Windows Server 2016 Active Directory配置指南

目　錄
第1章    Active Directory域服務(wù)（AD DS）    1
1.1    Active Directory域服務(wù)概述    2
1.1.1    Active Directory域服務(wù)的適用范圍（Scope）    2
1.1.2    名稱空間（Namespace）    2
1.1.3    對象（Object）與屬性（Attribute）    3
1.1.4    容器（Container）與組織單位（Organization Units，OU）    3
1.1.5    域樹（Domain Tree）    4
1.1.6    信任（Trust）    5
1.1.7    林（Forest）    5
1.1.8    架構(gòu)（Schema）    6
1.1.9    域控制器（Domain Controller）    6
1.1.10    只讀域控制器（RODC）    7
1.1.11    可重啟的AD DS（Restartable AD DS）    9
1.1.12    Active Directory回收站    9
1.1.13    AD DS的復(fù)制模式    9
1.1.14    域中的其他成員計(jì)算機(jī)    10
1.1.15    DNS服務(wù)器    11
1.1.16    輕型目錄訪問協(xié)議（LDAP）    11
1.1.17    全局編錄（Global Catalog）    12
1.1.18    站點(diǎn)（Site）    12
1.1.19    目錄分區(qū)（Directory Partition）    13
1.2    域功能級別與林功能級別    14
1.2.1    域功能級別（Domain Functionality Level）    14
1.2.2    林功能級別（Forest Functionality Level）    14
1.3    Active Directory輕型目錄服務(wù)    15
第2章    建立AD DS域    17
2.1    建立AD DS域前的準(zhǔn)備工作    18
2.1.1    選擇適當(dāng)?shù)腄NS域名    18
2.1.2    準(zhǔn)備好一臺支持AD DS的DNS服務(wù)器    18
2.1.3    選擇AD DS數(shù)據(jù)庫的存儲位置    20
2.2    建立AD DS域    21
2.3    確認(rèn)AD DS域是否正常    27
2.3.1    檢查DNS服務(wù)器內(nèi)的記錄是否完備    27
2.3.2    排除注冊失敗的問題    30
2.3.3    檢查AD DS數(shù)據(jù)庫文件與SYSVOL文件夾    30
2.3.4    新增的管理工具    32
2.3.5    查看事件日志文件    33
2.4    提升域與林功能級別    33
2.5    新建額外域控制器與RODC    34
2.5.1    安裝額外域控制器    35
2.5.2    利用安裝媒體來安裝額外域控制器    40
2.5.3    更改RODC的委派與密碼復(fù)制策略設(shè)置    42
2.6    RODC階段式安裝    44
2.6.1    建立RODC賬戶    44
2.6.2    將服務(wù)器附加到RODC賬戶    48
2.7    將Windows計(jì)算機(jī)加入或脫離域    51
2.7.1    將Windows計(jì)算機(jī)加入域    52
2.7.2    利用已加入域的計(jì)算機(jī)登錄    55
2.7.3    脫機(jī)加入域    57
2.7.4    脫離域    58
2.8    在域成員計(jì)算機(jī)內(nèi)安裝AD DS管理工具    59
2.9    刪除域控制器與域    61
第3章    域用戶與組賬戶的管理    66
3.1    管理域用戶賬戶    67
3.1.1    創(chuàng)建組織單位與域用戶賬戶    68
3.1.2    用戶登錄賬戶    69
3.1.3    創(chuàng)建UPN后綴    70
3.1.4    賬戶的常規(guī)管理工作    72
3.1.5    域用戶賬戶的屬性設(shè)置    73
3.1.6    搜索用戶賬戶    75
3.1.7    域控制器之間數(shù)據(jù)的復(fù)制    80
3.2    一次同時(shí)新建多個(gè)用戶賬戶    81
3.2.1    利用csvde.exe來新建用戶賬戶    82
3.2.2    利用ldifde.exe來新建、修改與刪除用戶賬戶    83
3.2.3    利用dsadd.exe等程序添加、修改與刪除用戶賬戶    84
3.3    域組賬戶    86
3.3.1    域內(nèi)的組類型    86
3.3.2    組的作用域    86
3.3.3    域組的創(chuàng)建與管理    88
3.3.4    AD DS內(nèi)置的組    88
3.3.5    特殊組賬戶    90
3.4    組的使用原則    91
3.4.1    A、G、DL、P原則    91
3.4.2    A、G、G、DL、P原則    91
3.4.3    A、G、U、DL、P原則    92
3.4.4    A、G、G、U、DL、P原則    92
第4章    利用組策略管理用戶工作環(huán)境    93
4.1    組策略概述    94
4.1.1    組策略的功能    94
4.1.2    組策略對象    95
4.1.3    策略設(shè)置與項(xiàng)設(shè)置    98
4.1.4    組策略的應(yīng)用時(shí)機(jī)    98
4.2    策略設(shè)置實(shí)例演練    99
4.2.1    策略設(shè)置實(shí)例演練一：計(jì)算機(jī)配置    99
4.2.2    策略設(shè)置實(shí)例演練二：用戶配置    102
4.3    項(xiàng)設(shè)置實(shí)例演練    105
4.3.1    項(xiàng)設(shè)置實(shí)例演練一    105
4.3.2    項(xiàng)設(shè)置實(shí)例演練二    109
4.4    組策略的處理規(guī)則    112
4.4.1    一般的繼承與處理規(guī)則    112
4.4.2    例外的繼承設(shè)置    113
4.4.3    特殊的處理設(shè)置    116
4.4.4    更改管理GPO的域控制器    120
4.4.5    更改組策略的應(yīng)用間隔時(shí)間    122
4.5     利用組策略來管理計(jì)算機(jī)與用戶環(huán)境    124
4.5.1    計(jì)算機(jī)配置的管理模板策略    124
4.5.2    用戶配置的管理模板策略    126
4.5.3    賬戶策略    127
4.5.4    用戶權(quán)限分配策略    130
4.5.5    安全選項(xiàng)策略    132
4.5.6    登錄/注銷、啟動/關(guān)機(jī)腳本    133
4.5.7    文件夾重定向    136
4.6    利用組策略限制訪問可移動存儲設(shè)備    142
4.7    WMI篩選器    144
4.8    組策略建模與組策略結(jié)果    149
4.9    組策略的委派管理    154
4.9.1    站點(diǎn)、域或組織單位的GPO鏈接委派    155
4.9.2    編輯GPO的委派    155
4.9.3    新建GPO的委派    156
4.10    StarterGPO的設(shè)置與使用    157
第5章    利用組策略部署軟件    159
5.1    軟件部署概述    160
5.1.1    將軟件分配給用戶    160
5.1.2    將軟件分配給計(jì)算機(jī)    160
5.1.3    將軟件發(fā)布給用戶    160
5.1.4    自動修復(fù)軟件    161
5.1.5    刪除軟件    161
5.2    將軟件發(fā)布給用戶    161
5.2.1    發(fā)布軟件    161
5.2.2    客戶端安裝被發(fā)布的軟件    164
5.2.3    測試自動修復(fù)軟件的功能    165
5.2.4    取消已發(fā)布的軟件    166
5.3    將軟件分配給用戶或計(jì)算機(jī)    167
5.3.1    分配給用戶    167
5.3.2    分配給計(jì)算機(jī)    168
5.4    將軟件升級    168
5.5    部署Adobe Acrobat    172
5.5.1    部署基礎(chǔ)版    172
5.5.2    部署更新程序    174
第6章    限制軟件的運(yùn)行    177
6.1    軟件限制策略概述    178
6.1.1    哈希規(guī)則    178
6.1.2    證書規(guī)則    178
6.1.3    路徑規(guī)則    179
6.1.4    網(wǎng)絡(luò)區(qū)域規(guī)則    179
6.1.5    規(guī)則的優(yōu)先級    179
6.2    啟用軟件限制策略    180
6.2.1    建立哈希規(guī)則    181
6.2.2    建立路徑規(guī)則    183
6.2.3    建立證書規(guī)則    185
6.2.4    建立網(wǎng)絡(luò)區(qū)域規(guī)則    188
6.2.5    不要將軟件限制策略應(yīng)用到本地系統(tǒng)管理員    188
第7章    建立域樹與林    190
7.1    建立個(gè)域    191
7.2    建立子域    191
7.3    建立林中的第二個(gè)域樹    198
7.3.1    選擇適當(dāng)?shù)腄NS架構(gòu)    198
7.3.2    建立第二個(gè)域樹    200
7.4    刪除子域與域樹    206
7.5    更改域控制器的計(jì)算機(jī)名稱    210
第8章     管理域與林信任    214
8.1    域與林信任概述    215
8.1.1    信任域與受信任域    215
8.1.2    跨域訪問資源的流程    215
8.1.3    信任的種類    218
8.1.4    建立信任前的注意事項(xiàng)    221
8.2    建立快捷方式信任    223
8.3    建立林信任    229
8.3.1    建立林信任前的注意事項(xiàng)    229
8.3.2    開始建立林信任    230
8.3.3    選擇性身份驗(yàn)證設(shè)置    238
8.4    建立外部信任    240
8.5    管理與刪除信任    242
8.5.1    信任的管理    242
8.5.2    信任的刪除    244
第9章    AD DS數(shù)據(jù)庫的復(fù)制    247
9.1    站點(diǎn)與AD DS數(shù)據(jù)庫的復(fù)制    248
9.1.1    同一個(gè)站點(diǎn)之間的復(fù)制    248
9.1.2    不同站點(diǎn)之間的復(fù)制    250
9.1.3    目錄分區(qū)與復(fù)制拓?fù)?nbsp;   251
9.1.4    復(fù)制通信協(xié)議    251
9.2    默認(rèn)站點(diǎn)的管理    252
9.2.1    默認(rèn)的站點(diǎn)    252
9.2.2    Servers文件夾與復(fù)制設(shè)置    253
9.3    利用站點(diǎn)來管理AD DS復(fù)制    256
9.3.1    建立站點(diǎn)與子網(wǎng)    257
9.3.2    建立站點(diǎn)鏈接    259
9.3.3    將域控制器移動到所屬的站點(diǎn)    261
9.3.4    指定的bridgehead服務(wù)器    262
9.3.5    站點(diǎn)鏈接與AD DS數(shù)據(jù)庫的復(fù)制設(shè)置    264
9.3.6    站點(diǎn)鏈接橋    265
9.3.7    站點(diǎn)鏈接橋的兩個(gè)范例討論    267
9.4    管理全局編錄服務(wù)器    269
9.4.1    向全局編錄內(nèi)添加屬性    270
9.4.2    全局編錄的功能    270
9.4.3    通用組成員緩存    272
9.5    解決AD DS復(fù)制沖突的問題    274
9.5.1    屬性標(biāo)記    274
9.5.2    沖突的種類    274

第10章    操作主機(jī)的管理    278
10.1    操作主機(jī)概述    279
10.1.1    架構(gòu)操作主機(jī)    279
10.1.2    域命名操作主機(jī)    279
10.1.3    RID操作主機(jī)    280
10.1.4    PDC模擬器操作主機(jī)    280
10.1.5    基礎(chǔ)結(jié)構(gòu)操作主機(jī)    283
10.2    操作主機(jī)的放置優(yōu)化    284
10.2.1    基礎(chǔ)結(jié)構(gòu)操作主機(jī)的放置    284
10.2.2    PDC模擬器操作主機(jī)的放置    284
10.2.3    林級別操作主機(jī)的放置    285
10.2.4    域級別操作主機(jī)的放置    285
10.3    找出扮演操作主機(jī)角色的域控制器    286
10.3.1    利用管理控制臺找出扮演操作主機(jī)的域控制器    286
10.3.2    利用命令找出扮演操作主機(jī)的域控制器    288
10.4    轉(zhuǎn)移操作主機(jī)角色    289
10.4.1    利用管理控制臺    290
10.4.2    利用Windows PowerShell命令    292
10.5    奪取操作主機(jī)角色    293
10.5.1    操作主機(jī)停擺所造成的影響    293
10.5.2    奪取操作主機(jī)角色實(shí)例演練    295
第11章    AD DS的維護(hù)    297
11.1    系統(tǒng)狀態(tài)概述    298
11.1.1    AD DS數(shù)據(jù)庫    298
11.1.2    SYSVOL文件夾    299
11.2    備份AD DS    299
11.2.1    安裝Windows Server Backup功能    299
11.2.2    備份系統(tǒng)狀態(tài)    300
11.3    還原AD DS    303
11.3.1    進(jìn)入目錄服務(wù)修復(fù)模式的方法    303
11.3.2    執(zhí)行AD DS的非授權(quán)還原    304
11.3.3    針對被刪除的AD DS對象執(zhí)行授權(quán)還原    309
11.4    AD DS數(shù)據(jù)庫的移動與整理    312
11.4.1    可重新啟動的AD DS（Restartable AD DS）    313
11.4.2    移動AD DS數(shù)據(jù)庫文件    313
11.4.3    重整AD DS數(shù)據(jù)庫    317
11.5    重置“目錄服務(wù)修復(fù)模式”的系統(tǒng)管理員密碼    320
11.6    更改可重新啟動的AD DS的登錄設(shè)置    321
11.7    Active Directory回收站    322
第12章    將資源發(fā)布到AD DS    326
12.1    將共享文件夾發(fā)布到AD DS    327
12.1.1  利用Active Directory用戶和計(jì)算機(jī)控制臺    327
12.1.2    利用計(jì)算機(jī)管理控制臺    329
12.2    查找AD DS內(nèi)的資源    329
12.2.1    通過網(wǎng)絡(luò)    330
12.2.2    通過Active Directory用戶和計(jì)算機(jī)控制臺    331
12.3    將共享打印機(jī)發(fā)布到AD DS    332
12.3.1    發(fā)布打印機(jī)    332
12.3.2    通過AD DS查找共享打印機(jī)    333
12.3.3    利用打印機(jī)位置來查找打印機(jī)    333
第13章    自動信任根CA    338
13.1    自動信任CA的設(shè)置準(zhǔn)則    339
13.2    自動信任內(nèi)部的獨(dú)立CA    339
13.2.1    下載獨(dú)立根CA的證書并保存    340
13.2.2    將CA證書導(dǎo)入到受信任的根證書頒發(fā)機(jī)構(gòu)    341
13.3    自動信任外部的CA    344
13.3.1    下載獨(dú)立根CA的證書并保存    344
13.3.2    建立證書信任列表（CTL）    347
附錄A    AD DS與防火墻    351
A.1    AD DS相關(guān)的端口    352
A.1.1    將客戶端計(jì)算機(jī)加入域、用戶登錄時(shí)會用到的端口    352
A.1.2    計(jì)算機(jī)登錄時(shí)會用到的端口    353
A.1.3    建立域信任時(shí)會用到的端口    353
A.1.4    驗(yàn)證域信任時(shí)會用到的端口    353
A.1.5    訪問文件資源時(shí)會用到的端口    354
A.1.6    執(zhí)行DNS查詢時(shí)會用到的端口    354
A.1.7    執(zhí)行AD DS數(shù)據(jù)庫復(fù)制時(shí)會用到的端口    354
A.1.8    文件復(fù)制服務(wù)（FRS）會用到的端口    354
A.1.9    分布式文件系統(tǒng)（DFS）會用到的端口    355
A.1.10    其他可能需要開放的端口    355
A.2    限制動態(tài)RPC端口的使用范圍    356
A.2.1    限制所有服務(wù)的動態(tài)RPC端口范圍    356
A.2.2    限制AD DS數(shù)據(jù)庫復(fù)制使用指定的靜態(tài)端口    357
A.2.3    限制FRS使用指定的靜態(tài)端口    358
A.2.4    限制DFS使用指定的靜態(tài)端口    359
A.3    IPSec與VPN端口    360
A.3.1    IPSec所使用的通信協(xié)議與端口    360
A.3.2    PPTP VPN所使用的通信協(xié)議與端口    361
A.3.3    L2TP/IPSec所使用的通信協(xié)議與端口    361
附錄B    Server Core與Nano服務(wù)器    362
B.1    Server Core服務(wù)器概述    363
B.2    Server Core服務(wù)器的基本設(shè)置    364
B.2.1    更改計(jì)算機(jī)名稱    364
B.2.2    更改IP地址    365
B.2.3    啟用Server Core服務(wù)器    367
B.2.4    加入域    367
B.2.5    將域用戶加入本地Administrators組    368
B.2.6    更改日期與時(shí)間    369
B.3    在Server Core服務(wù)器內(nèi)安裝角色與功能    369
B.3.1    查看所有角色與功能的狀態(tài)    369
B.3.2    DNS服務(wù)器角色    370
B.3.3    DHCP服務(wù)器角色    371
B.3.4    文件服務(wù)角色    372
B.3.5    Hyper-V角色    372
B.3.6    打印服務(wù)角色    373
B.3.7    Active Directory證書服務(wù)（AD CS）角色    373
B.3.8    Active Directory域服務(wù)（AD DS）角色    373
B.3.9    Web服務(wù)器（IIS）角色    373
B.4    遠(yuǎn)程管理Server Core服務(wù)器    374
B.4.1    通過服務(wù)器管理器來管理Server Core服務(wù)器    374
B.4.2    通過MMC管理控制臺來管理Server Core服務(wù)器    378
B.4.3    通過遠(yuǎn)程桌面來管理Server Core服務(wù)器    379
B.4.4    硬件設(shè)備的安裝    381
B.5    在虛擬機(jī)內(nèi)運(yùn)行的Nano服務(wù)器    382
B.5.1    建立供虛擬機(jī)使用的Nano服務(wù)器映像文件    382
B.5.2    建立與啟動Nano服務(wù)器的虛擬機(jī)    385
B.5.3    將Nano服務(wù)器加入域    388
B.6    在物理機(jī)內(nèi)運(yùn)行的Nano服務(wù)器    392
B.6.1    建立供物理機(jī)使用的Nano服務(wù)器映像文件    393
B.6.2    利用WinPE啟動計(jì)算機(jī)與安裝Nano服務(wù)器    393