管理员操作手册-AD域控及组策略管理

-省烟草专卖局公司效能协同平台管理员操作手册AD域控及组策略管理版本号 1.0日期:2011年6月浪潮齐软件产业股份*文档修订记录版本日期更改人描述0.12011-6-9正敏新建文档0.22011-6-17浩完善文档1.02011-6-21正敏完善文档目录一、Active Directory(AD)活动目录简介31、工作组与域的区别32、公司采用域管理的好处33、Active Directory(AD)活动目录的功能3二、AD域控DC根本操作31、登陆AD域控32、新建组织单位OU33、新建用户34、调整用户35、调整计算机3三、AD域控常用命令31、创立组织单位：(dsadd)32、创立域用户*(dsadd)33、创立计算机*(dsadd)34、创立联系人(dsadd)35、修改活动目录对象dsmod36、其他命令dsquery、dsmove、dsrm3四、组策略管理31、翻开组策略管理器32、受信任的根证书方法机构组策略设置33、IE平安及隐私组策略设置34、注册表项推送3五、设置DNS转发3一、 Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于：1、工作组网实现的是分散的管理模式，每一台计算机都是单独自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过播送查询浏览主控效劳器，由浏览主控效劳器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域用户*和权限，*信息保存在域控制器，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。2、在“域模式下，资源的访问有较格的管理,至少有一台效劳器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器Domain Controller，简写为DC。3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，则域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问效劳器上有权限保护的资源，他只能以对等网用户的式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进展本地电脑的信息与平安的认证。2、公司采用域管理的好处1、便管理,权限管理比拟集中，管理人员可以较好的管理计算机资源。2、平安性高，有利于企业的一些*资料的管理，比方一个文件只能让*一个人看,或者指定人员可以看,但不可以删/改/移等。3、便对用户操作进展权限设置，可以分发，指派软件等,实现网络的软件一起安装。4、很多效劳必须建立在域环境中，对管理员来说有好处:统一管理,便在MS 软件面集成,如ISA E*CHANGE(效劳器)、ISA SERVER(上网的各种设置与管理)等。5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在效劳器上，统一进展备份、管理，用户的数据更加平安、有保障。6、便用户使用各种资源。7、SMSSystem Management Server能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁如Windows Updates，不需每台客户端效劳器都下载同样的补丁，从而节省大量网络带宽。8、资源共享用户和管理员可以不知道他们所需要的对象确实切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的局部属性在域中得到一个所有属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。9、管理域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任域控制器上进展修改，这种更新可以复制到域中所有的其他域控制器上。域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任计算机上的管理对象。在NT网络中，当用户一次登陆一个域效劳器后，就可以访问该域中已经开放的全部资源，而无需对同一域进展屡次登陆。但在需要共享不同域中的效劳时，对每个域都必须要登陆一次，否则无法访问未登陆域效劳器中的资源或无法获得未登陆域的效劳。10、可扩展性在活动目录中，目录通过将目录组织成几个局部存储信息从而允存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允用户从一个具有几百个对象的小的安装环境开展成拥有几百万对象的大型安装环境。11、平安性域为用户提供了单一的登录过程来访问网络资源，如所有他们具有权限的文件、打印机和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只要用户具有对资源的适宜权限。域通过对用户权限适宜的划分，确定了只有对特定资源有合法权限的用户才能使用该资源，从而保障了资源使用的合法性和平安性。12、可冗余性每个域控制器保存和维护目录的一个副本。在域中，你创立的每一个用户*都会对应目录的一个记录。当用户登录到域中的计算机时，域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时，他们会定期的相互复制目录信息，域控制器间的数据复制，促使用户信息发生改变时比方用户修改了口令，可以迅速的复制到其他的域控制器上，这样当一台域控制器出现故障时，用户仍然可以通过其他的域控制进展登录，保障了网络的顺利运行。3、Active Directory(AD)活动目录的功能活动目录(Active Directory)主要提供以下功能：1、根底网络效劳：包括DNS、WINS、DHCP、证书效劳等。2、效劳器及客户端计算机管理：管理效劳器及客户端计算机账户，所有效劳器及客户端计算机参加域管理并实施组策略。3、用户效劳：管理用户域账户、用户信息、企业通讯录与电子系统集成、用户组管理、用户身份认证、用户授权管理等，按地市实施组管理策略。4、资源管理：管理打印机、文件共享效劳等网络资源。5、桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、平安配置限制等。6、应用系统支撑：支持财务、人事、电子、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。二、 AD域控DC根本操作1、登陆AD域控登陆到本地市的域控效劳器，依次点击“开场-管理工具-Active Directory 用户和计算机，如以下图：图2-1进入如下管理界面：图2-2以市公司为例：在的只读域控效劳器上可以看到个省公司下各地市的节点：但是只能对自己公司的节点进展维护：图2-32、新建组织单位OUOU(Organizational Unit，组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。通俗一点说，如果把AD比作一个公司的话，则每个OU就是一个相对独立的部门。图1-3 中以图标开头的均表示组织单位，假设需要添加组织单位时，在需要添加的组织单位的上级节点依次点击点击“右键-新建-组织单位，如以下图：图2-4填写组织单位名称-点击确定图2-4既可在选中的组织单位节点下新增组织单位。注：删除组织单位时，要在查看中勾选高级功能图2-5然后选中的组织单位属性-对象中将“防止对象被意外删除前的勾去掉，才能删除。图2-63、新建用户图2-1 右侧窗口中以图标开头的就是用户。与新建组织单位相似。对自己有权操作维护的组织单位点击“右键-新建-用户，填写用户根本信息，点击下一步。图2-7填写初始密码，点击下一步图2-8点击完成图2-9既可在选中的组织单位节点下新增用户图2-104、调整用户右键点击用户-属性图2-11进入用户信息修改：图2-12其中常规中必填图2-13选项卡中移动必填图2-14单位选项卡中所有信息必填图2-15注：直接下属不需要维护这几个选项卡是常用，并且需要注意的。5、调整计算机当用户利用自己的*参加域后，在AD管理工具中就能看到登入域的计算机右键点击计算机可对其进展管理图2-16三、 AD域控常用命令AD域控管理命令可以用命令行的式，依次点击“开场-运行-cmd，翻开命令行工具。AD域控常用命令有很多，下面列举一些比拟常见的例子：1、创立组织单位：(dsadd)命令格式：dsadd ou -desc 描述 -s 效劳器|-d 域 -u 用户名 -p 密码|* -q -uc|-uoc|-uci注意：OU名称应为要创立的OU的LDAP绝对路径DN，Distinguished Name，如果DN中包含空格，应该在路径两端使用双引号。例如要在yj*.域中建立一个名为finance的OU，可以执行以下命令：C:dsadd ou ou=finance,dc=yj*,dc= -desc 财务部2、创立域用户*(dsadd)命令格式：dsadd user -samid -pwd |* upn UPN例如要在yj*.域中建立一个名为mike的用户*，该用户将位于sales OU中，其显示名称为“mike yang，则可以执行以下命令：C:dsadd user =mike,ou=sales,dc=yj*,dc= -samid mike -pwd benet3.0 -display “mike yang3、创立计算机*(dsadd)命令格式：dsadd puter 要在yj*.域中的sales OU中建立一个名为client-2的计算机*，可以执行以下命令：C:dsadd puter =client-2,ou=sales,dc=yj*,dc=要在yj*.域中的sales OU中建立一个名为client-3的计算机*，并设置计算机账户的描述信息为“测试工作站，可以执行以下命令：C:dsadd puter =client-3,ou=sales,dc=yj*,dc= -desc 测试工作站4、创立联系人(dsadd)命令格式：dsadd contact -fn -mi -ln -display -desc 要在yj*.域中的sales OU中建立一个名为建新的联系人，执行以下命令：C:dsadd contact =建新,ou=sales,dc=yj*,dc= -fn jian*in -ln yang -display 建新5、修改活动目录对象dsmod用于修改AD对象的属性，可以对OU、用户、组、联系人等对象进展修改。C:dsmod user /描述: 修改目录中现有的用户。语法: dsmod user -upn -fn -mi -ln -display -fnp -lnp -displayp -empid -pwd | * -desc -office -tel -email -hometel -pager -mobile -fa* -iptel -webpg -title -dept -pany -mgr -hmdir -hmdrv : -profile -loscr -mustchpwd yes | no -canchpwd yes | no -reversiblepwd yes | no -pwdnevere*pires yes | no -accte*pires -disabled yes | no -s | -d -u -p | * -c -q -uc | -uco | -uci几个具体用法如下：重置用户*的密码dsmod user UserDN -pwd 新密码 -mustchpwd yes | no 下次登录时修改此密码启用或禁用账户dsmod user UserDN 可分辨名称 -disabled yes|no yes 禁用 no 启用修改计算机*属性的格式为：dsmod puter puterDN .-desc Description -loc Location -disabled yes | no -reset -s Server | -d Domain -u UserName -p Password | * -c -q -uc | -uco | -uci重设计算机*dsmod puter puterDN -reset启用或禁用计算机*dsmod puter puterDN 可分辨名称 -disabled yes|no yes 制止登录 no 允登录将计算机*添加到组中dsmod group GroupDN -addmbr puterDN要创立一个sales全局组，并将用户mike参加到该组中，可以执行以下命令：C:dsadd group =sales,ou=sales,dc=yj*,dc= -desc 销售部dsadd 成功:=sales,ou=sales,dc=yj*,dc=C:dsmod group =sales,ou=sales,dc=yj*,dc= -addmbr =mike,ou=sales,dc=yj*,dc=dsmod 成功:=sales,ou=sales,dc=yj*,dc=6、其他命令dsquery、dsmove、dsrm其他的活动目录操作命令还包括dsquery、dsmove、dsrm等，分别用于活动目录对象的查询、移动和删除。要查找sales OU中的所有用户，可以执行以下命令：C:dsquery user ou=sales,dc=yj*,dc= -name *=mike,OU=sales,DC=yj*,DC=user1,OU=sales,DC=yj*,DC=user2,OU=sales,DC=yj*,DC=要查找sales OU中已经3个星期不活动的用户，可以执行以下命令：C:dsquery user ou=sales,dc=yj*,dc= -inactive 3要将mike用户移动到finance OU中，可以执行以下命令：C:dsmove =mike,ou=sales,dc=yj*,dc= -newparent ou=finance,dc=yj*,dc=dsmove 成功:=mike,ou=sales,dc=yj*,dc=要删除sales OU中的用户user1，可以执行以下命令：C:dsrm =user1,ou=sales,dc=yj*,dc=您确认要删除 =user1,ou=sales,dc=yj*,dc= 吗(Y/N) ydsrm 成功:=user1,ou=sales,dc=yj*,dc=四、 组策略管理1、翻开组策略管理器依次点击“开场-管理工具-点击进入组策略管理，进入组策略管理器。如以下图：图4- 1图4- 22、受信任的根证书方法机构组策略设置1、 启动组策略管理：开场-管理工具-组策略管理图4-32、 选择拥有管理权限并需进展组策略设置的ou，右键选择创立组策略对象图4-43、 输入新建的GPO的名称图4-54、 选择新建的GPO，右键编辑图4-65、 在组策略管理编辑器中选择计算机配置-策略-windows设置-平安设置-公钥策略-受信任的根证书颁发机构右键选择导入图4-76、 选择需要导入的证书可以利用证书管理进展导出图4-77、 选择受信任的根证书颁发机构图4-88、 点击完成，完成组策略设置图4-93、IE平安及隐私组策略设置1、 启动组策略管理：开场-管理工具-组策略管理图4-102、 选择拥有管理权限并需进展组策略设置的ou，右键选择创立组策略对象图4-113、 输入新建的GPO的名称图4-124、 选择新建的GPO，右键编辑图4-135、 在组策略管理编辑器中选择：用户配置-策略-windows设置-Internet E*plorer维护-平安，在右侧窗口中选择：平安区域和容分级右键选择属性图4-146、 选择导入当前平安区域和隐私设置图4-157、 在弹出的IE增强的平安配置中选择继续图4-168、 在平安和隐私设置选项卡中单击修改设置，在弹出的Internet属性窗体中设置相应的IE平安设置，点击确定，完成组策略设置图4-174、注册表项推送1、 启动组策略管理：开场-管理工具-组策略管理图4-182、 选择拥有管理权限并需进展组策略设置的ou，右键选择创立组策略对象图4-193、 输入新建的GPO的名称图4-204、 选择新建的GPO，右键编辑图4-215、 在组策略管理编辑器中选择：用户配置-策略-windows设置-Internet E*plorer维护-平安，在右侧窗口中选择：平安区域和容分级右键选择属性图4-22五、 设置DNS转发效能协同平台DNS效劳器只负责对效能协同平台相关、Lync、Outlook等进展路由，而每台电脑DNS只可以设置一个主要DNS和一个备用DNS。为了保证用户使用效能协同平台时可以继续访问其他站点及应用，可以在DNS上设置转发。具体配置如下：依次点击：开场-管理工具-DNS，进入如下管理界面：图4- 1图4- 2右键点击DNS-连接到DNS效劳器，选择以下计算机输入： LSRODC图4- 3连接成功后右键点击LSRODC-属性图4- 4选择转发器点击编辑图4- 5参加需要转发的效劳器地址：图4- 6. z.