管理员操作手册AD域控及组策略管理CTO

AD域控及组策略管理目录\ActiveDirectory（AD）活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于：1）、工作组网实现的是分散的管理模式，每一台计算机都是独H自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制潜来集中管理域内用户帐号和权限，帐号信息保存在域控制潜内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。2）、在“域”模式下，资源的访问有较严格的管理，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样,称为“域控制器（DomainController,简写为DC）”。3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。2、公司采用域管理的好处1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看，但不可以册V改/移等。3）、方便对用户操作进行权限设置，可以分发，指派软件等，实现网络内的软件一起安装。4）、很多服务必须建立在域环境中，对管理员来说有好处：统一管理,方便在MS软件方面集成，如ISAEXCHANGE（邮件服务港）、ISASERVER（±网的各种设置与管理）等。5）、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务港上，统一进行备份、管理，用户的数据更加安全、有保障。6）、方便用户使用各种资源。7）＞SMS（SystemManagementServer）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如WindowsUpdates）,不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。8）、资源共享用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。9）、管理域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。10）、可扩展性在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展成拥有儿百万对象的大型安装环境。11）、安全性域为用户提供了单一的登录过程来访问网络资源，如所有他们具有权限的文件、打印机和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只要用户具有对资源的合适权限。域通过对用户权限合适的划分，确定了只有对特定资源有合法权限的用户才能使用该资源，从而保障了资源使用的合法性和安全性。12）、可冗余性每个域控制器保存和维护目录的一个副本。在域中，你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时，域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时，他们会定期的相互复制目录信息，域控制器间的数据复制，促使用户信息发生改变时（比如用户修改了口令），可以迅速的复制到其他的域控制器上，这样当一台域控制器出现故障时，用户仍然可以通过其他的域控制进行登录，保障了网络的顺利运行。3、ActiveDirectory（AD）活动目录的功能活动目录（ActiveDirectory）主要提供以下功能：1）、基础网络服务:包括DNS、WINS、DHCP、证书服务等。2）、服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务潜及客户端计算机加入域管理并实施组策略。3）、用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按地市实施组管理策略。4）、资源管理：管理打印机、文件共享服务等网络资源。5）、桌面配置：系统管理员可以集中的配置各种桌面配置策略，如:界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

6)、应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。AD域控(DC)基本操作1＞登陆AD域控登陆到本地市的域控服务器，依次点击“开始-管理工具-ActiveDirectory用户和计算机”,如下图：tob&c名彝 荽制时务upsadministrator文档计算机网络控制面板管理工具*

e

㈤upsadministrator文档计算机网络控制面板管理工具*

e

㈤国©k缸ActiveDirectory用户和计算机ActiveDirectory域和信任关系ActiveDirectory站点和月艮钙ADSIEditDBSiSCSI发起程序WindowsServerBackup安全酉d置向导本地安全箫暗存储浏览器服务服翁器管理器高级安全Windows防火墙共享和存储管理计算机管理可靠性和性能监视器内存诊断工具任务计划程序事件查看器额据源(ODBC)系统酉凝组策略管理组件服务图2-1进入如下管理界面:

BActiveDirectoryBActiveDirectory用户和计宜机文件D操作®查看9帮助01）KctiveDirectory用户和计算机［scdc.sc.tobocW 保存的登词’5CtobftCCOgov.CTLffl_」BuiltinCtffiplitersDownControllers?oreignSecu,KctiveDirectory用户和计算机［scdc.sc.tobocW 保存的登词’5CtobftCCOgov.CTLffl_」BuiltinCtffiplitersDownControllers?oreignSecu,ityPriridpals■屈，。&ServiceXcccunts■iuo二。£tEhchargeSecurityGrs®二Users-3二_Ji二二Ma00000一四JI省俎二.询H单单单单

li1器双器器双器姒双

检容组容容组各组组 DgEbjIVcontairexE。..,AoEdultcontairiorEo..,DqEd,JLtcontainerE。.,.DoEd,altcontairexEo...I4EvxLtcontainerE&...ffl:乐山市烟草专页后《公司JH.广安市烟草专实后1公2D+一吉百0工就11图2-2以乐山市公司为例：在乐山的只读域控服务潜上可以看到个省公司下各地市的节点:□1I四川省烟草专卖局（公司）0W乐山市烟草专卖局（公司）E二广安市烟草专卖局（公司〕但是只能对自己公司的节点进行维护:B二一四川省烟草专卖局（公司）□.工乐山市烟草专卖局（公司）国专卖科B二一四川省烟草专卖局（公司）□.工乐山市烟草专卖局（公司）国专卖科S二五通桁区烟草专卖局（营稍部）-II专称I类型FTI<IT¥TTTTTTTTTill专卖科.，■4113j市场部s二一综合办公室s直1觐送站®三井研县烟草专卖局（营徜部）义刘仕刚&李静｛胡安富氐赖小渝百黄勇户户户户户KRn-SJn11二nrrrrrrr^ftp图2-32、新建组织单位（OU）OU（OrganizationalUnit,组织单位）是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。通俗一点说，如果把AD比作一个公司的话，那么每个0U就是一个相对独立的部门。图1-3中以直I图标开头的均表示组织单位，若需要添加组织单位时，在需要添加的组织单位的上级节点依次点击点击“右键-新建-组织单位”，如下图：-,四J11省烟华专安局（公司）口；一力山市烟草安支:同।二专案科委派控制g..▲I名称~~匚匚务实科H1司五通济区烟草若移劭9…w套实科--,四J11省烟华专安局（公司）口；一力山市烟草安支:同।二专案科委派控制g..▲I名称~~匚匚务实科H1司五通济区烟草若移劭9…w套实科-市场部+ 与-自办公主0二一匐送站查找©…五通桁区.•・一井硼芸朋…

人事务斐科俎织甲位组织单位组税单位组织单位1红北医一

市县县市.新建图）所有任密0K）井町县烟草专引人事劳/科企管科信息中心办公空夹江号烟草与交安保科峨眉山市烟草走峨边县烟华支芟市中区烟草专揖思想尊道工作帮也切（I）删除地）里命名的）刷颗国）计算机联系人组In.fltOrgJPai-sonnisDS-MariagedServiceAccount.msEkchBynAmicDisti-ibu*ioxJListmsImagriTtg-FSFsMSMQ以列别名导出列表d）...组织甲隹属性（B）打印机用户共享文件夹帮助QP图2-4填写组织单位名称-点击确定

图2-4既可在选中的组织单位节点下新增组织单位。注：删除组织单位时，要在查看中勾选高级功能flActiveDirectory用户和计算机文件cn操作仪)查看⑺帮助00伞畛1为扇L添加/删除列㈤… 1ActiveDirector大图标(G) 羊Sa保存的查询B君sc.tobacco.gEC3Bulltin囤_Computers小图标(M) D列表6)•详细信息S) 上S二一DomainCoS ForeignSe[+] LostAndFoS.一ManagedS用户、联系人、组和计算机作为容器(C)<"高级功能a) £筛选器选项on... 1自定义⑺… PS Microsoft图2-5然后选中的组织单位属性-对象中将“防止对象被意外删除”前的勾去掉，才能删除。图图2-8图图2-8图2-63、新建用户图2-1右侧窗口中以手图标开头的就是用户。与新建组织单位相似。对自己有权操作维护的组织单位点击“右键-新建-用户”，填写用户基本信息，点击下一步。薪建对象-用户创建于•/乐山市烟草专卖局（公司）/则试用组织单位上步创建于•/乐山市烟草专卖局（公司）/则试用组织单位上步91下一步8>1取消I图2-7填写初始密码，点击下一步02-1202-12点击完成图2-9既可在选中的组织单位节点下新增用户*12扇I小口IXEI向昌|目届13通皆了囱鼬类型国总安保科 3类型测试001test 测试001test 用户E一峨边县烟草专卖局《营消部）田工市中区烟草专卖局《营徜部）田.；思想政治工作科田二」沐川县烟草专卖同《营消部）E二」沙湾区烟草专卖局《营消部）BH法规科田二一物流中心®二一摧为县烟草专卖局《营消部）国三监察科S司营消中心S二视频会议设备sH计算机田总财务科0-J金口河区烟草专卖同（营消部）田二」马边县烟草专卖同《营消部）E总驻乐办一则i式用组织单位图2-104、调整用户右键点击用户-属性

复制©.•.添加到组⑹.名称映射禁用帐户应）重置:密码盘）.移动⑦・•・打开主页@）发送邮件兔）所有任芳也） ►剪切Q）删除5重命名Qfl）厩性⑥帮助团图2T1进入用户信息修改:UiSOOltest庭性|确定1取消J应用®I帮助|其中常规中电话号码必填a2-13电话选项卡中移动电话必填图图2-15图图2-15常规‘I地址’I帐户I发置文件电话］单位」发布的证书i图2-14单位选项卡中所有信息必填常投1地址I帐户।配置文件］电话.单位|发布的证书i直接下属出）:注：直接下属不需要维护这几个选项卡是常用，并且需要注意的。5、调整计算机当用户利用自己的帐号加入域后，在AD管理工具中就能看到登入域的计算机右键点击计算机可对其进行管理|『中1工!|电]口|国I0国电山下七书名称类型kctiveDirectory用户和计算机［scdc.sc.tol|『中1工!|电]口|国I0国电山下七书名称类型kctiveDirectory用户和计算机［scdc.sc.tol，保存的查询妁sg.tobacco,0 _BuiltinComputersS.ajDomainControllersS ForeignSecurityPrincipalsE一LostkndFoundS-ManagedServiceAccountsSn_MicrosoftExchangeSecurityGroupsS.OCSConfig^irations2S一ProgramDataS System・LADMIOTSTRkTOR,LMGLELI1IG-PC,LCKIWA-C370FE2C8•^-CSK-FC【DkVIDSOlIG・LDlTANJinmilTG【GASJM211T垢GAXXBF0048，LGONGZHO1IG【HA1IGGUOGQUAN,LHP-PC机机机机机机机机机机机，

算算算算算算算算算算算一

计计计计计计计计计计计：图2-16三、AD三、AD域控常用命令AD域控管理命令可以用命令行的方式，依次点击“开始-运行-cmd”,打开命令行工具。AD域控常用命令有很多，下面列举一些比较常见的例子:1、创建组织单位：(dsadd)命令格式:dsaddou<OUDN>[-desc描述][{-s服务器式d域}][-u用户名][-p{密码I*}][-q][{-uc|-uoc,-uci}]注意：0U名称应为要创建的0U的LDAP绝对路径(DN,DistinguishedName),如果DN中包含空格，应该在路径两端使用双引号。例如要在域中建立一个名为finance的0U,可以执行以下命令:C：\>dsaddouou=finance,dc=yjx,dc=com-desc〃贝才务部〃2、创建域用户帐户(dsadd)命令格式：dsadduser<UserDN>[-samid<SAMName>]-pwd{〈Password〉[*}-upnUPN例如要在域中建立一个名为mike的用户帐户，该用户将位于salesOU中，其显示名称为“mikeyang”，则可以执行以下命令：C:\>dsaddusercn=mike,ou=sales,dc=yjx,dc=com-samidmike-pwd-display“mikeyang”3、创建计算机帐户(dsadd)命令格式：dsaddcomputer<ComputerDN>要在域中的salesOU中建立一个名为client-2的计算机帐户，可以执行以下命令：C:\>dsaddcomputercn=client_2,ou=sales,dc=yjx,dc=com要在域中的salesOU中建立一个名为client-3的计算机帐户，并设置计算机账户的描述信息为“测试工作站”，可以执行以下命令：C:\>dsaddcomputercn=client_3,ou=sales,dc=yjx,dc=com-desc测试工作站4、创建联系人(dsadd)命令格式:dsaddcontact<ContactDN>[_fn<FirstName>][-mi<Initial>][-ln<LastName>][-display<DisplayName>][-desc<Description>]要在域中的salesOU中建立一个名为杨建新的联系人，执行以下命令:C:\>dsaddcontactcn=杨建新，ou=sales,dc=yjx,dc=com-fnjianxin-Inyang-display杨建新5、修改活动目录对象（dsmod）用于修改AD对象的属性，可以对0U、用户、组、联系人等对象进行修改。C:\>dsmoduser/描述：修改目录中现有的用户。语法：dsmoduser<UserDN...>[~upn<UPN>][_fn<FirstName>][-mi<Initial>][-ln<LastName>][-display<DisplayName>][-fnp<firstnamephonetic〉][-lnp<lastnamephonetic>][-displayp<displaynamephonetic>][-empid<EmployeeID>]L-pwd{<Password>；*}][-desc<Description>][-office<Office>][-tel<Phone#>][-email<Emai1>] [-hometel<HomePhoneft>][r<Pager#>][-mobile<CellPhone#>][-fax<Faxtt>][-iptel<IPPhone#>][-webpg<WebPage>][-title<Title>][-dept<Department>][-company<Company>]L-mgr<Manager>][-hmdir<HomeDir>][-hmdrv<DriveLtr>:][-profile<ProfilePath>][-loscr<ScriptPath>]L-mustchpwd{yesno）][-canchpwd{yesno}][-reversiblepwd{yes:no}][-pwdneverexpires{yesno)][-acctexpires<NumDays>][-disabled(yesno}][{-s<Server> -d<Domain>}]L-u<UserName>][-p{<Password>*}][-c」[-q][{-uc -uco -uci}]]几个具体用法如下：重置用户帐户的密码dsmoduserUserDN-pwd新密码[-mustchpwd{yesno}]下次登录时修改此密码启用或禁用账户dsmoduserUserDN可分辨名称-disabled{yesno)yes禁用no启用修改计算机帐户属性的格式为：dsmodcomputerComputerDN...[-descDescription][-locLocation][-disabled{yesno}][-reset][{-sServer-dDomain)][-uUserName][-p{Password*}][-c]]-q_[{-uc -uco-uci}]重设计算机帐户dsmodcomputerComputerDN-reset启用或禁用计算机帐户dsmodcomputerComputerDN可分辨名称-disabled{yesno}yes禁止

登录no允许登录将计算机帐户添加到组中dsmodgroupGroupDN-addmbrComputerDN要创建一个sales全局组，并将用户mike加入到该组中，可以执行以下命令:C:\>dsaddgroupcn=sales,ou=sales,dc=yjx,dc=com-desc销售部dsadd成功：cn=sales,ou=sales,de=yjx,de=comC:\>dsmodgroupcnC:\>dsmodgroupcn二sales,ou=sales,de=yjx,de=com-addmbrcn=mike,ou=sales,de=yjx,de=comdsmod成功：cn=sales,ou=sales,de=yjx,de=com6、其他命令(dsquery、dsmove%dsrm)其他的活动目录操作命令还包括dsquery、dsmove>dsrm等，分别用于活动目录对象的查询、移动和删除。要查找sales0U中的所有用户，可以执行以下命令：C:\>dsQueryuserou=sales,dc=yjx,dc=com-name*〃CN=mike,OU二sales,DC=yjx,DC=com〃〃CN=userl,OU=sales,DC=yjx,DC=com〃〃CN=user2,0U=sales,DC=yjx,DOconT要查找salesOU中已经3个星期不活动的用户，可以执行以下命令:C:\>dsqueryuserou=sales,de=yjx,de=com-inactive3要将mike用户移动到financeOU中，可以执行以下命令:C:\>dsmove cn=mike,ou=sales,de=yjx,de=com-newparentou=finance,de二yjx,de=comdsmove成功：cn=mike,ou=sales,de=yjx,de=com要删除salesOU中的用户userL可以执行以下命令：C:\>dsrmcn=userl,ou=sales,de=yjx,de=com您确认要删除cn=userl,ou=sales,dc=yjx,dc=com吗（Y/N）ydsrm成功:cn=userl,ou=sales,de=yjx,de=comU!组策略管理U!组策略管理1、打开组策略管理器依次点击“开始-管理工具-点击进入组策略管理”，进入组策略管理器。如下图：tobac名称upsadministrator文档计算机网络控制面板管理工具终端服务ActiveDirectory用户和计算机ActiveDirectory域和信任关系ActiveDirectory站点和月艮务ADSIEditDHSiSCSI发起程序WindowsServerBackup安全酉i!置向导本地安全策晤存绪浏览器服务毒服务器管理器・高级安全Windows防火墙国］共享和存绪管理计算机管理<g>可靠性和性能监视器㈤内存诊断工具@任务计划程序Q事件查看器宫额据源9口比）目系统酉选国组策略管理上组件服务区组策畸管理3文件出）操作查看吃窗口忧I群助00作脸I2画I口I*画aIA组策略管理B_^林：日溪域El至^sc.tobacco.g：DefaultDomainPolicyH□Domain.ControllersH.二一MicrosoftExchangeSecurityl?rcRups0直浪匐四川省烟草专卖局（公司）副允许加田二广安市烟草专卖局（公司）田二乐山市烟草专卖局（公司）田总省局s3组第略对象㈤：彳WMI筛选器田StarterGPO0H站点6组策略建模.X组第略结果图4-22、受信任的根证书办法机构组策略设置1、启动组策略管理：开始-管理工具-组策略管理图4-32、选择拥有管理权限并需进行组策略设置的ou,右键选择创建组策略对图4-43、输入新建的GPO的名称图图4一6图图4一6图4-54、选择新建的GPO,右键编辑5、在组策略管理编辑器中选择计算机配置-策略-windows设置-安全设置-公钥策略-受信任的根证书颁发机构右键选择导入图4一76、选择需要导入的证书（可以利用证书管理进行导出）

8、点击完成，完成组策略设置图4-93、IE安全及隐私组策略设置1、启动组策略管理：开始-管理工具-组策略管理图图4-BBEJ&细第略铸理婚15忑全区域和内音分级内百分缘c&细第略铸理婚15忑全区域和内音分级内百分缘c不自定义内音分极9)「导入当前内百分级设屋©安全(S嫌涂社【不自定义安全区域和电〃⑪6导入当前宾全区屈利带粗设置口M安全施初的|我g晶色而辑舞!咿私设2。诞好必施过下面的“修谕&S”施顺颦廨疆翳弱