管理员操作手册AD域控及组策略管理51CTO下载Word文档格式.docx
- 文档编号:21244872
- 上传时间:2023-01-28
- 格式:DOCX
- 页数:33
- 大小:778.93KB
管理员操作手册AD域控及组策略管理51CTO下载Word文档格式.docx
《管理员操作手册AD域控及组策略管理51CTO下载Word文档格式.docx》由会员分享,可在线阅读,更多相关《管理员操作手册AD域控及组策略管理51CTO下载Word文档格式.docx(33页珍藏版)》请在冰豆网上搜索。
当电脑联入网络时,域控制器首先要鉴别这台电脑能否是属于这个域的,用户运用的登录账号能否存在、密码能否正确。
假设以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。
不能登录,用户就不能访问效劳器上有权限维护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定水平上维护了网络上的资源。
而任务组只是停止本地电脑的信息与平安的认证。
2、公司采用域管理的益处
1〕、方便管理,权限管理比拟集中,管理人员可以较好的管理计算机资源。
2〕、平安性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一团体看,或许指定人员可以看,但不可以删/改/移等。
3〕、方便对用户操作停止权限设置,可以分发,指派软件等,完成网络内的软件一同装置。
4〕、很多效劳必需树立在域环境中,对管理员来说有益处:
一致管理,方便在MS软件方面集成,如ISAEXCHANGE(邮件效劳器)、ISASERVER(上网的各种设置与管理)等。
5〕、运用遨游账户和文件夹重定向技术,团体账户的任务文件及数据等可以存储在效劳器上,一致停止备份、管理,用户的数据愈加平安、有保证。
6〕、方便用户运用各种资源。
7〕、SMS〔SystemManagementServer〕可以分发运用顺序、系统补丁等,用户可以选择装置,也可以由系统管理员指派自动装置。
并能集中管理系统补丁〔如WindowsUpdates〕,不需每台客户端效劳器都下载异样的补丁,从而节省少量网络带宽。
8〕、资源共享
用户和管理员可以不知道他们所需求的对象确实切称号,但是他们能够知道这个对象的一个或多个属性,他们可以经过查找对象的局部属性在域中失掉一个一切属性相婚配的对象列表,经过域使得基于一个或许多个对象属性来查找一个对象变得能够。
9〕、管理
域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。
为了简化管理,一切域中的域控制器都是对等的,你可以在任何域控制器上停止修正,这种更新可以复制到域中一切的其他域控制器上。
域的实施经过提供对网络上一切对象的单点管理进一步简化了管理。
由于域控制器提供了对网络上一切资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。
在NT网络中,当用户一次登陆一个域效劳器后,就可以访问该域中曾经开放的全部资源,而无需对同一域停止屡次登陆。
但在需求共享不同域中的效劳时,对每个域都必需要登陆一次,否那么无法访问未登陆域效劳器中的资源或无法取得未登陆域的效劳。
10〕、可扩展性
在活动目录中,目录经过将目录组织成几个局部存储信息从而允许存储少量的对象。
因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的装置环境开展成拥有几百万对象的大型装置环境。
11〕、平安性
域为用户提供了单一的登录进程来访问网络资源,如一切他们具有权限的文件、打印机和运用顺序资源。
也就是说,用户可以登录到一台计算机来运用网络上另外一台计算机上的资源,只需用户具有对资源的适宜权限。
域经过对用户权限适宜的划分,确定了只要对特定资源有合法权限的用户才干运用该资源,从而保证了资源运用的合法性和平安性。
12〕、可冗余性
每个域控制器保管和维护目录的一个正本。
在域中,你创立的每一个用户帐号都会对应目录的一个记载。
当用户登录到域中的计算机时,域控制器将依照目录反省用户名、口令、登录限制以验证用户。
当存在多个域控制器时,他们会活期的相互复制目录信息,域控制器间的数据复制,促运用户信息发作改动时〔比如用户修正了口令〕,可以迅速的复制到其他的域控制器上,这样当一台域控制器出现缺点时,用户依然可以经过其他的域控制停止登录,保证了网络的顺利运转。
3、ActiveDirectory(AD)活动目录的功用
活动目录(ActiveDirectory)主要提供以下功用:
1〕、基础网络效劳:
包括DNS、WINS、DHCP、证书效劳等。
2〕、效劳器及客户端计算机管理:
管理效劳器及客户端计算机账户,一切效劳器及客户端计算机参与域管理并实施组战略。
3〕、用户效劳:
管理用户域账户、用户信息、企业通讯录〔与电子邮件系统集成〕、用户组管理、用户身份认证、用户授权管理等,按地市实施组管理战略。
4〕、资源管理:
管理打印机、文件共享效劳等网络资源。
5〕、桌面配置:
系统管理员可以集中的配置各种桌面配置战略,如:
界面功用的限制、运用顺序执行特征限制、网络衔接限制、平安配置限制等。
6〕、运用系统支撑:
支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种运用系统。
二、AD域控〔DC〕基本操作
1、登陆AD域控
登陆到本地市的域控效劳器,依次点击〝末尾-管理工具-ActiveDirectory用户和计算机〞,如以下图:
图2-1
进入如下管理界面:
图2-2
以乐山市公司为例:
在乐山的只读域控效劳器上可以看到个省公司下各地市的节点:
但是只能对自己公司的节点停止维护:
图2-3
2、新建组织单位〔OU〕
OU(OrganizationalUnit,组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器,是可以指派组战略设置或委派管理权限的最小作用域或单元。
深刻一点说,假设把AD比作一个公司的话,那么每个OU就是一个相对独立的部门。
图1-3中以
图标扫尾的均表示组织单位,
假定需求添加组织单位时,在需求添加的组织单位的下级节点依次点击点击〝右键-新建-组织单位〞,如以下图:
图2-4
填写组织单位称号-点击确定
既可在选中的组织单位节点下新增组织单位。
注:
删除组织单位时,要在检查中勾选初级功用
图2-5
然后选中的组织单位属性-对象中将〝防止对象被不测删除〞前的勾去掉,才干删除。
图2-6
3、新建用户
图2-1右侧窗口中以
图标扫尾的就是用户。
与新建组织单位相似。
对自己有权操作维护的组织单位点击〝右键-新建-用户〞,填写用户基本信息,点击下一步。
图2-7
填写初始密码,点击下一步
图2-8
点击完成
图2-9
既可在选中的组织单位节点下新增用户
图2-10
4、调整用户
右键点击用户-属性
图2-11
进入用户信息修正:
图2-12
其中惯例中号码必填
图2-13
选项卡中移动必填
图2-14
单位选项卡中一切信息必填
图2-15
直接下属不需求维护
这几个选项卡是常用,并且需求留意的。
5、调整计算机
当用户应用自己的帐号参与域后,在AD管理工具中就能看到登入域的计算机右键点击计算机可对其停止管理
图2-16
三、AD域控常用命令
AD域控管理命令可以用命令行的方式,依次点击〝末尾-运转-cmd〞,翻开命令行工具。
AD域控常用命令有很多,下面罗列一些比拟罕见的例子:
1、创立组织单位:
(dsadd)
命令格式:
dsaddou<
OUDN>
[-desc描画][{-s效劳器|-d域}][-u用户名][-p{密码|*}][-q][{-uc|-uoc|-uci}]
留意:
OU称号应为要创立的OU的LDAP相对途径〔DN,DistinguishedName〕,假设DN中包括空格,应该在途径两端运用双引号。
例如要在yjx域中树立一个名为finance的OU,可以执行以下命令:
C:
\>
dsaddouou=finance,dc=yjx,dc=com-desc"
财务部"
2、创立域用户帐户(dsadd)
dsadduser<
UserDN>
[-samid<
SAMName>
]-pwd{<
Password>
|*}–upnUPN
例如要在yjx域中树立一个名为mike的用户帐户,该用户将位于salesOU中,其显示称号为〝mikeyang〞,那么可以执行以下命令:
dsaddusercn=mike,ou=sales,dc=yjx,dc=com-samidmike-pwdbenet3.0-display〝mikeyang〞
3、创立计算机帐户(dsadd)
dsaddcomputer<
ComputerDN>
要在yjx域中的salesOU中树立一个名为client-2的计算机帐户,可以执行以下命令:
dsaddcomputercn=client-2,ou=sales,dc=yjx,dc=com
要在yjx域中的salesOU中树立一个名为client-3的计算机帐户,并设置计算机账户的描画信息为〝测试任务站〞,可以执行以下命令:
dsaddcomputercn=client-3,ou=sales,dc=yjx,dc=com-desc测试任务站
4、创立联络人(dsadd)
dsaddcontact<
ContactDN>
[-fn<
FirstName>
][-mi<
Initial>
][-ln<
LastName>
][-display<
DisplayName>
][-desc<
Description>
]
要在yjx域中的salesOU中树立一个名为杨建新的联络人,执行以下命令:
dsaddcontactcn=杨建新,ou=sales,dc=yjx,dc=com-fnjianxin-lnyang-display杨建新
5、修正活动目录对象〔dsmod〕
用于修正AD对象的属性,可以对OU、用户、组、联络人等对象停止修正。
dsmoduser/?
描画:
修正目录中现有的用户。
语法:
dsmoduser<
UserDN...>
[-upn<
UPN>
][-fn<
[-mi<
[-fnp<
firstnamephonetic>
][-lnp<
lastnamephonetic>
[-displayp<
displaynamephonetic>
[-empid<
EmployeeID>
][-pwd{<
|*}]
[-desc<
][-office<
Office>
][-tel<
Phone#>
[-email<
Email>
][-hometel<
HomePhone#>
][-pager<
Pager#>
[-mobile<
CellPhone#>
][-fax<
Fax#>
][-iptel<
IPPhone#>
[-webpg<
WebPage>
][-title<
Title>
][-dept<
Department>
[-company<
Company>
][-mgr<
Manager>
][-hmdir<
HomeDir>
[-hmdrv<
DriveLtr>
:
][-profile<
ProfilePath>
[-loscr<
ScriptPath>
][-mustchpwd{yes|no}]
[-canchpwd{yes|no}][-reversiblepwd{yes|no}]
[-pwdneverexpires{yes|no}]
[-acctexpires<
NumDays>
][-disabled{yes|no}]
[{-s<
Server>
|-d<
Domain>
}][-u<
UserName>
[-p{<
|*}][-c][-q][{-uc|-uco|-uci}]]
几个详细用法如下:
重置用户帐户的密码
dsmoduserUserDN-pwd新密码[-mustchpwd{yes|no}]下次登录时修正此密码
启用或禁用账户
dsmoduserUserDN可分辨称号-disabled{yes|no}yes禁用no启用
修正计算机帐户属性的格式为:
dsmodcomputerComputerDN...[-descDescription][-locLocation][-disabled{yes|no}][-reset][{-sServer|-dDomain}][-uUserName][-p{Password|*}][-c][-q][{-uc|-uco|-uci}]
重设计算机帐户
dsmodcomputerComputerDN-reset
启用或禁用计算机帐户
dsmodcomputerComputerDN可分辨称号-disabled{yes|no}yes制止登录no允许登录
将计算机帐户添加到组中
dsmodgroupGroupDN-addmbrComputerDN
要创立一个sales全局组,并将用户mike参与到该组中,可以执行以下命令:
dsaddgroupcn=sales,ou=sales,dc=yjx,dc=com-desc销售部
dsadd成功:
cn=sales,ou=sales,dc=yjx,dc=com
dsmodgroupcn=sales,ou=sales,dc=yjx,dc=com-addmbrcn=mike,ou=sales,dc=yjx,dc=com
dsmod成功:
6、其他命令〔dsquery、dsmove、dsrm〕
其他的活动目录操作命令还包括dsquery、dsmove、dsrm等,区分用于活动目录对象的查询、移动和删除。
要查找salesOU中的一切用户,可以执行以下命令:
dsqueryuserou=sales,dc=yjx,dc=com-name*
"
CN=mike,OU=sales,DC=yjx,DC=com"
CN=user1,OU=sales,DC=yjx,DC=com"
CN=user2,OU=sales,DC=yjx,DC=com"
要查找salesOU中曾经3个星期不活动的用户,可以执行以下命令:
dsqueryuserou=sales,dc=yjx,dc=com-inactive3
要将mike用户移动到financeOU中,可以执行以下命令:
dsmovecn=mike,ou=sales,dc=yjx,dc=com-newparentou=finance,dc=yjx,dc=com
dsmove成功:
cn=mike,ou=sales,dc=yjx,dc=com
要删除salesOU中的用户user1,可以执行以下命令:
dsrmcn=user1,ou=sales,dc=yjx,dc=com
您确认要删除cn=user1,ou=sales,dc=yjx,dc=com吗(Y/N)?
y
dsrm成功:
cn=user1,ou=sales,dc=yjx,dc=com
四、组战略管理
1、翻开组战略管理器
依次点击〝末尾-管理工具-点击进入组战略管理〞,进入组战略管理器。
如以下图:
图4-1
图4-2
2、受信任的根证书方法机构组战略设置
1、启动组战略管理:
末尾-管理工具-组战略管理
图4-3
2、选择拥有管理权限并需停止组战略设置的ou,右键选择创立组战略对象
图4-4
3、输入新建的GPO的称号
图4-5
4、选择新建的GPO,右键编辑
图4-6
5、在组战略管理编辑器中选择计算机配置-战略-windows设置-平安设置-公钥战略-受信任的根证书颁发机构右键选择导入
图4-7
6、选择需求导入的证书〔可以应用证书管理停止导出〕
7、选择受信任的根证书颁发机构
图4-8
8、点击完成,完成组战略设置
图4-9
3、IE平安及隐私组战略设置
图4-10
图4-11
图4-12
图4-13
5、在组战略管理编辑器中选择:
用户配置-战略-windows设置-InternetExplorer维护-平安,在右侧窗口中选择:
平安区域和内容分级右键选择属性
图4-14
6、选择导入以后平安区域和隐私设置
图4-15
7、在弹出的IE增强的平安配置中选择继续
图4-16
8、在平安和隐私设置选项卡中单击修正设置,在弹出的Internet属性窗体中设置相应的IE平安设置,点击确定,完成组战略设置
图4-17
4、注册表项推送
图4-18
图4-19
图4-20
图4-21
图4-22
五、设置DNS转发
效能协同平台DNS效劳器只担任对效能协同平台相关网站、Lync、Outlook等停止路由,而每台电脑DNS只可以设置一个主要DNS和一个备用DNS。
为了保证用户运用效能协同平台时可以继续访问其他站点及运用,可以在DNS上设置转发。
详细配置如下:
依次点击:
末尾-管理工具-DNS,进入如下管理界面:
右键点击DNS-衔接到DNS效劳器,选择以下计算机输入:
LSRODC
图4-3
衔接成功后右键点击LSRODC-属性
图4-4
选择转发器点击编辑
图4-5
参与需求转发的效劳器地址:
图4-6
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 管理员 操作手册 AD 策略 管理 51 CTO 下载