WindowsServer2012R2ActiveDirectory配置指南檢視原始碼討論檢視歷史

《WindowsServer2012R2ActiveDirectory配置指南》，戴有煒 著，出版社： 清華大學出版社。

清華大學出版社成立於1980年6月，是教育部主管、清華大學主辦的綜合性大學出版社^[1]。清華社先後榮獲 「先進高校出版社」「全國優秀出版社」「全國百佳圖書出版單位」「中國版權最具影響力企業」「首屆全國教材建設獎全國教材建設先進集體」等榮譽^[2]。

內容簡介

《Windows Server 2012 R2 Active Directory配置指南》由台灣知名的微軟技術專家戴有煒先生傾力編着，是他全新推出的Windows Server 2012三卷力作中的Active Directory配置指南篇。

《Windows Server 2012 R2 Active Directory配置指南》延續了作者的一貫寫作風格：大量的實例演示兼具理論，以及完整清晰的操作過程，以簡單易懂的文字進行描述，內容豐富，圖文並茂。本書共分13章，內容包括Active Directory域服務、建立AD DS域、域用戶與組賬戶的管理、使用組策略管理用戶工作環境、利用組策略部署軟件、限制軟件的運行、建立域樹和林、管理域和林信任、AD DS數據庫的複製、操作主機的管理、AD DS的維護、將資源發布到AD DS以及自動信任根CA。

《Windows Server 2012 R2 Active Directory配置指南》面向廣大初、中級網絡技術人員、網絡管理和維護人員，也可作為高等院校相關專業和技術培訓班的教學用書，同時可以作為微軟認證考試的參考用書。

目錄

第1章 Active Directory域服務（AD DS） 1

1.1 Active Directory域服務概述 2

1.1.1 Active Directory域服務的適用範圍（Scope） 2

1.1.2 名稱空間（Namespace） 2

1.1.3 對象（Object）與屬性（Attribute） 3

1.1.4 容器（Container）與組織單位（Organization Units，OU） 3

1.1.5 域樹（Domain Tree） 4

1.1.6 信任（Trust） 5

1.1.7 林（Forest） 5

1.1.8 架構（Schema） 6

1.1.9 域控制器（Domain Controller） 6

1.1.10 只讀域控制器（RODC） 7

1.1.11 可重新啟動的AD DS（Restartable AD DS） 9

1.1.12 Active Directory回收站 9

1.1.13 AD DS的複製模式 9

1.1.14 域中的其他成員計算機 10

1.1.15 DNS服務器 10

1.1.16 輕型目錄訪問協議（LDAP） 11

1.1.17 全□編錄（Global Catalog） 12

1.1.18 站點（Site） 12

1.1.19 目錄分區（Directory Partition） 13

1.2 域功能級別與林功能級別 14

1.2.1 域功能級別（Domain Functionality Level） 14

1.2.2 林功能級別（Forest Functionality Level） 15

1.3 Active Directory輕型目錄服務 15

第2章 建立AD DS域 17

2.1 建立AD DS域前的準備工作 18

2.1.1 選擇適當的DNS域名 18

2.1.2 準備好一台支持AD DS的DNS服務器 18

2.1.3 選擇AD DS數據庫的存儲位置 20

2.2 建立AD DS域 21

2.3 確認AD DS域是否正常 26

2.3.1 檢查DNS服務器內的記錄是否完整 27

2.3.2 排除登記失敗的問題 30

2.3.3 檢查AD DS數據庫文件與SYSVOL文件夾 30

2.3.4 新增加的管理工具 32

2.3.5 查看事件日誌文件 32

2.4 提升域與林功能級別 33

2.5 新建額外域控制器與RODC 34

2.5.1 安裝額外域控制器 35

2.5.2 利用安裝介質來安裝額外域控制器 40

2.5.3 修改RODC的委派與密碼複製策略設置 42

2.6 RODC階段式安裝 43

2.6.1 建立RODC賬戶 43

2.6.2 將服務器附加到RODC賬戶 48

2.7 將Windows計算機加入或脫離域 51

2.7.1 將Windows計算機加入域 51

2.7.2 利用已加入域的計算機登錄 55

2.7.3 脫機加入域 56

2.7.4 脫離域 57

2.8 在域成員計算機內安裝AD DS管理工具 58

2.9 刪除域控制器與域 60

第3章 域用戶與組賬戶的管理 65

3.1 管理域用戶賬戶 66

3.1.1 創建組織單位與域用戶賬戶 67

3.1.2 用戶登錄賬戶 68

3.1.3 創建UPN的後綴 69

3.1.4 賬戶的一般管理工作 71

3.1.5 域用戶賬戶的屬性設置 72

3.1.6 搜索用戶賬戶 74

3.1.7 域控制器之間數據的複製 79

3.2 一次同時添加多個用戶賬戶 80

3.2.1 利用csvde.exe來新建用戶賬戶 81

3.2.2 利用ldifde.exe來添加、修改與刪除用戶賬戶 82

3.2.3 利用dsadd.exe等程序來添加、修改與刪除用戶賬戶 83

3.3 域組賬戶 85

3.3.1 域內的組類型 85

3.3.2 組的使用範圍 85

3.3.3 域組的建立與管理 86

3.3.4 AD DS內置的組 87

3.3.5 特殊組賬戶 89

3.4 組的使用原則 89

3.4.1 A、G、DL、P原則 90

3.4.2 A、G、G、DL、P原則 90

3.4.3 A、G、U、DL、P原則 91

3.4.4 A、G、G、U、DL、P原則 91

第4章 使用組策略管理用戶工作環境 92

4.1 組策略概述 93

4.1.1 組策略的功能 93

4.1.2 組策略對象 94

4.1.3 策略設置與□□項設置 97

4.1.4 組策略的應用時機 97

4.2 策略設置實例演示 98

4.2.1 策略設置實例演示一：計算機配置 98

4.2.2 策略設置實例演示二：用戶配置 101

4.3 □□項設置實例演示 103

4.3.1 □□項設置實例演示一 103

4.3.2 □□項設置實例演示二 107

4.4 組策略的處理規則 109

4.4.1 一般的繼承與處理規則 109

4.4.2 例外的繼承設置 111

4.4.3 特殊的處理設置 113

4.4.4 更改管理GPO的域控制器 117

4.4.5 更改組策略的應用間隔時間 118

4.5 利用組策略來管理計算機與用戶環境 120

4.5.1 計算機配置的管理模板策略 121

4.5.2 用戶配置的管理模板策略 122

4.5.3 賬戶策略 123

4.5.4 用戶權限分配策略 126

4.5.5 安全選項策略 128

4.5.6 登錄/註銷、啟動/關機腳本 128

4.5.7 文件夾重定向 132

4.6 使用組策略限制訪問可移動存儲設備 138

4.7 WMI篩選器 141

4.8 組策略模型與組策略結果 145

4.9 組策略的委派管理 151

4.9.1 站點、域或組織單位的GPO鏈接委派 151

4.9.2 編輯GPO的委派 152

4.9.3 新建GPO的委派 152

4.10 Starter GPO的設置和使用 153

第5章 利用組策略部署軟件 156

5.1 軟件部署的概述 157

5.1.1 將軟件分配給用戶 157

5.1.2 將軟件分配給計算機 157

5.1.3 將軟件發布給用戶 157

5.1.4 自動修復軟件 158

5.1.5 刪除軟件 158

5.2 將軟件發布給用戶 158

5.2.1 發布軟件 158

5.2.2 在客戶端安裝被發布的軟件 161

5.2.3 測試自動修復軟件的功能 162

5.2.4 取消已發布的軟件 163

5.3 將軟件分配給用戶或計算機 164

5.3.1 分配給用戶 164

5.3.2 分配給計算機 165

5.4 對軟件進行升級並重新部署 166

5.4.1 軟件升級 166

5.4.2 重新部署 169

5.5 部署Microsoft Office 171

5.6 軟件部署的其他設置 176

5.6.1 更改部署默認值 177

5.6.2 更改高級部署設置 177

5.6.3 擴展名與軟件關聯的優先級 178

5.6.4 軟件分類 179

5.7 將軟件重新封裝成MSI應用程序 180

第6章 限制軟件的運行 183

6.1 軟件限制策略概述 184

6.1.1 哈希規則 184

6.1.2 證書規則 184

6.1.3 路徑規則 185

6.1.4 網絡區域規則 185

6.1.5 規則的優先級 185

6.2 啟用軟件限制策略 186

6.2.1 建立哈希規則 187

6.2.2 建立路徑規則 189

6.2.3 建立證書規則 191

6.2.4 建立網絡區域規則 194

6.2.5 不要將軟件限制策略應用到本地系統管理員 195

第7章 建立域樹和林 196

7.1 建立第一個域 197

7.2 建立子域 197

7.3 建立林中的第二個域樹 203

7.3.1 選擇適當的DNS架構 204

7.3.2 建立第二個域樹 206

7.4 刪除子域與域樹 212

7.5 更改域控制器的計算機名稱 215

第8章 管理域和林信任 220

8.1 域與林信任概述 221

8.1.1 信任域與受信任域 221

8.1.2 跨域訪問資源的流程 221

8.1.3 信任的種類 224

8.1.4 建立信任前的注意事項 227

8.2 建立快捷方式信任 229

8.3 建立林信任 235

8.3.1 建立林信任前的注意事項 235

8.3.2 開始建立林信任 236

8.3.3 選擇性驗證設置 244

8.4 建立外部信任 246

8.5 管理與刪除信任 248

8.5.1 信任的管理 248

8.5.2 信任的刪除 251

第9章 AD DS數據庫的複製 254

9.1 站點與AD DS數據庫的複製 255

9.1.1 同一個站點之間的複製 256

9.1.2 不同站點之間的複製 257

9.1.3 目錄分區與複製拓撲 258

9.1.4 複製協議 258

9.2 默認站點的管理 259

9.2.1 默認的站點 259

9.2.2 Servers文件夾與複製設置 260

9.3 利用站點來管理AD DS複製 263

9.3.1 創建站點與子網 264

9.3.2 創建站點鏈接 267

9.3.3 將域控制器移動到所屬的站點 268

9.3.4 指定□□的bridgehead服務器 270

9.3.5 站點鏈接與AD DS數據庫的複製設置 271

9.3.6 站點鏈接橋 272

9.3.7 站點連接橋的兩個示例討論 274

9.4 管理全□編錄服務器 276

9.4.1 添加屬性到全□編錄內 277

9.4.2 全□編錄的功能 277

9.4.3 通用組成員身份緩存 279

9.5 解決AD DS複製衝突的問題 280

9.5.1 屬性戳記 281

9.5.2 衝突的種類 281

第10章 操作主機的管理 285

10.1 操作主機概述 286

10.1.1 架構操作主機 286

10.1.2 域命名操作主機 286

10.1.3 RID操作主機 287

10.1.4 PDC模擬器操作主機 287

10.1.5 基礎結構操作主機 291

10.2 操作主機的放置優化 291

10.2.1 基礎結構操作主機的放置 291

10.2.2 PDC模擬器操作主機的放置 291

10.2.3 林級別操作主機的放置 293

10.2.4 域級別操作主機的放置 293

10.3 找出扮演操作主機角色的域控制器 293

10.3.1 利用管理控制台找出扮演操作主機的域控制器 293

10.3.2 利用命令找出扮演操作主機的域控制器 295

10.4 轉移操作主機角色 296

10.4.1 利用管理控制台 297

10.4.2 利用Windows PowerShell命令 299

10.5 奪取操作主機角色 300

10.5.1 操作主機停止服務所造成的影響 300

10.5.2 奪取操作主機角色實例演示 302

第11章 AD DS的維護 305

11.1 系統狀態概述 306

11.1.1 AD DS數據庫 306

11.1.2 SYSVOL文件夾 307

11.2 備份AD DS 307

11.2.1 安裝Windows Server Backup功能 307

11.2.2 備份系統狀態 308

11.3 還原AD DS 310

11.3.1 進入目錄服務還原模式的方法 311

11.3.2 執行AD DS的非授權還原 312

11.3.3 針對被刪除的AD DS對象執行授權還原 316

11.4 AD DS數據庫的移動與重組 319

11.4.1 可重新啟動的AD DS（Restartable AD DS） 320

11.4.2 移動AD DS數據庫文件 320

11.4.3 重組AD DS數據庫 324

11.5 重置「目錄服務還原模式」的系統管理員密碼 327

11.6 更改可重新啟動的AD DS的登錄設置 328

11.7 Active Directory回收站 329

第12章 將資源發布到AD DS 333

12.1 將共享文件夾發布到AD DS 334

12.1.1 利用Active Directory用戶和計算機控制台 334

12.1.2 利用計算機管理控制台 335

12.2 查找AD DS內的資源 336

12.2.1 通過網絡 336

12.2.2 通過Active Directory用戶和計算機控制台 338

12.3 將共享打印機發布到AD DS 339

12.3.1 發布打印機 339

12.3.2 通過AD DS查找共享打印機 341

12.3.3 利用打印機位置來查找打印機 341

第13章 自動信任根CA 345

13.1 自動信任CA的設置準則 346

13.2 自動信任內部的獨立CA 346

13.2.1 下載獨立根CA的證書並另存為證書文件 347

13.2.2 將CA證書導入到受信任的根證書頒發機構策略 348

13.3 自動信任外部的CA 351

13.3.1 下載獨立根CA的證書並另存為證書文件 351

13.3.2 建立證書信任列表（CTL） 354

附錄A AD DS與防火牆 358

A.1 AD DS相關的端口 359

A.1.1 將客戶端計算機加入域、用戶登錄時會用到的端口 359

A.1.2 計算機登錄時會用到的端口 360

A.1.3 建立域信任關係時會用到的端口 360

A.1.4 驗證域信任時會用到的端口 360

A.1.5 訪問文件資源時會用到的端口 361

A.1.6 執行DNS查詢時會用到的端口 361

A.1.7 執行AD DS數據庫複製時會用到的端口 361

A.1.8 文件複製服務（FRS）會用到的端口 361

A.1.9 分布式文件系統（DFS）會用到的端口 362

A.1.10 其他可能需要開放的端口 362

A.2 限制動態RPC端口的使用範圍 362

A.2.1 限制所有服務的動態RPC端口範圍 363

A.2.2 限制AD DS數據庫複製使用指定的靜態端口 365

A.2.3 限制FRS使用指定的靜態端口 366

A.2.4 限制DFS使用指定的靜態端口 367

A.3 IPSec與VPN端口 368

A.3.1 IPSec所使用的通信協議與端口 368

A.3.2 PPTP VPN所使用的通信協議與端口 369

A.3.3 L2TP/IPSec所使用的通信協議與端口 369

附錄B Server Core服務器的管理 370

B.1 Server Core服務器概述 371

B.2 Server Core服務器的基本設置 373

B.2.1 修改計算機名 373

B.2.2 修改IP地址 373

B.2.3 啟用Server Core服務器 375

B.2.4 加入域 376

B.2.5 將域用戶加入本機Administrators組 377

B.2.6 修改日期與時間 377

B.3 在Server Core服務器內安裝角色與功能 377

B.3.1 查看所有角色與功能的狀態 377

B.3.2 DNS服務器角色 378

B.3.3 DHCP服務器角色 379

B.3.4 文件服務器角色 379

B.3.5 Hyper-V角色 379

B.3.6 打印服務角色 380

B.3.7 Active Directory證書服務（AD CS）角色 380

B.3.8 Active Directory域服務（AD DS）角色 380

B.3.9 Web服務器（IIS）角色 380

B.4 遠程管理Server Core服務器 381

B.4.1 通過服務器管理器來管理Server Core服務器 381

B.4.2 通過MMC管理控制台來管理Server Core服務器 385

B.4.3 通過遠程桌面來管理Server Core服務器 386

B.4.4 硬件設備的安裝 388

B.5 切換到GUI模式 389

B.5.1 若Server Core服務器是從GUI圖形模式轉換過來的 389

B.5.2 若Server Core服務器被安裝為Server Core模式 389

參考文獻