6425C-Lab2 安全高效地管理AD
本次实验共包括3个实验。
实验1A,使用管理工具管理AD。
实验1B,在AD中查找一个对象。
实验1C,使用PowerShell管理AD。
(附加)实验1D:添加AD管理工具
==========
实验1A
共有3个练习:
在第1个练习,使用基本的管理工具执行管理任务。
在第2个练习,创建一个自定义的AD管理控制台。
在第3个练习,使用最低权限执行管理工具。
练习一:使用基本的管理工具执行管理任务
任务1:使用“Active Directory用户和计算机”查看和创建对象
在“管理工具”中,打开“Active Directory用户和计算机”。在控制台左侧的树型列表中,展开Contoso.com域。
为了后续的实验,我们在Contoso.com域之下新建一个组织单位(OU),名称为:User Accounts 。
接着在这个OU下面再建立两个同级的OU:Employees、Contractors 。
接下来,我们分别在这2个OU内建立以下用户帐户(或者参考下一章节的实验内容,使用CSVDE命令批量导入用户):
|
OU
|
姓(L
)
|
名(F
)
|
姓名(A
)
|
用户登录名(U
)
|
|
Employees
|
Zhang
|
San
|
张三
|
ZhangS
|
|
Employees
|
Li
|
Si
|
李四
|
LiS
|
|
Contractors
|
Wang
|
Wu
|
王五
|
WangW
|
|
Contractors
|
Zhao
|
Liu
|
赵六
|
ZhaoL
|
展开Employees这个OU,在右侧的详细列表区右键单击“张三”,然后点“属性”。在“常规”选项卡,“办公室(C)”一栏输入:Beijing 。再转到“组织”选项卡,在“部门(D)”一栏输入:Marketing 。然后点“确定”,关闭属性对话窗口。
点击主菜单的“查看”,然后选择“高级功能”。再转到刚才的操作,查看用户“张三”的属性,这时可以看到多了几个选项卡。
任务2:使用“Active Directory管理中心”执行任务
说明:“Active Directory管理中心”是Windows Server 2008 R2的新增功能。
在“管理工具”中点击“Active Directory管理中心”。
在左侧的导航窗格,点“Contoso(本地)”,然后依次双击“User Accounts ”OU、“Contractors”OU。
在中部的详细列表区域,选择用户“王五”,然后在右侧的任务面板中选择“移动”,弹出“移动”对话窗口。
在“移动”对话窗口,在窗格中找到“Employees”OU,然后点“确定”。这样,就将用户从一个OU移动到另一个OU了。
再回到“Active Directory管理中心”,在中部的详细列表中点一下用户“赵六”,右键选择“禁用”。这样就禁用了该用户。
在左侧的导航窗格,展开到“Employees”OU,在详细列表窗格,右键点“李四”并选择“属性”。在“组织”区域,在“部门”一栏中输入“Marketing”,然后点“确认”关闭“属性”窗口。
说明:“Active Directory管理中心”是Windows Server 2008 R2的新增功能。
任务总结:
通过本次练习,你已经具备了使用“Active Directory用户和计算机”和“Active Directory管理中心”管理的基本经验。
练习2:建立自定义的Active Directory管理控制台
任务1:建立一个含有“Active Directory用户和计算机”管理单元的自定义的MMC控制台
在命令行输入“mmc.exe”,一个空的MMC控制台出现了。这个控制台窗口默认不是最大化的,请最大化这个控制台窗口。
点“文件”菜单,然后点“添加/删除管理单元(M)”,出现“添加或删除管理单元”对话窗体。
在“可用的管理单元”列表中,点“Active Directory 用户和计算机”,然后点“添加”。最后,点“确定”关闭“添加或删除管理单元”对话窗体。
点“文件”菜单,然后点“保存”。在“保存为”对话框中浏览C盘。再点工具栏上的“创建新文件夹”按钮并创建一个名为“AdminTools ”的新文件夹。打开“AdminTools ”文件夹,在“文件名”输入框中,输入“我的控制台”,最后点“保存”按钮。
任务2:为控制台添加其他AD管理单元。
点“文件”菜单,然后点“添加/删除管理单元(M)”,出现“添加或删除管理单元”对话窗体。
在“可用的管理单元”列表中,点“Active Directory 站点和服务”,然后点“添加”。再点“Active Directory 域和信任关系”,然后点“添加”。最后,点“确定”关闭“添加或删除管理单元”对话窗体。
在控制台的左侧树型列表中,右键点“控制台根节点”再点“重命名”,改名为“AD管理工具”。最后点“文件”菜单点“保存”。
任务3:添加“Active Directory架构”到自定义的MMC控制台
点“文件”菜单,然后点“添加/删除管理单元(M)”,出现“添加或删除管理单元”对话窗体。
在“可用的管理单元”列表中,注意到没有“Active Directory 架构”管理单元。
说明:“Active Directory 架构”管理单元是跟AD DS角色和远程服务器管理工具(Remote Server Administration Tools ,RSAT)一起安装的,但是没有注册,所以没有显示出来。
点“确定”关闭“添加或删除管理单元”对话窗体。
在命令行运行“regsvr32.exe schmmgmt.dll”,这行命令将注册“Active Directory 架构”管理单元的动态链接库(dynamic link library ,DLL)。这只是在第一次将它添加到管理单元时需要注册。一个提示窗口将会出现,显示注册成功了。
点“确定”关闭这个提示窗口。
回到你的自定义MMC控制台,点“文件”菜单,然后点“添加/删除管理单元(M)”,出现“添加或删除管理单元”对话窗体。在“可用的管理单元”列表中,点“Active Directory 架构”管理单元,再点添加,最后点“确定”关闭“添加或删除管理单元”对话窗体。这时候,显示的结果如下图:
点“文件”菜单,再点“保存”。
任务总结:
通过本次实验,你创建的一个自定义的MMC控制台,其中包含了4个管理单元。
实验3:使用最低权限“以管理员身份运行”管理任务
在默认情况下,普通用户不允许登入DC(除非修改组策略)。本实验要求在其它计算机实现。
任务1:以普通用户登录计算机
以普通用户“ZhangS”的帐户登入计算机。应注意,用户“ZhangS”只是一个普通用户,他不具有管理员权限。
任务2:以管理员身份运行服务器管理器
在“快速启动”任务栏点“服务器管理器”的图标。这时将出现提示,要求“必须以管理员身份运行服务器管理器”。如果这个提示没有出现,请检查你是否用了管理员的帐户登入了。
任务3:检查正在运行的进程的凭据
右键单击任务栏,点“启动任务管理器”。
点“进程”页签,并点下方的“显示所有用户的进程”。
任务管理器可以在没有管理员凭据的时候运行,但是它只显示当前用户帐户正在运行的进程。所以,“用户帐户控制”对话框会要求你输入管理员的帐户和密码。
输入管理员的凭据,然后点“是”。这样,任务管理器将关闭并以新的凭据重新打开。
任务4:以管理员身份运行“命令提示符”
点“开始”,点“所有程序”,点“附件”,右键点“命令提示符”,然后点“以管理员身份运行”。在弹出的“用户帐户控制”对话框中输入管理员的帐户和密码,最后,显示“管理员:命令提示符”的窗口。
另一种方法:点“开始”,在“搜索程序和文件”框中输入“cmd.exe”,然后按“Ctrl+Shift+Enter”。这样也可以以管理员的身份运行。
任务5:以管理员身份运行管理工具
在“管理工具”中,右键点“Active Directory管理中心”点“以管理员身份运行”
任务6:以管理员身份运行自定义的管理控制台
按照前面的练习,在这台计算机上定制管理控制台(或者复制HQDC1的“C:\AdminTools”文件夹)。打开“C:\AdminTools”文件夹,右键点“我的控制台”,然后点“以管理员身份运行”。
注意:如果这台服务器不是域控制器,则不能注册和使用“Active Directory架构”。
任务总结:
通过这次练习,你将学会拥有单一的或自定义的管理控制台,你将容易地合你的工作更安全。你可以使用普通用户(不是管理员)凭据登入你的计算机,然后以管理员的凭据运行管理工具。
==========
实验1B
共有2个练习:
在第1个练习,在AD中查找对象。
在第2个练习,使用保存的查询。
练习一:在AD中查找对象
任务准备:
我们在“Employees”OU新建一个用户:
|
姓
|
名
|
姓名
|
用户登录名
|
|
Zhang
|
Jiu
|
张九
|
ZhangJ
|
然后在“Contoso.com”域新建一个OU:Groups
在“Group”OU新建一个OU:Role
在“Role”OU新建一个组:Special Project
任务1:探索查找对话框的反映
以管理员的凭据运行你的自定义控制台:“C:\AdminTools\我的控制台.msc”。
在树型列表中,展开“Active Directory用户和计算机”管理单元找到“Employees”OU。
在右侧的详细列表中用右键点“张三”选“属性”,这样就打开了属性编辑窗口。
在“张三 属性”窗口点“隶属于”选项卡,然后点“添加”,在“选择组”对话框中输入“Special Project”。
然后点“确定”,回到“张三 属性”窗口。
点“确定”,关闭属性编辑窗口。这样就把该用户添加到“Special Project”组了。
找到“Role”OU,编辑“Special Project”组的属性。弹出“Special Project 属性”窗口,点“成员”选项卡。
点“添加”,弹出“选择用户、联系人、计算机、服务帐户或组”对话框。
输入“li;wang”,然后点“检查名称”按钮。系统会解析这些名称,并且将已经解析得到的名称用带下划线的方式标识出来。
点“确定”,回到属性编辑窗口。在“成员”选项卡上继续点“添加”。弹出“选择用户、联系人、计算机、服务帐户或组”对话框。
输入“xie”。再点“检查名称”。由于找不到匹配的名称,所以会弹出一个“找不到名称”对话框。
点“取消”回到“选择用户、联系人、计算机、服务帐户或组”对话框。输入“zhang”,点“检查名称”。由于这时出现了多个匹配的名称,所以会弹出“发现多个名称”对话框。
选择“张九” ,点“确定”,回到“选择用户、联系人、计算机、服务帐户或组”对话框,点“确定”。
回到属性编辑窗口,点“确定”。这样就把多个用户帐户添加到“Special Project”组了。
任务2:在“Active Directory 用户和计算机”管理单元中控制对象的视图
在左侧的树型列表中,找到“Employees”OU,点“查看”菜单,选“添加/删除列”。
在“可用列”列表中选择“姓”,点“添加”,再点“上移”按钮将它移到最上层。然后选择“名”,点“添加”,再点“上移”按钮将它移到“姓”的后面。最后,点“确定”。
在树型列表中,点“Employees”OU,在详细信息区域点“姓”的列标题,按“姓”排序显示。
任务3:使用查找按钮
在左侧的树型列表中,点“Employees”OU,然后点上方工具栏的“在Active Directory域服务中查找对象”按钮。
弹出“查找 联系人、用户及组”对话框。
任务4:使用“查找”菜单确定对象的位置
点“操作”菜单,选“查找”。
在“范围”下拉列表中,点“整个目录”。在“名称”输入框中输入“zhao”,然后点“开始查找”。查找的结果将显示在下方的“搜索结果”列表中,如果需要查看某一个搜索结果的详细信息,可直接双击查看。
任务总结:
通过本次练习,你将学会在AD中查询的几种界面。
练习2:使用“保存的查询”
任务1:创建一个保存的查询,显示所有域的用户帐户
在树型列表中,右键点“保存的查询”,选“新建”再选“查询”,弹出“新查询”对话框。
在“名称”框中输入“所有的用户对象”。
然后点“定义查询”按钮,弹出“查找 一般性查询”对话框,在“用户”页签的“名称”下拉列表中,选择“有一个值”,然后点“确定”。
回到“新查询”对话框,点“确定”。
任务2:建立一个“保存的查询”,显示所有包含“密码永不过期”的用户帐户
在“保存的查询”中再新建一个新的查询。
在“新查询”对话框中,在“名称”框中输入“不过期密码”。然后点“定义查询”,然后在弹出的对话框中勾选“不过期密码”。点“确定”,再点“确定”完成。
任务3:传输一个查询到另一台计算机
展开“保存的查询”,右键点“不过期密码”查询,选择“导出查询定义”。
将其“另存为”“C:\AdminTools\密码不过期.xml”。
展开“保存的查询”,右键点“密码不过期”查询,选择“删除”,并点“是”确认。
右键点“保存的查询”,然后点“导入查询定义”,导入“C:\AdminTools\密码不过期.xml”。
任务总结:
通过本次练习,你创建了2个“保存的查询”。第一个查询,你创建了一个虚拟的视图,显示你所选的OU的所有的用户对象。第2个查询,你可以监视你的环境的健康情况。
==========
实验1C
共有1个练习
练习1:使用PowerShell命令管理AD
任务1:在AD模块中显示所有的命令
打开“管理工具”,找到“用于 Windows PowerShell 的 Active Directory 模块”,在出现的PowerShell窗口运行以下命令:
Get-Command -Module ActiveDirectory
任务2:通过服务器端过滤,找到匹配部门和办公室的所有用户
在PowerShell窗口输入以下命令:
Get-Help Get-ADUser -Full
在PowerShell窗口输入以下命令:
Get-ADUser
这时会提示你为过滤参数输入一个值,请输入:
!?
在回顾了有关过滤参数的帮助文档之后,请输入以下命令:
department -eq "Marketing"
在PowerShell窗口,输入以下命令:
Get-ADUser -Filter 'department -eq "Marketing"'
在PowerShell窗口,输入以下命令:
Get-ADUser -Filter '(department -eq "Marketing") -and (office -eq "Beijing")'
任务3:重置用户的密码和地址信息
在PowerShell窗口,输入以下命令:
Get-ADUser -Filter 'office -eq"Beijing"'
在PowerShell 输入以下命令:
Get-Help Read-Host -Full
Get-Help Set-ADAccountPassword -Full
在PowerShell输入以下命令
Get-ADUser -Filter 'office -eq"Beijing"' | Set-ADAccountPassword -Reset -NewPassword(Read-Host -AsSecureString 'New password')
出现提示时,输入密码。
在PowerShell 窗口,输入以下命令:Get-Help Get-ADUser -Parameter Properties
在PowerShell 输入以下命令:
Get-ADUser -Filter 'office -eq"Beijing"' -Properties Office,StreetAddress,City,State,Country,PostalCode | Format-Table SamAccountName,Office,StreetAddress,City,State,Country,PostalCode
在PowerShell 窗口,输入以下命令:Get-Help Set-ADUser -Full
在PowerShell 窗口,输入以下命令:
Get-ADUser -Filter 'office -eq"Beijing"' -Properties Office,StreetAddress,City,State,Country,PostalCode | Set-ADUser -Office ‘Main’ -StreetAddress 'Chang an Street.' -City ‘Dongcheng’ -State ‘Dongcheng’ -Country ‘CN’ -PostalCode '100000'
任务4:禁用某一组中的用户
说明:由于有关组的操作将在Lab4A的实验中,因此建议将本任务安排在完成Lab4A实验之后再进行。
在PowerShell 窗口,输入以下命令:
Get-Help Get-ADGroup -Full
在PowerShell 窗口,输入以下命令:
Get-ADGroup -Filter *
在PowerShell 窗口,输入以下命令:
Get-ADGroup -Identity Sales
在PowerShell 窗口,输入以下命令:Get-Help Get-ADGroupMember -Full
在PowerShell 窗口,输入以下命令:
Get-ADGroup -Identity Sales| Get-ADGroupMember
注意:如果Sales组不存在,会有出错信息。
在PowerShell 窗口,输入以下命令:Get-Help Disable-ADAccount -Full
在PowerShell 窗口,输入以下命令:
Get-ADGroup -Identity Sales| Get-ADGroupMember | Disable-ADAccount -WhatIf
在PowerShell 窗口,输入以下命令:
Get-ADGroup -Identity Sales| Get-ADGroupMember | Disable-ADAccount
任务5:发现OU,没有“防止容器被意外删除”保护
在PowerShell 窗口,输入以下命令:
Get-Help Get-ADOrganizationalUnit -Full
在PowerShell 窗口,输入以下命令:
Get-ADOrganizationalUnit -Filter * -Properties ProtectedFromAccidentalDeletion
在PowerShell 窗口,输入以下命令:
Get-ADOrganizationalUnit -Filter * -Properties ProtectedFromAccidentalDeletion | Where-Object {-not $_.ProtectedFromAccidentalDeletion}
任务6:创建报表,显示所有的Windows Server 2008 R2 服务器
在PowerShell 窗口,输入以下命令:
Get-ADComputer -Filter 'OperatingSystem -like "Windows Server 2008 R2*"' -Properties OperatingSystem,OperatingSystemHotfix,OperatingSystemServicePack,OperatingSystemVersion
在PowerShell 窗口,输入以下命令:
Get-Help ConvertTo-Html -Full
Get-Help Out-File -Full
在PowerShell 窗口,输入以下命令:
Get-ADComputer -Filter 'OperatingSystem -like "Windows Server 2008 R2*"' -Properties
OperatingSystem,OperatingSystemHotfix,OperatingSystemServicePack,OperatingSystemVersion
| ConvertTo-Html -Property Name,SID,OperatingSystem* -Fragment
在PowerShell 窗口,输入以下命令:
Get-ADComputer -Filter 'OperatingSystem -like "Windows Server 2008 R2*"' -Properties
OperatingSystem,OperatingSystemHotfix,OperatingSystemServicePack,OperatingSystemVersion
| ConvertTo-Html -Property Name,SID,OperatingSystem* | Out-File C:\OSList.htm
在PowerShell 窗口,输入以下命令:
C:\OSlist.htm
任务总结:
在这次练习中,你成功地通过Windows PowerShell执行了管理任务。
==========
(附加)实验1D
共2个练习
练习1,在成员服务器上安装AD管理工具。
练习2,在客户端安装AD管理工具。
练习1:在成员服务器上安装AD管理工具
当一个Windows Server 2008或Windows Server 2008 R2计算机通过dcpromo提升为DC之后,这台计算机就自动添加了AD管理工具。
如果这台服务器是一台成员服务器(即:安装了Windows Server 2008操作系统,加入了域,但不是域控制器),就需要安装Active Directory模块及Windows PowerShell等。
安装方法为:打开“服务器管理器”,右键单击“功能”,选“添加功能”。
在“选择功能”页面,依次展开“远程服务器管理工具”、“角色管理工具”、“AD DS和AD LDS工具”、“AD DS工具”,勾选“Windows PowerShell的Active Directory 模块”等。
练习2:在客户端安装AD管理工具
任务1:下载并安装RSAT
对于Windows 7客户端计算机,首先需要下载一个RSAT(远程服务器管理工具):http://www.microsoft.com/zh-cn/download/details.aspx?id=7887
下载之后,安装这个工具。
任务2:开启RSAT功能
安装了RSAT之后,还不能立即使用它。
依次单击“开始”、“控制面板”和“程序”。在“程序和功能”区域,单击“打开或关闭 Windows 功能”。
如果“用户帐户控制”提示您可以打开“Windows 功能”对话框,则单击“继续”。在“Windows 功能”对话框中,展开“远程服务器管理工具”。选择要安装的远程管理工具。单击“确定”。
任务3:显示“管理工具”
如果“开始”菜单上没有显示“管理工具”快捷方式,就还需要以下操作。
右键单击“开始”,然后单击“属性”。在“‘开始’菜单”选项卡上,单击“自定义”。
在“自定义‘开始’菜单”对话框中,向下滚动至“系统管理工具”,然后选择“在‘所有程序’菜单和‘开始’菜单上显示”。单击“确定”。由 Windows 7 SP1 远程服务器管理工具安装的管理单元的快捷方式,现已添加到“开始”菜单中的“管理工具”列表中。
