活动目录笔记

活动目录的概述一：概念1. 活动目录:Active Directory,MS的目录服务(还有Novell 的NDS)2. 域:活动目录数据库和活动目录的集合3. 域控制器:域的物理载体二：创建第

活动目录的概述

一：概念

1. 活动目录:Active Directory,MS的目录服务(还有Novell 的NDS)

2. 域:活动目录数据库和活动目录的集合

3. 域控制器:域的物理载体

二：创建第一个域

1. 前提：固定IP,NTFS 分区(convert c:/fs:ntfs)

2. 提升:dcpromo--新域---新林中的域

1) DNS 名称(域名的格式同DNS 名)

2) 数据库和日志文件存储:分开存储

3) DNS 配置:同时安装

4) 还原模式密码:用来还原DB

3. 确认:

1) netlogon 和sysvol 的共享---net share

2) AD 三大管理工具---dsa.msc,domain.msc,dssite.msc

3) DNS 配置--dnsmgmt.msc(两个区域:_msdcs.sodi.com和sodi.com)

4. 修复:net stop netlogon & net start netlogon(与AD 集成的区域)

5. 加入域：

1) client 需要指向DNS

2) domain users有权利将client 加入域

三：域的组件

1. 逻辑组件: 域林，域树，域;OU

2. 物理组件:DC, Site, Site Link

四：AD用户和计算机基本管理

1. 组/OU(组织单位)/容器

1) 组：基于权利的分配

2) 容器:存放AD 对象

3) OU：管理存放的AD 对象

2. OU 的委派控制

1) 作用:权利的分配

2) 工具:Adminpak(Windows 2003 CD)

3. 增强命令行(P14,P69)

LDAP:AD管理工具定位,查找，更改AD 数据库中内容

资源标识:标识名

cn=tom,ou=sodi,dc=contoso,dc=com

用户cn=；容器cn=,OU=,

域sodi.com:dc=sodi,dc=com

例:dsadd user cn=tom,ou=hr,ou=sodi,dc=contoso,dc=com –p pass01! –u administrator –p password01!

以域administrator(其密码是password01!)在contoso.com 下的名为sodi 的

OU 下的子OU hr 下建立一个名为tom 的用户,其密码为pass01!

实现域林架构

一：域林概述：

由一个或多个域树组成;域树之间命名没有联系;域树之间存在信任关系

二：域树概述

由一个或多个域组成;域之间命名有延续性;根域与子域之间存在信任关系

三：架设一个子域

1. 前提：TCP/IP设定,DNS设定---指向林根域的DNS 地址

2. 提升：现有域树的子域----输入user/pwd(enterprise admins)

3. 验证父子域关系：

1) 域中用户可以到另一个域中的计算机(除DC)上交互式登录

2) Enterprise Admins组的成员可以登录到域中的任何一台计算机

4. 子域DNS 配置：

1. 需求:减轻根域DNS 的负荷

2. 配置:

a) 子域DC 的DNS 指向自己

b) 新建子域区域(east.contoso.com)

c) Net stop netlogon & net start netlogon

5. 注意:_mstsc区域只是在根域第一个域控的DNS 上存在

四：架设第二棵域树

1. 前提：TCP/IP设定，DNS设定---指向林根域的DNS 地址

2. 提升：现有林的域树----输入user/pwd(enterprise admins)；DNS配置—

同时安装(提升后,更改此DC 的DNS 指向自己)

3. 验证域树之间关系：

1) 域中的用户可以到任何一台域中的计算机(除DC)

2) Enterprise Admins组的成员可以登录到域中的任何一台计算机

管理信任关系

一：信任关系作用

域之间沟通的桥梁,域信任之后,用户就可以到信任域中登录(访问资源)

二：信任关系类型

父子信任和树根信任(默认)；快捷方式信任(一个林之间的不同域之间),林信任(林根域之间),外部信任(两个林间的不同域之间),领域信任(非MS)

三：信任关系的工作流程

用户沿着信任关系的路径询问GC(全局编录),并查找到相应资源

四：信任关系的创建

1. 考虑的事项

1) 域中的用户经常性访问其他域中的资源

2) 为了减轻上层DC(GC)的压力

3) 提高登录效率

2. 创建信任关系

1) 前提:DNS域名解析,用转发器来实现

2) shortcut 过程:信任的域(信任谁？)----双向信任——这个域和指定域

----输入user/pwd(指定域)-----确认

3) forest trust 过程(林根域之间):需要提升林级别为2003(先提升域级别

为2003),步骤2－22------2-32(P51)

用户和组的管理

一：用户/组的概述

1. 工作组:administrator,guest;guests,users,power users,administrators

2. 域：administrator,guest;administrators,users,

;domain guests,domain users,domain admins;enterprise admins(林根域) 二：用户组的类别

1. Group type:

1) 安全组---对资源分配权限

2) 分布组：创建邮件组;功能是安全组的一个子集

2. Group scope:

1) 域本地组:作用于本域;成员来自有信任关系的域

2) 全局组:作用于有信任关系的域;成员来自于本域

3) 通用组:作用于全林(域级别为2000 native以上); 成员来自全林

三：AGUDLP规则

Account->Global->Universal->Domain Local->Permission

其他规则：AGDLP

组策略的概述

一：作用

1. 管理用户环境(桌面,菜单,文件夹重定向，IE设置)

2. 软件自动部署(安装，升级，卸载)

3. 软件限制(哈希算法,路径限制)

二：默认策略

工作组:gpedit.msc---本地的策略

域:DC上gpedit.msc---本地;dsa.msc—域属性―组策略――>默认的域策略(针对于域中的所有pc/users)

管理工具：默认的DC 安全策略――本地策略的子集(gpedit.msc)

默认域安全策略----默认的域策略的子集

三：组策略的存储

GPO 组成：GPC(组策略容器):GPO的版本信息，存在AD 中

GPT(组策略模板):GPO具体设置(computer/user)，存在SYSVOL 中

用户登录/计算机启动应用GPO:查看GPC 版本号是否变化-Æ拿GPT 的设置

User---GPO 的用户设置

Computer—GPO的计算机设置

四：组策略应用规则

1. 子容器继承父容器的策略

2. 已配置的覆盖未配置

3. GPO 执行顺序：OU>Domain>site>Local

4. 变更执行顺序：禁止替代(强制)――GPO执行到底！；阻止继承---不继承上面的GPO

应用场景：禁止替代――统一管理；阻止继承――特殊对待

组策略管理用户环境

一：用户环境的概述

1. all users和default user的区别

all users:针对于所有users 的生效

default user：针对于第一次登录的用户生效

2. 用户配置文件夹名称

第一次登录的用户在c:documents and settings新建与用户名同名的folder ；同名用户再次登录, 新建用户配置文件夹, 名为user name.hostname(or:domain name)

二：GPO的主要功能

1. 管理模板(基于注册表的设置)：

2. IE 的维护

3. 脚本分发

4. 文件夹重定向

使用组策略限制软件

一：通用的限制方法

1. 网络层：ping/nslookup----ACL

2. 传输层：TCP/UDP---netstat –an-ÆACL

3. 应用层:Firewall(ISA Cisco PIX),GP(路径＋哈希)

二：组策略限制软件

1. 方法：

1) 路径规则：根据程序所在路径限制

2) 哈希算法：根据程序文件的内容,算出值。

3) 证书算法：程序与证书绑定

4) Internet 区域规则：根据软件所在的区域做限制

2. 推荐：

1) 路径：相对路径，％systemroot(windir)programfiles;userprofile

(推荐：以记事本为例,*notepad*；*qq*.*)

2) 哈希算法：对软件内容(版本号)进行限制

使用组策略部署软件 ；

一：部署软件的情况

安装；升级；更新(补丁)；卸载(用组策略装的软件)

二：部署软件

1. 对象：计算机/用户

2. 方式：指派/发布

3. 场景：

1) 指派给计算机－>计算机&软件,用于用户一定要使用的软件；

2) 发布给用户：用户不经常使用到的软件,用户安装需要执行“添加、删除

程序”

3) 指派给用户：应用程序和用户绑定,在用户的“菜单”中安装了快捷方式

4) 注意：不能将软件发布给计算机

4. 步骤：

1) 建立软件分发点(可选)

2) 指定默认 程序包位置

3) 发布/指派

三：部署非MSI 的程序

方法1.封装成zap 文件(zap文件只能发布给用户)

zap 文件的制作

用notepad 编辑

[application]

FriendlyName=“flashget 2.0”

SetupCommand=“hostnameShareNamesetup.exe”

保存格式为zap

方法2.使用第三方工具，如Wininstall le,AdminStudio

四：自动部署OFFICE

1. 免输SN

1) Office 2003,编辑setup.ini,[options]下添加一行pidkey=…(去除-去

掉)

2）Office 2007,编辑Pror.WWconfig.xml,修改PIDKEY

2. 自动部署:ORK—CIW

制作MST 文件(P227)

注：建议安装包先放在软件分发点,会启用“安静模式”

3. GPO 设定(图7－9)

指派/分发－>高级－>修改，浏览到MST 文件

五：维护软件

1. 卸载：卸载已安装好的；禁止新的安装(表7－3)

2. 升级：先指派/分发出新版软件－>属性->升级，选择被升级的软件

3. 打补丁：获得打完SP 的程序－>指派/分发－>重新部署

利用站点优化登录

一：额外DC 的作用

1.冗余，负载分担

2.配置：额外DC 上配置DNS(与主区域同名的主要区域)

3.客户端的DNS 设置:首选DNS＋备用DNS

二：DC，DNS，PC的关系(附图)

1. DC 在DNS 中注册SRV 记录

2. PC 询问DNS“谁是域的DC？”,DNS返回“DC是x！”

3. PC 向X 请求验证

三：验证登录验证的服务器

1. set L

2. nslookup->输入域名，显示结果在前的DC，是当前验证的DC 四：创建站点优化登录

1. 原理：pc向DNS 询问与自己在同一站点(网段)内的DC 是谁？

2. 实现(P259)

1) 新建站点

2) 新建子网

3) 拖动DC 到相应站点

利用站点优化AD 复制

一：AD复制冲突

1） 名字冲突:后建立的用户,名为usernameCNF:guid

2） 属性冲突：后修改的生效

3） OU 冲突：用户在LostandFound 中

二：站点间复制优化

1） 原理：每个站点的站点间拓扑生成器(ISTG)，就是站点内的第一台DC,

推举出桥头堡服务器；执行Bridge head server上的KCC 程序,建立到另一站点内的Bridge head 的连接对象（连接对象是基于站点链接的）

2） 优化：站点链接是物理线路的逻辑反映，默认名为defaultsitelink.

属性有

a) Cost:默认为100(多条链接间选择值低的线路)

b) 复制间隔:默认180分钟

c) 复制计划:时间表

3） 多站点的复制

建议：为所有站点链接搭桥(ip->属性)

跨站点复制前提：复制间隔＝最小公倍数；具备重复时段

管理操作主机

一：操作主机的概述

1. DC 的角色：

1) NT4：PDC、BDC

2) 2000以后：DC(FSMO)

2. 查看FSMO:

1. 命令行：netdom query fsmo

2. 管理工具

1) 林中：架构主机regsvr32 schmmgmt.dll－>MMC->AD架构；域命名主机

domain.msc;

2) 域中：PDC主机，RID主机，基础结构主机－>dsa.msc

二：FSMO作用

1. 架构主机：定义林中对象的属性(存储于GC 中：存储林中所有对象的部分属

性)

2. 域命名主机：控制林中域的添加/删除（建议和GC 放在一起）

3. PDC 主机：同步域中 dc 的时间；管理用户的密码更新、锁定状态(负荷较

大)

4. RID 主机：分配RID 池给DC，防止SID 冲突

1) GUID：全局唯一标识符(身份证号)；SID：安全标识符(信用卡账号)，

域用户/计算机

注：安装Windows 2003 resource kit,regsvr32 acctinfo.dll

2) SID=域的SID 对象RID

5. 基础结构主机：引用了他域的对象(多域情况时,和GC 分开存放)

三 FSMO的转移和占用

1. 转移(Transfer)：将FSMO 角色平稳地传递给另一台DC；操作可逆

2. 占用(Seize)：将FSMO 角色强制地传递给另一台DC；操作可逆

3. 最佳实践： 要连到更新的DC；能转移尽量不要用占用

4. 操作:图形化工具；Ntdsutil

四 优化放置方案

1. 架构主机和域命名主机放在一起，GC放在域命名主机上

2. 林中角色在同一台DC 上，GC应放在一起，保证高可用性

3. 域中角色放在另一台DC 上，保证高可用性、高效率运行

4. 减轻PDC 的压力

五 争夺操作主机角色注意的几点

1. 架构主机角色已被占用的域控制器永远不能恢复联机状态

2. 域命名主机角色已被占用的域控制器永远不能恢复联机状态

3. RID 主机角色已被占用的域控制器永远不能恢复联机状态

AD 的备份和还原

一 认识AD 数据库

1.

2.

3.

4. Ntds.dit:这个文件是AD 数据库文件，它存储域控制器中所有的AD 对象 Edb.log:这是一个事务日志文件。每个事务日志文件的大小是10M Edb.chk:这个是数据库引擎用来跟踪还没有写入AD 数据库文件的检查点文件 Res1.log 和Res2.log:这个是保留的事务日志文件

二 :备份AD 数据库

利用ntbackup,备份系统状态数据即可。

三：还原AD 数据库

1、 正常恢复

2、 原始恢复:用于还原域中的第一台DC 或从备份介质提升额外DC

还原域中的第一台DC 步骤(P330)：

A：如果DC 的OS 没有损坏,则

1) 重启DC，F8进入到DSRM(目录服务还原模式)

2) 使用NTBACKUP 还原系统状态数据

3) 高级选项中,选择“当还原复制的数据集时,将还原的数据作为所有副本的主要数

据”

B:如果DC 的OS 已损坏(AD亦损坏),则

1) 另找一台Window Server 2003 (无域环境要求), 使用NTBACKUP 还原系统状态数

据到原始位置

2) 高级选项中,选择“当还原复制的数据集时,将还原的数据作为所有副本的主要数

据”

3) 据提示重启计算机,完成！

从备份介质提升额外DC 步骤(P25)：

1) 使用ntbakup 备份系统状态数据

2) 将此bkf 文件复制到将要提升为DC 的服务器硬盘上

3) 使用ntbakup 还原备份文件到备用位置(例c:temp)

4) 使用dcpromo /adv提升DC

3、 授权恢复:防止版本高的对象覆盖版本低的对象

①先重新启动DC，然后按F8，进入目录服务还原模式，这里需要输入的管理员密码是在创建域的时候的还原模式密码。

②正常恢复（利用ntbackup 进行还原操作），之后注意一定不要重新启动。

③运行 → cmd → ntdsutill →authoritative restore

④（这里以china.com 下的OU=test,OU里有一用户为wind,被误删为例）

Restore object cn=wind,ou=test,dc=china,dc=com

⑤quit，退出ntdsutill

⑥重新启动即可。