管理员操作手册-AD域控及组策略管理51CTO下载9498.docx

操作手册 四川省烟草草专卖局（公公司）效能协同平平台管理员操作作手册AD域控及及组策略管管理版本号 11.0日期:20011年66月山东浪潮齐齐鲁软件产产业股份有有限公司文档修订记记录版本日期更改人描述0.12011-6-9孙正敏新建文档0.22011-6-177李浩完善文档1.02011-6-211孙正敏完善文档目录一、Acctivee Dirrectoory(AAD)活动动目录简介介41、工作组组与域的区区别42、公司采采用域管理理的好处43、Acttive Direectorry(ADD)活动目目录的功能能6二、ADD域控（DCC）基本操操作61、登陆AAD域控62、新建组组织单位（OU）83、新建用用户104、调整用用户115、调整计计算机14三、ADD域控常用用命令151、创建组组织单位：(dsaadd)152、创建域域用户帐户户(dsaadd)153、创建计计算机帐户户(dsaadd)154、创建联联系人(ddsaddd)165、修改活活动目录对对象（dsmood）166、其他命命令（dssquerry、dsmoove、dsrmm）17四、组策策略管理191、打开组组策略管理理器192、受信任任的根证书书办法机构构组策略设设置203、IE安安全及隐私私组策略设设置254、注册表表项推送30五、设置置DNS转发发33 一、 Activve Direcctoryy(AD)活动目录录简介1、工作组组与域的区区别域管理与工工作组管理理的主要区区别在于：1）、工作作组网实现现的是分散散的管理模模式，每一一台计算机机都是独自自自主的，用用户账户和和权限信息息保存在本本机中，同同时借助工工作组来共共享信息，共共享信息的的权限设置置由每台计计算机控制制。在网上上邻居中能能够看到的的工作组机机的列表叫叫浏览列表表是通过广广播查询浏浏览主控服服务器，由由浏览主控控服务器提提供的。而而域网实现现的是主/从管理模模式，通过过一台域控控制器来集集中管理域域内用户帐帐号和权限限，帐号信息保保存在域控控制器内，共共享信息分分散在每台台计算机中中，但是访访问权限由由控制器统统一管理。这这就是两者者最大的不不同。2）、在“域域”模式下下，资源的的访问有较较严格的管管理,至少有一一台服务器器负责每一一台联入网网络的电脑脑和用户的的验证工作作，相当于于一个单位位的门卫一一样，称为为“域控制制器（Doomainn Conntrolller，简简写为DCC）”。3）、域控控制器中包包含了由这这个域的账账户、密码码、属于这这个域的计计算机等信信息构成的的数据库。当当电脑联入入网络时，域域控制器首首先要鉴别别这台电脑脑是否是属属于这个域域的，用户户使用的登登录账号是是否存在、密密码是否正正确。如果果以上信息息有一样不不正确，那那么域控制制器就会拒拒绝这个用用户从这台台电脑登录录。不能登登录，用户户就不能访访问服务器器上有权限限保护的资资源，他只只能以对等等网用户的的方式访问问Winddows共共享出来的的资源，这这样就在一一定程度上上保护了网网络上的资资源。而工工作组只是是进行本地地电脑的信信息与安全全的认证。2、公司采采用域管理理的好处1）、方便便管理,权限管理理比较集中中，管理人人员可以较较好的管理理计算机资资源。2）、安全全性高，有有利于企业业的一些保保密资料的的管理，比比如一个文文件只能让让某一个人人看,或者指定定人员可以以看,但不可以以删/改/移等。3）、方便便对用户操操作进行权权限设置，可可以分发，指指派软件等等,实现网络络内的软件件一起安装装。4）、很多多服务必须须建立在域域环境中，对对管理员来来说有好处处:统一管理理,方便在MSS 软件方方面集成,如ISA EXCHHANGEE(邮件服服务器)、ISA SERVVER(上上网的各种种设置与管管理)等。5）、使用用漫游账户户和文件夹夹重定向技技术，个人人账户的工工作文件及及数据等可可以存储在在服务器上上，统一进进行备份、管管理，用户户的数据更更加安全、有有保障。6）、方便便用户使用用各种资源源。7）、SMMS（Systtem MManaggemennt Seerverr）能够分分发应用程程序、系统统补丁等，用用户可以选选择安装，也也可以由系系统管理员员指派自动动安装。并并能集中管管理系统补补丁（如WWindoows UUpdattes），不不需每台客客户端服务务器都下载载同样的补补丁，从而而节省大量量网络带宽宽。8）、资源源共享用户和管理理员可以不不知道他们们所需要的的对象的确确切名称，但但是他们可可能知道这这个对象的的一个或多多个属性，他他们可以通通过查找对对象的部分分属性在域域中得到一一个所有已已知属性相相匹配的对对象列表，通通过域使得得基于一个个或者多个个对象属性性来查找一一个对象变变得可能。9）、管理理域控制器集集中管理用用户对网络络的访问，如如登录、验验证、访问问目录和共共享资源。为为了简化管管理，所有有域中的域域控制器都都是平等的的，你可以以在任何域域控制器上上进行修改改，这种更更新可以复复制到域中中所有的其其他域控制制器上。域的实施通通过提供对对网络上所所有对象的的单点管理理进一步简简化了管理理。因为域域控制器提提供了对网网络上所有有资源的单单点登录，管管理远可以以登录到一一台计算机机来管理网网络中任何何计算机上上的管理对对象。在NNT网络中中，当用户户一次登陆陆一个域服服务器后，就就可以访问问该域中已已经开放的的全部资源源，而无需需对同一域域进行多次次登陆。但但在需要共共享不同域域中的服务务时，对每每个域都必必须要登陆陆一次，否否则无法访访问未登陆陆域服务器器中的资源源或无法获获得未登陆陆域的服务务。10）、可可扩展性 在活动目录录中，目录录通过将目目录组织成成几个部分分存储信息息从而允许许存储大量量的对象。因因此，目录录可以随着着组织的增增长而一同同扩展，允允许用户从从一个具有有几百个对对象的小的的安装环境境发展成拥拥有几百万万对象的大大型安装环环境。11）、安安全性 域为用户提提供了单一一的登录过过程来访问问网络资源源，如所有有他们具有有权限的文文件、打印印机和应用用程序资源源。也就是是说，用户户可以登录录到一台计计算机来使使用网络上上另外一台台计算机上上的资源，只只要用户具具有对资源源的合适权权限。域通通过对用户户权限合适适的划分，确确定了只有有对特定资资源有合法法权限的用用户才能使使用该资源源，从而保保障了资源源使用的合合法性和安安全性。 12）、可可冗余性每个域控制制器保存和和维护目录录的一个副副本。在域域中，你创创建的每一一个用户帐帐号都会对对应目录的的一个记录录。当用户户登录到域域中的计算算机时，域域控制器将将按照目录录检查用户户名、口令令、登录限限制以验证证用户。当当存在多个个域控制器器时，他们们会定期的的相互复制制目录信息息，域控制制器间的数数据复制，促促使用户信信息发生改改变时（比比如用户修修改了口令令），可以以迅速的复复制到其他他的域控制制器上，这这样当一台台域控制器器出现故障障时，用户户仍然可以以通过其他他的域控制制进行登录录，保障了了网络的顺顺利运行。3、Acttive Direcctoryy(AD)活动目录的功功能活动目录(Actiive DDirecctoryy)主要提提供以下功功能：1）、基础础网络服务务：包括DDNS、WINSS、DHCPP、证书服服务等。2）、服务务器及客户户端计算机机管理：管管理服务器器及客户端端计算机账账户，所有有服务器及及客户端计计算机加入入域管理并并实施组策略略。3）、用户户服务：管管理用户域域账户、用用户信息、企企业通讯录录（与电子子邮件系统统集成）、用用户组管理理、用户身身份认证、用用户授权管管理等，按按地市实施施组管理策策略。4）、资源源管理：管管理打印机机、文件共共享服务等等网络资源源。5）、桌面面配置：系系统管理员员可以集中中的配置各各种桌面配配置策略，如如：界面功功能的限制制、应用程程序执行特特征限制、网网络连接限限制、安全全配置限制制等。6）、应用用系统支撑撑：支持财财务、人事事、电子邮邮件、企业业信息门户户、办公自自动化、补补丁管理、防防病毒系统统等各种应应用系统。二、 AD域控（DC）基本操作作1、登陆AAD域控登陆到本地地市的域控服务务器，依次次点击“开开始-管理工具具-Acttive Direectorry 用户户和计算机机”，如下下图：图2-1进入如下管管理界面：图2-2以乐山市公公司为例：在乐山的只只读域控服服务器上可可以看到个个省公司下下各地市的的节点：但是只能对对自己公司司的节点进进行维护：图2-32、新建组组织单位（OU）OU(Orrganiizatiionall Uniit，组织织单位)是可以将将用户、组组、计算机机和其它组组织单位放放入其中的的AD容器，是是可以指派派组策略设设置或委派派管理权限限的最小作作用域或单单元。通俗俗一点说，如如果把ADD比作一个个公司的话话，那么每每个OU就是一一个相对独独立的部门门。 图1-3 中以图标开头的的均表示组组织单位，若需要添加加组织单位位时，在需需要添加的的组织单位位的上级节节点依次点点击点击 “右键-新建-组织单位位”，如下下图：图2-4填写组织单单位名称-点击 确定图2-4既可在选中中的组织单单位节点下下新增组织织单位。注：删除组组织单位时时，要在查查看中勾选选 高级功能能图2-5然后选中的的组织单位位 属性-对象中将将“防止对对象被意外外删除”前前的勾去掉掉，才能删删除。图2-63、新建用用户图2-1 右侧窗口口中以图标标开头的就就是用户。与新建组织织单位相似似。对自己有有权操作维维护的组织织单位点击击 “右键-新建-用户”，填写用用户基本信信息，点击击 下一步。图2-7填写初始密密码，点击击 下一步图2-8点击 完成成图2-9既可在选中中的组织单单位节点下下新增用户户图2-1004、调整用用户右键点击用用户-属性图2-111进入用户信信息修改：图2-122其中 常规规 中电话号号码必填图2-133电话选项卡卡中 移动电话话必填图2-144单位 选项项卡中 所有信息息必填图2-155注：直接下下属 不需要维维护这几个选项项卡是常用用，并且需需要注意的的。5、调整计计算机当用户利用用自己的帐帐号加入域域后，在AAD管理工工具中就能能看到登入入域的计算算机右键点点击计算机机可对其进进行管理图2-166三、 AD域控常常用命令AD域控管管理命令可可以用命令令行的方式式，依次点点击“开始始-运行-cmd”，打打开命令行行工具。AAD域控常常用命令有有很多，下下面列举一一些比较常常见的例子子：1、创建组组织单位：(dsaddd)命令格式：dsaddd ou <OOUDN>> -ddesc 描述 -s 服务器|-d 域 -u 用用户名 -p 密码|* -q -ucc|-uocc|-ucii注意：OUU名称应为为要创建的的OU的LDAPP绝对路径径（DN，Disttinguuisheed NName），如如果DN中包含含空格，应应该在路径径两端使用用双引号。例如要在yyjx.ccom域中中建立一个个名为fiinancce的OU，可以以执行以下下命令：C:>ddsaddd ou ou=finaance,dc=yjx,dc=ccom -descc "财务部部"2、创建域域用户帐户户(dsaddd)命令格式：dsaddd usser <<UserrDN> -saamid <SAMMNamee> -pwd <Passsworrd>|* upn UUPN例如要在yyjx.ccom域中中建立一个个名为miike的用用户帐户，该用用户将位于于salees OUU中，其显显示名称为为“mikke yaang”，则则可以执行行以下命令令：C:>ddsaddd useer cnn=mikee,ou=salees,dcc=yjx,dc=ccom -samiid miike -pwd bbenett3.0 -dissplayy “miike yyang”3、创建计计算机帐户户(dsaddd)命令格式：dsaddd coomputter <<CompputerrDN>要在m域中的saales OU中建建立一个名名为cliient-2的计算算机帐户，可以以执行以下下命令：C:>ddsaddd commputeer cnn=cliient-2,ouu=salees,dcc=yjx,dc=ccom要在m域中的saales OU中建建立一个名名为cliient-3的计算算机帐户，并设设置计算机机账户的描描述信息为为“测试工工作站”，可可以执行以以下命令：C:>ddsaddd commputeer cnn=cliient-3,ouu=salles,ddc=yjx,dc=ccom -descc 测试工作作站4、创建联联系人(dsaddd)命令格式：dsaddd coontacct <CContaactDNN> -fn <FirrstNaame> -mmi <IInitiial> -lln <LasstNamme> -diisplaay <DDispllayNaame> -ddesc <Desscripptionn>要在m域中的saales OU中建建立一个名名为杨建新新的联系人人，执行以以下命令：C:>ddsaddd conntactt cn=杨建新,ou=salees,dcc=yjx,dc=ccom -fn jiannxin -ln yaang -dispplay 杨建新 5、修改活活动目录对对象（dsmood）用于修改AAD对象的的属性，可可以对OUU、用户、组组、联系人人等对象进行行修改。C:>ddsmodd useer /?描述: 修改目录录中现有的的用户。语法: ddsmodd useer <UUserDDN .> -upnn <UPPN> -fnn <FirrstNaame> -mmi <IInitiial> -lln <LasstNamme> -diisplaay <DDispllayNaame> -ffnp <<firsst naame pphoneetic>> -lnp <<lastt namme phhonettic> -ddispllayp <dissplayy namme phhonettic> -eempidd <EmpployeeeID>> -pwd <Passsworrd> | * -ddesc <Desscripptionn> -offfice <Offfice>> -tel <<Phonne#> -eemaill <Emmail>> -homeetel <HommePhoone#>> -pageer <PPagerr#> -mmobille <CCellPPhonee#> -faax <FFax#>> -ipteel <IPPPhonee#> -wwebpgg <WebbPagee> -tittle <<Titlle> -deept <<Depaartmeent> -ccompaany <<Comppany>> -mgr <<Manaager>> -hmdiir <HommeDirr> -hmddrv <<DrivveLtrr>: -proofilee <PrrofillePatth> -lloscrr <ScrriptPPath>> -musttchpwwd yyes | no -ccanchhpwd yess | nno -reeverssibleepwd yess | nno -ppwdneevereexpirres yes | noo -aaccteexpirres <<NumDDays>> -disaabledd yees | no -s <SServeer> | -d <Dommain>> -u <<UserrNamee> -pp <PPasswword>> | * -c -q -uc | -ucoo | -uci几个具体用用法如下：重置用户帐帐户的密码码dsmodd useer UsserDNN -pwdd 新密码 -musstchppwd yes | noo 下下次登录时时修改此密密码启用或禁用用账户dsmodd useer UsserDNN 可分辨名名称 -ddisabbled yess|no yess 禁用 noo 启用修改计算机机帐户属性的的格式为：dsmodd commputeer CoomputterDNN .-deesc DDescrriptiion -looc Loocatiion -diisablled yes | noo -resset -ss Serrver | -dd Dommain -u UsserNaame -p Passsworrd | * -c -qq -uc | -ucoo | -uci重设计算机机帐户dsmodd commputeer CoomputterDNN -reeset启用或禁用用计算机帐帐户dsmodd commputeer CoomputterDNN 可分辨名名称 -ddisabbled yess|no yess 禁止登登录 noo 允许登登录将计算机帐帐户添加到到组中dsmodd grooup GGrouppDN -addmmbr CompputerrDN要创建一个个salees全局组组，并将用用户mikke加入到到该组中，可可以执行以以下命令：C:>ddsaddd grooup ccn=salees,ouu=salees,dcc=yjx,dc=ccom -descc 销售部dsaddd 成功:cn=salees,ouu=salees,dcc=yjx,dc=ccomC:>ddsmodd grooup ccn=salees,ouu=salees,dcc=yjx,dc=ccom -addmmbr cn=mikee,ou=salees,dcc=yjx,dc=ccomdsmodd 成功:cn=salees,ouu=salees,dcc=yjx,dc=ccom6、其他命命令（dssquerry、dsmoove、dsrmm）其他的活动动目录操作作命令还包包括dsqqueryy、dsmoove、dsrmm等，分别别用于活动动目录对象象的查询、移移动和删除除。要查找saales OU中的的所有用户户，可以执执行以下命命令：C:>ddsqueery uuser ou=salees,dcc=yjx,dc=ccom -namee *"CN=mmike,OU=salees,DCC=yjx,DC=ccom""CN=uuser11,OU=salees,DCC=yjx,DC=ccom""CN=uuser22,OU=salees,DCC=yjx,DC=ccom"要查找saales OU中已已经3个星期不不活动的用用户，可以以执行以下下命令：C:>ddsqueery uuser ou=salees,dcc=yjx,dc=ccom -inacctivee 3要将mikke用户移移动到fiinancce OUU中，可以以执行以下下命令：C:>ddsmovve cnn=mikee,ou=salees,dcc=yjx,dc=ccom -newpparennt ou=finaance,dc=yjx,dc=ccomdsmovve 成功:cn=mikee,ou=salees,dcc=yjx,dc=ccom要删除saales OU中的的用户usser1，可可以执行以以下命令：C:>ddsrm cn=usser1,ou=salees,dcc=yjx,dc=ccom您确认要删删除 cn=usser1,ou=ssaless,dc=yjx,dc=ccom 吗吗(Y/NN)? yydsrm 成功:cn=userr1,ouu=salles,ddc=yjx,dc=ccom四、 组策略管理理1、打开组组策略管理理器依次点击“开始-管理工具-点击进入 组策略管理”，进入组策略管理器。如下图： 图4- 11 图4- 222、受信任任的根证书书办法机构构组策略设设置1、 启动组策略略管理：开开始-管理工具具-组策略管管理 图4-32、 选择拥有管管理权限并并需进行组组策略设置置的ou，右键键选择创建建组策略对对象 图4-43、 输入新建的的GPO的名名称 图4-554、 选择新建的的GPO，右右键编辑图4-65、 在组策略管管理编辑器器中 选择 计算机机配置-策略-wiindowws设置-安全设置置-公钥策略-受信任的的根证书颁颁发机构 右键选择择导入图4-76、 选择需要导导入的证书书（可以利利用证书管管理进行导导出）图4-77、 选择受信任任的根证书书颁发机构构图4-88、 点击完成，完完成组策略略设置图4-93、IE安安全及隐私私组策略设设置1、 启动组策略略管理：开开始-管理工具具-组策略管管理图4-1002、 选择拥有管管理权限并并需进行组组策略设置置的ou，右键键选择创建建组策略对对象 图4-1113、 输入新建的的GPO的名名称 图4-1124、 选择新建的的GPO，右右键编辑图4-1335、 在组策略管管理编辑器器中选择：用户配置置-策略-wiindowws设置-Innternnet EExploorer维维护-安全，在在右侧窗口口中选择：安全区域域和内容分分级 右键选择择属性图4-1446、 选择导入当当前安全区区域和隐私私设置图4-1557、 在弹出的IIE增强的的安全配置置中选择继继续图4-1668、 在安全和隐隐私设置选选项卡中单单击修改设设置，在弹弹出的Innternnet属性性窗体中设设置相应的的IE安全设设置，点击击确定，完完成组策略略设置图4-1774、注册表表项推送1、 启动组策略略管理：开开始-管理工具具-组策略管管理图4-1882、 选择拥有管管理权限并并需进行组组策略设置置的ou，右键键选择创建建组策略对对象 图4-1993、 输入新建的的GPO的名名称图4-2004、 选择新建的的GPO，右右键编辑图4-2115、 在组策略管管理编辑器器中选择：用户配置置-策略-wiindowws设置-Innternnet EExploorer维维护-安全，在在右侧窗口口中选择：安全区域域和内容分分级 右键选择择属性图4-222五、 设置DNSS转发效能协同平平台DNSS服务器只只负责对效效能协同平平台相关网网站、Lyync、Outllook等等进行路由由，而每台台电脑DNNS只可以以设置一个个主要DNNS和一个个备用DNNS。为了了保证用户户使用效能能协同平台台时可以继继续访问其其他站点及及应用，可可以在DNNS上设置置转发。具具体配置如如下：依次点击：开始-管理工具具-DNSS， 进入如下下管理界面面： 图4- 11 图4- 22右键点击DDNS-连连接到DNNS服务器器，选择下下列计算机机 输入： LLSRODDC 图4- 33连接成功后后右键点击击LSROODC-属属性 图4- 44选择转发器器 点击 编辑 图4- 55加入需要转转发的服务务器地址：图4- 6637