(最新整理)管理員操作手冊-AD域控及組策略管理_51CTO下載

1、(完整)管理員操作手冊-ad域控及組策略管理_51cto下載(完整)管理員操作手冊-ad域控及組策略管理_51cto下載 編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對文中內(nèi)容進行仔細校對，但是難免會有疏漏的地方，但是任然希望（(完整)管理員操作手冊-ad域控及組策略管理_51cto下載）的內(nèi)容能夠給您的工作和學(xué)習(xí)帶來便利。同時也真誠的希望收到您的建議和反饋，這將是我們進步的源泉，前進的動力。本文可編輯可修改，如果覺得對您有幫助請收藏以便隨時查閱，最后祝您生活愉快 業(yè)績進步，以下為(完整)管理員操作手冊-ad域控及組策略管理_

2、51cto下載的全部內(nèi)容。38ad域控及組策略管理目錄一、active directory(ad)活動目錄簡介41、工作組與域的區(qū)別42、公司采用域管理的好處43、active directory（ad)活動目錄的功能6二、ad域控(dc）基本操作61、登陸ad域控62、新建組織單位(ou)83、新建用戶104、調(diào)整用戶115、調(diào)整計算機14三、ad域控常用命令151、創(chuàng)建組織單位:(dsadd)152、創(chuàng)建域用戶帳戶(dsadd)153、創(chuàng)建計算機帳戶(dsadd）154、創(chuàng)建聯(lián)系人(dsadd)165、修改活動目錄對象（dsmod)166、其他命令（dsquery、dsmove、dsrm）

3、17四、組策略管理191、打開組策略管理器192、受信任的根證書辦法機構(gòu)組策略設(shè)置203、ie安全及隱私組策略設(shè)置254、注冊表項推送30五、設(shè)置dns轉(zhuǎn)發(fā)33一、 active directory（ad)活動目錄簡介1、工作組與域的區(qū)別域管理與工作組管理的主要區(qū)別在于：1）、工作組網(wǎng)實現(xiàn)的是分散的管理模式,每一臺計算機都是獨自自主的，用戶賬戶和權(quán)限信息保存在本機中，同時借助工作組來共享信息，共享信息的權(quán)限設(shè)置由每臺計算機控制.在網(wǎng)上鄰居中能夠看到的工作組機的列表叫瀏覽列表是通過廣播查詢?yōu)g覽主控服務(wù)器，由瀏覽主控服務(wù)器提供的。而域網(wǎng)實現(xiàn)的是主/從管理模式,通過一臺域控制器來集中管理域內(nèi)用戶帳號

4、和權(quán)限,帳號信息保存在域控制器內(nèi)，共享信息分散在每臺計算機中，但是訪問權(quán)限由控制器統(tǒng)一管理。這就是兩者最大的不同.2)、在“域”模式下，資源的訪問有較嚴(yán)格的管理,至少有一臺服務(wù)器負責(zé)每一臺聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗證工作,相當(dāng)于一個單位的門衛(wèi)一樣,稱為“域控制器(domain controller，簡寫為dc）”。3）、域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時，域控制器首先要鑒別這臺電腦是否是屬于這個域的,用戶使用的登錄賬號是否存在、密碼是否正確.如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄.不能登錄，用戶就不能訪問服務(wù)

5、器上有權(quán)限保護的資源,他只能以對等網(wǎng)用戶的方式訪問windows共享出來的資源，這樣就在一定程度上保護了網(wǎng)絡(luò)上的資源。而工作組只是進行本地電腦的信息與安全的認證。2、公司采用域管理的好處1）、方便管理,權(quán)限管理比較集中,管理人員可以較好的管理計算機資源。2）、安全性高,有利于企業(yè)的一些保密資料的管理，比如一個文件只能讓某一個人看,或者指定人員可以看,但不可以刪/改/移等。3）、方便對用戶操作進行權(quán)限設(shè)置，可以分發(fā)，指派軟件等，實現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝。4）、很多服務(wù)必須建立在域環(huán)境中,對管理員來說有好處：統(tǒng)一管理，方便在ms 軟件方面集成,如isa exchange(郵件服務(wù)器）、isa se

6、rver（上網(wǎng)的各種設(shè)置與管理）等。5）、使用漫游賬戶和文件夾重定向技術(shù)，個人賬戶的工作文件及數(shù)據(jù)等可以存儲在服務(wù)器上，統(tǒng)一進行備份、管理,用戶的數(shù)據(jù)更加安全、有保障.6）、方便用戶使用各種資源.7）、sms（system management server）能夠分發(fā)應(yīng)用程序、系統(tǒng)補丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動安裝.并能集中管理系統(tǒng)補丁（如windows updates),不需每臺客戶端服務(wù)器都下載同樣的補丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。8)、資源共享用戶和管理員可以不知道他們所需要的對象的確切名稱,但是他們可能知道這個對象的一個或多個屬性，他們可以通過查找對象的部分屬性在域中

7、得到一個所有已知屬性相匹配的對象列表，通過域使得基于一個或者多個對象屬性來查找一個對象變得可能.9）、管理域控制器集中管理用戶對網(wǎng)絡(luò)的訪問，如登錄、驗證、訪問目錄和共享資源。為了簡化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上進行修改，這種更新可以復(fù)制到域中所有的其他域控制器上。域的實施通過提供對網(wǎng)絡(luò)上所有對象的單點管理進一步簡化了管理。因為域控制器提供了對網(wǎng)絡(luò)上所有資源的單點登錄，管理遠可以登錄到一臺計算機來管理網(wǎng)絡(luò)中任何計算機上的管理對象。在nt網(wǎng)絡(luò)中，當(dāng)用戶一次登陸一個域服務(wù)器后，就可以訪問該域中已經(jīng)開放的全部資源,而無需對同一域進行多次登陸.但在需要共享不同域中的服務(wù)時，

8、對每個域都必須要登陸一次，否則無法訪問未登陸域服務(wù)器中的資源或無法獲得未登陸域的服務(wù).10）、可擴展性在活動目錄中，目錄通過將目錄組織成幾個部分存儲信息從而允許存儲大量的對象.因此,目錄可以隨著組織的增長而一同擴展,允許用戶從一個具有幾百個對象的小的安裝環(huán)境發(fā)展成擁有幾百萬對象的大型安裝環(huán)境。11)、安全性域為用戶提供了單一的登錄過程來訪問網(wǎng)絡(luò)資源,如所有他們具有權(quán)限的文件、打印機和應(yīng)用程序資源。也就是說，用戶可以登錄到一臺計算機來使用網(wǎng)絡(luò)上另外一臺計算機上的資源，只要用戶具有對資源的合適權(quán)限。域通過對用戶權(quán)限合適的劃分，確定了只有對特定資源有合法權(quán)限的用戶才能使用該資源，從而保障了資源使用的

9、合法性和安全性。12)、可冗余性每個域控制器保存和維護目錄的一個副本.在域中，你創(chuàng)建的每一個用戶帳號都會對應(yīng)目錄的一個記錄.當(dāng)用戶登錄到域中的計算機時,域控制器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。當(dāng)存在多個域控制器時，他們會定期的相互復(fù)制目錄信息,域控制器間的數(shù)據(jù)復(fù)制，促使用戶信息發(fā)生改變時（比如用戶修改了口令）,可以迅速的復(fù)制到其他的域控制器上,這樣當(dāng)一臺域控制器出現(xiàn)故障時，用戶仍然可以通過其他的域控制進行登錄，保障了網(wǎng)絡(luò)的順利運行。3、active directory(ad）活動目錄的功能活動目錄(active directory）主要提供以下功能：1）、基礎(chǔ)網(wǎng)絡(luò)服務(wù):包括dn

10、s、wins、dhcp、證書服務(wù)等。2）、服務(wù)器及客戶端計算機管理:管理服務(wù)器及客戶端計算機賬戶，所有服務(wù)器及客戶端計算機加入域管理并實施組策略。3）、用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認證、用戶授權(quán)管理等，按地市實施組管理策略。4）、資源管理：管理打印機、文件共享服務(wù)等網(wǎng)絡(luò)資源。5）、桌面配置：系統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。6）、應(yīng)用系統(tǒng)支撐：支持財務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動化、補丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。二、 ad域控（dc）基

11、本操作1、登陸ad域控登陸到本地市的域控服務(wù)器，依次點擊“開始-管理工具-active directory 用戶和計算機”,如下圖:圖21進入如下管理界面：圖2-2以樂山市公司為例：在樂山的只讀域控服務(wù)器上可以看到個省公司下各地市的節(jié)點:但是只能對自己公司的節(jié)點進行維護：圖2-32、新建組織單位（ou)ou（organizational unit，組織單位)是可以將用戶、組、計算機和其它組織單位放入其中的ad容器，是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單元。通俗一點說，如果把ad比作一個公司的話，那么每個ou就是一個相對獨立的部門。圖1-3中以圖標(biāo)開頭的均表示組織單位,若需要添加組織

12、單位時，在需要添加的組織單位的上級節(jié)點依次點擊點擊“右鍵-新建組織單位”，如下圖:圖2-4填寫組織單位名稱-點擊確定圖2-4既可在選中的組織單位節(jié)點下新增組織單位.注：刪除組織單位時，要在查看中勾選高級功能圖2-5然后選中的組織單位屬性對象中將“防止對象被意外刪除前的勾去掉，才能刪除。圖2-63、新建用戶圖21 右側(cè)窗口中以圖標(biāo)開頭的就是用戶.與新建組織單位相似。對自己有權(quán)操作維護的組織單位點擊“右鍵-新建-用戶，填寫用戶基本信息，點擊下一步。圖2-7填寫初始密碼，點擊下一步圖2-8點擊完成圖29既可在選中的組織單位節(jié)點下新增用戶圖2104、調(diào)整用戶右鍵點擊用戶-屬性圖211進入用戶信息修改：

13、圖212其中常規(guī)中電話號碼必填圖213電話選項卡中移動電話必填圖214單位選項卡中所有信息必填圖215注：直接下屬不需要維護這幾個選項卡是常用，并且需要注意的.5、調(diào)整計算機當(dāng)用戶利用自己的帳號加入域后，在ad管理工具中就能看到登入域的計算機右鍵點擊計算機可對其進行管理圖2-16三、 ad域控常用命令ad域控管理命令可以用命令行的方式,依次點擊“開始-運行cmd”，打開命令行工具.ad域控常用命令有很多，下面列舉一些比較常見的例子：1、創(chuàng)建組織單位：(dsadd)命令格式:dsaddououdn -desc描述 -s 服務(wù)器-d 域 u 用戶名 p 密碼* -q uc-uoc|-uci注意：o

14、u名稱應(yīng)為要創(chuàng)建的ou的ldap絕對路徑（dn,distinguished name)，如果dn中包含空格,應(yīng)該在路徑兩端使用雙引號。例如要在yjx。com域中建立一個名為finance的ou,可以執(zhí)行以下命令：c:dsaddouou=finance，dc=yjx，dc=com desc ”財務(wù)部”2、創(chuàng)建域用戶帳戶(dsadd）命令格式：dsadd user -samid -pwd password| upn upn例如要在域中建立一個名為mike的用戶帳戶，該用戶將位于sales ou中，其顯示名稱為“mike yang,則可以執(zhí)行以下命令：c:dsadd user cn=mike，ou=

15、sales,dc=yjx，dc=com samid mike -pwd benet3.0 -display “mike yang”3、創(chuàng)建計算機帳戶(dsadd)命令格式：dsadd computer dsadd computer cn=client-3，ou=sales，dc=yjx,dc=com desc測試工作站4、創(chuàng)建聯(lián)系人(dsadd)命令格式：dsadd contact contactdn -fn -mi initial lnlastname -display -descdescription要在域中的sales ou中建立一個名為楊建新的聯(lián)系人，執(zhí)行以下命令：c:dsadd co

16、ntact cn=楊建新，ou=sales,dc=yjx，dc=com fnjianxin -ln yang -display 楊建新5、修改活動目錄對象（dsmod）用于修改ad對象的屬性，可以對ou、用戶、組、聯(lián)系人等對象進行修改。c：dsmod user /?描述： 修改目錄中現(xiàn)有的用戶.語法： dsmod user upnupn fnfirstname -mi -lnlastname display displayname -fnp -lnplast name phonetic -displaypdisplay name phonetic empidemployeeid -pwd |

17、-descdescription -office -email email hometelhomephone -pager pager# -mobile cellphone -fax fax iptel webpgwebpage -title -company company mgr hmdirhomedirhmdrv： profile loscr -mustchpwd yes no canchpwd yes | no -reversiblepwd yes | no -pwdneverexpires yes no -acctexpires -disabled yes | no -s -d u

18、username -p password * -c q uc -uco | uci幾個具體用法如下:重置用戶帳戶的密碼dsmod user userdn -pwd新密碼 -mustchpwd yes | no 下次登錄時修改此密碼啟用或禁用賬戶dsmod user userdn可分辨名稱 disabled yesno yes 禁用 no 啟用修改計算機帳戶屬性的格式為：dsmod computer computerdn 。-desc description loc location disabled yes no reset -s server d domain -u username p p

19、assword | * c q uc uco | uci重設(shè)計算機帳戶dsmod computer computerdn -reset啟用或禁用計算機帳戶dsmod computer computerdn可分辨名稱 -disabled yesno yes 禁止登錄 no 允許登錄將計算機帳戶添加到組中dsmod group groupdn addmbrcomputerdn要創(chuàng)建一個sales全局組，并將用戶mike加入到該組中，可以執(zhí)行以下命令：c:dsadd group cn=sales,ou=sales，dc=yjx，dc=com desc銷售部dsadd成功：cn=sales，ou=sa

20、les,dc=yjx，dc=comc：dsmod group cn=sales，ou=sales,dc=yjx，dc=com addmbrcn=mike，ou=sales,dc=yjx，dc=comdsmod成功:cn=sales，ou=sales,dc=yjx，dc=com6、其他命令（dsquery、dsmove、dsrm）其他的活動目錄操作命令還包括dsquery、dsmove、dsrm等，分別用于活動目錄對象的查詢、移動和刪除。要查找sales ou中的所有用戶，可以執(zhí)行以下命令：c：dsquery user ou=sales，dc=yjx，dc=com name *cn=mike，o

21、u=sales,dc=yjx,dc=com”cn=user1,ou=sales，dc=yjx,dc=com”cn=user2,ou=sales，dc=yjx，dc=com要查找sales ou中已經(jīng)3個星期不活動的用戶，可以執(zhí)行以下命令:c：dsquery user ou=sales，dc=yjx,dc=com inactive 3要將mike用戶移動到finance ou中,可以執(zhí)行以下命令：c：dsmove cn=mike,ou=sales,dc=yjx，dc=com -newparentou=finance，dc=yjx,dc=comdsmove成功：cn=mike，ou=sales,d

22、c=yjx,dc=com要刪除sales ou中的用戶user1，可以執(zhí)行以下命令：c:dsrm cn=user1，ou=sales,dc=yjx，dc=com您確認要刪除cn=user1，ou=sales，dc=yjx,dc=com 嗎（y/n）？ ydsrm成功:cn=user1,ou=sales，dc=yjx，dc=com四、 組策略管理1、打開組策略管理器依次點擊“開始-管理工具點擊進入組策略管理,進入組策略管理器。如下圖：圖4- 1圖4 22、受信任的根證書辦法機構(gòu)組策略設(shè)置1、 啟動組策略管理:開始-管理工具-組策略管理圖4-32、 選擇擁有管理權(quán)限并需進行組策略設(shè)置的ou，右鍵選擇創(chuàng)建組策略對象圖443、 輸入新建的gpo的名稱圖454、 選擇新建的gpo，右鍵編輯圖4-65、 在組策略管理編輯器中選擇計算機配置-策略-windows設(shè)置安全設(shè)置公鑰策略-受信任的根證書頒發(fā)機構(gòu)右鍵選擇導(dǎo)入圖476、 選擇需要導(dǎo)入的證書（可以利用證書管理進行導(dǎo)出）圖4-77、 選擇受信任的根證書頒發(fā)機構(gòu)圖4-88、 點擊完成，完成組策略設(shè)置圖493、ie安全及隱私組策略設(shè)置1