Active Directory 产品操作指南-第 5 章 — 附录

ActiveDirectory域控制器安装⼿册Active Directory域控制器安装指南1.1Active Directory介绍1.1.1功能介绍Active Directory提供了⼀种⽅式，⽤于管理组成组织⽹络的标识和关系。

Active Directory与Windows Server 2008 R2的集成，为我们带来了开箱即⽤的功能，通过这些功能我们可以集中配置和管理系统、⽤户和应⽤程序设置。

Active Directory域服务（AD DS，Active Directory Domain Services）存储⽬录数据，管理⽤户和域之间的通信，包括⽤户登录过程、⾝份验证，以及⽬录搜索。

此外还集成其它⾓⾊，为我们带来了标识和访问控制特性和技术，这些特性提供了⼀种集中管理⾝份信息的⽅式，以及只允许合法⽤户访问设备、程序和数据的技术。

1.1.2Active Directory域服务AD DS是配置信息、⾝份验证请求和森林中所有对象信息的集中存储位置。

利⽤Active Directory，我们可以在⼀个安全集中的位置中，⾼效地管理⽤户、计算机、组、打印机、应⽤程序以及其它⽀持⽬录的对象。

*审查。

对Active Directory对象的修改可以记录下来，这样我们就可以知道这个对象做了哪些修改，以及被修改属性的历史值和当前值。

*粒度更细的密码。

密码策略可以针对域中单独的组进⾏配置。

不需要每个帐户都使⽤域中相同的密码策略了。

*只读的域控制器。

当域控制器的安全⽆法得到保障时，我们可以部署⼀台只有只读版本Active Directory数据库的域控制器，例如在分⽀办公室，这种环境下域控制器的物理安全都是个问题，⼜如承载了其他⾓⾊的域控制器，其他⽤户也需要登录和管理这台服务器。

只读域控制器（RODC，Read-Only Domain Controllers）的使⽤，可以防⽌在分⽀机构对它潜在的意外修改，然后通过复制导致AD森林数据的损坏。

Active Directory 产品操作指南第 3 章—详细的维护操作本页内容概述过程：备份Active Directory过程：Active Directory 的非授权还原过程：Active Directory 对象的授权还原过程：通过重新安全恢复域控制器过程：为现有域安装域控制器过程：删除Active Directory过程：重命名域控制器过程：管理Active Directory 数据库过程：管理SYSVOL过程：管理Windows 时间服务任务：配置林的时间源任务：在计算机，而不是在PDC 仿真器上配置可靠时间源任务：配置客户端以向特定时间源请求时间任务：优化轮询间隔任务：禁用Windows 时间服务过程：管理信任过程：管理站点任务：添加新站点任务：将子网添加至网络任务：链接复制站点任务：更改站点链接属性任务：将域控制器移至不同的站点任务：删除站点过程：管理域控制器上的防病毒软件过程：添加全局编录过程：从域控制器中删除全局编录过程：确认站点中的全局编录服务器过程：移动操作主机角色步骤：减少PDC 仿真器的工作量过程：传输角色持有者过程：占用操作主机角色过程：选择备用操作主机概述本章提供了有关维护Active Directory 所必须执行的过程的详细信息。

这些过程是按照其所属的MOF 象限来排列顺序，在每个象限中则遵照构成该象限的MOF 服务管理功能(SMF) 指南。

这些象限是：•操作象限•支持象限•优化象限•更改象限操作象限系统管理SMF 操作角色群每日返回页首过程：备份Active Directory说明将Active Directory 作为Microsoft® Windows 系统状态（彼此依赖的系统组件集合）的一部分进行备份。

必须对所有的系统状态组件进行备份并存储在一起。

域控制器上的系统状态组件包括：•系统启动（引导）文件。

这是Windows Server 2003 启动所必需的文件。

如何使用ActiveDirectory管理Windows用户和组Active Directory(AD)是Windows操作系统中最常用的目录服务，它允许管理员集中管理用户账户、安全策略、组织单位等，为组织提供基于角色的访问控制和身份认证。

本文将介绍如何使用Active Directory管理Windows用户和组。

第一章：Active Directory简介Active Directory是Windows Server操作系统的一项功能，用于集中管理用户、计算机、服务和其他资源。

它提供了分层的目录结构，按照域的概念组织，每个域包含一个或多个域控制器(Domain Controller)。

域控制器负责存储、验证和复制目录信息。

第二章：创建AD域和域控制器首先，我们需要创建一个自己的AD域。

在开始之前，请确保你有一台安装了Windows Server操作系统的计算机，并且以管理员身份登录。

打开“服务器管理器”，选择“添加角色和功能”，在向导中选择“Active Directory域服务”。

按照向导的提示完成安装，安装过程中会要求你创建一个新的域或加入现有域。

第三章：添加用户账户在Active Directory中，用户账户用来标识和验证用户。

为了添加新的用户账户，我们可以打开“Active Directory用户和计算机”，在合适的组织单位(OU)下右键选择“新建用户”并按照向导的提示填写相关信息。

一般来说，我们需要设置账户名称、用户名、密码、描述等信息。

新建用户账户后，可以通过选中该用户账户，右键选择“重置密码”来更改用户密码。

第四章：创建和管理组在Active Directory中，组用于将用户账户和计算机账户进行逻辑分组，以便于管理。

创建新组的方法与添加用户账户类似，只需在“Active Directory用户和计算机”中选择合适的OU，右键选择“新建组”。

在组属性中，我们可以设置组名称、描述、成员等信息。

管理手册：Active Directory 架构目录1.概述 (2)2.Active Directory 架构管理单元 (2)3.安装、保护和查看架构 (2)3.1.安装 Active Directory 架构管理单元 (3)3.2.应用 Active Directory 架构管理权限 (4)3.3.查看架构类和属性定义 (4)附录：Active Directory 架构用户界面说明 (5)<ClassName>属性 - 常规选项卡 (5)<ClassName>属性 - 关系选项卡 (6)<ClassName>属性 - 特性选项卡 (6)<AttributeName>属性页 (7)新建架构类对话框 - 布局 1 (8)新建架构类对话框 - 布局 2 (9)新建属性对话框 (9)更改架构主机对话框 (10)1.概述Active Directory(R) 架构是一个 Microsoft 管理控制台 (MMC) 管理单元，可用于查看和管理Active Directory 域服务 (AD DS) 架构。

还可以使用 Active Directory 架构管理单元查看和管理Active Directory 轻型目录服务 (AD LDS) 架构对象。

架构定义架构包含可在 Active Directory 林中创建的每个对象类的正式定义，还包含可以放置于或必须放置于 Active Directory 对象中的每个属性的正式定义。

架构容器Active Directory 架构管理单元包含以下两个容器：“类”容器和“属性”容器。

这些容器用于存储类和属性定义。

这些定义采用 classSchema 对象和 attributeSchema 对象的形式，前者可用来查看“类”容器，后者可用来查看“属性”容器。

架构更改只有在极少情况下，可以更改AD DS 架构。

架构更改中的错误会导致数据丢失和损坏。

Active Directory活动目录的安装及配置活动目录是通过Active Directory域服务来实现的，Active Directory域服务是一种网络服务，它存储网络资源的信息并使得用户和应用程序能访问这些资源。

在准备好的Windows Server 2008平台上安装Active Directory域服务，要一次进行如下步骤：首先点击-开始-程序-管理工具-服务器管理器-命令，然后进入服务器管理器的主界面，选择-角色-选项，然后在角色选项区域内单击-添加角色-按钮。

如图3-1所示：图 3-1 添加角色界面在弹出的“添加角色向导”对话框里面单击“下一步”按钮。

单击下一步之后将弹出“选择服务器角色”对话框，在对话框里面选择要安装的Active Directory域服务并单击“下一步”按钮。

单击下一步之后会出现Active Directory域服务简介页面。

简介页面包括Active Directory域服务，注意事项和其他信息三项。

之后单击“下一步”按钮，将弹出“确认安装选择”对话框，直接单击“安装”按钮系统进入安装Active Directory域服务。

稍等一会安装完成会出现“安装结果”对话框，在此对话框里可以看到已安装角色如图3-2：图 3-2 安装结果界面单击“关闭”按钮，Active Directory域服务就成功安装在此服务器上。

要将这台已经安装了Active Directory域服务器设置为正在运行的域控制器，还有安装活动目录。

活动目录安装向导可将管理员的服务器配置为域控制器或额外域控制器。

在Windows Server 2008上安装活动目录，首先在独立服务器计算机上执行以下命令。

点击-开始-运行命令，然后输入“dcpromo”命令，按“Enter键”启动“Active Directory域服务安装向导”。

尔后单击“下一步”按钮，在弹出的“操作系统兼容性”对话框点击下一步，在弹出“选择莫一部署配置”对话框上选择“在新林中新建域”，然后根据向导在弹出的“命名林根域”对话框中输入域名，针对本设计域名设为。

Active Directory部署之完全手册本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:AmericanIP:192.168.0.253子网掩码:255.255.255.0DNS: 192.168.0.253 (因为我要把这台机器配置成DNS服务器)点开始—运行输入dcpromo:待活动目录安装向导启动:点击下一步:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

然后点击“下一步”：在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”, 然后点“下一步”:我们把DNS Server与域控制器集成是有很多好处：1、基于Active Directory 功能的多主机更新和增强的安全性。

2、只要将新的区域添加到Active Directory 域，区域就会自动复制并同步至新的域控制器。

3、通过将DNS 区域数据库的存储集成到Active Directory 中，可以针对网络简化数据库复制规划。

4、与标准DNS 复制相比，目录复制更快捷、更有效。

5、该目录中只能存储主要区域。

DNS 服务器不能在目录中存储辅助区域。

因此，它必须在标准文本文件中存储这些数据。

如果将所有的区域都存储在Active Directory 中，Active Directory 的多主机复制模式将不再需要辅助区域。

OK，我们默认然后点“下一步”：在这里我们输入我们预先想好的域名：然后点“下一步”：这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

activedirectory教程入门active directory教程入门active directory教程入门。

对于刚接触活动目录的朋友们来说，寻找一份适合active directory入门循序渐进的教程比较难，很少有资料进行active directory介绍。

本文就收集了一些这样的资源，供大家学习active directory活动目录。

目录Active Directory是什么？Active Directory教程下载Active Directory安装Active Directory配置Active Directory下载Active Directory备份Active Directory DNS首先让我们来看看：active directory是什么简单来说，活动目录的首要任务或者说主要目标是客户端的安全管理，然后是客户端的标准化管理。

再对这两个概念进行一下扩展：您看到的文章来自活动目录seo安全管理：说的形象一些，举个例子。

你的用户使用计算机是不是经常的乱装软件，乱拷东西，然后病毒一堆，而这些破事儿却要怪罪到你的头上？标转化管理：也举个例子。

你的老板是不是曾经让你把所有计算机的软件或者桌面都统一一下，不要在桌面上放超级女生快乐男孩的图片？如果这两点完成了，那么再往高级了说，活动目录将成为企业基础架构的根本，所有的高级服务都会向活动目录整合，以利用其统一的身份验证、安全管理以及资源公用。

Active Directory介绍的更多文章请参考安装活动目录的作用和意义|微软Windows2000-2003-2008Activedirectory ...活动目录,破门而入! 活动目录SEO活动目录ActiveDirectories的作用以及优势活动目录SEOActive Directory|windows 2008域服务(1) 活动目录SEO更多内容请参考活动目录ActiveDirectories的作用以及优势Active Directory教程下载在哪里下载？请访问“活动目录”系列讲座――“Active Directory week”Active Directory教程有哪些？•将 Windows Server 2003 安装为域控制器本文档是一个分步指南系列的第一部分，该分步指南介绍如何建立通用网络结构以部署 Microsoft WindowsServer 2003 操作系统。

一．手动安装Active Directory：1.单击“开始”按钮，单击“运行”，键入“DCPROMO”，然后单击“确定”。

2.在出现“Active Directory 安装向导”时，单击“下一步”开始安装。

3.阅读“操作系统兼容性”信息后，单击“下一步”。

4.选择“新域的域控制器”（默认），然后单击“下一步”。

5.选择“在新林中的域”（默认），然后单击“下一步”。

6.对于“DNS 全名”，键入“”，然后单击“下一步”。

（这表示一个完全限定的名称。

）7.单击“下一步”，接受将“test”作为默认“域NetBIOS 名”。

（NetBIOS 名称提供向下兼容性。

）8.在“数据库和日志文件文件夹”屏幕上，将Active Directory“日志文件文件夹”指向“L:\Windows\NTDS”，然后单击“下一步”继续。

9.保留“共享的系统卷”的默认文件夹位置，然后单击“下一步”。

10.在“DNS 注册诊断”屏幕上，单击“在这台计算机上安装并配置DNS 服务器”。

单击“下一步”继续。

11.选择“只与Windows 2000 或 Windows Server 2003 操作系统兼容的权限”（默认），然后单击“下一步”。

12.在“还原模式密码”和“确认密码”中，键入密码，然后单击“下一步”继续。

13.单击“下一步”开始安装Active Directory。

14.在“Active Directory 安装向导”完成后，单击“完成”。

15.单击“立即重新启动”以重新启动计算机。

二．创建组织单位和组，创建OU 和安全组1.单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。

2.单击“”旁边的“+”号将其展开。

单击“”本身，显示其在右窗格中的内容。

3.在左窗格中，右键单击“”，指向“新建”，然后单击“组织单位”。

4.在名称框中键入“testou1”，然后单击“确定”。

Active directory配置平台信息:OS ----- Windows Server 2003 CN1、安装DNS服务器如果之前没有安装过DNS，则需要安装DNS步骤：控制面板->添加删除程序->添加删除windows组建选上网络服务(双击网络服务)选上域名系统(DNS)确定(返回上级),点击下一步开始安装DNS,如下点击完成完成DNS组建安装配置DNS如下打开DNS配置管理器(dnsmgmt)如下选择正向查找区域新建区域开始新建区域步骤如下选择下一步选择主要区域下一步填写域名下一步选择默认知道下面这一步选择允许非安全和安全动态更新(A) 下一步选择完成，完成新建区域从dns管理器可以看到新建的区域已经有了修改SOA记录选择SOA属性修改NS如下选择编辑将服务器完全合格的域名改为刚才填写的域名,IP地址对应本机IP,点击添加确定F5刷新如下可以看到主机(A)已经添加进来将本机的dns服务设置为自己的ip地址使用如下命令控制DNS服务器状态netstat –an | find “53”–查看DNS是否启动查看端口53的是否处于监听状态Net stop dns –停止dns服务Net start dns –启动dns服务测试:内网上一台计算机将其dns配置成192.168.1.150 在控制台ping 如果192.168.1.150有相应则配置正确(www-04daa8f7fd5为机器名,你可以改的更简单一些) 至此DNS已经配置完成Active directory配置如下打开服务器管理器进入到如下界面,点击添加或删除角色点击下一步可以看到DNS DHCP已经配置域控制器尚未配置一直选择默认配置选择下将看到如下步骤一直选择默认配置至将先前配置的域名填入新域的DNS 全名接下来你可以选择默认(也可以修改一些文件的位置),可能会有警告不用理睬知道完成配置.重启后会看到active directory控制器已经配置点击管理Active Directory中的用户和计算机进入active directory管理器已经将的域加了进来现在可以新建组、用户等操作了现在查看dns管理器会发现多了一些东西说明配置成功了。

Active Directory 产品操作指南第 1 章—介绍本章提供了有关维护Active Directory 所必须执行的过程的详细信息。

这些过程是按照其所属的MOF 象限来排列顺序，在每个象限中则遵照构成该象限的MOF 服务管理功能(SMF) 指南。

本页内容1.文档目的 (2)2.面向对象 (2)3.使用本指南 (2)4.背景 (2)5.参与人员 (4)文档目的本指南描述了用于改进信息技术(IT) 基础结构中Microsoft® Active Directory® 目录服务管理的过程和步骤。

返回页首面向对象本材料将有助于规划部署该产品至现有的IT 基础结构，尤其是基于IT 基础结构库(ITIL)（一整套IT 服务管理的最佳做法）和微软操作框架(MOF) 的部署。

本材料主要针对于两个主要组：IT 经理和IT 支持职员（包括分析和服务台专家）。

返回页首使用本指南本指南分为五个章节。

第一章提供了基本的背景信息。

第二章提供了维护本产品所需要的高级过程表。

第三章对维护章节中所描述的过程进行了详细研究，并使其与构成每个过程的步骤和任务相对应。

第四章依据每个过程的角色对过程进行了组织。

第五章包含了提供步骤详细信息的附录，其中包括需求和步骤。

本指南可作为单独的一卷进行阅读，包括详细的维护和疑难解答部分。

这种阅读方式可提供必要的上下文，如此可更容易理解本文档之后的材料。

不过，某些读者愿意将此文档作为参考材料，仅在需要时用于查找信息。

返回页首背景本指南基于Microsoft Solutions for Management (MSM)。

MSM 提供了最佳做法、最佳实施服务以及最佳自动化操作，所有这些均有助于客户实现操作的卓越表现，高质量服务、行业可靠性、可用性、安全性以及较低的总拥有成本(TCO) 可证明这一切。

这些MSM 最佳做法均基于以ITIL 为中心的结构化、而又灵活的MOF 方法。

Active Directory教程Active Directory教程活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。

Microsoft Active Directory服务是Windows平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

在本期技术教程中，我们将介绍Active Directory在虚拟化方面的使用技巧。

使用Active Directory追踪VM随着很多企业部署越来越多的虚拟化平台，如何区分物理服务器和虚拟服务器也变得越来越难。

有一种标识服务器对象（无论是虚拟环境还是物理环境）的方法是使用每一台计算机对象Active Directory中的Description属性。

那么具体该如何操作呢？使用Active Directory标识和追踪虚拟机使用脚本进行Description查询添加自定义Active Directory计算对象属性定位虚拟机Active Directory快照Windows Server 2008允许管理员对Active Directory进行快照。

在作出任何主要的Active Directory修改之前创建快照，以便在需要的时候使用副本数据库恢复。

如何使用Windows Server 2008里的Active Directory快照？使用Windows Server 2008里的Active Directory快照Active Directory实用技巧如何创建一个Windows AD组？如何在vSpere中使用这个组控制虚拟基础架构的管理人员？在Active Directory环境里，如何诊断和解决登录性能缓慢的难题？taskpad是什么？对Active Directory数据库有何作用？使用Windows Active Directory组控制vSpere管理权限解决在Active Directory环境里Windows登录性能问题在Active Directory管理里创建taskpad view使用Active Directory标识和追踪虚拟机在本系列文章的第一篇文章中，TechTarget中国的虚拟化专家Chris Wolf将介绍如何使用Active Directory跟踪虚拟化资源。

ActiveDirectory功能及操作●活动目录主要是用来提供基础网络服务、服务器及客户端计算机管理、用户服务、资源管理、桌面配置以及应用系统支撑。

●进入AC管理中心，看活动目录的层次结构抽象模型如下●Active Directory 中的数据以分层的方式组合。

组织单元可以包含其他组织单元，构建一个树型视图。

●管理计算机资源，提供对外应用系统支持●换到域用户使用者角度，以加载到域内的一台终端去看AD。

在这个域结构中，由于我的客户端是以域账户登录的，显示本机所属该域账户权限（DomainAdmin）能看到的域组织结构。

●使用AD管理域内的用户权限，管理计算机资源，是这里使用活动目录的主要目的。

●希望达到以AD管理身份去分配用户账号，迫使用户以指定计算机登陆访问资源。

●在AD管理中心，能做的操作包括创建用户和群组、修改用户和组属性、分组管理，权限指定等。

在bulitin中给出了AD中内置用户分组，这些分组包过内置本地组，内置全局组以及内置通用组。

●User是用户的一个容器，里面有用户群组以及默认添加的域用户都在这个组内。

●在Domain User内的用户在没有指定权限时，默认具有域内机器登陆的能力，即可以用域账号登陆到域内计算机。

形式如登陆名wangan\newuser.●在Domain User内的用户权限的指定中，涉及到用户账户基本属性，用户所在组织关系●对域用户可以使用的物理终端（可以用本机登陆域用户）的限制●对域用户登陆时间的限制●用户所属组的指定以及配置文件的指定●用户的主要属性●用户使用远程桌面登陆是，用户配置文件●用户的安全属性，是对用户安全的限定，（哪个个分组能怎样管理用户）●远程控制属性（是否允许远程控制？）●在user容器中的一个分组●Read-Only Domain controllers，是域控制器的只读组。

域控制器组中Domain controllers是对域有控制调整的权限。

Active Directory 技术Active DirectoryActive Directory是指Windows 2000网络中的目录服务。

它有两个作用：1.目录服务功能。

Active Directory提供了一系列集中组织管理和访问网络资源的目录服务功能。

Active Directory使网络拓扑和协议对用户变得透明，从而使网络上的用户可以访问任何资源（例如打印机），而无需知道该资源的位置以及它是如何连接到网络的。

Active Directory被划分成区域进行管理，这使其可以存储大量的对象。

基于这种结构，Active Direct ory可以随着企业的成长而进行扩展。

从仅拥有一台存储几百个对象的服务器的小型企业，扩展为拥有上千台存储数百万个对象的服务器的大型企业。

2.集中式管理。

Active Directory还可以集中管理对网络资源的访问，并允许用户只登陆一次就能访问在Active Direct ory上的所有资源。

Active Directory 的优点在Windows 2000 操作系统中引入Active Directory 有以下优点：∙与DNS 集成。

Active Directory 使用域名系统(DNS)。

DNS 是一种Internet 标准服务，它将用户能够读取的计算机名称（例如）翻译成计算机能够读取的数字Internet 协议(IP) 地址（由英文句号分隔的四组数字）。

这样，在TCP/IP 网络计算机上运行的进程即可相互识别并进行连接。

∙灵活的查询。

用户和管理员如果要通过对象属性快速查找网络中的对象，可使用“开始”菜单中的“查找”命令、桌面上的“网上邻居”图标或者是Active Directory 用户和计算机管理单元。

例如，您可以按照一个用户帐户的姓名、电子邮件名、办公地点或其他属性查找该用户。

而且,使用全局编录优化了查找信息的操作。

∙可扩展性。

Active Directory 是可扩展的；也就是说，管理员既可以在架构中添加新的对象类别，也可在原有的对象类别中添加新属性。

配置与ASDM的Active Directory集成，以实现单点登录和强制网络门户身份验证（机上管理）目录简介先决条件要求使用的组件背景信息配置步骤1.为单点登录配置Firepower用户代理。

步骤2.将Firepower模块(ASDM)与用户代理集成。

步骤3.将Firepower与Active Directory集成。

第3.1步创建领域。

第3.2步添加目录服务器IP地址/主机名。

第3.3步修改领域配置。

第3.4步下载用户数据库。

步骤4.配置身份策略。

步骤5.配置访问控制策略。

步骤6.部署访问控制策略。

步骤7.监控用户事件。

验证Firepower模块与用户代理之间的连接（被动身份验证）FMC和Active Directory之间的连接ASA和终端系统之间的连接（主动身份验证）策略配置和策略部署故障排除相关信息简介本文档介绍使用ASDM（自适应安全设备管理器）在Firepower模块上配置强制网络门户身份验证（主动身份验证）和单点登录（被动身份验证）。

先决条件要求Cisco 建议您了解以下主题：ASA（自适应安全设备）防火墙和ASDM知识qFirePOWER模块知识q轻量级目录服务(LDAP)qFirepower用户代理q使用的组件本文档中的信息基于以下软件和硬件版本：运行软件版本5.4.1及更高版本的ASA FirePOWER模块(ASA 5506X/5506H-X/5506W-X、ASA q5508-X、ASA 5516-X)。

运行软件版本6.0.0及更高版本的ASA FirePOWER模块(ASA 5515-X、ASA 5525-X、ASA q5545-X、ASA 5555-X)。

本文档中的信息都是基于特定实验室环境中的设备编写的。

本文档中使用的所有设备最初均采用原始（默认）配置。

如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息强制网络门户身份验证或主动身份验证提示登录页面和用户凭证是主机访问互联网所必需的。

Active Directory权限委派操作指南2013年6月文档信息错误!未定义书签。

目录1第 1 章概述 (2)1.1实施概述 (2)1.1.1关于委派控制 (2)1.2实施准备 (2)1.3实施目标 (2)1.4实施思路 (2)第 2 章实施步骤 (3)2.1安装AD远程管理工具 (3)2.1.1安装KB958830补丁包 (3)2.1.2安装AD远程管理模块 (4)2.2委派控制 (7)2.2.1委派步骤 (7)2.2.2委派控制的本质 (11)第 3 章QA (22)3.1Exchange 2010角色无法安装............................................. 错误!未定义书签。

1.1 实施概述本文档依据Exchange 2007邮件系统升级项目实施准备条件要求，委派各分行管理员进行指定权限的AD管理，本文是根据该项目实施过程标准及规范形成该文档。

1.1.1 关于委派控制委派范围：在AD中可以委派控制的范围是站点、域、和组织单位合称为：SDOU从管理层面来看，不同的委派范围涉及不同的性质工作。

例如：站点上最主要工作就是新建、删除站点、网站连接、子网络等项目。

组织单位上最常见的工作，通常是新建、删除用户和计算机帐户、重设密码与应用组策略等。

所以说，委派的范围有两重意义，第一，它界定了管辖权的范围，就是说被委派的对象只允许在此范围内行使管理权，第二，它提示了不同性质的工作属性，我们应当针对不同的范围委派的工作。

委派对象：在从多AD对象中只有用户、计算机和组可以作为委派控制的对象，此外，该对象不必和授权范围有任何隶属关系。

例如：可以将A组织单位委派给B组织单位的成员管理，甚至可以委派给其它域的用户管理。

1.2 实施准备准备客户端管理机及服务器远程管理工具安装包。

客户端管理机须加域1.3 实施目标在当前分支机构，如北京、上海、福州等，部署了额外域控，。

1.4 实施思路1)准备一台管理操作主机，安装管理工具。

Active Directory (AD)问题会导致成本高昂的意外服务中断和造成业务波动的网络停机。

同样，有害的数据泄露和违反SOX 、PCI 、HIPAA 、GDPR 等规定也会给您带来严重的经济损失。

您需要使用Active Directory 审核和安全功能，以确保在AD 和Azure AD 出现重要更改时您能实时收到通知。

Quest® Change Auditor for Active Directory 通过跟踪所有关键配置更改，然后将它们整合在单个控制台中，从而提高AD 和Azure AD 的安全性并增强对其的控制力。

Change Auditor 可以跟踪、审核和报告影响内部部署和云环境的更改并发出相关警报，省却了启用本机审核所产生的额外开销。

借助Change Auditor for AD ，您可以获得所有更改以及任何相关事件详细信息的标准化视图，包括更改前后的值以及关联的内部部署和云身份。

您还可以添加注释来说明执行某项特定更改的原因，以便符合审核要求。

借助Change Auditor for AD ，您可以快速、高效地审核所有关键更改，从而保护宝贵数据和资源的安全。

审核所有重要更改获取对所有关键AD 和Azure AD 更改的广泛且可自定义的审核与报告，包括对组策略对象(GPO)、域名系统(DNS)、服务器配置、嵌套组等内容的更改。

与本机审核不实时审核Active Directory 和Azure Active Directory优势：• 只需几分钟即可完成安装，并且可通过快速事件收集来即时分析Windows 环境• 可从单一客户端实现整个企业范围的内部部署和云审核与合规性• 基于用户行为模式前瞻性地检测威胁• 通过跟踪所有事件以及与特定事件相关的更改，消除未知的安全问题，从而确保应用程序、系统和用户的持续访问• 无论用户是否在办公室，均可通过任何设备接收实时警报，从而立即做出响应，因此，仅需几秒钟便可降低安全风险• 通过防止进行不需要的更改来加强内部控制，并限制对授权用户的控制• 通过主动故障排除来解决帐户锁定问题，提高可用性• 通过收集事件，而不是使用本机审核，降低对服务器性能的影响并节省存储资源• 简化对公司与政府政策和法规（包括SOX 、PCI DSS 、HIPAA 、FISMA 、SAS 70等）的合规性• 将信息转化为智能的详细取证数据，供审核人员和管理人员使用借助Change Auditor for Active Directory ，您可以了解所有更改的执行者、内容、时间、位置以及来源工作站，并且所有项目均按时间顺序列出，包括关联的内部部署身份和云身份。