《Windows Server 2012活動目錄管理實踐》 目錄 1-14章

《Windows Server 2012活動目錄管理實踐》 目錄

目錄

內容提要·· 1

前言·· 1

目錄·· 4

第1章域概述18

1.1 真實的案例·· 18

1.1.1 案例需求·· 18

1.1.2 IT技術部門·· 18

1.1.3 達到的效果·· 19

1.1.4 IT技術部門新措施·· 19

1.2 部署域的意義·· 20

1.2.1 網絡管理中遇到的問題·· 20

1.2.2 部署域的價值·· 20

1.3 常用的計算機概念·· 20

1.3.1 獨立服務器·· 20

1.3.2 成員服務器·· 21

1.3.3 域控制器·· 21

1.3.4 客戶端計算機·· 21

1.4 常用域概念·· 22

1.4.1 DNS· 22

1.4.2 工作組·· 22

1.4.3 域·· 22

1.4.4 根域·· 23

1.4.5 域樹·· 24

1.4.6 域林·· 24

1.4.7 如何區別域林和域樹·· 25

1.5 管理域控制器需要注意的問題·· 26

1.5.1 禁止在域控制器任意安裝軟件·· 26

1.5.2 禁止隨意添加/刪除域控制器·· 26

1.5.3 禁止FSMO角色的任意分配·· 26

1.5.4 謹慎備份域控制器·· 26

第2章部署第一臺域控制器27

2.1 案例任務·· 27

2.1.1 案例任務·· 27

2.2.2 案例環境·· 27

2.2 部署網絡第一臺域控制器·· 29

2.2.1 重命名計算機·· 29

2.2.2 更改網絡參數·· 31

2.2.3 部署網絡中第一臺域控制器·· 34

2.2.4 安裝過程中遇到的問題：“NETBIOS名稱”和域名不一致·· 44

2.3 驗證第一臺域控制器是否成功部署·· 45

2.3.1 驗證“ADDS域服務”·· 45

2.3.2 驗證“默認容器”·· 46

2.3.3 驗證“DomainControllers“47

2.3.4 驗證“Default-First-Site-Name”48

2.3.5 驗證“ActiveDirectory 數據庫”和“日誌文件”·· 49

2.3.6 驗證“計算機角色”·· 50

2.3.7 驗證系統共享卷“SYSVOL”和“NetLogon”服務·· 50

2.3.7 驗證“SRV記錄”·· 53

2.3.8 驗證FSMO操作主機角色·· 56

2.3.9 事件查看器·· 56

2.3.10 安裝日誌·· 57

2.4 計算機安裝“ADDS域服務”前後變化·· 58

2.4.1 服務器管理器面板·· 58

2.4.2 登錄服務器·· 59

2.4.3 Metro面板發生的變化·· 61

2.4.4 本地服務器面板變化·· 62

2.4.5 默認組變化·· 63

2.4.6 用戶變化·· 64

2.5 常見問題·· 66

2.5.1 修改域控制器IP地址·· 66

2.5.2 重命名域控制器·· 71

第3章部署額外域控制器及子域75

3.1 案例任務·· 75

3.1.1 額外域控制器的作用·· 75

3.1.2 案例任務·· 75

3.1.3 案例環境·· 76

3.1.4 部署流程·· 77

3.2 部署網絡中第二臺域控制器·· 77

3.2.1 “重命名計算機”需要注意的問題·· 77

3.2. 2 “更改網絡參數”需要注意的問題·· 77

3.2.3 獨立服務器加入到域·· 79

3.2.4 提升爲額外域控制器·· 82

3.3 驗證第二臺域控制器是否成功部署·· 91

3.3.1 驗證“計算機角色”·· 91

3.3.2 驗證“DNS”相關記錄·· 92

3.3.3 驗證“ActiveDirectory站點和服務”·· 92

3.3.4 驗證網絡中所有域控制器和GC· 92

3.3.5 驗證FSMO操作主機角色·· 93

3.4 介質安裝第三臺域控制器·· 94

3.4.1 第三臺Windows Server 2012域控制器·· 94

3.4.2 第一臺域控制器生成安裝介質·· 94

3.4.3 傳遞安裝介質·· 96

3.4.4 通過介質安裝第三臺域控制器·· 96

3.4.5 驗證第三臺域控制器·· 97

3.5 部署子域·· 99

3.5.1 子域計算機配置·· 99

3.5.2 部署子域·· 100

3.5.3 驗證子域·· 106

3.5.4 驗證DNS· 108

第4章管理林和域功能級別110

4.1 功能級別概述·· 110

4.1.1 功能級別在域中的作用·· 110

4.1.2 選擇合適的功能級別·· 111

4.1.3 功能級別的限制·· 111

4.1.4 注意事項·· 111

4.1.5 域功能級別支持的域控制器·· 112

4.1.6 林功能級別支持的域控制器·· 112

4.2 功能級別管理任務·· 113

4.2.1 查看域功能級別·· 113

4.2.2 查看林功能級別·· 115

4.2.3 提升域功能級別·· 116

4.2.4提升林功能級別·· 119

4.2.5 功能級別降級·· 122

4.2.6 注意事項·· 123

第5章管理全局編錄服務器123

5.1 全局編錄服務器的作用·· 124

5.1.1 數據存儲·· 124

5.1.2 全局編錄服務器的作用·· 124

5.1.3 全局編錄服務器規劃原則·· 125

5.2 全局編錄服務器日常管理·· 125

5.2.1 驗證域中全局編錄服務器·· 125

5.2.2 域控制器提升爲全局編錄服務器·· 128

5.2.3 驗證DNS記錄·· 129

5.2.4 查詢服務端口·· 130

5.3 全局編錄服務器管理實踐·· 131

5.3.1 自定義複製屬性·· 131

5.3.2 驗證只讀屬性·· 133

5.3.3 全局編錄服務器不可用·· 136

5.4 驗證父子域之間數據複製·· 138

5.4.1 林信息·· 138

5.4.2 ADSI編輯器·· 138

第6章管理操作主機角色142

6.1 FSMO簡介·· 142

6.1.1 類型·· 142

6.1.2各個FSMO角色作用·· 143

6.1.3 應用環境·· 145

6.1.4 主域控制器·· 145

6.1.5 FSMO 角色轉移·· 145

6.1.6 規劃FSMO角色·· 145

6.1.7 FSMO角色出現故障後帶來的影響·· 146

6.2 查看FSMO角色·· 146

6.2.1 圖形模式查看FSMO角色使用的控制檯·· 147

6.2.2 圖形模式查看PDC、RID、IM主機角色·· 147

6.2.3 圖形模式查看DomainNaming Master主機角色·· 148

6.2.4 圖形模式查看SchemaMaster主機角色·· 149

6.2.5 命令行查看FSMO角色·· 151

6.2.6 DS命令組查看FSMO角色·· 151

6.2.7 PowerShell命令組查看FSMO角色·· 152

6.2.8 查看主域控制器·· 152

6.3 轉移FSMO角色·· 153

6.3.1 案例環境·· 153

6.3.2 注意事項·· 153

6.3.3 圖形模式轉移FSMO角色·· 154

6.3.4 Ntdsutil命令轉移FSMO角色·· 157

6.4 佔用FSMO角色·· 159

6.4.1 注意事項·· 159

6.4.2 佔用SchemaMaster角色·· 159

6.5 子域中的FSMO角色分佈·· 161

6.5.1 林信息·· 161

6.5.2 父域·· 162

6.5.3 子域·· 163

第7章管理組織單位164

7.1 組織單位架構·· 164

7.1.1 默認域架構·· 164

7.1.2 默認組織單位位置·· 164

7.1.3 如何規劃組織單位架構·· 166

7.1.4 組織單位和組的區別·· 167

7.1.5 組織單位設計原則·· 168

7.2 組織單位管理任務·· 168

7.2.1 創建組織單位·· 168

7.2.2 啓用/禁用“防止容器被意外刪除”功能·· 169

7.2.3 移動組織單位·· 170

7.2.4 重命名組織單位·· 172

7.2.5 刪除組織單位·· 172

7.2.6 查找組織單位·· 173

7.3 組織單位委派控制·· 175

7.3.1 委派權限·· 176

7.3.2 權限測試·· 179

第8章管理組180

8.1 組基本知識·· 180

8.1.1 組的作用·· 180

8.1.2 組類型·· 181

8.1.3 組作用域·· 182

8.1.4 常用組·· 183

8.2 組日常管理·· 185

8.2.1 創建組·· 185

8.2.2 組成員添加·· 187

8.2.3 刪除組·· 189

8.2.4 重命名組·· 189

8.2.5 移動組·· 190

8.2.6 嵌套組·· 191

8.2.7 更改組作用域·· 192

8.2.8 確認組成員關係·· 194

8.3 組AGDLP應用·· 195

8.3.1 組應用原則·· 195

8.3.2 應用場景規劃·· 195

8.3.3 全局組操作·· 196

8.3.4 域本地組操作·· 197

8.3.5 文件訪問授權·· 198

第9章管理域計算機199

9.1 計算機類型·· 199

9.1.1 計算機名稱命名方法·· 199

9.1.2 普通計算機·· 199

9.1.3 域內計算機·· 204

9.2 計算機名命名原則·· 207

9.2.1 命名原則·· 207

9.2.2 計算機名唯一性·· 208

9.2.3 Netbios名稱·· 210

9.2.4 加域後的計算機重命名·· 212

9.3 計算機加域/降域·· 214

9.3.1 客戶端加域過程·· 214

9.3.2 計算機帳戶生成模式·· 215

9.3.3 驗證客戶端與域控制器之間的連通性·· 215

9.3.4 在線加域方法之一·· 216

9.3.5 在線加域方法之二·· 217

9.3.6 離線加域·· 223

9.3.7 加域後計算機帳戶驗證·· 227

9.3.8 降域·· 228

9.4 計算機帳戶密碼·· 231

9.4.1 計算機帳戶密碼·· 231

9.4.2 計算機帳戶密碼有效時間·· 231

9.4.3 查看計算機帳戶密碼策略·· 231

9.4.4 修改計算機帳戶密碼策略的有效時間·· 232

9.5 授予加域權限·· 233

9.5.1 加域環境·· 233

9.5.2 加域權限·· 233

9.5.3“將工作站添加到域”策略·· 234

9.5. 4 “創建計算機對象”權限·· 238

9.6 計算機帳戶基礎管理·· 240

9.6.1 創建計算機帳戶·· 240

9.6.2 禁用計算機帳戶·· 241

9.6.3 啓用計算機帳戶·· 242

9.6.4 刪除計算機帳戶·· 243

9.6.5 移動計算機帳戶·· 244

9.6.6 添加計算機帳戶到組·· 246

9.6.7 重置帳戶·· 247

9.6.8 用戶指定計算機登錄·· 248

9.7 計算機帳戶管理任務·· 250

9.7.1 委派用戶加域權限·· 250

9.7.2 加域計算機重定向到目標組織單位·· 252

9.7.3 計算機改名前後加域可能出現的錯誤·· 255

9.7.4 禁止用戶退出域·· 257

9.7.5 清理長期不使用的計算機帳戶·· 259

9.7.6 查詢域中同一類型操作系統的數量·· 260

9.7.7 批量創建計算機帳戶·· 261

9.7.8 防止刪除計算機帳戶·· 263

9.7.9 常見錯誤之一：拒絕訪問·· 265

9.7.10 常見錯誤之二：找不到網絡路徑·· 266

9.7.11 常見故障之三：不能連接域控制器·· 267

9.7.12 常見故障之四·· 268

第10章管理域用戶269

10.1 用戶類型·· 269

10.1.1 什麼是用戶？·· 269

10.1.2 本地用戶帳戶·· 270

10.1.3 域用戶帳戶·· 277

10.1.4 用戶命名原則·· 282

10.1.5 用戶密碼·· 282

10.2 用戶登錄方式·· 284

10.2.1 UPN方式登錄·· 284

10.2.2 登錄名方式登錄·· 285

10.2.3 登錄名（Windows2000以前版本）方式登錄·· 285

10.2.4 UPN登錄·· 287

10.3 常用用戶屬性·· 289

10.3.1 查看用戶屬性·· 289

10.3.2 DN和RDN· 291

10.3.3 GUID· 292

10.3.4 常用帳戶屬性·· 292

10.4 創建域用戶·· 293

10.4.1 用戶類型·· 294

10.4.2 默認用戶·· 294

10.4.3 創建單一普通域用戶·· 295

10.4.4 批量創建普通域用戶·· 298

10.4.5 批量導入用戶過程中出現的問題·· 304

10.4.5 創建域管理員·· 305

10.4.6 創建企業管理員·· 308

10.5 用戶配置文件·· 310

10.5.1 用戶配置文件·· 310

10.5.2 漫遊用戶配置文件·· 313

10.5.3 用戶配置文件驗證·· 315

10.5.4 用戶漫遊配置文件注意事項·· 317

10.6 用戶基礎管理·· 317

10.6.1 “Active Directory用戶和計算機”管理菜單·· 317

10.6.2 複製·· 318

10.6.3 添加到組·· 319

10.6.4 禁用帳戶·· 320

10.6.5 啓用帳戶·· 322

10.6.6 重置密碼·· 323

10.6.7 刪除用戶·· 324

10.6.8 重命名用戶·· 325

10.6.9 移動用戶·· 326

10.7 用戶管理實戰·· 327

10.7.1 查詢用戶·· 328

10.7.2 批量解鎖被鎖定的帳戶·· 328

10.7.3 統一更改默認本地管理員密碼·· 331

10.7.4 禁止刪除用戶·· 333

10.7.5 用戶登錄時只能登錄到域·· 334

10.7.6 恢復誤刪除的用戶·· 336

10.7.7 用戶在指定計算機登錄·· 339

10.7.8 限制用戶登錄時間·· 341

10.7.9 USMT遷移用戶配置文件·· 342

10.7.10 清理長期沒有登錄的用戶·· 344

10.7.11 查詢用戶登錄時間·· 344

10.7.12 域緩存登錄·· 345

10.7.13 查看域用戶密碼修改情況·· 348

10.7.14 審覈域帳戶登錄·· 349

10.7.15 批量映射用戶主文件夾·· 351

10.7.16 批量添加域用戶屬性·· 352

10.7.17 拔掉網線才能登錄域·· 354

10.7.18 用戶登錄域速度異常·· 355

10.7.19 查看用戶在哪臺計算機中登錄·· 356

10.7.20 提升域用戶運行特定軟件的權限·· 357

10.7.21 文件發佈到用戶桌面·· 360

第11章管理站點361

11.1 站點基本知識·· 362

11.1.1 名詞解釋·· 362

11.1.2 站點規劃原則·· 363

11.1.3 應用模式·· 363

11.2 單域多站點部署任務·· 364

11.2.1 地理分佈·· 364

11.2.2 遇到的問題·· 364

11.2.3 站點的作用·· 365

11.2.4 案例任務·· 365

11.2.5 路由器規劃·· 365

11.2.6 域控制器規劃·· 370

11.2.7 站點規劃·· 372

11.3 部署單域多站點·· 373

11.3.1 單域多站點部署流程·· 373

11.3.2 創建新站點·· 373

11.3.3 創建站點子網·· 375

11.3.4 定位域控制器·· 377

11.3.5 創建站點鏈接·· 381

11.3.6 設置橋頭服務器·· 385

11.3.7 創建站點鏈接橋·· 386

11.4 站點管理任務·· 388

11.4.1 查看站點·· 388

11.4.2 創建站點後域控制器自動添加到站點·· 390

11.4.3 提升用戶登錄速度·· 392

11.4.4 用戶指定域控制器登錄·· 394

第12章管理站點複製396

12.1 複製概述·· 396

12.1.1 複製方式·· 396

12.1.2 複製協議·· 397

12.1.3 複製夥伴·· 397

12.1.4 目錄分區同步·· 399

12.1.5 複製機制·· 399

12.1.6 複製拓撲·· 401

12.1.7 站點內複製·· 403

12.1.8 不同站點間複製·· 404

12.2 日常管理複製·· 405

12.2.1 站點常用查詢·· 405

12.2.2 調整複製時間·· 407

12.2.3 手動創建複製鏈接·· 409

12.2.4 站點鏈接開銷·· 411

12.2.5 配置橋頭服務器·· 413

12.3 複製管理任務·· 415

12.3.1 監控域控制器的複製狀態·· 415

12.3.2 站點間複製出錯·· 417

12.3.3 禁用/啓用域控制器複製·· 419

12.3.4 站點間強制複製·· 420

12.3.5 禁止活動目錄複製自動生成拓撲·· 421

第13章管理“SYSVOL”文件夾423

13.1 “SYSVOL”文件夾簡介·· 423

13.1.1 “SYSVOL”文件夾的由來·· 423

13.1.2 驗證SYSVOL文件夾·· 423

13.1. 3 “SYSVOL”日常管理·· 426

13. 2 “SYSVOL”管理實踐·· 426

13.2.1 “NETLOGON”和“SYSVOL”共享丟失·· 427

13.2.2 移動SYSVOL文件夾·· 428

13.2.3 刪除SYSVOL文件夾·· 434

13.3 遷移“Sysvol”文件夾複製方式爲DFS-R· 440

13.3.1 複製機制·· 440

13.3.2 原域控制器·· 441

13.3.3 新域控制器·· 441

13.3.4 遷移服務·· 441