸入完整），那么在創(chuàng)建“jack”用戶時，可以右擊“tom”用戶，在彈出的快捷菜單中選擇“復(fù)制”命令，并按向?qū)瓿尚掠脩簟癹ack”的創(chuàng)建。在“jack”用戶創(chuàng)建完成后，從“jack”用戶和“tom”用戶的屬性對話框中的“組織”選項卡可以看出，“jack”用戶復(fù)制了“tom”用戶的“公司”屬性和“部門”屬性，“職務(wù)”屬性因?qū)儆谒接袑傩远鴽]有被復(fù)制，如圖所示?！癹ack”用戶和“tom”用戶的屬性對話框中的“組織”選項卡對比域用戶的創(chuàng)建3）使用“dsadduser”命令創(chuàng)建用戶在域控制器的命令行中，可以使用“dsadd”命令創(chuàng)建用戶，在“命令提示符”窗口中輸入“dsadd/?”，可以查看該命令的幫助信息。例如，我們要在“”域的“users”容器中創(chuàng)建一個用戶“tony”，可以在“命令提示符”窗口中輸入以下命令。dsaddusercn=tony,ou=users,dc=jan16,dc=cn域用戶的創(chuàng)建在上述命令執(zhí)行成功后，可以在“ActiveDirectory用戶和計算機”窗口中看到剛剛創(chuàng)建的用戶“tony”，過程和結(jié)果如圖所示。在創(chuàng)建“tony”用戶時，因為沒有為該用戶提供密碼，所以該用戶目前處于禁用狀態(tài)，域管理員可以通過為該用戶設(shè)置密碼來啟用該賬戶。

通過dsadd命令創(chuàng)建新用戶“tony”域用戶的創(chuàng)建（4）使用“csvde”命令批量導(dǎo)入用戶。在本項目的任務(wù)中將詳細(xì)介紹如何使用csvde命令批量導(dǎo)入用戶，此處不再贅述。項目9用戶個性化登錄、用戶數(shù)據(jù)漫游活動目錄用戶主名的管理用戶配置文件的管理漫游與強制漫游目錄活動目錄用戶主名的管理用戶主名（UPN）的基本概念用戶主名（UPN）是用戶在登錄Windows網(wǎng)絡(luò)時使用的唯一名稱，其格式為“用戶名@域名”。UPN提供了一種在整個森林范圍內(nèi)唯一標(biāo)識用戶的方式，無論用戶位于哪個域中?；顒幽夸浻脩粼诘卿浻驎r需要進(jìn)行身份驗證，需要輸入自己的用戶主名與密碼。如果企業(yè)搭建了郵件服務(wù)器，那么員工還可以通過使用與用戶主名同名的郵箱與外界進(jìn)行聯(lián)系。因此活動目錄和Exchange的集成在企業(yè)中得到普遍應(yīng)用。用戶主名（UPN）的基本概念如果一些員工使用的是子域賬戶或域目錄林中另一棵樹上的賬戶，那么他們會面臨域賬戶過長或用戶賬戶和郵件賬戶不同的問題。例如，在合并公司時，被合并公司的員工通常習(xí)慣于采用原公司的郵件地址與其客戶通信。因此，在活動目錄中，可以通過設(shè)置UPN后綴增加用戶常用的域名（如），然后在自己的用戶名后應(yīng)用該域名，形成新的用戶主名（如jack@）。在活動目錄數(shù)據(jù)庫中，這個新的用戶主名是原用戶主名的一個別名（如jack@是jack@的別名）。綜上所述，活動目錄用戶主名后綴默認(rèn)為當(dāng)前域和根域的名稱，添加其他域名提供了額外的登錄名稱并簡化了用戶登錄名，該功能還方便實現(xiàn)用戶名和電子郵件地址的一致性。UPN的管理步驟1.查看和修改UPN在活動目錄用戶和計算機管理工具中，找到并右鍵點擊要修改的用戶賬戶。選擇“屬性”，然后在“賬戶”選項卡中查看和修改UPN。修改UPN時，需要確保新的UPN在整個森林中是唯一的。UPN的管理步驟2.啟用和更改UPN后綴（1）在某些情況下，可能需要更改域的UPN后綴。這可以通過修改域的屬性來實現(xiàn)。（2）在“ActiveDirectory域和信任”管理工具中，找到并右鍵點擊要修改的域。（3）選擇“屬性”，然后在“UPN后綴”選項卡中添加、刪除或修改UPN后綴。注意：更改UPN后綴可能會影響所有使用該后綴登錄的用戶，因此在進(jìn)行此操作之前應(yīng)謹(jǐn)慎考慮，并確保通知所有相關(guān)用戶。用戶配置文件的管理用戶配置文件中的內(nèi)容在用戶第一次登錄一臺計算機后，該計算機會為該用戶創(chuàng)建配置相關(guān)的文件和文件夾，即用戶配置文件。用戶配置文件中定義了用戶登錄計算機時獲得的工作環(huán)境，包括桌面設(shè)置、快捷方式、網(wǎng)絡(luò)連接等。所有用戶的配置文件都默認(rèn)存儲于在系統(tǒng)分區(qū)下的“用戶”文件夾中，每個用戶都有一個以自己的用戶名命名的文件夾，如圖所示。用戶配置文件保存目錄用戶配置文件中的內(nèi)容雙擊“jack”文件夾，可以進(jìn)入用戶“jack”的配置文件目錄，如圖所示。

用戶“jack”的配置文件目錄用戶配置文件中的內(nèi)容在圖中可以看到，用戶配置目錄下包括“桌面”“鏈接”“文檔”等文件夾、還包括一些隱藏文件夾，如““開始”菜單”、“MyDocument”、“SendTo”等。這些文件夾中存儲的是用戶登錄計算機時使用的工作環(huán)境，簡要介紹如下。“開始菜單”：存儲用戶登錄以后在“開始”菜單中看到的信息?！癈ookies”：存儲用戶訪問Internet時的Cookies信息。“LocalSettings”：存儲用戶使用的臨時文件和歷史信息，如IE瀏覽器中的臨時文件?！癕yDocuments”：與用戶桌面上的“我的文檔”文件夾相同。“SendTo”：存儲右鍵菜單的“發(fā)送到”菜單中的快捷項?！白烂妗保河脩舻卿浐蟠鎯υ谧烂嫔系奈募臀募A?！癗TUSER.DAT”：存儲不能以文件形式直接存儲的信息，如注冊表信息。用戶配置文件的類型1.默認(rèn)的用戶配置文件。默認(rèn)的用戶配置文件（DefaultUserProfile）在用戶第一次登錄計算機時使用，所有對用戶配置文件的修改都是在默認(rèn)用戶配置文件的基礎(chǔ)上進(jìn)行的。默認(rèn)的用戶配置文件存儲于“%systemdrive%\DocumentsandSettings\DefaultUsers”文件夾和“AllUsers”文件夾中。將這兩個文件夾中的內(nèi)容合并，可以生成用戶的配置文件，并且將該配置文件存儲于以用戶登錄名命名的文件夾中。用戶配置文件的類型2.本地用戶配置文件。存儲在本地的配置文件稱為本地用戶配置文件（LocalUserProfile）。用戶在某臺計算機上第一次登錄時，系統(tǒng)就為該用戶在這臺計算機上創(chuàng)建了本地用戶配置文件。之后，用戶每次登錄這臺計算機，都會使用該配置文件配置用戶的工作環(huán)境。如果用戶登錄另一臺計算機，那么本地用戶配置文件不會起作用。一臺計算機中可以有多個本地用戶配置文件，分別對應(yīng)多個曾經(jīng)登錄過該計算機的用戶。用戶的配置文件不能直接編輯。要修改用戶的配置文件中的內(nèi)容，需要使用該用戶登錄這臺計算機，然后手動修改用戶的工作環(huán)境，如桌面設(shè)置、快捷方式等，系統(tǒng)會自動將修改后的配置保存到用戶配置文件中。用戶配置文件的類型要查看當(dāng)前計算機中有哪些用戶的配置文件，其操作步驟如下。（1）右擊任務(wù)欄中的“開始”圖標(biāo)，在彈出的快捷菜單中選擇“系統(tǒng)”命令，打開“設(shè)置”窗口，在右邊的界面中選擇“高級系統(tǒng)設(shè)置”選項，彈出“系統(tǒng)屬性”對話框，如圖所示?！跋到y(tǒng)屬性”對話框用戶配置文件的類型（2）在“用戶配置文件”選區(qū)中單擊“設(shè)置”按鈕，彈出“用戶配置文件”對話框，在該對話框中可以查看當(dāng)前計算機上有哪些用戶的配置文件，如圖所示。“用戶配置文件”對話框用戶配置文件的類型（2）在“用戶配置文件”選區(qū)中單擊“設(shè)置”按鈕，彈出“用戶配置文件”對話框，在該對話框中可以查看當(dāng)前計算機上有哪些用戶的配置文件，如圖所示。注意：域用戶的配置文件名稱為“域名\用戶登錄名”，本地用戶的配置文件名稱為“計算機名\用戶登錄名”。圖中有兩個Administrator用戶，一個是域用戶，一個是本地用戶?！坝脩襞渲梦募睂υ捒蚵闻c強制漫游漫游用戶配置文件

漫游用戶配置文件（RoamingUserProfiles）是WindowsNT家族操作系統(tǒng)中的一個概念，它允許一臺計算機上的用戶加入一個WindowsServer域，從而在同一網(wǎng)絡(luò)的任何計算機上登錄和訪問自己的各項文檔和獲得一致的桌面體驗（諸如工具欄位置、桌面設(shè)置等）。這意味著用戶的個性化設(shè)置和文件可以隨著用戶在網(wǎng)絡(luò)中的移動而自動同步，無論用戶在哪臺計算機上登錄，都能獲得相同的桌面環(huán)境和訪問權(quán)限。漫游用戶配置文件

注意：漫游通常應(yīng)用于用戶使用同種類型的操作系統(tǒng)情況下，如果用戶經(jīng)常切換不同操作系統(tǒng)，那么當(dāng)用戶當(dāng)前操作系統(tǒng)的桌面配置和存儲在網(wǎng)絡(luò)服務(wù)器上的桌面配置不一致時，當(dāng)前操作系統(tǒng)會讓該用戶使用臨時桌面，期間用戶產(chǎn)生的用戶數(shù)據(jù)將不會保存到存儲服務(wù)器中。漫游用戶實現(xiàn)方式配置文件存儲漫游用戶配置文件信息被存儲在可從任何域內(nèi)聯(lián)網(wǎng)計算機訪問的集中式文件服務(wù)器上。當(dāng)用戶登錄到域中的任何一臺計算機時，系統(tǒng)會從文件服務(wù)器上下載該用戶的配置文件到本地計算機，并在用戶注銷時將其上傳回文件服務(wù)器。登錄過程登錄時：本地計算機上的登錄界面會檢查用戶是否存在于域中而不是存于本地計算機。如果域登錄成功，則會將漫游配置文件從中央文件服務(wù)器復(fù)制到本地計算機，并為該用戶創(chuàng)建本地帳戶（如果尚不存在）。注銷過程注銷時：用戶的漫游配置文件會從本地計算機合并回中央文件服務(wù)器，但請注意，這并不意味著所有本地更改都會被刪除；實際上，它們只是被合并或更新到文件服務(wù)器上的配置文件中。漫游用戶優(yōu)勢一致性無論用戶在哪臺計算機上登錄，都能獲得相同的桌面環(huán)境和訪問權(quán)限。便捷性用戶無需手動同步或復(fù)制文件即可在不同計算機之間無縫切換。集中管理管理員可以集中管理用戶配置文件，便于備份和恢復(fù)。漫游用戶限制性能問題隨著配置文件的增大和網(wǎng)絡(luò)的擁塞，登錄和注銷過程可能會變得緩慢。網(wǎng)絡(luò)依賴如果網(wǎng)絡(luò)不可用或文件服務(wù)器出現(xiàn)故障，用戶可能無法登錄或訪問其配置文件。安全性配置文件在傳輸過程中可能面臨安全風(fēng)險，需要確保網(wǎng)絡(luò)安全和文件服務(wù)器的安全。強制漫游用戶配置文件可以根據(jù)需要，將漫游用戶配置文件配置為強制漫游用戶配置文件。強制漫游用戶配置文件是指用戶在網(wǎng)絡(luò)中的任何計算機上登錄時，其個性化設(shè)置和文件都會被強制從網(wǎng)絡(luò)服務(wù)器上的配置文件同步到本地計算機，并且在用戶注銷時，本地計算機上的任何更改都不會被保存回網(wǎng)絡(luò)服務(wù)器，而是恢復(fù)到登錄前的狀態(tài)。在活動目錄中，經(jīng)常會將實習(xí)生用戶、員工用戶等設(shè)置為強制漫游用戶，以便統(tǒng)一工作環(huán)境。強制漫游用戶實現(xiàn)方式1.創(chuàng)建共享文件夾：（1）在網(wǎng)絡(luò)服務(wù)器上創(chuàng)建一個共享文件夾，用于存儲所有用戶的強制漫游配置文件。（2）設(shè)置共享文件夾的權(quán)限，確保只有域用戶和相應(yīng)的管理員有權(quán)訪問。強制漫游用戶實現(xiàn)方式2.配置用戶屬性：（1）在ActiveDirectory用戶和計算機管理工具中，找到需要配置強制漫游配置文件的用戶。（2）修改用戶屬性，將用戶配置文件的路徑設(shè)置為網(wǎng)絡(luò)服務(wù)器上共享文件夾的路徑，并加上用戶的用戶名作為子文件夾名。例如：\\ServerName\Profiles\%Username%，其中“ServerName”是服務(wù)器名，“Profiles”是共享文件夾名，“%Username”是自動替換為用戶名的變量。強制漫游用戶實現(xiàn)方式3.修改NTUSER.DAT文件：（1）在用戶首次登錄并創(chuàng)建漫游配置文件后，管理員需要找到該用戶的NTUSER.DAT文件（通常位于用戶的配置文件文件夾中）。（2）將NTUSER.DAT文件重命名為NTUSER.MAN，以表示這是一個強制漫游配置文件。注意：這一步操作需要謹(jǐn)慎進(jìn)行，因為一旦文件被重命名，用戶將無法再對其進(jìn)行更改。強制漫游用戶的特點強制性用戶無法更改或繞過強制漫游用戶配置文件的設(shè)置。同步性用戶在不同計算機上登錄時，都能獲得相同的桌面環(huán)境和訪問權(quán)限。不可更改性用戶注銷后，本地計算機上的任何更改都不會被保存，保證了配置文件的一致性和穩(wěn)定性。項目10將域成員設(shè)置為客戶機的管理員域中內(nèi)置組、預(yù)定義組和特殊組的管理域成員計算機中組賬戶的管理域成員計算機中用戶賬戶的管理用戶權(quán)限最小化原則的應(yīng)用目錄域中內(nèi)置組、預(yù)定義組和特殊組的管理域中組的概念在WindowsServer2022中，組是一個非常重要的概念。用戶賬戶主要用于標(biāo)識網(wǎng)絡(luò)中的用戶，組主要用于組織用戶賬戶。利用組可以將具有相同特點及屬性的用戶賬戶組織在一起，以便管理員進(jìn)行管理。當(dāng)網(wǎng)絡(luò)中的用戶數(shù)量非常多時，給每個用戶授予資源訪問權(quán)限的工作會非常繁雜，而具有相同身份的用戶的資源訪問權(quán)限通常也相同，因此可以將具有相同身份的用戶加入一個邏輯實體，并且為該邏輯實體賦予資源訪問權(quán)限，從而減少工作量，簡化對資源的管理。這個邏輯實體就是組。組的特點組是用戶賬戶的邏輯集合，刪除組并不會將組內(nèi)的用戶賬戶刪除。在將一個用戶賬戶加入一個組后，該用戶賬戶就會獲得該組所擁有的全部權(quán)限。一個用戶賬戶可以是多個組的成員。在特定情況下，組是可以嵌套的，即組中可以包含其他組。域中內(nèi)置組、預(yù)定義組和特殊組的管理在活動目錄的域中，可以將組分為3類：內(nèi)置組、預(yù)定義組和特殊組。1）內(nèi)置組內(nèi)置組位于“Builtin”容器中，如圖所示。這些內(nèi)置組都是域本地安全組，可以給用戶提供預(yù)定義的權(quán)利和權(quán)限。用戶不能修改內(nèi)置組的權(quán)限設(shè)置。當(dāng)需要某個用戶執(zhí)行管理任務(wù)時（授權(quán)），只需將該用戶賬戶加入相應(yīng)的內(nèi)置組。下面簡要介紹幾個較為常用的內(nèi)置組?！癆ctiveDirectory用戶和計算機”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理AccountOperators（用戶賬戶操作員組）：該組中成員可以創(chuàng)建、刪除和修改用戶賬戶的隸屬組，但是不能修改“Administrators”組和“AccountOperators”組?！癆ctiveDirectory用戶和計算機”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理Administrators（管理員組）：該組中的成員對域控制器及域中的所有資源都具有完全控制權(quán)限，并且可以根據(jù)需要為其他用戶賦予相應(yīng)的權(quán)利和訪問權(quán)限。在默認(rèn)情況下，“Administrator”賬戶、“DomainAdmins”和“EnterpriseAdmins”預(yù)定義全局組是該組的成員。由于該組中的成員可以完全控制域控制器，所以在向該組中添加用戶賬戶時要謹(jǐn)慎?！癆ctiveDirectory用戶和計算機”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理BackupOperators（備份操作員組）：該組中的成員可以備份和還原域控制器中的文件，不管是否有該文件的的訪問權(quán)限。這是因為執(zhí)行備份任務(wù)的權(quán)限要高于所有文件權(quán)限。但該組成員不能更改文件的安全設(shè)置?！癆ctiveDirectory用戶和計算機”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理Guests（來賓組）：該組中的成員只能執(zhí)行授權(quán)任務(wù)，以及訪問為其分配了訪問權(quán)限的資源。該組中的成員具有一個在登錄時創(chuàng)建的臨時配置文件，在注銷時，該配置文件會被刪除。來賓賬戶“Guest”是該組中的默認(rèn)成員?！癆ctiveDirectory用戶和計算機”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理NetworkConfigurationOperators（網(wǎng)絡(luò)配置操作員組）：該組中的成員可以更改TCP/IP配置。PerformanceLogUsers（性能日志用戶組）：該組中的成員可以從本地服務(wù)器和遠(yuǎn)程客戶端管理性能計數(shù)器、收集性能日志?！癆ctiveDirectory用戶和計算機”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理PrintOperators（打印機操作員組）：該組中的成員可以管理打印機和打印隊列。ServerOperators（服務(wù)器操作員組）：該組中的其成員只可以共享磁盤資源和在域控制器上備份和恢復(fù)文件?！癆ctiveDirectory用戶和計算機”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理Users（用戶組）：該組中的成員可以執(zhí)行一些常見任務(wù)，如運行應(yīng)用程序、使用網(wǎng)絡(luò)打印機等。該組中的成員不能共享目錄和創(chuàng)建本地打印機等。在默認(rèn)情況下，“DomainUsers”賬戶是“AuthenticatedUsers”賬戶是該組中的成員。因此，在域中創(chuàng)建的所有用戶都將成為該組的成員。“ActiveDirectory用戶和計算機”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理2）預(yù)定義全局組在域創(chuàng)建完成后，打開“ActiveDirectory用戶和計算機”窗口，可以看到“Users”容器中創(chuàng)建了預(yù)定義全局組，如圖所示。下面簡要介紹幾個較為常用的預(yù)定義全局組。“ActiveDirectory用戶和計算機”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理DomainAdmins（域管理員組）：WindowsServer2022會自動將預(yù)定義組“DomainAdmins”添加到內(nèi)置組“Administrators”中，因此域管理員可以在域中的任意一臺計算機上執(zhí)行管理任務(wù)?！癆dministrator”賬戶是該組中的默認(rèn)成員。“ActiveDirectory用戶和計算機”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理DomainGuests（域來賓組）：WindowsServer2022會自動將預(yù)定義組“DomainGuests”組添加到“Guests”內(nèi)置域組中，Guest賬戶默認(rèn)是該組的成員。“ActiveDirectory用戶和計算機”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理DomainUsers（域用戶組）：WindowsServer2022自動將自定義組“DomainUsers”添加到內(nèi)置組“Users”中。新建的域用戶都是該組中的默認(rèn)成員?！癆ctiveDirectory用戶和計算機”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理3）特殊組在WindowsServer2022服務(wù)器上還有一些特殊組，這些組中沒有特定的成員關(guān)系，但是它們可以在不同時間代表不同的用戶，這取決于用戶采取哪種方式訪問計算機，訪問什么資源。在執(zhí)行組管理時，特殊組不可見，但是在給資源分配權(quán)限時會使用它們。域中內(nèi)置組、預(yù)定義組和特殊組的管理（1）AnonymousLogon（匿名登錄組）：該組中的成員都是沒有經(jīng)過身份驗證的用戶賬戶。（2）AuthenticatedUsers（已認(rèn)證的用戶組）：該組中的成員都是合法用戶賬戶。使用“AuthenticatedUsers”組可以禁用匿名訪問某個資源。“AuthenticatedUsers”組不包括“Guest”賬戶。（3）Everyone（每人組）：該組中的成員都是訪問該計算機的所有用戶賬戶，如“AuthenticatedUsers”組和“Guests”組中的用戶賬戶，因此在給“Everyone”組分配權(quán)限時要特別注意。域中內(nèi)置組、預(yù)定義組和特殊組的管理（4）CreatorOwner（創(chuàng)建所有者組）：該組中的成員都是創(chuàng)建和取得所有權(quán)的用戶賬戶。（5）Interactive（交互組）：該組中的成員是當(dāng)前登錄計算機或通過遠(yuǎn)程桌面連接登錄到域的所有用戶賬戶。（6）Network（網(wǎng)絡(luò)組）：該組中的成員是通過網(wǎng)絡(luò)連接所有登錄到域的用戶賬戶。（7）TerminalServerUsers（終端服務(wù)器用戶組）：當(dāng)以應(yīng)用程序服務(wù)器模式安裝終端服務(wù)器時，該組中的成員是使用終端服務(wù)器登錄到域的任意用戶賬戶。（8）Dialup（撥號組）：該組中的成員是當(dāng)前進(jìn)行撥號連接的用戶賬戶。域成員計算機中組賬戶的管理域成員計算機中組賬戶的管理在域內(nèi)，即使將成員計算機加入域，它們的內(nèi)置本地組也會保留，并且依托這些內(nèi)置本地組為域用戶提供在本機上執(zhí)行管理任務(wù)的權(quán)限。同域中的內(nèi)置組一樣，成員計算機的用戶賬戶也不能修改內(nèi)置本地組的權(quán)限設(shè)置。當(dāng)需要用戶賬戶在本地計算機上執(zhí)行相應(yīng)的管理任務(wù)時，只需將用戶賬戶加入相應(yīng)的內(nèi)置本地組。域成員計算機中組賬戶的管理在任務(wù)欄中右擊“開始”圖標(biāo)，在彈出的快捷菜單中選擇“計算機管理”命令，打開“計算機管理”窗口，在左側(cè)的列表框中選擇“系統(tǒng)工具”→“本地用戶和組”選項，可以查看內(nèi)置本地組，如圖所示。下面就其中幾個較為常用的組做簡要介紹。域成員計算機的內(nèi)置本地組域成員計算機中組賬戶的管理Administrators（管理員組）：該組中的成員具有對域客戶機的完全控制權(quán)限，并且可以為其他用戶分配權(quán)限?！癆dministrators”組中的成員如圖所示，“DomainAdmins”組是該組中的默認(rèn)成員，而域管理員是“DomainAdmins”組中的成員，因此域管理員默認(rèn)擁有所有域成員計算機的管理權(quán)限?！癆dministrators”組中的成員域成員計算機中組賬戶的管理Users（用戶組）：該組中的成員只可以執(zhí)行被授權(quán)的任務(wù)，只能訪問具有訪問權(quán)限的資源?！癠sers”組中的成員如圖所示，“DomainUsers”組是該組中的默認(rèn)成員，而域用戶是“DomainUsers”組中的默認(rèn)成員，所以域用戶默認(rèn)擁有使用域成員計算機的權(quán)限?！癠sers”組中的成員域成員計算機中用戶賬戶的管理域成員計算機中用戶賬戶的管理域控制器負(fù)責(zé)管理域用戶賬戶和域組賬戶，沒有本地用戶賬戶和本地組賬戶。域成員計算機有本地用戶賬戶和本地組賬戶，為了管理方便，域管理通常回收了成員計算機的本地用戶賬戶，僅允許員工以域用戶賬戶的身份在客戶機登錄。用戶權(quán)限最小化原則的應(yīng)用用戶權(quán)限最小化原則的應(yīng)用1）域控制器的用戶權(quán)限域控制中的內(nèi)置組預(yù)先為戶定義了與之匹配的操作域控制器的具體權(quán)限，新建的域用戶都是“DomainUsers”組中的默認(rèn)，該組的成員可以執(zhí)行一些常見任務(wù)，如運行應(yīng)用程序、使用網(wǎng)絡(luò)打印機等，但不能共享目錄、修改計算機配置等。如果要讓域用戶擁有更多的權(quán)限，則可以將其添加到擁有對應(yīng)權(quán)限的組中。例如，網(wǎng)絡(luò)部員工用戶“tom”經(jīng)常需要備份域控制器中的文件，可以將域用戶“tom”添加入“BackupOperators”組中，從而滿足“tom”用戶的工作需求。用戶權(quán)限最小化原則的應(yīng)用注意：不能將“TOM”添加入“DomainAdmins”組中，因為該組不僅具有域控制器的備份與還原權(quán)限，還具有域用戶的添加與刪除、域控制器的安全部署與配置等權(quán)限。如果將“TOM”用戶添加到該組中，則可能會給域的管理帶來混亂，影響公司域的正常運作，甚至造成信息外泄等嚴(yán)重后果。因此，在為域用戶授權(quán)時，應(yīng)該遵從權(quán)限最小化原則，在權(quán)限上避免員工的非法操作。用戶權(quán)限最小化原則的應(yīng)用2）域成員計算機的用戶權(quán)限同域控制器的用戶權(quán)限類似，域成員計算機的用戶權(quán)限也是由內(nèi)置組預(yù)先定義的，如果域用戶需要域成員計算機擁有更多的操作權(quán)限，則需要將該域用戶添加到相應(yīng)的域成員計算機內(nèi)置組中。用戶權(quán)限最小化原則的應(yīng)用注意：域控制器中內(nèi)置組的權(quán)限范圍是所有的域控制器，因此，如果將域用戶加入域控制器中的內(nèi)置組，那么該域用戶繼承的權(quán)限可以作用于所有的域控制器，但這些權(quán)限不能作用于域成員計算機；如果將域用戶加入“DomainAdmins”組，那么該域用戶繼承的權(quán)限不僅可以作用于所有的域控制器，還可以作用于域成員計算機。域成員計算機中內(nèi)置組的權(quán)限范圍是本機。因此，如果一個域用戶需要具有多臺域成員計算機的特定權(quán)限，則需要將該域用戶添加到這些域成員計算機中的相應(yīng)內(nèi)置組來授權(quán)。項目11管理將計算機加入域的權(quán)限普通域用戶將計算機加入域的權(quán)限普通域用戶將指定計算機加入域的權(quán)限域控制器和域成員計算機之間的信任關(guān)系目錄普通域用戶將計算機加入域的權(quán)限普通域用戶將計算機加入域的權(quán)限在默認(rèn)情況下，一個普通域賬戶最多可以將10臺計算機加入域，這有可能導(dǎo)致普通域用戶將外部計算機加入域，存在不可預(yù)期的安全隱患。將普通域用戶允許加入域的計算機數(shù)量由10改為0，如圖所示，即可限制該域用戶將計算機加入域的權(quán)限。普通域用戶將指定計算機加入域的權(quán)限普通域用戶將指定計算機加入域的權(quán)限在限制了普通域賬戶將計算機加入域的權(quán)限后，域管理員可以授權(quán)普通域用戶將指定的計算機加入域。例如，要將一臺名為“sqlserver2”的計算機加入活動目錄的“網(wǎng)絡(luò)部”組織單位，域管理員可以在“ActiveDirectory用戶與計算機”管理控制臺的“業(yè)務(wù)部”組織單位中的右鍵菜單中選擇“新建”→“計算機”命令，彈出“新建對象-計算機”對話框，如圖所示。新建-計算機賬戶普通域用戶將指定計算機加入域的權(quán)限在“計算機名”文本框中輸入“sqlserver2”，在“用戶或組”中選擇網(wǎng)絡(luò)部用戶“jack@”（授權(quán)普通用戶“jack”），這樣用戶“jack”就可以將該客戶機加入域了。計算機sqlserver2在加入域后，用戶“jack”的委派工作就結(jié)束了。

添加對象-計算機域控制器和域成員計算機之間的信任關(guān)系信任關(guān)系的定義在Windows域環(huán)境中，信任關(guān)系是在域之間（包括域控制器和域成員計算機）建立的一種關(guān)系，它允許一個域中的用戶和資源能夠被另一個域中的域控制器進(jìn)行身份驗證和訪問控制。這種信任關(guān)系是通過活動目錄中的策略和設(shè)置來實現(xiàn)的。如果域成員計算機長時間未登錄域，那么域控制器和客戶機之間的信任關(guān)系會被破壞。例如，域成員計算機計算機超過30天沒有登錄域，會導(dǎo)致安全通道密碼發(fā)生變化，需要重置安全通道密碼。在這種情況下，通常需要將該計算機從域中退出，再將其重新加入域。域控制器和域成員計算機之間的信任關(guān)系身份驗證用戶訪問網(wǎng)絡(luò)資源時，需通過域控制器驗證其身份。驗證基于活動目錄的權(quán)限，且依賴域控制器與成員計算機間的信任關(guān)系。信任關(guān)系一旦受損，用戶將無法訪問資源。策略應(yīng)用域控制器運用組策略統(tǒng)一配置域內(nèi)計算機，確保安全與管理的標(biāo)準(zhǔn)化。此應(yīng)用同樣依賴于域控制器與成員計算機間的信任關(guān)系。資源訪問域內(nèi)資源訪問基于域控與成員間的信任。用戶訪問時，域控制器會驗證用戶的身份和權(quán)限，決定訪問是否通過。維護信任關(guān)系的重要性安全性信任關(guān)系確保了域內(nèi)用戶和資源的安全訪問。如果信任關(guān)系被破壞，未經(jīng)授權(quán)的用戶可能會訪問敏感資源，導(dǎo)致數(shù)據(jù)泄露或損壞。穩(wěn)定性穩(wěn)定的信任關(guān)系有助于確保域環(huán)境的穩(wěn)定運行。如果信任關(guān)系出現(xiàn)問題，可能會導(dǎo)致身份驗證失敗、資源訪問受限等問題，影響用戶的正常工作。管理性通過信任關(guān)系，管理員可以更方便地管理域內(nèi)的用戶和資源。例如，他們可以使用組策略來統(tǒng)一設(shè)置用戶環(huán)境、應(yīng)用程序和安全策略等。項目12組的管理與AGUDLP原則組的類型組的作用域AGUDLP原則目錄組的類型組的類型在活動目錄中，有兩種不同類型的組：通訊組和安全組。通訊組存儲著用戶的聯(lián)系方式，用于進(jìn)行批量用戶之間的通信，如群發(fā)郵件、開視頻會議等，它沒有安全特性，不可用于進(jìn)行授權(quán)。安全組具備通訊組的全部功能，用于為用戶和計算機分配權(quán)限，是WindowsServer2022標(biāo)準(zhǔn)的安全主體。通訊組的特點郵件通訊通訊組的核心功能是作為郵件的收件人群組，方便群發(fā)郵件。當(dāng)需要向一組人發(fā)送相同內(nèi)容的郵件時，只需將郵件發(fā)送給通訊組，即可實現(xiàn)批量發(fā)送。無安全特性通訊組沒有安全標(biāo)識（SID），因此不能用于授權(quán)訪問網(wǎng)絡(luò)資源或本地資源。它僅用于郵件通訊，不涉及權(quán)限管理。靈活性通訊組的成員可以靈活添加和刪除，以適應(yīng)不同的通訊需求。管理員可以根據(jù)實際情況調(diào)整組成員，確保郵件能夠準(zhǔn)確發(fā)送給需要的人。易于管理通訊組簡化了郵件通訊的管理過程，減少了重復(fù)發(fā)送郵件的工作量。通過管理通訊組，可以更有效地控制郵件的發(fā)送對象和發(fā)送內(nèi)容。安全組特點安全標(biāo)識（SID）：安全組擁有唯一的SID，使其能作為授權(quán)資源訪問的對象，SID是Windows系統(tǒng)中用來唯一識別用戶