Windows Server 2022活動(dòng)目錄管理實(shí)踐( 第2版 微課版)-課件全套 郝昆 項(xiàng)目1-27 了解活動(dòng)目錄- 活動(dòng)目錄的備份與還原

項(xiàng)目1了解活動(dòng)目錄活動(dòng)目錄概念活動(dòng)目錄結(jié)構(gòu)活動(dòng)目錄功能目錄活動(dòng)目錄概念活動(dòng)目錄概念活動(dòng)目錄（ActiveDirectory，AD）是一種集中式目錄管理服務(wù)，內(nèi)置于WindowsServer產(chǎn)品中，可以通過(guò)多種方式進(jìn)行安裝和配置，用于集中管理企業(yè)內(nèi)Windows操作系統(tǒng)中的各類資源，如用戶、計(jì)算機(jī)、打印機(jī)、應(yīng)用程序等，并且提供了用戶身份認(rèn)證和授權(quán)等功能，是Windows操作系統(tǒng)不可或缺的一部分。活動(dòng)目錄結(jié)構(gòu)與功能活動(dòng)目錄結(jié)構(gòu)與功能活動(dòng)目錄（ActiveDirectory，簡(jiǎn)稱AD）的結(jié)構(gòu)可以分為邏輯結(jié)構(gòu)物理結(jié)構(gòu)這兩部分分別包含不同的對(duì)象，并服務(wù)于不同的管理需求?；顒?dòng)目錄結(jié)構(gòu)與功能1、邏輯結(jié)構(gòu)（1）域（Domain）：域是Windows2000及更高版本目錄服務(wù)的基本管理單位，是活動(dòng)目錄的核心單元，是賬戶和網(wǎng)絡(luò)資源的集合。其最大好處在于其單一網(wǎng)絡(luò)登錄能力，即用戶只需在域中有一個(gè)賬戶，就可以漫游整個(gè)網(wǎng)絡(luò)，訪問(wèn)域內(nèi)的資源。此外，域還是安全的邊界，缺省情況下，一個(gè)域的管理員只能管理他自己的域，若需管理其他域，則需專門授權(quán)。域活動(dòng)目錄結(jié)構(gòu)與功能1、邏輯結(jié)構(gòu)（2）組織單元（OrganizationalUnits,OU）：OU是域下面的容器對(duì)象，用于組織對(duì)活動(dòng)目錄對(duì)象的管理，是Windows2000及更高版本中最小的管理單元。OU可用來(lái)匹配一個(gè)企業(yè)的實(shí)際組織結(jié)構(gòu)，域的管理員可以指定某個(gè)用戶去管理某個(gè)OU。OU也可以像域一樣做成樹狀的結(jié)構(gòu)，即OU下面還可以有OU。使用OU可取代WindowsNT4.0的多域網(wǎng)絡(luò)。

組織單元財(cái)務(wù)部銷售部……活動(dòng)目錄結(jié)構(gòu)與功能1、邏輯結(jié)構(gòu)（3）域樹（Tree）：一個(gè)域可以是其他域的子域或父域，多個(gè)域就構(gòu)成一棵“樹”，稱為域樹。如果創(chuàng)建的新域是已存在域的子域，那么多個(gè)域就有連續(xù)的DNS域名。域樹中的第一個(gè)域稱為根域（root）。域樹中的每個(gè)域共享相同的配置、對(duì)象和全局目錄，具有相同的DNS域名后綴，從而實(shí)現(xiàn)了連續(xù)的域名空間。域樹活動(dòng)目錄結(jié)構(gòu)與功能1、邏輯結(jié)構(gòu)（4）域林（Forest）：多個(gè)域樹構(gòu)成域林。域林中的域樹不形成連續(xù)的域名空間，每個(gè)域樹可以有獨(dú)立的DNS名稱。域林中的所有域樹共享一個(gè)普通架構(gòu)和全局目錄，但每個(gè)域樹可以有自己獨(dú)立的DNS名稱和配置。林活動(dòng)目錄結(jié)構(gòu)與功能2、物理結(jié)構(gòu)：（1）域控制器（DomainController,DC）：安裝了活動(dòng)目錄的計(jì)算機(jī)被稱為域控制器。域控制器負(fù)責(zé)存儲(chǔ)和管理域內(nèi)的所有目錄信息，并處理來(lái)自客戶端的認(rèn)證和授權(quán)請(qǐng)求。域控制器是活動(dòng)目錄物理結(jié)構(gòu)的核心，它確保了目錄信息的可用性和一致性。當(dāng)某個(gè)域控制器的活動(dòng)目錄數(shù)據(jù)庫(kù)修改以后，會(huì)將此修改復(fù)制到其他所有域控制器，以保持?jǐn)?shù)據(jù)的同步?；顒?dòng)目錄結(jié)構(gòu)與功能2、物理結(jié)構(gòu)：（2）站點(diǎn)（Site）：站點(diǎn)是由一個(gè)或多個(gè)高速連接的IP子網(wǎng)構(gòu)成的網(wǎng)絡(luò)區(qū)域。站點(diǎn)是網(wǎng)絡(luò)的物理結(jié)構(gòu)，站點(diǎn)和域沒有必然聯(lián)系。一個(gè)站點(diǎn)可以包含多個(gè)域，一個(gè)域也可以跨多個(gè)站點(diǎn)。創(chuàng)建站點(diǎn)的主要目的是為了優(yōu)化復(fù)制流量和使用戶能夠用可靠的高速線路連接到域控制器?；顒?dòng)目錄功能活動(dòng)目錄功能活動(dòng)目錄可以將網(wǎng)絡(luò)中的所有資源組織起來(lái)，形成一個(gè)層次化的目錄結(jié)構(gòu)，方便管理者對(duì)這些資源進(jìn)行分類和控制。此外，普通用戶也可以通過(guò)活動(dòng)目錄很容易地找到并使用網(wǎng)絡(luò)中的各種資源。除了基本的用戶管理和資源控制功能，活動(dòng)目錄還提供了其他重要的功能，具體如下：（1）集中管理：可以在一臺(tái)服務(wù)器上集中管理整個(gè)域內(nèi)的計(jì)算機(jī)、用戶等資源?；顒?dòng)目錄功能（2）安全性：提供用戶身份認(rèn)證和授權(quán)等安全功能，保護(hù)企業(yè)的信息安全。用戶身份認(rèn)證重要性：用戶身份認(rèn)證是活動(dòng)目錄的核心功能之一，通過(guò)驗(yàn)證用戶的身份信息，確保只有合法用戶可以訪問(wèn)網(wǎng)絡(luò)資源。授權(quán)機(jī)制作用：授權(quán)機(jī)制允許管理員對(duì)用戶進(jìn)行權(quán)限分配，控制其對(duì)特定資源的訪問(wèn)和操作權(quán)限，保障企業(yè)信息安全。身份認(rèn)證與授權(quán)的關(guān)聯(lián)性：身份認(rèn)證和授權(quán)緊密相關(guān)，身份認(rèn)證確認(rèn)用戶身份后，授權(quán)機(jī)制決定用戶可以訪問(wèn)的資源和操作權(quán)限?；顒?dòng)目錄功能（3）活動(dòng)目錄的可追溯性和擴(kuò)展性：活動(dòng)目錄可以追蹤整個(gè)域內(nèi)的使用情況，包括用戶的登錄、資源的使用等，同時(shí)還可以擴(kuò)展到多個(gè)域，實(shí)現(xiàn)多個(gè)域之間的資源共享。項(xiàng)目2基于虛擬化技術(shù)構(gòu)建活動(dòng)目錄

測(cè)試環(huán)境虛擬化技術(shù)SIDVMwareWorkstation虛擬機(jī)的克隆技術(shù)目錄虛擬化技術(shù)虛擬化技術(shù)的基本概念利用虛擬化技術(shù)，可以將一臺(tái)計(jì)算機(jī)虛擬為多臺(tái)邏輯計(jì)算機(jī)。在一臺(tái)計(jì)算機(jī)上同時(shí)運(yùn)行多個(gè)邏輯計(jì)算機(jī)，每個(gè)邏輯計(jì)算機(jī)都可以運(yùn)行不同的操作系統(tǒng)，并且應(yīng)用程序可以在相互獨(dú)立的空間內(nèi)運(yùn)行而互不影響，從而提高計(jì)算機(jī)的工作效率。在沒有虛擬化技術(shù)的情況下，一臺(tái)計(jì)算機(jī)只能運(yùn)行一個(gè)操作系統(tǒng)，雖然我們可以在一臺(tái)計(jì)算機(jī)上安裝多個(gè)操作系統(tǒng)，但是運(yùn)行的操作系統(tǒng)只有一個(gè)。利用虛擬化技術(shù)，我們可以在一臺(tái)計(jì)算機(jī)上創(chuàng)建多臺(tái)虛擬機(jī)，每臺(tái)虛擬機(jī)都運(yùn)行一個(gè)操作系統(tǒng)，每個(gè)操作系統(tǒng)上都可以有多個(gè)不同的應(yīng)用程序，并且這些虛擬機(jī)及各自的應(yīng)用程序之間互不干擾。虛擬化技術(shù)的基本概念虛擬機(jī)與物理機(jī)一樣，是運(yùn)行操作系統(tǒng)和應(yīng)用程序的計(jì)算機(jī)，只是虛擬機(jī)采用的硬件全部來(lái)自宿主計(jì)算機(jī)的虛擬硬件。因?yàn)槊颗_(tái)虛擬機(jī)都采用隔離的計(jì)算環(huán)境，所以虛擬機(jī)之間互不干擾。VMwareWorkstation是一款功能強(qiáng)大的桌面級(jí)虛擬化軟件，它可以在一臺(tái)計(jì)算機(jī)上模擬網(wǎng)絡(luò)和計(jì)算機(jī)環(huán)境，并且支持快照、克隆等虛擬機(jī)管理功能，成為企業(yè)的IT開發(fā)人員和系統(tǒng)管理員的重要工具。虛擬化技術(shù)的核心特點(diǎn)資源抽象虛擬化技術(shù)將物理資源（如硬件資源）抽象為虛擬資源，使得用戶可以像使用物理資源一樣使用虛擬資源。隔離性虛擬化技術(shù)確保每個(gè)虛擬機(jī)之間是相互隔離的，這意味著一個(gè)虛擬機(jī)的崩潰或故障不會(huì)影響其他虛擬機(jī)的正常運(yùn)行。靈活性虛擬化技術(shù)提供了靈活的資源配置和管理方式，使得用戶可以根據(jù)實(shí)際需求動(dòng)態(tài)調(diào)整虛擬機(jī)的配置和數(shù)量。高效性通過(guò)虛擬化技術(shù)，可以顯著提高計(jì)算機(jī)資源的利用率，減少資源浪費(fèi)，從而降低總體擁有成本（TCO）。虛擬化技術(shù)的分類虛擬化技術(shù)可以根據(jù)不同的應(yīng)用場(chǎng)景和資源類型進(jìn)行分類，常見的分類方式包括：1.服務(wù)器虛擬化：將服務(wù)器物理資源（如CPU、內(nèi)存等）抽象成邏輯資源，創(chuàng)建多個(gè)獨(dú)立的虛擬服務(wù)器。每個(gè)虛擬服務(wù)器都可以運(yùn)行自己的操作系統(tǒng)和應(yīng)用程序，實(shí)現(xiàn)資源的高效利用和靈活管理。虛擬化技術(shù)的分類虛擬化技術(shù)可以根據(jù)不同的應(yīng)用場(chǎng)景和資源類型進(jìn)行分類，常見的分類方式包括：2.存儲(chǔ)虛擬化：將存儲(chǔ)資源（如硬盤、磁帶等）整合為一個(gè)統(tǒng)一的存儲(chǔ)池，提供邏輯存儲(chǔ)接口給用戶。用戶通過(guò)邏輯接口進(jìn)行數(shù)據(jù)的讀寫操作，無(wú)需關(guān)心底層存儲(chǔ)設(shè)備的物理位置和狀態(tài)。虛擬化技術(shù)的分類虛擬化技術(shù)可以根據(jù)不同的應(yīng)用場(chǎng)景和資源類型進(jìn)行分類，常見的分類方式包括：3.網(wǎng)絡(luò)虛擬化：將網(wǎng)絡(luò)資源（如交換機(jī)、路由器等）進(jìn)行整合和抽象，創(chuàng)建一個(gè)或多個(gè)虛擬網(wǎng)絡(luò)。每個(gè)虛擬網(wǎng)絡(luò)都可以獨(dú)立配置和管理，實(shí)現(xiàn)網(wǎng)絡(luò)資源的靈活分配和使用。4.桌面虛擬化：將計(jì)算機(jī)的終端系統(tǒng)（也稱為桌面）進(jìn)行虛擬化，使用戶可以通過(guò)網(wǎng)絡(luò)訪問(wèn)自己的虛擬桌面環(huán)境。這種方式提高了桌面的安全性和靈活性，方便用戶隨時(shí)隨地訪問(wèn)自己的工作環(huán)境。虛擬化技術(shù)的應(yīng)用場(chǎng)景數(shù)據(jù)中心通過(guò)虛擬化技術(shù)提高資源利用率、降低管理成本和提高系統(tǒng)的靈活性。云計(jì)算虛擬化技術(shù)是云計(jì)算平臺(tái)的核心技術(shù)之一，通過(guò)虛擬化技術(shù)構(gòu)建計(jì)算資源池和存儲(chǔ)資源池，為用戶提供按需分配的計(jì)算和存儲(chǔ)服務(wù)。測(cè)試和開發(fā)環(huán)境虛擬化技術(shù)可以創(chuàng)建隔離的測(cè)試和開發(fā)環(huán)境，提高開發(fā)效率和測(cè)試質(zhì)量。桌面應(yīng)用桌面虛擬化技術(shù)可以為用戶提供靈活的工作方式，提高工作效率和安全性。SIDSID的概念SID（SecurityIdentifiers，安全標(biāo)識(shí)符），是標(biāo)識(shí)用戶、組和計(jì)算機(jī)賬戶的唯一標(biāo)識(shí)符。在第一次創(chuàng)建賬戶時(shí)，操作系統(tǒng)會(huì)給每個(gè)賬戶發(fā)布一個(gè)唯一的SID。如果存在兩臺(tái)具有相同SID的計(jì)算機(jī)，那么這兩臺(tái)計(jì)算機(jī)會(huì)被鑒定為同一臺(tái)計(jì)算機(jī)。如果兩臺(tái)計(jì)算機(jī)是通過(guò)克隆得到的，那么它們會(huì)具有相同的SID，導(dǎo)致在域測(cè)試網(wǎng)絡(luò)中會(huì)無(wú)法區(qū)分這兩臺(tái)計(jì)算機(jī)。因此，克隆得到的計(jì)算機(jī)需要重新生成SID，以便區(qū)別于其他計(jì)算機(jī)。SID的概念用戶可以通過(guò)在“命令提示符”窗口中輸入命令“whoami/user”查看計(jì)算機(jī)的SID（用戶的SID為計(jì)算機(jī)的SID加上用戶編號(hào)，因此，用戶SID去掉最后一段數(shù)字，即為計(jì)算機(jī)的SID），示例如圖所示。

SID作用唯一性識(shí)別SID確保了用戶、組和計(jì)算機(jī)賬戶在網(wǎng)絡(luò)中的唯一性。即使兩個(gè)賬戶具有相同的用戶名，只要它們的SID不同，它們就被視為不同的賬戶。權(quán)限控制Windows等操作系統(tǒng)中的內(nèi)部進(jìn)程會(huì)引用賬戶的SID而不是賬戶的用戶名或組名來(lái)控制權(quán)限。這意味著，即使賬戶的用戶名被更改，只要SID保持不變，該賬戶的權(quán)限和屬性就不會(huì)受到影響。安全驗(yàn)證用戶驗(yàn)證后獲得訪問(wèn)令牌，作為訪問(wèn)系統(tǒng)資源的憑證。用戶訪問(wèn)資源時(shí)需提供此令牌，系統(tǒng)檢查權(quán)限列表后，若允許則授予相應(yīng)訪問(wèn)權(quán)限。SID號(hào)碼組成SID是一串特殊的字符串，由計(jì)算機(jī)名、當(dāng)前時(shí)間、當(dāng)前用戶態(tài)線程的CPU耗費(fèi)時(shí)間的總和等參數(shù)決定，以保證其唯一性。在通常情況下，SID是唯一的，但如果賬戶無(wú)限制增加，理論上可能會(huì)產(chǎn)生重復(fù)的SID。然而，在實(shí)際情況中，由于SID的生成算法和參數(shù)的選擇，這種情況非常罕見。VMwareWorkstation虛擬機(jī)的

克隆技術(shù)VMwareWorkstation虛擬機(jī)的克隆技術(shù)VMwareWorkstation可以根據(jù)預(yù)先安裝好的虛擬機(jī)快速克隆出多臺(tái)虛擬機(jī)。此時(shí)，源計(jì)算機(jī)和克隆的虛擬機(jī)的硬件ID不同（如網(wǎng)卡MAC），但是操作系統(tǒng)SID和配置完全一致（如計(jì)算機(jī)名稱、IP地址等）。如果計(jì)算機(jī)的一些應(yīng)用程序和操作系統(tǒng)SID相關(guān)，則會(huì)導(dǎo)致該應(yīng)用程序出錯(cuò)，因此克隆的虛擬機(jī)通常需要手動(dòng)修改操作系統(tǒng)SID。在活動(dòng)目錄環(huán)境中，計(jì)算機(jī)的操作系統(tǒng)SID不能相同，因此克隆的虛擬機(jī)必須修改操作系統(tǒng)SID。源虛擬機(jī)計(jì)算機(jī)名：VMIP：/24MAC：08：00：20：0A：8C：6D克隆虛擬機(jī)計(jì)算機(jī)名：VMIP：/24MAC：08：00：20：0A：8C：6CVMwareWorkstation虛擬機(jī)的克隆技術(shù)克隆的方式有兩種，分別是完整克隆和鏈接克隆。1）完整克隆完整克隆是復(fù)制源虛擬機(jī)的硬盤文件（.vmdk）并創(chuàng)建硬件配置相同的虛擬機(jī)。克隆后，兩者被視為獨(dú)立運(yùn)行的虛擬機(jī)，但通常需修改操作系統(tǒng)SID以避免沖突。源虛擬機(jī)克隆虛擬機(jī)VMwareWorkstation虛擬機(jī)的克隆技術(shù)源虛擬機(jī)出現(xiàn)故障時(shí)，完整克隆虛擬機(jī)不受影響源虛擬機(jī)克隆虛擬機(jī)VMwareWorkstation虛擬機(jī)的克隆技術(shù)2）鏈接克隆鏈接克隆基于源虛擬機(jī)的快照創(chuàng)建新虛擬機(jī)，支持選擇歷史快照進(jìn)行克隆。其磁盤文件小，采用差異存儲(chǔ)技術(shù)僅記錄變更數(shù)據(jù)，顯著節(jié)省空間。然而，大量克隆同時(shí)訪問(wèn)源虛擬機(jī)磁盤文件可能影響系統(tǒng)性能，需合理規(guī)劃克隆數(shù)量。源虛擬機(jī)快照1快照2快照3當(dāng)前位置鏈接虛擬機(jī)VMwareWorkstation虛擬機(jī)的克隆技術(shù)源虛擬機(jī)出現(xiàn)故障或快照丟失時(shí)，鏈接虛擬機(jī)無(wú)法正常使用。源虛擬機(jī)快照1快照2快照3當(dāng)前位置鏈接虛擬機(jī)or項(xiàng)目3構(gòu)建林中的第一臺(tái)域控制器域控制器的重要性規(guī)劃與準(zhǔn)備配置域控制器目錄域控制器的重要性域控制器的重要性在Windows活動(dòng)目錄中，域控制器（DomainController，簡(jiǎn)稱DC）的重要性不言而喻，它作為網(wǎng)絡(luò)中的核心組件，承擔(dān)著多項(xiàng)關(guān)鍵任務(wù)，確保了網(wǎng)絡(luò)資源的有效管理、用戶身份的安全驗(yàn)證以及網(wǎng)絡(luò)環(huán)境的整體安全。域控制器的重要性以下是域控制器重要性的詳細(xì)闡述：1.集中管理用戶與計(jì)算機(jī)管理域控制器通過(guò)活動(dòng)目錄集中管理用戶和計(jì)算機(jī)，使管理員能高效創(chuàng)建、修改、刪除賬戶，分配權(quán)限，并管理配置與安全策略，從而提升管理效率并降低成本。資源分配與共享域控制器還負(fù)責(zé)管理和分配網(wǎng)絡(luò)中的資源，如文件共享、打印機(jī)等。通過(guò)域控制器，用戶可以方便地訪問(wèn)和共享這些資源，提高了工作效率和協(xié)作能力。域控制器的重要性以下是域控制器重要性的詳細(xì)闡述：2.用戶身份驗(yàn)證身份驗(yàn)證中心域控制器作為身份驗(yàn)證中心，驗(yàn)證用戶登錄請(qǐng)求，確保憑據(jù)有效后授權(quán)訪問(wèn)網(wǎng)絡(luò)資源，保護(hù)資源免受未授權(quán)訪問(wèn)。密碼策略與賬戶管理域控制器實(shí)施密碼策略，監(jiān)控賬戶活動(dòng)，確保賬戶安全，及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)異常登錄。域控制器的重要性以下是域控制器重要性的詳細(xì)闡述：3.安全性與可靠性安全策略實(shí)施域控制器執(zhí)行安全策略，如ACLs和審計(jì)，保護(hù)網(wǎng)絡(luò)資源免遭未授權(quán)訪問(wèn)和攻擊。故障恢復(fù)與冗余域控制器采用冗余設(shè)計(jì)，多臺(tái)協(xié)同工作確保高可用性和容錯(cuò)，一臺(tái)故障時(shí)其他可接管，保障網(wǎng)絡(luò)順暢運(yùn)行。信任關(guān)系建立多域間，域控制器建信任關(guān)系，基于Kerberos協(xié)議保障跨域訪問(wèn)安全，用戶無(wú)縫訪問(wèn)資源。規(guī)劃與準(zhǔn)備規(guī)劃與準(zhǔn)備安裝活動(dòng)目錄的必要條件主要包括以下幾個(gè)方面：1.操作系統(tǒng)選擇：WindowsServer版本：WindowsServer2003及以上版本均支持活動(dòng)目錄的安裝，但Web版除外。Standard版、Enterprise版和Datacenter版等版本均可用于安裝活動(dòng)目錄。推薦使用較新的版本，如WindowsServer2016或更高版本，以獲取更好的性能和安全性。規(guī)劃與準(zhǔn)備安裝活動(dòng)目錄的必要條件主要包括以下幾個(gè)方面：2.DNS服務(wù)器：（1）DNS支持：活動(dòng)目錄與DNS是緊密集成的，活動(dòng)目錄中域的名稱的解析需要DNS的支持。因此，必須準(zhǔn)備一臺(tái)DNS服務(wù)器，并確保其支持本地服務(wù)資源記錄（SRV資源記錄）和動(dòng)態(tài)更新功能。（2）DNS服務(wù)器設(shè)置：在安裝活動(dòng)目錄的計(jì)算機(jī)上，需要設(shè)置DNS服務(wù)器的IP地址，以便活動(dòng)目錄能夠正確解析域名。規(guī)劃與準(zhǔn)備安裝活動(dòng)目錄的必要條件主要包括以下幾個(gè)方面：3.磁盤分區(qū)：安裝活動(dòng)目錄時(shí)，需確保SYSVOL文件夾位于NTFS分區(qū)，以安全存儲(chǔ)組策略等數(shù)據(jù)。該NTFS分區(qū)需要有足夠的空閑磁盤空間，以存放SYSVOL文件夾及其內(nèi)容。通常建議至少保留250MB的空閑空間。NTFS格式足夠空間規(guī)劃與準(zhǔn)備安裝活動(dòng)目錄的必要條件主要包括以下幾個(gè)方面：4.網(wǎng)絡(luò)設(shè)置：靜態(tài)IP地址：安裝活動(dòng)目錄的計(jì)算機(jī)必須配置一個(gè)靜態(tài)的IP地址，以確保網(wǎng)絡(luò)中的其他計(jì)算機(jī)能夠穩(wěn)定地訪問(wèn)它。DNS服務(wù)器IP地址：除了設(shè)置本機(jī)的靜態(tài)IP地址外，還需要在TCP/IP設(shè)置中配置DNS服務(wù)器的IP地址，以便活動(dòng)目錄能夠正確解析域名。規(guī)劃與準(zhǔn)備安裝活動(dòng)目錄的必要條件主要包括以下幾個(gè)方面：5.用戶權(quán)限：管理員權(quán)限：安裝活動(dòng)目錄時(shí)的登錄用戶必須具有管理員組（Administrators）的權(quán)限，以便能夠執(zhí)行必要的安裝和配置操作。配置域控制器配置域控制器在公司部署活動(dòng)目錄的第一步是創(chuàng)建公司的第一臺(tái)域控制器。如果公司已經(jīng)向互聯(lián)網(wǎng)申請(qǐng)了域名，那么其通常會(huì)在活動(dòng)目錄中使用該域名。在本項(xiàng)目中，公司的根域是。將一臺(tái)WindowsServer2022服務(wù)器升級(jí)為公司的第一臺(tái)域控制器，那么這臺(tái)域控制器就是該公司域的域根，也是整個(gè)域目錄林的林根。項(xiàng)目4將用戶和計(jì)算機(jī)加入域計(jì)算機(jī)加入域域賬戶的創(chuàng)建域用戶登錄時(shí)間限制策略目錄計(jì)算機(jī)加入域非域環(huán)境和域環(huán)境的區(qū)別非域環(huán)境的特點(diǎn)非域環(huán)境缺乏集中管理，每臺(tái)計(jì)算機(jī)獨(dú)立運(yùn)作，各自管理安全數(shù)據(jù)庫(kù)，導(dǎo)致用戶賬戶和權(quán)限管理不統(tǒng)一，管理過(guò)程復(fù)雜且效率低下，需要逐一配置每臺(tái)計(jì)算機(jī)。域環(huán)境的優(yōu)勢(shì)域環(huán)境實(shí)現(xiàn)了多臺(tái)計(jì)算機(jī)的統(tǒng)一集中管理，由域控制器負(fù)責(zé)用戶賬戶、權(quán)限和安全策略的集中配置，提升管理效率并增強(qiáng)安全性，有效抵御外部攻擊和內(nèi)部誤操作。加入域后的便利性計(jì)算機(jī)加入域后，可以訪問(wèn)AD

DS數(shù)據(jù)庫(kù)和域資源，方便用戶使用域賬戶登錄并訪問(wèn)其他域成員計(jì)算機(jī)內(nèi)的共享資源。將計(jì)算機(jī)加入域的方法在非域環(huán)境中，用戶通過(guò)客戶機(jī)的內(nèi)部賬戶登錄和使用該客戶機(jī)；在域環(huán)境中，域管理員會(huì)將公司的客戶機(jī)都加入域。在將計(jì)算機(jī)加入域后，就可以訪問(wèn)ADDS數(shù)據(jù)庫(kù)和域中的資源了。例如，用戶可以使用域賬戶登錄這些計(jì)算機(jī)，并且可以訪問(wèn)其他域成員計(jì)算機(jī)內(nèi)的共享資源。將客戶機(jī)加入域的過(guò)程檢查網(wǎng)絡(luò)配置客戶端與域服務(wù)器的連接DNS配置域賬戶的創(chuàng)建域賬戶的位置和功能123域賬戶的分布范圍：域賬戶可以位于域內(nèi)任意一個(gè)組織單位中，這意味著它們可以在域中的任何創(chuàng)建和使用域賬戶的默認(rèn)權(quán)限：默認(rèn)情況下，域賬戶可以登錄到任意一臺(tái)域客戶機(jī)中并能訪問(wèn)域中的共享資源，這位管理員提供了極大的便利性。域賬戶的身份驗(yàn)證過(guò)程：在域控制器中新建一個(gè)域賬號(hào)后，此賬號(hào)的副本會(huì)自動(dòng)被復(fù)制到域中所有域控制器的數(shù)據(jù)庫(kù)中，完成復(fù)制過(guò)程后，域中的所有域控制器都可以在登錄過(guò)程中對(duì)該用戶進(jìn)行身份驗(yàn)證用戶域賬戶的創(chuàng)建方法打開AD用戶和計(jì)算機(jī)：重啟計(jì)算機(jī)后，以管理員身份登錄到服務(wù)器。創(chuàng)建組織單元（可選）：用于將用戶分組管理。創(chuàng)建用戶賬戶：在OU下（或直接在域名下），輸入信息并設(shè)置屬性進(jìn)行創(chuàng)建。分配用戶組：在創(chuàng)建用戶向?qū)е?，可以選擇將用戶分配到某個(gè)用戶組。域用戶登錄時(shí)間限制策略創(chuàng)建AD域用戶后默認(rèn)權(quán)限在為用戶在域中創(chuàng)建域賬戶后，該用戶會(huì)自動(dòng)獲得一些默認(rèn)的配置，如用戶登錄域的時(shí)間、登錄計(jì)算機(jī)、共享資源使用權(quán)限等。在默認(rèn)情況下，用戶可以在任意時(shí)間登錄域。在用戶的屬性對(duì)話框中，可以通過(guò)配置“登錄時(shí)間”來(lái)設(shè)置用戶登錄域的時(shí)間。如圖所示。登錄時(shí)間的靈活調(diào)整登錄時(shí)間限制的設(shè)置方法：通過(guò)用戶屬性設(shè)置，可以靈活調(diào)整用戶的登錄時(shí)間，滿足企業(yè)對(duì)員工工作時(shí)間的管理需求登錄時(shí)間限制的應(yīng)用案例：企業(yè)可以設(shè)置員工只能在工作日上班時(shí)間內(nèi)登錄域，有效防止非工作時(shí)間的資源濫用。登錄時(shí)間限制的優(yōu)勢(shì)分析：通過(guò)設(shè)置登錄時(shí)間限制，企業(yè)可以更好的管理資源，提高工作效率，同時(shí)也可以保護(hù)員工的個(gè)人隱私。項(xiàng)目5額外域控制器與全局編錄的作用全局編錄額外域控制器目錄全局編錄全局編錄的概述全局編錄（GlobalCatalog，簡(jiǎn)稱GC）是WindowsActiveDirectory環(huán)境中的一個(gè)重要概念，一個(gè)域的活動(dòng)目錄中只能存儲(chǔ)該域的相關(guān)信息，相當(dāng)于該域的目錄。當(dāng)一個(gè)域目錄林中有多個(gè)域時(shí)，由于每個(gè)域都有一個(gè)活動(dòng)目錄，因此如果一個(gè)域用戶要在整個(gè)域目錄林范圍內(nèi)查找一個(gè)對(duì)象，就需要搜索該域目錄林中的所有域。這時(shí)，全局編錄就起到作用了。全局編錄相當(dāng)于一個(gè)總目錄，就像一套系列叢書中有一個(gè)總目錄一樣。全局編錄中存儲(chǔ)了已有活動(dòng)目錄對(duì)象的子集。在默認(rèn)情況下，存儲(chǔ)于全局編錄中的對(duì)象屬性是經(jīng)常用到的屬性，不同全部屬性。整個(gè)域目錄林會(huì)共享相同的全局編錄信息。此時(shí)，一個(gè)域中的用戶就可以根據(jù)全局編錄快速找到所需的對(duì)象了。全局編錄的功能提高搜索效率全局編錄存儲(chǔ)常用屬性，快速搜索信息，無(wú)需遍歷整個(gè)目錄林支持跨域操作全局編錄簡(jiǎn)化跨域資源查找，用戶無(wú)需關(guān)注對(duì)象位置即可訪問(wèn)。身份驗(yàn)證全局編錄支持UPN登錄驗(yàn)證，對(duì)驗(yàn)證跨域?qū)ο笠闷痍P(guān)鍵作用。負(fù)載平衡配置附加全局編錄可平衡認(rèn)證流量，提升系統(tǒng)穩(wěn)定性和性能。全局編錄的工作原理數(shù)據(jù)存儲(chǔ)全局編錄服務(wù)器中不僅保存了本域中所有對(duì)象的所有屬性，還保存了其他域所有對(duì)象的部分屬性。這些屬性通常是查詢過(guò)程中常用的屬性，如對(duì)象的名稱、類型、位置等。查詢過(guò)程當(dāng)用戶或應(yīng)用程序發(fā)起查詢請(qǐng)求時(shí)，查詢請(qǐng)求會(huì)被發(fā)送到全局編錄服務(wù)器。全局編錄服務(wù)器會(huì)根據(jù)請(qǐng)求中的條件在存儲(chǔ)的對(duì)象信息中進(jìn)行搜索，并返回匹配的結(jié)果。身份驗(yàn)證在執(zhí)行身份驗(yàn)證時(shí)，如果執(zhí)行身份驗(yàn)證的域控制器沒有用戶UPN賬號(hào)信息，全局編錄服務(wù)器將解析用戶主機(jī)名稱以完成身份驗(yàn)證過(guò)程。額外域控制器額外域控制器的概述額外域控制器（ExtraDomainController，簡(jiǎn)稱EDC）在WindowsActiveDirectory環(huán)境中扮演著重要的角色，它是除了第一臺(tái)安裝的域控制器（主域控制器）之外的所有域控制器的統(tǒng)稱。額外域控制器是主域控制器的備份或輔助，用于在主域控制器宕機(jī)時(shí)自動(dòng)接替其工作，確保網(wǎng)絡(luò)的連續(xù)性和服務(wù)的可用性。域控制器額外域控制器客戶機(jī)額外域控制器的功能容錯(cuò)與冗余提供容錯(cuò)功能，當(dāng)主域控制器出現(xiàn)故障時(shí)，額外域控制器能夠接替其工作，繼續(xù)提供各種網(wǎng)絡(luò)服務(wù)，避免網(wǎng)絡(luò)癱瘓。負(fù)載均衡在網(wǎng)絡(luò)中的用戶數(shù)量較多或多種網(wǎng)絡(luò)服務(wù)都需要進(jìn)行身份認(rèn)證時(shí)，多臺(tái)域控制器可以同時(shí)分擔(dān)審核用戶的工作，提高用戶登錄的效率。數(shù)據(jù)備份域控制器之間可以相互復(fù)制和備份活動(dòng)目錄數(shù)據(jù)庫(kù)，無(wú)需單獨(dú)備份每一臺(tái)域控制器的數(shù)據(jù)，簡(jiǎn)化了數(shù)據(jù)管理流程。額外域控制器安裝與管理在安裝與部署額外域控制器時(shí)，重要的是將其DNS設(shè)置指向當(dāng)前域網(wǎng)絡(luò)中的DNS服務(wù)器，并確保其能夠無(wú)縫連接到域網(wǎng)絡(luò)中。安裝流程涵蓋運(yùn)行活動(dòng)目錄安裝向?qū)Вx擇“現(xiàn)有域的額外域控制器”選項(xiàng)，并準(zhǔn)確提供必要的用戶賬戶信息和域名。完成部署后，為保持其高效運(yùn)行，需定期進(jìn)行維護(hù)與監(jiān)控，包括檢查運(yùn)行狀態(tài)、評(píng)估性能指標(biāo)、審查日志信息等，以便迅速發(fā)現(xiàn)并解決潛在問(wèn)題，確保域控制器網(wǎng)絡(luò)的穩(wěn)定性和可靠性。額外域控制器優(yōu)點(diǎn)提高用戶登錄效率多臺(tái)域控制器可以同時(shí)處理用戶登錄請(qǐng)求，加快登錄速度。提供容錯(cuò)和冗余功能確保在主域控制器故障時(shí)，網(wǎng)絡(luò)服務(wù)不會(huì)中斷。簡(jiǎn)化數(shù)據(jù)管理域控制器之間可以相互復(fù)制和備份數(shù)據(jù)，無(wú)需單獨(dú)備份每一臺(tái)域控制器的數(shù)據(jù)。注意事項(xiàng)1、在安裝額外域控制器之前，需要確保網(wǎng)絡(luò)環(huán)境穩(wěn)定可靠，以避免安裝過(guò)程中出現(xiàn)問(wèn)題。2、在配置額外域控制器時(shí)，需要確保其與主域控制器的配置一致，以便能夠順利接替其工作。3、需要定期維護(hù)和監(jiān)控額外域控制器的運(yùn)行狀態(tài)和性能指標(biāo)，以確保其能夠正常運(yùn)行并提供服務(wù)。項(xiàng)目6子域的加入、域的刪除子域的概述子域的部署條件域控制器的降級(jí)目錄子域的概述子域的概述子域是相對(duì)于父域而言的，它是域結(jié)構(gòu)中的一個(gè)組成部分，用于實(shí)現(xiàn)更細(xì)粒度的網(wǎng)絡(luò)管理和資源分配。對(duì)于存在分支機(jī)構(gòu)或子公司的域管理中，如果分支機(jī)構(gòu)或子公司的管理與總公司存在較大差別，并且資源是相對(duì)獨(dú)立管理的，那么通常建議設(shè)立一個(gè)獨(dú)立區(qū)域（子域）進(jìn)行自主管理，也就是在現(xiàn)有域下創(chuàng)建一個(gè)子域，從而形成域樹的邏輯結(jié)構(gòu)。客戶機(jī)用戶DC1父域子域客戶機(jī)用戶DC2子域的功能與特點(diǎn)獨(dú)立性與集成性：子域在活動(dòng)目錄中既獨(dú)立又依存，擁有獨(dú)特管理元素同時(shí)共享父域資源，確保域內(nèi)資源訪問(wèn)和身份驗(yàn)證的順暢性。管理效率：劃分大型網(wǎng)絡(luò)為多個(gè)子域，能實(shí)現(xiàn)部門或地區(qū)的獨(dú)立管理，提升效率，同時(shí)允許管理員為各子域定制專屬安全策略與管理規(guī)范。資源分配：子域擁有專屬資源如文件、打印服務(wù)器，服務(wù)內(nèi)部用戶，同時(shí)也能訪問(wèn)其他域資源，但需遵循訪問(wèn)控制和權(quán)限規(guī)定。子域的功能與特點(diǎn)在父子域環(huán)境中，由于父子域之間會(huì)建立雙向可傳遞的信任關(guān)系，因此在默認(rèn)情況下，父域用戶可以使用子域中的計(jì)算機(jī)，子域用戶也可以使用父域中的計(jì)算機(jī)，如圖所示。父域和子域之間的用戶交互登錄子域的部署條件子域的部署條件將一臺(tái)WindowsServer2022服務(wù)器升級(jí)為子域控制器，首先需要為該服務(wù)器修改主機(jī)名，配置IP地址和DNS服務(wù)器，然后在“服務(wù)器管理器”窗口中添加所需的角色和功能，最后在“ActiveDirectory域服務(wù)配置向?qū)А贝翱谥袑⒃摲?wù)器升級(jí)為子域控制器。域控制器也是DNS服務(wù)器，因此可以將首選DNS服務(wù)器指向自己。由于子域控制器需要和父域控制器通信，因此需要將備選DNS服務(wù)器指向最近的父域控制器。

域控制器降級(jí)域控制器降級(jí)定義域控制器降級(jí)是一個(gè)重要的系統(tǒng)管理操作，它主要涉及到將現(xiàn)有的域控制器（DomainController，簡(jiǎn)稱DC）從其當(dāng)前的角色中移除，簡(jiǎn)而言之，就是刪除ActiveDirectory（AD）服務(wù)的過(guò)程，即將一個(gè)域控制器降級(jí)為成員服務(wù)器（MemberServer）或獨(dú)立服務(wù)器（Stand-aloneServer）。這一操作通常在新服務(wù)器接替舊服務(wù)器工作，或者網(wǎng)絡(luò)架構(gòu)重新規(guī)劃時(shí)進(jìn)行。域控制器降級(jí)結(jié)果1、其他域控制器存在的情況：如果該域內(nèi)還有其他域控制器，那么被降級(jí)的域控制器將被轉(zhuǎn)換為該域的成員服務(wù)器。這意味著它將不再承擔(dān)域控制器的角色，但仍將保留在網(wǎng)絡(luò)中，并可以作為其他服務(wù)的宿主。2、最后一個(gè)域控制器的情況：如果被降級(jí)的域控制器是該域內(nèi)的最后一個(gè)域控制器，那么該計(jì)算機(jī)將被降級(jí)為獨(dú)立服務(wù)器。這意味著它將完全脫離當(dāng)前的域環(huán)境，成為一個(gè)獨(dú)立的計(jì)算系統(tǒng)。注意事項(xiàng)全局編錄角色：若被降級(jí)域控制器兼為全局編錄，需先確認(rèn)網(wǎng)絡(luò)中存在其他全局編錄域控制器；若無(wú)，則需先指定另一域控制器為全局編錄，保障用戶登錄及全局編錄依賴操作不受影響。元數(shù)據(jù)清除：降級(jí)后，需在剩余域控制器上清除已降級(jí)DC的元數(shù)據(jù)，確保網(wǎng)絡(luò)內(nèi)無(wú)殘留指向其的對(duì)象和引用。權(quán)限配置：如果在刪除了ActiveDirectory的計(jì)算機(jī)上，資源訪問(wèn)控制項(xiàng)（ACE）是基于域本地組的，那么可能需要重新配置這些權(quán)限。因?yàn)橛虮镜亟M在成員服務(wù)器或獨(dú)立服務(wù)器上是不可用的。項(xiàng)目7修改域用戶的賬戶策略客戶機(jī)用戶的設(shè)置原則域用戶的設(shè)置原則域用戶賬戶策略目錄客戶機(jī)用戶的設(shè)置原則客戶機(jī)用戶的設(shè)置原則要使用Windows操作系統(tǒng)，必須先輸入有效的用戶賬戶和密碼，在系統(tǒng)驗(yàn)證無(wú)誤后才可以使用，并且在默認(rèn)情況下可以訪問(wèn)和使用大部分資源。由此可見，用戶對(duì)操作系統(tǒng)來(lái)說(shuō)是非常重要的，而域用戶更加重要，因?yàn)橥ㄟ^(guò)它可以訪問(wèn)域中的大部分計(jì)算機(jī)和資源。因此，要保證網(wǎng)絡(luò)中的數(shù)據(jù)安全，需要先確保網(wǎng)絡(luò)中的賬戶安全。用戶賬戶管理唯一性和準(zhǔn)確性：確保每個(gè)用戶賬戶都是唯一的，并且賬戶信息（如用戶名、全名、電子郵件地址等）是準(zhǔn)確無(wú)誤的。這有助于避免混淆和錯(cuò)誤，提高網(wǎng)絡(luò)管理的效率。創(chuàng)建與刪除：根據(jù)業(yè)務(wù)需求及時(shí)創(chuàng)建新用戶賬戶，并在用戶離職或不再需要訪問(wèn)網(wǎng)絡(luò)時(shí)及時(shí)刪除其賬戶。這有助于維護(hù)網(wǎng)絡(luò)的安全性和整潔性。命名規(guī)范：制定用戶賬戶命名的規(guī)范，例如使用“姓名首字母+部門縮寫+數(shù)字”的格式，以便于管理和識(shí)別。安全策略強(qiáng)密碼策略：實(shí)施強(qiáng)密碼策略，要求用戶定期更換密碼，并使用復(fù)雜的密碼組合（包括字母、數(shù)字和特殊字符）。這有助于防止未經(jīng)授權(quán)的訪問(wèn)和賬戶被破解的風(fēng)險(xiǎn)。賬戶鎖定策略：設(shè)置賬戶鎖定策略，當(dāng)用戶連續(xù)輸入錯(cuò)誤密碼達(dá)到一定次數(shù)時(shí)，自動(dòng)鎖定其賬戶。這可以防止暴力破解攻擊，并保護(hù)賬戶安全。權(quán)限分配：根據(jù)用戶的職責(zé)和需要分配適當(dāng)?shù)脑L問(wèn)權(quán)限。避免給用戶過(guò)多的權(quán)限，以減少潛在的安全風(fēng)險(xiǎn)。域用戶的設(shè)置原則域用戶的定義域用戶（DomainUser）是在企業(yè)或組織的網(wǎng)絡(luò)環(huán)境中，由網(wǎng)絡(luò)管理員創(chuàng)建和管理的用戶賬號(hào)，這些賬號(hào)用于訪問(wèn)網(wǎng)絡(luò)中的資源和服務(wù)。具體來(lái)說(shuō)，域用戶是域環(huán)境中的邏輯組織單元之一，其所有信息都保存在活動(dòng)目錄（ActiveDirectory,AD）中，并由域控制器（DomainController,DC）進(jìn)行身份驗(yàn)證和策略管理。域用戶位于域全局組（如DomainUsers）中，與計(jì)算機(jī)本地用戶賬戶（位于本地User組中）相區(qū)分。當(dāng)計(jì)算機(jī)加入域時(shí)，全局組DomainUsers會(huì)被添加到計(jì)算機(jī)本地User組中，從而允許域用戶在該計(jì)算機(jī)上登錄和使用資源。域用戶的設(shè)置原則針對(duì)域用戶，域管理員通常會(huì)對(duì)其密碼進(jìn)行以下處理：1.禁止使用空密碼?？彰艽a在給用戶帶來(lái)方便的同時(shí)，也給惡意用戶帶來(lái)了便捷。2.禁止使用與用戶登錄名相同或相關(guān)密碼，這類密碼被破譯的概率非常高。3.禁止使用用戶的相關(guān)個(gè)人信息作為密碼。有很多用戶習(xí)慣用生日、電話號(hào)碼等個(gè)人信息作為密碼，但用戶的個(gè)人信息很容易被其他人知道，因此這類密碼非常容易被破譯。4.禁止使用英文單詞作為密碼。各種密碼破譯軟件中都有一個(gè)密碼字典，如果你的系統(tǒng)允許別人任意次地猜測(cè)密碼，那么這類密碼是非常容易被破譯的。5.建議使用復(fù)雜的密碼。復(fù)雜的密碼至少要包括大小寫字母、數(shù)字、特殊字符，并且是無(wú)意義的組合和不少于8位長(zhǎng)度，如1qez@WYX。此外，還需要定期修改密碼域用戶設(shè)置的重要性降低成本減少因錯(cuò)誤配置或安全漏洞導(dǎo)致的損失提高安全通過(guò)策略控制訪問(wèn)權(quán)限簡(jiǎn)化管理集中化用戶賬戶和權(quán)限管理提升效率快速部署和更新用戶配置域用戶賬戶策略域用戶賬戶策略在默認(rèn)情況下，活動(dòng)目錄中的一個(gè)域只能使用一套密碼策略，這套密碼策略由“DefaultDomainPolicy”進(jìn)行統(tǒng)一管理。如果一些企業(yè)需要針對(duì)不同的群體設(shè)置不同的密碼策略，則需要啟用多元化密碼策略（要求Windowsserver2008R2及以上域功能級(jí)別）。多元化密碼策略的部署方法將在后續(xù)項(xiàng)目中進(jìn)行介紹。項(xiàng)目8域用戶的導(dǎo)出與導(dǎo)入用戶主名域用戶的屬性域用戶的創(chuàng)建目錄用戶主名命名規(guī)則名稱唯一性在活動(dòng)目錄中，每個(gè)用戶和組的名稱都必須是唯一的。這是為了確保在管理和識(shí)別用戶和組時(shí)不會(huì)出現(xiàn)混淆。長(zhǎng)度限制用戶名稱一般限制在20個(gè)字符以內(nèi)。組名稱一般限制在64個(gè)字符以內(nèi)。字符限制用戶和組名稱應(yīng)該只包含字母和數(shù)字字符。特殊字符如！、@、#、$等不應(yīng)在名稱中出現(xiàn)。大小寫敏感性活動(dòng)目錄對(duì)于用戶和組名稱是大小寫敏感的。因此，在命名時(shí)要特別注意大小寫，以避免不必要的混淆。用戶主名1.用戶的唯一性WindowsServer2022中的用戶可以分為本地用戶和域用戶，本地用戶位于工作組中的計(jì)算機(jī)或域中非域控制器的計(jì)算機(jī)上，域用戶位于域控制器上，這些用戶在系統(tǒng)中必須是唯一的。用戶主名前面介紹過(guò)，在登錄域客戶機(jī)時(shí)，可以選擇使用本機(jī)用戶登錄本機(jī)或使用域用戶登錄域，域客戶機(jī)的登錄界面如圖所示。域客戶機(jī)的登錄界面用戶主名可以在“用戶名”文本框中輸入“win11-1\tom”或“.\tom”，它們都表示使用該域客戶機(jī)的本地賬戶“tom”，用于登錄計(jì)算機(jī)；也可以在“用戶名”文本框中輸入“tom”或“tom@”，用于登錄jan16域（默認(rèn)為登錄jan16域），“tom@”就是一個(gè)用戶主名（用戶主名=用戶名@域名）。在操作系統(tǒng)界面中，用戶主名又稱為登錄用戶名。使用用戶主名可以方便地定位用戶的位置。可以將用戶主名作為用戶的Email地址同其他用戶通信。域用戶的屬性域用戶的屬性用戶屬性對(duì)話框中包含18個(gè)選項(xiàng)卡，默認(rèn)只顯示13個(gè)選項(xiàng)卡，如果要查看所有的選項(xiàng)卡，則可以在“ActiveDirectory用戶和計(jì)算機(jī)”窗口的“查看”菜單中勾選“高級(jí)功能”命令。下面介紹常用的幾個(gè)選項(xiàng)卡的功能。1）“常規(guī)”選項(xiàng)卡、“地址”選項(xiàng)卡、“電話”選項(xiàng)卡、“組織”選項(xiàng)卡“常規(guī)”選項(xiàng)卡、“地址”選項(xiàng)卡、“電話”選項(xiàng)卡、“組織”選項(xiàng)卡主要用于設(shè)置用戶的個(gè)人信息，以便域用戶之間進(jìn)行信息查詢。域用戶的屬性2）“帳戶”選項(xiàng)卡“帳戶”選項(xiàng)卡主要用于設(shè)置用戶賬戶的相關(guān)信息，如圖所示?！皫簟边x項(xiàng)卡域用戶的屬性“用戶登錄名”文本框：主要用于設(shè)置用戶的賬戶登錄名?！皫簟边x項(xiàng)卡域用戶的屬性“登錄時(shí)間”按鈕：?jiǎn)螕粼摪粹o，可以在彈出的對(duì)話框中設(shè)置允許該用戶登錄域的時(shí)間段，藍(lán)色區(qū)域表示可以登錄的時(shí)間，白色區(qū)域表示不可以登錄的時(shí)間。圖8-3中的設(shè)置表示公司僅允許用戶“jack”周一—周五的9點(diǎn)—17點(diǎn)登錄域?！皫簟边x項(xiàng)卡域用戶的屬性“登錄到”按鈕：?jiǎn)螕粼摪粹o，可以在彈出的“登錄工作站”對(duì)話框中設(shè)置該用戶賬戶允許使用的客戶機(jī)，在默認(rèn)情況下，用戶賬戶可以從域中的所有客戶機(jī)上登錄域。這種情況給用戶帶來(lái)方便的同時(shí)，也給域帶來(lái)了安全隱患?？梢栽凇暗卿浌ぷ髡尽睂?duì)話框中選擇“下列計(jì)算機(jī)”單選按鈕，然后將允許該用戶登錄域的客戶機(jī)添加“計(jì)算機(jī)名”列表框中，單擊“確定”按鈕。這樣，該用戶就只能使用“計(jì)算機(jī)名”列表框中的客戶機(jī)登錄域了?！皫簟边x項(xiàng)卡域用戶的屬性“賬戶選項(xiàng)”列表框：主要用于設(shè)置用戶密碼的相關(guān)屬性和用戶的鎖定屬性?！皫簟边x項(xiàng)卡域用戶的屬性3）“配置文件”選項(xiàng)卡“配置文件”選項(xiàng)卡中包含“用戶配置文件”選區(qū)和“主文件夾”選區(qū)，如圖所示?！芭渲梦募边x項(xiàng)卡域用戶的屬性①“用戶配置文件”選區(qū)“用戶配置文件”選區(qū)主要用于定義域用戶登錄計(jì)算機(jī)時(shí)系統(tǒng)配置文件的路徑和登錄時(shí)需要處理的腳本文件。如果域管理員希望某個(gè)用戶在登錄客戶機(jī)時(shí)處理一些特定程序，則可以利用“登錄腳本”功能?！芭渲梦募边x項(xiàng)卡域用戶的屬性②“主文件夾”選區(qū)用戶在首次登錄到域客戶機(jī)時(shí)，客戶機(jī)會(huì)自動(dòng)為該用戶創(chuàng)建桌面、開始菜單等的相關(guān)文檔，這些文檔通常存儲(chǔ)于“C:\Users\%SystemName%”（注意：在Windows操作系統(tǒng)中，會(huì)將“User”顯示為“用戶”，“%SystemName%”是指當(dāng)前登錄用戶）中，如圖所示?！氨镜芈窂健蔽谋究颍河糜谠O(shè)置配置文件的存儲(chǔ)路徑?！斑B接”文本框：用于為用戶設(shè)置網(wǎng)絡(luò)磁盤，用戶在登錄客戶機(jī)時(shí)，會(huì)自動(dòng)將配置文件的存儲(chǔ)路徑映射到網(wǎng)絡(luò)共享位置。在客戶機(jī)查看用戶tom的主文件夾域用戶的屬性4）“隸屬于”選項(xiàng)卡“隸屬于”選項(xiàng)卡主要用于設(shè)置用戶屬于哪些組的成員。在默認(rèn)情況下，所有域用戶都隸屬于“DomainUsers”組，如圖所示?！半`屬于”選項(xiàng)卡域用戶的屬性4）“隸屬于”選項(xiàng)卡單擊“添加”按鈕可將當(dāng)前用戶添加到特定組中；選中某個(gè)組中的賬戶，然后單擊“刪除”按鈕，可以將該用戶從該組中刪除。域的默認(rèn)組如圖所示。AD的默認(rèn)組域用戶的屬性5）“安全”選項(xiàng)卡在活動(dòng)目錄的大部分屬性對(duì)話框中都有“安全”選項(xiàng)卡，如文件夾的屬性對(duì)話框?！鞍踩边x項(xiàng)卡主要用于定義對(duì)象（如用戶、文件夾等）的安全項(xiàng)，設(shè)置活動(dòng)目錄中的組或用戶對(duì)當(dāng)前賬戶的權(quán)限。域用戶的創(chuàng)建域用戶的創(chuàng)建當(dāng)有新的用戶需要訪問(wèn)域中的資源時(shí)，需要?jiǎng)?chuàng)建一個(gè)新的用戶，創(chuàng)建用戶的方式主要有以下幾種。1）“ActiveDirectory用戶和計(jì)算機(jī)”窗口中按照向?qū)?chuàng)建用戶（1）在域控制器中打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，在左側(cè)的列表框中展開域，右擊“Users”選項(xiàng)，在彈出的快捷菜單中選擇“新建”→“用戶”命令，如圖所示?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口域用戶的創(chuàng)建（2）彈出“新建對(duì)象-用戶”對(duì)話框，在第一個(gè)界面中設(shè)置“姓名”“用戶登錄名”等，單擊“下一步”按鈕，在下一個(gè)界面中設(shè)置用戶的“密碼”“確認(rèn)密碼”等信息，單擊“下一步”按鈕，如圖所示；在最后一個(gè)界面中單擊“完成”按鈕，完成新用戶的創(chuàng)建。“新建對(duì)象-用戶”對(duì)話框域用戶的創(chuàng)建2）通過(guò)復(fù)制命令創(chuàng)建用戶在域中，域管理員在創(chuàng)建用戶時(shí)，需要為用戶設(shè)置相應(yīng)的屬性信息，這些信息包括公共信息（如公司、部門、辦公室、郵政編碼等）和私有信息（如、職務(wù)、姓名、手機(jī)、郵箱、家庭住址等）。通過(guò)復(fù)制命令可以讓域管理員以一個(gè)用戶為模板來(lái)創(chuàng)建新用戶，并且為創(chuàng)建的新用戶設(shè)置與被復(fù)制用戶完全一致的公共信息，域管理員只為新用戶設(shè)置私有信息，從而節(jié)約新建用戶的信息編輯時(shí)間。域用戶的創(chuàng)建假設(shè)市場(chǎng)部來(lái)了一位新員工，我們要為其創(chuàng)建一個(gè)新用戶“jack”，并且“jack”用戶和“tom”用戶的部門是一樣的（“jack”的個(gè)人信息已經(jīng)輸入完整），那么在創(chuàng)建“jack”用戶時(shí)，可以右擊“tom”用戶，在彈出的快捷菜單中選擇“復(fù)制”命令，并按向?qū)瓿尚掠脩簟癹ack”的創(chuàng)建。在“jack”用戶創(chuàng)建完成后，從“jack”用戶和“tom”用戶的屬性對(duì)話框中的“組織”選項(xiàng)卡可以看出，“jack”用戶復(fù)制了“tom”用戶的“公司”屬性和“部門”屬性，“職務(wù)”屬性因?qū)儆谒接袑傩远鴽]有被復(fù)制，如圖所示?！癹ack”用戶和“tom”用戶的屬性對(duì)話框中的“組織”選項(xiàng)卡對(duì)比域用戶的創(chuàng)建3）使用“dsadduser”命令創(chuàng)建用戶在域控制器的命令行中，可以使用“dsadd”命令創(chuàng)建用戶，在“命令提示符”窗口中輸入“dsadd/?”，可以查看該命令的幫助信息。例如，我們要在“”域的“users”容器中創(chuàng)建一個(gè)用戶“tony”，可以在“命令提示符”窗口中輸入以下命令。dsaddusercn=tony,ou=users,dc=jan16,dc=cn域用戶的創(chuàng)建在上述命令執(zhí)行成功后，可以在“ActiveDirectory用戶和計(jì)算機(jī)”窗口中看到剛剛創(chuàng)建的用戶“tony”，過(guò)程和結(jié)果如圖所示。在創(chuàng)建“tony”用戶時(shí)，因?yàn)闆]有為該用戶提供密碼，所以該用戶目前處于禁用狀態(tài)，域管理員可以通過(guò)為該用戶設(shè)置密碼來(lái)啟用該賬戶。

通過(guò)dsadd命令創(chuàng)建新用戶“tony”域用戶的創(chuàng)建（4）使用“csvde”命令批量導(dǎo)入用戶。在本項(xiàng)目的任務(wù)中將詳細(xì)介紹如何使用csvde命令批量導(dǎo)入用戶，此處不再贅述。項(xiàng)目9用戶個(gè)性化登錄、用戶數(shù)據(jù)漫游活動(dòng)目錄用戶主名的管理用戶配置文件的管理漫游與強(qiáng)制漫游目錄活動(dòng)目錄用戶主名的管理用戶主名（UPN）的基本概念用戶主名（UPN）是用戶在登錄Windows網(wǎng)絡(luò)時(shí)使用的唯一名稱，其格式為“用戶名@域名”。UPN提供了一種在整個(gè)森林范圍內(nèi)唯一標(biāo)識(shí)用戶的方式，無(wú)論用戶位于哪個(gè)域中?；顒?dòng)目錄用戶在登錄域時(shí)需要進(jìn)行身份驗(yàn)證，需要輸入自己的用戶主名與密碼。如果企業(yè)搭建了郵件服務(wù)器，那么員工還可以通過(guò)使用與用戶主名同名的郵箱與外界進(jìn)行聯(lián)系。因此活動(dòng)目錄和Exchange的集成在企業(yè)中得到普遍應(yīng)用。用戶主名（UPN）的基本概念如果一些員工使用的是子域賬戶或域目錄林中另一棵樹上的賬戶，那么他們會(huì)面臨域賬戶過(guò)長(zhǎng)或用戶賬戶和郵件賬戶不同的問(wèn)題。例如，在合并公司時(shí)，被合并公司的員工通常習(xí)慣于采用原公司的郵件地址與其客戶通信。因此，在活動(dòng)目錄中，可以通過(guò)設(shè)置UPN后綴增加用戶常用的域名（如），然后在自己的用戶名后應(yīng)用該域名，形成新的用戶主名（如jack@）。在活動(dòng)目錄數(shù)據(jù)庫(kù)中，這個(gè)新的用戶主名是原用戶主名的一個(gè)別名（如jack@是jack@的別名）。綜上所述，活動(dòng)目錄用戶主名后綴默認(rèn)為當(dāng)前域和根域的名稱，添加其他域名提供了額外的登錄名稱并簡(jiǎn)化了用戶登錄名，該功能還方便實(shí)現(xiàn)用戶名和電子郵件地址的一致性。UPN的管理步驟1.查看和修改UPN在活動(dòng)目錄用戶和計(jì)算機(jī)管理工具中，找到并右鍵點(diǎn)擊要修改的用戶賬戶。選擇“屬性”，然后在“賬戶”選項(xiàng)卡中查看和修改UPN。修改UPN時(shí)，需要確保新的UPN在整個(gè)森林中是唯一的。UPN的管理步驟2.啟用和更改UPN后綴（1）在某些情況下，可能需要更改域的UPN后綴。這可以通過(guò)修改域的屬性來(lái)實(shí)現(xiàn)。（2）在“ActiveDirectory域和信任”管理工具中，找到并右鍵點(diǎn)擊要修改的域。（3）選擇“屬性”，然后在“UPN后綴”選項(xiàng)卡中添加、刪除或修改UPN后綴。注意：更改UPN后綴可能會(huì)影響所有使用該后綴登錄的用戶，因此在進(jìn)行此操作之前應(yīng)謹(jǐn)慎考慮，并確保通知所有相關(guān)用戶。用戶配置文件的管理用戶配置文件中的內(nèi)容在用戶第一次登錄一臺(tái)計(jì)算機(jī)后，該計(jì)算機(jī)會(huì)為該用戶創(chuàng)建配置相關(guān)的文件和文件夾，即用戶配置文件。用戶配置文件中定義了用戶登錄計(jì)算機(jī)時(shí)獲得的工作環(huán)境，包括桌面設(shè)置、快捷方式、網(wǎng)絡(luò)連接等。所有用戶的配置文件都默認(rèn)存儲(chǔ)于在系統(tǒng)分區(qū)下的“用戶”文件夾中，每個(gè)用戶都有一個(gè)以自己的用戶名命名的文件夾，如圖所示。用戶配置文件保存目錄用戶配置文件中的內(nèi)容雙擊“jack”文件夾，可以進(jìn)入用戶“jack”的配置文件目錄，如圖所示。

用戶“jack”的配置文件目錄用戶配置文件中的內(nèi)容在圖中可以看到，用戶配置目錄下包括“桌面”“鏈接”“文檔”等文件夾、還包括一些隱藏文件夾，如““開始”菜單”、“MyDocument”、“SendTo”等。這些文件夾中存儲(chǔ)的是用戶登錄計(jì)算機(jī)時(shí)使用的工作環(huán)境，簡(jiǎn)要介紹如下?！伴_始菜單”：存儲(chǔ)用戶登錄以后在“開始”菜單中看到的信息?！癈ookies”：存儲(chǔ)用戶訪問(wèn)Internet時(shí)的Cookies信息?！癓ocalSettings”：存儲(chǔ)用戶使用的臨時(shí)文件和歷史信息，如IE瀏覽器中的臨時(shí)文件?！癕yDocuments”：與用戶桌面上的“我的文檔”文件夾相同。“SendTo”：存儲(chǔ)右鍵菜單的“發(fā)送到”菜單中的快捷項(xiàng)?！白烂妗保河脩舻卿浐蟠鎯?chǔ)在桌面上的文件和文件夾?！癗TUSER.DAT”：存儲(chǔ)不能以文件形式直接存儲(chǔ)的信息，如注冊(cè)表信息。用戶配置文件的類型1.默認(rèn)的用戶配置文件。默認(rèn)的用戶配置文件（DefaultUserProfile）在用戶第一次登錄計(jì)算機(jī)時(shí)使用，所有對(duì)用戶配置文件的修改都是在默認(rèn)用戶配置文件的基礎(chǔ)上進(jìn)行的。默認(rèn)的用戶配置文件存儲(chǔ)于“%systemdrive%\DocumentsandSettings\DefaultUsers”文件夾和“AllUsers”文件夾中。將這兩個(gè)文件夾中的內(nèi)容合并，可以生成用戶的配置文件，并且將該配置文件存儲(chǔ)于以用戶登錄名命名的文件夾中。用戶配置文件的類型2.本地用戶配置文件。存儲(chǔ)在本地的配置文件稱為本地用戶配置文件（LocalUserProfile）。用戶在某臺(tái)計(jì)算機(jī)上第一次登錄時(shí)，系統(tǒng)就為該用戶在這臺(tái)計(jì)算機(jī)上創(chuàng)建了本地用戶配置文件。之后，用戶每次登錄這臺(tái)計(jì)算機(jī)，都會(huì)使用該配置文件配置用戶的工作環(huán)境。如果用戶登錄另一臺(tái)計(jì)算機(jī)，那么本地用戶配置文件不會(huì)起作用。一臺(tái)計(jì)算機(jī)中可以有多個(gè)本地用戶配置文件，分別對(duì)應(yīng)多個(gè)曾經(jīng)登錄過(guò)該計(jì)算機(jī)的用戶。用戶的配置文件不能直接編輯。要修改用戶的配置文件中的內(nèi)容，需要使用該用戶登錄這臺(tái)計(jì)算機(jī)，然后手動(dòng)修改用戶的工作環(huán)境，如桌面設(shè)置、快捷方式等，系統(tǒng)會(huì)自動(dòng)將修改后的配置保存到用戶配置文件中。用戶配置文件的類型要查看當(dāng)前計(jì)算機(jī)中有哪些用戶的配置文件，其操作步驟如下。（1）右擊任務(wù)欄中的“開始”圖標(biāo)，在彈出的快捷菜單中選擇“系統(tǒng)”命令，打開“設(shè)置”窗口，在右邊的界面中選擇“高級(jí)系統(tǒng)設(shè)置”選項(xiàng)，彈出“系統(tǒng)屬性”對(duì)話框，如圖所示?！跋到y(tǒng)屬性”對(duì)話框用戶配置文件的類型（2）在“用戶配置文件”選區(qū)中單擊“設(shè)置”按鈕，彈出“用戶配置文件”對(duì)話框，在該對(duì)話框中可以查看當(dāng)前計(jì)算機(jī)上有哪些用戶的配置文件，如圖所示?！坝脩襞渲梦募睂?duì)話框用戶配置文件的類型（2）在“用戶配置文件”選區(qū)中單擊“設(shè)置”按鈕，彈出“用戶配置文件”對(duì)話框，在該對(duì)話框中可以查看當(dāng)前計(jì)算機(jī)上有哪些用戶的配置文件，如圖所示。注意：域用戶的配置文件名稱為“域名\用戶登錄名”，本地用戶的配置文件名稱為“計(jì)算機(jī)名\用戶登錄名”。圖中有兩個(gè)Administrator用戶，一個(gè)是域用戶，一個(gè)是本地用戶?！坝脩襞渲梦募睂?duì)話框漫游與強(qiáng)制漫游漫游用戶配置文件

漫游用戶配置文件（RoamingUserProfiles）是WindowsNT家族操作系統(tǒng)中的一個(gè)概念，它允許一臺(tái)計(jì)算機(jī)上的用戶加入一個(gè)WindowsServer域，從而在同一網(wǎng)絡(luò)的任何計(jì)算機(jī)上登錄和訪問(wèn)自己的各項(xiàng)文檔和獲得一致的桌面體驗(yàn)（諸如工具欄位置、桌面設(shè)置等）。這意味著用戶的個(gè)性化設(shè)置和文件可以隨著用戶在網(wǎng)絡(luò)中的移動(dòng)而自動(dòng)同步，無(wú)論用戶在哪臺(tái)計(jì)算機(jī)上登錄，都能獲得相同的桌面環(huán)境和訪問(wèn)權(quán)限。漫游用戶配置文件

注意：漫游通常應(yīng)用于用戶使用同種類型的操作系統(tǒng)情況下，如果用戶經(jīng)常切換不同操作系統(tǒng)，那么當(dāng)用戶當(dāng)前操作系統(tǒng)的桌面配置和存儲(chǔ)在網(wǎng)絡(luò)服務(wù)器上的桌面配置不一致時(shí)，當(dāng)前操作系統(tǒng)會(huì)讓該用戶使用臨時(shí)桌面，期間用戶產(chǎn)生的用戶數(shù)據(jù)將不會(huì)保存到存儲(chǔ)服務(wù)器中。漫游用戶實(shí)現(xiàn)方式配置文件存儲(chǔ)漫游用戶配置文件信息被存儲(chǔ)在可從任何域內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)訪問(wèn)的集中式文件服務(wù)器上。當(dāng)用戶登錄到域中的任何一臺(tái)計(jì)算機(jī)時(shí)，系統(tǒng)會(huì)從文件服務(wù)器上下載該用戶的配置文件到本地計(jì)算機(jī)，并在用戶注銷時(shí)將其上傳回文件服務(wù)器。登錄過(guò)程登錄時(shí)：本地計(jì)算機(jī)上的登錄界面會(huì)檢查用戶是否存在于域中而不是存于本地計(jì)算機(jī)。如果域登錄成功，則會(huì)將漫游配置文件從中央文件服務(wù)器復(fù)制到本地計(jì)算機(jī)，并為該用戶創(chuàng)建本地帳戶（如果尚不存在）。注銷過(guò)程注銷時(shí)：用戶的漫游配置文件會(huì)從本地計(jì)算機(jī)合并回中央文件服務(wù)器，但請(qǐng)注意，這并不意味著所有本地更改都會(huì)被刪除；實(shí)際上，它們只是被合并或更新到文件服務(wù)器上的配置文件中。漫游用戶優(yōu)勢(shì)一致性無(wú)論用戶在哪臺(tái)計(jì)算機(jī)上登錄，都能獲得相同的桌面環(huán)境和訪問(wèn)權(quán)限。便捷性用戶無(wú)需手動(dòng)同步或復(fù)制文件即可在不同計(jì)算機(jī)之間無(wú)縫切換。集中管理管理員可以集中管理用戶配置文件，便于備份和恢復(fù)。漫游用戶限制性能問(wèn)題隨著配置文件的增大和網(wǎng)絡(luò)的擁塞，登錄和注銷過(guò)程可能會(huì)變得緩慢。網(wǎng)絡(luò)依賴如果網(wǎng)絡(luò)不可用或文件服務(wù)器出現(xiàn)故障，用戶可能無(wú)法登錄或訪問(wèn)其配置文件。安全性配置文件在傳輸過(guò)程中可能面臨安全風(fēng)險(xiǎn)，需要確保網(wǎng)絡(luò)安全和文件服務(wù)器的安全。強(qiáng)制漫游用戶配置文件可以根據(jù)需要，將漫游用戶配置文件配置為強(qiáng)制漫游用戶配置文件。強(qiáng)制漫游用戶配置文件是指用戶在網(wǎng)絡(luò)中的任何計(jì)算機(jī)上登錄時(shí)，其個(gè)性化設(shè)置和文件都會(huì)被強(qiáng)制從網(wǎng)絡(luò)服務(wù)器上的配置文件同步到本地計(jì)算機(jī)，并且在用戶注銷時(shí)，本地計(jì)算機(jī)上的任何更改都不會(huì)被保存回網(wǎng)絡(luò)服務(wù)器，而是恢復(fù)到登錄前的狀態(tài)。在活動(dòng)目錄中，經(jīng)常會(huì)將實(shí)習(xí)生用戶、員工用戶等設(shè)置為強(qiáng)制漫游用戶，以便統(tǒng)一工作環(huán)境。強(qiáng)制漫游用戶實(shí)現(xiàn)方式1.創(chuàng)建共享文件夾：（1）在網(wǎng)絡(luò)服務(wù)器上創(chuàng)建一個(gè)共享文件夾，用于存儲(chǔ)所有用戶的強(qiáng)制漫游配置文件。（2）設(shè)置共享文件夾的權(quán)限，確保只有域用戶和相應(yīng)的管理員有權(quán)訪問(wèn)。強(qiáng)制漫游用戶實(shí)現(xiàn)方式2.配置用戶屬性：（1）在ActiveDirectory用戶和計(jì)算機(jī)管理工具中，找到需要配置強(qiáng)制漫游配置文件的用戶。（2）修改用戶屬性，將用戶配置文件的路徑設(shè)置為網(wǎng)絡(luò)服務(wù)器上共享文件夾的路徑，并加上用戶的用戶名作為子文件夾名。例如：\\ServerName\Profiles\%Username%，其中“ServerName”是服務(wù)器名，“Profiles”是共享文件夾名，“%Username”是自動(dòng)替換為用戶名的變量。強(qiáng)制漫游用戶實(shí)現(xiàn)方式3.修改NTUSER.DAT文件：（1）在用戶首次登錄并創(chuàng)建漫游配置文件后，管理員需要找到該用戶的NTUSER.DAT文件（通常位于用戶的配置文件文件夾中）。（2）將NTUSER.DAT文件重命名為NTUSER.MAN，以表示這是一個(gè)強(qiáng)制漫游配置文件。注意：這一步操作需要謹(jǐn)慎進(jìn)行，因?yàn)橐坏┪募恢孛脩魧o(wú)法再對(duì)其進(jìn)行更改。強(qiáng)制漫游用戶的特點(diǎn)強(qiáng)制性用戶無(wú)法更改或繞過(guò)強(qiáng)制漫游用戶配置文件的設(shè)置。同步性用戶在不同計(jì)算機(jī)上登錄時(shí)，都能獲得相同的桌面環(huán)境和訪問(wèn)權(quán)限。不可更改性用戶注銷后，本地計(jì)算機(jī)上的任何更改都不會(huì)被保存，保證了配置文件的一致性和穩(wěn)定性。項(xiàng)目10將域成員設(shè)置為客戶機(jī)的管理員域中內(nèi)置組、預(yù)定義組和特殊組的管理域成員計(jì)算機(jī)中組賬戶的管理域成員計(jì)算機(jī)中用戶賬戶的管理用戶權(quán)限最小化原則的應(yīng)用目錄域中內(nèi)置組、預(yù)定義組和特殊組的管理域中組的概念在WindowsServer2022中，組是一個(gè)非常重要的概念。用戶賬戶主要用于標(biāo)識(shí)網(wǎng)絡(luò)中的用戶，組主要用于組織用戶賬戶。利用組可以將具有相同特點(diǎn)及屬性的用戶賬戶組織在一起，以便管理員進(jìn)行管理。當(dāng)網(wǎng)絡(luò)中的用戶數(shù)量非常多時(shí)，給每個(gè)用戶授予資源訪問(wèn)權(quán)限的工作會(huì)非常繁雜，而具有相同身份的用戶的資源訪問(wèn)權(quán)限通常也相同，因此可以將具有相同身份的用戶加入一個(gè)邏輯實(shí)體，并且為該邏輯實(shí)體賦予資源訪問(wèn)權(quán)限，從而減少工作量，簡(jiǎn)化對(duì)資源的管理。這個(gè)邏輯實(shí)體就是組。組的特點(diǎn)組是用戶賬戶的邏輯集合，刪除組并不會(huì)將組內(nèi)的用戶賬戶刪除。在將一個(gè)用戶賬戶加入一個(gè)組后，該用戶賬戶就會(huì)獲得該組所擁有的全部權(quán)限。一個(gè)用戶賬戶可以是多個(gè)組的成員。在特定情況下，組是可以嵌套的，即組中可以包含其他組。域中內(nèi)置組、預(yù)定義組和特殊組的管理在活動(dòng)目錄的域中，可以將組分為3類：內(nèi)置組、預(yù)定義組和特殊組。1）內(nèi)置組內(nèi)置組位于“Builtin”容器中，如圖所示。這些內(nèi)置組都是域本地安全組，可以給用戶提供預(yù)定義的權(quán)利和權(quán)限。用戶不能修改內(nèi)置組的權(quán)限設(shè)置。當(dāng)需要某個(gè)用戶執(zhí)行管理任務(wù)時(shí)（授權(quán)），只需將該用戶賬戶加入相應(yīng)的內(nèi)置組。下面簡(jiǎn)要介紹幾個(gè)較為常用的內(nèi)置組?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理AccountOperators（用戶賬戶操作員組）：該組中成員可以創(chuàng)建、刪除和修改用戶賬戶的隸屬組，但是不能修改“Administrators”組和“AccountOperators”組?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理Administrators（管理員組）：該組中的成員對(duì)域控制器及域中的所有資源都具有完全控制權(quán)限，并且可以根據(jù)需要為其他用戶賦予相應(yīng)的權(quán)利和訪問(wèn)權(quán)限。在默認(rèn)情況下，“Administrator”賬戶、“DomainAdmins”和“EnterpriseAdmins”預(yù)定義全局組是該組的成員。由于該組中的成員可以完全控制域控制器，所以在向該組中添加用戶賬戶時(shí)要謹(jǐn)慎?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理BackupOperators（備份操作員組）：該組中的成員可以備份和還原域控制器中的文件，不管是否有該文件的的訪問(wèn)權(quán)限。這是因?yàn)閳?zhí)行備份任務(wù)的權(quán)限要高于所有文件權(quán)限。但該組成員不能更改文件的安全設(shè)置?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理Guests（來(lái)賓組）：該組中的成員只能執(zhí)行授權(quán)任務(wù)，以及訪問(wèn)為其分配了訪問(wèn)權(quán)限的資源。該組中的成員具有一個(gè)在登錄時(shí)創(chuàng)建的臨時(shí)配置文件，在注銷時(shí)，該配置文件會(huì)被刪除。來(lái)賓賬戶“Guest”是該組中的默認(rèn)成員?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理NetworkConfigurationOperators（網(wǎng)絡(luò)配置操作員組）：該組中的成員可以更改TCP/IP配置。PerformanceLogUsers（性能日志用戶組）：該組中的成員可以從本地服務(wù)器和遠(yuǎn)程客戶端管理性能計(jì)數(shù)器、收集性能日志?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理PrintOperators（打印機(jī)操作員組）：該組中的成員可以管理打印機(jī)和打印隊(duì)列。ServerOperators（服務(wù)器操作員組）：該組中的其成員只可以共享磁盤資源和在域控制器上備份和恢復(fù)文件。“ActiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理Users（用戶組）：該組中的成員可以執(zhí)行一些常見任務(wù)，如運(yùn)行應(yīng)用程序、使用網(wǎng)絡(luò)打印機(jī)等。該組中的成員不能共享目錄和創(chuàng)建本地打印機(jī)等。在默認(rèn)情況下，“DomainUsers”賬戶是“AuthenticatedUsers”賬戶是該組中的成員。因此，在域中創(chuàng)建的所有用戶都將成為該組的成員?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Builtin”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理2）預(yù)定義全局組在域創(chuàng)建完成后，打開“ActiveDirectory用戶和計(jì)算機(jī)”窗口，可以看到“Users”容器中創(chuàng)建了預(yù)定義全局組，如圖所示。下面簡(jiǎn)要介紹幾個(gè)較為常用的預(yù)定義全局組?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理DomainAdmins（域管理員組）：WindowsServer2022會(huì)自動(dòng)將預(yù)定義組“DomainAdmins”添加到內(nèi)置組“Administrators”中，因此域管理員可以在域中的任意一臺(tái)計(jì)算機(jī)上執(zhí)行管理任務(wù)?！癆dministrator”賬戶是該組中的默認(rèn)成員?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理DomainGuests（域來(lái)賓組）：WindowsServer2022會(huì)自動(dòng)將預(yù)定義組“DomainGuests”組添加到“Guests”內(nèi)置域組中，Guest賬戶默認(rèn)是該組的成員?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理DomainUsers（域用戶組）：WindowsServer2022自動(dòng)將自定義組“DomainUsers”添加到內(nèi)置組“Users”中。新建的域用戶都是該組中的默認(rèn)成員?！癆ctiveDirectory用戶和計(jì)算機(jī)”窗口的“Users”容器中的組域中內(nèi)置組、預(yù)定義組和特殊組的管理3）特殊組在WindowsServer2022服務(wù)器上還有一些特殊組，這些組中沒有特定的成員關(guān)系，但是它們可以在不同時(shí)間代表不同的用戶，這取決于用戶采取哪種方式訪問(wèn)計(jì)算機(jī)，訪問(wèn)什么資源。在執(zhí)行組管理時(shí)，特殊組不可見，但是在給資源分配權(quán)限時(shí)會(huì)使用它們。域中內(nèi)置組、預(yù)定義組和特殊組的管理（1）AnonymousLogon（匿名登錄組）：該組中的成員都是沒有經(jīng)過(guò)身份驗(yàn)證的用戶賬戶。（2）AuthenticatedUsers（已認(rèn)證的用戶組）：該組中的成員都是合法用戶賬戶。使用“AuthenticatedUsers”組可以禁用匿名訪問(wèn)某個(gè)資源?！癆uthenticatedUsers”組不包括“Guest”賬戶。（3）Everyone（每人組）：該組中的成員都是訪問(wèn)該計(jì)算機(jī)的所有用戶賬戶，如“AuthenticatedUsers”組和“Guests”組中的用戶賬戶，因此在給“Everyone”組分配權(quán)限時(shí)要特別注意。域中內(nèi)置組、預(yù)定義組和特殊組的管理（4）CreatorOwner（創(chuàng)建所有者組）：該組中的成員都是創(chuàng)建和取得所有權(quán)的用戶賬戶。（5）Interactive（交互組）：該組中的成員是當(dāng)前登錄計(jì)算機(jī)或通過(guò)遠(yuǎn)程桌面連接登錄到域的所有用戶賬戶。（6）Network（網(wǎng)絡(luò)組）：該組中的成員是通過(guò)網(wǎng)絡(luò)連接所有登錄到域的用戶賬戶。（7）TerminalServerUsers（終端服務(wù)器用戶組）：當(dāng)以應(yīng)用程序服務(wù)器模式安裝終端服務(wù)器時(shí)，該組中的成員是使用終端服務(wù)器登錄到域的任意用戶賬戶。（8）Dialup（撥號(hào)組）：該組中的成員是當(dāng)前進(jìn)行撥號(hào)連接的用戶賬戶。域成員計(jì)算機(jī)中組賬戶的管理域成員計(jì)算機(jī)中組賬戶的管理在域內(nèi)，即使將成員計(jì)算機(jī)加入域，它們的內(nèi)置本地組也會(huì)保留，并且依托這些內(nèi)置本地組為域用戶提供在本機(jī)上執(zhí)行管理任務(wù)的權(quán)限。同域中的內(nèi)置組一樣，成員計(jì)算機(jī)的用戶賬戶也不能修改內(nèi)置本地組的權(quán)限設(shè)置。當(dāng)需要用戶賬戶在本地計(jì)算機(jī)上執(zhí)行相應(yīng)的管理任務(wù)時(shí)，只需將用戶賬戶加入相應(yīng)的內(nèi)置本地組。域成員計(jì)算機(jī)中組賬戶的管理在任務(wù)欄中右擊“開始”圖標(biāo)，在彈出的快捷菜單中選擇“計(jì)算機(jī)管理”命令，打開“計(jì)算機(jī)管理”窗口，在左側(cè)的列表框中選擇“系統(tǒng)工具”→“本地用戶和組”選項(xiàng)，可以查看內(nèi)置本地組，如圖所示。下面就其中幾個(gè)較為常用的組做簡(jiǎn)要介紹。域成員計(jì)算機(jī)的內(nèi)置本地組域成員計(jì)算機(jī)中組賬戶的管理Administrators（管理員組）：該組中的成員具有對(duì)域客戶機(jī)的完全控制權(quán)限，并且可以為其他用戶分配權(quán)限?！癆dministrators”組中的成員如圖所示，“DomainAdmins”組是該組中的默認(rèn)成員，而域管理員是“DomainAdmins”組中的成員，因此域管理員默認(rèn)擁有所有域成員計(jì)算機(jī)的管理權(quán)限?！癆dministrators”組中的成員域成員計(jì)算機(jī)中組賬戶的管理Users（用戶組）：該組中的成員只可以執(zhí)行被授權(quán)的任務(wù)，只能訪問(wèn)具有訪問(wèn)權(quán)限的資源?！癠sers”組中的成員如圖所示，“DomainUsers”組是該組中的默認(rèn)成員，而域用戶是“DomainUsers”組中的默認(rèn)成員，所以域用戶默認(rèn)擁有使用域成員計(jì)算機(jī)的權(quán)限?！癠sers”組中的成員域成員計(jì)算機(jī)中用戶賬戶的管理域成員計(jì)算機(jī)中用戶賬戶的管理域控制器負(fù)責(zé)管理域用戶賬戶和域組賬戶，沒有本地用戶賬戶和本地組賬戶。域成員計(jì)算機(jī)有本地用戶賬戶和本地組賬戶，為了管理方便，域管理通?；厥樟顺蓡T計(jì)算機(jī)的本地用戶賬戶，僅允許員工以域用戶賬戶的身份在客戶機(jī)登錄。用戶權(quán)限最小化原則的應(yīng)用用戶權(quán)限最小化原則的應(yīng)用1）域控制器的用戶權(quán)限域控制中的內(nèi)置組預(yù)先為戶定義了與之匹配的操作域控制器的具體權(quán)限，新建的域用戶都是“DomainUsers”組中的默認(rèn)，該組的成員可以執(zhí)行一些常見任務(wù)，如運(yùn)行應(yīng)用程序、使用網(wǎng)絡(luò)打印機(jī)等，但不能共享目錄、修改計(jì)算機(jī)配置等。如果要讓域用戶擁有更多的權(quán)限，則可以將其添加到擁有對(duì)應(yīng)權(quán)限的組中。例如，網(wǎng)絡(luò)部員工用戶“tom”經(jīng)常需要備份域控制器中的文件，可以將域用戶“tom”添加入“BackupOperators”組中，從而滿足“tom”用戶的工作需求。用戶權(quán)限最小化原則的應(yīng)用注意：不能將“TOM”添加入“DomainAdmins”組中，因?yàn)樵摻M不僅具有域控制器的備份與還原權(quán)限，還具有域用戶的添加與刪除、域控制器的安全部署與配置等權(quán)限。如果將“TOM”用戶添加到該組中，則可能會(huì)給域的管理帶來(lái)混亂，影響公司域的正常運(yùn)作，甚至造成信息外泄等嚴(yán)重后果。因此，在為域用戶授權(quán)時(shí)，應(yīng)該遵從權(quán)限最小化原則，在權(quán)限上避免員工的非法操作。用戶權(quán)限最小化原則的應(yīng)用2）域成員計(jì)算機(jī)的用戶權(quán)限同域控制器的用戶權(quán)限類似，域成員計(jì)算機(jī)的用戶權(quán)限也是由內(nèi)置組預(yù)先定義的，如果域用戶需要域成員計(jì)算機(jī)擁有更多的操作權(quán)限，則需要將該域用戶添加到相應(yīng)的域成員計(jì)算機(jī)內(nèi)置組中。用戶權(quán)限最小化原則的應(yīng)用注意：域控制器中內(nèi)置組的權(quán)限范圍是所有的域控制器，因此，如果將域用戶加入域控制器中的內(nèi)置組，那么該域用戶繼承的權(quán)限可以作用于所有的域控制器，但這些權(quán)限不能作用于域成員計(jì)算機(jī)；如果將域用戶加入“DomainAdmins”組，那么該域用戶繼承的權(quán)限不僅可以作用于所有的域控制器，還可以作用于域成員計(jì)算機(jī)。域成員計(jì)算機(jī)中內(nèi)置組的權(quán)限范圍是本機(jī)。因此，如果一個(gè)域用戶需要具有多臺(tái)域成員計(jì)算機(jī)的特定權(quán)限，則需要將該域用戶添加到這些域成員計(jì)算機(jī)中的相應(yīng)內(nèi)置組來(lái)授權(quán)。項(xiàng)目11管理將計(jì)算機(jī)加入域的權(quán)限普通域用戶將計(jì)算機(jī)加入域的權(quán)限普通域用戶將指定計(jì)算機(jī)加入域的權(quán)限域控制器和域成員計(jì)算機(jī)之間的信任關(guān)系目錄普通域用戶將計(jì)算機(jī)加入域的權(quán)限普通域用戶將計(jì)算機(jī)加入域的權(quán)限在默認(rèn)情況下，一個(gè)普通域賬戶最多可以將10臺(tái)計(jì)算機(jī)加入域，這有可能導(dǎo)致普通域用戶將外部計(jì)算機(jī)加入域，存在不可預(yù)期的安全隱患。將普通域用戶允許加入域的計(jì)算機(jī)數(shù)量由10改為0，如圖所示，即可限制該域用戶將計(jì)算機(jī)加入域的權(quán)限。普通域用戶將指定計(jì)算機(jī)加入域的權(quán)限普通域用戶將指定計(jì)算機(jī)加入域的權(quán)限在限制了普通域賬戶將計(jì)算機(jī)加入域的權(quán)限后，域管理員可以授權(quán)普通域用戶將指定的計(jì)算機(jī)加入域。例如，要將一臺(tái)名為“sqlserver2”的計(jì)算機(jī)加入活動(dòng)目錄的“網(wǎng)絡(luò)部”組織單位，域管理員可以在“ActiveDirectory用戶與計(jì)算機(jī)”管理控制臺(tái)的“業(yè)務(wù)部”組織單位中的右鍵菜單中選擇“新建”→“計(jì)算機(jī)”命令，彈出“新建對(duì)象-計(jì)算機(jī)”對(duì)話框，如圖所示。新建-計(jì)算機(jī)賬戶普通域用戶將指定計(jì)算機(jī)加入域的權(quán)限在“計(jì)算機(jī)名”文本框中輸入“sqlserver2”，在“用戶或組”中選擇網(wǎng)絡(luò)部用戶“jack@”（授權(quán)普通用戶“jack”），這樣用戶“jack”就可以將該客戶機(jī)加入域了。計(jì)算機(jī)sqlserver2在加入域后，用戶“jack”的委派工作就結(jié)束了。

添加對(duì)象-計(jì)算機(jī)域控制器和域成員計(jì)算機(jī)之間的信任關(guān)系信任關(guān)系的定義在Windows域環(huán)境中，信任關(guān)系是在域之間（包括域控制器和域成員計(jì)算機(jī)）建立的一種關(guān)系，它允許一個(gè)域中的用戶和資源能夠被另一個(gè)域中的域控制器進(jìn)行身份驗(yàn)證和訪問(wèn)控制。這種信任關(guān)系是通過(guò)活動(dòng)目錄中的策略和設(shè)置來(lái)實(shí)現(xiàn)的。如果域成員計(jì)算機(jī)長(zhǎng)時(shí)間未登錄域，那么域控制器和客戶機(jī)之間的信任關(guān)系會(huì)被破壞。例如，域成員計(jì)算機(jī)計(jì)算機(jī)超過(guò)30天沒有登錄域，會(huì)導(dǎo)致安全通道密碼發(fā)生變化，需要重置安全通道密碼。在這種情況下，通常需要將該計(jì)算機(jī)從域中退出，再將其重新加入域。域控制器和域成員計(jì)算機(jī)之間的信任關(guān)系身份驗(yàn)證用戶訪問(wèn)網(wǎng)絡(luò)資源時(shí)，需通過(guò)域控制器驗(yàn)證其身份。驗(yàn)證基于活動(dòng)目錄的權(quán)限，且依賴域控制器與成員計(jì)算機(jī)間的信任關(guān)系。信任關(guān)系一旦受損，用戶將無(wú)法訪問(wèn)資源。策略應(yīng)用域控制器運(yùn)用組策略統(tǒng)一配置域內(nèi)計(jì)算機(jī)，確保安全與管理的標(biāo)準(zhǔn)化。此應(yīng)用同樣依賴于域控制器與成員計(jì)算機(jī)間的信任關(guān)系。資源訪問(wèn)域內(nèi)資源訪問(wèn)基于域控與成員間的信任。用戶訪問(wèn)時(shí)，域控制器會(huì)驗(yàn)證用戶的身份和權(quán)限，決定訪問(wèn)是否通過(guò)。維護(hù)信任關(guān)系的重要性安全性信任關(guān)系確保了域內(nèi)用戶和資源的安全訪問(wèn)。如果信任關(guān)系被破壞，未經(jīng)授權(quán)的用戶可能會(huì)訪問(wèn)敏感資源，導(dǎo)致數(shù)據(jù)泄露或損壞。穩(wěn)定性穩(wěn)定的信任關(guān)系有助于確保域環(huán)境的穩(wěn)定運(yùn)行。如果信任關(guān)系出現(xiàn)問(wèn)題，可能會(huì)導(dǎo)致身份驗(yàn)證失敗、資源訪問(wèn)受限等問(wèn)題，影響用戶的正常工作。管理性通過(guò)信任關(guān)系，管理員可以更方便地管理域內(nèi)的用戶和資源。例如，他們可以使用組策略來(lái)統(tǒng)一設(shè)置用戶環(huán)境、應(yīng)用程序和安全策略等。項(xiàng)目12組的管理與AGUDLP原則組的類型組的作用域AGUDLP原則目錄組的類型組的類型在活動(dòng)目錄中，有兩種不同類型的組：通訊組和安全組。通訊組存儲(chǔ)著用戶的聯(lián)系方式，用于進(jìn)行批量用戶之間的通信，如群發(fā)郵件、開視頻會(huì)議等，它沒有安全特性，不可用于進(jìn)行授權(quán)。安全組具備通訊組的全部功能，用于為用戶和計(jì)算機(jī)分配權(quán)限，是WindowsServer2022標(biāo)準(zhǔn)的安全主體。通訊組的特點(diǎn)郵件通訊通訊組的核心功能是作為郵件的收件人群組，方便群發(fā)郵件。當(dāng)需要向一組人發(fā)送相同內(nèi)容的郵件時(shí)，只需將郵件發(fā)送給通訊組，即可實(shí)現(xiàn)批量發(fā)送。無(wú)安全特性通訊組沒有安全標(biāo)識(shí)（SID），因此不能用于授權(quán)訪問(wèn)網(wǎng)絡(luò)資源或本地資源。它僅用于郵件通訊，不涉及權(quán)限管理。靈活性通訊組的成員可以靈活添加和刪除，以適應(yīng)不同的通訊需求。管理員可以根據(jù)實(shí)際情況調(diào)整組成員，確保郵件能夠準(zhǔn)確發(fā)送給需要的人。易于管理通訊組簡(jiǎn)化了郵件通訊的管理過(guò)程，減少了重復(fù)發(fā)送郵件的工作量。通過(guò)管理通訊組，可以更有效地控制郵件的發(fā)送對(duì)象和發(fā)送內(nèi)容。安全組特點(diǎn)安全標(biāo)識(shí)（SID）：安全組擁有唯一的SID，使其能作為授權(quán)資源訪問(wèn)的對(duì)象，SID是Windows系統(tǒng)中用來(lái)唯一識(shí)別用戶