活动目录

第一章部署windows

活动目录:活动目录是一个目录也是一种中服务。它保存这windows网络中的用户账号、组、计算机、共享文件夹等信息。

活动目录的特点:

1.       集中管理

2.       便捷的访问网络资源

3.       可扩展性

域控制器(DC):安装了活动目录的那台计算机就是DC

域的结构:

1.       单域:网络中只有一个域

2.       域树:具有连续的名称的多个域

3.       域林:是由一个或多个没有形成连续名称的域树组成(一个域树也能构成一个林)

Windows 2000以上版本会自动搭建双向信任可传递。

安装域控制器的条件:

1.       安装必须有本地管理员权限(Adminnistrator

2.       操作系统必须是windows NT server以上的版本,注意:除Web版以外。(这里windows NT server 为单主复制发其他以上版本都是多主复制法)

3.       本地磁盘至少有一个分区是NTFS

4.       配置静态的IP地址和子网掩码(DNS指向自己

5.       有足够的可用空间

安装域控制器的命令:dcpromo(创建或删除都用它)

客户机加入域的条件:

  确保计算机和域相互连通

  配置正确的DNS地址

组的类型有:安全组和通讯组

  安全组:可群发邮件、赋予权限(最为常用)

  通讯组:只能发邮件

组的用户域:本地域组、全局组和通用组

组的范围:本地域组>全局组>通用组

               权限:通用组和全局组可跨域访问而本地组不可跨域

   通用和全局的区别:通用组的信息会记载在全局编录里(GC),而全局组成员会记录在没个域中。相比较而言通用组会比全局组访问的快。

OU称之为组织单位:OU是一个容器它保存这用户、组、计算机、和其他OU。注意OU不能包含来自其他的域。


第二章 域控管理

增加额外域控制器的好处:

1.       提供容错功能

2.       提供负载均衡

3.       更易于用户的连接和访问

安装额外域控制器的条件:

  安装者必须有域管理员权限(administrator

  计算机IP地址和DNS服务器配置正常(DNS服务器一般指向第一台服务器的IP地址)

  确保计算机跟第一台域控制器相连

卸载域控制器的注意事项:

  如果该域还有其它服务器的话会被降级为成员

  如果该域为域中的最后一台服务器会被降级为独立域控制器

  如果该域承担了“全局编录”的角色,卸载前看还有没有人承担“全局编录”这个角色否则会影响用户登录.

  域内所有域控制器都要联机

第三章组策略的应用

组策略作用:用来控制应用程序,系统设置和管理模板的一种机制。

组策略的好处:

1.       减少成本,因为只需设置一次,相应的用户和计算机即全部应用规定设置

2.       减少用户单独配置错误的可能性

3.       可以针对特定对象(计算机或用户)实施特定策略

Windows server 2008 默认有两个GPO称之为组策略对象,一个是默认域策略一个是默认域控制器策略。

默认域策略影响域中的所有计算机和用户而默认如控制器策略影响组织单位中的所有计算机。

组策略的创建方法:

           组策略包含计算机和用户,计算机配置对OU中的计算机起作用同理用户配置的OU对用户起作用。

组策略应用规则;

              同一条组策略如果冲突计算机策略高于用户策略。

刷新组策略的命令:gpupdate  /force

组策略应用的顺序:LSDOU    注意:范围越小权限越大

1.       首先本地组策略对象(L

2.       站点组策略对象(S

3.       然后应用域组策略对象(D

4.       如果一个计算机或用户的某个OU则应用OU上的组策略。(O)

5.       如果一个OU的子OU则应用子OU的对象.(U)

6.       如果连接了多个组策略对象则连接顺序最低组策略对象最后处理,因此它具有最高的优先级。

强制生效会覆盖组织继承设置,这是网络管理员对网路统一管理的一种方法。

分发软件应注意的事项:

  要分发的软件必须要有.MSI文件。软件分发采用windows Installer(制作.MSI的文件工具有VERITAS DiscoverAdvanced Installer

  软件分发点必须是服务器的上的共享文件夹

  客户机上安装软件时要注意的软件的权限

分发软件的方式:分配和发布

              分配:可以到计算机或用户,如果分配了一个软件则登录用户或启动计算机时会自动安装。

              发布:只能到用户,若果发布了一个软件则登入用户可选用或不选用会在控制面板显示

              分配和发布的区别:分配的权限要比发布的权限大。

第四章windows备份和灾难恢复

Windows server 2008中会自带一个windows server backup 可以进行数据的备份和恢复。

Windows Server Backup备份的注意事项:

1.       需要一个单独的专用磁盘运行计划备份(需要两块硬盘)

2.       只能备份本地磁盘的NTFS格式的卷

3.       不能备份到磁带

4.       可以使用Windows Server Backup 备份整个服务器

5.       可以恢复文件夹、磁盘、某个应用程序和系统状态

6.       无法使用Windows Server Backup 恢复Ntbackup.exe创建的备份(如要恢复只能降级)

Windows  Server Backup的新功能:

1.       更快速的备份技术

2.       简化还原

3.       简化的操作系统恢复

4.       恢复应用程序的功能

5.       改进的计划功能

6.       非现场删除备份,以便进行灾难保护

7.       远程管理

Windows Server Backup 提供两种选择来进行备份

1.       手动备份(为一次性备份)

2.       自动备份(计划备份)注意:备份目的磁盘不可以包含在备份的磁盘内。且备份方式必须要含有操作系统的卷

Windows server backup 不具有备份各个文件和文件夹的功能,只能备份某些卷或整个服务器(所有卷),但可以恢复某个文件或文件夹及应用程序。

一次性备份使用命令用windows server backup 进行备份:

1.       进行备份在命令行输入 wbadmin  /”可以查看可用参数, 

2.       在命令行输入“wbadmin  start  backup  backuptarget:要存储

(开始备份)    (要备份的项目)

的盘符:—include:要备份的盘符:

(备份存储位置)

权限:必须要有Aminnistrator组和Backup Operators组的成员才能使用Windows Server Backup       

计划备份注意事项:

  默认时间为半小时一次,如要选择10:10则需要wbadmin来完成

  如要备份到别的磁盘的某个分区则分区会被自动格式化

  完成后再windows 管理器中用于磁盘备份的磁盘将不可见,在磁盘管理器中可以看到此驱动程序,如要恢复必须取消计划备份

使用命令行进行自动备份:

1.       在命令行输入“wbadmin  get  disks”可现实磁盘表示

2.       Wbadmin  enable  backup  addtarget:{备份目标位置的标示符}

         (启用计划备份) (目标标示符)

schedule:{要备份的时间} include:{需要备份的卷}:—

 (备份时间)                要备份的项目)

allCritical

(包含系统分区)

备份设置:

1.       始终执行完整备份:所有文件都会备份,这种备份话费时间长但不影响性能。                    

2.       始终执行增量备份:只备份新增加的文件或有改动的文件,这种备份时间快但影响性能。(第一次增量备份时会先用完整备份一次然后在实施增量备份)

3.       自定义:可以针对不同情况用不同的方式(完整备份或增量备份)

使用命令行进行数据还原:

1.       输入命令“wbadmin  get  versions”显示可用的备份集版本唯一标示符。

2.       输入命令“wbadmin  start  recovery  version:{唯一标示符}

                   (开始恢复)

 itemtypefile  items{要备份的项目列表} 

  (要恢复的类型)

recoverytarget{要还原的目录}

任务计划使用触发器来编辑。

第五章活动目录的备份和灾难恢复  

系统状态数据一般包括:

  注册表

  COM+类注册数据库

  引导文件、系统文件

  证书服务数据库

  活动目录域服务

  SYSVOL目录

  Internet 信息服务(IIS)

  Windows  文件保护 (wfp)下的系统文件

Windows server 2008中对系统备份的注意事项:(需要命令wbadmin来备份)

1.         系统状态备份只能用命令行,不能再windows server backup管理控制台进行

2.       windows server backup中无法通过配置计划备份来自动备份系统状态

3.       必须是backup  OperatorsAdministrator组成员才可以使用wbadmin命令来创建系统备份

4.       系统状态只能保存在本地磁盘不能保存到DVD或远程共享位置

5.       只有系统状态和系统应用程序可以从系统状态恢复,卷和文件无法从此备份恢复

手动备份系统状态:

1.       输入命令“wbadmin  /?  ”可以查看到备份系统状态的命令

2.       输入命令“wbadmin  strat  systemstatebackup backuptarget{要备份的位置}

自动备份系统状态:使用“wbadmin命令制作脚本”保存名为“backup­_sysstate.bat           

1.       wbadmin  strat  systemstatebackup  backuptarget{要备份的位置} quiet

2.        将此脚本添加到任务计划中

活动目录还原有:非授权还原(应用在只用一台DC的时候),授权还原(应用在拥有多台DC的时候)

              非授权还原的步骤:

1.       重启计算机在开机时按F8“选择目录还原模式”

2.       以管理员身份登录(注意密码为还原域的密码)

3.       输入命令“wbadmin  get  versions”查看备份集备份版本的标示符

4.       输入命令“wbadmin  start  systemstaterecovery version:{唯一标示符}” 进行 系统状态还原

5.       完成后从新启动计算机

                     授权还原:

1.       先进行非授权还原,还原之后不要从新启动接着输入命令“ntdsutil

2.       继续输入命令“Activate  Instance  ntds”然后在此输入命令“Authoritative  restore”进行授权恢复模式

3.       继续输入命令“restore  object  cn=用户,dc=域名,dc=com

Window安全模式:启动时按F8进入高级启动项

1.       安全模式:用于解决windows 启动或使用的大部分问题(杀毒)

2.       网络安全模式:带网络的安全模式

3.       带命令提示符安全模式:直接进入命令行模式

4.       启用启动日志:启动日志对确定系统启动问题的准确原因

5.       启用低分辨率视频:使用最低分辨率(640×480)启动

6.       最后一次正确配置:指最后一次没有错误的时候

7.       目录还原模式:还原活动目录的

8.       调试模式:启动时通过串行电缆将调试信息发送到另一台计算机

第六章操作主机  

操作主机的类型:

  架构主机和域命名主机是从在于每个林中,这些角色必须是唯一的。

  PDC仿真主机、相对IDRID)主机、基础结构主机它们存在于域中,这些角色在域中是唯一的。

1.       架构主机:对整个林的结构修改,林中的对象和属性的定义,对象和属性之间的关系是由架构主机完成的。(在林中唯一)

2.       域命名主机:保证域中的域命名唯一性。(在林中唯一)

3.       PDC仿真主机:负责时间的同步、密码变化复制等待时间、对windows 2000 以前的操作系统提供支持。(域中唯一)

4.       RID主机:它创建的每个SID在域中都是唯一的,而SID包含一个域它与域中创建的所有SID都相同。(域中唯一)

5.       基础结构主机:负责更新它所在的域中的对象到其它域中对象的引用。

基础结构主机的注意事项:(域中唯一)

1) 如果基础结构主机跟全局编录在一个域内则基础结构主机失效。

2) 如果域中所有域控制器都存在全局编录则基础结构主机失效。

3) 基础结构主机还负责重命名和更改组成员时更新“组到用户”的引用。

查看所有操作主机的命令:netdom  query  fsmo

转移和占用操作主机角色:

         转移操作主机角色步骤:域控制器和目标域控制器联机的情况,可以使用转移操作主机角色。

1.       转移架构主机:

1) DC1上运行“MMC”命令添加“Active Directory 架构”“Active Directory 域和信任关系”“Active Directory 用户和计算机”

2) 右击“Active Directory 架构”选择更改Active Directory 域控制器。

3) 在目录服务中选择“DC2

4) 系统会提示只能在操作主机盒上进行修改

5) 返回控制台右击“Active Directory 架构”在弹出菜单选中操作主机

6) 在弹出来的更改操作主机里确认当前是DC1,要转换的目标是DC2点确认进行转换

2.       转移域命名主机:步骤跟架构主机一样只不过是在“Active Directory 域和信任关系”进行转移

3.       转移RIDPDC、基础结构主机:

               1 右击左侧的“Active Directory用户和计算机”

选择更改“Active Directory 域控制器”。

               2 在更改“目录服务器中”选择所有任务的操作主机。

               3 然后进行转移。

占用操作主机角色步骤:

1) 输入命令“ntdsutil”命令

2) ntdsutil下输入“roles”命令

3) Fsmo  Maintenance 命令输入“connection”命令

4) server  connection命令输入“connect  to  server DC2.benet.com”(由于第一台DC脱机,第二台需要进行需要域名解析)

5) server  connection命令输入“quit”返回上一级命令

6) Fsmo  Maintenance命令下输入“seize  加操作主机名”如果两台DC联机的话可以用“transfer  加操作主机名”进行转移。seize 属于强制性  transfer属于平常转移)

第七章AD常见故障排查  

AD常见故障排查思路:可以从域用户账户、客户端、网络和服务器等方面。

AD故障范围有四个方面:

1.       确认单一域用户账户的故障:原因可能是用户账户被禁用、密码过期、权限设置等问题

2.       确认单一客户端的故障:原因计算机和服务器之间时间不同步、网络连接有问题、DNS设置错误、网卡故障等。

3.       确认 网络方面的故障:原因是路由交换机的故障

4.       确认服务端的故障:如果域账户在任何机器都无法登陆域无外乎就是域控制器和网络的原因。

第八章多域间访问

林中的信任:信任是域林之间建立的关系,它可以是一个域(或林)中的用户由一个域(或林)中的域控制器来进行验证。

林中信任关系有两种:林中跨域访问和林间跨域访问

         林中垮与访问特点:林中所有域之间的信任关系是自动建立的,而且是双向可传递的信任关系,但不是这样就可以访问了还要设置正确的权限。

1.       自动创建

2.       双向信任

3.       可传递性

             林间信任特点:林间信任分为外部信任和林信任

1.       必须手动创建

2.       可单向或双向,单向又分内传和外传,内传指指定域信任本地域,外传指本地域信任指定域。

3.       不可传递(需手动设置)

                         林信任的要求:

1.       林功能级别不得低于windows  server  2003

2.       必须在林根域下创建

实现跨域的权限应该怎么设置:

 AGDLP的规则:A(表示账户)→G(表示全剧组)→DL(表示域本地组)→(表示权限)

 林间跨域访问也是使用AGDLP规则访问权限进行访问,步骤如下

1.       被信任的域账户加入到本地域的全局组

2.       被信任域的全局组加到信任域的本地组

3.       给信任域的本地组设置权限