Windows Server 2003活动目录实战指南 目录

Windows Server 2003活动目录实战指南 目录

第1章　活动目录概述　1
1.1　活动目录概述　1
1.1.1　活动目录的重要意义　1
1.1.2　活动目录对象　2
1.1.3　活动目录组件　6
1.1.4　逻辑结构　7
1.1.5　物理结构　8
1.2　理解活动目录概念　9
1.2.1　全局目录(GC)　9
1.2.2　复制　10
1.2.3　信任关系　10
1.2.4　DNS名称空间　11
1.2.5　名称服务器　13
1.2.6　命名规范　14
1.2.7　域控制器　14
1.3　活动目录的新特性　15
1.3.1　活动目录的优点　15
1.3.2　活动目录新特性和改进　15

第2章　DNS与活动目录　18
2.1　DNS概述　18
2.1.1　DNS简介　18
2.1.2　名称空间　19
2.1.3　DNS和活动目录的区别　20
2.1.4　DNS与活动目录集成　21
2.2　规划DNS　21
2.2.1　服务规划　21
2.2.2　逻辑规划　23
2.2.3　服务器硬件规划　24
2.2.4　安全规划　27
2.3　DNS安装　29
2.3.1　IP地址设置　29
2.3.2　向导方式安装　30
2.3.3　组件方式安装　33
2.4　AD集成区域第一台DNS服务器　33
2.4.1　目录集成区域的优点　34
2.4.2　主要DNS服务器　34
2.4.3　AD集成区域的DNS服务器　38
2.4.4　AD集成区域DNS验证　46
2.5　AD集成区域第二台DNS服务器　48

第3章　活动目录部署　52
3.1　Active Directory评估　52
3.1.1　Active Directory架构环境　52
3.1.2　Active Directory Sizer工具评估应用环境　52
3.2　Active Directory规划　58
3.2.1　案例说明　59
3.2.2　AD名称空间　60
3.2.3　域林　61
3.3　Active Directory部署　65
3.3.1　安装第一个企业根域控制器域名book.com　65
3.3.2　安装辅助域控制器　71
3.3.3　安装根域book.com下的第一个子域bj.book.com　74
3.3.4　安装根域book.com下的第2个域树Pen.com　78
3.3.5　添加域林的第1个子域bj.book.com的成员服务器SR1　81
3.3.6　创建域林　83
3.3.7　删除Active Directory　89
3.3.8　重命名Active Directory　92

第4章　活动目录操作主机　101
4.1　操作主机概述　101
4.1.1　操作主机　101
4.1.2　架构主机　102
4.1.3　域命名主机　102
4.1.4　PDC仿真器　102
4.1.5　RID主机　103
4.1.6　基础结构主机　103
4.2　查看操作主机角色　103
4.2.1　GUI模式　104
4.2.2　命令行模式　107
4.2.3　脚本方式　108
4.3　操作主机规划　110
4.3.1　环境描述　110
4.3.2　FSMO规划　111
4.4　操作主机转移　112
4.4.1　角色转移　112
4.4.2　GUI模式转移操作主机角色　113
4.4.3　命令行模式　119
4.5　占用操作主机角色　122
4.5.1　故障状况　122
4.5.2　占用操作主机角色　123

第5章　活动目录的站点　127
5.1　站点概述　127
5.1.1　站点任务　127
5.1.2　独立站点　128
5.1.3　多个站点　128
5.1.4　站点管理　129
5.1.5　KCC　129
5.1.6　默认站点　130
5.2　站点规划　130
5.2.1　案例介绍　130
5.2.2　站点规划　131
5.3　Active Directory站点配置　132
5.3.1　创建站点　132
5.3.2　创建子网并连接站点　133
5.3.3　创建站点链接　134
5.3.4　移动服务器　135
5.3.5　给站点授权计算机　136
5.3.6　站点委派控制　137
5.3.7　站点链接搭桥　138
5.3.8　KCC手工检测　141

第6章　活动目录复制　142
6.1　复制概述　142
6.1.1　复制简介　142
6.1.2　复制类型　143
6.1.3　复制机制　144
6.1.4　复制方式　146
6.1.5　复制内容　148
6.2　复制拓扑　149
6.3　复制规划　155
6.4　管理复制　156
6.4.1　配置站点链接　156
6.4.2　站点链接开销　156
6.4.3　复制频率　156
6.4.4　设置站点链接可用性　157
6.4.5　配置站点链接桥　158
6.4.6　配置首选桥头服务器　158

第7章　活动目录信任　160
7.1　信任概述　160
7.1.1　信任　160
7.1.2　信任类型　160
7.1.3　信任方向　163
7.1.4　信任传递性　165
7.1.5　新的信任类型——林信任　166
7.2　信任的创建时间　167
7.2.1　何时创建外部信任　168
7.2.2　何时创建快捷信任　168
7.2.3　何时创建领域信任　168
7.2.4　何时创建林信任　168
7.3　创建信任实例　169
7.3.1　创建快捷信任　169
7.3.2　创建外部信任　172
7.3.3　创建林根信任　178
7.3.4　删除信任　179
7.3.5　验证信任　180

第8章　活动目录功能级别　182
8.1　功能级别　182
8.1.1　域功能　182
8.1.2　域功能提升　183
8.1.3　域功能级别评估　183
8.1.4　域林功能　184
8.2　提升功能级别　184
8.2.1　提升域功能级别　185
8.2.2　提升林功能级别　187

第9章　活动目录全局编录服务器　192
9.1　全局编录服务器概述　192
9.2　查看全局编录服务器　193
9.2.1　GUI方式　193
9.2.2　脚本方式　194
9.2.3　命令行方式　195
9.3　全局编录服务器规划　195
9.3.1　全局编录服务器规划原则　196
9.3.2　案例规划　196
9.4　全局编录服务器应用　197
9.4.1　域控制器提升为全局编录服务器　197
9.4.2　验证全局编录服务器的提升　198
9.4.3　验证全局编录服务器正常工作　200
9.4.4　删除全局编录服务器　203

第10章　活动目录委派　206
10.1　委派概述　206
10.1.1　组织单位　206
10.1.2　管理目标　207
10.2　委派规划　208
10.3　委派应用　209
10.3.1　创建组织单位、组、用户　210
10.3.2　创建委派任务　217
10.3.3　创建管理控制台　219
10.3.4　创建管理任务　225
10.3.5　禁止权限继承　229
10.4　受限委派　231
10.4.1　创建委派选项卡　232
10.4.2　配置委派　234
10.4.3　配置受限委派　238

第11章　活动目录的组织单位　243
11.1　组织单位概述　243
11.1.1　组织单位模型　243
11.1.2　组织单位和组的区别　243
11.1.3　群组原则　244
11.2　组织单位规划　244
11.2.1　规划组织单位原则　244
11.2.2　规划组织单位分层结构　245
11.3　组织单位应用　248
11.3.1　创建组织单位　248
11.3.2　移动组织单位　249
11.3.3　更改组织单位名称　251
11.3.4　删除组织单位　253
11.3.5　查找组织单位　254
11.3.6　组织单位新增用户　256
11.3.7　组织单位新增计算机　258
11.3.8　组织单位新增组　260
11.3.9　移动组织单位的成员　261
11.3.10　删除组织单位的成员　262
11.3.11　组织单位的委派　263
11.3.12　取消组织单位的权限继承　263

第12章　活动目录的用户　266
12.1　用户概述　266
12.1.1　用户账户简介　266
12.1.2　用户命名惯例　267
12.1.3　用户密码要求　267
12.2　创建用户　267
12.2.1　默认用户　268
12.2.2　UPN后缀　268
12.2.3　创建域用户账户　270
12.2.4　创建企业系统管理员　272
12.2.5　查看用户属性　274
12.2.6　其他用户属性　275
12.2.7　创建大量用户　285
12.2.8　将用户添加到本地管理员组　291
12.3　管理用户　293
12.3.1　添加到组　293
12.3.2　启用、禁用账户　295
12.3.3　移动　296
12.3.4　重设密码　297
12.3.5　删除　299
12.3.6　重命名　300
12.4　用户权限和权力　301
12.4.1　用户权限　301
12.4.2　用户权力　303
12.5　用户配置文件　307
12.5.1　用户配置文件概述　307
12.5.2　漫游用户配置文件　310
12.5.3　用户配置文件设置　312
12.5.4　强制使用相同的配置文件　316
12.6　用户主目录　323
12.6.1　创建共享文件夹　323
12.6.2　指派用户主目录　324

第13章　活动目录的组　327
13.1　组概述　327
13.1.1　组类型　327
13.1.2　组功能　328
13.1.3　默认组　331
13.1.4　嵌套组　333
13.2　组规划　335
13.2.1　组设计原则　335
13.2.2　组规划——AGDLP原则　336
13.3　组应用实例　337
13.3.1　创建全局安全组　337
13.3.2　移动用户到“全局组”　339
13.3.3　创建“本地域组”　341
13.3.4　“全局组”加入到“本地域组”　342
13.3.5　设置“本地域组”访问文件夹权限　343

第14章　活动目录的组策略　347
14.1　组策略概述　347
14.1.1　组策略的功能　347
14.1.2　组策略的组件　348
14.1.3　组策略的层次结构　349
14.1.4　计算机和用户策略的配置　352
14.2　组策略继承、委派　353
14.2.1　组策略的继承　353
14.2.2　组策略的委派　355
14.3　组策略管理控制台　360
14.3.1　GPMC概述　360
14.3.2　GPMC初始安装　360
14.3.3　管理组策略对象　368
14.3.4　GPO备份、还原、复制以及导入　374
14.3.5　组策略建模　379
14.3.6　策略结果集　381
14.4　组策略综合应用　383
14.4.1　UNIX终端仿真概述　383
14.4.2　部署环境　384
14.4.3　策略部署　385

第15章　活动目录与网络资源　411
15.1　发布资源　411
15.1.1　访问控制权限　411
15.1.2　发布共享文件夹　411
15.1.3　发布分布式文件系统　414
15.2　文件夹重定向　417
15.2.1　文件夹重定向概述　418
15.2.2　应用实例：文件夹重定向　420
15.2.3　重定向文件夹测试　429
15.3　应用程序部署　431
15.3.1　软件部署策略概述　431
15.3.2　实例1：使用MSI文件部署Office 2003　433
15.3.3　实例2：使用ZAP文件部署HotFix　445
15.3.4　实例3：使用开机、关机脚本部署HotFix　449

第16章　活动目录SYSVOL共享　453
16.1　SYSVOL概述　453
16.1.1　SYSVOL简介　453
16.1.2　SYSVOL内容　453
16.1.3　SYSVOL管理　454
16.2　SYSVOL应用实例　455
16.2.1　SYSVOL重定向　455
16.2.2　更改SYSVOL存储空间的大小　464

第17章　身份认证与活动目录　466
17.1　802.1x认证与活动目录　466
17.1.1　IEEE 802.1x身份认证概述　466
17.1.2　802.1x认证特点　466
17.1.3　IEEE 802.1x与IAS　467
17.2　IIS认证与活动目录　467
17.2.1　IIS自身安全机制　468
17.2.2　Web服务器身份认证　469
17.2.3　FTP服务器身份认证　478
17.3　SMTP与活动目录　479
17.3.1　设置身份验证方法　479
17.3.2　收件人策略　481
17.4　访问权限与活动目录　483
17.4.1　账户审核实战　483
17.4.2　限制用户登录到的计算机　485
17.4.3　委派用户权限　486

第18章　活动目录性能管理　492
18.1　活动目录性能监视工具　492
18.1.1　性能监视工具　492
18.1.2　事件查看器控制台　493
18.1.3　性能控制台　498
18.1.4　系统监视器　499
18.1.5　性能日志和警报　501
18.2　监视对共享文件夹的访问　505
18.2.1　监视网络资源使用　506
18.2.2　监视共享文件夹　506
18.2.3　监视打开的文件　507
18.2.4　发送控制台消息　508

第19章　活动目录的管理　510
19.1　活动目录管理任务　510
19.1.1　更改组成员身份　510
19.1.2　管理目录复制　510
19.1.3　创建用户和组账户　511
19.1.4　部署和升级软件包　511
19.1.5　重设用户密码　511
19.1.6　管理信任　511
19.1.7　管理全局编录　511
19.1.8　管理FSMO　512
19.1.9　管理站点　512
19.2　活动目录管理方式　512
19.2.1　使用运行方式　512
19.2.2　使用保存的查询　517
19.2.3　MMC 管理 Active Directory　521
19.2.4　命令行管理 Active Directory　521
19.2.5　查找目录信息　522
19.3　MMC管理控制台　524
19.3.1　MMC控制台　524
19.3.2　管理单元　524
19.3.3　控制台选项　525
19.3.4　使用MMC控制台　525
19.4　Active Directory对象　532
19.4.1　默认的Active Directory对象　533
19.4.2　查找活动目录对象　536
19.4.3　移动活动目录对象　538
19.4.4　站点间移动域控制器　540
19.5　Active Directory权限管理　541
19.5.1　安全描述符　541
19.5.2　有效权限计算器　544
19.5.3　访问控制继承　546

第20章　管理活动目录数据库　550
20.1　Active Directory备份和恢复　550
20.1.1　活动目录状态信息　550
20.1.2　备份Active Directory数据库　551
20.1.3　还原Active Directory数据库　555
20.2　自动备份Active Directory数据库　558
20.3　重定向Active Directory数据库　564
20.4　离线整理Active Directory数据库　567
20.5　修复Active Directory数据库　569
20.6　Active Directory重命名　571
20.7　Active Directory 升域、降域　571

第21章　活动目录常见故障　572
21.1　域控制器故障　572
21.1.1　故障描述　572
21.1.2　当主域控制器出现故障，但主域控制器仍然可用　573
21.1.3　主域控制器已经彻底损坏并且不能恢复时，整个网络不能正常使用　580
21.2　误删用户、组或者其他对象　584
21.3　恢复任意时间域控制器备份　586

第22章　登录域控制器　589
22.1　登录域控制器　589
22.2　脱离域控制器　594

第23章　活动目录管理工具　598
23.1　Active Directory管理工具　598
23.1.1　提升域控制器——Dcpromo　598
23.1.2　查询活动目录——Dsquery　599
23.1.3　活动目录数据库维护——Ntdsutil　611
23.1.4　显示目录对象属性——Dsget　623
23.1.5　域和林准备——Adprep　634
23.1.6　目录对象添加工具——Dsadd　635
23.1.7　修改目录对象——Dsmod　642
23.1.8　删除目录对象——Dsrm　658
23.1.9　计算机账户信任关系——Netdom　660
23.1.10　域控制器诊断工具——Dcdiag　677
23.1.11　对象模板权限工具——Dsacls　680
23.1.12　目录复制工具——Repadmin　685
23.1.13　目录服务检测工具——Dsatat　688
23.1.14　目录对象处理工具——Ldifde　691
23.1.15　域信息处理高级工具——Nltest.exe　696
23.1.16　诊断活动目录对象的许可权工具——Acldiag　702
23.1.17　域间组件移动工具——Movetree　705
23.1.18　安全组件检测工具——Sdcheck　706
23.1.19　复制监视工具——Replmon　708
23.1.20　活动目录对象编辑器——Adsiedit　712
23.2　用户与组的管理　714
23.2.1　用户账户数据库管理——Net accounts　714
23.2.2　计算机账户管理——Net Computer　716
23.2.3　用户账户管理——Net user　717
23.2.4　全局组管理——Net group　719
23.2.5　本地组管理——Net localgroup　720
23.2.6　身份识别工具——Whoami　722
23.2.7　用户信息迁移工具——USMT　724
23.2.8　登录用户权限设置工具——Ntrights　727
23.2.9　组成员查看工具——Ifmember　728
23.2.10　用户锁定状态查看工具——Lockoutstatus　729
23.3　组策略工具　731
23.3.1　检查域控制器上组策略对象——GpoTool　731
23.3.2　组策略结果检测工具——GpResult　733
23.3.3　组策略刷新工具——Gpupdate　736
23.3.4　组策略管理控制台——GPMC　738
23.3.5　组策略监视器——Winpolicies　741