《Windows Server 2012活動目錄管理實踐》 目錄
目錄
內容提要·· 1
前言·· 1
目錄·· 4
第1章域概述18
1.1 真實的案例·· 18
1.1.1 案例需求·· 18
1.1.2 IT技術部門·· 18
1.1.3 達到的效果·· 19
1.1.4 IT技術部門新措施·· 19
1.2 部署域的意義·· 20
1.2.1 網絡管理中遇到的問題·· 20
1.2.2 部署域的價值·· 20
1.3 常用的計算機概念·· 20
1.3.1 獨立服務器·· 20
1.3.2 成員服務器·· 21
1.3.3 域控制器·· 21
1.3.4 客戶端計算機·· 21
1.4 常用域概念·· 22
1.4.1 DNS· 22
1.4.2 工作組·· 22
1.4.3 域·· 22
1.4.4 根域·· 23
1.4.5 域樹·· 24
1.4.6 域林·· 24
1.4.7 如何區別域林和域樹·· 25
1.5 管理域控制器需要注意的問題·· 26
1.5.1 禁止在域控制器任意安裝軟件·· 26
1.5.2 禁止隨意添加/刪除域控制器·· 26
1.5.3 禁止FSMO角色的任意分配·· 26
1.5.4 謹慎備份域控制器·· 26
第2章部署第一臺域控制器27
2.1 案例任務·· 27
2.1.1 案例任務·· 27
2.2.2 案例環境·· 27
2.2 部署網絡第一臺域控制器·· 29
2.2.1 重命名計算機·· 29
2.2.2 更改網絡參數·· 31
2.2.3 部署網絡中第一臺域控制器·· 34
2.2.4 安裝過程中遇到的問題:“NETBIOS名稱”和域名不一致·· 44
2.3 驗證第一臺域控制器是否成功部署·· 45
2.3.1 驗證“ADDS域服務”·· 45
2.3.2 驗證“默認容器”·· 46
2.3.3 驗證“DomainControllers“47
2.3.4 驗證“Default-First-Site-Name”48
2.3.5 驗證“ActiveDirectory 數據庫”和“日誌文件”·· 49
2.3.6 驗證“計算機角色”·· 50
2.3.7 驗證系統共享卷“SYSVOL”和“NetLogon”服務·· 50
2.3.7 驗證“SRV記錄”·· 53
2.3.8 驗證FSMO操作主機角色·· 56
2.3.9 事件查看器·· 56
2.3.10 安裝日誌·· 57
2.4 計算機安裝“ADDS域服務”前後變化·· 58
2.4.1 服務器管理器面板·· 58
2.4.2 登錄服務器·· 59
2.4.3 Metro面板發生的變化·· 61
2.4.4 本地服務器面板變化·· 62
2.4.5 默認組變化·· 63
2.4.6 用戶變化·· 64
2.5 常見問題·· 66
2.5.1 修改域控制器IP地址·· 66
2.5.2 重命名域控制器·· 71
第3章部署額外域控制器及子域75
3.1 案例任務·· 75
3.1.1 額外域控制器的作用·· 75
3.1.2 案例任務·· 75
3.1.3 案例環境·· 76
3.1.4 部署流程·· 77
3.2 部署網絡中第二臺域控制器·· 77
3.2.1 “重命名計算機”需要注意的問題·· 77
3.2. 2 “更改網絡參數”需要注意的問題·· 77
3.2.3 獨立服務器加入到域·· 79
3.2.4 提升爲額外域控制器·· 82
3.3 驗證第二臺域控制器是否成功部署·· 91
3.3.1 驗證“計算機角色”·· 91
3.3.2 驗證“DNS”相關記錄·· 92
3.3.3 驗證“ActiveDirectory站點和服務”·· 92
3.3.4 驗證網絡中所有域控制器和GC· 92
3.3.5 驗證FSMO操作主機角色·· 93
3.4 介質安裝第三臺域控制器·· 94
3.4.1 第三臺Windows Server 2012域控制器·· 94
3.4.2 第一臺域控制器生成安裝介質·· 94
3.4.3 傳遞安裝介質·· 96
3.4.4 通過介質安裝第三臺域控制器·· 96
3.4.5 驗證第三臺域控制器·· 97
3.5 部署子域·· 99
3.5.1 子域計算機配置·· 99
3.5.2 部署子域·· 100
3.5.3 驗證子域·· 106
3.5.4 驗證DNS· 108
第4章管理林和域功能級別110
4.1 功能級別概述·· 110
4.1.1 功能級別在域中的作用·· 110
4.1.2 選擇合適的功能級別·· 111
4.1.3 功能級別的限制·· 111
4.1.4 注意事項·· 111
4.1.5 域功能級別支持的域控制器·· 112
4.1.6 林功能級別支持的域控制器·· 112
4.2 功能級別管理任務·· 113
4.2.1 查看域功能級別·· 113
4.2.2 查看林功能級別·· 115
4.2.3 提升域功能級別·· 116
4.2.4提升林功能級別·· 119
4.2.5 功能級別降級·· 122
4.2.6 注意事項·· 123
第5章管理全局編錄服務器123
5.1 全局編錄服務器的作用·· 124
5.1.1 數據存儲·· 124
5.1.2 全局編錄服務器的作用·· 124
5.1.3 全局編錄服務器規劃原則·· 125
5.2 全局編錄服務器日常管理·· 125
5.2.1 驗證域中全局編錄服務器·· 125
5.2.2 域控制器提升爲全局編錄服務器·· 128
5.2.3 驗證DNS記錄·· 129
5.2.4 查詢服務端口·· 130
5.3 全局編錄服務器管理實踐·· 131
5.3.1 自定義複製屬性·· 131
5.3.2 驗證只讀屬性·· 133
5.3.3 全局編錄服務器不可用·· 136
5.4 驗證父子域之間數據複製·· 138
5.4.1 林信息·· 138
5.4.2 ADSI編輯器·· 138
第6章管理操作主機角色142
6.1 FSMO簡介·· 142
6.1.1 類型·· 142
6.1.2各個FSMO角色作用·· 143
6.1.3 應用環境·· 145
6.1.4 主域控制器·· 145
6.1.5 FSMO 角色轉移·· 145
6.1.6 規劃FSMO角色·· 145
6.1.7 FSMO角色出現故障後帶來的影響·· 146
6.2 查看FSMO角色·· 146
6.2.1 圖形模式查看FSMO角色使用的控制檯·· 147
6.2.2 圖形模式查看PDC、RID、IM主機角色·· 147
6.2.3 圖形模式查看DomainNaming Master主機角色·· 148
6.2.4 圖形模式查看SchemaMaster主機角色·· 149
6.2.5 命令行查看FSMO角色·· 151
6.2.6 DS命令組查看FSMO角色·· 151
6.2.7 PowerShell命令組查看FSMO角色·· 152
6.2.8 查看主域控制器·· 152
6.3 轉移FSMO角色·· 153
6.3.1 案例環境·· 153
6.3.2 注意事項·· 153
6.3.3 圖形模式轉移FSMO角色·· 154
6.3.4 Ntdsutil命令轉移FSMO角色·· 157
6.4 佔用FSMO角色·· 159
6.4.1 注意事項·· 159
6.4.2 佔用SchemaMaster角色·· 159
6.5 子域中的FSMO角色分佈·· 161
6.5.1 林信息·· 161
6.5.2 父域·· 162
6.5.3 子域·· 163
第7章管理組織單位164
7.1 組織單位架構·· 164
7.1.1 默認域架構·· 164
7.1.2 默認組織單位位置·· 164
7.1.3 如何規劃組織單位架構·· 166
7.1.4 組織單位和組的區別·· 167
7.1.5 組織單位設計原則·· 168
7.2 組織單位管理任務·· 168
7.2.1 創建組織單位·· 168
7.2.2 啓用/禁用“防止容器被意外刪除”功能·· 169
7.2.3 移動組織單位·· 170
7.2.4 重命名組織單位·· 172
7.2.5 刪除組織單位·· 172
7.2.6 查找組織單位·· 173
7.3 組織單位委派控制·· 175
7.3.1 委派權限·· 176
7.3.2 權限測試·· 179
第8章管理組180
8.1 組基本知識·· 180
8.1.1 組的作用·· 180
8.1.2 組類型·· 181
8.1.3 組作用域·· 182
8.1.4 常用組·· 183
8.2 組日常管理·· 185
8.2.1 創建組·· 185
8.2.2 組成員添加·· 187
8.2.3 刪除組·· 189
8.2.4 重命名組·· 189
8.2.5 移動組·· 190
8.2.6 嵌套組·· 191
8.2.7 更改組作用域·· 192
8.2.8 確認組成員關係·· 194
8.3 組AGDLP應用·· 195
8.3.1 組應用原則·· 195
8.3.2 應用場景規劃·· 195
8.3.3 全局組操作·· 196
8.3.4 域本地組操作·· 197
8.3.5 文件訪問授權·· 198
第9章管理域計算機199
9.1 計算機類型·· 199
9.1.1 計算機名稱命名方法·· 199
9.1.2 普通計算機·· 199
9.1.3 域內計算機·· 204
9.2 計算機名命名原則·· 207
9.2.1 命名原則·· 207
9.2.2 計算機名唯一性·· 208
9.2.3 Netbios名稱·· 210
9.2.4 加域後的計算機重命名·· 212
9.3 計算機加域/降域·· 214
9.3.1 客戶端加域過程·· 214
9.3.2 計算機帳戶生成模式·· 215
9.3.3 驗證客戶端與域控制器之間的連通性·· 215
9.3.4 在線加域方法之一·· 216
9.3.5 在線加域方法之二·· 217
9.3.6 離線加域·· 223
9.3.7 加域後計算機帳戶驗證·· 227
9.3.8 降域·· 228
9.4 計算機帳戶密碼·· 231
9.4.1 計算機帳戶密碼·· 231
9.4.2 計算機帳戶密碼有效時間·· 231
9.4.3 查看計算機帳戶密碼策略·· 231
9.4.4 修改計算機帳戶密碼策略的有效時間·· 232
9.5 授予加域權限·· 233
9.5.1 加域環境·· 233
9.5.2 加域權限·· 233
9.5.3“將工作站添加到域”策略·· 234
9.5. 4 “創建計算機對象”權限·· 238
9.6 計算機帳戶基礎管理·· 240
9.6.1 創建計算機帳戶·· 240
9.6.2 禁用計算機帳戶·· 241
9.6.3 啓用計算機帳戶·· 242
9.6.4 刪除計算機帳戶·· 243
9.6.5 移動計算機帳戶·· 244
9.6.6 添加計算機帳戶到組·· 246
9.6.7 重置帳戶·· 247
9.6.8 用戶指定計算機登錄·· 248
9.7 計算機帳戶管理任務·· 250
9.7.1 委派用戶加域權限·· 250
9.7.2 加域計算機重定向到目標組織單位·· 252
9.7.3 計算機改名前後加域可能出現的錯誤·· 255
9.7.4 禁止用戶退出域·· 257
9.7.5 清理長期不使用的計算機帳戶·· 259
9.7.6 查詢域中同一類型操作系統的數量·· 260
9.7.7 批量創建計算機帳戶·· 261
9.7.8 防止刪除計算機帳戶·· 263
9.7.9 常見錯誤之一:拒絕訪問·· 265
9.7.10 常見錯誤之二:找不到網絡路徑·· 266
9.7.11 常見故障之三:不能連接域控制器·· 267
9.7.12 常見故障之四·· 268
第10章管理域用戶269
10.1 用戶類型·· 269
10.1.1 什麼是用戶?·· 269
10.1.2 本地用戶帳戶·· 270
10.1.3 域用戶帳戶·· 277
10.1.4 用戶命名原則·· 282
10.1.5 用戶密碼·· 282
10.2 用戶登錄方式·· 284
10.2.1 UPN方式登錄·· 284
10.2.2 登錄名方式登錄·· 285
10.2.3 登錄名(Windows2000以前版本)方式登錄·· 285
10.2.4 UPN登錄·· 287
10.3 常用用戶屬性·· 289
10.3.1 查看用戶屬性·· 289
10.3.2 DN和RDN· 291
10.3.3 GUID· 292
10.3.4 常用帳戶屬性·· 292
10.4 創建域用戶·· 293
10.4.1 用戶類型·· 294
10.4.2 默認用戶·· 294
10.4.3 創建單一普通域用戶·· 295
10.4.4 批量創建普通域用戶·· 298
10.4.5 批量導入用戶過程中出現的問題·· 304
10.4.5 創建域管理員·· 305
10.4.6 創建企業管理員·· 308
10.5 用戶配置文件·· 310
10.5.1 用戶配置文件·· 310
10.5.2 漫遊用戶配置文件·· 313
10.5.3 用戶配置文件驗證·· 315
10.5.4 用戶漫遊配置文件注意事項·· 317
10.6 用戶基礎管理·· 317
10.6.1 “Active Directory用戶和計算機”管理菜單·· 317
10.6.2 複製·· 318
10.6.3 添加到組·· 319
10.6.4 禁用帳戶·· 320
10.6.5 啓用帳戶·· 322
10.6.6 重置密碼·· 323
10.6.7 刪除用戶·· 324
10.6.8 重命名用戶·· 325
10.6.9 移動用戶·· 326
10.7 用戶管理實戰·· 327
10.7.1 查詢用戶·· 328
10.7.2 批量解鎖被鎖定的帳戶·· 328
10.7.3 統一更改默認本地管理員密碼·· 331
10.7.4 禁止刪除用戶·· 333
10.7.5 用戶登錄時只能登錄到域·· 334
10.7.6 恢復誤刪除的用戶·· 336
10.7.7 用戶在指定計算機登錄·· 339
10.7.8 限制用戶登錄時間·· 341
10.7.9 USMT遷移用戶配置文件·· 342
10.7.10 清理長期沒有登錄的用戶·· 344
10.7.11 查詢用戶登錄時間·· 344
10.7.12 域緩存登錄·· 345
10.7.13 查看域用戶密碼修改情況·· 348
10.7.14 審覈域帳戶登錄·· 349
10.7.15 批量映射用戶主文件夾·· 351
10.7.16 批量添加域用戶屬性·· 352
10.7.17 拔掉網線才能登錄域·· 354
10.7.18 用戶登錄域速度異常·· 355
10.7.19 查看用戶在哪臺計算機中登錄·· 356
10.7.20 提升域用戶運行特定軟件的權限·· 357
10.7.21 文件發佈到用戶桌面·· 360
第11章管理站點361
11.1 站點基本知識·· 362
11.1.1 名詞解釋·· 362
11.1.2 站點規劃原則·· 363
11.1.3 應用模式·· 363
11.2 單域多站點部署任務·· 364
11.2.1 地理分佈·· 364
11.2.2 遇到的問題·· 364
11.2.3 站點的作用·· 365
11.2.4 案例任務·· 365
11.2.5 路由器規劃·· 365
11.2.6 域控制器規劃·· 370
11.2.7 站點規劃·· 372
11.3 部署單域多站點·· 373
11.3.1 單域多站點部署流程·· 373
11.3.2 創建新站點·· 373
11.3.3 創建站點子網·· 375
11.3.4 定位域控制器·· 377
11.3.5 創建站點鏈接·· 381
11.3.6 設置橋頭服務器·· 385
11.3.7 創建站點鏈接橋·· 386
11.4 站點管理任務·· 388
11.4.1 查看站點·· 388
11.4.2 創建站點後域控制器自動添加到站點·· 390
11.4.3 提升用戶登錄速度·· 392
11.4.4 用戶指定域控制器登錄·· 394
第12章管理站點複製396
12.1 複製概述·· 396
12.1.1 複製方式·· 396
12.1.2 複製協議·· 397
12.1.3 複製夥伴·· 397
12.1.4 目錄分區同步·· 399
12.1.5 複製機制·· 399
12.1.6 複製拓撲·· 401
12.1.7 站點內複製·· 403
12.1.8 不同站點間複製·· 404
12.2 日常管理複製·· 405
12.2.1 站點常用查詢·· 405
12.2.2 調整複製時間·· 407
12.2.3 手動創建複製鏈接·· 409
12.2.4 站點鏈接開銷·· 411
12.2.5 配置橋頭服務器·· 413
12.3 複製管理任務·· 415
12.3.1 監控域控制器的複製狀態·· 415
12.3.2 站點間複製出錯·· 417
12.3.3 禁用/啓用域控制器複製·· 419
12.3.4 站點間強制複製·· 420
12.3.5 禁止活動目錄複製自動生成拓撲·· 421
第13章管理“SYSVOL”文件夾423
13.1 “SYSVOL”文件夾簡介·· 423
13.1.1 “SYSVOL”文件夾的由來·· 423
13.1.2 驗證SYSVOL文件夾·· 423
13.1. 3 “SYSVOL”日常管理·· 426
13. 2 “SYSVOL”管理實踐·· 426
13.2.1 “NETLOGON”和“SYSVOL”共享丟失·· 427
13.2.2 移動SYSVOL文件夾·· 428
13.2.3 刪除SYSVOL文件夾·· 434
13.3 遷移“Sysvol”文件夾複製方式爲DFS-R· 440
13.3.1 複製機制·· 440
13.3.2 原域控制器·· 441
13.3.3 新域控制器·· 441
13.3.4 遷移服務·· 441