AD域維護(hù)手冊(cè)資料

青蛙阜堂

AD域維日常維護(hù)手冊(cè)

一、ActiveDirectory（域）介紹

ActiveDirectory的體系構(gòu)造介紹

ActiveDirectory的體系構(gòu)造分為規(guī)律構(gòu)造和物理構(gòu)造。必需對(duì)Active

Directory的規(guī)律構(gòu)造與物理構(gòu)造進(jìn)展規(guī)章，才能較好地滿足企業(yè)的需求。為了

治理ActiveDirectory，必需首先理解這些構(gòu)造。

ActiveDirectory的作用

ActiveDirectory可以存儲(chǔ)用戶、計(jì)算機(jī)和網(wǎng)絡(luò)資源的信息,并且使資源可

以被用戶和應(yīng)用程序訪問。它供給了一種統(tǒng)一的方法來命名、描述、定位、訪問、

治理、和保護(hù)這些資源。

ActiveDirectory具有如下功能：

?對(duì)網(wǎng)絡(luò)資源的集中掌握。通過對(duì)諸如效勞器、共享文件和打印機(jī)等的資

源進(jìn)展集中掌握，只有授權(quán)用戶可以訪問ActiveDirectory中的資源……例

如，可以通過給行政部的激光打印機(jī)設(shè)置權(quán)限，設(shè)置只有行政部人員可以使用該

打印機(jī)……從而避開非法使用和資源鋪張。

?集中和分散治理。治理員通過全都的治理界面，能夠可以編寫一個(gè)組策

略，使得某個(gè)應(yīng)用程序的升級(jí)包能夠在網(wǎng)絡(luò)中每個(gè)用戶開機(jī)的時(shí)候就自動(dòng)安裝，

從而分散治理任務(wù)。例如，治理員可以把銷售部的計(jì)算機(jī)和打印機(jī)納入到一個(gè)組織

單元中，將它們的治理權(quán)限委派給銷售部的技術(shù)支持人員，從而削減自己的工作量。

?在規(guī)律構(gòu)造中安裝地存儲(chǔ)對(duì)象。ActiveDirectory使用層次規(guī)律構(gòu)造

把全部資源作為對(duì)象存儲(chǔ)。例如，可以依據(jù)公司的組織構(gòu)造和業(yè)務(wù)需求來組織相

應(yīng)的組織單元，將網(wǎng)絡(luò)資源分布在相應(yīng)的組織單元中，實(shí)現(xiàn)分級(jí)治理。Active

Directory還會(huì)對(duì)儲(chǔ)在其中的對(duì)象進(jìn)展加密，這樣可以保證數(shù)據(jù)的安全。

?優(yōu)化網(wǎng)絡(luò)流量，ActiveDirectory物理構(gòu)造能夠更加高效地使用網(wǎng)絡(luò)

帶寬，例如，當(dāng)用戶登錄到網(wǎng)絡(luò)時(shí)，能夠保證用戶是由離他們最近的驗(yàn)證中心進(jìn)展

身份驗(yàn)證，從而減小了網(wǎng)絡(luò)流量。

ActiveDirectory效勞的優(yōu)勢(shì)

WindowsServer2022系列中ActiveDirectory是對(duì)WindowsNT中的

扁平域模型的重大改進(jìn)。

?集中的數(shù)據(jù)存儲(chǔ)。ActiveDirectory中的全部數(shù)據(jù)都保存在一個(gè)獨(dú)立

的分布式數(shù)據(jù)庫中，允許用戶從任何位置訪問這些信息。和其他數(shù)據(jù)存儲(chǔ)方式相

比，獨(dú)立的數(shù)據(jù)存儲(chǔ)所需的治理重復(fù)勞動(dòng)更少，并旦提高了數(shù)據(jù)的可用性和可組

織性。

?可伸縮性。ActiveDirectory使治理員能通過配置域和樹以及減掌

握器的主席團(tuán)來調(diào)整名目，以滿足業(yè)務(wù)和網(wǎng)絡(luò)的要求。ActiveDirectory允許

每個(gè)域有兒百萬個(gè)對(duì)象，并使用索引技術(shù)和先進(jìn)的復(fù)制技術(shù)來加速處理。

?可擴(kuò)展性。ActiveDirectory數(shù)據(jù)庫的架構(gòu)可以被擴(kuò)展，以便允許自

定義的信息類型。

?可治理性。ActiveDirectory是基于分組組織構(gòu)造的。這些組織構(gòu)造

使治理員能更簡(jiǎn)潔地掌握治理權(quán)限和其他安全設(shè)置，并且使用戶能更簡(jiǎn)潔地定位

網(wǎng)絡(luò)資源，比方文件和打印機(jī)

?與DNS相集成。ActiveDirectory使用了DNS,它是一種基于IP

地址的Internet標(biāo)準(zhǔn)效勞，可以把可讀性好的主機(jī)名稱轉(zhuǎn)換為IP地址，雖然

ActiveDirectory和DNS是分開的，并且由于用途不同而被方式不同，但是

它們有一樣的分級(jí)構(gòu)造。ActiveDirectory客戶端使用DNS來定位域掌握

器。在使用WindowsServer2022DNS效分時(shí)，可以將主DNS區(qū)域存儲(chǔ)在

ActiveDirectory中，并啟用到其他ActiveDirectory域掌握器的復(fù)制。

?客戶端配置治理。ActiveDirectory供給了技術(shù)來治理客戶端配置問

題，例如配置文件可以在不同的機(jī)器上漫游，即便發(fā)生硬盤故障，也可以在別的

機(jī)器上馬上重開頭工作，這樣可以將治理工作和用戶停機(jī)時(shí)間都減到最小

?基于策略的治理。在ActiveDirectory中，策略用于定義給定站點(diǎn)、

域或者組織單元上用戶和計(jì)算機(jī)的可進(jìn)展的操作和設(shè)置。基于策略的治理簡(jiǎn)化了

一些傻笑國(guó)，比方操作系統(tǒng)更、應(yīng)用程序安裝、用戶配置文件和桌面系統(tǒng)鎖定

?信息復(fù)制。ActiveDirectory供給多謝機(jī)復(fù)制技術(shù)，以確保信息的可

用性、容錯(cuò)、負(fù)載平衡和其他性能優(yōu)點(diǎn)。多主機(jī)復(fù)制使治理員能在任何域掌握器

上更名目并將名目更改復(fù)制到任何其他域掌握器上。由于承受了多臺(tái)域掌握器,

即使一臺(tái)域掌握器停頓了工作，復(fù)制仍可連續(xù)。

二、AD域界面預(yù)覽

可以通過開頭菜單一治理工具一ActiveDirectory用戶和計(jì)算機(jī)翻開

1.1Builtin這個(gè)模塊里面的組都是系統(tǒng)的默認(rèn)組

1.2Computers這個(gè)模塊里面的都是域的客戶端計(jì)算機(jī)名（全部加了域的計(jì)算機(jī)都會(huì)在這個(gè)模塊里

顯示）

1.3DomainContrillers這個(gè)模塊里面的是域掌握器的計(jì)算機(jī)名

1.4Users就是AD域里面的一些用戶和組了，假設(shè)建的賬戶沒指定安排到哪些地方的話，也會(huì)消

滅在這個(gè)Users里面的

三、AD域賬號(hào)的建立

例如我在dg的根底OU上再建立一個(gè)qiantai（前臺(tái)）前臺(tái)式面再建立話1、話2這樣都是可以的,

但是官方建議嵌套層面最好不要超過10層。

五、AD域賬戶0U間的移動(dòng)

例如我賬戶張三是屬于dg-ciantai-話1的，那么我們直接選中張三這個(gè)賬戶，左鍵直接拖到話1的

OU中就可以了。

六、AD域策略的介紹以及部署范圍

AD域默認(rèn)的2個(gè)策略，域安全策略以及域掌握器安全策略

域安全策略呢，就是針對(duì)整個(gè)域的用戶、計(jì)算機(jī)，假設(shè)對(duì)這個(gè)域安全策略做修改的話，那么它的生效

范圍將是整個(gè)域（全部參加域的計(jì)算機(jī)、或者用戶）

域掌握器安全策略，就是針對(duì)域掌握器效勞器的（DC）,假設(shè)針對(duì)這個(gè)域安全策略做修改的話，那

么它的生效范圍是域效勞器

假設(shè)域安全策略和域掌握器安全策略有沖突的話，以域掌握器安全策略為準(zhǔn)

七、AD域0U的策略部署

例如我需要對(duì)前臺(tái)的話務(wù)人員做一條策略是制止C盤的，只需要右擊下qiantai屬性一組策略一建

一策略名稱任憑起個(gè)，我這里是為了便利表示。

雙擊策略或者點(diǎn)編輯，就可以直接對(duì)策略進(jìn)展編輯修改，本例是制止C盤，如假設(shè)要修改或者限制其

他的，請(qǐng)具體查看組策略然后依據(jù)我所描述的方法就可以了。

選擇要限制的盤符

部署完策略后，在效勞器上執(zhí)行這條命令，意思就是刷策略，后面跟的參數(shù)是強(qiáng)制刷的意思。假設(shè)想

要客戶端也馬上生效的話也同樣在客戶端上執(zhí)行?樣命令，由于AD域策略默認(rèn)是90分鐘才自動(dòng)刷

一次的，所以你不更要等90分鐘才能看到效果

有一點(diǎn)要特別申明一下

這電的【計(jì)算機(jī)配置】策略所應(yīng)用的范圍是計(jì)算機(jī)，也就是說你建立的OU里面所包含的對(duì)象必需是

計(jì)算機(jī)才能生效，相對(duì)的來說【用戶配置】的話對(duì)象就是針對(duì)賬戶來做的。

【計(jì)算機(jī)配置】命令刷后，需注銷或者重起計(jì)算機(jī)才能看到效果

【用戶配置】命令刷后，就可觀察效果，有個(gè)別的需要注銷.

八、AD域策略的阻擋策略繼承和制止替代

假設(shè)勾上阻擋策略繼承，那么就只有qiantai這個(gè)OU里面的對(duì)象對(duì)這個(gè)策略生效了，而qiantai下

面的話1室和話2室OU都不會(huì)接收這個(gè)策略的

制止替代呢，就是除了接收自己OU的策略外，其它策略一概不接收，由于在上下層的OU里默認(rèn)策

略是下級(jí)繼承上級(jí)的，也就丹說，假設(shè)下級(jí)OU制止替代的話，那么上級(jí)OU的策略也就被阻擋了下

不來。假設(shè)，話1室的策略是開放C盤，qiantai的策略是制止C盤，而下級(jí)0U話1室有勾上了

這個(gè)制止替代，那么最終話1室得到的策略將是開放C盤

九、客戶端加域操作

在參加域之前首先要知道域掌握器(DC)的IP地址以及DC的域名，IP地址是40

而客戶端在加域之前首先要把DNS的指向指到DC上，這樣才能解析DC的域名后才能加域

右擊我的電腦■屬性-計(jì)算機(jī)名■更改■選擇域■輸入域名

輸入一個(gè)有權(quán)限參加域的賬號(hào)跟密碼，每個(gè)域賬戶都可以加1D個(gè)成員，治理員無限制

加域成功后，重啟計(jì)算機(jī)登陸到域環(huán)境就OK了！

卜拉菜單中選擇登陸的環(huán)境，一個(gè)是本機(jī)，一個(gè)是域

十、組策略治理(GPMC)工具的使用(重點(diǎn))

GPMC的主要特征包括諸如組策略對(duì)象(GPO)備份、恢復(fù)、導(dǎo)入、復(fù)制與報(bào)表生成之類的增功能。

GPMC工具包可以從微軟官網(wǎng)下載獵取，安裝很簡(jiǎn)潔始終下一步即可

安裝完畢后可在治理工具下找到組策略治理，直接雙擊運(yùn)行即可

10.GPMC治理界面的生疏

在AD里全部的OU、己設(shè)置的組策略都能在這個(gè)工具（GPMC）里顯示出來,

10.2、組策略的使用

翻開組策略治理，翻開相關(guān)域下面的組策略對(duì)象，用右鍵翻開菜單建.

建完之后，我們就可對(duì)這個(gè)對(duì)象進(jìn)展編輯了。在相應(yīng)的策略上面右鍵翻開菜單，點(diǎn)編輯。（見以下圖）

點(diǎn)編輯之后，就會(huì)消滅如我們尋常在PC上用gpedit.msc翻開的組策略治理是?樣的。

留意：組策略是分為兩局部的。一是計(jì)算機(jī)配置，是針對(duì)計(jì)算機(jī)應(yīng)用的，二是用戶配置，是針對(duì)用

戶應(yīng)用的。組策略編輯器是具體使用就不介紹了，這跟尋常用的組策略是一樣的。

10.3、組策略應(yīng)用

我們建的組策略是沒有被應(yīng)用下去的，這點(diǎn)和PC上面的組策略不一樣，PC上的組策略是應(yīng)用在本

機(jī)上的。面我們域的策略在應(yīng)用在哪里需要系統(tǒng)治理員自己定義。

在組策略治理里面我們只需要把做好的組策略對(duì)象拖到你要應(yīng)用的對(duì)象下面就可以了,

你可以在這里看出0U下面與組策略對(duì)象下面的策略圖標(biāo)的區(qū)分，相當(dāng)于連接了快捷方式，假設(shè)你不

需要對(duì)這個(gè)0U使用這甘條策略的時(shí)候，可以才0U下面刪除這個(gè)快捷方式面不影響其他0U的應(yīng)用。

10.4、報(bào)表形式查看組策略

選中需要查看的策略，然后在右側(cè)，設(shè)置選項(xiàng)中就可以已報(bào)表的形式來查看了，可以保存為htm格

式的文件

10.5、組策略的備份、復(fù)原、導(dǎo)出和導(dǎo)入

單擊【組策略對(duì)象】選中需要操作的策略，然后右擊，依據(jù)所需狀況來操作

就這幾個(gè)功能是我們這些治理人員日常用到的