Windows Server 2012 R2 Active Directory配置指南

1.1 Active Directory域服務(wù)概述 2
1.1.1 Active Directory域服務(wù)的適用范圍（Scope） 2
1.1.2 名稱空間（Namespace） 2
1.1.3 對象（Object）與屬性（Attribute） 3
1.1.4 容器（Container）與組織單位（Organization Units，OU） 3
1.1.5 域樹（Domain Tree） 4
1.1.6 信任（Trust） 5
1.1.7 林（Forest） 5
1.1.8 架構(gòu)（Schema） 6
1.1.9 域控制器（Domain Controller） 6
1.1.10 只讀域控制器（RODC） 7
1.1.11 可重新啟動的AD DS（Restartable AD DS） 9
1.1.12 Active Directory回收站 9
1.1.13 AD DS的復(fù)制模式 9
1.1.14 域中的其他成員計算機(jī) 10
1.1.15 DNS服務(wù)器 10
1.1.16 輕型目錄訪問協(xié)議（LDAP） 11
1.1.17 全局編錄（Global Catalog） 12
1.1.18 站點(diǎn)（Site） 12
1.1.19 目錄分區(qū)（Directory Partition） 13
1.2 域功能級別與林功能級別 14
1.2.1 域功能級別（Domain Functionality Level） 14
1.2.2 林功能級別（Forest Functionality Level） 15
1.3 Active Directory輕型目錄服務(wù) 15
第2章 建立AD DS域 17
2.1 建立AD DS域前的準(zhǔn)備工作 18
2.1.1 選擇適當(dāng)?shù)腄NS域名 18
2.1.2 準(zhǔn)備好一臺支持AD DS的DNS服務(wù)器 18
2.1.3 選擇AD DS數(shù)據(jù)庫的存儲位置 20
2.2 建立AD DS域 21
2.3 確認(rèn)AD DS域是否正常 26
2.3.1 檢查DNS服務(wù)器內(nèi)的記錄是否完整 27
2.3.2 排除登記失敗的問題 30
2.3.3 檢查AD DS數(shù)據(jù)庫文件與SYSVOL文件夾 30
2.3.4 新增加的管理工具 32
2.3.5 查看事件日志文件 32
2.4 提升域與林功能級別 33
2.5 新建額外域控制器與RODC 34
2.5.1 安裝額外域控制器 35
2.5.2 利用安裝介質(zhì)來安裝額外域控制器 40
2.5.3 修改RODC的委派與密碼復(fù)制策略設(shè)置 42
2.6 RODC階段式安裝 43
2.6.1 建立RODC賬戶 43
2.6.2 將服務(wù)器附加到RODC賬戶 48
2.7 將Windows計算機(jī)加入或脫離域 51
2.7.1 將Windows計算機(jī)加入域 51
2.7.2 利用已加入域的計算機(jī)登錄 55
2.7.3 脫機(jī)加入域 56
2.7.4 脫離域 57
2.8 在域成員計算機(jī)內(nèi)安裝AD DS管理工具 58
2.9 刪除域控制器與域 60
第3章 域用戶與組賬戶的管理 65
3.1 管理域用戶賬戶 66
3.1.1 創(chuàng)建組織單位與域用戶賬戶 67
3.1.2 用戶登錄賬戶 68
3.1.3 創(chuàng)建UPN的后綴 69
3.1.4 賬戶的一般管理工作 71
3.1.5 域用戶賬戶的屬性設(shè)置 72
3.1.6 搜索用戶賬戶 74
3.1.7 域控制器之間數(shù)據(jù)的復(fù)制 79
3.2 一次同時添加多個用戶賬戶 80
3.2.1 利用csvde.exe來新建用戶賬戶 81
3.2.2 利用ldifde.exe來添加、修改與刪除用戶賬戶 82
3.2.3 利用dsadd.exe等程序來添加、修改與刪除用戶賬戶 83
3.3 域組賬戶 85
3.3.1 域內(nèi)的組類型 85
3.3.2 組的使用范圍 85
3.3.3 域組的建立與管理 86
3.3.4 AD DS內(nèi)置的組 87
3.3.5 特殊組賬戶 89
3.4 組的使用原則 89
3.4.1 A、G、DL、P原則 90
3.4.2 A、G、G、DL、P原則 90
3.4.3 A、G、U、DL、P原則 91
3.4.4 A、G、G、U、DL、P原則 91
第4章 使用組策略管理用戶工作環(huán)境 92
4.1 組策略概述 93
4.1.1 組策略的功能 93
4.1.2 組策略對象 94
4.1.3 策略設(shè)置與首選項設(shè)置 97
4.1.4 組策略的應(yīng)用時機(jī) 97
4.2 策略設(shè)置實例演示 98
4.2.1 策略設(shè)置實例演示一：計算機(jī)配置 98
4.2.2 策略設(shè)置實例演示二：用戶配置 101
4.3 首選項設(shè)置實例演示 103
4.3.1 首選項設(shè)置實例演示一 103
4.3.2 首選項設(shè)置實例演示二 107
4.4 組策略的處理規(guī)則 109
4.4.1 一般的繼承與處理規(guī)則 109
4.4.2 例外的繼承設(shè)置 111
4.4.3 特殊的處理設(shè)置 113
4.4.4 更改管理GPO的域控制器 117
4.4.5 更改組策略的應(yīng)用間隔時間 118
4.5 利用組策略來管理計算機(jī)與用戶環(huán)境 120
4.5.1 計算機(jī)配置的管理模板策略 121
4.5.2 用戶配置的管理模板策略 122
4.5.3 賬戶策略 123
4.5.4 用戶權(quán)限分配策略 126
4.5.5 安全選項策略 128
4.5.6 登錄/注銷、啟動/關(guān)機(jī)腳本 128
4.5.7 文件夾重定向 132
4.6 使用組策略限制訪問可移動存儲設(shè)備 138
4.7 WMI篩選器 141
4.8 組策略模型與組策略結(jié)果 145
4.9 組策略的委派管理 151
4.9.1 站點(diǎn)、域或組織單位的GPO鏈接委派 151
4.9.2 編輯GPO的委派 152
4.9.3 新建GPO的委派 152
4.10 Starter GPO的設(shè)置和使用 153
第5章 利用組策略部署軟件 156
5.1 軟件部署的概述 157
5.1.1 將軟件分配給用戶 157
5.1.2 將軟件分配給計算機(jī) 157
5.1.3 將軟件發(fā)布給用戶 157
5.1.4 自動修復(fù)軟件 158
5.1.5 刪除軟件 158
5.2 將軟件發(fā)布給用戶 158
5.2.1 發(fā)布軟件 158
5.2.2 在客戶端安裝被發(fā)布的軟件 161
5.2.3 測試自動修復(fù)軟件的功能 162
5.2.4 取消已發(fā)布的軟件 163
5.3 將軟件分配給用戶或計算機(jī) 164
5.3.1 分配給用戶 164
5.3.2 分配給計算機(jī) 165
5.4 對軟件進(jìn)行升級并重新部署 166
5.4.1 軟件升級 166
5.4.2 重新部署 169
5.5 部署Microsoft Office 171
5.6 軟件部署的其他設(shè)置 176
5.6.1 更改部署默認(rèn)值 177
5.6.2 更改高級部署設(shè)置 177
5.6.3 擴(kuò)展名與軟件關(guān)聯(lián)的優(yōu)先級 178
5.6.4 軟件分類 179
5.7 將軟件重新封裝成MSI應(yīng)用程序 180
第6章 限制軟件的運(yùn)行 183
6.1 軟件限制策略概述 184
6.1.1 哈希規(guī)則 184
6.1.2 證書規(guī)則 184
6.1.3 路徑規(guī)則 185
6.1.4 網(wǎng)絡(luò)區(qū)域規(guī)則 185
6.1.5 規(guī)則的優(yōu)先級 185
6.2 啟用軟件限制策略 186
6.2.1 建立哈希規(guī)則 187
6.2.2 建立路徑規(guī)則 189
6.2.3 建立證書規(guī)則 191
6.2.4 建立網(wǎng)絡(luò)區(qū)域規(guī)則 194
6.2.5 不要將軟件限制策略應(yīng)用到本地系統(tǒng)管理員 195
第7章 建立域樹和林 196
7.1 建立第一個域 197
7.2 建立子域 197
7.3 建立林中的第二個域樹 203
7.3.1 選擇適當(dāng)?shù)腄NS架構(gòu) 204
7.3.2 建立第二個域樹 206
7.4 刪除子域與域樹 212
7.5 更改域控制器的計算機(jī)名稱 215
第8章 管理域和林信任 220
8.1 域與林信任概述 221
8.1.1 信任域與受信任域 221
8.1.2 跨域訪問資源的流程 221
8.1.3 信任的種類 224
8.1.4 建立信任前的注意事項 227
8.2 建立快捷方式信任 229
8.3 建立林信任 235
8.3.1 建立林信任前的注意事項 235
8.3.2 開始建立林信任 236
8.3.3 選擇性驗證設(shè)置 244
8.4 建立外部信任 246
8.5 管理與刪除信任 248
8.5.1 信任的管理 248
8.5.2 信任的刪除 251
第9章 AD DS數(shù)據(jù)庫的復(fù)制 254
9.1 站點(diǎn)與AD DS數(shù)據(jù)庫的復(fù)制 255
9.1.1 同一個站點(diǎn)之間的復(fù)制 256
9.1.2 不同站點(diǎn)之間的復(fù)制 257
9.1.3 目錄分區(qū)與復(fù)制拓?fù)? 258
9.1.4 復(fù)制協(xié)議 258
9.2 默認(rèn)站點(diǎn)的管理 259
9.2.1 默認(rèn)的站點(diǎn) 259
9.2.2 Servers文件夾與復(fù)制設(shè)置 260
9.3 利用站點(diǎn)來管理AD DS復(fù)制 263
9.3.1 創(chuàng)建站點(diǎn)與子網(wǎng) 264
9.3.2 創(chuàng)建站點(diǎn)鏈接 267
9.3.3 將域控制器移動到所屬的站點(diǎn) 268
9.3.4 指定首選的bridgehead服務(wù)器 270
9.3.5 站點(diǎn)鏈接與AD DS數(shù)據(jù)庫的復(fù)制設(shè)置 271
9.3.6 站點(diǎn)鏈接橋 272
9.3.7 站點(diǎn)連接橋的兩個示例討論 274
9.4 管理全局編錄服務(wù)器 276
9.4.1 添加屬性到全局編錄內(nèi) 277
9.4.2 全局編錄的功能 277
9.4.3 通用組成員身份緩存 279
9.5 解決AD DS復(fù)制沖突的問題 280
9.5.1 屬性戳記 281
9.5.2 沖突的種類 281
第10章 操作主機(jī)的管理 285
10.1 操作主機(jī)概述 286
10.1.1 架構(gòu)操作主機(jī) 286
10.1.2 域命名操作主機(jī) 286
10.1.3 RID操作主機(jī) 287
10.1.4 PDC模擬器操作主機(jī) 287
10.1.5 基礎(chǔ)結(jié)構(gòu)操作主機(jī) 291
10.2 操作主機(jī)的放置優(yōu)化 291
10.2.1 基礎(chǔ)結(jié)構(gòu)操作主機(jī)的放置 291
10.2.2 PDC模擬器操作主機(jī)的放置 291
10.2.3 林級別操作主機(jī)的放置 293
10.2.4 域級別操作主機(jī)的放置 293
10.3 找出扮演操作主機(jī)角色的域控制器 293
10.3.1 利用管理控制臺找出扮演操作主機(jī)的域控制器 293
10.3.2 利用命令找出扮演操作主機(jī)的域控制器 295
10.4 轉(zhuǎn)移操作主機(jī)角色 296
10.4.1 利用管理控制臺 297
10.4.2 利用Windows PowerShell命令 299
10.5 奪取操作主機(jī)角色 300
10.5.1 操作主機(jī)停止服務(wù)所造成的影響 300
10.5.2 奪取操作主機(jī)角色實例演示 302
第11章 AD DS的維護(hù) 305
11.1 系統(tǒng)狀態(tài)概述 306
11.1.1 AD DS數(shù)據(jù)庫 306
11.1.2 SYSVOL文件夾 307
11.2 備份AD DS 307
11.2.1 安裝Windows Server Backup功能 307
11.2.2 備份系統(tǒng)狀態(tài) 308
11.3 還原AD DS 310
11.3.1 進(jìn)入目錄服務(wù)還原模式的方法 311
11.3.2 執(zhí)行AD DS的非授權(quán)還原 312
11.3.3 針對被刪除的AD DS對象執(zhí)行授權(quán)還原 316
11.4 AD DS數(shù)據(jù)庫的移動與重組 319
11.4.1 可重新啟動的AD DS（Restartable AD DS） 320
11.4.2 移動AD DS數(shù)據(jù)庫文件 320
11.4.3 重組AD DS數(shù)據(jù)庫 324
11.5 重置“目錄服務(wù)還原模式”的系統(tǒng)管理員密碼 327
11.6 更改可重新啟動的AD DS的登錄設(shè)置 328
11.7 Active Directory回收站 329
第12章 將資源發(fā)布到AD DS 333
12.1 將共享文件夾發(fā)布到AD DS 334
12.1.1 利用Active Directory用戶和計算機(jī)控制臺 334
12.1.2 利用計算機(jī)管理控制臺 335
12.2 查找AD DS內(nèi)的資源 336
12.2.1 通過網(wǎng)絡(luò) 336
12.2.2 通過Active Directory用戶和計算機(jī)控制臺 338
12.3 將共享打印機(jī)發(fā)布到AD DS 339
12.3.1 發(fā)布打印機(jī) 339
12.3.2 通過AD DS查找共享打印機(jī) 341
12.3.3 利用打印機(jī)位置來查找打印機(jī) 341
第13章 自動信任根CA 345
13.1 自動信任CA的設(shè)置準(zhǔn)則 346
13.2 自動信任內(nèi)部的獨(dú)立CA 346
13.2.1 下載獨(dú)立根CA的證書并另存為證書文件 347
13.2.2 將CA證書導(dǎo)入到受信任的根證書頒發(fā)機(jī)構(gòu)策略 348
13.3 自動信任外部的CA 351
13.3.1 下載獨(dú)立根CA的證書并另存為證書文件 351
13.3.2 建立證書信任列表（CTL） 354
附錄A AD DS與防火墻 358
A.1 AD DS相關(guān)的端口 359
A.1.1 將客戶端計算機(jī)加入域、用戶登錄時會用到的端口 359
A.1.2 計算機(jī)登錄時會用到的端口 360
A.1.3 建立域信任關(guān)系時會用到的端口 360
A.1.4 驗證域信任時會用到的端口 360
A.1.5 訪問文件資源時會用到的端口 361
A.1.6 執(zhí)行DNS查詢時會用到的端口 361
A.1.7 執(zhí)行AD DS數(shù)據(jù)庫復(fù)制時會用到的端口 361
A.1.8 文件復(fù)制服務(wù)（FRS）會用到的端口 361
A.1.9 分布式文件系統(tǒng)（DFS）會用到的端口 362
A.1.10 其他可能需要開放的端口 362
A.2 限制動態(tài)RPC端口的使用范圍 362
A.2.1 限制所有服務(wù)的動態(tài)RPC端口范圍 363
A.2.2 限制AD DS數(shù)據(jù)庫復(fù)制使用指定的靜態(tài)端口 365
A.2.3 限制FRS使用指定的靜態(tài)端口 366
A.2.4 限制DFS使用指定的靜態(tài)端口 367
A.3 IPSec與VPN端口 368
A.3.1 IPSec所使用的通信協(xié)議與端口 368
A.3.2 PPTP VPN所使用的通信協(xié)議與端口 369
A.3.3 L2TP/IPSec所使用的通信協(xié)議與端口 369
附錄B Server Core服務(wù)器的管理 370
B.1 Server Core服務(wù)器概述 371
B.2 Server Core服務(wù)器的基本設(shè)置 373
B.2.1 修改計算機(jī)名 373
B.2.2 修改IP地址 373
B.2.3 啟用Server Core服務(wù)器 375
B.2.4 加入域 376
B.2.5 將域用戶加入本機(jī)Administrators組 377
B.2.6 修改日期與時間 377
B.3 在Server Core服務(wù)器內(nèi)安裝角色與功能 377
B.3.1 查看所有角色與功能的狀態(tài) 377
B.3.2 DNS服務(wù)器角色 378
B.3.3 DHCP服務(wù)器角色 379
B.3.4 文件服務(wù)器角色 379
B.3.5 Hyper-V角色 379
B.3.6 打印服務(wù)角色 380
B.3.7 Active Directory證書服務(wù)（AD CS）角色 380
B.3.8 Active Directory域服務(wù)（AD DS）角色 380
B.3.9 Web服務(wù)器（IIS）角色 380
B.4 遠(yuǎn)程管理Server Core服務(wù)器 381
B.4.1 通過服務(wù)器管理器來管理Server Core服務(wù)器 381
B.4.2 通過MMC管理控制臺來管理Server Core服務(wù)器 385
B.4.3 通過遠(yuǎn)程桌面來管理Server Core服務(wù)器 386
B.4.4 硬件設(shè)備的安裝 388
B.5 切換到GUI模式 389
B.5.1 若Server Core服務(wù)器是從GUI圖形模式轉(zhuǎn)換過來的 389
B.5.2 若Server Core服務(wù)器被安裝為Server Core模式 389