AD 域維日常維護(hù)手冊(cè) ,目 錄一、Active Directory (域) 介紹............................................

AD 域維日常維護(hù)手冊(cè)

目 錄

一、Active Directory (域) 介紹................................................................................................ 3

二、AD 域界面預(yù)覽 . ................................................................................................................ 5

三、AD 域賬號(hào)的建立 ............................................................................................................. 6

四、AD 域OU 的建立 . ............................................................................................................. 9

五、AD 域賬戶OU 間的移動(dòng) . ............................................................................................... 11

六、AD 域策略的介紹以及部署范圍 ................................................................................... 12

七、AD 域OU 的策略部署 . ................................................................................................... 13

八、AD 域策略的阻止策略繼承和禁止替代 ....................................................................... 16

九、客戶端加域操作 . ............................................................................................................ 17

十、組策略管理(GPMC)工具的使用(重點(diǎn)) . ......................................................................... 19

10.1、GPMC 管理界面的認(rèn)識(shí) . ...................................................................................... 20

10.2、組策略的使用 . ..................................................................................................... 21

10.3、組策略應(yīng)用 . ......................................................................................................... 22

10.4、報(bào)表形式查看組策略 . ......................................................................................... 23

10.5、組策略的備份、還原、導(dǎo)出和導(dǎo)入 . ................................................................. 24

十一、AD 服務(wù)器日常維護(hù)方法 ........................................................................................... 25

一、Active Directory (域) 介紹

Active Directory 的體系結(jié)構(gòu)介紹

Active Directory 的體系結(jié)構(gòu)分為邏輯結(jié)構(gòu)和物理結(jié)構(gòu)。必須對(duì)Active Directory 的邏輯結(jié)構(gòu)與物理結(jié)構(gòu)進(jìn)行規(guī)則，才能較好地滿足企業(yè)的需求。為了管理Active Directory ，必須首先理解這些結(jié)構(gòu)。

Active Directory 的作用

Active Directory可以存儲(chǔ)用戶、計(jì)算機(jī)和網(wǎng)絡(luò)資源的信息，并且使資源可以被用戶和應(yīng)用程序訪問。它提供了一種統(tǒng)一的方法來命名、描述、定位、訪問、管理、和保護(hù)這些資源。

Active Directory具有如下功能：

● 對(duì)網(wǎng)絡(luò)資源的集中控制。通過對(duì)諸如服務(wù)器、共享文件和打印機(jī)等的資源進(jìn)行集中控制，只有授權(quán)用戶可以訪問Active Directory 中的資源 ??例如，可以通過給行政部的激光打印機(jī)設(shè)置權(quán)限，設(shè)置只有行政部人員可以使用該打印機(jī)??從而避免非法使用和資源浪費(fèi)。

● 集中和分散管理。管理員通過一致的管理界面，能夠可以編寫一個(gè)組策略，使得某個(gè)應(yīng)用程序的升級(jí)包能夠在網(wǎng)絡(luò)中每個(gè)用戶開機(jī)的時(shí)候就自動(dòng)安裝，從而分散管理任務(wù)。例如，管理員可以把銷售部的計(jì)算機(jī)和打印機(jī)納入到一個(gè)組織單元中，將它們的管理權(quán)限委派給銷售部的技術(shù)支持人員，從而減少自己的工作量。

● 在邏輯結(jié)構(gòu)中安裝地存儲(chǔ)對(duì)象。Active Directory 使用層次邏輯結(jié)構(gòu)把所有資源作為對(duì)象存儲(chǔ)。例如，可以按照公司的組織結(jié)構(gòu)和業(yè)務(wù)需求來組織相應(yīng)的組織單元，將網(wǎng)絡(luò)資源分布在相應(yīng)的組織單元中，實(shí)現(xiàn)分級(jí)管理。Active Directory 還會(huì)對(duì)儲(chǔ)在其中的對(duì)象進(jìn)行加密，這樣可以保證數(shù)據(jù)的安全。

● 優(yōu)化網(wǎng)絡(luò)流量，Active Directory 物理結(jié)構(gòu)能夠更加高效地使用網(wǎng)絡(luò)帶寬，例如，當(dāng)用戶登錄到網(wǎng)絡(luò)時(shí)，能夠保證用戶是由離他們最近的驗(yàn)證中心進(jìn)行

身份驗(yàn)證，從而減小了網(wǎng)絡(luò)流量。

Active Directory 服務(wù)的優(yōu)勢

Windows Server 2003 系列中Active Directory 是對(duì)Windows NT 中的扁平域模型的重大改進(jìn)。

● 集中的數(shù)據(jù)存儲(chǔ)。Active Directory 中的所有數(shù)據(jù)都保存在一個(gè)獨(dú)立的分布式數(shù)據(jù)庫中，允許用戶從任何位置訪問這些信息。和其他數(shù)據(jù)存儲(chǔ)方式相比，獨(dú)立的數(shù)據(jù)存儲(chǔ)所需的管理重復(fù)勞動(dòng)更少，并且提高了數(shù)據(jù)的可用性和可組織性。

● 可伸縮性。Active Directory 使管理員能通過配置域 和樹以及域控制器的主席團(tuán)來調(diào)整目錄，以滿足業(yè)務(wù)和網(wǎng)絡(luò)的要求。Active Directory 允許每個(gè)域有幾百萬個(gè)對(duì)象，并使用索引技術(shù)和先進(jìn)的復(fù)制技術(shù)來加速處理。

● 可擴(kuò)展性。Active Directory 數(shù)據(jù)庫的架構(gòu)可以被擴(kuò)展，以便允許自定義的信息類型。

● 可管理性。Active Directory 是基于分組組織結(jié)構(gòu)的。這些組織結(jié)構(gòu)使管理員能更容易地控制管理權(quán)限和其他安全設(shè)置，并且使用戶能更容易地定位網(wǎng)絡(luò)資源，比如文件和打印機(jī)

● 與DNS 相集成。Active Directory 使用了DNS ，它是一種基于IP 地址的Internet 標(biāo)準(zhǔn)服務(wù)，可以把可讀性好的主機(jī)名稱轉(zhuǎn)換為IP 地址，雖然Active Directory 和DNS 是分開的，并且由于用途不同而被方式不同，但是它們有相同的分級(jí)結(jié)構(gòu)。Active Directory 客戶端使用 DNS 來定位域 控制器。在使用Windows Server 2003 DNS 服務(wù)時(shí)，可以將主DNS 區(qū)域存儲(chǔ)在Active Directory 中，并啟用到其他Active Directory域控制器的復(fù)制。

● 客戶端配置管理。Active Directory 提供了新技術(shù)來管理客戶端配置問題，例如配置文件可以在不同的機(jī)器上漫游，即便發(fā)生硬盤故障，也可以在別的機(jī)器上馬上重新開始工作，這樣可以將管理工作和用戶停機(jī)時(shí)間都減到最小

● 基于策略的管理。在Active Directory 中，策略用于定義給定站點(diǎn)、域或者組織單元上用戶和計(jì)算機(jī)的可進(jìn)行的操作和設(shè)置?；诓呗缘墓芾砗喕艘恍┥敌热绮僮飨到y(tǒng)更新、應(yīng)用程序安裝、用戶配置文件和桌面系統(tǒng)鎖定

信息復(fù)制。Active Directory 提供多謝機(jī)復(fù)制技術(shù)，以確保信息的可用性、容錯(cuò)、負(fù)載平衡和其他性能優(yōu)點(diǎn)。多主機(jī)復(fù)制使管理員能在任何域控制器上更新目錄并將目錄更改復(fù)制到任何其他域控制器上。由于采用了多臺(tái)域控制器，即使一臺(tái)域控制器停止了工作，復(fù)制仍可繼續(xù)。

二、AD 域界面預(yù)覽

可以通過開始菜單—管理工具—Active Directory 用戶和計(jì)算機(jī) 打開

1.1 Builtin 這個(gè)模塊里面的組都是系統(tǒng)的默認(rèn)組

1.2 Computers 這個(gè)模塊里面的都是域的客戶端計(jì)算機(jī)名（所有加了域的計(jì)算機(jī)都會(huì)在這個(gè)

模塊里顯示）

1.3 Domain Contrillers 這個(gè)模塊里面的是域控制器的計(jì)算機(jī)名

1.4 Users 就是AD 域里面的一些用戶和組了，如果新建的賬戶沒指定分配到哪些地方的話，

也會(huì)出現(xiàn)在這個(gè)Users 里面的

三、AD 域賬號(hào)的建立

姓名只是一些描述來的，最重要的是用戶登錄名那里的名稱，因?yàn)槟莻€(gè)名稱是拿來登陸系統(tǒng)用的，以后用戶登陸系統(tǒng)用的賬號(hào)就是這個(gè)賬號(hào)了，本例為

zhang san

密碼的設(shè)定，默認(rèn)密碼的長度最小長度一般為7，開啟了復(fù)雜性的，必須包含英文、數(shù)字、符號(hào)的，這些日后可以策略修改的。

用戶下次登陸是必須更改密碼這個(gè)也要勾上，密碼讓他們自己保管好

建立完這個(gè)用戶后我們還可以對(duì)這個(gè)用戶的一些具體屬性進(jìn)行詳細(xì)的設(shè)定

四、AD 域OU 的建立

這里隨便輸入一個(gè)名稱即可，大家把OU 想象成系統(tǒng)里面組就可以了，只不過這個(gè)“組”里面除了可以擺放用戶外，還可以擺放例如計(jì)算機(jī)、打印機(jī)之類的東西。本例名稱為dg(東莞)OU 也支持嵌套功能，也就是說可以在這個(gè)OU 里面再繼續(xù)創(chuàng)建OU 、一般我們使用OU 都是為了方便劃分用戶或者計(jì)算機(jī)的、OU 的劃分可以依據(jù)地理位置、應(yīng)用對(duì)象、人員分類等等，總之能區(qū)分的就行

例如我在dg 的基礎(chǔ)OU 上再建立一個(gè)qiantai （前臺(tái)）前臺(tái)下面再建立話1、話2這樣都是可以的，但是官方建議嵌套層面最好不要超過10層。