Windows Server 2016 Active Directory配置指南

目　錄
第1章    Active Directory域服務（AD DS）    1
1.1    Active Directory域服務概述    2
1.1.1    Active Directory域服務的適用范圍（Scope）    2
1.1.2    名稱空間（Namespace）    2
1.1.3    對象（Object）與屬性（Attribute）    3
1.1.4    容器（Container）與組織單位（Organization Units，OU）    3
1.1.5    域樹（Domain Tree）    4
1.1.6    信任（Trust）    5
1.1.7    林（Forest）    5
1.1.8    架構（Schema）    6
1.1.9    域控制器（Domain Controller）    6
1.1.10    只讀域控制器（RODC）    7
1.1.11    可重啟的AD DS（Restartable AD DS）    9
1.1.12    Active Directory回收站    9
1.1.13    AD DS的復制模式    9
1.1.14    域中的其他成員計算機    10
1.1.15    DNS服務器    11
1.1.16    輕型目錄訪問協(xié)議（LDAP）    11
1.1.17    全局編錄（Global Catalog）    12
1.1.18    站點（Site）    12
1.1.19    目錄分區(qū)（Directory Partition）    13
1.2    域功能級別與林功能級別    14
1.2.1    域功能級別（Domain Functionality Level）    14
1.2.2    林功能級別（Forest Functionality Level）    14
1.3    Active Directory輕型目錄服務    15
第2章    建立AD DS域    17
2.1    建立AD DS域前的準備工作    18
2.1.1    選擇適當的DNS域名    18
2.1.2    準備好一臺支持AD DS的DNS服務器    18
2.1.3    選擇AD DS數據庫的存儲位置    20
2.2    建立AD DS域    21
2.3    確認AD DS域是否正常    27
2.3.1    檢查DNS服務器內的記錄是否完備    27
2.3.2    排除注冊失敗的問題    30
2.3.3    檢查AD DS數據庫文件與SYSVOL文件夾    30
2.3.4    新增的管理工具    32
2.3.5    查看事件日志文件    33
2.4    提升域與林功能級別    33
2.5    新建額外域控制器與RODC    34
2.5.1    安裝額外域控制器    35
2.5.2    利用安裝媒體來安裝額外域控制器    40
2.5.3    更改RODC的委派與密碼復制策略設置    42
2.6    RODC階段式安裝    44
2.6.1    建立RODC賬戶    44
2.6.2    將服務器附加到RODC賬戶    48
2.7    將Windows計算機加入或脫離域    51
2.7.1    將Windows計算機加入域    52
2.7.2    利用已加入域的計算機登錄    55
2.7.3    脫機加入域    57
2.7.4    脫離域    58
2.8    在域成員計算機內安裝AD DS管理工具    59
2.9    刪除域控制器與域    61
第3章    域用戶與組賬戶的管理    66
3.1    管理域用戶賬戶    67
3.1.1    創(chuàng)建組織單位與域用戶賬戶    68
3.1.2    用戶登錄賬戶    69
3.1.3    創(chuàng)建UPN后綴    70
3.1.4    賬戶的常規(guī)管理工作    72
3.1.5    域用戶賬戶的屬性設置    73
3.1.6    搜索用戶賬戶    75
3.1.7    域控制器之間數據的復制    80
3.2    一次同時新建多個用戶賬戶    81
3.2.1    利用csvde.exe來新建用戶賬戶    82
3.2.2    利用ldifde.exe來新建、修改與刪除用戶賬戶    83
3.2.3    利用dsadd.exe等程序添加、修改與刪除用戶賬戶    84
3.3    域組賬戶    86
3.3.1    域內的組類型    86
3.3.2    組的作用域    86
3.3.3    域組的創(chuàng)建與管理    88
3.3.4    AD DS內置的組    88
3.3.5    特殊組賬戶    90
3.4    組的使用原則    91
3.4.1    A、G、DL、P原則    91
3.4.2    A、G、G、DL、P原則    91
3.4.3    A、G、U、DL、P原則    92
3.4.4    A、G、G、U、DL、P原則    92
第4章    利用組策略管理用戶工作環(huán)境    93
4.1    組策略概述    94
4.1.1    組策略的功能    94
4.1.2    組策略對象    95
4.1.3    策略設置與項設置    98
4.1.4    組策略的應用時機    98
4.2    策略設置實例演練    99
4.2.1    策略設置實例演練一：計算機配置    99
4.2.2    策略設置實例演練二：用戶配置    102
4.3    項設置實例演練    105
4.3.1    項設置實例演練一    105
4.3.2    項設置實例演練二    109
4.4    組策略的處理規(guī)則    112
4.4.1    一般的繼承與處理規(guī)則    112
4.4.2    例外的繼承設置    113
4.4.3    特殊的處理設置    116
4.4.4    更改管理GPO的域控制器    120
4.4.5    更改組策略的應用間隔時間    122
4.5     利用組策略來管理計算機與用戶環(huán)境    124
4.5.1    計算機配置的管理模板策略    124
4.5.2    用戶配置的管理模板策略    126
4.5.3    賬戶策略    127
4.5.4    用戶權限分配策略    130
4.5.5    安全選項策略    132
4.5.6    登錄/注銷、啟動/關機腳本    133
4.5.7    文件夾重定向    136
4.6    利用組策略限制訪問可移動存儲設備    142
4.7    WMI篩選器    144
4.8    組策略建模與組策略結果    149
4.9    組策略的委派管理    154
4.9.1    站點、域或組織單位的GPO鏈接委派    155
4.9.2    編輯GPO的委派    155
4.9.3    新建GPO的委派    156
4.10    StarterGPO的設置與使用    157
第5章    利用組策略部署軟件    159
5.1    軟件部署概述    160
5.1.1    將軟件分配給用戶    160
5.1.2    將軟件分配給計算機    160
5.1.3    將軟件發(fā)布給用戶    160
5.1.4    自動修復軟件    161
5.1.5    刪除軟件    161
5.2    將軟件發(fā)布給用戶    161
5.2.1    發(fā)布軟件    161
5.2.2    客戶端安裝被發(fā)布的軟件    164
5.2.3    測試自動修復軟件的功能    165
5.2.4    取消已發(fā)布的軟件    166
5.3    將軟件分配給用戶或計算機    167
5.3.1    分配給用戶    167
5.3.2    分配給計算機    168
5.4    將軟件升級    168
5.5    部署Adobe Acrobat    172
5.5.1    部署基礎版    172
5.5.2    部署更新程序    174
第6章    限制軟件的運行    177
6.1    軟件限制策略概述    178
6.1.1    哈希規(guī)則    178
6.1.2    證書規(guī)則    178
6.1.3    路徑規(guī)則    179
6.1.4    網絡區(qū)域規(guī)則    179
6.1.5    規(guī)則的優(yōu)先級    179
6.2    啟用軟件限制策略    180
6.2.1    建立哈希規(guī)則    181
6.2.2    建立路徑規(guī)則    183
6.2.3    建立證書規(guī)則    185
6.2.4    建立網絡區(qū)域規(guī)則    188
6.2.5    不要將軟件限制策略應用到本地系統(tǒng)管理員    188
第7章    建立域樹與林    190
7.1    建立個域    191
7.2    建立子域    191
7.3    建立林中的第二個域樹    198
7.3.1    選擇適當的DNS架構    198
7.3.2    建立第二個域樹    200
7.4    刪除子域與域樹    206
7.5    更改域控制器的計算機名稱    210
第8章     管理域與林信任    214
8.1    域與林信任概述    215
8.1.1    信任域與受信任域    215
8.1.2    跨域訪問資源的流程    215
8.1.3    信任的種類    218
8.1.4    建立信任前的注意事項    221
8.2    建立快捷方式信任    223
8.3    建立林信任    229
8.3.1    建立林信任前的注意事項    229
8.3.2    開始建立林信任    230
8.3.3    選擇性身份驗證設置    238
8.4    建立外部信任    240
8.5    管理與刪除信任    242
8.5.1    信任的管理    242
8.5.2    信任的刪除    244
第9章    AD DS數據庫的復制    247
9.1    站點與AD DS數據庫的復制    248
9.1.1    同一個站點之間的復制    248
9.1.2    不同站點之間的復制    250
9.1.3    目錄分區(qū)與復制拓撲    251
9.1.4    復制通信協(xié)議    251
9.2    默認站點的管理    252
9.2.1    默認的站點    252
9.2.2    Servers文件夾與復制設置    253
9.3    利用站點來管理AD DS復制    256
9.3.1    建立站點與子網    257
9.3.2    建立站點鏈接    259
9.3.3    將域控制器移動到所屬的站點    261
9.3.4    指定的bridgehead服務器    262
9.3.5    站點鏈接與AD DS數據庫的復制設置    264
9.3.6    站點鏈接橋    265
9.3.7    站點鏈接橋的兩個范例討論    267
9.4    管理全局編錄服務器    269
9.4.1    向全局編錄內添加屬性    270
9.4.2    全局編錄的功能    270
9.4.3    通用組成員緩存    272
9.5    解決AD DS復制沖突的問題    274
9.5.1    屬性標記    274
9.5.2    沖突的種類    274

第10章    操作主機的管理    278
10.1    操作主機概述    279
10.1.1    架構操作主機    279
10.1.2    域命名操作主機    279
10.1.3    RID操作主機    280
10.1.4    PDC模擬器操作主機    280
10.1.5    基礎結構操作主機    283
10.2    操作主機的放置優(yōu)化    284
10.2.1    基礎結構操作主機的放置    284
10.2.2    PDC模擬器操作主機的放置    284
10.2.3    林級別操作主機的放置    285
10.2.4    域級別操作主機的放置    285
10.3    找出扮演操作主機角色的域控制器    286
10.3.1    利用管理控制臺找出扮演操作主機的域控制器    286
10.3.2    利用命令找出扮演操作主機的域控制器    288
10.4    轉移操作主機角色    289
10.4.1    利用管理控制臺    290
10.4.2    利用Windows PowerShell命令    292
10.5    奪取操作主機角色    293
10.5.1    操作主機停擺所造成的影響    293
10.5.2    奪取操作主機角色實例演練    295
第11章    AD DS的維護    297
11.1    系統(tǒng)狀態(tài)概述    298
11.1.1    AD DS數據庫    298
11.1.2    SYSVOL文件夾    299
11.2    備份AD DS    299
11.2.1    安裝Windows Server Backup功能    299
11.2.2    備份系統(tǒng)狀態(tài)    300
11.3    還原AD DS    303
11.3.1    進入目錄服務修復模式的方法    303
11.3.2    執(zhí)行AD DS的非授權還原    304
11.3.3    針對被刪除的AD DS對象執(zhí)行授權還原    309
11.4    AD DS數據庫的移動與整理    312
11.4.1    可重新啟動的AD DS（Restartable AD DS）    313
11.4.2    移動AD DS數據庫文件    313
11.4.3    重整AD DS數據庫    317
11.5    重置“目錄服務修復模式”的系統(tǒng)管理員密碼    320
11.6    更改可重新啟動的AD DS的登錄設置    321
11.7    Active Directory回收站    322
第12章    將資源發(fā)布到AD DS    326
12.1    將共享文件夾發(fā)布到AD DS    327
12.1.1  利用Active Directory用戶和計算機控制臺    327
12.1.2    利用計算機管理控制臺    329
12.2    查找AD DS內的資源    329
12.2.1    通過網絡    330
12.2.2    通過Active Directory用戶和計算機控制臺    331
12.3    將共享打印機發(fā)布到AD DS    332
12.3.1    發(fā)布打印機    332
12.3.2    通過AD DS查找共享打印機    333
12.3.3    利用打印機位置來查找打印機    333
第13章    自動信任根CA    338
13.1    自動信任CA的設置準則    339
13.2    自動信任內部的獨立CA    339
13.2.1    下載獨立根CA的證書并保存    340
13.2.2    將CA證書導入到受信任的根證書頒發(fā)機構    341
13.3    自動信任外部的CA    344
13.3.1    下載獨立根CA的證書并保存    344
13.3.2    建立證書信任列表（CTL）    347
附錄A    AD DS與防火墻    351
A.1    AD DS相關的端口    352
A.1.1    將客戶端計算機加入域、用戶登錄時會用到的端口    352
A.1.2    計算機登錄時會用到的端口    353
A.1.3    建立域信任時會用到的端口    353
A.1.4    驗證域信任時會用到的端口    353
A.1.5    訪問文件資源時會用到的端口    354
A.1.6    執(zhí)行DNS查詢時會用到的端口    354
A.1.7    執(zhí)行AD DS數據庫復制時會用到的端口    354
A.1.8    文件復制服務（FRS）會用到的端口    354
A.1.9    分布式文件系統(tǒng)（DFS）會用到的端口    355
A.1.10    其他可能需要開放的端口    355
A.2    限制動態(tài)RPC端口的使用范圍    356
A.2.1    限制所有服務的動態(tài)RPC端口范圍    356
A.2.2    限制AD DS數據庫復制使用指定的靜態(tài)端口    357
A.2.3    限制FRS使用指定的靜態(tài)端口    358
A.2.4    限制DFS使用指定的靜態(tài)端口    359
A.3    IPSec與VPN端口    360
A.3.1    IPSec所使用的通信協(xié)議與端口    360
A.3.2    PPTP VPN所使用的通信協(xié)議與端口    361
A.3.3    L2TP/IPSec所使用的通信協(xié)議與端口    361
附錄B    Server Core與Nano服務器    362
B.1    Server Core服務器概述    363
B.2    Server Core服務器的基本設置    364
B.2.1    更改計算機名稱    364
B.2.2    更改IP地址    365
B.2.3    啟用Server Core服務器    367
B.2.4    加入域    367
B.2.5    將域用戶加入本地Administrators組    368
B.2.6    更改日期與時間    369
B.3    在Server Core服務器內安裝角色與功能    369
B.3.1    查看所有角色與功能的狀態(tài)    369
B.3.2    DNS服務器角色    370
B.3.3    DHCP服務器角色    371
B.3.4    文件服務角色    372
B.3.5    Hyper-V角色    372
B.3.6    打印服務角色    373
B.3.7    Active Directory證書服務（AD CS）角色    373
B.3.8    Active Directory域服務（AD DS）角色    373
B.3.9    Web服務器（IIS）角色    373
B.4    遠程管理Server Core服務器    374
B.4.1    通過服務器管理器來管理Server Core服務器    374
B.4.2    通過MMC管理控制臺來管理Server Core服務器    378
B.4.3    通過遠程桌面來管理Server Core服務器    379
B.4.4    硬件設備的安裝    381
B.5    在虛擬機內運行的Nano服務器    382
B.5.1    建立供虛擬機使用的Nano服務器映像文件    382
B.5.2    建立與啟動Nano服務器的虛擬機    385
B.5.3    將Nano服務器加入域    388
B.6    在物理機內運行的Nano服務器    392
B.6.1    建立供物理機使用的Nano服務器映像文件    393
B.6.2    利用WinPE啟動計算機與安裝Nano服務器    393