Windows Server 2012活动目录管理实践》 目录


目录

内容提要·· 1

前言·· 1

目录·· 4

第1章域概述18

1.1 真实的案例·· 18

1.1.1 案例需求·· 18

1.1.2 IT技术部门·· 18

1.1.3 达到的效果·· 19

1.1.4 IT技术部门新措施·· 19

1.2 部署域的意义·· 20

1.2.1 网络管理中遇到的问题·· 20

1.2.2 部署域的价值·· 20

1.3 常用的计算机概念·· 20

1.3.1 独立服务器·· 20

1.3.2 成员服务器·· 21

1.3.3 域控制器·· 21

1.3.4 客户端计算机·· 21

1.4 常用域概念·· 22

1.4.1 DNS· 22

1.4.2 工作组·· 22

1.4.3 ·· 22

1.4.4 根域·· 23

1.4.5 域树·· 24

1.4.6 域林·· 24

1.4.7 如何区别域林和域树·· 25

1.5 管理域控制器需要注意的问题·· 26

1.5.1 禁止在域控制器任意安装软件·· 26

1.5.2 禁止随意添加/删除域控制器·· 26

1.5.3 禁止FSMO角色的任意分配·· 26

1.5.4 谨慎备份域控制器·· 26

第2章部署第一台域控制器27

2.1 案例任务·· 27

2.1.1 案例任务·· 27

2.2.2 案例环境·· 27

2.2 部署网络第一台域控制器·· 29

2.2.1 重命名计算机·· 29

2.2.2 更改网络参数·· 31

2.2.3 部署网络中第一台域控制器·· 34

2.2.4 安装过程中遇到的问题:“NETBIOS名称”和域名不一致·· 44

2.3 验证第一台域控制器是否成功部署·· 45

2.3.1 验证“ADDS域服务”·· 45

2.3.2 验证“默认容器”·· 46

2.3.3 验证“DomainControllers“47

2.3.4 验证“Default-First-Site-Name”48

2.3.5 验证“ActiveDirectory 数据库”和“日志文件”·· 49

2.3.6 验证“计算机角色”·· 50

2.3.7 验证系统共享卷“SYSVOL”和“NetLogon”服务·· 50

2.3.7 验证“SRV记录”·· 53

2.3.8 验证FSMO操作主机角色·· 56

2.3.9 事件查看器·· 56

2.3.10 安装日志·· 57

2.4 计算机安装“ADDS域服务”前后变化·· 58

2.4.1 服务器管理器面板·· 58

2.4.2 登录服务器·· 59

2.4.3 Metro面板发生的变化·· 61

2.4.4 本地服务器面板变化·· 62

2.4.5 默认组变化·· 63

2.4.6 用户变化·· 64

2.5 常见问题·· 66

2.5.1 修改域控制器IP地址·· 66

2.5.2 重命名域控制器·· 71

第3章部署额外域控制器及子域75

3.1 案例任务·· 75

3.1.1 额外域控制器的作用·· 75

3.1.2 案例任务·· 75

3.1.3 案例环境·· 76

3.1.4 部署流程·· 77

3.2 部署网络中第二台域控制器·· 77

3.2.1 “重命名计算机”需要注意的问题·· 77

3.2. 2 “更改网络参数”需要注意的问题·· 77

3.2.3 独立服务器加入到域·· 79

3.2.4 提升为额外域控制器·· 82

3.3 验证第二台域控制器是否成功部署·· 91

3.3.1 验证“计算机角色”·· 91

3.3.2 验证“DNS”相关记录·· 92

3.3.3 验证“ActiveDirectory站点和服务”·· 92

3.3.4 验证网络中所有域控制器和GC· 92

3.3.5 验证FSMO操作主机角色·· 93

3.4 介质安装第三台域控制器·· 94

3.4.1 第三台Windows Server 2012域控制器·· 94

3.4.2 第一台域控制器生成安装介质·· 94

3.4.3 传递安装介质·· 96

3.4.4 通过介质安装第三台域控制器·· 96

3.4.5 验证第三台域控制器·· 97

3.5 部署子域·· 99

3.5.1 子域计算机配置·· 99

3.5.2 部署子域·· 100

3.5.3 验证子域·· 106

3.5.4 验证DNS· 108

第4章管理林和域功能级别110

4.1 功能级别概述·· 110

4.1.1 功能级别在域中的作用·· 110

4.1.2 选择合适的功能级别·· 111

4.1.3 功能级别的限制·· 111

4.1.4 注意事项·· 111

4.1.5 域功能级别支持的域控制器·· 112

4.1.6 林功能级别支持的域控制器·· 112

4.2 功能级别管理任务·· 113

4.2.1 查看域功能级别·· 113

4.2.2 查看林功能级别·· 115

4.2.3 提升域功能级别·· 116

4.2.4提升林功能级别·· 119

4.2.5 功能级别降级·· 122

4.2.6 注意事项·· 123

第5章管理全局编录服务器123

5.1 全局编录服务器的作用·· 124

5.1.1 数据存储·· 124

5.1.2 全局编录服务器的作用·· 124

5.1.3 全局编录服务器规划原则·· 125

5.2 全局编录服务器日常管理·· 125

5.2.1 验证域中全局编录服务器·· 125

5.2.2 域控制器提升为全局编录服务器·· 128

5.2.3 验证DNS记录·· 129

5.2.4 查询服务端口·· 130

5.3 全局编录服务器管理实践·· 131

5.3.1 自定义复制属性·· 131

5.3.2 验证只读属性·· 133

5.3.3 全局编录服务器不可用·· 136

5.4 验证父子域之间数据复制·· 138

5.4.1 林信息·· 138

5.4.2 ADSI编辑器·· 138

第6章管理操作主机角色142

6.1 FSMO简介·· 142

6.1.1 类型·· 142

6.1.2各个FSMO角色作用·· 143

6.1.3 应用环境·· 145

6.1.4 主域控制器·· 145

6.1.5 FSMO 角色转移·· 145

6.1.6 规划FSMO角色·· 145

6.1.7 FSMO角色出现故障后带来的影响·· 146

6.2 查看FSMO角色·· 146

6.2.1 图形模式查看FSMO角色使用的控制台·· 147

6.2.2 图形模式查看PDCRIDIM主机角色·· 147

6.2.3 图形模式查看DomainNaming Master主机角色·· 148

6.2.4 图形模式查看SchemaMaster主机角色·· 149

6.2.5 命令行查看FSMO角色·· 151

6.2.6 DS命令组查看FSMO角色·· 151

6.2.7 PowerShell命令组查看FSMO角色·· 152

6.2.8 查看主域控制器·· 152

6.3 转移FSMO角色·· 153

6.3.1 案例环境·· 153

6.3.2 注意事项·· 153

6.3.3 图形模式转移FSMO角色·· 154

6.3.4 Ntdsutil命令转移FSMO角色·· 157

6.4 占用FSMO角色·· 159

6.4.1 注意事项·· 159

6.4.2 占用SchemaMaster角色·· 159

6.5 子域中的FSMO角色分布·· 161

6.5.1 林信息·· 161

6.5.2 父域·· 162

6.5.3 子域·· 163

第7章管理组织单位164

7.1 组织单位架构·· 164

7.1.1 默认域架构·· 164

7.1.2 默认组织单位位置·· 164

7.1.3 如何规划组织单位架构·· 166

7.1.4 组织单位和组的区别·· 167

7.1.5 组织单位设计原则·· 168

7.2 组织单位管理任务·· 168

7.2.1 创建组织单位·· 168

7.2.2 启用/禁用“防止容器被意外删除”功能·· 169

7.2.3 移动组织单位·· 170

7.2.4 重命名组织单位·· 172

7.2.5 删除组织单位·· 172

7.2.6 查找组织单位·· 173

7.3 组织单位委派控制·· 175

7.3.1 委派权限·· 176

7.3.2 权限测试·· 179

第8章管理组180

8.1 组基本知识·· 180

8.1.1 组的作用·· 180

8.1.2 组类型·· 181

8.1.3 组作用域·· 182

8.1.4 常用组·· 183

8.2 组日常管理·· 185

8.2.1 创建组·· 185

8.2.2 组成员添加·· 187

8.2.3 删除组·· 189

8.2.4 重命名组·· 189

8.2.5 移动组·· 190

8.2.6 嵌套组·· 191

8.2.7 更改组作用域·· 192

8.2.8 确认组成员关系·· 194

8.3 组AGDLP应用·· 195

8.3.1 组应用原则·· 195

8.3.2 应用场景规划·· 195

8.3.3 全局组操作·· 196

8.3.4 域本地组操作·· 197

8.3.5 文件访问授权·· 198

第9章管理域计算机199

9.1 计算机类型·· 199

9.1.1 计算机名称命名方法·· 199

9.1.2 普通计算机·· 199

9.1.3 域内计算机·· 204

9.2 计算机名命名原则·· 207

9.2.1 命名原则·· 207

9.2.2 计算机名唯一性·· 208

9.2.3 Netbios名称·· 210

9.2.4 加域后的计算机重命名·· 212

9.3 计算机加域/降域·· 214

9.3.1 客户端加域过程·· 214

9.3.2 计算机帐户生成模式·· 215

9.3.3 验证客户端与域控制器之间的连通性·· 215

9.3.4 在线加域方法之一·· 216

9.3.5 在线加域方法之二·· 217

9.3.6 离线加域·· 223

9.3.7 加域后计算机帐户验证·· 227

9.3.8 降域·· 228

9.4 计算机帐户密码·· 231

9.4.1 计算机帐户密码·· 231

9.4.2 计算机帐户密码有效时间·· 231

9.4.3 查看计算机帐户密码策略·· 231

9.4.4 修改计算机帐户密码策略的有效时间·· 232

9.5 授予加域权限·· 233

9.5.1 加域环境·· 233

9.5.2 加域权限·· 233

9.5.3“将工作站添加到域”策略·· 234

9.5. 4 “创建计算机对象权限·· 238

9.6 计算机帐户基础管理·· 240

9.6.1 创建计算机帐户·· 240

9.6.2 禁用计算机帐户·· 241

9.6.3 启用计算机帐户·· 242

9.6.4 删除计算机帐户·· 243

9.6.5 移动计算机帐户·· 244

9.6.6 添加计算机帐户到组·· 246

9.6.7 重置帐户·· 247

9.6.8 用户指定计算机登录·· 248

9.7 计算机帐户管理任务·· 250

9.7.1 委派用户加域权限·· 250

9.7.2 加域计算机重定向到目标组织单位·· 252

9.7.3 计算机改名前后加域可能出现的错误·· 255

9.7.4 禁止用户退出域·· 257

9.7.5 清理长期不使用的计算机帐户·· 259

9.7.6 查询域中同一类型操作系统的数量·· 260

9.7.7 批量创建计算机帐户·· 261

9.7.8 防止删除计算机帐户·· 263

9.7.9 常见错误之一:拒绝访问·· 265

9.7.10 常见错误之二:找不到网络路径·· 266

9.7.11 常见故障之三:不能连接域控制器·· 267

9.7.12 常见故障之四·· 268

第10章管理域用户269

10.1 用户类型·· 269

10.1.1 什么是用户?·· 269

10.1.2 本地用户帐户·· 270

10.1.3 域用户帐户·· 277

10.1.4 用户命名原则·· 282

10.1.5 用户密码·· 282

10.2 用户登录方式·· 284

10.2.1 UPN方式登录·· 284

10.2.2 登录名方式登录·· 285

10.2.3 登录名(Windows2000以前版本)方式登录·· 285

10.2.4 UPN登录·· 287

10.3 常用用户属性·· 289

10.3.1 查看用户属性·· 289

10.3.2 DNRDN· 291

10.3.3 GUID· 292

10.3.4 常用帐户属性·· 292

10.4 创建域用户·· 293

10.4.1 用户类型·· 294

10.4.2 默认用户·· 294

10.4.3 创建单一普通域用户·· 295

10.4.4 批量创建普通域用户·· 298

10.4.5 批量导入用户过程中出现的问题·· 304

10.4.5 创建域管理员·· 305

10.4.6 创建企业管理员·· 308

10.5 用户配置文件·· 310

10.5.1 用户配置文件·· 310

10.5.2 漫游用户配置文件·· 313

10.5.3 用户配置文件验证·· 315

10.5.4 用户漫游配置文件注意事项·· 317

10.6 用户基础管理·· 317

10.6.1 “Active Directory用户和计算机”管理菜单·· 317

10.6.2 复制·· 318

10.6.3 添加到组·· 319

10.6.4 禁用帐户·· 320

10.6.5 启用帐户·· 322

10.6.6 重置密码·· 323

10.6.7 删除用户·· 324

10.6.8 重命名用户·· 325

10.6.9 移动用户·· 326

10.7 用户管理实战·· 327

10.7.1 查询用户·· 328

10.7.2 批量解锁被锁定的帐户·· 328

10.7.3 统一更改默认本地管理员密码·· 331

10.7.4 禁止删除用户·· 333

10.7.5 用户登录时只能登录到域·· 334

10.7.6 恢复误删除的用户·· 336

10.7.7 用户在指定计算机登录·· 339

10.7.8 限制用户登录时间·· 341

10.7.9 USMT迁移用户配置文件·· 342

10.7.10 清理长期没有登录的用户·· 344

10.7.11 查询用户登录时间·· 344

10.7.12 域缓存登录·· 345

10.7.13 查看域用户密码修改情况·· 348

10.7.14 审核域帐户登录·· 349

10.7.15 批量映射用户主文件夹·· 351

10.7.16 批量添加域用户属性·· 352

10.7.17 拔掉网线才能登录域·· 354

10.7.18 用户登录域速度异常·· 355

10.7.19 查看用户在哪台计算机中登录·· 356

10.7.20 提升域用户运行特定软件的权限·· 357

10.7.21 文件发布到用户桌面·· 360

第11章管理站点361

11.1 站点基本知识·· 362

11.1.1 名词解释·· 362

11.1.2 站点规划原则·· 363

11.1.3 应用模式·· 363

11.2 单域多站点部署任务·· 364

11.2.1 地理分布·· 364

11.2.2 遇到的问题·· 364

11.2.3 站点的作用·· 365

11.2.4 案例任务·· 365

11.2.5 路由器规划·· 365

11.2.6 域控制器规划·· 370

11.2.7 站点规划·· 372

11.3 部署单域多站点·· 373

11.3.1 单域多站点部署流程·· 373

11.3.2 创建新站点·· 373

11.3.3 创建站点子网·· 375

11.3.4 定位域控制器·· 377

11.3.5 创建站点链接·· 381

11.3.6 设置桥头服务器·· 385

11.3.7 创建站点链接桥·· 386

11.4 站点管理任务·· 388

11.4.1 查看站点·· 388

11.4.2 创建站点后域控制器自动添加到站点·· 390

11.4.3 提升用户登录速度·· 392

11.4.4 用户指定域控制器登录·· 394

第12章管理站点复制396

12.1 复制概述·· 396

12.1.1 复制方式·· 396

12.1.2 复制协议·· 397

12.1.3 复制伙伴·· 397

12.1.4 目录分区同步·· 399

12.1.5 复制机制·· 399

12.1.6 复制拓扑·· 401

12.1.7 站点内复制·· 403

12.1.8 不同站点间复制·· 404

12.2 日常管理复制·· 405

12.2.1 站点常用查询·· 405

12.2.2 调整复制时间·· 407

12.2.3 手动创建复制链接·· 409

12.2.4 站点链接开销·· 411

12.2.5 配置桥头服务器·· 413

12.3 复制管理任务·· 415

12.3.1 监控域控制器的复制状态·· 415

12.3.2 站点间复制出错·· 417

12.3.3 禁用/启用域控制器复制·· 419

12.3.4 站点间强制复制·· 420

12.3.5 禁止活动目录复制自动生成拓扑·· 421

第13章管理“SYSVOL”文件夹423

13.1 “SYSVOL”文件夹简介·· 423

13.1.1 “SYSVOL”文件夹的由来·· 423

13.1.2 验证SYSVOL文件夹·· 423

13.1. 3 “SYSVOL”日常管理·· 426

13. 2 “SYSVOL”管理实践·· 426

13.2.1 “NETLOGON”和“SYSVOL”共享丢失·· 427

13.2.2 移动SYSVOL文件夹·· 428

13.2.3 删除SYSVOL文件夹·· 434

13.3 迁移Sysvol文件夹复制方式为DFS-R· 440

13.3.1 复制机制·· 440

13.3.2 原域控制器·· 441

13.3.3 新域控制器·· 441

13.3.4 迁移服务·· 441