管理员操作手册-AD域控及组策略管理 51CTO下载_第1页
管理员操作手册-AD域控及组策略管理 51CTO下载_第2页
管理员操作手册-AD域控及组策略管理 51CTO下载_第3页
管理员操作手册-AD域控及组策略管理 51CTO下载_第4页
管理员操作手册-AD域控及组策略管理 51CTO下载_第5页
已阅读5页,还剩30页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

四川省烟草专卖局(公司)效能协同平台管理员操作手册AD 域控及组策略管理版本号 1.0日期:2011 年 6 月山东浪潮齐鲁软件产业股份有限公司操作手册 2文档修订记录版本 日期 更改人 描述0.1 2011-6-9 孙正敏 新建文档0.2 2011-6-17 李浩 完善文档1.0 2011-6-21 孙正敏 完善文档操作手册 3目录一、 Active Directory(AD)活动目录简介 .41、工作组与域的区别 42、公司采用域管理的好处 43、 Active Directory(AD)活动目录的功能 .6二、 AD 域控(DC)基本操作 61、登陆 AD 域控 62、新建组织单位(OU) .83、新建用户 104、调整用户 115、调整计算机 14三、 AD 域控常用命令 .151、创建组织单位:(dsadd) 152、创建域用户帐户(dsadd) 153、创建计算机帐户(dsadd) 154、创建联系人(dsadd) 165、修改活动目录对象(dsmod) .166、其他命令(dsquery、dsmove、dsrm) .17四、 组策略管理 191、打开组策略管理器 192、受信任的根证书办法机构组策略设置 .203、 IE 安全及隐私组策略设置 .254、注册表项推送 30五、 设置 DNS 转发 .33操作手册 4一、 Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于:1) 、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。2) 、在 “域”模式下,资源的访问有较严格的管理 ,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为 DC) ”。3) 、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问 Windows 共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。2、公司采用域管理的好处1) 、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。2) 、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/ 改/移等。3) 、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。4) 、很多服务必须建立在域环境中,对管理员来说有好处:统一管理, 方便在 MS 软件操作手册 5方面集成,如 ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理 )等。5) 、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。6) 、方便用户使用各种资源。7) 、 SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如 Windows Updates) ,不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。8) 、资源共享用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。9) 、管理域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在 NT 网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。10) 、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。11) 、安全性 域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。 操作手册 612) 、可冗余性每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令) ,可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。3、Active Directory(AD)活动目录的功能活动目录(Active Directory)主要提供以下功能:1) 、基础网络服务:包括 DNS、WINS、DHCP、证书服务等。2) 、服务器及客户端计算机管理:管理服务器及客户端计算机账户,所有服务器及客户端计算机加入域管理并实施组策略。3) 、用户服务:管理用户域账户、用户信息、企业通讯录(与电子邮件系统集成) 、用户组管理、用户身份认证、用户授权管理等,按地市实施组管理策略。4) 、资源管理:管理打印机、文件共享服务等网络资源。5) 、桌面配置:系统管理员可以集中的配置各种桌面配置策略,如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。6) 、应用系统支撑:支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。二、 AD 域控(DC)基本操作1、登陆 AD 域控登陆到本地市的域控服务器,依次点击“开始-管理工具-Active Directory 用户和计算机” ,如下图:操作手册 7图 2-1进入如下管理界面:操作手册 8图 2-2以乐山市公司为例:在乐山的只读域控服务器上可以看到个省公司下各地市的节点:但是只能对自己公司的节点进行维护:图 2-32、新建组织单位(OU)OU(Organizational Unit,组织单位)是可以将用户、组、计算机和其它组织单位放入其中的 AD 容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。通俗一点说,如果把 AD 比作一个公司的话,那么每个 OU 就是一个相对独立的部门。 图 1-3 中以 图标开头的均表示组织单位,若需要添加组织单位时,在需要添加的组织单位的上级节点依次点击点击 “右键-新建-组织单位” ,如下图:操作手册 9图 2-4填写组织单位名称-点击 确定图 2-4既可在选中的组织单位节点下新增组织单位。注:删除组织单位时,要在查看中勾选 高级功能图 2-5然后选中的组织单位 属性-对象中将“防止对象被意外删除”前的勾去掉,才能删除。操作手册 10图 2-63、新建用户图 2-1 右侧窗口中以 图标开头的就是用户。与新建组织单位相似。对自己有权操作维护的组织单位点击 “右键-新建-用户” ,填写用户基本信息,点击 下一步。图 2-7填写初始密码,点击 下一步图 2-8点击 完成操作手册 11图 2-9既可在选中的组织单位节点下新增用户图 2-104、调整用户右键点击用户-属性操作手册 12图 2-11进入用户信息修改:图 2-12其中 常规 中电话号码必填操作手册 13图 2-13电话选项卡中 移动电话必填图 2-14操作手册 14单位 选项卡中 所有信息必填图 2-15注:直接下属 不需要维护这几个选项卡是常用,并且需要注意的。5、调整计算机当用户利用自己的帐号加入域后,在 AD 管理工具中就能看到登入域的计算机右键点击计算机可对其进行管理图 2-16操作手册 15三、 AD 域控常用命令AD 域控管理命令可以用命令行的方式,依次点击“开始-运行-cmd” ,打开命令行工具。AD 域控常用命令有很多,下面列举一些比较常见的例子:1、创建组织单位:(dsadd)命令格式:dsadd ou -desc 描述 -s 服务器|-d 域 -u 用户名 -p 密码|* -q -uc|-uoc|-uci注意:OU 名称应为要创建的 OU 的 LDAP 绝对路径(DN,Distinguished Name) ,如果 DN中包含空格,应该在路径两端使用双引号。例如要在 域中建立一个名为 finance 的 OU,可以执行以下命令:C:dsadd ou ou=finance,dc=yjx,dc=com -desc “财务部“2、创建域用户帐户(dsadd)命令格式:dsadd user -samid -pwd |* upn UPN例如要在 域中建立一个名为 mike 的用户帐户,该用户将位于 sales OU 中,其显示名称为“mike yang”,则可以执行以下命令:C:dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”3、创建计算机帐户(dsadd)命令格式:dsadd computer 要在 域中的 sales OU 中建立一个名为 client-2 的计算机帐户,可以执行以下命令:C:dsadd computer cn=client-2,ou=sales,dc=yjx,dc=com要在 域中的 sales OU 中建立一个名为 client-3 的计算机帐户,并设置计算机账户的描述信息为“测试工作站” ,可以执行以下命令:C:dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站操作手册 164、创建联系人(dsadd)命令格式:dsadd contact -fn -mi -ln -display -desc 要在 域中的 sales OU 中建立一个名为杨建新的联系人,执行以下命令:C:dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新 5、修改活动目录对象( dsmod)用于修改 AD 对象的属性,可以对 OU、用户、组、联系人等对象进行修改。C:dsmod user /?描述: 修改目录中现有的用户。语法: dsmod user -upn -fn -mi -ln -display -fnp -lnp -displayp -empid -pwd | *-desc -office -tel -email -hometel -pager -mobile -fax -iptel -webpg -title -dept -company -mgr -hmdir -hmdrv : -profile -loscr -mustchpwd yes | no-canchpwd yes | no -reversiblepwd yes | no-pwdneverexpires yes | no-acctexpires -disabled yes | no-s | -d -u -p | * -c -q -uc | -uco | -uci几个具体用法如下:操作手册 17重置用户帐户的密码dsmod user UserDN -pwd 新密码 -mustchpwd yes | no 下次登录时修改此密码启用或禁用账户dsmod user UserDN 可分辨名称 -disabled yes|no yes 禁用 no 启用修改计算机帐户属性的格式为:dsmod computer ComputerDN .-desc Description -loc Location -disabled yes | no -reset -s Server | -d Domain -u UserName -p Password | * -c -q -uc | -uco | -uci重设计算机帐户dsmod computer ComputerDN -reset启用或禁用计算机帐户dsmod computer ComputerDN 可分辨名称 -disabled yes|no yes 禁止登录 no 允许登录将计算机帐户添加到组中dsmod group GroupDN -addmbr ComputerDN要创建一个 sales 全局组,并将用户 mike 加入到该组中,可以执行以下命令:C:dsadd group cn=sales,ou=sales,dc=yjx,dc=com -desc 销售部dsadd 成功:cn=sales,ou=sales,dc=yjx,dc=comC:dsmod group cn=sales,ou=sales,dc=yjx,dc=com -addmbr cn=mike,ou=sales,dc=yjx,dc=comdsmod 成功:cn=sales,ou=sales,dc=yjx,dc=com6、其他命令(dsquery、dsmove、dsrm)其他的活动目录操作命令还包括 dsquery、dsmove、dsrm 等,分别用于活动目录对象的查询、移动和删除。操作手册 18要查找 sales OU 中的所有用户,可以执行以下命令:C:dsquery user ou=sales,dc=yjx,dc=com -name *“CN=mike,OU=sales,DC=yjx,DC=com“CN=user1,OU=sales,DC=yjx,DC=com“CN=user2,OU=sales,DC=yjx,DC=com“要查找 sales OU 中已经 3 个星期不活动的用户,可以执行以下命令:C:dsquery user ou=sales,dc=yjx,dc=com -inactive 3要将 mike 用户移动到 finance OU 中,可以执行以下命令:C:dsmove cn=mike,ou=sales,dc=yjx,dc=com -newparent ou=finance,dc=yjx,dc=comdsmove 成功:cn=mike,ou=sales,dc=yjx,dc=com要删除 sales OU 中的用户 user1,可以执行以下命令:C:dsrm cn=user1,ou=sales,dc=yjx,dc=com您确认要删除 cn=user1,ou=sales,dc=yjx,dc=com 吗(Y/N)? ydsrm 成功:cn=user1,ou=sales,dc=yjx,dc=com操作手册 19四、 组策略管理1、打开组策略管理器依次点击“开始-管理工具- 点击进入 组策略管理” ,进入组策略管理器。

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论