青蛙學(xué)堂AD 域維日常維護(hù)手冊(cè)一、Active Directory (域) 介紹Active Directory 的體系結(jié)構(gòu)介紹Active Directory 的體系結(jié)構(gòu)分為邏輯結(jié)構(gòu)和物理結(jié)構(gòu)。必須

青蛙學(xué)堂

AD 域維日常維護(hù)手冊(cè)

一、Active Directory (域) 介紹

Active Directory 的體系結(jié)構(gòu)介紹

Active Directory 的體系結(jié)構(gòu)分為邏輯結(jié)構(gòu)和物理結(jié)構(gòu)。必須對(duì)Active Directory 的邏輯結(jié)構(gòu)與物理結(jié)構(gòu)進(jìn)行規(guī)則，才能較好地滿足企業(yè)的需求。為了管理Active Directory ，必須首先理解這些結(jié)構(gòu)。

Active Directory 的作用

Active Directory可以存儲(chǔ)用戶、計(jì)算機(jī)和網(wǎng)絡(luò)資源的信息，并且使資源可以被用戶和應(yīng)用程序訪問(wèn)。它提供了一種統(tǒng)一的方法來(lái)命名、描述、定位、訪問(wèn)、管理、和保護(hù)這些資源。

Active Directory具有如下功能：

● 對(duì)網(wǎng)絡(luò)資源的集中控制。通過(guò)對(duì)諸如服務(wù)器、共享文件和打印機(jī)等的資源進(jìn)行集中控制，只有授權(quán)用戶可以訪問(wèn)Active Directory 中的資源 ??例如，可以通過(guò)給行政部的激光打印機(jī)設(shè)置權(quán)限，設(shè)置只有行政部人員可以使用該打印機(jī)??從而避免非法使用和資源浪費(fèi)。

● 集中和分散管理。管理員通過(guò)一致的管理界面，能夠可以編寫一個(gè)組策略，使得某個(gè)應(yīng)用程序的升級(jí)包能夠在網(wǎng)絡(luò)中每個(gè)用戶開機(jī)的時(shí)候就自動(dòng)安裝，從而分散管理任務(wù)。例如，管理員可以把銷售部的計(jì)算機(jī)和打印機(jī)納入到一個(gè)組織單元中，將它們的管理權(quán)限委派給銷售部的技術(shù)支持人員，從而減少自己的工作量。

● 在邏輯結(jié)構(gòu)中安裝地存儲(chǔ)對(duì)象。Active Directory 使用層次邏輯結(jié)構(gòu)把所有資源作為對(duì)象存儲(chǔ)。例如，可以按照公司的組織結(jié)構(gòu)和業(yè)務(wù)需求來(lái)組織相應(yīng)的組織單元，將網(wǎng)絡(luò)資源分布在相應(yīng)的組織單元中，實(shí)現(xiàn)分級(jí)管理。Active Directory 還會(huì)對(duì)儲(chǔ)在其中的對(duì)象進(jìn)行加密，這樣可以保證數(shù)據(jù)的安全。

● 優(yōu)化網(wǎng)絡(luò)流量，Active Directory 物理結(jié)構(gòu)能夠更加高效地使用網(wǎng)絡(luò)帶寬，例如，當(dāng)用戶登錄到網(wǎng)絡(luò)時(shí)，能夠保證用戶是由離他們最近的驗(yàn)證中心進(jìn)行身份驗(yàn)證，從而減小了網(wǎng)絡(luò)流量。

Active Directory 服務(wù)的優(yōu)勢(shì)

Windows Server 2003 系列中Active Directory 是對(duì)Windows NT 中的扁平域模型的重大改進(jìn)。

● 集中的數(shù)據(jù)存儲(chǔ)。Active Directory 中的所有數(shù)據(jù)都保存在一個(gè)獨(dú)立的分布式數(shù)據(jù)庫(kù)中，允許用戶從任何位置訪問(wèn)這些信息。和其他數(shù)據(jù)存儲(chǔ)方式相比，獨(dú)立的數(shù)據(jù)存儲(chǔ)所需的管理重復(fù)勞動(dòng)更少，并且提高了數(shù)據(jù)的可用性和可組織性。

● 可伸縮性。Active Directory 使管理員能通過(guò)配置域 和樹以及域控制器的主席團(tuán)來(lái)調(diào)整目錄，以滿足業(yè)務(wù)和網(wǎng)絡(luò)的要求。Active Directory 允許每個(gè)域有幾百萬(wàn)個(gè)對(duì)象，并使用索引技術(shù)和先進(jìn)的復(fù)制技術(shù)來(lái)加速處理。

● 可擴(kuò)展性。Active Directory 數(shù)據(jù)庫(kù)的架構(gòu)可以被擴(kuò)展，以便允許自定義的信息類型。

● 可管理性。Active Directory 是基于分組組織結(jié)構(gòu)的。這些組織結(jié)構(gòu)使管理員能更容易地控制管理權(quán)限和其他安全設(shè)置，并且使用戶能更容易地定位網(wǎng)絡(luò)資源，比如文件和打印機(jī)

● 與DNS 相集成。Active Directory 使用了DNS ，它是一種基于IP 地址的Internet 標(biāo)準(zhǔn)服務(wù)，可以把可讀性好的主機(jī)名稱轉(zhuǎn)換為IP 地址，雖然Active Directory 和DNS 是分開的，并且由于用途不同而被方式不同，但是它們有相同的分級(jí)結(jié)構(gòu)。Active Directory 客戶端使用 DNS 來(lái)定位域 控制

器。在使用Windows Server 2003 DNS 服務(wù)時(shí)，可以將主DNS 區(qū)域存儲(chǔ)在Active Directory 中，并啟用到其他Active Directory域控制器的復(fù)制。

● 客戶端配置管理。Active Directory 提供了新技術(shù)來(lái)管理客戶端配置問(wèn)題，例如配置文件可以在不同的機(jī)器上漫游，即便發(fā)生硬盤故障，也可以在別的機(jī)器上馬上重新開始工作，這樣可以將管理工作和用戶停機(jī)時(shí)間都減到最小

● 基于策略的管理。在Active Directory 中，策略用于定義給定站點(diǎn)、域或者組織單元上用戶和計(jì)算機(jī)的可進(jìn)行的操作和設(shè)置?；诓呗缘墓芾砗?jiǎn)化了一些傻笑國(guó)，比如操作系統(tǒng)更新、應(yīng)用程序安裝、用戶配置文件和桌面系統(tǒng)鎖定

● 信息復(fù)制。Active Directory 提供多謝機(jī)復(fù)制技術(shù)，以確保信息的可用性、容錯(cuò)、負(fù)載平衡和其他性能優(yōu)點(diǎn)。多主機(jī)復(fù)制使管理員能在任何域控制器上更新目錄并將目錄更改復(fù)制到任何其他域控制器上。由于采用了多臺(tái)域控制器，即使一臺(tái)域控制器停止了工作，復(fù)制仍可繼續(xù)。

二、AD 域界面預(yù)覽

可以通過(guò)開始菜單—管理工具—Active Directory 用戶和計(jì)算機(jī) 打開

1.1 Builtin 這個(gè)模塊里面的組都是系統(tǒng)的默認(rèn)組

1.2 Computers 這個(gè)模塊里面的都是域的客戶端計(jì)算機(jī)名（所有加了域的計(jì)算機(jī)都會(huì)在這個(gè)模塊里顯示）

1.3 Domain Contrillers 這個(gè)模塊里面的是域控制器的計(jì)算機(jī)名

1.4 Users 就是AD 域里面的一些用戶和組了，如果新建的賬戶沒(méi)指定分配到哪些地方的話，也會(huì)出現(xiàn)在這個(gè)Users 里面的

三、AD 域賬號(hào)的建立

姓名只是一些描述來(lái)的，最重要的是用戶登錄名那里的名稱，因?yàn)槟莻€(gè)名稱是拿來(lái)登陸系統(tǒng)用的，以后用戶登陸系統(tǒng)用的賬號(hào)就是這個(gè)賬號(hào)了，本例為zhang san

密碼的設(shè)定，默認(rèn)密碼的長(zhǎng)度最小長(zhǎng)度一般為7，開啟了復(fù)雜性的，必須包含英文、數(shù)字、符號(hào)的，這些日后可以策略修改的。

用戶下次登陸是必須更改密碼這個(gè)也要勾上，密碼讓他們自己保管好

建立完這個(gè)用戶后我們還可以對(duì)這個(gè)用戶的一些具體屬性進(jìn)行詳細(xì)的設(shè)定

四、AD 域OU 的建立

這里隨便輸入一個(gè)名稱即可，大家把OU 想象成系統(tǒng)里面組就可以了，只不過(guò)這個(gè)“組”里面除了可以擺放用戶外，還可以擺放例如計(jì)算機(jī)、打印機(jī)之類的東西。本例名稱為dg(東莞)OU 也支持嵌套功能，也就是說(shuō)可以在這個(gè)OU 里面再繼續(xù)創(chuàng)建OU 、一般我們使用OU 都是為了方便劃分用戶或者計(jì)算機(jī)的、OU 的劃分可以依據(jù)地理位置、應(yīng)用對(duì)象、人員分類等等，總之能區(qū)分的就行

例如我在dg 的基礎(chǔ)OU 上再建立一個(gè)qiantai （前臺(tái)）前臺(tái)下面再建立話1、話2這樣都是可以的，但是官方建議嵌套層面最好不要超過(guò)10層。

五、AD 域賬戶OU 間的移動(dòng)

例如我賬戶張三是屬于dg-qiantai-話1的，那么我們直接選中張三這個(gè)賬戶，左鍵直接拖到話1的OU 中就可以了。

六、AD 域策略的介紹以及部署范圍

AD 域默認(rèn)的2個(gè)策略，域安全策略以及域控制器安全策略

域安全策略呢，就是針對(duì)整個(gè)域的用戶、計(jì)算機(jī)，如果對(duì)這個(gè)域安全策略做修改的話，那么它的生效范圍將是整個(gè)域（所有加入域的計(jì)算機(jī)、或者用戶）

域控制器安全策略，就是針對(duì)域控制器服務(wù)器的（DC ），如果針對(duì)這個(gè)域安全策略做修改的話，那么它的生效范圍是域服務(wù)器

如果域安全策略和域控制器安全策略有沖突的話，以域控制器安全策略為準(zhǔn)

七、AD 域OU 的策略部署

例如我需要對(duì)前臺(tái)的話務(wù)人員做一條策略是禁止C 盤的，只需要右擊下qiantai 屬性—組策略—新建—策略名稱隨便起個(gè)，我這里是為了方便表示。

雙擊策略或者點(diǎn)編輯，就可以直接對(duì)策略進(jìn)行編輯修改，本例是禁止C 盤，如若要修改或者限制其他的，請(qǐng)?jiān)敿?xì)查看組策略然后按照我所描述的方法就可以了。

選擇要限制的盤符

部署完策略后，在服務(wù)器上執(zhí)行這條命令，意思就是刷新策略，后面跟的參數(shù)是強(qiáng)制刷新的意思。如果想要客戶端也立即生效的話也同樣在客戶端上執(zhí)行一樣命令，因?yàn)锳D 域策略默認(rèn)是90分鐘才自動(dòng)刷新一次的，所以你不更新要等90分鐘才能看到效果

有一點(diǎn)要特別申明一下

這里的【計(jì)算機(jī)配置】策略所應(yīng)用的范圍是計(jì)算機(jī)，也就是說(shuō)你建立的OU 里面所包含的對(duì)象必須是計(jì)算機(jī)才能生效，相對(duì)的來(lái)說(shuō)【用戶配置】的話對(duì)象就是針對(duì)賬戶來(lái)做的。

【計(jì)算機(jī)配置】命令刷新后，需注銷或者重起計(jì)算機(jī)才能看到效果

【用戶配置】命令刷新后，就可看見(jiàn)效果，有個(gè)別的需要注銷。

八、AD 域策略的阻止策略繼承和禁止替代

如果勾上阻止策略繼承，那么就只有qiantai 這個(gè)OU 里面的對(duì)象對(duì)這個(gè)策略生效了，而qiantai 下面的話1室和話2室OU 都不會(huì)接收這個(gè)策略的

禁止替代呢，就是除了接收自己OU 的策略外，其它策略一概不接收，因?yàn)樵谏舷聦拥腛U 里默認(rèn)策略是下級(jí)繼承上級(jí)的，也就是說(shuō)，如果下級(jí)OU 禁止替代的話，那么上級(jí)OU 的策略也就被阻止了下

不來(lái)。假如，話1室的策略是開放C 盤，qiantai 的策略是禁止C 盤，而下級(jí)OU 話1室有勾上了這個(gè)禁止替代，那么最后話1室得到的策略將是開放C 盤

九、客戶端加域操作

在加入域之前首先要知道域控制器（DC ）的IP 地址以及DC 的域名，IP 地址是192.168.0.240而客戶端在加域之前首先要把DNS 的指向指到DC 上，這樣才能解析DC 的域名后才能加域 右擊我的電腦-屬性-計(jì)算機(jī)名-更改-選擇域-輸入域名dg10086.gmcc.net

輸入一個(gè)有權(quán)限加入域的賬號(hào)跟密碼，每個(gè)域賬戶都可以加10個(gè)成員，管理員無(wú)限制

加域成功后，重啟計(jì)算機(jī)登陸到域環(huán)境就OK 了！

下拉菜單中選擇登陸的環(huán)境，一個(gè)是本機(jī)，一個(gè)是域

十、組策略管理(GPMC)工具的使用(重點(diǎn))

GPMC 的主要特征包括諸如組策略對(duì)象（GPO ）備份、恢復(fù)、導(dǎo)入、復(fù)制與報(bào)表生成之類的新增功能。

GPMC 工具包可以從微軟官網(wǎng)下載獲取，安裝很簡(jiǎn)單一直下一步即可

安裝完畢后可在管理工具下找到組策略管理，直接雙擊運(yùn)行即可

10.1、GPMC 管理界面的認(rèn)識(shí)

在AD 里所有的OU 、已設(shè)置的組策略都能在這個(gè)工具（GPMC ）里顯示出來(lái)，

10.2、組策略的使用

打開 組策略管理 ，打開相關(guān)域下面的組策略對(duì)象，用右鍵打開菜單新建。

新建完之后，我們就可對(duì)這個(gè)對(duì)象進(jìn)行編輯了。在相應(yīng)的策略上面右鍵打開菜單，點(diǎn)編輯。(見(jiàn)下圖)

點(diǎn)編輯之后，就會(huì)出現(xiàn)如我們平時(shí)在PC 上用gpedit.msc 打開的組策略管理是一樣的。

注意：組策略是分為兩部分的。一是計(jì)算機(jī)配置，是針對(duì)計(jì)算機(jī)應(yīng)用的，二是用戶配置，是針對(duì)用戶應(yīng)用的。組策略編輯器是具體使用就不介紹了，這跟平時(shí)用的組策略是一樣的。

10.3、組策略應(yīng)用

我們新建的組策略是沒(méi)有被應(yīng)用下去的，這點(diǎn)和PC 上面的組策略不一樣，PC 上的組策略是應(yīng)用在本機(jī)上的。面我們域的策略在應(yīng)用在哪里需要系統(tǒng)管理員自己定義。

在組策略管理里面我們只需要把做好的組策略對(duì)象拖到你要應(yīng)用的對(duì)象下面就可以了，

你可以在這里看出OU 下面與組策略對(duì)象下面的策略圖標(biāo)的區(qū)別，相當(dāng)于連接了快捷方式，如果你不需要對(duì)這個(gè)OU 使用這甘條策略的時(shí)候，可以才OU 下面刪除這個(gè)快捷方式面不影響其他OU 的應(yīng)用。

10.4、報(bào)表形式查看組策略

選中需要查看的策略，然后在右側(cè)，設(shè)置選項(xiàng)中就可以已報(bào)表的形式來(lái)查看了，可以保存為htm 格式的文件

10.5、組策略的備份、還原、導(dǎo)出和導(dǎo)入

單擊【組策略對(duì)象】選中需要操作的策略，然后右擊，根據(jù)所需情況來(lái)操作

就這幾個(gè)功能是我們這些管理人員日常用到的，其它沒(méi)介紹到的各位也可以通過(guò)微軟的KB 資料去查看下，這里就不做多介紹了。

十一、AD 服務(wù)器日常維護(hù)方法

1、 最簡(jiǎn)單的先使用ping 檢測(cè)一下服務(wù)器是否聯(lián)通的，大約3天ping 一次就可以了

2、 使用遠(yuǎn)程桌面登陸到服務(wù)器查看下日志情況，看有無(wú)錯(cuò)誤日志或者警告之類的信息，如有錯(cuò)誤信

息，可先重啟DNS 和Netlogon 服務(wù)看看

3、 如有錯(cuò)誤信息或者警告之類的，請(qǐng)?jiān)谖④泿椭黜?yè)輸入事件ID 號(hào)查詢下是什么問(wèn)題和解決的方

法，或者直接截圖、文檔說(shuō)明也行發(fā)往我們的郵箱讓我們處理也行

4、 一個(gè)星期以內(nèi)重啟下DNS 和Netlogon 服務(wù)

Net stop dns&&net start dns

Net stop netlogon&&net start netlogon

直接在【開始】【運(yùn)行】里輸入上面的命令就可以了，第一條是重啟DNS 服務(wù)，第二條是重啟Netlogon 服務(wù)

5、 日志的備份

策略的備份