活動(dòng)目錄的概述一：概念1. 活動(dòng)目錄:Active Directory,MS的目錄服務(wù)(還有Novell 的NDS)2. 域:活動(dòng)目錄數(shù)據(jù)庫(kù)和活動(dòng)目錄的集合3. 域控制器:域的物理載體二：創(chuàng)建第

活動(dòng)目錄的概述

一：概念

1. 活動(dòng)目錄:Active Directory,MS的目錄服務(wù)(還有Novell 的NDS)

2. 域:活動(dòng)目錄數(shù)據(jù)庫(kù)和活動(dòng)目錄的集合

3. 域控制器:域的物理載體

二：創(chuàng)建第一個(gè)域

1. 前提：固定IP,NTFS 分區(qū)(convert c:/fs:ntfs)

2. 提升:dcpromo--新域---新林中的域

1) DNS 名稱(域名的格式同DNS 名)

2) 數(shù)據(jù)庫(kù)和日志文件存儲(chǔ):分開存儲(chǔ)

3) DNS 配置:同時(shí)安裝

4) 還原模式密碼:用來(lái)還原DB

3. 確認(rèn):

1) netlogon 和sysvol 的共享---net share

2) AD 三大管理工具---dsa.msc,domain.msc,dssite.msc

3) DNS 配置--dnsmgmt.msc(兩個(gè)區(qū)域:_msdcs.sodi.com和sodi.com)

4. 修復(fù):net stop netlogon & net start netlogon(與AD 集成的區(qū)域)

5. 加入域：

1) client 需要指向DNS

2) domain users有權(quán)利將client 加入域

三：域的組件

1. 邏輯組件: 域林，域樹，域;OU

2. 物理組件:DC, Site, Site Link

四：AD用戶和計(jì)算機(jī)基本管理

1. 組/OU(組織單位)/容器

1) 組：基于權(quán)利的分配

2) 容器:存放AD 對(duì)象

3) OU：管理存放的AD 對(duì)象

2. OU 的委派控制

1) 作用:權(quán)利的分配

2) 工具:Adminpak(Windows 2003 CD)

3. 增強(qiáng)命令行(P14,P69)

LDAP:AD管理工具定位,查找，更改AD 數(shù)據(jù)庫(kù)中內(nèi)容

資源標(biāo)識(shí):標(biāo)識(shí)名

cn=tom,ou=sodi,dc=contoso,dc=com

用戶cn=；容器cn=,OU=,

域sodi.com:dc=sodi,dc=com

例:dsadd user cn=tom,ou=hr,ou=sodi,dc=contoso,dc=com –p pass01! –u administrator –p password01!

以域administrator(其密碼是password01!)在contoso.com 下的名為sodi 的

OU 下的子OU hr 下建立一個(gè)名為tom 的用戶,其密碼為pass01!

實(shí)現(xiàn)域林架構(gòu)

一：域林概述：

由一個(gè)或多個(gè)域樹組成;域樹之間命名沒(méi)有聯(lián)系;域樹之間存在信任關(guān)系

二：域樹概述

由一個(gè)或多個(gè)域組成;域之間命名有延續(xù)性;根域與子域之間存在信任關(guān)系

三：架設(shè)一個(gè)子域

1. 前提：TCP/IP設(shè)定,DNS設(shè)定---指向林根域的DNS 地址

2. 提升：現(xiàn)有域樹的子域----輸入user/pwd(enterprise admins)

3. 驗(yàn)證父子域關(guān)系：

1) 域中用戶可以到另一個(gè)域中的計(jì)算機(jī)(除DC)上交互式登錄

2) Enterprise Admins組的成員可以登錄到域中的任何一臺(tái)計(jì)算機(jī)

4. 子域DNS 配置：

1. 需求:減輕根域DNS 的負(fù)荷

2. 配置:

a) 子域DC 的DNS 指向自己

b) 新建子域區(qū)域(east.contoso.com)

c) Net stop netlogon & net start netlogon

5. 注意:_mstsc區(qū)域只是在根域第一個(gè)域控的DNS 上存在

四：架設(shè)第二棵域樹

1. 前提：TCP/IP設(shè)定，DNS設(shè)定---指向林根域的DNS 地址

2. 提升：現(xiàn)有林的域樹----輸入user/pwd(enterprise admins)；DNS配置—

同時(shí)安裝(提升后,更改此DC 的DNS 指向自己)

3. 驗(yàn)證域樹之間關(guān)系：

1) 域中的用戶可以到任何一臺(tái)域中的計(jì)算機(jī)(除DC)

2) Enterprise Admins組的成員可以登錄到域中的任何一臺(tái)計(jì)算機(jī)

管理信任關(guān)系

一：信任關(guān)系作用

域之間溝通的橋梁,域信任之后,用戶就可以到信任域中登錄(訪問(wèn)資源)

二：信任關(guān)系類型

父子信任和樹根信任(默認(rèn))；快捷方式信任(一個(gè)林之間的不同域之間),林信任(林根域之間),外部信任(兩個(gè)林間的不同域之間),領(lǐng)域信任(非MS)

三：信任關(guān)系的工作流程

用戶沿著信任關(guān)系的路徑詢問(wèn)GC(全局編錄),并查找到相應(yīng)資源

四：信任關(guān)系的創(chuàng)建

1. 考慮的事項(xiàng)

1) 域中的用戶經(jīng)常性訪問(wèn)其他域中的資源

2) 為了減輕上層DC(GC)的壓力

3) 提高登錄效率

2. 創(chuàng)建信任關(guān)系

1) 前提:DNS域名解析,用轉(zhuǎn)發(fā)器來(lái)實(shí)現(xiàn)

2) shortcut 過(guò)程:信任的域(信任誰(shuí)？)----雙向信任——這個(gè)域和指定域

----輸入user/pwd(指定域)-----確認(rèn)

3) forest trust 過(guò)程(林根域之間):需要提升林級(jí)別為2003(先提升域級(jí)別

為2003),步驟2－22------2-32(P51)

用戶和組的管理

一：用戶/組的概述

1. 工作組:administrator,guest;guests,users,power users,administrators

2. 域：administrator,guest;administrators,users,

;domain guests,domain users,domain admins;enterprise admins(林根域) 二：用戶組的類別

1. Group type:

1) 安全組---對(duì)資源分配權(quán)限

2) 分布組：創(chuàng)建郵件組;功能是安全組的一個(gè)子集

2. Group scope:

1) 域本地組:作用于本域;成員來(lái)自有信任關(guān)系的域

2) 全局組:作用于有信任關(guān)系的域;成員來(lái)自于本域

3) 通用組:作用于全林(域級(jí)別為2000 native以上); 成員來(lái)自全林

三：AGUDLP規(guī)則

Account->Global->Universal->Domain Local->Permission

其他規(guī)則：AGDLP

組策略的概述

一：作用

1. 管理用戶環(huán)境(桌面,菜單,文件夾重定向，IE設(shè)置)

2. 軟件自動(dòng)部署(安裝，升級(jí)，卸載)

3. 軟件限制(哈希算法,路徑限制)

二：默認(rèn)策略

工作組:gpedit.msc---本地的策略

域:DC上gpedit.msc---本地;dsa.msc—域?qū)傩渊D組策略――>默認(rèn)的域策略(針對(duì)于域中的所有pc/users)

管理工具：默認(rèn)的DC 安全策略――本地策略的子集(gpedit.msc)

默認(rèn)域安全策略----默認(rèn)的域策略的子集

三：組策略的存儲(chǔ)

GPO 組成：GPC(組策略容器):GPO的版本信息，存在AD 中

GPT(組策略模板):GPO具體設(shè)置(computer/user)，存在SYSVOL 中

用戶登錄/計(jì)算機(jī)啟動(dòng)應(yīng)用GPO:查看GPC 版本號(hào)是否變化-?拿GPT 的設(shè)置

User---GPO 的用戶設(shè)置

Computer—GPO的計(jì)算機(jī)設(shè)置

四：組策略應(yīng)用規(guī)則

1. 子容器繼承父容器的策略

2. 已配置的覆蓋未配置

3. GPO 執(zhí)行順序：OU>Domain>site>Local

4. 變更執(zhí)行順序：禁止替代(強(qiáng)制)――GPO執(zhí)行到底?。蛔柚估^承---不繼承上面的GPO

應(yīng)用場(chǎng)景：禁止替代――統(tǒng)一管理；阻止繼承――特殊對(duì)待

組策略管理用戶環(huán)境

一：用戶環(huán)境的概述

1. all users和default user的區(qū)別

all users:針對(duì)于所有users 的生效

default user：針對(duì)于第一次登錄的用戶生效

2. 用戶配置文件夾名稱

第一次登錄的用戶在c:documents and settings新建與用戶名同名的folder ；同名用戶再次登錄, 新建用戶配置文件夾, 名為user name.hostname(or:domain name)

二：GPO的主要功能

1. 管理模板(基于注冊(cè)表的設(shè)置)：

2. IE 的維護(hù)

3. 腳本分發(fā)

4. 文件夾重定向

使用組策略限制軟件

一：通用的限制方法

1. 網(wǎng)絡(luò)層：ping/nslookup----ACL

2. 傳輸層：TCP/UDP---netstat –an-?ACL

3. 應(yīng)用層:Firewall(ISA Cisco PIX),GP(路徑＋哈希)

二：組策略限制軟件

1. 方法：

1) 路徑規(guī)則：根據(jù)程序所在路徑限制

2) 哈希算法：根據(jù)程序文件的內(nèi)容,算出值。

3) 證書算法：程序與證書綁定

4) Internet 區(qū)域規(guī)則：根據(jù)軟件所在的區(qū)域做限制

2. 推薦：

1) 路徑：相對(duì)路徑，％systemroot(windir)programfiles;userprofile

(推薦：以記事本為例,*notepad*；*qq*.*)

2) 哈希算法：對(duì)軟件內(nèi)容(版本號(hào))進(jìn)行限制

使用組策略部署軟件 ；

一：部署軟件的情況

安裝；升級(jí)；更新(補(bǔ)丁)；卸載(用組策略裝的軟件)

二：部署軟件

1. 對(duì)象：計(jì)算機(jī)/用戶

2. 方式：指派/發(fā)布

3. 場(chǎng)景：

1) 指派給計(jì)算機(jī)－>計(jì)算機(jī)&軟件,用于用戶一定要使用的軟件；

2) 發(fā)布給用戶：用戶不經(jīng)常使用到的軟件,用戶安裝需要執(zhí)行“添加、刪除

程序”

3) 指派給用戶：應(yīng)用程序和用戶綁定,在用戶的“菜單”中安裝了快捷方式

4) 注意：不能將軟件發(fā)布給計(jì)算機(jī)

4. 步驟：

1) 建立軟件分發(fā)點(diǎn)(可選)

2) 指定默認(rèn) 程序包位置

3) 發(fā)布/指派

三：部署非MSI 的程序

方法1.封裝成zap 文件(zap文件只能發(fā)布給用戶)

zap 文件的制作

用notepad 編輯

[application]

FriendlyName=“flashget 2.0”

SetupCommand=“hostnameShareNamesetup.exe”

保存格式為zap

方法2.使用第三方工具，如Wininstall le,AdminStudio

四：自動(dòng)部署OFFICE

1. 免輸SN

1) Office 2003,編輯setup.ini,[options]下添加一行pidkey=…(去除-去

掉)

2）Office 2007,編輯Pror.WWconfig.xml,修改PIDKEY

2. 自動(dòng)部署:ORK—CIW

制作MST 文件(P227)

注：建議安裝包先放在軟件分發(fā)點(diǎn),會(huì)啟用“安靜模式”

3. GPO 設(shè)定(圖7－9)

指派/分發(fā)－>高級(jí)－>修改，瀏覽到MST 文件

五：維護(hù)軟件

1. 卸載：卸載已安裝好的；禁止新的安裝(表7－3)

2. 升級(jí)：先指派/分發(fā)出新版軟件－>屬性->升級(jí)，選擇被升級(jí)的軟件

3. 打補(bǔ)丁：獲得打完SP 的程序－>指派/分發(fā)－>重新部署

利用站點(diǎn)優(yōu)化登錄

一：額外DC 的作用

1.冗余，負(fù)載分擔(dān)

2.配置：額外DC 上配置DNS(與主區(qū)域同名的主要區(qū)域)

3.客戶端的DNS 設(shè)置:首選DNS＋備用DNS

二：DC，DNS，PC的關(guān)系(附圖)

1. DC 在DNS 中注冊(cè)SRV 記錄

2. PC 詢問(wèn)DNS“誰(shuí)是域的DC？”,DNS返回“DC是x！”

3. PC 向X 請(qǐng)求驗(yàn)證

三：驗(yàn)證登錄驗(yàn)證的服務(wù)器

1. set L

2. nslookup->輸入域名，顯示結(jié)果在前的DC，是當(dāng)前驗(yàn)證的DC 四：創(chuàng)建站點(diǎn)優(yōu)化登錄

1. 原理：pc向DNS 詢問(wèn)與自己在同一站點(diǎn)(網(wǎng)段)內(nèi)的DC 是誰(shuí)？

2. 實(shí)現(xiàn)(P259)

1) 新建站點(diǎn)

2) 新建子網(wǎng)

3) 拖動(dòng)DC 到相應(yīng)站點(diǎn)

利用站點(diǎn)優(yōu)化AD 復(fù)制

一：AD復(fù)制沖突

1） 名字沖突:后建立的用戶,名為usernameCNF:guid

2） 屬性沖突：后修改的生效

3） OU 沖突：用戶在LostandFound 中

二：站點(diǎn)間復(fù)制優(yōu)化

1） 原理：每個(gè)站點(diǎn)的站點(diǎn)間拓?fù)渖善?ISTG)，就是站點(diǎn)內(nèi)的第一臺(tái)DC,

推舉出橋頭堡服務(wù)器；執(zhí)行Bridge head server上的KCC 程序,建立到另一站點(diǎn)內(nèi)的Bridge head 的連接對(duì)象（連接對(duì)象是基于站點(diǎn)鏈接的）

2） 優(yōu)化：站點(diǎn)鏈接是物理線路的邏輯反映，默認(rèn)名為defaultsitelink.

屬性有

a) Cost:默認(rèn)為100(多條鏈接間選擇值低的線路)

b) 復(fù)制間隔:默認(rèn)180分鐘

c) 復(fù)制計(jì)劃:時(shí)間表

3） 多站點(diǎn)的復(fù)制

建議：為所有站點(diǎn)鏈接搭橋(ip->屬性)

跨站點(diǎn)復(fù)制前提：復(fù)制間隔＝最小公倍數(shù)；具備重復(fù)時(shí)段

管理操作主機(jī)

一：操作主機(jī)的概述

1. DC 的角色：

1) NT4：PDC、BDC

2) 2000以后：DC(FSMO)

2. 查看FSMO:

1. 命令行：netdom query fsmo

2. 管理工具

1) 林中：架構(gòu)主機(jī)regsvr32 schmmgmt.dll－>MMC->AD架構(gòu)；域命名主機(jī)

domain.msc;

2) 域中：PDC主機(jī)，RID主機(jī)，基礎(chǔ)結(jié)構(gòu)主機(jī)－>dsa.msc

二：FSMO作用

1. 架構(gòu)主機(jī)：定義林中對(duì)象的屬性(存儲(chǔ)于GC 中：存儲(chǔ)林中所有對(duì)象的部分屬

性)

2. 域命名主機(jī)：控制林中域的添加/刪除（建議和GC 放在一起）

3. PDC 主機(jī)：同步域中 dc 的時(shí)間；管理用戶的密碼更新、鎖定狀態(tài)(負(fù)荷較

大)

4. RID 主機(jī)：分配RID 池給DC，防止SID 沖突

1) GUID：全局唯一標(biāo)識(shí)符(身份證號(hào))；SID：安全標(biāo)識(shí)符(信用卡賬號(hào))，

域用戶/計(jì)算機(jī)

注：安裝Windows 2003 resource kit,regsvr32 acctinfo.dll

2) SID=域的SID 對(duì)象RID

5. 基礎(chǔ)結(jié)構(gòu)主機(jī)：引用了他域的對(duì)象(多域情況時(shí),和GC 分開存放)

三 FSMO的轉(zhuǎn)移和占用

1. 轉(zhuǎn)移(Transfer)：將FSMO 角色平穩(wěn)地傳遞給另一臺(tái)DC；操作可逆

2. 占用(Seize)：將FSMO 角色強(qiáng)制地傳遞給另一臺(tái)DC；操作可逆

3. 最佳實(shí)踐： 要連到更新的DC；能轉(zhuǎn)移盡量不要用占用

4. 操作:圖形化工具；Ntdsutil

四 優(yōu)化放置方案

1. 架構(gòu)主機(jī)和域命名主機(jī)放在一起，GC放在域命名主機(jī)上

2. 林中角色在同一臺(tái)DC 上，GC應(yīng)放在一起，保證高可用性

3. 域中角色放在另一臺(tái)DC 上，保證高可用性、高效率運(yùn)行

4. 減輕PDC 的壓力

五 爭(zhēng)奪操作主機(jī)角色注意的幾點(diǎn)

1. 架構(gòu)主機(jī)角色已被占用的域控制器永遠(yuǎn)不能恢復(fù)聯(lián)機(jī)狀態(tài)

2. 域命名主機(jī)角色已被占用的域控制器永遠(yuǎn)不能恢復(fù)聯(lián)機(jī)狀態(tài)

3. RID 主機(jī)角色已被占用的域控制器永遠(yuǎn)不能恢復(fù)聯(lián)機(jī)狀態(tài)

AD 的備份和還原

一 認(rèn)識(shí)AD 數(shù)據(jù)庫(kù)

1.

2.

3.

4. Ntds.dit:這個(gè)文件是AD 數(shù)據(jù)庫(kù)文件，它存儲(chǔ)域控制器中所有的AD 對(duì)象 Edb.log:這是一個(gè)事務(wù)日志文件。每個(gè)事務(wù)日志文件的大小是10M Edb.chk:這個(gè)是數(shù)據(jù)庫(kù)引擎用來(lái)跟蹤還沒(méi)有寫入AD 數(shù)據(jù)庫(kù)文件的檢查點(diǎn)文件 Res1.log 和Res2.log:這個(gè)是保留的事務(wù)日志文件

二 :備份AD 數(shù)據(jù)庫(kù)

利用ntbackup,備份系統(tǒng)狀態(tài)數(shù)據(jù)即可。

三：還原AD 數(shù)據(jù)庫(kù)

1、 正?；謴?fù)

2、 原始恢復(fù):用于還原域中的第一臺(tái)DC 或從備份介質(zhì)提升額外DC

還原域中的第一臺(tái)DC 步驟(P330)：

A：如果DC 的OS 沒(méi)有損壞,則

1) 重啟DC，F(xiàn)8進(jìn)入到DSRM(目錄服務(wù)還原模式)

2) 使用NTBACKUP 還原系統(tǒng)狀態(tài)數(shù)據(jù)

3) 高級(jí)選項(xiàng)中,選擇“當(dāng)還原復(fù)制的數(shù)據(jù)集時(shí),將還原的數(shù)據(jù)作為所有副本的主要數(shù)

據(jù)”

B:如果DC 的OS 已損壞(AD亦損壞),則

1) 另找一臺(tái)Window Server 2003 (無(wú)域環(huán)境要求), 使用NTBACKUP 還原系統(tǒng)狀態(tài)數(shù)

據(jù)到原始位置

2) 高級(jí)選項(xiàng)中,選擇“當(dāng)還原復(fù)制的數(shù)據(jù)集時(shí),將還原的數(shù)據(jù)作為所有副本的主要數(shù)

據(jù)”

3) 據(jù)提示重啟計(jì)算機(jī),完成！

從備份介質(zhì)提升額外DC 步驟(P25)：

1) 使用ntbakup 備份系統(tǒng)狀態(tài)數(shù)據(jù)

2) 將此bkf 文件復(fù)制到將要提升為DC 的服務(wù)器硬盤上

3) 使用ntbakup 還原備份文件到備用位置(例c:temp)

4) 使用dcpromo /adv提升DC

3、 授權(quán)恢復(fù):防止版本高的對(duì)象覆蓋版本低的對(duì)象

①先重新啟動(dòng)DC，然后按F8，進(jìn)入目錄服務(wù)還原模式，這里需要輸入的管理員密碼是在創(chuàng)建域的時(shí)候的還原模式密碼。

②正?；謴?fù)（利用ntbackup 進(jìn)行還原操作），之后注意一定不要重新啟動(dòng)。

③運(yùn)行 → cmd → ntdsutill →authoritative restore

④（這里以china.com 下的OU=test,OU里有一用戶為wind,被誤刪為例）

Restore object cn=wind,ou=test,dc=china,dc=com

⑤quit，退出ntdsutill

⑥重新啟動(dòng)即可。