AD维护管理工具详解(六)ds系列命令

必须掌握几个基本实用的DOS命令管理提醒: 本帖被BoyKing 执行提前操作(2010-09-15)一，ping它是用来检查网络是否通畅或者网络连接速度的命令。

作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。

下面就来看看它的一些常用的操作。

先看看帮助吧，在DOS窗口中键入：ping /? 回车，。

所示的帮助画面。

在此，我们只掌握一些基本的很有用的参数就可以了（下同）。

-t 表示将不间断向目标IP发送数据包，直到我们强迫其停止。

试想，如果你使用100M的宽带接入，而目标IP是56K的小猫，那么要不了多久，目标IP就因为承受不了这么多的数据而掉线，呵呵，一次攻击就这么简单的实现了。

-l 定义发送数据包的大小，默认为32字节，我们利用它可以最大定义到65500字节。

结合上面介绍的-t参数一起使用，会有更好的效果哦。

-n 定义向目标IP发送数据包的次数，默认为3次。

如果网络速度比较慢，3次对我们来说也浪费了不少时间，因为现在我们的目的仅仅是判断目标IP是否存在，那么就定义为一次吧。

说明一下，如果-t 参数和-n参数一起使用，ping命令就以放在后面的参数为标准，比如“ping IP -t -n 3”，虽然使用了-t参数，但并不是一直ping下去，而是只ping 3次。

另外，ping命令不一定非得ping IP，也可以直接ping主机域名，这样就可以得到主机的IP。

下面我们举个例子来说明一下具体用法。

这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒，从这里可以判断网络连接速度的大小。

从TTL的返回值可以初步判断被ping主机的操作系统，之所以说“初步判断”是因为这个值是可以修改的。

如果您负责处理列有从下周开始工作的 200 名新员工资料的 Excel 电子表格，或者由于技术支持人员点击了某些不应点击的内容而导致用户帐户配置错误， 或者您只是需要除了打开“用户和计算机”之外的一种更加轻松的方法来管理 Active Directory ®，则有大量免费管理工具可以提供帮助。

有些工具内置于 Windows ® 操作系统中，有些位于资源工具包或 Windows 支持工具中，而有些甚至是免费的第三方工具。

这些便捷工具都包括什么，可以从何处获取？让我们来了解一下。

首先介绍 Windows Server ® 2003 中的内置命令行工具，这些工具允许您在 Active Directory 中创建、删除、修改和查找对象。

CSVDE逗号分隔值数据交换工具（即 CSVDE ）允许您使用 CSV 源文件将新对象导入到 Active Directory 中；此外，该工具还提供了将现有对象导出到 CSV 文件的功能。

CSVDE 不能用于修改现有对象；在导入模式下使用此工具时，您只能创建全新的对象。

使用 CSVDE 导出现有对象的列表相当简单。

将 Active Directory 对象导出到名为 ad.csv 的文件,方法如下：csvde –f ad.csv–f 开关表示后面为输出文件的名称。

但是您必须注意，根据环境的不同，此基本语法可能会生成不实用的大型输出文件。

要将此工具限制为仅导出特定组织单位 (OU) 中的对象，可以将语句修改为如下形式：csvde –f UsersOU.csv –d ou=Users,dc=contoso,dc=com进一步假定您只对将用户对象导出到 CSV 文件感兴趣。

如果是那样的话，您可以添加 –r 开关和 –l 开关，前者允许指定轻型目录访问协议 (LDAP) 筛选器进行搜索，后者可以限制导出的属性的数量（请注意以下所有内容位于一行）：csvde –f UsersOnly.csv –d ou=Users,dc=contoso,dc=com –r "(&(objectcategory=person)(objectclass=user))" –l DN,objectClass,description通过 –i 开关，您可以将对象从源 CSV 文件导入到 Active Directory 。

AD维护管理工具DCdian详解工具名称：DcDiag工具出处：MS Support Tools工具类型：命令行工具当前环境：Win2003 SP1 + R2,DC主要功能：DcDiag是域控制器诊断工具，通过各种诊断测试，用来分析当前林或域中域控制器状态，生成相应的检测报告。

DcDiag可以说是域控制器诊断全能工具，当DC出现问题却无法判断具体故障原因时，首选使用DcDiag工具对DC进行一次全面诊断，查看检测报告，从而缩小问题范围以及定位问题!DcDiag工具由对系统的一系列测试和校验构成，可以根据用户的选择，针对不同的范围（林，域）对域控制器进行不同项目的诊断测试，主要测试项目有：1：连通性2：复制3：拓朴完整性4：检查NC Head安全描述符5：检查登录权6：获取DC位置7：验证安全边界8：验证FSMO角色9：验证信任关系10：DNS一：DcDiag工具语法格式DcDiag.exe /s:<Domain Controller> [/u:<Domain>\<Username> /p:*|<Password>|""][/hqv] [/n:<Naming Context>] [/f:<Log>] [/ferr:<Errlog>][/skip:<Test>] [/test:<Test>]二：主要参数说明：/s:Domain Controller - 指定测试的DC，默认测试本机。

/n:Naming Context - 指定测试时关联的名称上下文。

似乎只能使用域名称上下文，无法测试Schema,Configration等名称上下文。

域名称上下文可以使用域的DNS名称，NetBios名称或DN名称。

/u:Domain\Username /p: - 用指定的帐号密码连接DC，此时该帐号的密码为显示密码。

安装AD DS：方法一：方法二：在运行中执行命令：DCpromo，或者可台加参数进入“高级模式”Dcpromo /adv注解：万一此密码忘记或者不知道，可以重新设置，方法如下安装完后确认TCP/IP的选项建议DNS首选项修改为本地主机的IP从介质安装AD DS－域外域控制器从介质安装AD DS一、介绍在安装额外域控制器时，为了最大程度降低活动目录数据复制流量，可以使用从介质安装的方式。

该方式使用Ntdsutil.exe工具在一台可写的源域控制器上使用“从介质安装（IFM）”选项创建安装介质，然后将安装介质复制到目标服务器（将成为额外域控制器的服务器）上，通过dcpr omo安装向导使用高级安装选项（也可在命令行中使用无人值守方式）完成部署。

注：从介质安装无法跨不同的操作系统版本。

Ntdsutil.exe可以创建四种类型的安装介质，如下表：二、安装步骤1、登录到源可写域控制器上，打开命令提示符，输入命令ntdsutil，然后按Enter；2、在ntdsutil提示符下，输入命令activate instance ntds，然后按Enter，创建实例ntd s；3、输入命令ifm，按Enter；4、在ifm提示符下，输入要创建的安装介质类型的命令，按Enter；5、随后便开始创建过程；6、当提示”IFM m edia created successfully…”时安装介质便创建完成了，输入两个quit 退出ntdsutil工具；7、随后在相应文件夹便可以看到如下创建的介质文件；在第二台服务器配置TCP/IP，注意如果实验环境要重新封装命令是sysprep8、登录到目标服务器（即将成为额外域控制器的服务器）上，依次点击“Start”—“Run”，输入dcprom o /adv，按Enter；打开dcpromo安装向导，向导首先检查是否有安装AD DS角色，如果没有，将会自动安装，如下图；9.或者在服务器管理中安装完AD DS角色后，出现如下AD DS安装向导对话框，这里需要勾选“使用高级模式安装”选项，然后点击“Next”；10、直接单击“Operating System Compatibility”中的“Next”按钮11、选择“Existing forest”—“Add a dom ain controller to an existing domain”，点击“Next”；12、输入所在域的FQDN，并设置认证凭据，可以点击“Set”按钮进行输入，完成后点击“Next”继续；13、选择这台额外域控制器将所在的域，点击“Next”；14、选择该额外域控制器的存放站点，点击“Next”；15、选择需要该额外域控制器担当的其他角色，点击“Next”；16、出现“Install from media”对话框，这里选择“Replicate data from m edia at the f ollowing location”，并设置安装介质所在路径，然后点击“Next”；17、选择该额外域控制器的复制伙伴，可以由向导自动选择合适的，也可以手动设定，这里我们选择“Use the special dom ain controller”手动选定复制伙伴，然后点击“Next”18、设置数据库、日志和SYSVOL的位置，在生产环境中，出于性能和可恢复性的要求，建议分别放在不同的磁盘或存储设备中，之后单击“Next”；19、设置目录服务还原模式下的administrator密码（该密码用户进行AD DS恢复时使用，如果忘记，还可以通过ntdsutil.exe工具来重置），单击“Next”；20、出现“Summary”窗口，显示AD DS的设置信息，单击“Next”按钮，这里也可以先点击“E xport settings…”按钮将设置信息导出成文本文件，用于以后的无人值守安装；; DCPROMO unattend file (automatically generated by dcpromo); Usage:; dcpromo.exe /unattend:C:\Users\Administrator\Desktop\11.txt;; You may need to fill in password fields prior to using the unattend file.; If you leave the values for "Password" and/or "DNSDelegationPassword"; as "*", then you will be asked for credentials at runtime.;[DCInstall]; Replica DC promotionReplicaOrNewDomain=ReplicaReplicaDomainDNSName=SiteName=Default-First-Site-NameInstallDNS=YesConfirmGc=YesCreateDNSDelegation=NoUserDomain=UserName=\administratorPassword=*ReplicationSourcePath="C:\ntdsmdia"ReplicationSourceDC=DatabasePath="C:\Windows\NTDS"LogPath="C:\Windows\NTDS"SYSVOLPath="C:\Windows\SYSVOL"; Set SafeModeAdminPassword to the correct value prior to using the unattend file SafeModeAdminPassword=; Run-time flags (optional); CriticalReplicationOnly=Yes; RebootOnCompletion=Yes21、弹出AD DS安装窗口；Server core 上安装RODCa.在Istanbul计算机上，输入“dcpromo /replicaornewdomain:readonlyreplica/installdns:yes /replicadomaindnsname:/sitename=default-first-site-name /safemodeadminpassword:password01!”,然后按enter键。

AD域中的管理利器---- dsquery命令详解应用到: Windows Server 2003, Windows Server 2003 R2,Windows Server 2003 with SP1, Windows Server 2003 with SP2Dsquery按照指定的条件查询 Active Directory。

下列每个dsquery命令都查找指定对象类型的对象，dsquery *除外，它可以查询任何对象类型。

dsquery computerdsquery contactdsquery groupdsquery oudsquery sitedsquery serverdsquery userdsquery quotadsquery partitiondsquery *dsquery computer在目录中查找与指定的搜索条件相匹配的计算机。

语法dsquery computer [{StartNode|forestroot |domainroot}] [-o {dn |rdn |samid}] [-scope {subtree |onelevel |base}] [-name Name] [-desc Description] [-samid SAMN ame] [-inactive NumberOfWeeks] [-stalepwd NumberOfDays] [-disabled] [{-s Server |-d Domain}] [-u UserName] [-p {Password|*}] [-q] [-r] [-gc] [-limit NumberOfObject s] [{-uc |-uco |-uci}]参数{StartNode|forestroot | domainroot}指定节点，从该节点开始搜索。

您可以指定林根目录（forestroot）、域根目录 (domainroot) 或节点的可分辨名称 (StartNode)。

AD软件使用教程AD（Active Directory）软件是一款由微软公司开发的用于管理网络中的用户、计算机和其他资源的软件。

它使网络管理员能够集中管理和控制用户访问权限、组织结构以及其他网络资源。

本文将为你介绍AD软件的基本功能和使用方法。

第一部分：AD软件的基本概念1.1AD概述AD是一种目录服务，它允许管理员将用户和计算机组织成逻辑结构，提供一个集中管理的平台。

它基于LDAP（轻型目录访问协议）和DNS（域名系统）协议，并与Windows操作系统集成。

1.2AD的优势AD提供了许多优势，包括：-集中管理：管理员可以通过AD使用统一的界面和工具管理整个网络。

-安全性：AD提供了身份验证和访问控制功能，可以确保只有授权用户能够访问特定资源。

-自动化：AD允许管理员自动分配和管理用户和计算机的权限和设置。

-可扩展性：AD可以根据组织的变化进行扩展和调整。

第二部分：AD软件的安装和配置2.1安装AD软件- 在Windows Server操作系统中，打开服务器管理器，选择“角色和功能安装向导”。

-选择“下一步”并选择“角色基于功能或基于角色的安装”。

- 在服务器角色中选择“Active Directory域服务”。

- 完成向导，然后在服务器管理器中选择“工具”-“Active Directory用户和计算机”。

2.2创建域和组织结构-在AD用户和计算机工具中，右键点击域名，选择“新建组织单位”。

-输入组织单位的名称，并点击“确定”。

-可以在新建的组织单位上右键点击，选择“新建用户”或“新建计算机”来创建用户和计算机对象。

第三部分：AD软件的常用功能3.1用户管理-在AD用户和计算机工具中，展开域名并展开“组织单位”。

-在需要管理的组织单位上右键点击，选择“新建用户”。

-输入新用户的详细信息，并点击“确定”。

-可以在用户上右键点击，选择“重置密码”或“启用/禁用账户”来管理用户。

3.2计算机管理-在AD用户和计算机工具中，展开域名并展开“组织单位”。

A D A d m i n i s t r a t i v e S n a p-i n s A n d T o o l s常用A D管理组件和工具一、活动目录的管理插件有如下：Active Directory Users and ComputersActive Directory Domains and TrustsActive Directory Sites and ServicesActive Directory SchemaActive Directory Service Interfaces (ADSI)二、活动目录修改及查询命令dsadd命令（创建活动目录对象）：用于在AD中创建OU、用户、组、联系人等对象，但是不能对AD中的对象进行修改，下面逐一进行介绍。

1、创建组织单位：命令格式：dsadd ou <OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]注意：OU名称应为要创建的OU的LDAP绝对路径（DN，Distinguished Name），如果DN中包含空格，应该在路径两端使用双引号。

例如要在域中建立一个名为finance的OU，可以执行以下命令：C:\>dsadd ou ou=finance,dc=yjx,dc=com -desc "财务部"2、创建域用户帐户命令格式：dsadd user <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN例如要在域中建立一个名为mike的用户帐户，该用户将位于sales OU中，其显示名称为“mike yang”，则可以执行以下命令：C:\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”3、创建计算机帐户命令格式：dsadd computer <ComputerDN>要在域中的sales OU中建立一个名为client-2的计算机帐户，可以执行以下命令：C:\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一个名为client-3的计算机帐户，并设置计算机账户的描述信息为“测试工作站”，可以执行以下命令：C:\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站4、创建联系人命令格式：dsadd contact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-desc <Description>]要在域中的sales OU中建立一个名为杨建新的联系人，执行以下命令：C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新dsmod命令（修改活动目录对象）：用于修改AD对象的属性，可以对OU、用户、组、联系人等对象进行修改。

DNS原理介绍及智能DNS配置指导目录DNS原理介绍及智能DNS配置指导 (1)一、应用场景 (1)二、智能DNS工作原理 (1)三、深信服智能DNS工作原理 (2)四、配置思路 (2)五、真实案例 (3)六、客户端测试 (5)6.1清空DNS缓存 (5)6.2使用NSlookup查看域名解析过程 (6)七、测试注意事项 (7)八、智能DNS问题排查 (7)8.1 DNS解析的地址有问题排查 (7)8.2 域名无法解析问题排查 (8)九、万网域名记录添加指导 (9)一、应用场景1.AD智能DNS可以智能的判断访问网的用户，然后根据不同的访问者、按照不同的分配策略，把域名分别解析成不同的IP地址。

2.如访问者是网通用户，DNS策略解析服务器会把你的域名对应的网通IP 地址，解析给这个访问者。

3.如果用户是电信用户，DNS策略解析服务器会把您域名对应的电信IP地址，解析给这个访问者。

4.如果用户是教育网用户，DNS策略解析服务器会把您域名对应的电信IP 地址，解析给这个访问者。

5.也可以按照链路的负载状况，动态的解析成不同的IP，如线路1比较忙碌，智能DNS就可以反馈相对比较空闲的线路2的IP。

二、智能DNS工作原理DNS有两种查询方式递归和迭代：①递归：指定的DNS不管找不找的到结果都要给你个准确的结果（DNS负担大）。

②迭代：指定的DNS找不到结果就告诉你有可能找的到结果的DNS地址，你自己去再问另外一个DNS （减少DNS的负担）举例：比如学生问老师一个问题，王老师告诉他答案这之间的叫递归查询。

这期间也许王老师也不会，这时王老师问老师，这之间的查询叫迭代查询！DNS请求：当PC提出查询请求时，首先在本地计算机的host缓存中查找；如果在本地无法获得查询信息，则将查询请求发给Local DNS服务器。

1.用户PC提出域名解析请求，并将该请求发送给Local DNS服务器。

2.当Local DNS服务器收到请求后，就先查询本地的缓存，如果有该纪录项，则Local DNS服务器就直接把查询的结果返回。

Module 0: Active Directory®Domain Services的介绍内容概览•AD DS概述•AD DS 逻辑组件概述•AD DS 物理组件概述内容1: AD DS概述•为什么要部署AD DS?•何为验证（Authentication）? •什么是（Authorization）?•利用AD DS 集中管理网络资源•AD DS 组件概述为什么要部署AD DS?AD DS 功能包括:•集中目录结构•单点登录访问•集成的安全性•可扩展性AD DS provides a centralized system for managing users, computers, and other resources on a network AD DS provides a centralized system for managing users, computers, and other resources on a network •通用管理接口何为验证Authentication?验证包括两个组件:•Interactive logonInteractive logon –– grants access to the local computer •Network authentication –grants access to network resources Authentication is the process of verifying a user Authentication is the process of verifying a user’’s identity on a networkAuthentication is the process of verifying a user Authentication is the process of verifying a user’’s identity on a network什么是授权Authorization?Security principals are issued security identifiers (SIDs) when the account is created Security principals are issued security identifiers (SIDs) when the account is created User accounts are issued security tokens during authentication that include the user include the user’’s SID and all related group SIDsUser accounts are issued security tokens during authentication that include the user include the user’’s SID and all related group SIDs Shared resources on a network include access control lists (ACL) that define who can access the resource Shared resources on a network include access control lists (ACL) that define who can access the resource Authorization is a process of verifying that an authenticated user has permission to perform an action Authorization is a process of verifying that an authenticated user has permission to perform an action The security token is compared against the DACL on the resource and access is granted or deniedThe security token is compared against the DACL on the resource and access is granted or denied利用AD DS 集中管理网络资源AD DS 可以集中管理网络资源，可以提供：•Single location and set of tools for managing user andgroup accounts•Single location for assigning access to shared networkresources•Directory service for AD DS enabled applications•Options for configuring security policies that apply to all users and computers•Group policies to manage user desktops and securitysettingsAD DS 组件概述Physical Components Logical Components•Data store•Domain controllers •Global catalog server •Read-Only Domain Controller (RODC)•Partitions•Schema•Domains•Domain trees•Forests•Sites•Organizational units (OUs)AD DS 由逻辑组件和物理组件组成AD DS 由逻辑组件和物理组件组成内容 2: AD DS逻辑组件概述•什么是AD 架构?•什么是域 Domain?•何为AD 信任关系?•什么是域树Domain Tree?•什么是Forest?•什么是OU?•讨论: 实现AD DS逻辑组件的场景•什么是 AD 对象?•演示: 管理AD DS 逻辑组件的工具什么是AD架构?Object Types Function ExamplesClass Object Defines what new objects can becreated in the directory•User class•Computer classAttribute Object Defines what information can bestored for each object class •Display nameAD 架构:•Defines every type of object that can be stored in AD DS •Enforces rules regarding object creation and configuration什么是域Domain?域可以提供:•An administrative boundary for applying policies to groups of objects • A replication boundary for replicating data between domain controllers •An authentication and authorization boundary that provides a way to limit the scope of access to resourcesDomains are logical directory components used to group and manage the AD DS objects in an organizationDomains are logical directory components used to group and manage the AD DS objects in an organization Woodgrove什么是AD 信任关系?信任类型描述图示DirectionalThe trust direction flows fromtrusted domain to the trusting domainTransitiveThe trust relationship is extended beyond a two-domain trust to include other trusted domainsTrusts provide a mechanism for users to gain access to resources in another domainTrusts provide a mechanism for users to gain access to resources in another domain •All domains in a forest trust all other domains in the forest •Trusts can extend outside the forestAccessTRUSTTrust & Access什么是域树Domain Tree?在域树中的所有域:•Have a contiguous namespace with the parent domain •Can have additional child domains added to the namespace •Have a two-way transitive trust with other domains in the treeA domain tree is a hierarchy of domains in AD DSA domain tree is a hierarchy of domains in AD DS Woodgrove NA.Woodgrove EMEA.Wood什么是森林Forest?森林:•Share a common schema•Share a common configuration partition•Share a common global catalog to enable searching A forest is a collection of one or more domain treesA forest is a collection of one or more domain trees •Enable trusts between all domains in the forest•Share the Enterprise Admins and Schema Admins groups什么是OU?OU 可以被用来:•Represent your organization hierarchically and logically •Manage a collection of objects in a consistent way •Delegate permissions to administer groups of objects OUs are Active Directory containers that can contain users, groups, computers, and other OUsOUs are Active Directory containers that can contain users, groups, computers, and other OUs •Apply policies讨论: AD逻辑组件场景在每个场景中，描述需要实现的AD逻辑组件: –场景 1: Small organization–场景 2: Medium organization–场景 3: Academic organization–场景 4: Enterprise organization什么是AD 对象?Object Description User•Enables network resource access for a userInetOrgPerson •Similar to a user account•Used for compatibility with other directory servicesContacts •Used primarily to assign e-mail addresses to external users•Does not enable network accessGroups•Used to simplify the administration of access controlComputers•Enables authentication and auditing of computeraccess to resourcesPrinters•Used to simplify the process of locating and connecting to printersShared folders•Enables users to search for shared folders based on properties演示: AD逻辑对象的管理工具在演示中，您将看到用来管理AD 逻辑组件的工具内容 3: AD DS 物理组件概述•什么是 Domain Controllers?•DNS 和 AD 概述•什么是全局编录 ?•什么是 AD DS Data Store?•什么是 AD DS 复制 ?•什么是 AD DS 站点 ?•讨论 : 实现 AD物理组件的场景•演示 : 管理AD物理组件的工具什么是 Domain Controllers?域控制器:•Host a copy of the AD DS directory store•Provide authentication and authorization services •Replicate updates to other domain controllers in thedomain and forestA domain controller is a server with the AD DS server role installedA domain controller is a server with the AD DS server role installed •Allow administrative access to manage user accounts and network resourcesWindows Server 2008 AD DS supports RODCsDNS 和 AD DSAD DS domain controller records must be registered in DNS to enable other domain controllers and client computers to locate the domain controllers AD DS domain controller records must be registered in DNS to enable other domain controllers and client computers to locate the domain controllers AD DS domain names must be DNS domain namesAD DS domain names must be DNS domain names DNS DomainNameAD DS requires a DNS infrastructure AD DS requires a DNS infrastructure DNSDNS zones can be stored in AD DS as Active Directory integrated zones DNS zones can be stored in AD DS as Active Directory integrated zones DNSZone什么是全局编录?全局编录 :•Contains a copy of all AD DS objects in a forest that includes only some of the attributes for each object in the forest•Improves efficiency of object searches by avoiding unnecessary referrals to domain controllers •Required for users to log on to a domain Global catalog servers are domain controllers that also store a copy of the global catalogGlobal catalog servers are domain controllers that also store a copy of the global catalog什么是 AD DS Data Store?The AD DS data store:•Consists of the Ntds.dit file•Is stored by default in the %SystemRoot%\NTDS folder on all domain controllers•Is accessible only through the domain controller processes and protocolsThe AD DS data store contains the database files and processes that store and manage directory information for users, services, and applicationsThe AD DS data store contains the database files and processes that store and manage directory information for users, services, and applications什么是 AD 复制 ?AD DS 复制:•Ensures that all domain controllers have the same information•Uses a multimaster replication model•Can be managed by creating AD DS sitesAD DS replication copies all updates of the AD DS database to all other domain controllers in a domain or forest AD DS replication copies all updates of the AD DS database to all other domain controllers in a domain or forest The AD DS replication topology is created automatically as new domain controllers are added to the domain什么是AD 站点?站点是:•Associated with IP subnets•Used to manage replication traffic•Used to manage client logon trafficAn AD DS site is used to represent a network segment where all domain controllers are connected by a fast and reliable network connectionAn AD DS site is used to represent a network segment where all domain controllers are connected by a fast and reliable network connection •Used by site aware applications such as Distributed File Systems (DFS) or Exchange Server 2007•Used to assign group policy objects to all users and computers in a company location讨论:实现AD物理组件的场景　在每个场景中　，描述需要实现的ＡＤ物理组件:–场景1: Small organization–场景2: Medium organization–场景3: Academic organization–场景4: Enterprise organization演示:管理AD物理组件的工具　在演示中　，您将看到用来管理ＡＤ物理组件的工具　Lab: 浏览AD DS 组件和工具　•练习 1: 查看AD 逻辑组件　•练习 2: 查看AD 物理组件　Logon informationEstimated time: Estimated time: 454545 minutes minutes。

ad域常用命令AD域常用命令AD域（Active Directory Domain）是Windows操作系统中常用的一种目录服务，用于管理网络中的用户、组、计算机等资源。

在AD 域中，管理员可以使用一系列的命令来管理和配置域中的对象。

本文将介绍AD域常用的一些命令，并对其功能和用法进行详细说明。

一、查询命令1. dsquery：用于查询AD域中的对象。

可以通过指定不同的参数来查询用户、组、计算机等对象。

例如，使用dsquery user命令可以查询AD域中的用户账户。

2. dsget：用于获取AD域中对象的详细信息。

与dsquery命令类似，可以指定不同的参数来获取用户、组、计算机等对象的详细属性。

例如，使用dsget user命令可以获取用户账户的详细信息。

3. net user：用于管理AD域中的用户账户。

可以通过指定不同的参数来创建、删除、修改用户账户的属性。

例如，使用net user命令可以创建新的用户账户。

4. net group：用于管理AD域中的组对象。

可以通过指定不同的参数来创建、删除、修改组对象的属性。

例如，使用net group命令可以创建新的组对象。

5. net computer：用于管理AD域中的计算机对象。

可以通过指定不同的参数来创建、删除、修改计算机对象的属性。

例如，使用net computer命令可以加入计算机到AD域中。

二、配置命令1. dsa.msc：用于打开AD域的管理工具。

可以通过运行dsa.msc命令来打开AD域用户和计算机的管理界面，从而可以进行各种配置和管理操作。

2. dcdiag：用于检测AD域中的域控制器的健康状态。

可以通过运行dcdiag命令来检测域控制器的运行情况，以及是否存在异常或错误。

3. repadmin：用于管理AD域中的复制操作。

可以通过指定不同的参数来查看、配置和监控域控制器之间的复制关系和复制状态。

4. nltest：用于测试AD域中的网络连接和认证。

AD维护管理工具DCdian详解工具名称：DcDiag工具出处：MS Support Tools工具类型：命令行工具当前环境：Win2003 SP1 + R2,DC主要功能：DcDiag是域控制器诊断工具，通过各种诊断测试，用来分析当前林或域中域控制器状态，生成相应的检测报告。

DcDiag可以说是域控制器诊断全能工具，当DC出现问题却无法判断具体故障原因时，首选使用DcDiag工具对DC进行一次全面诊断，查看检测报告，从而缩小问题范围以及定位问题!DcDiag工具由对系统的一系列测试和校验构成，可以根据用户的选择，针对不同的范围（林，域）对域控制器进行不同项目的诊断测试，主要测试项目有：1：连通性2：复制3：拓朴完整性4：检查NC Head安全描述符5：检查登录权6：获取DC位置7：验证安全边界8：验证FSMO角色9：验证信任关系10：DNS一：DcDiag工具语法格式DcDiag.exe /s:<Domain Controller> [/u:<Domain>\<Username> /p:*|<Password>|""][/hqv] [/n:<Naming Context>] [/f:<Log>] [/ferr:<Errlog>][/skip:<Test>] [/test:<Test>]二：主要参数说明：/s:Domain Controller - 指定测试的DC，默认测试本机。

/n:Naming Context - 指定测试时关联的名称上下文。

似乎只能使用域名称上下文，无法测试Schema,Configration等名称上下文。

域名称上下文可以使用域的DNS名称，NetBios名称或DN名称。

/u:Domain\Username /p: - 用指定的帐号密码连接DC，此时该帐号的密码为显示密码。

部署全新AD DS域服务AD DS域服务是Windows Server 2008的核心服务，主要提供用户身份验证、检索、组织结构规划、部署企业策略等基础服务。

与Windows Server 2003中不同，Windows Server 2008中的AD DS域服务以服务的方式运行，可以在不停机的状态下停止AD DS域服务。

一、基本概念介绍1、独立服务器：指安装有Windows Server操作系统，但不是域成员，具有独立操作功能的服务器。

2、域控制器：指安装了活动目录（Active Directory）的服务器，主要负责管理用户对网络的各种各种权限。

3、成员服务器：独立服务器添加为域成员后就变成了成员服务器，主要用来充当应用服务器、web服务器、数据库服务器等。

4、服务器角色：在Windows Server 2008中，根据主要功能、用途的区别划分了16个角色，AD DS便是其中一个。

5、DNS：全名叫Domain Name Server（域名服务器），提供了一种将名称和IP地址相关联的方法，这样用户就可以通过较易记忆的域名来代替难以记忆的IP地址进行操作。

6、域：活动目录中的逻辑组织单元7、域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。

树中的域通过信任关系连接起来，活动目录包含一个或多个域树。

域树中的域层次越深级别越低，一个“.”代表一个层次，如域 就比这个域级别低，因为它有两个层次关系，而只有一个层次。

而域双比级别低，道理一样。

他们都属于同一个域树。

就属于的子域。

域“” 就比“”这个域级别低，因为前者有两个层次关系，而后者只有一个层次。

域树中的域是通过双向可传递信任关系连接在一起的，因此在域树或树林中新创建的域可以立即与域树或树林中每个其他的域建立信任关系。

这些信任关系允许单一的登录过程，在域树或树林中的所有域上对用户进行身份验证，但这不一定意味着经过身份验证的用户在域树的所有域中都拥有相同的权利和权限。

A D A d m i n i s t r a t i v e S n a p-i n s A n d T o o l s常用A D管理组件和工具一、活动目录的管理插件有如下：Active Directory Users and ComputersActive Directory Domains and TrustsActive Directory Sites and ServicesActive Directory SchemaActive Directory Service Interfaces (ADSI)二、活动目录修改及查询命令dsadd命令（创建活动目录对象）：用于在AD中创建OU、用户、组、联系人等对象，但是不能对AD中的对象进行修改，下面逐一进行介绍。

1、创建组织单位：命令格式：dsadd ou <OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]注意：OU名称应为要创建的OU的LDAP绝对路径（DN，Distinguished Name），如果DN中包含空格，应该在路径两端使用双引号。

例如要在域中建立一个名为finance的OU，可以执行以下命令：C:\>dsadd ou ou=finance,dc=yjx,dc=com -desc "财务部"2、创建域用户帐户命令格式：dsadd user <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN例如要在域中建立一个名为mike的用户帐户，该用户将位于sales OU中，其显示名称为“mike yang”，则可以执行以下命令：C:\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”3、创建计算机帐户命令格式：dsadd computer <ComputerDN>要在域中的sales OU中建立一个名为client-2的计算机帐户，可以执行以下命令：C:\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一个名为client-3的计算机帐户，并设置计算机账户的描述信息为“测试工作站”，可以执行以下命令：C:\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站4、创建联系人命令格式：dsadd contact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-desc <Description>]要在域中的sales OU中建立一个名为杨建新的联系人，执行以下命令：C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新dsmod命令（修改活动目录对象）：用于修改AD对象的属性，可以对OU、用户、组、联系人等对象进行修改。

ad维护管理工具详解目录1. 内容概述 (3)2. AD维护管理的重要性 (4)2.1 用户账号管理 (5)2.2 组策略管理 (6)2.3 资源分配与管理 (8)3. AD维护管理工具的基础知识 (9)4. 常用AD维护管理工具详解 (10)4.1 组策略编辑器 (12)4.1.1 组策略的功能 (13)4.1.2 如何使用gpedit.msc (14)4.2 活动目录用户和计算机 (15)4.2.1 ADUC的界面和功能 (16)4.2.2 管理用户和计算机 (18)4.3 配置文件管理器 (20)4.3.1 应用部署和管理 (21)4.3.2 系统更新与补丁管理 (22)5. 如何选择适合的AD维护管理工具 (23)5.1 根据组织需求选择 (24)5.2 考虑的性能和易用性 (26)5.3 成本因素 (27)6. 最佳实践与常见问题 (28)6.1 最佳维护管理实践 (30)6.2 确保AD的安全性 (31)6.3 常见问题与解决方法 (31)7. 案例研究 (32)7.1 组织A的AD维护管理案例 (33)7.2 组织B的AD问题解决之旅 (34)7.3 如何通过AD维护管理提高效率 (36)8. 技术支持与社区资源 (37)8.1 获取技术支持 (38)8.2 与社区互动 (39)8.3 获取帮助文档和在线论坛 (40)9. 安全与合规性 (41)9.1 AD维护管理的合规要求 (43)9.2 数据保护与隐私 (44)9.3 应对潜在的安全风险 (46)10. 未来趋势 (47)10.1 自动化的作用 (48)10.2 云端的AD管理 (50)10.3 企业和技术的进一步整合 (52)1. 内容概述《AD维护管理工具详解》是一本全面介绍AD维护管理工具的专业书籍，旨在帮助读者深入了解并掌握这些工具在实际工作中的应用。

本书从多个维度详细阐述了AD维护管理工具的核心理念、功能特点、操作流程及最佳实践。

AD常用命令以及概念活动目录服务器常用命令合集如下：net accounts 查看第一台域控的计算机角色net accounts 查看计算机角色net share 查看共享netdom query fsmo 验证操作主机角色get-ADforest|FL globalcatalogs 查询当前林中所有全局编录服务器Get-ADDomaincontroller|FT name,ISglobalcatalog 验证登录域控制器是否为全局编录服务器dsquery site 查询当前域中所有的站点dsquery server :验证网络中有多少台域控dsquery server -isgc 验证网络中的全局编录服务器dsquery ou 查看创建的组织单位dsquery server -isgc 查看当前网络中已部署的所有域控制器dsquery computer -inactive 9 |dsmod computer -disabled yes 禁用63天以上没有登录过的计算机dcdiag /test:netlogons 查看sysvol共享权限AD域三层管理体系：备注：组织单元可以嵌套，即组织单元里创建组织单元。

组织单元和组的主要区别在于组织单元里的对象不能在属于其他组织单元，而组内的对象可以再属于其他组。

AD常用的LDAP名词解释：DN：区分名（Distinguished Name），一个条目的区分名称叫做“dn”或者叫做区分名，其中DN有三个属性，分别是CN,OU,DC 。

DC (Domain Component)CN：Common Name 通用名，一般为用户名或服务器名，最长可以到80个字符，可以为中文；OU：Organization Unit为组织单元，最多可以有四级，每级最长32个字符，可以为中文；O：Organization 为组织名，可以3—64个字符长C：Country为国家名，可选，为2个字符长UID： userid ，对象的属性为uid，例如员工的名字为：zsq，他的UID为：z02691，ldap查询的时候可以根据cn，也可以根据uid。

AD域维日常维护手册目录一、Active Directory (域) 介绍 (3)二、AD域界面预览 (5)三、AD域账号的建立 (6)四、AD域OU的建立 (9)五、AD域账户OU间的移动 (11)六、AD域策略的介绍以及部署范围 (12)七、AD域OU的策略部署 (13)八、AD域策略的阻止策略继承和禁止替代 (16)九、客户端加域操作 (17)十、组策略管理(GPMC)工具的使用(重点) (19)10.1、GPMC管理界面的认识 (20)10.2、组策略的使用 (21)10.3、组策略应用 (22)10.4、报表形式查看组策略 (23)10.5、组策略的备份、还原、导出和导入 (24)十一、AD服务器日常维护方法 (25)一、Active Directory (域) 介绍Active Directory 的体系结构介绍Active Directory 的体系结构分为逻辑结构和物理结构。

必须对Active Directory 的逻辑结构与物理结构进行规则，才能较好地满足企业的需求。

为了管理Active Directory ，必须首先理解这些结构。

Active Directory 的作用Active Directory可以存储用户、计算机和网络资源的信息，并且使资源可以被用户和应用程序访问。

它提供了一种统一的方法来命名、描述、定位、访问、管理、和保护这些资源。

Active Directory具有如下功能：●对网络资源的集中控制。

通过对诸如服务器、共享文件和打印机等的资源进行集中控制，只有授权用户可以访问Active Directory 中的资源……例如，可以通过给行政部的激光打印机设置权限，设置只有行政部人员可以使用该打印机……从而避免非法使用和资源浪费。

●集中和分散管理。

管理员通过一致的管理界面，能够可以编写一个组策略，使得某个应用程序的升级包能够在网络中每个用户开机的时候就自动安装，从而分散管理任务。