·· 467目录
第15章管理只读域控制器471
15.1 只读域控制器基本知识·· 471
15.1.1 活动目录数据库复制方向·· 471
15.1.2 密码复制策略·· 472
15.1.3 RODC优点·· 473
15.1.4 RODC缺点·· 474
15.1.5 部署前提·· 474
15.2 部署RODC域控制器·· 475
15.2.1 部署流程·· 475
15.2.2 安装过程·· 475
15.2.3 只读域控制器验证·· 476
15.3 只读域控制器管理任务·· 481
15.3.1 密码复制策略的位置·· 481
15.3.2 查看已经发布到RODC的用户·· 482
15.3.3 查看已经通过RODC进行身份验证的用户·· 483
15.3.4 用户发布到RODC· 483
15.3.5 预设密码·· 485
第16章升级域控制器487
16.1 案例任务·· 487
16.1.1 案例任务·· 487
16.1.2 迁移过程·· 487
16.1.3 参与升级的服务器·· 488
16.1.4 其他注意事项·· 488
16.2 拓展2003活动目录功能级别·· 488
16.2.1 2003域控制器配置·· 488
16.2.2 部署流程·· 491
16.2.3 提升2003活动目录域功能级别·· 491
16.2.4 提升2003活动目录林功能级别·· 493
16.3 提升2012服务器为额外域控制器·· 495
16.3.1 提升过程中需要注意的问题·· 495
16.3.2 额外域控制器提升成功后验证·· 496
16.3.3 额外域控制器占用FSMO角色·· 497
16.3.4 FSMO角色迁移后验证·· 503
16.3.5 小结·· 504
16.4 2003域控制器降级·· 504
16.4.1 域控制器降级为成员服务器·· 504
16.4.2 成员服务器降级为独立服务器(俗称脱域)·· 508
第17章管理活动目录数据库509
17.1 维护活动目录数据库·· 510
17.1.1 活动目录数据库文件·· 510
17.1.2 停止AD DS域服务·· 511
17.1.3 重定向活动目录数据库·· 513
17.1.4 离线整理活动目录数据库·· 515
17.1.5 修复活动目录数据库·· 516
17.1.6 重置目录服务还原模式管理员密码·· 517
17.1.7 查找和清理重复的安全标识符·· 518
17.1.8 自动管理活动目录数据库·· 518
17.1.9 清理域控制器源数据·· 519
17.2 备份活动目录数据库·· 522
17.2.1 安装Windows Server Backup组件·· 522
17.2.2 向导备份活动目录数据库·· 522
17.2.3 命令行备份活动目录数据库·· 532
17.3 恢复活动目录数据库·· 534
17.3.1 域对象删除·· 534
17.3.2 向导还原活动目录数据库·· 535
17.3.3 命令行还原活动目录数据库·· 541
17.4 通过备份还原域控制器·· 545
17.4.1 备份域控制器·· 545
17.4.2 还原域控制器·· 546
第18章 ADCS证书服务552
18.1 部署ADCS服务·· 552
18.1.1 根类型·· 552
18.1.2 安装ADCS服务·· 552
18.1.3 配置ADCS服务·· 556
18.2 证书日常管理·· 561
18.2. 1 “证书颁发机构”管理工具·· 561
18.2. 2 “证书模板”管理工具·· 566
18.2.3用户手动申请证书·· 570
18.2.4 查看已经颁发的证书·· 573
18.2.5 续订根证书·· 575
18.2.6 发布计算机证书自动申请策略·· 577
18.2.7 发布用户证书自动申请策略·· 580
18.3 用户访问SSL站点可能遇到的问题·· 582
18.3.1 提示信息解析·· 582
18.3.2 第一个提示:关于证书颁发机构·· 582
18.3.3 第二个信息:关于日期时间·· 586
18.3.4 第三个提示:名称无效·· 586
18.4 证书典型应用:SSL站点·· 587
18.4.1 基本信息·· 588
18.4.2 申请证书配置文件·· 588
18.4.3 申请Web服务器证书·· 590
18.4.4 Web服务器配置证书·· 592
18.4.5 设置SSL站点·· 593
18.4.6 客户端计算机访问SSL站点·· 595
第19章认识组策略599
19.1 必须了解的知识·· 600
19.1.1 组策略对象·· 600
19.1.2 本地策略和域组策略·· 602
19.1.3 域组策略分类·· 603
19.1.4 组策略的应用时间·· 603
19.1.5 组策略处理规则·· 603
19.1.6 强制继承·· 605
19.1.7 组策略更新·· 605
19.1.8 更改管理用的域控制器·· 607
19.1.9 更改策略的应用时间·· 607
19.1.10 首选项·· 609
19.2 组策略日常管理·· 609
19.2.1 打开GPMC控制台·· 609
19.2.2 查看组策略对象属性信息·· 610
19.2.3 创建组策略对象·· 613
19.2.4 删除组策略对象·· 615
19.2.5 更改组策略对象的状态·· 616
19.2.6 编辑组策略对象·· 616
19.2.7 组策略对象备份·· 617
19.2.8 管理备份·· 618
19.2.9 复制GPO· 620
第20章组策略应用-首选项设置622
20.1 首选项分类·· 622
20.1.1 计算机配置·· 622
20.1.2 用户配置·· 623
20.2 批量部署映射磁盘·· 624
20.2.1 映射驱动器的方法·· 624
20.2.2 部署“首选项”-映射驱动器·· 625
20.2.3 策略测试·· 630
20.3 登录用户添加到本地管理员组·· 631
20.3.1 部署“首选项”·· 631
20.3.2 策略测试·· 633
20.4 Internet Explorer浏览器设置·· 633
20.4.1 Internet Explorer设置·· 634
20.4.2 部署“首选项”·· 635
20.4.3 策略测试·· 636
第21章组策略应用-保护IE浏览器637
21.1 基本安全性保护措施·· 637
21.1.1 网络环境·· 637
21.1.2 域中采取的措施·· 638
21.2 保护浏览器·· 638
21.2.1 安全级别·· 638
21.2.2 权限分析·· 638
21.2.3 权限继承·· 640
21.2.4 设置安全级别·· 640
21.2.5 部署用户限制策略·· 642
21.3 保护IE存储区域·· 645
21.3.1 网页存储访问保护机制·· 645
21.3.2 限制存储区域中应用程序运行·· 645
21.4 最佳实践·· 646
第22章组策略应用-安装软件647
22.1 组策略安装软件·· 647
22.1.1 环境准备·· 648
22.1.2 WMI筛选器·· 648
22.1.3 应用程序“已发布”给用户·· 653
22.1.4 应用程序“已分配”给用户·· 656
22.1.5 应用程序“已分配”给计算机·· 658
22.1.6 应用程序修复功能测试·· 659
22.1.7 删除部署的程序包·· 660
22.1.8 升级应用程序·· 661
22.2 部署MicrosoftOffice 2013· 664
22.2.1 准备Office2013安装程序·· 664
22.2.2 下载OfficeCustomization Tool(OCT)模板·· 665
22.2.3 自定义Office2013安装环境·· 667
22.2.4 安装Office2013· 671
第23章组策略应用-高效沟通672
23.1 Bginfo设置·· 673
23.1.1 下载·· 673
23.1.2 本例中Bginfo完成的功能·· 673
23.1.3 参数设置·· 674
23.2 部署策略·· 678
23.2.1 部署共享文件夹·· 679
23.2.2 部署组策略·· 679
23.2.3 策略运行效果·· 681
第24章组策略应用-文件夹重定向681
24.1 文件夹重定向支持的文件夹·· 681
24.1.1重定向文件夹部署建议·· 681
24.1.2 支持的重定向文件夹·· 682
24.1.3 策略部署前“文档”位置·· 682
24.2 部署“文件夹重定向”策略·· 683
24.2.1 部署重定向策略·· 683
24.2.2 验证策略·· 686
第25章组策略应用-限制计算机接入686
25.1 应用环境以及解决方法·· 686
25.1.1 应用网络环境·· 687
25.1.2 解决思路·· 687
25.2 管理策略·· 687
25.2.1 默认用户类·· 688
25.2.2 重新配置DHCP服务器·· 688
25.2.3 客户端计算机验证·· 694
25.2.4 建议·· 695
第26章组策略应用-Windows时间服务696
26.1 域内时间·· 696
26.1.1 域内时间源·· 696
26.1.2 同步机制·· 697
26.1.3 时间同步方式·· 697
26.1.4 w32tm命令日常用法·· 697
26.2 时间自动同步·· 700
26.2.1 确认时间源服务器·· 700
26.2.2 同步域内时间方法一:nettime700
26.2.3 同步域内时间方法二:PDC主机作为时间源·· 701
26.3 常见问题·· 707
26.3.1 客户端计算机windows时间服务有问题·· 707
26.3.2 默认时间差值·· 708
26.3.3 启动“WindowsTime服务”并设置为“自动”启动·· 708
26.3.4 统一时区·· 709
26.3.5 禁止用户修改“日期和时间”·· 710
第27章一组常用组策略与排错711
27.1 限制“本地管理员”组成员·· 711
27.1.1 “Administrators”组已有成员·· 711
27.1.2 部署“受限制的组”策略·· 711
27.1.3 客户端计算机策略测试·· 714
27.1.4 删除策略·· 715
27.2 部署密码策略·· 715
27.2.1 默认密码策略·· 715
27.2.2 查看默认域密码策略·· 716
27.2.3 部署简单密码策略·· 716
27.2.4 用户密码设置测试·· 719
27.3 部署InternetExplorer访问主页·· 720
27.3.1 部署策略·· 720
27.3.2 策略测试·· 721
27.4 开机运行指定的应用程序·· 722
27.4.1 部署开机策略·· 722
27.4.2 策略测试·· 724
27.5 统一桌面背景·· 724
27.5.1 部署桌面背景策略·· 724
27.5.2 策略测试·· 726
27.6 启用密码屏幕保护·· 726
27.6.1 部署屏保密码策略·· 727
27.6.2 策略测试·· 730
27.7 禁止修改网络连接参数·· 731
27.7.1 用户更改网络参数·· 731
27.7.2 部署禁止修改网络参数策略·· 731
27.7.3 策略测试·· 734
27.8 组策略排错·· 735
27.8.1 对默认策略的处理·· 735
27.8.2 组策略的目标是谁·· 735
27.8.3 客户端计算机是否应用策略·· 736
27.8.4 确认客户端计算机基础环境是否正常·· 736
27.8.5 确认文件复***务是否启动·· 736
27.8.6 记录配置·· 736
27.9 组策略排错使用的工具·· 737
27.9.1 DCdiag· 737
27.9.2 GPResult739
27.9.3 Dcgpofix· 740
27.9.4 Repadmin· 740
27.9.5 Gpupdate740
第28章活动目录集成区域DNS服务740
28.1 DNS需要了解的知识·· 740
28.1.1 域中的计算机定位·· 740
28.1.2 DNS和Active Directory的结合·· 741
28.1.3 DNS服务器区域类型·· 741
28.1.4 DNS常用资源记录·· 743
28.1.5 nslookup 验证加入域所需的 SRV记录·· 744
28.1.6 动态更新·· 745
28.2 部署活动目录集成DNS服务·· 747
28.2.1 自动配置ActiveDirectory集成区域DNS服务·· 747
28.2.2 安装结果·· 748
28.2.3 _msdcs子域·· 748
28.2.4 域(本例中book.com)·· 754
28.2.5 查看域属性·· 758
28.2.6 DNS验证·· 763
28.3 DNS客户端·· 765
28.3.1 加域前提条件·· 765
28.3.2 DNS客户端缓存·· 765
28.3.3 DNS记录中存在旧的A记录,导致DNS解析不正确·· 766
28.3.4 误删_msdcs.子域·· 767