管理活動目錄域服務對象

1、模塊3管理活動目錄域效力對象模塊概述管理用戶賬戶管理組賬戶管理計算機賬戶授權管理Lesson 1: 管理用戶賬戶ADDS管理工具創(chuàng)建用戶賬戶配置用戶賬戶屬性創(chuàng)建用戶配置文件例如: 管理用戶賬戶ADDS管理工具管理AD DS對象,您可以運用下面的圖形工具:您也可以運用下面的命令行工具:活動目錄嵌入式管理活動目錄管理中心活動目錄模塊Windows PowerShell目錄效力命令創(chuàng)建用戶賬戶配置用戶屬性創(chuàng)建用戶配置文件例如: 管理用戶賬戶在這個例如中，他將看到:翻開活動目錄行政中心刪除一個用戶帳戶創(chuàng)建一個新的用戶帳戶挪動用戶帳戶Lesson 2: 管理組賬戶組類型集團范圍實現(xiàn)組管理默許組特殊身份演

2、示:管理組組的類型分布組只做郵件通訊沒有平安標識(SID),不能劃分權限平安組平安主要與SID;可以被賦予權限也可以電子郵件啟用組范圍U 用戶C計算機GG全局組DLG域本地組UG通用組組的范圍成員來自同一域從域在同一片森林里成員從外部域成員信任可以對資源分配的權限本地組U, C,GG, DLG, UGand local usersU, C,GG, UGU, C,GGOn the local computer only域本地組U, C,GG, DLG, UGU, C,GG, UGU, C,GGAnywhere in the domain通用組U, C,GG, UGU, C,GG, UGN/AAn

3、ywhere in the forest全局組U, C,GGN/AN/AAnywhere in the domain or a trusted domain實施組管理ACL_Sales_Read(Domain Local Group)域本地組提供管理，比如資源訪問DLwhich are Sales(Global Group)Auditors(Global Group)在一個多域森林，用IGUDLA指定資源訪問A身份用戶或計算機作為成員I全局組這搜集基于成員的角色成員作為成員G默許組仔細管理,提供默許組的管理權限,由于這些群體:通常有更廣泛的特權比是必要的對于大多數(shù)委托環(huán)境他們的成員通常都用維護

4、組位置Enterprise Admins用戶容器的森林根域Schema Admins用戶容器的森林根域Administrators 內置的容器的每個域Domain Admins 每個域用戶的容器Server Operators 內置的容器的每個域Account Operators內置的容器的每個域Backup Operators內置的容器的每個域Print Operators內置的容器的每個域特殊身份特殊身份:是團體的成員是由操作系統(tǒng)可以運用Windows效力器操作系統(tǒng)來提供對資源的訪問:基于類型的身份驗證或銜接不是基于用戶帳戶重要的特殊身份包括:Anonymous LogonAuthenti

5、cated UsersEveryoneInteractiveNetwork例如: 管理組在這個例如中，他將看到:創(chuàng)建一個新的組在組中添加成員添加用戶到組修正組的類型和范圍修正組屬性Lesson 3: 管理計算機賬戶計算機容器是什么?指定位置的計算機帳戶控制權限創(chuàng)建計算機帳戶計算機帳戶和平安通道重置平安通道計算機容器是什么?指定位置的計算機帳戶最正確實際是創(chuàng)建計算機對象的OU效力器通常的效力器角色計算機客戶通常按地域劃分典型OU:運用管理方便的配置和組戰(zhàn)略控制權限創(chuàng)建計算機帳戶計算機帳戶和平安通道計算機帳戶sAM賬戶名和密碼用于創(chuàng)建一個平安通道之間的電腦和域控制器一條平安通道是可以突破的重新安裝

6、一臺電腦,即使有一樣的稱號,會生成一個新的SID和密碼恢復一個計算機從一個舊備份,或回滾電腦一個古老的快照計算機和域贊同密碼重置平安通道不要刪除計算機或者重新參與域這個過程會創(chuàng)建一個新的帳戶,導致新的SID和失去的組成員選擇重置平安通道:Active Directory 用戶和計算機DSMod.exeNetDom.exeNLTest.exeWindows PowerShellLesson 4: 授權管理ADDS權限起作用 ADDS 權限例如: 委派管理權限ADDS 權限有效地ADDS權限權限分配給用戶和組累加最正確實際是分配權限組,而不是個人用戶在發(fā)生沖突:評價有效權限,您可以運用:回絕權限覆

7、蓋允許權限顯式權限覆蓋承繼權限顯式允許重寫承繼了否認有效的權限標簽手動分析例如: 委派管理控制在這個例如中,他將看到:代表一個規(guī)范的義務代表一個自定義的義務視圖AD DS權限Lab: 管理AD DS對象Exercise 1:授權管理一個分公司Exercise 2:創(chuàng)建和配置用戶帳戶在AD DSExercise 3:管理計算機對象在AD DS登錄信息虛擬機20410B-LON-DC120410B-LON-CL1用戶名AdatumAdministrator密碼 Pa$w0rdEstimated Time: 60 minutes實驗場景A. Datum公司是一個全球工程和制造業(yè)公司,總部設在英國倫敦。一個IT辦公室和數(shù)據(jù)中心位于倫敦支持倫敦辦公室和其他地方。一個?；鶞首罱渴鹨粋€Windows Server 2021的根底設備與Windows 8的客戶。他曾經任務了A. Datum作為桌面支持專家,先后訪問了桌面電腦來處理運用程序和網絡問題。他最近接受提升到效力器支持團隊。他的第一個義務是配置根底設備效力,一個新的辦事處。開場部署新分公司的辦公室,他預備AD DS對象。這個預備的一部分,您需求創(chuàng)建一個OU的分支機構和委托權限來管理它。然后他需求創(chuàng)建用戶和組的新的辦事處。最后,他需求重置平安通道為計算機帳戶,曾經失去了銜接到域的分支機構。實驗回想有哪些選項修正屬性的新的和