windows server 2012活动目录知识点总结
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基础结构主机(Infrastructure Master):
•同一时间内,一个域内只能有一台基础结构主机
•更新对象和组成员的外部索引
•不能和GC配置在一起(单域除外)
操作主机的放置:
•手工优化:
–基础结构主机与GC不放在一起
–域命名主机与GC放在一起
–架构主机与域命名主机可放在一起
–PDC模拟主机建议单独放置
域命名主机(Domain Naming Master):
•控制在目录林中添加与删除域
•防止创建相同名称,配置不同的新域
•同一个时间内,整个林中只能有一台域命名主机
PDC模拟主机(PDC Emulator)::
•如果是混合windows,作为任何现存的BDC的PDC
•没有NT4.0 DC,PDC也是默认主机浏览器(网络邻居的浏览功能)负责跟踪网络上所有计算机名的计算机
–gpupdate /force
组策略间的冲突
•组策略的配置具有累加性
•如果发生冲突,默认的状态下,实施最后的设置
–来自父容器的GPO设置和来自子容器的GPO设置发生冲突。子容器的设置后执行并发挥作用
–当站点、域、OU的GPO策略发生冲突时,则以处理顺序在后的GPO优先。
处理优先顺序为:站点的GPO、域的GPO、OU的GPO
一、活动目录概述
目录:存储以某种方式相关联的对象的信息集
目录服务:用户通过其提供的服务来使用目录中的信息
目录服务功能:组织网络中的资源,提供对资源的管理,对资源的控制
功能:组织,管理,控制
适用范围:便于用户查找、管理和使用这些资源
–小型网络:UNC路径(一般不使用AD)
–大型网络:难以确定资源位置、名称
•紧急复制=立即发布变化通告
站点内复制:
网络连接既可靠同时具有足够的可用带宽
复制流量不进行压缩
更改通知进程启动站点内复制
站点间复制:
可用带宽有限且可能不可靠
所有站点间的流量都经过压缩
更改的复制将按照手动定义的计划执行
解决复制冲突:属性戳
冲突类型:
属性值
在删除的容器对象上添加/移动或删除容器对象
名称相同:物件的GUID
非授权恢复只恢复活动目录到它备份时的状态
•域控制器上的分布式服务从备份介质中恢复,然后恢复后的数据通过通常的复制来更新
•备份程序只执行活动目录的非授权恢复
•恢复活动目录后,Windows自动执行:
•连续的检查,重新计算数据库中的索引
•更新活动目录和文件复制服务(FRS)
当替代不能工作的域控制器或者修复被破坏的目录数据库时需要恢复活动目录
活动目录运行时,备份不能更换活动目录
不能从比墓碑默认的60天生存时间更旧的系统状态数据的备份中恢复活动目录
授权恢复仅在活动目录中标注特定的对象信息
授权恢复在非授权恢复执行后发生
每天每个授权对象属性的版本号增长100000次
Repadmin /showmeta cn= ,ou= ,dc= ,dc=
当两个域控制器对同一个对象有不同的版本号,具有高版本号的对象覆盖低版本号的对象
跟踪尚未写入活动目录数据库文件的数据
Res1.log
Res2.log
预留的事务日志文件
备份活动目录:
•系统状态数据包括:
–域控制器上的活动目录和SYSVOL文件夹
–所有计算机上的注册表、系统启动文件、类注册数据库
–认证服务器上的认证服务数据库
恢复活动目录:
•什么是非授权恢复?
•执行非授权恢复
•什么是授权恢复?
•每台DC各自记录用户错误尝试密码的次数;
•密码输入正确后,BadPasswordCount置0;
•PDC累积各DC上该值总和,一旦超过预设值:
•PDC主机立即第一个锁住该账号;
•PDC主机把锁定信号复制到其他DC
RID主机(RID Master):
•RID主机给域中的每个域控制器分配RID块
•当把对象从一个域控制器移到另一个域控制器时,防止发生重复的对象
–OU可以把对象组织到一个逻辑结构中,使其能最佳适应组织的需要。
–委派OU的管理控制权,必须把OU及OU包含对象的具体的权限指定给一个或几个用户和组。
看图写DN
Administrator@yinheedu.comUPN的认识。
二、快照准备(无内容)
三、管理域账户和组
账户类型:计算机账户,用户账户,组账户
–所以需要目录服务快速定位资源
•对用户透明、高效
•不需要知道资源的物理位置,如何连接、
目录服务的逻辑结构:域(domain)
域树(domain tree)
森林(forest)
组织单元(OU)
目录服务的物理结构:站点(site)
域控制器(domain controller)
操作主机(operation master)
•Configuration Directory Partition其内存储着整个AD的结构,如有哪些域、有哪些站点、有哪些域控制器等数据。整个林共享一份相同的配置目录分区,它会被复制到整个林中的的所有域控制器。
•Domain Directory Partition其中存储着该域内的对象,如用户、组、计算机与组织单元等对象。每个域各自拥有一份域目录分区,它会被复制到同一个域内的所有域控制器,并不会被复制到其他域的域控制器。
l)何时自动安装?
m)开始运行此软件
n)利用“文件启动功能”(可识别图标)
发布软件:
•不能将软件发布给计算机
•将软件发布到用户
–不会自动安装软件
–何时自动安装
•“控制面版”->“添加删除程序”->“添加程序”
•利用“文件启动功能”(未知图标)
七、管理站点复制
“站点”是由一个或数个IP子网络所组成,这些子网之间是通过“高速且可靠的链接”串接起来,也就是这些子网络之间的链接速度要够快且稳定、符合需要,否则就应将它们分别规划为不同的站点。
•紧急复制,以减少密码复制延迟所造成的问题。任何DC上的密码被修改后,其他DC尽快联系PDC并修改
•负责整个森林的同步时间(kerberos在允许用户访问网络资源之前,检查时间同步)
•net time /setsntp:time.windows.com
•目的:为防用户的密码被猜测,当密码错误次数达到预设值时,该账号将被锁定BadPasswordCount
域:
域是活动目录中逻辑结构的核心单元,是一个有安全边界的计算机集合。一个域包含许多计算机,它们由管理员设定,共用一个目录数据库,一个域有一个唯一的名字。
容器与OU:
–容器与对象相似,有自己的名称,也是一些属性的集合。容器可以包含其它的对象,也可以包含其它的容器。OU是AD中的一个特殊的容器,他可以包含对象、OU和组策略。
域组的类型:通讯组(仅作电子邮件组,么有启用安全特性),安全组
域组作用域的分类:域本地组,全局组,通用组(三个域组的理解)
域组的嵌套:A,G,DL,P为主理解各种嵌套
四、管理信任关系
访问令牌:
当用户登录到某台计算机,在验证用户帐号和密码无误外系统会为该用户建立一个“访问令牌”(access token),其包含该用户的SID和用户所属组的SID。用户拿到“访问令牌”后系统会根据令牌中的SID去决定用户对特定资源拥有哪些访问权限。
八、操作主机
操作主机的角色:
•架构主机
•域命名主机
•PDC模拟主机
•RID主机
•基础结构主机
架构主机(Scheபைடு நூலகம்a Master):
•控制对Schema的所有更新,负责更新与修改架构内的对象与属性数据
•将更新复制到目录林中的所有域控制器
•只有Schema Admins成员可以对Schema进行修改
•运行Regsvr32 schmmgmt.dll
•Application Directory Partition一般来说,应用目录分区是由应用程序所建立的,其内存储着与此应用程序有关的数据。例如,Window Server 2003的DNS服务器会在AD内建立应用目录分区,以便存储DNS服务器设定的数据。应用目录分区会被复制到林中的特定域控制器,而不是所有域控制器。
九、维护活动目录数据库
维护活动目录数据库简介:
•备份活动目录
•恢复活动目录
•移动活动目录数据库
•整理碎片
Ntds.dit
活动目录数据库文件
存储域控制器上所有的活动目录对象
默认位置为%systemroot%\NTDS文件夹
Edb*.log
事务日志文件
默认事务日志文件Edb.log
Edb.chk
检查点文件
查询账户的属性:Repadmin /showmeta cn= ,ou= ,dc= ,dc=
目录分区:
•Schema Directory Partition它存储着整个林中所有对象与属性的定义数据,也存储着如何建立这些对象与属性的规则。整个林共享一份相同的架构目录分区,它会被复制到整个林中的所有域控制器。
–当用户设置和计算机设置发生冲突时,忽略用户设置而执行计算机设置
–如果多个GPO链接到同一个OU,那么所有GPO的配置将被累加作为最后的有效配置。如果这些GPO配置有冲突,则以排在GPO列表最上面的GPO配置为优先。
–“本地计算机策略”的优先权最低,也就是在其策略配置与站点、域、OU的策略配置发生冲突时,本地计算机策略无效。
•要使用组策略,必须有相应的管理权限
•组策略只适用于Windows 2000以上操作系统的计算机
组策略结构:
•组策略的设置数据皆保存在GPO中
•GPO链接至SDOU(Site、Domain、Organized Unit)
•GPO管理SDOU中的计算机和用户
GPO与SDOU间的链接关系
–手动强制刷新组策略
信任关系理解:
信任种类:
安全设置
五、组策略之桌面管理
组策略作用:
方便地管理AD中的计算机和用户
账户策略的设定
本地策略的设定
脚本的设定
用户桌面环境
计算机启动/关机与用户登录/注销时所执行的脚本文件
文件夹重定向
软件分发
应用组策略的前提条件
•组策略只能管理AD中的计算机和用户
•只能针对整个站点、域或组织单位来设置组策略
AD内的大部分数据是利用“多主机复制模式”来复制
站点与AD的复制有着重要的关系,因为这些域控制器是否在同一个站点内,会影响到域控制器之间AD的复制行为。
复制协议
•RPC(远程过程调用)用作站点间或站点内复制
•SMTP(简单邮件传输协议)用作站点间复制
复制时间
•缺省复制延迟= 15秒
•没有改变,常规复制= 1小时
六、组策略之软件分发
软件分发的好处
a)自动安装
b)自动修复
c)自动升级
d)远程删除
软件分发的方式
e)发布给用户
f)指派给用户
g)指派给计算机
指派给计算机
h)计算机启动时将自动安装在计算机里
i)安装到C:\Documents and Settings\All Users
指派给用户
j)不会自动安装软件
k)只安装软件相关的部分信息,如快捷方式
用户账户UPN理解
建立UPN好处:
•由于UPN的格式与电子邮件帐户相同,所以可以让用户不论是登录域或收发电子邮件,都可以使用一致的名称。
•如果域内有很多子域,则域名很长,如sales.north.abc.com,所以当用户登录域的时候名字就会太长,所以可以通过创建UPN后缀来减少长度,便于记忆
管理域账户的几种方式:ad管理中心,ad用户和组,目录服务工具,csvde,ldifde
•同一时间内,一个域内只能有一台基础结构主机
•更新对象和组成员的外部索引
•不能和GC配置在一起(单域除外)
操作主机的放置:
•手工优化:
–基础结构主机与GC不放在一起
–域命名主机与GC放在一起
–架构主机与域命名主机可放在一起
–PDC模拟主机建议单独放置
域命名主机(Domain Naming Master):
•控制在目录林中添加与删除域
•防止创建相同名称,配置不同的新域
•同一个时间内,整个林中只能有一台域命名主机
PDC模拟主机(PDC Emulator)::
•如果是混合windows,作为任何现存的BDC的PDC
•没有NT4.0 DC,PDC也是默认主机浏览器(网络邻居的浏览功能)负责跟踪网络上所有计算机名的计算机
–gpupdate /force
组策略间的冲突
•组策略的配置具有累加性
•如果发生冲突,默认的状态下,实施最后的设置
–来自父容器的GPO设置和来自子容器的GPO设置发生冲突。子容器的设置后执行并发挥作用
–当站点、域、OU的GPO策略发生冲突时,则以处理顺序在后的GPO优先。
处理优先顺序为:站点的GPO、域的GPO、OU的GPO
一、活动目录概述
目录:存储以某种方式相关联的对象的信息集
目录服务:用户通过其提供的服务来使用目录中的信息
目录服务功能:组织网络中的资源,提供对资源的管理,对资源的控制
功能:组织,管理,控制
适用范围:便于用户查找、管理和使用这些资源
–小型网络:UNC路径(一般不使用AD)
–大型网络:难以确定资源位置、名称
•紧急复制=立即发布变化通告
站点内复制:
网络连接既可靠同时具有足够的可用带宽
复制流量不进行压缩
更改通知进程启动站点内复制
站点间复制:
可用带宽有限且可能不可靠
所有站点间的流量都经过压缩
更改的复制将按照手动定义的计划执行
解决复制冲突:属性戳
冲突类型:
属性值
在删除的容器对象上添加/移动或删除容器对象
名称相同:物件的GUID
非授权恢复只恢复活动目录到它备份时的状态
•域控制器上的分布式服务从备份介质中恢复,然后恢复后的数据通过通常的复制来更新
•备份程序只执行活动目录的非授权恢复
•恢复活动目录后,Windows自动执行:
•连续的检查,重新计算数据库中的索引
•更新活动目录和文件复制服务(FRS)
当替代不能工作的域控制器或者修复被破坏的目录数据库时需要恢复活动目录
活动目录运行时,备份不能更换活动目录
不能从比墓碑默认的60天生存时间更旧的系统状态数据的备份中恢复活动目录
授权恢复仅在活动目录中标注特定的对象信息
授权恢复在非授权恢复执行后发生
每天每个授权对象属性的版本号增长100000次
Repadmin /showmeta cn= ,ou= ,dc= ,dc=
当两个域控制器对同一个对象有不同的版本号,具有高版本号的对象覆盖低版本号的对象
跟踪尚未写入活动目录数据库文件的数据
Res1.log
Res2.log
预留的事务日志文件
备份活动目录:
•系统状态数据包括:
–域控制器上的活动目录和SYSVOL文件夹
–所有计算机上的注册表、系统启动文件、类注册数据库
–认证服务器上的认证服务数据库
恢复活动目录:
•什么是非授权恢复?
•执行非授权恢复
•什么是授权恢复?
•每台DC各自记录用户错误尝试密码的次数;
•密码输入正确后,BadPasswordCount置0;
•PDC累积各DC上该值总和,一旦超过预设值:
•PDC主机立即第一个锁住该账号;
•PDC主机把锁定信号复制到其他DC
RID主机(RID Master):
•RID主机给域中的每个域控制器分配RID块
•当把对象从一个域控制器移到另一个域控制器时,防止发生重复的对象
–OU可以把对象组织到一个逻辑结构中,使其能最佳适应组织的需要。
–委派OU的管理控制权,必须把OU及OU包含对象的具体的权限指定给一个或几个用户和组。
看图写DN
Administrator@yinheedu.comUPN的认识。
二、快照准备(无内容)
三、管理域账户和组
账户类型:计算机账户,用户账户,组账户
–所以需要目录服务快速定位资源
•对用户透明、高效
•不需要知道资源的物理位置,如何连接、
目录服务的逻辑结构:域(domain)
域树(domain tree)
森林(forest)
组织单元(OU)
目录服务的物理结构:站点(site)
域控制器(domain controller)
操作主机(operation master)
•Configuration Directory Partition其内存储着整个AD的结构,如有哪些域、有哪些站点、有哪些域控制器等数据。整个林共享一份相同的配置目录分区,它会被复制到整个林中的的所有域控制器。
•Domain Directory Partition其中存储着该域内的对象,如用户、组、计算机与组织单元等对象。每个域各自拥有一份域目录分区,它会被复制到同一个域内的所有域控制器,并不会被复制到其他域的域控制器。
l)何时自动安装?
m)开始运行此软件
n)利用“文件启动功能”(可识别图标)
发布软件:
•不能将软件发布给计算机
•将软件发布到用户
–不会自动安装软件
–何时自动安装
•“控制面版”->“添加删除程序”->“添加程序”
•利用“文件启动功能”(未知图标)
七、管理站点复制
“站点”是由一个或数个IP子网络所组成,这些子网之间是通过“高速且可靠的链接”串接起来,也就是这些子网络之间的链接速度要够快且稳定、符合需要,否则就应将它们分别规划为不同的站点。
•紧急复制,以减少密码复制延迟所造成的问题。任何DC上的密码被修改后,其他DC尽快联系PDC并修改
•负责整个森林的同步时间(kerberos在允许用户访问网络资源之前,检查时间同步)
•net time /setsntp:time.windows.com
•目的:为防用户的密码被猜测,当密码错误次数达到预设值时,该账号将被锁定BadPasswordCount
域:
域是活动目录中逻辑结构的核心单元,是一个有安全边界的计算机集合。一个域包含许多计算机,它们由管理员设定,共用一个目录数据库,一个域有一个唯一的名字。
容器与OU:
–容器与对象相似,有自己的名称,也是一些属性的集合。容器可以包含其它的对象,也可以包含其它的容器。OU是AD中的一个特殊的容器,他可以包含对象、OU和组策略。
域组的类型:通讯组(仅作电子邮件组,么有启用安全特性),安全组
域组作用域的分类:域本地组,全局组,通用组(三个域组的理解)
域组的嵌套:A,G,DL,P为主理解各种嵌套
四、管理信任关系
访问令牌:
当用户登录到某台计算机,在验证用户帐号和密码无误外系统会为该用户建立一个“访问令牌”(access token),其包含该用户的SID和用户所属组的SID。用户拿到“访问令牌”后系统会根据令牌中的SID去决定用户对特定资源拥有哪些访问权限。
八、操作主机
操作主机的角色:
•架构主机
•域命名主机
•PDC模拟主机
•RID主机
•基础结构主机
架构主机(Scheபைடு நூலகம்a Master):
•控制对Schema的所有更新,负责更新与修改架构内的对象与属性数据
•将更新复制到目录林中的所有域控制器
•只有Schema Admins成员可以对Schema进行修改
•运行Regsvr32 schmmgmt.dll
•Application Directory Partition一般来说,应用目录分区是由应用程序所建立的,其内存储着与此应用程序有关的数据。例如,Window Server 2003的DNS服务器会在AD内建立应用目录分区,以便存储DNS服务器设定的数据。应用目录分区会被复制到林中的特定域控制器,而不是所有域控制器。
九、维护活动目录数据库
维护活动目录数据库简介:
•备份活动目录
•恢复活动目录
•移动活动目录数据库
•整理碎片
Ntds.dit
活动目录数据库文件
存储域控制器上所有的活动目录对象
默认位置为%systemroot%\NTDS文件夹
Edb*.log
事务日志文件
默认事务日志文件Edb.log
Edb.chk
检查点文件
查询账户的属性:Repadmin /showmeta cn= ,ou= ,dc= ,dc=
目录分区:
•Schema Directory Partition它存储着整个林中所有对象与属性的定义数据,也存储着如何建立这些对象与属性的规则。整个林共享一份相同的架构目录分区,它会被复制到整个林中的所有域控制器。
–当用户设置和计算机设置发生冲突时,忽略用户设置而执行计算机设置
–如果多个GPO链接到同一个OU,那么所有GPO的配置将被累加作为最后的有效配置。如果这些GPO配置有冲突,则以排在GPO列表最上面的GPO配置为优先。
–“本地计算机策略”的优先权最低,也就是在其策略配置与站点、域、OU的策略配置发生冲突时,本地计算机策略无效。
•要使用组策略,必须有相应的管理权限
•组策略只适用于Windows 2000以上操作系统的计算机
组策略结构:
•组策略的设置数据皆保存在GPO中
•GPO链接至SDOU(Site、Domain、Organized Unit)
•GPO管理SDOU中的计算机和用户
GPO与SDOU间的链接关系
–手动强制刷新组策略
信任关系理解:
信任种类:
安全设置
五、组策略之桌面管理
组策略作用:
方便地管理AD中的计算机和用户
账户策略的设定
本地策略的设定
脚本的设定
用户桌面环境
计算机启动/关机与用户登录/注销时所执行的脚本文件
文件夹重定向
软件分发
应用组策略的前提条件
•组策略只能管理AD中的计算机和用户
•只能针对整个站点、域或组织单位来设置组策略
AD内的大部分数据是利用“多主机复制模式”来复制
站点与AD的复制有着重要的关系,因为这些域控制器是否在同一个站点内,会影响到域控制器之间AD的复制行为。
复制协议
•RPC(远程过程调用)用作站点间或站点内复制
•SMTP(简单邮件传输协议)用作站点间复制
复制时间
•缺省复制延迟= 15秒
•没有改变,常规复制= 1小时
六、组策略之软件分发
软件分发的好处
a)自动安装
b)自动修复
c)自动升级
d)远程删除
软件分发的方式
e)发布给用户
f)指派给用户
g)指派给计算机
指派给计算机
h)计算机启动时将自动安装在计算机里
i)安装到C:\Documents and Settings\All Users
指派给用户
j)不会自动安装软件
k)只安装软件相关的部分信息,如快捷方式
用户账户UPN理解
建立UPN好处:
•由于UPN的格式与电子邮件帐户相同,所以可以让用户不论是登录域或收发电子邮件,都可以使用一致的名称。
•如果域内有很多子域,则域名很长,如sales.north.abc.com,所以当用户登录域的时候名字就会太长,所以可以通过创建UPN后缀来减少长度,便于记忆
管理域账户的几种方式:ad管理中心,ad用户和组,目录服务工具,csvde,ldifde