2023年11月26日发(作者:)

青蛙學堂

AD域维日常维护手册

一、Active Directory () 介绍

Active Directory 的体系结构介绍

Active Directory 的体系结构分为逻辑结构和物理结构。必须对Active

Directory 的逻辑结构与物理结构进行规则,才能较好地满足企业的需求。为了

管理Active Directory ,必须首先理解这些结构。

Active Directory 的作用

Active Directory可以存储用户、计算机和网络资源的信息,并且使资源可

以被用户和应用程序访问。它提供了一种统一的方法来命名、描述、定位、访问、

管理、和保护这些资源。

Active Directory具有如下功能:

对网络资源的集中控制。通过对诸如服务器、共享文件和打印机等的资

源进行集中控制,只有授权用户可以访问Active Directory 中的资源„„例

如,可以通过给行政部的激光打印机设置权限,设置只有行政部人员可以使用该

打印机„„从而避免非法使用和资源浪费。

集中和分散管理。管理员通过一致的管理界面,能够可以编写一个组策

略,使得某个应用程序的升级包能够在网络中每个用户开机的时候就自动安装,

从而分散管理任务。例如,管理员可以把销售部的计算机和打印机纳入到一个组

织单元中,将它们的管理权限委派给销售部的技术支持人员,从而减少自己的工

作量。

00

在逻辑结构中安装地存储对象。Active Directory 使用层次逻辑结构

把所有资源作为对象存储。例如,可以按照公司的组织结构和业务需求来组织相

应的组织单元,将网络资源分布在相应的组织单元中,实现分级管理。Active

Directory 还会对储在其中的对象进行加密,这样可以保证数据的安全。

优化网络流量,Active Directory 物理结构能够更加高效地使用网络

带宽,例如,当用户登录到网络时,能够保证用户是由离他们最近的验证中心进

行身份验证,从而减小了网络流量。

Active Directory 服务的优势

Windows Server 2003 系列中Active Directory 是对Windows NT 中的

扁平域模型的重大改进。

集中的数据存储。Active Directory 中的所有数据都保存在一个独立

的分布式数据库中,允许用户从任何位置访问这些信息。和其他数据存储方式相

比,独立的数据存储所需的管理重复劳动更少,并且提高了数据的可用性和可组

织性。

可伸缩性。Active Directory 使管理员能通过配置域和树以及域控

制器的主席团来调整目录,以满足业务和网络的要求。Active Directory 允许

每个域有几百万个对象,并使用索引技术和先进的复制技术来加速处理。

可扩展性。Active Directory 数据库的架构可以被扩展,以便允许自

定义的信息类型。

可管理性。Active Directory 是基于分组组织结构的。这些组织结构

使管理员能更容易地控制管理权限和其他安全设置,并且使用户能更容易地定位

网络资源,比如文件和打印机

DNS相集成。Active Directory 使用了DNS,它是一种基于IP

地址的Internet 标准服务,可以把可读性好的主机名称转换为IP地址,虽然

Active Directory DNS 是分开的,并且由于用途不同而被方式不同,但是

它们有相同的分级结构。Active Directory 客户端使用 DNS 来定位域控制

00

器。在使用Windows Server 2003 DNS 服务时,可以将主DNS区域存储在

Active Directory 中,并启用到其他Active Directory域控制器的复制。

客户端配置管理。Active Directory 提供了新技术来管理客户端配置

问题,例如配置文件可以在不同的机器上漫游,即便发生硬盘故障,也可以在别

的机器上马上重新开始工作,这样可以将管理工作和用户停机时间都减到最小

基于策略的管理。在Active Directory 中,策略用于定义给定站点、

域或者组织单元上用户和计算机的可进行的操作和设置。基于策略的管理简化了

一些傻笑国,比如操作系统更新、应用程序安装、用户配置文件和桌面系统锁定

信息复制。Active Directory 提供多谢机复制技术,以确保信息的可

用性、容错、负载平衡和其他性能优点。多主机复制使管理员能在任何域控制器

上更新目录并将目录更改复制到任何其他域控制器上。由于采用了多台域控制

器,即使一台域控制器停止了工作,复制仍可继续。

二、AD域界面预览

可以通过开始菜单管理工具Active Directory 用户和计算机 打开

1.1Builtin这个模块里面的组都是系统的默认组

1.2Computers 这个模块里面的都是域的客户端计算机名(所有加了域的计算机都会在这个模块

里显示)

1.3Domain Contrillers 这个模块里面的是域控制器的计算机名

1.4Users 就是AD域里面的一些用户和组了,如果新建的账户没指定分配到哪些地方的话,也会

出现在这个Users里面的

三、AD域账号的建立

00

姓名只是一些描述来的,最重要的是用户登录名那里的名称,因为那个名称是拿来登陆系统用的,以

后用户登陆系统用的账号就是这个账号了,本例为zhang san

密码的设定,默认密码的长度最小长度一般为7,开启了复杂性的,必须包含英文、数字、符号的,

这些日后可以策略修改的。

用户下次登陆是必须更改密码这个也要勾上,密码让他们自己保管好

建立完这个用户后我们还可以对这个用户的一些具体属性进行详细的设定

四、ADOU的建立

这里随便输入一个名称即可,大家把OU想象成系统里面组就可以了,只不过这个“组”里面除了可

以摆放用户外,还可以摆放例如计算机、打印机之类的东西。本例名称为dg(东莞)OU也支持嵌套功

能,也就是说可以在这个OU里面再继续创建OU、一般我们使用OU都是为了方便划分用户或者计

算机的、OU的划分可以依据地理位置、应用对象、人员分类等等,总之能区分的就行

00

例如我在dg的基础OU上再建立一个qiantai(前台)前台下面再建立话1、话2这样都是可以的,

但是官方建议嵌套层面最好不要超过10层。

五、AD域账户OU间的移动

例如我账户张三是属于dg-qiantai-1的,那么我们直接选中张三这个账户,左键直接拖到话1

OU中就可以了。

六、AD域策略的介绍以及部署范围

AD域默认的2个策略,域安全策略以及域控制器安全策略

域安全策略呢,就是针对整个域的用户、计算机,如果对这个域安全策略做修改的话,那么它的生效

范围将是整个域(所有加入域的计算机、或者用户)

域控制器安全策略,就是针对域控制器服务器的(DC),如果针对这个域安全策略做修改的话,那

么它的生效范围是域服务器

如果域安全策略和域控制器安全策略有冲突的话,以域控制器安全策略为准

七、ADOU的策略部署

例如我需要对前台的话务人员做一条策略是禁止C盘的,只需要右击下qiantai属性组策略新建

策略名称随便起个,我这里是为了方便表示。

00

双击策略或者点编辑,就可以直接对策略进行编辑修改,本例是禁止C盘,如若要修改或者限制其他

的,请详细查看组策略然后按照我所描述的方法就可以了。

选择要限制的盘符

部署完策略后,在服务器上执行这条命令,意思就是刷新策略,后面跟的参数是强制刷新的意思。如

果想要客户端也立即生效的话也同样在客户端上执行一样命令,因为AD域策略默认是90分钟才自

动刷新一次的,所以你不更新要等90分钟才能看到效果

有一点要特别申明一下

这里的【计算机配置】策略所应用的范围是计算机,也就是说你建立的OU里面所包含的对象必须是

计算机才能生效,相对的来说【用户配置】的话对象就是针对账户来做的。

【计算机配置】命令刷新后,需注销或者重起计算机才能看到效果

【用户配置】命令刷新后,就可看见效果,有个别的需要注销。

八、AD域策略的阻止策略继承和禁止替代

如果勾上阻止策略继承,那么就只有qiantai这个OU里面的对象对这个策略生效了,而qiantai

面的话1室和话2OU都不会接收这个策略的

禁止替代呢,就是除了接收自己OU的策略外,其它策略一概不接收,因为在上下层的OU里默认策

略是下级继承上级的,也就是说,如果下级OU禁止替代的话,那么上级OU的策略也就被阻止了下

00

不来。假如,话1室的策略是开放C盘,qiantai的策略是禁止C盘,而下级OU1室有勾上了

这个禁止替代,那么最后话1室得到的策略将是开放C

九、客户端加域操作

在加入域之前首先要知道域控制器(DC)的IP地址以及DC的域名,IP地址是192.168.0.240

而客户端在加域之前首先要把DNS的指向指到DC上,这样才能解析DC的域名后才能加域

右击我的电脑-属性-计算机名-更改-选择域-输入域名

输入一个有权限加入域的账号跟密码,每个域账户都可以加10个成员,管理员无限制

加域成功后,重启计算机登陆到域环境就OK了!

下拉菜单中选择登陆的环境,一个是本机,一个是域

、组策略管理(GPMC)工具的使用(重点)

GPMC 的主要特征包括诸如组策略对象(GPO)备份、恢复、导入、复制与报表生成之类的新增功

能。

GPMC工具包可以从微软官网下载获取,安装很简单一直下一步即可

安装完毕后可在管理工具下找到组策略管理,直接双击运行即可

10.1GPMC管理界面的认识

00

AD里所有的OU、已设置的组策略都能在这个工具(GPMC)里显示出来,

10.2、组策略的使用

打开 组策略管理 ,打开相关域下面的组策略对象,用右键打开菜单新建。

新建完之后,我们就可对这个对象进行编辑了。在相应的策略上面右键打开菜单,点编辑。(见下图)

点编辑之后,就会出现如我们平时在PC上用gpedit.msc 打开的组策略管理是一样的。

注意:组策略是分为两部分的。一是计算机配置,是针对计算机应用的,二是用户配置,是针对用

户应用的。组策略编辑器是具体使用就不介绍了,这跟平时用的组策略是一样的。

10.3、组策略应用

我们新建的组策略是没有被应用下去的,这点和PC上面的组策略不一样,PC上的组策略是应用在

本机上的。面我们域的策略在应用在哪里需要系统管理员自己定义。

在组策略管理里面我们只需要把做好的组策略对象拖到你要应用的对象下面就可以了,

00

你可以在这里看出OU下面与组策略对象下面的策略图标的区别,相当于连接了快捷方式,如果你不

需要对这个OU使用这甘条策略的时候,可以才OU下面删除这个快捷方式面不影响其他OU的应用。

10.4、报表形式查看组策略

选中需要查看的策略,然后在右侧,设置选项中就可以已报表的形式来查看了,可以保存为htm

式的文件

10.5、组策略的备份、还原、导出和导入

单击【组策略对象】选中需要操作的策略,然后右击,根据所需情况来操作

就这几个功能是我们这些管理人员日常用到的,其它没介绍到的各位也可以通过微软的KB资料去查

看下,这里就不做多介绍了。

十一、AD服务器日常维护方法

1 最简单的先使用ping检测一下服务器是否联通的,大约3ping一次就可以了

2 使用远程桌面登陆到服务器查看下日志情况,看有无错误日志或者警告之类的信息,如有错误信

息,可先重启DNSNetlogon服务看看

3 如有错误信息或者警告之类的,请在微软帮助主页输入事件ID号查询下是什么问题和解决的方

法,或者直接截图、文档说明也行发往我们的邮箱让我们处理也行

4 一个星期以内重启下DNSNetlogon服务

Net stop dns&&net start dns

Net stop netlogon&&net start netlogon

直接在【开始】【运行】里输入上面的命令就可以了,第一条是重启DNS服务,第二条是重启

Netlogon服务

5 日志的备份

00

策略的备份

00