AD域之我的學(xué)習(xí)心得PPT課件

1 第一課 活動(dòng)目錄概述 一 2 本課概述 簡(jiǎn)介理解什么是活動(dòng)目錄 什么是目錄什么是活動(dòng)目錄了解活動(dòng)目錄的優(yōu)點(diǎn)掌握活動(dòng)目錄的對(duì)象 屬性 類掌握活動(dòng)目錄架構(gòu)的作用 3 簡(jiǎn)介 教師簡(jiǎn)介課程簡(jiǎn)介 4 什么是活動(dòng)目錄 什么是目錄什么是活動(dòng)目錄 5 什么是目錄 在一個(gè)組織中關(guān)于人和資源的信息的一個(gè)存儲(chǔ)倉(cāng)庫(kù)特點(diǎn) 用一致的方式命名 描述 定位 管理和保證這些信息的安全 大家可以以書的目錄為例來(lái)進(jìn)行思考 6 什么是活動(dòng)目錄 活動(dòng)目錄基于LDAP LightDirectoryAccessProtocol 輕型目錄訪問(wèn)協(xié)議 有效集中地組織查找和管理網(wǎng)絡(luò)中的資源 包括用戶 計(jì)算機(jī) 共享文件夾和共享打印機(jī)等 7 活動(dòng)目錄的優(yōu)點(diǎn) 集中存儲(chǔ)用戶和密碼列表提供一組服務(wù)器作為身份驗(yàn)證服務(wù)器對(duì)域中的資源維護(hù)一個(gè)可供搜索的索引便于查找允許創(chuàng)建帶有不同權(quán)限的用戶能更好的做分層管理 為多廠商提供身份驗(yàn)證平臺(tái) 8 活動(dòng)目錄對(duì)象 活動(dòng)目錄對(duì)象代表域中的網(wǎng)絡(luò)資源活動(dòng)目錄對(duì)象是通過(guò)其 屬性 來(lái)描述的 9 什么是架構(gòu) Schema 架構(gòu)是活動(dòng)目錄的基本結(jié)構(gòu) 是組成活動(dòng)目錄的規(guī)則 活動(dòng)目錄架構(gòu)包括兩個(gè)方面內(nèi)容 對(duì)象類和對(duì)象屬性 當(dāng)在活動(dòng)目錄中創(chuàng)建對(duì)象時(shí) 就必須遵守這個(gè)架構(gòu)規(guī)則 只有在活動(dòng)目錄架構(gòu)中定義了一個(gè)對(duì)象的屬性才可以在活動(dòng)目錄中使用該屬性 10 總結(jié) 理解什么是活動(dòng)目錄了解活動(dòng)目錄的優(yōu)點(diǎn)掌握活動(dòng)目錄的對(duì)象 屬性 類掌握活動(dòng)目錄架構(gòu)的作用 11 第二課 活動(dòng)目錄概述 二 12 本課概述 活動(dòng)目錄的邏輯結(jié)構(gòu)林 樹 域 OU活動(dòng)目錄的物理結(jié)構(gòu)站點(diǎn) DC WAN鏈路 13 AD的邏輯結(jié)構(gòu) 14 AD的邏輯結(jié)構(gòu) 域域樹和森林組織單元OU 15 域 活動(dòng)目錄的核心邏輯單元 域是出于管理而定義的對(duì)象集合域是管理邊界域管理員僅僅能管理自己的域 除非在其它域被特別指派管理權(quán)利 有其自己的安全策略 獨(dú)立唯一 域是復(fù)制單元域中的DC參與復(fù)制 并且包含自己域的目錄信息的一個(gè)完整拷貝 16 域樹和森林 域樹具有連續(xù)的名稱空間 而森林沒(méi)有林是活動(dòng)目錄實(shí)例的信息安全邊界 17 組織單位OU OU是活動(dòng)目錄中一個(gè)特殊容器 它可把用戶 組 計(jì)算機(jī)和打印機(jī)等對(duì)象組織起來(lái) OU是活動(dòng)目錄中最小的管理單元 它不僅可以包括對(duì)象 而且可進(jìn)行組策略設(shè)置和委派管理 這是其他普通容器做不到的 18 AD的物理結(jié)構(gòu) 站點(diǎn)域控制器WAN連接 19 AD的物理結(jié)構(gòu) 域控制器DC站點(diǎn) Site 20 域控制器 具有存儲(chǔ)活動(dòng)目錄數(shù)據(jù)功能參與AD復(fù)制在域中執(zhí)行單主控操作角色 21 站點(diǎn) 站點(diǎn)目的 優(yōu)化復(fù)制流量使用戶登錄到DC 使用一個(gè)可靠的 高速的鏈接 22 總結(jié) 活動(dòng)目錄的邏輯結(jié)構(gòu)林 樹 域 OU活動(dòng)目錄的物理結(jié)構(gòu)站點(diǎn) DC WAN鏈路 23 第三課 活動(dòng)目錄的概述 三 24 本課概述 活動(dòng)目錄的復(fù)制模式LDAP協(xié)議全局編錄服務(wù)器活動(dòng)目錄數(shù)據(jù)庫(kù)的目錄分區(qū) 25 單操作主機(jī)和多操作主機(jī) 單操作主機(jī) NT4環(huán)境PDC BDC 單向 無(wú)復(fù)制沖突容錯(cuò)性差多操作主機(jī) 2000 2003ADDC DC有復(fù)制沖突容錯(cuò)性好 26 LDAP 輕型目錄訪問(wèn)協(xié)議 活動(dòng)目錄訪問(wèn)使用LDAP協(xié)議 端口 TCP389 LDAP協(xié)議中制定了嚴(yán)格的命名規(guī)范 可唯一定位一個(gè)活動(dòng)目錄中的對(duì)象 下表是LADP中關(guān)于DC OU和CN的定義 27 可辨別名 DN 和相對(duì)辨別名 RDN 辨別名DN標(biāo)識(shí)對(duì)象所在的域 及找到它的路徑 CN SuzanFine OU Sales OU Finance DC contoso DC msft 相對(duì)可辨識(shí)名 相對(duì)辨別名標(biāo)識(shí)是指辨別名中唯一能標(biāo)識(shí)這個(gè)對(duì)象的部分 通常為辨別名中最前面的一個(gè) 28 什么是全局編錄GC 包含有 AD中所有對(duì)象屬性子集的倉(cāng)庫(kù) 包括安全權(quán)限 作用 跨域訪問(wèn) 通用組信息 訪問(wèn)令牌 UPN 確定GC位置 AD站點(diǎn)和服務(wù)確定GC復(fù)制提升完成 注冊(cè)表 延遲 5分鐘 HKLM system CurrentControlset services ntds parametersDWORD GlobalCatalogPromotionComplete 1 29 目錄分區(qū) 30 總結(jié) 活動(dòng)目錄的復(fù)制模式LDAP協(xié)議全局編錄服務(wù)器活動(dòng)目錄數(shù)據(jù)庫(kù)的目錄分區(qū) 31 第四課 創(chuàng)建Winserver2003的域 32 新建域簡(jiǎn)介安裝ActiveDirectory檢查ActiveDirectory默認(rèn)結(jié)構(gòu)刪除ActiveDirectory 本課概述 33 Windows2003活動(dòng)目錄 在一臺(tái)WIN2003SERVER上安裝AD 則可創(chuàng)建域 34 ActiveDirectory的安裝準(zhǔn)備安裝ActiveDirectory驗(yàn)證ActiveDirectory的安裝驗(yàn)證 ActiveDirectory用戶和計(jì)算機(jī) 的完整性將客戶機(jī)或成員服務(wù)器加入現(xiàn)有的域 安裝ActiveDirectory 35 計(jì)算機(jī)運(yùn)行Windows2000Server AdvancedServer DatacenterServer WindowsServer2003Standard Enterprise DatacenterNTFS分區(qū) 磁盤空間不少于250MBTCP IP協(xié)議 靜態(tài)的IP地址 及DNS 指向自己的IP地址 適當(dāng)?shù)臋?quán)限 管理員的身份 確認(rèn)計(jì)算機(jī)名稱原安裝光盤 要求 ActiveDirectory安裝準(zhǔn)備 36 啟動(dòng)AD安裝向?qū)?DCPROMO 安裝ActiveDirectory的過(guò)程 37 驗(yàn)證SRV記錄驗(yàn)證SYSVOL驗(yàn)證AD日志驗(yàn)證事件日志 驗(yàn)證ActiveDirectory安裝 驗(yàn)證ActiveDirectory安裝 38 檢查ActiveDirectory默認(rèn)結(jié)構(gòu) 39 客戶機(jī)加入域 前提條件步驟設(shè)置DNS地址將計(jì)算機(jī)加入域 40 LabA 建立Windowsserver2003域 41 先安裝DNS再安裝活動(dòng)目錄 安裝DNS服務(wù)建立DNS輔助區(qū)域 實(shí)現(xiàn)區(qū)域復(fù)制安裝活動(dòng)目錄驗(yàn)證DNS中的區(qū)域類型及動(dòng)態(tài)更新 42 Labb 先安裝DNS再安裝域 43 ActiveDirectory安裝向?qū)б笥羞m當(dāng)權(quán)限 刪除ActiveDirectory 44 總結(jié) 新建域簡(jiǎn)介安裝ActiveDirectory檢查ActiveDirectory默認(rèn)結(jié)構(gòu)刪除ActiveDirectory 45 第五課 安裝額外域控制器 46 安裝額外域控制器的簡(jiǎn)介安裝額外域控制器 與主DC共用同一臺(tái)DNS服務(wù)器安裝額外域控制器 與主DC使用不同的DNS服務(wù)器 本課概述 47 容錯(cuò)責(zé)載均衡多個(gè)DC之間是平等的多個(gè)DC之間要實(shí)現(xiàn)復(fù)制 額外域控制器簡(jiǎn)介 48 安裝額外域控制器 與主DC共用同一臺(tái)DNS服務(wù)器在欲安裝的額外的域控制器上設(shè)置DNS地址 指向DNS服務(wù)器 運(yùn)行安裝向?qū)?Dcpromo 安裝額外DC選擇 現(xiàn)有域的額外域控制器 49 LabA 額外域控制器 50 安裝額外域控制器 與主DC使用不同的DNS服務(wù)器在欲安裝的額外DC上安裝DNS服務(wù)建立DNS輔助區(qū)域設(shè)置DNS地址 指向自己的IP 運(yùn)行安裝向?qū)?Dcpromo 安裝額外DC驗(yàn)證AD集成區(qū)域 51 驗(yàn)證DNS的區(qū)域是否為AD集成區(qū)域只有域內(nèi)名稱才會(huì)被注冊(cè) 驗(yàn)證AD集成區(qū)域 52 Labb 安裝額外域控制器 53 總結(jié) 安裝額外域控制器的簡(jiǎn)介安裝額外域控制器 與主DC共用同一臺(tái)DNS服務(wù)器安裝額外域控制器 與主DC使用不同的DNS服務(wù)器 54 第六課 安裝額外域控制器 二 55 安裝額外域控制器的簡(jiǎn)介實(shí)現(xiàn)異地跨廣域網(wǎng)安裝額外DC 本課概述 56 容錯(cuò)責(zé)載均衡多個(gè)DC之間是平等的多個(gè)DC之間要實(shí)現(xiàn)復(fù)制 安裝附加DC 57 安裝額外域控制器 實(shí)現(xiàn)異地跨廣域網(wǎng)安裝額外DC備份主DC的數(shù)據(jù)將備份文件傳遞到異地欲安裝的DC上在異地DC上把備份文件還原到 備用位置 在異地DC上安裝DNS服務(wù) 并設(shè)置輔助區(qū)域運(yùn)行安裝向?qū)?DCpromo adv 安裝額外DC 58 備份活動(dòng)目錄數(shù)據(jù)庫(kù) 運(yùn)行NTbackup命令 根據(jù)備份向?qū)нM(jìn)行備份 備份時(shí)選擇 systemstate 59 傳遞備份文件至欲安裝額外DC的服務(wù)器上 將主DC的備份文件夾共享在欲安裝額外DC的服務(wù)器上進(jìn)行下載備份文件 60 還原備份文件至備用位置 61 安裝額外DC 運(yùn)行DCPROMO ADV根據(jù)安裝向?qū)О惭b額外DC 62 LabA 額外域控制器 63 總結(jié) 安裝額外域控制器的簡(jiǎn)介實(shí)現(xiàn)異地跨廣域網(wǎng)安裝額外DC 64 第七課 創(chuàng)建域樹 65 本課概述 多域的特征什么是目錄樹創(chuàng)建一個(gè)新的子域 66 簡(jiǎn)述 多域的特征 減少?gòu)?fù)制通信 保持不同域之間獨(dú)立清晰的安全策略 保護(hù)WindowsNT早期版本的域結(jié)構(gòu) 分散管理控制 67 什么是目錄樹 父域 子域 連續(xù)的名稱空間N 父 子 新域 樹的根域 B N 68 創(chuàng)建一個(gè)新的子域 活動(dòng)目錄安裝向?qū)?創(chuàng)建一個(gè)新的域控制器選擇安裝現(xiàn)有目錄樹的子域和父域形成相互的雙向信任關(guān)系 69 例 安裝的子域 在一臺(tái)WindowsServer2003Standard Enterprise上安裝一個(gè)域 完畢后驗(yàn)證其是否正確 例 在另一臺(tái)WindowsServer2003Standard Enterprise上設(shè)置靜態(tài)IP地址 并設(shè)置DNS地址為主DC的IP地址 在該server上運(yùn)行dcpromo命令 在安裝過(guò)程中選擇 現(xiàn)有域樹中的子域 輸入林中根域管理員的名稱與密碼并選擇父域 然后輸入子域的名稱 其它步驟根據(jù)向?qū)Р僮?70 安裝的子域 續(xù) 71 實(shí)驗(yàn) 安裝域目錄樹 72 總結(jié) 多域的特征什么是目錄樹創(chuàng)建一個(gè)新的子域 73 第八課 實(shí)現(xiàn)活動(dòng)目錄森林 74 本課概述 什么是目錄林什么是目錄林的根域創(chuàng)建新目錄林創(chuàng)建新的目錄樹 75 什么是目錄林 有一棵或多棵樹組成一個(gè)域目錄林目錄林中的目錄樹不共享連續(xù)的名稱空間 所有目錄林中的域共享一個(gè)公共的配置 架構(gòu)和全局編錄 76 什么是目錄林的根域 目錄林的根域是該目錄林中創(chuàng)建的第一個(gè)域 77 創(chuàng)建新目錄林的根域 創(chuàng)建新目錄林的根域能夠使計(jì)算機(jī)成為新域的域控制器配置成為全局編錄服務(wù)器使用默認(rèn)的架構(gòu)和配置目錄分區(qū) 78 創(chuàng)建新的目錄樹 創(chuàng)建新樹的根域能夠使計(jì)算機(jī)成為新域的域控制器和目錄林的根域形成相互的雙向信任關(guān)系復(fù)制架構(gòu)和配置目錄分區(qū) 79 例 安裝的另一棵樹 80 總結(jié) 什么是目錄林什么是目錄林的根域創(chuàng)建新目錄林創(chuàng)建新的目錄樹 81 第九課 信任關(guān)系 82 本章概述 何為信任關(guān)系信任關(guān)系的類型什么是TDO 在森林內(nèi)的信任關(guān)系如何工作在森林間的信任關(guān)系如何工作如何創(chuàng)建信任關(guān)系 83 信任關(guān)系簡(jiǎn)介 創(chuàng)建信任關(guān)系是為了實(shí)現(xiàn)不同域之間的資源互訪問(wèn)被信任對(duì)象 TDO 可以訪問(wèn)信任對(duì)象的資源信任關(guān)系可以是雙向的 也可以是單向的 信任關(guān)系有些是自動(dòng)建立的 有些需要手工建立信任關(guān)系有些是可傳遞的 有些是不可傳遞的 84 信任關(guān)系的類型 一 85 Trusteddomainobjects 被信任對(duì)象 用來(lái)代表域之間信任關(guān)系的目錄對(duì)象TDO維護(hù)了信任關(guān)系本身及其屬性 TDO TrustedDomainObjects TDO中表示了諸如信任傳遞性 類型以及互換的域名等屬性 林信任TDO存儲(chǔ)其他屬性 以便從其伙伴林中識(shí)別所有受信任的名稱空間 這些屬性包括域樹名稱 用戶主體名稱 UPN 后綴 服務(wù)主體名稱 SPN 后綴 以及安全I(xiàn)D SID 名稱空間 86 在森林內(nèi)的信任關(guān)系如何工作 樹一 樹二 Domain1 樹的根域 森林根域 Domain2 DomainC DomainA DomainB 87 森林間的信任關(guān)系如何工作 88 如何建立信任關(guān)系 利用ActiveDirectory域和信任關(guān)系建立信任關(guān)系 89 實(shí)驗(yàn) 建立快捷信任 創(chuàng)建快捷信任創(chuàng)建信任之前兩個(gè)域必須能夠相互解析對(duì)方的名稱創(chuàng)建快捷信任 90 總結(jié) 何為信任關(guān)系信任關(guān)系的類型什么是TDO 在森林內(nèi)的信任關(guān)系如何工作在森林間的信任關(guān)系如何工作如何創(chuàng)建信任關(guān)系 91 第十課 創(chuàng)建用戶和組 92 本課概述 帳戶的類型創(chuàng)建和管理多個(gè)帳戶實(shí)現(xiàn)和理解UPN的后綴創(chuàng)建和管理組組的嵌套 93 帳戶的類型 94 創(chuàng)建和管理用戶帳戶 創(chuàng)建單用戶帳戶用戶帳戶的屬性用戶帳戶模板哪些模板中屬性會(huì)被繼承 創(chuàng)建和管理多個(gè)帳戶批量創(chuàng)建用戶帳戶 95 用戶帳號(hào) 用戶帳號(hào)可分為 域用戶帳戶和本地用戶舉例說(shuō)明 域帳號(hào)和本地帳號(hào)的區(qū)別 創(chuàng)建域用戶帳號(hào) 96 安全標(biāo)識(shí)符 SID是標(biāo)識(shí)帳戶的唯一數(shù)字 系統(tǒng)實(shí)際不是通過(guò)用戶的名字而是通過(guò)用戶的SID來(lái)識(shí)別用戶的 SID表示方法 S 1 5 21 1659004503 19356597 854245398 1002SID可以分為幾段 如下所示 S 1 5 21 d1 d2 d3 ridS 1 5只是標(biāo)準(zhǔn)的前綴 21是一個(gè)NT的前綴 d1 d2 d3只是專用與域的32位數(shù)字 RID代表相對(duì)標(biāo)識(shí) 97 用戶帳戶的屬性 98 何為用戶帳戶模板 網(wǎng)絡(luò)中如果有很多相同屬性的用戶帳戶需要建立你如何做呢 用戶帳戶模板 99 哪些模板中屬性會(huì)被繼承 100 創(chuàng)建和管理多個(gè)帳戶 101 創(chuàng)建和管理組 何為組 組的類型什么是域本地組 什么是全局組 什么是通用組 組的嵌套 102 介紹活動(dòng)目錄中的組 103 何為組 組用來(lái)簡(jiǎn)化網(wǎng)絡(luò)管理和加快訪問(wèn)速度 組的區(qū)域 本地組 域本地組 全局組 通用組 Group 104 組的類型 105 全局組 全局組規(guī)則 可加入 組成員 權(quán)限范圍 混合模式 同一個(gè)域的用戶帳號(hào)本機(jī)模式 同一個(gè)域的用戶帳號(hào)和全局組 混合模式 域本地組本機(jī)模式 任何域的通用組和域本地組 同域全局組 目錄林中所有的域 106 域本地組 域本地組規(guī)則 107 什么是通用組 108 Group Group Group Group Group 組的嵌套 一個(gè)組作為一個(gè)成員可以被添加到其他的組 AGDLPAGGDLPAGGUDLPAGUDLP 109 總結(jié) 帳戶的類型創(chuàng)建和管理多個(gè)帳戶實(shí)現(xiàn)和理解UPN的后綴創(chuàng)建和管理組組的嵌套 110 第十一課 組織單元 111 本課概述 組織單元概述容器 Container 與組織單元 OU 創(chuàng)建組織單元委派管理控制在組織單元中發(fā)布資源組織單元與組的區(qū)別 112 組織單元概述 屬于活動(dòng)目錄最小的管理容器活動(dòng)目錄最小的邏輯管理單元對(duì)應(yīng)了現(xiàn)實(shí)企業(yè)模型中的部門 113 容器 Container 與組織單元 OU 使用OU對(duì)對(duì)象進(jìn)行邏輯分組委派專人單獨(dú)管理一個(gè)OU內(nèi)的對(duì)象可實(shí)現(xiàn)AD分散式管理 114 創(chuàng)建組織單元 115 委派管理控制 指派權(quán)限 為OU委派其他管理員可以修改單個(gè)OU內(nèi)對(duì)象的特定屬性能夠完成所有OU內(nèi)相同的任務(wù)自定義管理工具 映射到委派的管理任務(wù)簡(jiǎn)化接口設(shè)計(jì) 116 LabA 組織單元的委派 117 在組織單元中發(fā)布資源 發(fā)布共享文件夾發(fā)布打印機(jī) 118 組織單元與組的區(qū)別 組織單元 OU 組 Group 119 總結(jié) 組織單元概述容器 Container 與組織單元 OU 創(chuàng)建組織單元委派管理控制在組織單元中發(fā)布資源組織單元與組的區(qū)別 120 第十二課 組策略 一 121 本課內(nèi)容 組策略的介紹組策略的組成組策略對(duì)象的創(chuàng)建與編輯組策略對(duì)象的處理詳解 122 一 組策略的介紹 什么是組策略 企業(yè)中網(wǎng)絡(luò)管理的瓶頸組策略能實(shí)現(xiàn)的功能組策略的實(shí)現(xiàn)方式 123 什么是組策略 組策略是對(duì)域中一組用戶賬號(hào)和計(jì)算機(jī)賬號(hào)的各種設(shè)置的組合 這些設(shè)置可以包括以下類型 桌面設(shè)置 軟件設(shè)置 安全設(shè)置 桌面設(shè)置 我們可以對(duì)域中所有用戶的桌面環(huán)境進(jìn)行定制 比如隱藏桌面上的某些圖標(biāo) 軟件設(shè)置 可以通過(guò)網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)應(yīng)用程序的自動(dòng)安裝或升級(jí) 還可以限制用戶對(duì)某些應(yīng)用程序的訪問(wèn) 安裝設(shè)置 可以實(shí)現(xiàn)用戶賬號(hào) 計(jì)算機(jī)賬號(hào)以及網(wǎng)絡(luò)的安裝設(shè)置 124 企業(yè)中網(wǎng)絡(luò)管理的瓶勁 大規(guī)模的分布式網(wǎng)絡(luò)個(gè)人用戶薄弱的安全意識(shí)軟件部署的難度軟件管理的難度復(fù)雜的系統(tǒng)設(shè)置 125 組策略能實(shí)現(xiàn)的功能 一種Onetomany管理模式的實(shí)現(xiàn)強(qiáng)制性安全配置 靈活的軟件部署方式強(qiáng)化企業(yè)中的軟件管理 將復(fù)雜的系統(tǒng)設(shè)置簡(jiǎn)單化 使用組策略可以做到 站點(diǎn) 域級(jí)別的集中管理 OU級(jí)別分散的管理控制用戶的系統(tǒng)軟件環(huán)境通過(guò)控制用戶和計(jì)算機(jī)環(huán)境 降低管理成本 126 組策略的實(shí)現(xiàn)方式 操作系統(tǒng)中注冊(cè)表控制著用戶與計(jì)算機(jī)的工作如果注冊(cè)表項(xiàng)的值寫在策略文件中 通過(guò)網(wǎng)絡(luò)將策略文件中的注冊(cè)表項(xiàng)值下載給客戶機(jī) 那么客戶機(jī)本地的操作系統(tǒng)會(huì)強(qiáng)制其執(zhí)行策略中的值 組策略源于注冊(cè)表 高于注冊(cè)表 它比注冊(cè)表更為形象個(gè)別策略值與注冊(cè)表無(wú)關(guān) 127 二 組策略對(duì)象的組成 組策略對(duì)象的組成部分組策略對(duì)象的應(yīng)用與節(jié)點(diǎn)組策略節(jié)點(diǎn)的策略生效原則策略刷新命令 128 組策略對(duì)象的組成部分 GPC GPT 129 在相應(yīng)的目錄容器上鏈接組策略對(duì)象每個(gè)組策略對(duì)象分為兩個(gè)節(jié)點(diǎn) 計(jì)算機(jī)節(jié)點(diǎn)用來(lái)控制計(jì)算機(jī)帳戶 用戶節(jié)點(diǎn)用來(lái)控制用戶帳戶用戶組策略設(shè)置 桌面環(huán)境設(shè)置軟件設(shè)置Windows設(shè)置安全設(shè)置計(jì)算機(jī)策略設(shè)置 桌面環(huán)境設(shè)置軟件設(shè)置Windows設(shè)置安全設(shè)置 組策略對(duì)象的應(yīng)用與節(jié)點(diǎn) 130 組策略節(jié)點(diǎn)的策略生效原則 131 策略刷新命令 語(yǔ)法 gpupdate target computer user force target computer user 只處理Computer設(shè)置或當(dāng)前的User設(shè)置 默認(rèn)情況下 將同時(shí)處理計(jì)算機(jī)設(shè)置和用戶設(shè)置 force忽略所有處理優(yōu)化并重新應(yīng)用所有設(shè)置 示例下面的示例說(shuō)明了如何使用gpupdate命令 gpupdategpupdate target computer 132 三 組策略對(duì)象的創(chuàng)建與編輯 創(chuàng)建連接的組策略對(duì)象創(chuàng)建無(wú)連接的組策略對(duì)象連接一個(gè)現(xiàn)有的組策略對(duì)象編輯組策略對(duì)象 133 創(chuàng)建連接的組策略對(duì)象 當(dāng)創(chuàng)建GPO時(shí) 他被連接到所創(chuàng)建的容器上通過(guò)使用活動(dòng)目錄用戶和計(jì)算機(jī)來(lái)為域和OU創(chuàng)建GPO通過(guò)使用活動(dòng)目錄站點(diǎn)和服務(wù)來(lái)為站點(diǎn)創(chuàng)建GPO 創(chuàng)建一個(gè)GPO GPO的連接名 134 創(chuàng)建無(wú)連接的組策略對(duì)象 135 連接一個(gè)現(xiàn)有的組策略對(duì)象 136 編輯組策略對(duì)象 用戶配置 windows設(shè)置 InternetExplorer 與 用戶配置 管理模板 windows組件 137 實(shí)驗(yàn) 創(chuàng)建與配置GPOs 本實(shí)驗(yàn) 您將 創(chuàng)建與配置GPOs 138 四 組策略對(duì)象的處理詳解 組策略的處理詳解慢速連接 139 組策略是在誰(shuí)那兒存儲(chǔ)的 域控制器組策略是在誰(shuí)那兒處理的 客戶端由誰(shuí)來(lái)處理 七個(gè)DLL文件怎么處理 下載到客戶端處理何時(shí)處理 開機(jī)及登錄時(shí) 每當(dāng)刷新周期到時(shí)進(jìn)行處理 DC每五分鐘刷新一次 普通機(jī)90 30 處理機(jī)制是如何的 大多數(shù)同步處理 少數(shù)異步處理是不是一刷新所有的都處理 不是 采用增量處理機(jī)制 最新的才處理何時(shí)會(huì)關(guān)閉處理 客戶端與DC間為慢速連接 組策略的處理詳解 140 慢速連接 發(fā)出PING測(cè)試是否慢速連接 500K 如果鏈路低于與500K就有些策略不會(huì)執(zhí)行 141 總結(jié) 組策略的介紹組策略的組成組策略對(duì)象的創(chuàng)建與編輯組策略對(duì)象的處理詳解 142 第十三課 組策略 二 143 本課重點(diǎn) 組策略對(duì)象的基本設(shè)置組策略腳本文件夾的重定向軟件限制 144 組策略對(duì)象的基本設(shè)置 用戶配置 管理模板windows組件開始菜單與任務(wù)欄桌面控制面板網(wǎng)絡(luò)系統(tǒng) 145 用組策略分配腳本 什么是組策略腳本設(shè)置 用組策略實(shí)現(xiàn)腳本設(shè)置腳本的處理順序 146 什么是組策略腳本設(shè)置 組策略腳本設(shè)置可以 集中配置腳本 在計(jì)算機(jī)啟動(dòng) 關(guān)閉 用戶登錄 退出的時(shí)候自動(dòng)運(yùn)行 管理和配置用戶環(huán)境 147 用組策略實(shí)現(xiàn)腳本設(shè)置 148 腳本的處理順序 149 實(shí)驗(yàn) 設(shè)置腳本 用戶登錄saleslogon vbs用戶退出saleslogoff vbs 150 利用組策略重定向文件夾 什么是文件夾重定向 選擇需要重定向的文件夾如何實(shí)現(xiàn)文件夾重定向 151 什么是文件夾重定向 重定向文件夾的優(yōu)點(diǎn) 不管用戶從什么客戶機(jī)上登錄 都可以訪問(wèn)文件夾中的數(shù)據(jù)文件夾中的數(shù)據(jù)集中存儲(chǔ) 更便于管理和備份減少網(wǎng)絡(luò)通信 網(wǎng)絡(luò)通信只在用戶訪問(wèn)文件的時(shí)候出現(xiàn)文件不在用戶登錄的計(jì)算機(jī)上拷貝和保存 152 選擇需要重定向的文件夾 153 如何實(shí)現(xiàn)文件夾重定向 WhenRedirectingUserFolders 154 實(shí)驗(yàn) 重定向文件夾 重定向我的文檔重定向桌面重定向開始菜單 155 軟件限制 哈希規(guī)則證書規(guī)則路徑規(guī)則Internet區(qū)域規(guī)則 156 總結(jié) 基本設(shè)置組策略腳本文件夾的重定向軟件限制 157 第十四課 組策略 三 158 本課重點(diǎn) 多個(gè)組策略對(duì)象的處理規(guī)則GPMC的使用 159 多個(gè)組策略對(duì)象的處理規(guī)則 組策略對(duì)象的默認(rèn)繼承阻止策略繼承禁止替代同一容器上多條策略的處理計(jì)算機(jī)配置與用戶配置的處理使用權(quán)限過(guò)濾進(jìn)行過(guò)濾特殊用戶 160 組策略的默認(rèn)繼承 Windows2003采用特定的順序應(yīng)用組策略 子容器會(huì)繼承父容器的組策略如果父容器設(shè)置的策略與子容器設(shè)置的策略發(fā)生沖突 子容器的GPO優(yōu)先生效 161 阻止策略繼承 阻止策略繼承 禁止從所有的父容器繼承所有的GPO無(wú)法選擇針對(duì)哪些GPO 全部都禁止繼承針對(duì)的是某一層次不能阻擋 禁止替代 NoOverride 162 禁止替代 163 同一容器上多條策略的處理 容器設(shè)置多個(gè)GPO沖突時(shí) GPO列表最高的GPO優(yōu)先級(jí)最高 管理員在一個(gè)容器上設(shè)置多條組策略 優(yōu)先級(jí)自上而下 164 計(jì)算機(jī)配置與用戶配置的處理 計(jì)算機(jī)策略優(yōu)于用戶策略 特例 可以禁用計(jì)算機(jī)配置或禁用用戶配置來(lái)提高處理速度 同一條組策略的計(jì)算機(jī)配置與用戶配置 165 使用權(quán)限過(guò)濾進(jìn)行過(guò)濾特殊用戶 166 利用GPMC對(duì)GPO的管理 進(jìn)行組策略對(duì)象的復(fù)制進(jìn)行組策略對(duì)象的備份進(jìn)行組策略對(duì)象的恢復(fù)進(jìn)行組策略對(duì)象的導(dǎo)入 167 GPMC功能介紹 GPMC即組策略管理控制臺(tái) 與Windows2000上傳統(tǒng)的組策略編輯器截然不同 由一個(gè)全新的MMC管理單元及一整套腳本化的接口組成 提供了集中的組策略管理方案 可以大大減少不正確的組策略可能導(dǎo)致的網(wǎng)絡(luò)問(wèn)題并簡(jiǎn)化組策略相關(guān)的安全問(wèn)題 解決組策略部署中的難點(diǎn) 減輕了IT管理員們?cè)趯?shí)施組策略時(shí)所承擔(dān)的沉重包袱 GPMC除了實(shí)現(xiàn)一般的組策略管理任務(wù) 如創(chuàng)建 刪除 修改外 還提供了復(fù)制 導(dǎo)入 備份 恢復(fù)功能 更值得一提的是 GPMC中的組策略報(bào)告功能對(duì)組策略在計(jì)算機(jī)上的生效狀況提供了詳細(xì)的說(shuō)明 168 進(jìn)行組策略對(duì)象的復(fù)制 備份 導(dǎo)入 169 進(jìn)行組策略對(duì)象的恢復(fù) 170 實(shí)驗(yàn) 管理GPOs 進(jìn)行組策略對(duì)象的復(fù)制進(jìn)行組策略對(duì)象的備份進(jìn)行組策略對(duì)象的恢復(fù)進(jìn)行組策略對(duì)象的導(dǎo)入 171 總結(jié) 多個(gè)組策略對(duì)象的處理規(guī)則GPMC的使用 172 第十五課 用組策略部署和管理軟件 173 本章概述 對(duì)軟件部署管理的介紹軟件部署的基本配置軟件部署的額外配置維護(hù)已部署的軟件 174 一 對(duì)軟件部署管理的介紹 軟件安裝與維護(hù)的過(guò)程什么是WindowsInstaller 175 軟件安裝與維護(hù)的過(guò)程 176 什么是WindowsInstaller WindowsInstaller WindowsInstaller服務(wù)自動(dòng)化軟件安裝與配置的進(jìn)程對(duì)當(dāng)前安裝的應(yīng)用程序修改或修復(fù) WindowsInstaller包有關(guān)安裝與反安裝的信息包含 msi主文件與支持文件有關(guān)應(yīng)用程序的匯總信息比如版本信息等指向安裝分發(fā)點(diǎn)物理位置的參照信息 177 第二節(jié) 軟件部署的基本配置 軟件部署過(guò)程概述指派vs 發(fā)布指定軟件安裝的默認(rèn)值 178 軟件部署過(guò)程概述 179 軟件部署 計(jì)算機(jī)配置 開機(jī)時(shí)自動(dòng) Localsystem 用戶配置 用戶登陸后必須手工激活對(duì)于計(jì)算機(jī)而言部署方法只支持指派對(duì)于用戶而言支持指派和發(fā)布指派VS發(fā)布指派 添加刪除激活擴(kuò)展名激活快捷激活 發(fā)布不支持快捷方式激活 180 指派vs 發(fā)布 軟件分發(fā)點(diǎn) 181 如何創(chuàng)建一個(gè)軟件分發(fā)點(diǎn) 演示 如何創(chuàng)建一個(gè)軟件分發(fā)點(diǎn) 182 如何用GPO部署軟件 演示 如何用GPO部署軟件 183 指定軟件安裝的默認(rèn)值 定義是否用缺省值或用戶自定義的值 定義軟件分發(fā)點(diǎn)MSI文件默認(rèn)的保存位置 定義如何去部署這個(gè)軟件 184 實(shí)驗(yàn) 部署軟件 在這個(gè)實(shí)驗(yàn) 你將創(chuàng)建一個(gè)GPO去發(fā)布一個(gè)MSI包用來(lái)軟件分發(fā) 185 第三節(jié) 軟件部署的額外配置 何為軟件分類 何為軟件關(guān)聯(lián) 186 何為軟件分類 軟件分類功能 187 如何創(chuàng)建軟件分類 右擊軟件安裝 屬性 類別 188 何為軟件關(guān)聯(lián) 189 如何去做軟件關(guān)聯(lián) 1 打開GPO2 用戶配置 軟件設(shè)置 軟件安裝 屬性3 屬性里找到 文件擴(kuò)展名4 應(yīng)用程序優(yōu)先權(quán) 上下調(diào)節(jié)優(yōu)先權(quán) 190 第四節(jié) 維護(hù)已部署的軟件 軟件升級(jí)的類型如何進(jìn)行軟件的重新部署刪除已部署軟件的方法 191 軟件升級(jí)的類型 部署升級(jí)版本的應(yīng)用程序 192 如何進(jìn)行軟件的重新部署 193 刪除已部署軟件的方法 194 實(shí)驗(yàn) 維護(hù)部署的軟件 在這個(gè)實(shí)驗(yàn) 你將 升級(jí)部署文件移去部署文件 195 總結(jié) 對(duì)軟件部署管理的介紹軟件部署的基本配置軟件部署的額外配置維護(hù)已部署的軟件 196 第十六課 活動(dòng)目錄的綜合應(yīng)用 197 本課概述 以八維學(xué)校為例規(guī)化組織單位 規(guī)化組 規(guī)化用戶賬戶在活動(dòng)目錄中發(fā)布共享文件夾在活動(dòng)目錄中發(fā)布打印機(jī)客戶端在活動(dòng)目錄中實(shí)現(xiàn)快速查找資源組策略的綜合應(yīng)用 198 活動(dòng)目錄規(guī)劃 設(shè)計(jì) 199 在活動(dòng)目錄中發(fā)布共享文件夾 管理員可以在域中規(guī)劃OU 然后在OU中發(fā)布資源 包括 共享文件夾 打印機(jī)等 方便用戶查詢使用 200 在活動(dòng)目錄中發(fā)布共享文件夾 方法 在活動(dòng)目錄相應(yīng)的OU中發(fā)布共享文件夾 方法 打開相應(yīng)的OU 右擊空白處 選擇 新建 共享文件夾 輸入名稱與網(wǎng)絡(luò)路徑 設(shè)置共享文件夾的關(guān)鍵字 右擊相應(yīng)的共享文件夾 選擇 屬性 關(guān)鍵字 輸入相關(guān)的關(guān)鍵字即可 201 在活動(dòng)目錄中發(fā)布打印機(jī) 在活動(dòng)目錄相應(yīng)的OU中發(fā)布共享文件夾 方法 在打印服務(wù)器上選擇 開始 設(shè)置 打印機(jī)和傳真 右擊欲發(fā)布的打印機(jī) 選擇 屬性 共享 列入目錄 即可 202 客戶端在活動(dòng)目錄中快速查找資源 客戶端可以在網(wǎng)絡(luò)鄰居中快速查找域中的各種資源 203 組策略的綜合應(yīng)用 組策略腳本設(shè)置文件夾重定向軟件限制軟件部署 204 組策略腳本設(shè)置 組策略腳本設(shè)置可以 集中配置腳本 在計(jì)算機(jī)啟動(dòng) 關(guān)閉 用戶登錄 退出的時(shí)候自動(dòng)運(yùn)行 管理和配置用戶環(huán)境 205 文件夾重定向 206 軟件限制 哈希規(guī)則路徑規(guī)則Internet區(qū)域規(guī)則 207 軟件部署 208 總結(jié) 以八維學(xué)校為例規(guī)化組織單位 規(guī)化組 規(guī)化用戶賬戶在活動(dòng)目錄中發(fā)布共享文件夾在活動(dòng)目錄中發(fā)布打印機(jī)客戶端在活動(dòng)目錄中實(shí)現(xiàn)快速查找資源組策略的綜合應(yīng)用 209 第十七課 管理操作主控 一 210 本課內(nèi)容 對(duì)主控角色的介紹查找各種主機(jī)角色 211 多主控和單主控的復(fù)制對(duì)比 AD域及域控制器與NT4的最大的區(qū)別在于采用了多主復(fù)制技術(shù)代替了單主復(fù)制模式 注 只有AD域處于本機(jī)模式或2003的域功能級(jí)別時(shí)才能實(shí)現(xiàn)多主復(fù)制 混合模式以及WIN2003的臨時(shí)模式都使用單主模式 AD在整個(gè)結(jié)構(gòu)中都在努力的實(shí)現(xiàn)分布控制的思想 但有些工作必須被集中處理 因此我們使用FSMO 靈活性單主機(jī)操作 212 第一節(jié) 活動(dòng)目錄的操作主控 213 架構(gòu)主控的作用 復(fù)制 架構(gòu)主控 214 域命名主控的作用 它可以在森林范圍向目錄林添加 刪除域 若其不可用 則無(wú)法添加 刪除域查詢GC 防止重名 其無(wú)法查詢獨(dú)立DC的GC 所以必須同時(shí)還是一個(gè)GC 要想更改域命名主機(jī)必須是Enterpriseadmin組成員 215 PDC仿真主控的作用 216 Bj China ds 時(shí)間服務(wù)器同步 China ds林根域 PDC仿真器 PDC仿真器 217 RID主控的作用 在域內(nèi)分配RID塊給每一個(gè)DC防止在森林產(chǎn)生分身 RID主控 移動(dòng) RID分配 RID塊 218 基礎(chǔ)結(jié)構(gòu)主控的作用 移動(dòng) 全局組被嵌套在域本地組 基礎(chǔ)結(jié)構(gòu)主控 該主控不要和GC放在一起除非是單域 219 第二節(jié) 查找各種主機(jī)角色 查找架構(gòu)主機(jī) regsvr32schmmgmt dllMMC 添加 刪除管理單元 AD架構(gòu)查找域命名主機(jī) 域與信任關(guān)系查找RID主機(jī) PDC仿真主機(jī) 基礎(chǔ)結(jié)構(gòu)主機(jī) ActiveDirectory用戶和計(jì)算機(jī)Netdomqueryfsmo domain domain name 220 總結(jié) 對(duì)主控角色的介紹查找各種主機(jī)角色 221 第十八課 管理操作主機(jī) 二 222 本課概述 主控角色的傳遞主控角色的索取規(guī)化主機(jī)角色 223 進(jìn)行主控角色的傳遞 只有當(dāng)域的基礎(chǔ)結(jié)構(gòu)發(fā)生主要的變化時(shí) 才傳送角色 224 強(qiáng)奪操作主控角色 僅僅在不能傳送時(shí) 才強(qiáng)奪角色當(dāng)強(qiáng)奪一個(gè)角色時(shí) 數(shù)據(jù)可能丟失 225 如何傳輸角色 226 如何去傳遞角色 演示 如何去傳遞角色 227 如何去奪取角色 演示 如何去奪取角色 228 第四節(jié) 規(guī)劃主控角色的放置 放置主控的指南捕捉主控角色的指南 229 放置操作主控的指導(dǎo)方針 230 捕捉主控角色的指南 確定打算奪取給哪個(gè)DC 快速的修理PDC仿真器的失敗 寧可等待被修理的架構(gòu)主控 域命名主控 或RID主控 奪取結(jié)構(gòu)主控僅僅只在主控修復(fù)時(shí)間比較長(zhǎng)時(shí) 231 總結(jié) 主控角色的傳遞主控角色的索取 232 第十九課 實(shí)現(xiàn)活動(dòng)目錄站點(diǎn) 233 本章概述 AD復(fù)制概述復(fù)制模式目錄分區(qū)復(fù)制拓樸結(jié)構(gòu)站點(diǎn)和子網(wǎng)站點(diǎn)鏈接站間復(fù)制與站內(nèi)復(fù)制的特點(diǎn) 234 AD復(fù)制概述 為什么要發(fā)生復(fù)制 網(wǎng)絡(luò)中的多臺(tái)DC為用戶提供一致信息復(fù)制什么 復(fù)制是有條件的 復(fù)制的是更新 添加 刪除 修改 移動(dòng) 復(fù)制何時(shí)發(fā)生 當(dāng)在某個(gè)DC發(fā)生變動(dòng)的時(shí)候 這個(gè)DC就會(huì)發(fā)出一個(gè)復(fù)制請(qǐng)求復(fù)制的邊界是什么 森林復(fù)制是如何工作的 235 復(fù)制模式 AD的復(fù)制模型 大多數(shù)對(duì)象的復(fù)制 只有AD運(yùn)行與本機(jī)模式或win2003功能級(jí)別才是多主復(fù)制 在混合模式和WIN2003臨時(shí)模式的域采用單主復(fù)制優(yōu)點(diǎn) 解決了單點(diǎn)失敗缺點(diǎn) 浪費(fèi)資源并產(chǎn)生了大量的復(fù)制沖突 單主控復(fù)制 多主控復(fù)制 236 目錄分區(qū) ActiveDirectory數(shù)據(jù)庫(kù) 復(fù)制配置 域 森林 包含可以在目錄中建立的所有對(duì)象和屬性的定義 以及建立和控制的規(guī)則 包含活動(dòng)目錄結(jié)構(gòu)的信息 包括關(guān)于活動(dòng)目錄中建立的所