管理员操作手册-AD域控及组策略管理 - 51CTO下载

AD域控及组策略管理

目录一、

Active Directory(AD)活动目录简介

2

1、工作组与域的区别 ............................................................................................................. 2 2、公司采用域管理的好处 ..................................................................................................... 2 3、Active Directory(AD)活动目录的功能 ................................................................................ 4 二、 AD域控（DC）基本操作 ................................................................................................ 4

1、登陆AD域控 ...................................................................................................................... 4 2、新建组织单位（OU） ....................................................................................................... 6 3、新建用户 ............................................................................................................................. 8 4、调整用户 ............................................................................................................................. 9 5、调整计算机 ....................................................................................................................... 12 三、 AD域控常用命令 ........................................................................................................... 13

1、创建组织单位：(dsadd) .................................................................................................. 13 2、创建域用户帐户(dsadd) .................................................................................................. 13 3、创建计算机帐户(dsadd) .................................................................................................. 13 4、创建联系人(dsadd) .......................................................................................................... 14 5、修改活动目录对象（dsmod） ........................................................................................ 14 6、其他命令（dsquery、dsmove、dsrm） ......................................................................... 15 四、 组策略管理 ..................................................................................................................... 17

1、打开组策略管理器 ........................................................................................................... 17 2、受信任的根证书办法机构组策略设置 ........................................................................... 18 3、IE安全及隐私组策略设置 ............................................................................................... 23 4、注册表项推送 ................................................................................................................... 28 五、 设置DNS转发 ................................................................................................................ 31

操作手册

一、 Active Directory(AD)活动目录简介

1、工作组与域的区别

域管理与工作组管理的主要区别在于：

1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。

2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。

2、公司采用域管理的好处

1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。

2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。

4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

2

操作手册

5）、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。

6）、方便用户使用各种资源。

7）、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。

8）、资源共享

用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。

9）、管理

域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。

域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。

10）、可扩展性

在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。

11）、安全性

域为用户提供了单一的登录过程来访问网络资源，如所有他们具有权限的文件、打印机和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只要用户具有对资源的合适权限。域通过对用户权限合适的划分，确定了只有对特定资源有合法权限的用户才能使用该资源，从而保障了资源使用的合法性和安全性。

12）、可冗余性

每个域控制器保存和维护目录的一个副本。在域中，你创建的每一个用户帐号都会对应

3

操作手册

目录的一个记录。当用户登录到域中的计算机时，域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时，他们会定期的相互复制目录信息，域控制器间的数据复制，促使用户信息发生改变时（比如用户修改了口令），可以迅速的复制到其他的域控制器上，这样当一台域控制器出现故障时，用户仍然可以通过其他的域控制进行登录，保障了网络的顺利运行。

3、Active Directory(AD)活动目录的功能

活动目录(Active Directory)主要提供以下功能：

1）、基础网络服务：包括DNS、WINS、DHCP、证书服务等。

2）、服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

3）、用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按地市实施组管理策略。

4）、资源管理：管理打印机、文件共享服务等网络资源。

5）、桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

6）、应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

二、 AD域控（DC）基本操作

1、登陆AD域控

登陆到本地市的域控服务器，依次点击“开始-管理工具-Active Directory 用户和计算机”，如下图：

4

操作手册

图2-1

进入如下管理界面：

5

操作手册

图2-2

以乐山市公司为例：

在乐山的只读域控服务器上可以看到个省公司下各地市的节点：

但是只能对自己公司的节点进行维护：

图2-3

2、新建组织单位（OU）

OU(Organizational Unit，组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。通俗一点说，如果把AD比作一个公司的话，那么每个OU就是一个相对独立的部门。

图1-3中以

图标开头的均表示组织单位，

若需要添加组织单位时，在需要添加的组织单位的上级节点依次点击点击“右键-新建-组织单位”，如下图：

6

操作手册

图2-4

填写组织单位名称-点击确定

图2-4

既可在选中的组织单位节点下新增组织单位。 注：删除组织单位时，要在查看中勾选高级功能

图2-5

然后选中的组织单位属性-对象中将“防止对象被意外删除”前的勾去掉，才能删除。

图2-6

7

操作手册

3、新建用户

图2-1 右侧窗口中以

图标开头的就是用户。与新建组织单位相似。对自己有权操作

维护的组织单位点击“右键-新建-用户”，填写用户基本信息，点击下一步。

图2-7

填写初始密码，点击下一步

图2-8

点击完成

8

操作手册

图2-9

既可在选中的组织单位节点下新增用户

图2-10

4、调整用户

右键点击用户-属性

9

操作手册

图2-11

进入用户信息修改：

图2-12

其中常规中电话号码必填

10

操作手册

图2-13

电话选项卡中移动电话必填

图2-14

11

操作手册

单位选项卡中所有信息必填

图2-15

注：直接下属不需要维护

这几个选项卡是常用，并且需要注意的。

5、调整计算机

当用户利用自己的帐号加入域后，在AD管理工具中就能看到登入域的计算机右键点击计算机可对其进行管理

图2-16

12

操作手册

三、 AD域控常用命令

AD域控管理命令可以用命令行的方式，依次点击“开始-运行-cmd”，打开命令行工具。AD域控常用命令有很多，下面列举一些比较常见的例子：

1、创建组织单位：(dsadd)

命令格式：dsaddou [-desc描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]

注意：OU名称应为要创建的OU的LDAP绝对路径（DN，Distinguished Name），如果DN中包含空格，应该在路径两端使用双引号。

例如要在yjx.com域中建立一个名为finance的OU，可以执行以下命令： C:\\>dsaddouou=finance,dc=yjx,dc=com -desc \财务部\

2、创建域用户帐户(dsadd)

命令格式：dsadd user [-samid] -pwd {|*} –upn UPN 例如要在yjx.com域中建立一个名为mike的用户帐户，该用户将位于sales OU中，其显示名称为“mike yang”，则可以执行以下命令：

C:\\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”

3、创建计算机帐户(dsadd)

命令格式：dsadd computer

要在yjx.com域中的sales OU中建立一个名为client-2的计算机帐户，可以执行以下命令： C:\\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=com

要在yjx.com域中的sales OU中建立一个名为client-3的计算机帐户，并设置计算机账户的描述信息为“测试工作站”，可以执行以下命令：

C:\\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc测试工作站

13

操作手册

4、创建联系人(dsadd)

命令格式：dsadd contact [-fn] [-mi ] [-ln] [-display ] [-desc]

要在yjx.com域中的sales OU中建立一个名为杨建新的联系人，执行以下命令： C:\\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fnjianxin -ln yang -display 杨建新

5、修改活动目录对象（dsmod）

用于修改AD对象的属性，可以对OU、用户、组、联系人等对象进行修改。 C:\\>dsmod user /?

描述: 修改目录中现有的用户。

语法: dsmod user [-upn] [-fn] [-mi ] [-ln] [-display ] [-fnp] [-lnp] [-displayp]

[-empid] [-pwd { | *}] [-desc] [-office ] [-tel] [-email ] [-hometel] [-pager ] [-mobile ] [-fax ] [-iptel] [-webpg] [-title