管理員操作手冊(cè)-AD域控及組策略管理51CTO下載

1、操作手冊(cè) 四川省煙草專賣局（公司）效能協(xié)同平臺(tái)管理員操作手冊(cè)AD域控及組策略管理版本號(hào) 1.0日期:2011年6月山東浪潮齊魯軟件產(chǎn)業(yè)股份有限公司文檔修訂記錄版本日期更改人描述0.12011-6-9孫正敏新建文檔0.22011-6-17李浩完善文檔1.02011-6-21孫正敏完善文檔目錄一、Active Directory(AD)活動(dòng)目錄簡(jiǎn)介41、工作組與域的區(qū)別42、公司采用域管理的好處43、Active Directory(AD)活動(dòng)目錄的功能6二、AD域控（DC）基本操作61、登陸AD域控62、新建組織單位（OU）83、新建用戶104、調(diào)整用戶115、調(diào)整計(jì)算機(jī)14三、AD域控常用命令

2、151、創(chuàng)建組織單位：(dsadd)152、創(chuàng)建域用戶帳戶(dsadd)153、創(chuàng)建計(jì)算機(jī)帳戶(dsadd)154、創(chuàng)建聯(lián)系人(dsadd)165、修改活動(dòng)目錄對(duì)象（dsmod）166、其他命令（dsquery、dsmove、dsrm）17四、組策略管理191、打開組策略管理器192、受信任的根證書辦法機(jī)構(gòu)組策略設(shè)置203、IE安全及隱私組策略設(shè)置254、注冊(cè)表項(xiàng)推送30五、設(shè)置DNS轉(zhuǎn)發(fā)33 一、 Active Directory(AD)活動(dòng)目錄簡(jiǎn)介1、工作組與域的區(qū)別域管理與工作組管理的主要區(qū)別在于：1）、工作組網(wǎng)實(shí)現(xiàn)的是分散的管理模式，每一臺(tái)計(jì)算機(jī)都是獨(dú)自自主的，用戶賬戶和權(quán)限信息保存在

3、本機(jī)中，同時(shí)借助工作組來共享信息，共享信息的權(quán)限設(shè)置由每臺(tái)計(jì)算機(jī)控制。在網(wǎng)上鄰居中能夠看到的工作組機(jī)的列表叫瀏覽列表是通過廣播查詢?yōu)g覽主控服務(wù)器，由瀏覽主控服務(wù)器提供的。而域網(wǎng)實(shí)現(xiàn)的是主/從管理模式，通過一臺(tái)域控制器來集中管理域內(nèi)用戶帳號(hào)和權(quán)限，帳號(hào)信息保存在域控制器內(nèi)，共享信息分散在每臺(tái)計(jì)算機(jī)中，但是訪問權(quán)限由控制器統(tǒng)一管理。這就是兩者最大的不同。2）、在“域”模式下，資源的訪問有較嚴(yán)格的管理,至少有一臺(tái)服務(wù)器負(fù)責(zé)每一臺(tái)聯(lián)入網(wǎng)絡(luò)的電腦和用戶的驗(yàn)證工作，相當(dāng)于一個(gè)單位的門衛(wèi)一樣，稱為“域控制器（Domain Controller，簡(jiǎn)寫為DC）”。3）、域控制器中包含了由這個(gè)域的賬戶、密碼、屬于

4、這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫。當(dāng)電腦聯(lián)入網(wǎng)絡(luò)時(shí)，域控制器首先要鑒別這臺(tái)電腦是否是屬于這個(gè)域的，用戶使用的登錄賬號(hào)是否存在、密碼是否正確。如果以上信息有一樣不正確，那么域控制器就會(huì)拒絕這個(gè)用戶從這臺(tái)電腦登錄。不能登錄，用戶就不能訪問服務(wù)器上有權(quán)限保護(hù)的資源，他只能以對(duì)等網(wǎng)用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護(hù)了網(wǎng)絡(luò)上的資源。而工作組只是進(jìn)行本地電腦的信息與安全的認(rèn)證。2、公司采用域管理的好處1）、方便管理,權(quán)限管理比較集中，管理人員可以較好的管理計(jì)算機(jī)資源。2）、安全性高，有利于企業(yè)的一些保密資料的管理，比如一個(gè)文件只能讓某一個(gè)人看,或者指定人員可以看,但不可以刪

5、/改/移等。3）、方便對(duì)用戶操作進(jìn)行權(quán)限設(shè)置，可以分發(fā)，指派軟件等,實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的軟件一起安裝。4）、很多服務(wù)必須建立在域環(huán)境中，對(duì)管理員來說有好處:統(tǒng)一管理,方便在MS 軟件方面集成,如ISA EXCHANGE(郵件服務(wù)器)、ISA SERVER(上網(wǎng)的各種設(shè)置與管理)等。5）、使用漫游賬戶和文件夾重定向技術(shù)，個(gè)人賬戶的工作文件及數(shù)據(jù)等可以存儲(chǔ)在服務(wù)器上，統(tǒng)一進(jìn)行備份、管理，用戶的數(shù)據(jù)更加安全、有保障。6）、方便用戶使用各種資源。7）、SMS（System Management Server）能夠分發(fā)應(yīng)用程序、系統(tǒng)補(bǔ)丁等，用戶可以選擇安裝，也可以由系統(tǒng)管理員指派自動(dòng)安裝。并能集中管理系統(tǒng)補(bǔ)?。?/p>

6、如Windows Updates），不需每臺(tái)客戶端服務(wù)器都下載同樣的補(bǔ)丁，從而節(jié)省大量網(wǎng)絡(luò)帶寬。8）、資源共享用戶和管理員可以不知道他們所需要的對(duì)象的確切名稱，但是他們可能知道這個(gè)對(duì)象的一個(gè)或多個(gè)屬性，他們可以通過查找對(duì)象的部分屬性在域中得到一個(gè)所有已知屬性相匹配的對(duì)象列表，通過域使得基于一個(gè)或者多個(gè)對(duì)象屬性來查找一個(gè)對(duì)象變得可能。9）、管理域控制器集中管理用戶對(duì)網(wǎng)絡(luò)的訪問，如登錄、驗(yàn)證、訪問目錄和共享資源。為了簡(jiǎn)化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上進(jìn)行修改，這種更新可以復(fù)制到域中所有的其他域控制器上。域的實(shí)施通過提供對(duì)網(wǎng)絡(luò)上所有對(duì)象的單點(diǎn)管理進(jìn)一步簡(jiǎn)化了管理。因?yàn)橛蚩?/p>

7、制器提供了對(duì)網(wǎng)絡(luò)上所有資源的單點(diǎn)登錄，管理遠(yuǎn)可以登錄到一臺(tái)計(jì)算機(jī)來管理網(wǎng)絡(luò)中任何計(jì)算機(jī)上的管理對(duì)象。在NT網(wǎng)絡(luò)中，當(dāng)用戶一次登陸一個(gè)域服務(wù)器后，就可以訪問該域中已經(jīng)開放的全部資源，而無需對(duì)同一域進(jìn)行多次登陸。但在需要共享不同域中的服務(wù)時(shí)，對(duì)每個(gè)域都必須要登陸一次，否則無法訪問未登陸域服務(wù)器中的資源或無法獲得未登陸域的服務(wù)。10）、可擴(kuò)展性 在活動(dòng)目錄中，目錄通過將目錄組織成幾個(gè)部分存儲(chǔ)信息從而允許存儲(chǔ)大量的對(duì)象。因此，目錄可以隨著組織的增長而一同擴(kuò)展，允許用戶從一個(gè)具有幾百個(gè)對(duì)象的小的安裝環(huán)境發(fā)展成擁有幾百萬對(duì)象的大型安裝環(huán)境。11）、安全性 域?yàn)橛脩籼峁┝藛我坏牡卿涍^程來訪問網(wǎng)絡(luò)資源，如所有

8、他們具有權(quán)限的文件、打印機(jī)和應(yīng)用程序資源。也就是說，用戶可以登錄到一臺(tái)計(jì)算機(jī)來使用網(wǎng)絡(luò)上另外一臺(tái)計(jì)算機(jī)上的資源，只要用戶具有對(duì)資源的合適權(quán)限。域通過對(duì)用戶權(quán)限合適的劃分，確定了只有對(duì)特定資源有合法權(quán)限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。 12）、可冗余性每個(gè)域控制器保存和維護(hù)目錄的一個(gè)副本。在域中，你創(chuàng)建的每一個(gè)用戶帳號(hào)都會(huì)對(duì)應(yīng)目錄的一個(gè)記錄。當(dāng)用戶登錄到域中的計(jì)算機(jī)時(shí)，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗(yàn)證用戶。當(dāng)存在多個(gè)域控制器時(shí)，他們會(huì)定期的相互復(fù)制目錄信息，域控制器間的數(shù)據(jù)復(fù)制，促使用戶信息發(fā)生改變時(shí)（比如用戶修改了口令），可以迅速的復(fù)制到其他的域控制

9、器上，這樣當(dāng)一臺(tái)域控制器出現(xiàn)故障時(shí)，用戶仍然可以通過其他的域控制進(jìn)行登錄，保障了網(wǎng)絡(luò)的順利運(yùn)行。3、Active Directory(AD)活動(dòng)目錄的功能活動(dòng)目錄(Active Directory)主要提供以下功能：1）、基礎(chǔ)網(wǎng)絡(luò)服務(wù)：包括DNS、WINS、DHCP、證書服務(wù)等。2）、服務(wù)器及客戶端計(jì)算機(jī)管理：管理服務(wù)器及客戶端計(jì)算機(jī)賬戶，所有服務(wù)器及客戶端計(jì)算機(jī)加入域管理并實(shí)施組策略。3）、用戶服務(wù)：管理用戶域賬戶、用戶信息、企業(yè)通訊錄（與電子郵件系統(tǒng)集成）、用戶組管理、用戶身份認(rèn)證、用戶授權(quán)管理等，按地市實(shí)施組管理策略。4）、資源管理：管理打印機(jī)、文件共享服務(wù)等網(wǎng)絡(luò)資源。5）、桌面配置：系

10、統(tǒng)管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應(yīng)用程序執(zhí)行特征限制、網(wǎng)絡(luò)連接限制、安全配置限制等。6）、應(yīng)用系統(tǒng)支撐：支持財(cái)務(wù)、人事、電子郵件、企業(yè)信息門戶、辦公自動(dòng)化、補(bǔ)丁管理、防病毒系統(tǒng)等各種應(yīng)用系統(tǒng)。二、 AD域控（DC）基本操作1、登陸AD域控登陸到本地市的域控服務(wù)器，依次點(diǎn)擊“開始-管理工具-Active Directory 用戶和計(jì)算機(jī)”，如下圖：圖2-1進(jìn)入如下管理界面：圖2-2以樂山市公司為例：在樂山的只讀域控服務(wù)器上可以看到個(gè)省公司下各地市的節(jié)點(diǎn)：但是只能對(duì)自己公司的節(jié)點(diǎn)進(jìn)行維護(hù)：圖2-32、新建組織單位（OU）OU(Organizational Unit，組織

11、單位)是可以將用戶、組、計(jì)算機(jī)和其它組織單位放入其中的AD容器，是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用域或單元。通俗一點(diǎn)說，如果把AD比作一個(gè)公司的話，那么每個(gè)OU就是一個(gè)相對(duì)獨(dú)立的部門。 圖1-3 中以圖標(biāo)開頭的均表示組織單位，若需要添加組織單位時(shí)，在需要添加的組織單位的上級(jí)節(jié)點(diǎn)依次點(diǎn)擊點(diǎn)擊 “右鍵-新建-組織單位”，如下圖：圖2-4填寫組織單位名稱-點(diǎn)擊 確定圖2-4既可在選中的組織單位節(jié)點(diǎn)下新增組織單位。注：刪除組織單位時(shí)，要在查看中勾選 高級(jí)功能圖2-5然后選中的組織單位 屬性-對(duì)象中將“防止對(duì)象被意外刪除”前的勾去掉，才能刪除。圖2-63、新建用戶圖2-1 右側(cè)窗口中以圖標(biāo)開頭

12、的就是用戶。與新建組織單位相似。對(duì)自己有權(quán)操作維護(hù)的組織單位點(diǎn)擊 “右鍵-新建-用戶”，填寫用戶基本信息，點(diǎn)擊 下一步。圖2-7填寫初始密碼，點(diǎn)擊 下一步圖2-8點(diǎn)擊 完成圖2-9既可在選中的組織單位節(jié)點(diǎn)下新增用戶圖2-104、調(diào)整用戶右鍵點(diǎn)擊用戶-屬性圖2-11進(jìn)入用戶信息修改：圖2-12其中 常規(guī) 中電話號(hào)碼必填圖2-13電話選項(xiàng)卡中 移動(dòng)電話必填圖2-14單位 選項(xiàng)卡中 所有信息必填圖2-15注：直接下屬 不需要維護(hù)這幾個(gè)選項(xiàng)卡是常用，并且需要注意的。5、調(diào)整計(jì)算機(jī)當(dāng)用戶利用自己的帳號(hào)加入域后，在AD管理工具中就能看到登入域的計(jì)算機(jī)右鍵點(diǎn)擊計(jì)算機(jī)可對(duì)其進(jìn)行管理圖2-16三、 AD域控常用

13、命令A(yù)D域控管理命令可以用命令行的方式，依次點(diǎn)擊“開始-運(yùn)行-cmd”，打開命令行工具。AD域控常用命令有很多，下面列舉一些比較常見的例子：1、創(chuàng)建組織單位：(dsadd)命令格式：dsadd ou <OUDN> -desc 描述 -s 服務(wù)器|-d 域 -u 用戶名 -p 密碼|* -q -uc|-uoc|-uci注意：OU名稱應(yīng)為要?jiǎng)?chuàng)建的OU的LDAP絕對(duì)路徑（DN，Distinguished Name），如果DN中包含空格，應(yīng)該在路徑兩端使用雙引號(hào)。例如要在域中建立一個(gè)名為finance的OU，可以執(zhí)行以下命令：C:>dsadd ou ou=finance,dc=yjx

14、,dc=com -desc "財(cái)務(wù)部"2、創(chuàng)建域用戶帳戶(dsadd)命令格式：dsadd user <UserDN> -samid <SAMName> -pwd <Password>|* upn UPN例如要在域中建立一個(gè)名為mike的用戶帳戶，該用戶將位于sales OU中，其顯示名稱為“mike yang”，則可以執(zhí)行以下命令：C:>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”3、創(chuàng)建計(jì)算機(jī)帳戶(

15、dsadd)命令格式：dsadd computer <ComputerDN>要在域中的sales OU中建立一個(gè)名為client-2的計(jì)算機(jī)帳戶，可以執(zhí)行以下命令：C:>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一個(gè)名為client-3的計(jì)算機(jī)帳戶，并設(shè)置計(jì)算機(jī)賬戶的描述信息為“測(cè)試工作站”，可以執(zhí)行以下命令：C:>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 測(cè)試工作站4、創(chuàng)建聯(lián)系人(dsadd)命令格式：dsadd

16、 contact <ContactDN> -fn <FirstName> -mi <Initial> -ln <LastName> -display <DisplayName> -desc <Description>要在域中的sales OU中建立一個(gè)名為楊建新的聯(lián)系人，執(zhí)行以下命令：C:>dsadd contact cn=楊建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 楊建新 5、修改活動(dòng)目錄對(duì)象（dsmod）用于修改AD對(duì)象的屬性，可以對(duì)OU、用戶

17、、組、聯(lián)系人等對(duì)象進(jìn)行修改。C:>dsmod user /?描述: 修改目錄中現(xiàn)有的用戶。語法: dsmod user <UserDN .> -upn <UPN> -fn <FirstName> -mi <Initial> -ln <LastName> -display <DisplayName> -fnp <first name phonetic> -lnp <last name phonetic> -displayp <display name phonetic> -empid

18、 <EmployeeID> -pwd <Password> | * -desc <Description> -office <Office> -tel <Phone#> -email <Email> -hometel <HomePhone#> -pager <Pager#> -mobile <CellPhone#> -fax <Fax#> -iptel <IPPhone#> -webpg <WebPage> -title <Title> -

19、dept <Department> -company <Company> -mgr <Manager> -hmdir <HomeDir> -hmdrv <DriveLtr>: -profile <ProfilePath> -loscr <ScriptPath> -mustchpwd yes | no -canchpwd yes | no -reversiblepwd yes | no -pwdneverexpires yes | no -acctexpires <NumDays> -disabled

20、 yes | no -s <Server> | -d <Domain> -u <UserName> -p <Password> | * -c -q -uc | -uco | -uci幾個(gè)具體用法如下：重置用戶帳戶的密碼dsmod user UserDN -pwd 新密碼 -mustchpwd yes | no 下次登錄時(shí)修改此密碼啟用或禁用賬戶dsmod user UserDN 可分辨名稱 -disabled yes|no yes 禁用 no 啟用修改計(jì)算機(jī)帳戶屬性的格式為：dsmod computer ComputerDN .-desc Des

21、cription -loc Location -disabled yes | no -reset -s Server | -d Domain -u UserName -p Password | * -c -q -uc | -uco | -uci重設(shè)計(jì)算機(jī)帳戶dsmod computer ComputerDN -reset啟用或禁用計(jì)算機(jī)帳戶dsmod computer ComputerDN 可分辨名稱 -disabled yes|no yes 禁止登錄 no 允許登錄將計(jì)算機(jī)帳戶添加到組中dsmod group GroupDN -addmbr ComputerDN要?jiǎng)?chuàng)建一個(gè)sales全局組，并

22、將用戶mike加入到該組中，可以執(zhí)行以下命令：C:>dsadd group cn=sales,ou=sales,dc=yjx,dc=com -desc 銷售部dsadd 成功:cn=sales,ou=sales,dc=yjx,dc=comC:>dsmod group cn=sales,ou=sales,dc=yjx,dc=com -addmbr cn=mike,ou=sales,dc=yjx,dc=comdsmod 成功:cn=sales,ou=sales,dc=yjx,dc=com6、其他命令（dsquery、dsmove、dsrm）其他的活動(dòng)目錄操作命令還包括dsquery、d

23、smove、dsrm等，分別用于活動(dòng)目錄對(duì)象的查詢、移動(dòng)和刪除。要查找sales OU中的所有用戶，可以執(zhí)行以下命令：C:>dsquery user ou=sales,dc=yjx,dc=com -name *"CN=mike,OU=sales,DC=yjx,DC=com""CN=user1,OU=sales,DC=yjx,DC=com""CN=user2,OU=sales,DC=yjx,DC=com"要查找sales OU中已經(jīng)3個(gè)星期不活動(dòng)的用戶，可以執(zhí)行以下命令：C:>dsquery user ou=sales,dc

24、=yjx,dc=com -inactive 3要將mike用戶移動(dòng)到finance OU中，可以執(zhí)行以下命令：C:>dsmove cn=mike,ou=sales,dc=yjx,dc=com -newparent ou=finance,dc=yjx,dc=comdsmove 成功:cn=mike,ou=sales,dc=yjx,dc=com要?jiǎng)h除sales OU中的用戶user1，可以執(zhí)行以下命令：C:>dsrm cn=user1,ou=sales,dc=yjx,dc=com您確認(rèn)要?jiǎng)h除 cn=user1,ou=sales,dc=yjx,dc=com 嗎(Y/N)? ydsrm 成

25、功:cn=user1,ou=sales,dc=yjx,dc=com四、 組策略管理1、打開組策略管理器依次點(diǎn)擊“開始-管理工具-點(diǎn)擊進(jìn)入 組策略管理”，進(jìn)入組策略管理器。如下圖： 圖4- 1 圖4- 22、受信任的根證書辦法機(jī)構(gòu)組策略設(shè)置1、 啟動(dòng)組策略管理：開始-管理工具-組策略管理 圖4-32、 選擇擁有管理權(quán)限并需進(jìn)行組策略設(shè)置的ou，右鍵選擇創(chuàng)建組策略對(duì)象 圖4-43、 輸入新建的GPO的名稱 圖4-54、 選擇新建的GPO，右鍵編輯圖4-65、 在組策略管理編輯器中 選擇 計(jì)算機(jī)配置-策略-windows設(shè)置-安全設(shè)置-公鑰策略-受信任的根證書頒發(fā)機(jī)構(gòu) 右鍵選擇導(dǎo)入圖4-76、 選擇需要導(dǎo)入的證書（可以利用證書管理進(jìn)行導(dǎo)出）圖4-77、 選擇受信任的根