您好,欢迎访问三七文档
AD域维日常维护手册目录一、ActiveDirectory(域)介绍................................................................................................3二、AD域界面预览.................................................................................................................5三、AD域账号的建立.............................................................................................................6四、AD域OU的建立..............................................................................................................9五、AD域账户OU间的移动................................................................................................11六、AD域策略的介绍以及部署范围...................................................................................12七、AD域OU的策略部署....................................................................................................13八、AD域策略的阻止策略继承和禁止替代.......................................................................16九、客户端加域操作.............................................................................................................17十、组策略管理(GPMC)工具的使用(重点)..........................................................................1910.1、GPMC管理界面的认识.......................................................................................2010.2、组策略的使用......................................................................................................2110.3、组策略应用..........................................................................................................2210.4、报表形式查看组策略..........................................................................................2310.5、组策略的备份、还原、导出和导入..................................................................24十一、AD服务器日常维护方法...........................................................................................25一、ActiveDirectory(域)介绍ActiveDirectory的体系结构介绍ActiveDirectory的体系结构分为逻辑结构和物理结构。必须对ActiveDirectory的逻辑结构与物理结构进行规则,才能较好地满足企业的需求。为了管理ActiveDirectory,必须首先理解这些结构。ActiveDirectory的作用ActiveDirectory可以存储用户、计算机和网络资源的信息,并且使资源可以被用户和应用程序访问。它提供了一种统一的方法来命名、描述、定位、访问、管理、和保护这些资源。ActiveDirectory具有如下功能:对网络资源的集中控制。通过对诸如服务器、共享文件和打印机等的资源进行集中控制,只有授权用户可以访问ActiveDirectory中的资源……例如,可以通过给行政部的激光打印机设置权限,设置只有行政部人员可以使用该打印机……从而避免非法使用和资源浪费。集中和分散管理。管理员通过一致的管理界面,能够可以编写一个组策略,使得某个应用程序的升级包能够在网络中每个用户开机的时候就自动安装,从而分散管理任务。例如,管理员可以把销售部的计算机和打印机纳入到一个组织单元中,将它们的管理权限委派给销售部的技术支持人员,从而减少自己的工作量。在逻辑结构中安装地存储对象。ActiveDirectory使用层次逻辑结构把所有资源作为对象存储。例如,可以按照公司的组织结构和业务需求来组织相应的组织单元,将网络资源分布在相应的组织单元中,实现分级管理。ActiveDirectory还会对储在其中的对象进行加密,这样可以保证数据的安全。优化网络流量,ActiveDirectory物理结构能够更加高效地使用网络带宽,例如,当用户登录到网络时,能够保证用户是由离他们最近的验证中心进行身份验证,从而减小了网络流量。ActiveDirectory服务的优势WindowsServer2003系列中ActiveDirectory是对WindowsNT中的扁平域模型的重大改进。集中的数据存储。ActiveDirectory中的所有数据都保存在一个独立的分布式数据库中,允许用户从任何位置访问这些信息。和其他数据存储方式相比,独立的数据存储所需的管理重复劳动更少,并且提高了数据的可用性和可组织性。可伸缩性。ActiveDirectory使管理员能通过配置域和树以及域控制器的主席团来调整目录,以满足业务和网络的要求。ActiveDirectory允许每个域有几百万个对象,并使用索引技术和先进的复制技术来加速处理。可扩展性。ActiveDirectory数据库的架构可以被扩展,以便允许自定义的信息类型。可管理性。ActiveDirectory是基于分组组织结构的。这些组织结构使管理员能更容易地控制管理权限和其他安全设置,并且使用户能更容易地定位网络资源,比如文件和打印机与DNS相集成。ActiveDirectory使用了DNS,它是一种基于IP地址的Internet标准服务,可以把可读性好的主机名称转换为IP地址,虽然ActiveDirectory和DNS是分开的,并且由于用途不同而被方式不同,但是它们有相同的分级结构。ActiveDirectory客户端使用DNS来定位域控制器。在使用WindowsServer2003DNS服务时,可以将主DNS区域存储在ActiveDirectory中,并启用到其他ActiveDirectory域控制器的复制。客户端配置管理。ActiveDirectory提供了新技术来管理客户端配置问题,例如配置文件可以在不同的机器上漫游,即便发生硬盘故障,也可以在别的机器上马上重新开始工作,这样可以将管理工作和用户停机时间都减到最小基于策略的管理。在ActiveDirectory中,策略用于定义给定站点、域或者组织单元上用户和计算机的可进行的操作和设置。基于策略的管理简化了一些傻笑国,比如操作系统更新、应用程序安装、用户配置文件和桌面系统锁定信息复制。ActiveDirectory提供多谢机复制技术,以确保信息的可用性、容错、负载平衡和其他性能优点。多主机复制使管理员能在任何域控制器上更新目录并将目录更改复制到任何其他域控制器上。由于采用了多台域控制器,即使一台域控制器停止了工作,复制仍可继续。二、AD域界面预览可以通过开始菜单—管理工具—ActiveDirectory用户和计算机打开1.1Builtin这个模块里面的组都是系统的默认组1.2Computers这个模块里面的都是域的客户端计算机名(所有加了域的计算机都会在这个模块里显示)1.3DomainContrillers这个模块里面的是域控制器的计算机名1.4Users就是AD域里面的一些用户和组了,如果新建的账户没指定分配到哪些地方的话,也会出现在这个Users里面的三、AD域账号的建立姓名只是一些描述来的,最重要的是用户登录名那里的名称,因为那个名称是拿来登陆系统用的,以后用户登陆系统用的账号就是这个账号了,本例为zhangsan密码的设定,默认密码的长度最小长度一般为7,开启了复杂性的,必须包含英文、数字、符号的,这些日后可以策略修改的。用户下次登陆是必须更改密码这个也要勾上,密码让他们自己保管好建立完这个用户后我们还可以对这个用户的一些具体属性进行详细的设定四、AD域OU的建立这里随便输入一个名称即可,大家把OU想象成系统里面组就可以了,只不过这个“组”里面除了可以摆放用户外,还可以摆放例如计算机、打印机之类的东西。本例名称为dg(东莞)OU也支持嵌套功能,也就是说可以在这个OU里面再继续创建OU、一般我们使用OU都是为了方便划分用户或者计算机的、OU的划分可以依据地理位置、应用对象、人员分类等等,总之能区分的就行例如我在dg的基础OU上再建立一个qiantai(前台)前台下面再建立话1、话2这样都是可以的,但是官方建议嵌套层面最好不要超过10层。五、AD域账户OU间的移动例如我账户张三是属于dg-qiantai-话1的,那么我们直接选中张三这个账户,左键直接拖到话1的OU中就可以了。六、AD域策略的介绍以及部署范围AD域默认的2个策略,域安全策略以及域控制器安全策略域安全策略呢,就是针对整个域的用户、计算机,如果对这个域安全策略做修改的话,那么它的生效范围将是整个域(所有加入域的计算机、或者用户)域控制器安全策略,就是针对域控制器服务器的(DC),如果针对这个域安全策略做修改的话,那么它的生效范围是域服务器如果域安全策略和域控制器安全策略有冲突的话,以域控制器安全策略为准七、AD域OU的策略部署例如我需要对前台的话务人员做一条策略是禁止C盘的,只需要右击下qiantai属性—组策略—新建—策略名称随便起个,我这里是为了方便表示。双击策略或者点编辑,就可以直接对策略进行编辑修改,本例是禁止C盘,如若要修改或者限制其他的,请详细查看组策略然后按照我所描述的方法就可以了。选择要限制的盘符部署完策略后,在服务器上执行这条命令,意思就是刷新策略,后面跟的参数是强制刷新的意思。如果想要客户端也立即生效的话也同样在客户端上执行一样命令,因为AD域策略默认是90分钟才自动刷新一次的,所以你不更新要等90分钟才能看到效果有一点要特别申明一下这里的【计算机配置】策略所应用的范围是计算机,也就是说你建立的OU里面所包含的对象必须是计算机才能生效,相对的来说【用户配置】的话对象就是针对账户来做的。【计算机配置】命令刷新后,需注销或者重起计算机才能看到效果【用户配置】命令刷新后,就可看见效果,有个别的需要注销。八、AD域策略的阻止策略继承和禁止替代如果勾上阻止策略继承,那么就只有qiantai这个OU里面的对象对这个策略生效了,而qiantai下面的话1
本文标题:AD维护手册
链接地址:https://www.777doc.com/doc-4330122 .html