管理员操作手册AD域控及组策略管理CTO
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD域控及组策略管理
目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。
1、工作组与域的区别...................... 错误!未指定书签。
2、公司采用域管理的好处.................. 错误!未指定书签。
3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。
二、AD域控(DC)基本操作 .............. 错误!未指定书签。
1、登陆AD域控........................... 错误!未指定书签。
2、新建组织单位(OU).................... 错误!未指定书签。
3、新建用户.............................. 错误!未指定书签。
4、调整用户.............................. 错误!未指定书签。
5、调整计算机............................ 错误!未指定书签。
三、AD域控常用命令.................... 错误!未指定书签。
1、创建组织单位:(dsadd)................. 错误!未指定书签。
2、创建域用户帐户(dsadd)................. 错误!未指定书签。
3、创建计算机帐户(dsadd)................. 错误!未指定书签。
4、创建联系人(dsadd)..................... 错误!未指定书签。
5、修改活动目录对象(dsmod)............. 错误!未指定书签。
6、其他命令(dsquery、dsmove、dsrm)..... 错误!未指定书签。
四、组策略管理......................... 错误!未指定书签。
1、打开组策略管理器...................... 错误!未指定书签。
2、受信任的根证书办法机构组策略设置...... 错误!未指定书签。
3、IE安全及隐私组策略设置 ............... 错误!未指定书签。
4、注册表项推送.......................... 错误!未指定书签。
五、设置DNS转发....................... 错误!未指定书签。
一、ActiveDirectory(AD)活动目录简介
1、工作组与域的区别
域管理与工作组管理的主要区别在于:
1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。
2)、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(DomainController,简写为DC)”。
3)、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。
2、公司采用域管理的好处
1)、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。
2)、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。
3)、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。
4)、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS
软件方面集成,如ISAEXCHANGE(邮件服务器)、ISASERVER(上网的各种设置与管理)等。
5)、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。
6)、方便用户使用各种资源。
7)、SMS(SystemManagementServer)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如WindowsUpdates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
8)、资源共享
用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。
9)、管理
域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。
域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。
10)、可扩展性
在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。
11)、安全性
域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。
12)、可冗余性
每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。
3、ActiveDirectory(AD)活动目录的功能