Windows Server 2008 Active Directory配置指南

chapter 1 active directory domain services（ad ds）. 1

1-1 active directory domain services概述 1

1-1-1 active directory domain services的适用范围（scope） 2

1-1-2 名称空间（namespace） 2

1-1-3 对象（object）与属性（attribute） 2

1-1-4 容器（container）与组织单位（organization units, ou） 3

1-1-5 域树目录（domain tree） 3

1-1-6 信任（trust） 4

1-1-7 林（forest） 5

1-1-8 架构（schema） 6

1-1-9 域控制器（domain controller） 6

1-1-10 active directory的复制模式 7

1-1-11 域中的其他成员计算机 7

1-1-12 dns服务器 8

1-1-13 轻型目录访问协议（ldap） 8

1-1-14 全局编录（global catalog） 10

1-1-15 站点（site） 10

1-1-16 目录分区（directory partition） 11

1-2 windows server 2008域控制器的新功能 12

1-2-1 只读域控制器（rodc） 12

.1-2-2 可重新启动的ad ds（restartable ad ds） 13

1-3 域功能级别与林功能级别 14

1-3-1 域功能级别（domain functionality level） 14

1-3-2 林功能级别（forest functionality level） 15

1-4 active directory轻型目录服务（ad lds） 15

chapter 2 创建ad ds域 17

2-1 创建ad ds域前的准备工作 17

2-1-1 选择适当的dns域名 18

2-1-2 准备好用来支持ad ds的dns服务器 18

2-1-3 选择active directory数据库的存储地点 20

2-2 创建ad ds域 21

2-2-1 使用windows窗口界面来安装网络中的第一台域控制器 22

2-2-2 使用应答文件安装网络中的第一台域控制器 30

2-2-3 使用“命令行”来安装网络中的第一台域控制器 31

2-3 确认ad ds域是否正常 32

2-3-1 检查dns服务器内的日志是否完整 32

2-3-2 排除注册失败的问题 35

2-3-3 检查active directory数据库文件与sysvol文件夹 36

2-3-4 添加新的管理工具 37

2-3-5 查看事件日志文件 38

2-4 提升域与林功能级别 39

2-4-1 提升域功能级别 39

2-4-2 提升林功能级别 39

2-5 添加额外域控制器与rodc 39

2-5-1 使用windows窗口界面来安装额外域控制器 40

2-5-2 使用应答文件来安装额外域控制器 47

2-5-3 使用“命令行”来安装额外域控制器 49

2-5-4 使用“安装媒体”来安装额外域控制器 49

2-5-5 更改rodc的委派与密码复制策略设置 52

2-6 阶段式安装rodc 53

2-6-1 使用windows窗口界面创建rodc账户 53

2-6-2 将服务器附加到rodc账户 57

2-7 将windows计算机加入或脱离域 61

2-7-1 将windows计算机加入域 61

2-7-2 使用已加入域的计算机登录 64

2-7-3 脱离域 65

2-8 在域成员计算机内安装ad ds管理工具 66

2-9 删除域控制器与域 67

2-9-1 使用windows窗口界面来删除域控制器或域 68

2-9-2 使用应答文件来删除域控制器或域 71

2-9-3 使用“命令行”删除域控制器或域 72

2-10 域升级与在现有域环境中安装域控制器 73

2-10-1 将现有windows 2000或windows server 2003林升级 73

2-10-2 在现有windows 2000或windows server 2003林中添加一个

windows server 2008域 75

2-10-3 在现有windows 2000或windows server 2003域中添加一台windows server 2008域

控制器 76

chapter 3 域用户与组账户的管理 77

3-1 管理域用户账户 77

3-1-1 创建组织单位与域用户账户 78

3-1-2 用户登录账户 79

3-1-3 创建upn的后缀 81

3-1-4 账户的一般管理工作 82

3-1-5 域用户账户的内容设置 84

3-1-6 查找用户账户 86

3-1-7 域控制器之间数据的复制 87

3-2 一次同时添加多个用户账户 89

3-2-1 利用csvde.exe来添加用户账户 89

3-2-2 利用ldifde.exe来添加、修改与删除用户账户 91

3-2-3 利用dsadd.exe等程序来添加、修改与删除用户账户 92

3-3 域组账户 93

3-3-1 域内的组类型 94

3-3-2 组的作用域 94

3-3-3 域组的创建与管理 95

3-3-4 ad ds内置的组 96

3-3-5 特殊组账户 98

3-4 组的使用准则 99

3-4-1 a、g、dl、p策略 99

3-4-2 a、g、g、dl、p策略 99

3-4-3 a、g、u、dl、p策略 100

3-4-4 a、g、g、u、dl、p策略 100

chapter 4 利用组策略来管理用户的工作环境 101

4-1 组策略概述 101

4-1-1 组策略的功能 101

4-1-2 组策略对象（group policy object） 103

4-1-3 策略设置与首选项设置 105

4-1-4 组策略的应用时限 106

4-2 策略设置实战演练 107

4-2-1 策略设置实战演练1：计算机配置 107

4-2-2 策略设置实战演练2：用户配置 109

4-3 首选项设置实战演练 112

4-3-1 首选项设置实战演练1 112

4-3-2 首选项设置实战演练2 117

4-4 组策略的处理规则 121

4-4-1 一般的继承与处理规则 121

4-4-2 特殊的继承设置 122

4-4-3 特殊的处理设置 125

4-4-4 更改管理gpo的域控制器 129

4-4-5 更改组策略的应用间隔时间 131

4-5 利用组策略来管理计算机与用户环境 133

4-5-1 计算机配置的管理模板策略 133

4-5-2 用户配置的管理模板策略 134

4-5-3 账户策略 135

4-5-4 用户权限分配策略 139

4-5-5 安全选项策略 141

4-5-6 登录/注销、启动/关机脚本 142

4-5-7 文件夹重定向 145

4-6 利用组策略来限制访问“可移动存储设备” 152

4-7 wmi筛选器 155

4-8 组策略建模与组策略结果 159

4-8-1 组策略建模 159

4-8-2 组策略结果 163

4-9 组策略的委派管理 165

4-9-1 站点、域或组织单位的gpo链接委派 165

4-9-2 编辑gpo的委派 166

4-9-3 添加gpo的委派 166

4-10 “starter gpo”的设置与使用 167

chapter 5 利用组策略部署软件 169

5-1 软件部署概述 169

5-1-1 将软件分配给用户 170

5-1-2 将软件分配给计算机 170

5-1-3 将软件发布给用户 170

5-1-4 自动修复软件 171

5-1-5 删除软件 171

5-2 将软件发布给用户 171

5-2-1 发布软件 171

5-2-2 客户端安装已发布的软件 174

5-2-3 测试自动修复软件的功能 175

5-2-4 取消已发布的软件 177

5-3 将软件分配给用户或计算机 177

5-3-1 分配给用户 177

5-3-2 分配给计算机 178

5-4 将软件升级与重新部署.. 179

5-4-1 软件升级 179

5-4-2 重新部署 181

5-5 部署microsoft office 182

5-5-1 部署microsoft office 2003 183

5-5-2 部署microsoft office 2007 188

5-6 发布zap应用程序 192

5-7 软件部署的其他设置 195

5-7-1 更改部署默认值 195

5-7-2 更改高级部署设置 196

5-7-3 扩展名与软件关联的优先级 197

5-7-4 软件分类 197

5-8 将软件重新包装成“msi应用程序” 199

chapter 6 限制软件的运行 201

6-1 软件限制策略概述 201

6-1-1 哈希规则 202

6-1-2 证书规则 202

6-1-3 路径规则 202

6-1-4 网络区域规则 202

6-1-5 规则的优先级 203

6-2 启用软件限制策略 203

6-2-1 新建哈希规则 204

6-2-2 新建路径规则 207

6-2-3 新建证书规则 209

6-2-4 新建网络区域规则 212

6-2-5 不要将软件限制策略应用到本地系统管理员 213

chapter 7 新建域树和林 215

7-1 新建第一个域 215

7-2 新建子域 216

7-2-1 利用windows窗口界面来新建子域 216

7-2-2 利用应答文件来新建子域 225

7-2-3 使用“命令行”来新建子域 227

7-3 新建林中的第2个域树 228

7-3-1 选择适当的dns架构 228

7-3-2 使用windows窗口界面来新建第2个域树 230

7-3-3 使用应答文件来新建第2个域树 239

7-3-4 使用“命令行”来新建第2个域树 240

7-4 删除子域与域树 240

7-4-1 使用windows窗口界面来删除子域或域树 241

7-4-2 使用应答文件来删除子域或域树 244

7-4-3 使用“命令行”来删除子域或域树 246

7-5 更改域控制器的计算机名 246

chapter 8 管理域与林信任 249

8-1 域与林信任概述 249

8-1-1 信任域与受信任域 249

8-1-2 跨域访问资源的流程 250

8-1-3 信任的种类 252

8-1-4 建立信任前的注意事项 256

8-2 建立“快捷方式信任” 258

8-3 新建“林信任” 263

8-3-1 建立“林信任”前的注意事项 264

8-3-2 开始建立“林信任” 265

8-3-3 “选择性身份验证”设置 272

8-4 建立“外部信任” 275

8-5 管理与删除信任 277

8-5-1 信任的管理 277

8-5-2 信任的删除 280

chapter 9 active directory数据库的复制 283

9-1 站点与active directory数据库的复制 283

9-1-1 同一个站点之间的复制 284

9-1-2 不同站点之间的复制 286

9-1-3 目录分区与复制拓扑 287

9-1-4 复制协议 287

9-2 默认站点的管理 287

9-2-1 默认的站点 287

9-2-2 servers文件夹与复制设置 288

9-3 用站点来管理active directory复制 290

9-3-1 建立站点与子网 291

9-3-2 建立站点链接 293

9-3-3 将域控制器转移到所属的站点 294

9-3-4 指定“首选的bridgehead服务器” 296

9-3-5 站点链接与active directory数据库的复制设置 297

9-3-6 站点链接桥 299

9-3-7 站点链接桥的两个范例 301

9-4 管理“全局编录服务器” 303

9-4-1 将属性添加到全局编录内 303

9-4-2 全局编录的功能 304

9-4-3 通用组成员身份缓存 305

9-5 解决active directory复制冲突的问题 307

9-5-1 属性印章 307

9-5-2 冲突的种类 307

chapter 10 操作主机的管理 311

10-1 操作主机概述 311

10-1-1 架构操作主机 312

10-1-2 域命名操作主机 312

10-1-3 rid操作主机 312

10-1-4 pdc模拟器操作主机 312

10-1-5 基础结构操作主机 315

10-2 操作主机的放置优化 316

10-2-1 基础结构操作主机的放置 316

10-2-2 pdc模拟器操作主机的放置 316

10-2-3 林级别操作主机的放置 317

10-2-4 域级别操作主机的放置 317

10-3 找出扮演操作主机角色的域控制器 318

10-3-1 找出“架构操作主机” 318

10-3-2 找出“域命名操作主机” 319

10-3-3 找出“rid”、“pdc模拟器”与“基础结构”操作主机 320

10-4 转移操作主机角色 320

10-5 夺取操作主机角色 323

10-5-1 操作主机故障所造成的影响 323

10-5-2 夺取操作主机角色实战演练1 325

10-5-3 夺取操作主机角色实战演练2 327

chapter 11 ad ds的维护 331

11-1 系统状态概述 331

11-1-1 active directory数据库 332

11-1-2 sysvol文件夹 333

11-2 备份ad ds 333

11-2-1 安装windows server backup功能 333

11-2-2 备份系统状态 333

11-3 还原ad ds 335

11-3-1 进入“目录服务还原模式”的方法 335

11-3-2 执行ad ds的“非系统授权还原” 336

11-3-3 针对被删除的ad ds对象执行“系统授权还原” 337

11-3-4 还原组成员的隶属关系 341

11-4 active directory数据库的转移与整理 342

11-4-1 可重新启动的ad ds（restartable ad ds） 342

11-4-2 转移active directory数据库文件 342

11-4-3 整理active directory数据库 347

11-5 重设“目录服务还原模式”的系统管理员密码 350

11-6 更改“可重新启动的ad ds”的登录设置 351

chapter 12 将资源发布到ad ds 353

12-1 将共享文件夹发布到ad ds 353

12-1-1 利用“active directory用户和计算机”控制台发布 353

12-1-2 利用“计算机管理”控制台发布 355

12-2 查找ad ds内的资源 356

12-2-1 通过“网络”查找 356

12-2-2 通过“active directory用户和计算机”控制台查找 358

12-3 将共享打印机发布到ad ds 361

12-3-1 发布打印机 361

12-3-2 通过ad ds查找共享打印机 363

12-3-3 利用“打印机位置”来查找打印机 363

chapter 13 自动信任根ca 367

13-1 自动信任ca的设置准则 367

13-2 自动信任内部的独立ca 368

13-2-1 下载独立根ca的证书并保存 368

13-2-2 将独立根ca的证书导入到“受信任的根证书颁发机构”策略 370

13-3 自动信任外部的ca 373

13-3-1 下载独立根ca的证书并保存 374

13-3-2 创建“证书信任列表（ctl）” 377

appendix a ad ds与防火墙 383

a-1 ad ds相关的端口 383

a-1-1 将客户端计算机加入域和用户登录时会用到的端口 384

a-1-2 计算机登录时会用到的端口 384

a-1-3 创建域信任时会用到的端口 385

a-1-4 验证域信任时会用到的端口 385

a-1-5 访问文件资源时会用到的端口 385

a-1-6 执行dns查询时会用到的端口 385

a-1-7 执行active directory数据库复制时会用到的端口 385

a-1-8 文件复制服务（frs）会用到的端口 386

a-1-9 分布式文件系统（dfs）会用到的端口 386

a-1-10 其他可能需要开放的端口 387

a-2 限制动态rpc端口的使用范围 387

a-2-1 限制所有服务的动态rpc端口范围 387

a-2-2 限制active directory数据库复制使用指定的静态端口 389

a-2-3 限制frs使用指定的静态端口 390

a-2-4 限制dfs使用指定的静态端口 390

a-3 ipsec与vpn端口 391

a-3-1 ipsec所使用的协议与端口 391

a-3-2 pptp vpn所使用的协议与端口 391

a-3-3 l2tp/ipsec所使用的协议与端口 391

appendix b 服务器核心安装选项的管理 393

b-1 “服务器核心安装”概述 393

b-2 “服务器核心安装”的基本设置 394

b-2-1 更改计算机名称 394

b-2-2 更改ip地址 395

b-2-3 启用“服务器核心安装” 396

b-2-4 启用windows防火墙的“远程管理”规则 396

b-2-5 加入域 397

b-2-6 将域用户加入本地administrators组 397

b-2-7 更改日期与时间、地区及语言选项 397

b-3 在“服务器核心安装”内安装服务器角色 398

b-3-1 查看现有的角色 398

b-3-2 dns服务器角色 398

b-3-3 dhcp服务器角色 399

b-3-4 文件服务角色 399

b-3-5 hyper-v角色 400

b-3-6 打印服务角色 400

b-3-7 active directory lightweight directory services（ad lds）角色 400

b-3-8 active directory domain services（ad ds）角色 400

b-3-9 stream media services角色 400

b-3-10 web服务器（iis）角色 401

b-4 在“服务器核心安装”内安装功能 402

b-5 管理“服务器核心安装” 403

b-5-1 在“命令提示符”环境下管理 404

b-5-2 在远程计算机通过“远程桌面”管理 404

b-5-3 在远程计算机通过ts remoteapp管理 405

b-5-4 在远程计算机通过windows remote shell管理 408

b-5-5 在远程计算机通过mmc管理控制台管理 408

b-5-6 硬件设备的安装 409

b-5-7 其他注意事项 410

b-6 常用命令列表 410

b-6-1 设置与安装命令 411

b-6-2 网络与防火墙命令 412

b-6-3 更新、错误报告与回应 412

b-6-4 服务、程序与性能 413

b-6-5 事件日志 414

b-6-6 磁盘与文件系统 414

b-6-7 硬件设备驱动程序... 415