活动目录实战系列.doc

在小型域坏境中要做域环境，大家都知道域服务器垮掉可不是件好玩的事情，现在我用一台服务器做主域控，另一台做额外域控。我使用两台虚拟机给大家做实验。我的域名为51域控IP为，额外域控IP. 一。设置IP 二。为安全起见，我们修改administrator用户，并设置强密码。我新建了一帐户51ctoadmin，并把它加入到administrators组 三。切换到我们建的用户，放入系统光盘。这里自动生成了netbios名，不要修改了。这里是活动目录数据库和日志文件夹的位置。因为我们是第一台域控制器，同时作为DNS服务器，选择第二项。这里我们选择第二项输入目录服务还原用的管理员密码。接下来是漫漫的等待。完成重启计算机。这样我们的主域控制器就做好了。我们下面做额外域控。首先我们设置下IP地址，DNS指向主域控制器。前面的步骤一样，在这一步不同的是我们选择 现有域的额外域控制器我们这里输入域管理员的用户名与密码这里我们选择要作为那个域的额外域控。我们这里是51后面的步骤差不多，重启计算机后就算是做好了。客户端DNS都指向主DNS，这样我们怎样让局域网的客户机上网呢？ 我们设置DNS属性。如图，将所选域的转发器的IP地址填写上公网的DNS地址即可。我们考虑到如果主域控制服务器无法启动后，DNS也无法使用，所以我们还要做辅助DNS首先我们要允许主DNS可以允许辅助DNS复制我们在额外域控制器上安装DNS组件，这样我们同步一下就可以了。我们在客户端设置两个DNS地址，主与辅的，当主域控出现问题，我们可以提升额外域控为主域控即可。提升域控制器我们系列二说。活动目录实战系列二（主域控无法正常启动）回复：71 阅读：7108 2009-06-20 19:20:55 今天一大早过来，发现WIN98客户端无法登陆，一检查主域控DOWN机了，没法启动。幸好做了额外DC，通过抢占PDC角色，提升额外DC为主DC，先使客户机正常登录域环境，这样我们为修复主域控争取时间。环境还是系列一的，主域控IP 计算机名为51cto 额外域控IP 计算机名为bdc51cto.下面我们就看一下具体怎么操作。这是出现的问题。我们必须进入MSDOS，使用ntdsutil命令，不知道怎么用可以打？号连接到我的额外域控上。出现这种情况就成功了。我们查看一下各个操作主机角色。这时候PDC角色已经为额外域控了。PDC主机主要是帐户管理，所以只要抢夺了PDC角色，用户就可以正常登录。终于又看到了正常的登录界面。接下来我们就抓紧时间修复主域控吧。活动目录实战系列三（建立子域）回复：66 阅读：13428 2009-06-22 13:49:56 环境: 现在公司壮大了，在北京和上海都有了分公司。现在我们只示范北京子公司的子域建立过程。这里输入的用户名必须有企业管理员的权限。注意： 建立子域很容易出现问题，大家一定要保证网络畅通。如果用虚拟机实验的话，一定要注意，可以PING通。活动目录实战系列四（建立林信任）回复：36 阅读：4156 2009-06-23 10:31:19 公司这个时候又壮大了，兼并了广州一家公司，广州公司有自己的域环境，这个时候我们又不想重新建立新的域环境，广州分公司职工不要经过什么密码就能访问总公司的共享资料，还想保留怎么办？我们通过建立林信任，达到想要效果。下面开始动工：建立林信任，大致分为三步：提升域功能级别提升林功能级别建立信任因为我的环境都是2003的服务器，要提升所有的域控为2003，提升级别是不可逆的过程。我们先在51上建立信任。这里输入建立信任的密码，和管理员的密码无关。这样我们就建立完成，然后以同样的手法，在建立。最后我们验证一下信任。活动目录实战系列五（更改域名）回复：31 阅读：3906 2009-06-23 19:37:44 在单域环境下且没有什么服务的情况的改域名还行，如果网络环境比较复杂或者有其他服务，不建议更改。以免发生错误。在实验中由于虚拟机坏掉在这里使用了两个，有部分图片对不上，请谅解。 WIN2000域不支持域重命名 域重命名并不是在域控上完成的，在成员服务器上（我这里为了方便，就在一台上做了）重命名提升域级别为2003纯模式，不能为混合模式。现在我们环境介绍一下：我原来域名为更改为首先我们看下角色我们建立新的域名解析这是要更改域名用的安装文件，安装后产生两个文件rendom.exe.和gpfixup.exe文件运行上面命令后会产生一个xml文件，替换所有的域名。在这里不要忘了BIOS名也要改。首先为更改域名做准备正式执行执行的结果，会在执行完成后自动重启计算机看看我们登录的时候就显示motools了，可是到这并没有结束。我们要更改计算机DNS后缀名这样再重启后，还是没有完成，因为我们的组策略失效了。重新锁定组策略用下面的命令。这一步是在成员服务器上实现的 在域控上出现问题不负责哦，如果还不能把组策略启用。那就删除原来的加上自己的。、活动目录实战系列六（win98客户端加入域）回复：12 阅读：2671 2009-06-21 13:34:04 局域网中有一台客户机为98，现在不太可能了，在这边就是告诉大家怎么把WIN98加入域。首先我们建立一个用户win98我们现在设置WIN98客户端。我们这里域为51,域控IP地址为这里工作组要填写域名。然后重启计算机，我们用设置好的域用户登录。活动目录实战系列七（降级主DC为成员服务器）回复：36 阅读：3819 2009-06-29 08:39:01 环境介绍： 公司里有需要，引进了一台新的高性能服务器，要把原来的服务器作为一台成员服务器来使用，用新的服务器代替原来的服务器成为主域控。 思路：首先是FSMO角色的迁移 再次降级主DC在提升的DC上重建DNS。（如果把原来的服务器作为DNS也可以）因为编录服务器就是主DC，所有我们在降级以前要把额外DC做成全局编录服务器，全局编录服务器影响着整个域用户登录。所以很重要。我这里主DC计算机名为BASIC，额外DC计算机名为BDC51CTO. 下面我们把额外DC设置为全局编录服务器勾选全局编录。如何验证编录服务器已经工作，我们首先安装support toools连接额外DC如果这两项显示为TRUE，则为正常运行注册框架管理组件在MMC中添加更改架构操作主机角色。更改域命名操作主机角色最后查看五大角色是否都转移成功。下面我们降级主DC。重启以后 主域控就为域成员服务器了。此时该服务器作为DNS在域环境中。迁移成功了。如果想彻底把旧服务器报废，我们要在提升了的域控上安装DNS，并把DNS指向自己，重建正向区，在这里就不多做演示了。活动目录实战系列八（站点管理）回复：15 阅读：3171 2009-07-01 10:28:40 活动目录里的站点代表网络的物理结构，站点可以优化域控制器的复制，使得数据传输量为原来的15%左右，减轻了网络压力。下面是我们网络拓扑图。接下来我们建立站点，并把相应的服务器移动到站点内。新建站点，我这里建立了三个站点 ShangHai BeiJing GuangZhou为每个站点设置IP子网移动服务器到相应的站点为保证安全使得我们授权相应的服务器管理站点。（一般授权为域控制器）为保证各个站点之间的连接，可以进行正常的复制，我们这里建立相应的站点链接。在这里可以设置开销，复制的频率，开销越低优先级越高。在更改计划中，我们可以设置站点之间的数据复制发生在什么时间。我们可以有一个工具直观的看网络中的拓扑结构，也可以用它进行站点的管理。 首先要安装support tools连接到域林选择其中的一台域控制器现在我们可以看到51cto服务器上所有的数据。用此时这个选项我们可以检查各个站点是否复制链接正常。用这个选项我们可以显示整个林拓扑结构由于我此时只开启了两台服务器 ，所以在我的拓扑结构图上只显示了两台。活动目录实战系列九（OFFICE 2003 软件发布）回复：30 阅读：4123 2009-07-20 09:18:11 利用GPMC工具进行组策略部署。 我们给caiwuOU部署OFFICE 2003程序包添加网络位置。此时共享程序包的文件夹要设置好权限，domain users 有可读的权限。这里有发布 有已指派。发布就是在安装程序中可以找到安装包。指派是客户端可以在程序中找到相应的程序，当运行此程序是会自动安装。刷新组策略。检查客户端，此时部署成功。活动目录实战系列十（重设目录还原密码与备份还原）回复：20 阅读：2969 2009-07-21 08:26:36 我们在有的时候会忘记目录还原的密码，此时该怎么办？用域管理员进入之后，使用NTDSUTIL工具此时已经设置好了，重启计算机，进入目录还原模式。 一。备份活动目录备份完毕。 按F8进入目录服务还原模式，恢复。活动目录实战系列十一（脚本实现用户登录显示信息）回复：55 阅读：5892 2009-07-31 18:22:51 环境：公司每天一上班都有新的消息告诉员工。我们在这里用脚本加组策略来实现。我们对整个域里的所有用户做策略。在这里要注意要把脚本复制到这个LOGON目录下。下面是我脚本的内容，主要用到的就是MSGBOX语句。刷新组策略。登录客户端，显示效果。活动目录实战系列十二（让用户登录时修改密码）回复：28 阅读：4049 2009-08-25 09:05:16 因为公司原来密码都是统一的，后来发现员工随便登录，有时甚至非公司人员也知道密码，给管理造成了很大的麻烦，同事也有抱怨说，自己的电脑老是被动。主任发话咯 不做也不行了。 具体操作如下：首先我们选择用户做完以上操作，这样用户在登录的时候就会提示要修改密码咯。为了让他们能设置强密码，我们还可以设置密码策略。默认的策略是至少3个字符 7位密码长度活动目录实战系列十三（批量建立域用户）回复：49 阅读：5980 2009-10-23 10:41:50 情景：新建域环境，域名51ctolab，需要创建大批用户帐号。我们所使用的工具是dsadd和for语句，在2003中这两个命令都是支持的。首先我们先看一下我原来活动目录中的信息。我创建一个文件夹存放我接下来要编辑的所有文件。接下来看看我的这几个文件的内容。在这里我的hr.txt sales.txt wenyuan.txt文档存放的是我们要建立的用户的信息，前面是登陆名，空格后写的是显示名。接下来我们运行add.cmd文档即可。创建用户。结束后，我们验证一下是否创建成功，此时没有什么问题。下面我们对dsadd进行一下说明：仅从操作过程来看非常简单，但有细节之处。1、dsadd user 是 Windows Server 2003 才具备的工具。2、hr.txt 内的原始数据还是需要手工输入的。3、For语句将读取hr.txt，把每行第一个空格前的内容赋予变量%a，空格后的内容赋予变量%b。For语句中tokens的含义是关键。后面一部分则是dsadd user的命令，可以根据自己的需求修改域名和OU名，如果直接创建在默认的Users文件下的话就把OU=test改成CN=Users。4、我在创建用户时关注的一些选项以及这些选项在dsadd中的对应开关符（1）用户登录名 （-upn 设置 upn 值为 。)（2）win2000以前版本的用户登录名 (设置了upn会自动生成)（3）密码永不过期 （-pwdneverexpires yes | no 用户密码是否永远不过期。默认值: no。）（4）账户永不过期（-acctexpires 设置用户帐户从今天起在天内过期。0 值意味着今天结束后帐户就过期; 正数值意味着帐户在未来过期; 负数意味着该帐户已经过期并将过期日期设置在过去; 字符串值 never 意味着该帐户永远不过期。）（5）用户显示名（-display 设置用户显示名为 。）（6）登录密码 （-pwd | * 设置用户密码为 。如果是 *，会提示您输入密码。）（7）用户下次登录是否修改密码 （-mustchpwd yes | no 用户在下次登录时是否更改密码。默认值: no。）（8）账户是否禁用（-disabled yes | no用户帐户是否禁用。默认值: no。）附上我add.cmd的源代码与相关说明。-dsadd ou ou=allusers,dc=51ctolab,dc=com (添加组织单元allusers)dsadd ou ou=hr,ou=allusers,dc=51ctolab,dc=com (在组织单元allusers下添加组织单元hr)dsadd ou ou=sales,ou=allusers,dc=51ctolab,dc=com (在组织单元allusers下添加组织单元sales)dsadd ou ou=wenyuan,ou=allusers,dc=5