管理员操作手册-AD域控及组策略管理51CTO下载5003.docx

《管理员操作手册-AD域控及组策略管理51CTO下载5003.docx》由会员分享，可在线阅读，更多相关《管理员操作手册-AD域控及组策略管理51CTO下载5003.docx（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、操作手册 Evaluation Warning: The document was created with Spire.Doc for .NET.四川省烟草草专卖局局（公司司）效能协同平平台管理员操作作手册AD域控及及组策略略管理版本号 11.0日期:20011年年6月山东浪潮齐齐鲁软件件产业股股份有限限公司文档修订记记录版本日期更改人描述0.12011-6-99孙正敏新建文档0.22011-6-117李浩完善文档1.02011-6-221孙正敏完善文档目录一、Acctivve DDireectoory(AD)活动目目录简介介41、工作组组与域的的区别42、公司采采用域管管理的好好处43、A

2、cttivee Diirecctorry(AAD)活活动目录录的功能能6二、ADD域控（DDC）基基本操作作61、登陆AAD域控控62、新建组组织单位位（OUU）83、新建用用户104、调整用用户115、调整计计算机14三、ADD域控常常用命令令151、创建组组织单位位：(ddsaddd)152、创建域域用户帐帐户(ddsaddd)153、创建计计算机帐帐户(ddsaddd)154、创建联联系人(dsaadd)165、修改活活动目录录对象（dsmmod）166、其他命命令（ddsquueryy、dsmmovee、dsrrm）17四、组策策略管理理191、打开组组策略管管理器192、受信任任的根

3、证证书办法法机构组组策略设设置203、IE安安全及隐隐私组策策略设置置254、注册表表项推送送30五、设置置DNSS转发33 一、 Activve DDireectoory(AD)活动目目录简介介1、工作组组与域的的区别域管理与工工作组管管理的主主要区别别在于：1）、工作作组网实实现的是是分散的的管理模模式，每每一台计计算机都都是独自自自主的的，用户户账户和和权限信信息保存存在本机机中，同同时借助助工作组组来共享享信息，共共享信息息的权限限设置由由每台计计算机控控制。在在网上邻邻居中能能够看到到的工作作组机的的列表叫叫浏览列列表是通通过广播播查询浏浏览主控控服务器器，由浏浏览主控控服务器器提供

4、的的。而域域网实现现的是主主/从管理理模式，通通过一台台域控制制器来集集中管理理域内用用户帐号号和权限限，帐号号信息保保存在域域控制器器内，共共享信息息分散在在每台计计算机中中，但是是访问权权限由控控制器统统一管理理。这就就是两者者最大的的不同。2）、在“域域”模式式下，资资源的访访问有较较严格的的管理,至少有有一台服服务器负负责每一一台联入入网络的的电脑和和用户的的验证工工作，相相当于一一个单位位的门卫卫一样，称称为“域域控制器器（Doomaiin CConttrolllerr，简写写为DCC）”。3）、域控控制器中中包含了了由这个个域的账账户、密密码、属属于这个个域的计计算机等等信息构构成

5、的数数据库。当当电脑联联入网络络时，域域控制器器首先要要鉴别这这台电脑脑是否是是属于这这个域的的，用户户使用的的登录账账号是否否存在、密密码是否否正确。如如果以上上信息有有一样不不正确，那那么域控控制器就就会拒绝绝这个用用户从这这台电脑脑登录。不不能登录录，用户户就不能能访问服服务器上上有权限限保护的的资源，他他只能以以对等网网用户的的方式访访问Wiindoows共共享出来来的资源源，这样样就在一一定程度度上保护护了网络络上的资资源。而而工作组组只是进进行本地地电脑的的信息与与安全的的认证。2、公司采采用域管管理的好好处1）、方便便管理,权限管管理比较较集中，管管理人员员可以较较好的管管理计算

6、算机资源源。2）、安全全性高，有有利于企企业的一一些保密密资料的的管理，比比如一个个文件只只能让某某一个人人看,或者指指定人员员可以看看,但不可可以删/改/移等。3）、方便便对用户户操作进进行权限限设置，可可以分发发，指派派软件等等,实现网网络内的的软件一一起安装装。4）、很多多服务必必须建立立在域环环境中，对对管理员员来说有有好处:统一管管理,方便在在MS 软件方方面集成成,如ISAA EXXCHAANGEE(邮件件服务器器)、ISAA SEERVEER(上上网的各各种设置置与管理理)等。5）、使用用漫游账账户和文文件夹重重定向技技术，个个人账户户的工作作文件及及数据等等可以存存储在服服务器

7、上上，统一一进行备备份、管管理，用用户的数数据更加加安全、有有保障。6）、方便便用户使使用各种种资源。7）、SMMS（Sysstemm Maanaggemeent Serrverr）能够够分发应应用程序序、系统统补丁等等，用户户可以选选择安装装，也可可以由系系统管理理员指派派自动安安装。并并能集中中管理系系统补丁丁（如WWinddowss Uppdattes），不不需每台台客户端端服务器器都下载载同样的的补丁，从从而节省省大量网网络带宽宽。8）、资源源共享用户和管理理员可以以不知道道他们所所需要的的对象的的确切名名称，但但是他们们可能知知道这个个对象的的一个或或多个属属性，他他们可以以通过查查

8、找对象象的部分分属性在在域中得得到一个个所有已已知属性性相匹配配的对象象列表，通通过域使使得基于于一个或或者多个个对象属属性来查查找一个个对象变变得可能能。9）、管理理域控制器集集中管理理用户对对网络的的访问，如如登录、验验证、访访问目录录和共享享资源。为为了简化化管理，所所有域中中的域控控制器都都是平等等的，你你可以在在任何域域控制器器上进行行修改，这这种更新新可以复复制到域域中所有有的其他他域控制制器上。域的实施通通过提供供对网络络上所有有对象的的单点管管理进一一步简化化了管理理。因为为域控制制器提供供了对网网络上所所有资源源的单点点登录，管管理远可可以登录录到一台台计算机机来管理理网络中

9、中任何计计算机上上的管理理对象。在在NT网络络中，当当用户一一次登陆陆一个域域服务器器后，就就可以访访问该域域中已经经开放的的全部资资源，而而无需对对同一域域进行多多次登陆陆。但在在需要共共享不同同域中的的服务时时，对每每个域都都必须要要登陆一一次，否否则无法法访问未未登陆域域服务器器中的资资源或无无法获得得未登陆陆域的服服务。10）、可可扩展性性 在活动目录录中，目目录通过过将目录录组织成成几个部部分存储储信息从从而允许许存储大大量的对对象。因因此，目目录可以以随着组组织的增增长而一一同扩展展，允许许用户从从一个具具有几百百个对象象的小的的安装环环境发展展成拥有有几百万万对象的的大型安安装环

10、境境。11）、安安全性 域为用户提提供了单单一的登登录过程程来访问问网络资资源，如如所有他他们具有有权限的的文件、打打印机和和应用程程序资源源。也就就是说，用用户可以以登录到到一台计计算机来来使用网网络上另另外一台台计算机机上的资资源，只只要用户户具有对对资源的的合适权权限。域域通过对对用户权权限合适适的划分分，确定定了只有有对特定定资源有有合法权权限的用用户才能能使用该该资源，从从而保障障了资源源使用的的合法性性和安全全性。 12）、可可冗余性性每个域控制制器保存存和维护护目录的的一个副副本。在在域中，你你创建的的每一个个用户帐帐号都会会对应目目录的一一个记录录。当用用户登录录到域中中的计算

11、算机时，域域控制器器将按照照目录检检查用户户名、口口令、登登录限制制以验证证用户。当当存在多多个域控控制器时时，他们们会定期期的相互互复制目目录信息息，域控控制器间间的数据据复制，促促使用户户信息发发生改变变时（比比如用户户修改了了口令），可可以迅速速的复制制到其他他的域控控制器上上，这样样当一台台域控制制器出现现故障时时，用户户仍然可可以通过过其他的的域控制制进行登登录，保保障了网网络的顺顺利运行行。3、Acttivee Direectoory(AD)活动目录录的功能能活动目录(Acttivee Diirecctorry)主主要提供供以下功功能：1）、基础础网络服服务：包包括DNNS、WIN

12、NS、DHCCP、证证书服务务等。2）、服务务器及客客户端计计算机管管理：管管理服务务器及客客户端计计算机账账户，所所有服务务器及客客户端计计算机加加入域管管理并实实施组策策略。3）、用户户服务：管理用用户域账账户、用用户信息息、企业业通讯录录（与电电子邮件件系统集集成）、用用户组管管理、用用户身份份认证、用用户授权权管理等等，按地地市实施施组管理理策略。4）、资源源管理：管理打打印机、文文件共享享服务等等网络资资源。5）、桌面面配置：系统管管理员可可以集中中的配置置各种桌桌面配置置策略，如如：界面面功能的的限制、应应用程序序执行特特征限制制、网络络连接限限制、安安全配置置限制等等。6）、应用

13、用系统支支撑：支支持财务务、人事事、电子子邮件、企企业信息息门户、办办公自动动化、补补丁管理理、防病病毒系统统等各种种应用系系统。二、 AD域控（DC）基本操操作1、登陆AAD域控控登陆到本地地市的域控服服务器，依依次点击击“开始始-管理工工具-AActiive Dirrecttoryy 用户户和计算算机”，如如下图：图2-1进入如下管管理界面面：图2-2以乐山市公公司为例例：在乐山的只只读域控控服务器器上可以以看到个个省公司司下各地地市的节节点：但是只能对对自己公公司的节节点进行行维护：图2-32、新建组组织单位位（OUU）OU(Orrgannizaatioonall Unnit，组组织单位

14、位)是可以以将用户户、组、计计算机和和其它组组织单位位放入其其中的AAD容器器，是可可以指派派组策略略设置或或委派管管理权限限的最小小作用域域或单元元。通俗俗一点说说，如果果把ADD比作一一个公司司的话，那那么每个个OU就是是一个相相对独立立的部门门。 图1-3 中以图标开头头的均表表示组织织单位，若需要添加加组织单单位时，在在需要添添加的组组织单位位的上级级节点依依次点击击点击 “右键-新建-组织单单位”，如如下图：图2-4填写组织单单位名称称-点击 确定图2-4既可在选中中的组织织单位节节点下新新增组织织单位。注：删除组组织单位位时，要要在查看看中勾选选 高级功功能图2-5然后选中的的组织

15、单单位 属性-对象中中将“防防止对象象被意外外删除”前前的勾去去掉，才才能删除除。图2-63、新建用用户图2-1 右侧窗窗口中以以图标开开头的就就是用户户。与新建建组织单单位相似似。对自己己有权操操作维护护的组织织单位点点击 “右键-新建-用户”，填写写用户基基本信息息，点击击 下一步步。图2-7填写初始密密码，点点击 下一步步图2-8点击 完成成图2-9既可在选中中的组织织单位节节点下新新增用户户图2-1004、调整用用户右键点击用用户-属性图2-111进入用户信信息修改改：图2-122其中 常规规 中电话话号码必必填图2-133电话选项卡卡中 移动电电话必填填图2-144单位 选项项卡中

16、所有信信息必填填图2-155注：直接下下属 不需要要维护这几个选项项卡是常常用，并并且需要要注意的的。5、调整计计算机当用户利用用自己的的帐号加入入域后，在在AD管理理工具中中就能看看到登入入域的计计算机右右键点击击计算机机可对其其进行管管理图2-166三、 AD域控常常用命令令AD域控管管理命令令可以用用命令行行的方式式，依次次点击“开始-运行-cmd”，打开命令行工具。AD域控常用命令有很多，下面列举一些比较常见的例子：1、创建组组织单位位：(dsaadd)命令格式：dsaadd ou -ddescc 描述 -s 服服务器|-d 域 -uu 用户户名 -pp 密密码|* -qq -uuc|

17、-uocc|-ucci注意：OUU名称应应为要创创建的OOU的LDAAP绝对对路径（DN，Distinguished Name），如果DN中包含空格，应该在路径两端使用双引号。例如要在m域中建建立一个个名为ffinaancee的OU，可可以执行行以下命命令：C:ddsaddd ou ou=finnancce,ddc=yjxx,dcc=coom -dessc 财务部部2、创建域域用户帐帐户(dsaadd)命令格式：dsaadd useer -saamidd -pwdd |* upnn UPPN例如要在m域中建建立一个个名为mmikee的用户户帐户，该该用户将将位于ssalees OOU中，其其显

18、示名名称为“mike yang”，则可以执行以下命令：C:ddsaddd uuserr cnn=mikke,oou=salles,dc=yjxx,dcc=coom -sammid mikke -pwdd beenett3.00 -ddispplayy “mmikee yaang”3、创建计计算机帐帐户(dsaadd)命令格式：dsaadd commputter 要在yjxx.coom域中中的saaless OUU中建立立一个名名为clliennt-22的计算算机帐户户，可以以执行以以下命令令：C:ddsaddd ccompputeer ccn=cclieent-2,oou=salles,dc=

19、yjxx,dcc=coom要在yjxx.coom域中中的saaless OUU中建立立一个名名为clliennt-33的计算算机帐户户，并设设置计算算机账户户的描述述信息为为“测试试工作站站”，可可以执行行以下命命令：C:ddsaddd ccompputeer ccn=cclieent-3,oou=ssalees,ddc=yjxx,dcc=coom -dessc 测试工工作站4、创建联联系人(dsaadd)命令格式：dsaadd conntacct -fnn -mi -lnn -ddispplayy -dessc 要在yjxx.coom域中中的saaless OUU中建立立一个名名为杨建建新的

20、联联系人，执执行以下下命令：C:ddsaddd cconttactt cnn=杨建新新,ou=salles,dc=yjxx,dcc=coom -fn jiaanxiin -ln yyangg -ddispplayy 杨建建新 5、修改活活动目录录对象（dsmmod）用于修改AAD对象象的属性性，可以以对OUU、用户户、组、联联系人等等对象进进行修改改。C:ddsmood uuserr /?描述: 修改目目录中现现有的用用户。语法: dsmmod useer -uupn -fn -mii -lln -diispllay -fnnp -lnpp -diispllaypp -emmpidd -pww

21、d | * -deesc -ooffiice -tell -emmaill -hommeteel -pagger -moobille -faxx -iipteel -weebpgg -tiitlee -deppt -coompaany -mggr -hmddir -hmmdrvv : -proofille -looscrr -muustcchpwwd yess | no -caanchhpwdd yyes | nno -revverssibllepwwd yess | no -pwwdneeverrexppirees yess | no -acccteexpiiress -diisabbled

22、d yyes | nno -ss | -d -u -p | * -cc -q -ucc | -ucco | -uuci几个具体用用法如下下：重置用户帐帐户的密密码dsmodd usser UseerDNN -pwwd 新密码码 -musstchhpwdd yyes | nno 下次次登录时时修改此此密码启用或禁用用账户dsmodd usser UseerDNN 可分辨辨名称 -diisabbledd yyes|no yees 禁禁用 nno 启启用修改计算机机帐户属性性的格式式为：dsmodd coompuuterr CoompuuterrDN .-ddescc Deescrripttionn

23、 -looc LLocaatioon -ddisaableed yess | no -reesett -ss Seerveer | -dd Doomaiin -u UUserrNamme -pp PPasssworrd | * -c -q -uc | -uuco | -ucii重设计算机机帐户dsmodd coompuuterr CoompuuterrDN -reesett启用或禁用用计算机机帐户dsmodd coompuuterr CoompuuterrDN 可分辨辨名称 -diisabbledd yyes|no yees 禁禁止登录录 noo 允许许登录将计算机帐帐户添加加到组中中dsmo

24、dd grroupp GrrouppDN -adddmbbr CommputterDDN要创建一个个salles全全局组，并并将用户户mikke加入入到该组组中，可可以执行行以下命命令：C:ddsaddd ggrouup ccn=salles,ou=salles,dc=yjxx,dcc=coom -dessc 销售部部dsaddd 成功:cn=salles,ou=salles,dc=yjxx,dcc=coomC:ddsmood ggrouup ccn=salles,ou=salles,dc=yjxx,dcc=coom -adddmbrr cn=mikke,oou=salles,dc=yjxx,

25、dcc=coomdsmodd 成功:cn=salles,ou=salles,dc=yjxx,dcc=coom6、其他命命令（ddsquueryy、dsmmovee、dsrrm）其他的活动动目录操操作命令令还包括括dsqquerry、dsmmovee、dsrrm等，分分别用于于活动目目录对象象的查询询、移动动和删除除。要查找saaless OUU中的所所有用户户，可以以执行以以下命令令：C:ddsquueryy usser ou=salles,dc=yjxx,dcc=coom -namme *CN=mmikee,OUU=salles,DC=yjxx,DCC=coomCN=uuserr1,OOU=

26、salles,DC=yjxx,DCC=coomCN=uuserr2,OOU=salles,DC=yjxx,DCC=coom要查找saaless OUU中已经经3个星期期不活动动的用户户，可以以执行以以下命令令：C:ddsquueryy usser ou=salles,dc=yjxx,dcc=coom -inaactiive 3要将mikke用户户移动到到finnancce OOU中，可可以执行行以下命命令：C:ddsmoove cn=mikke,oou=salles,dc=yjxx,dcc=coom -newwparrentt ou=finnancce,ddc=yjxx,dcc=coomdsm

27、ovve 成功:cn=mikke,oou=salles,dc=yjxx,dcc=coom要删除saaless OUU中的用用户usser11，可以以执行以以下命令令：C:ddsrmm cnn=usser11,ouu=salles,dc=yjxx,dcc=coom您确认要删删除 cn=uuserr1,oou=ssalees,ddc=yjxx,dcc=coom 吗吗(Y/N)? ydsrm 成功:cn=useer1,ou=salles,dc=yjxx,dcc=coom四、 组策略管理理1、打开组组策略管管理器依次点击“开始-管理工具-点击进入 组策略管理”，进入组策略管理器。如下图： 图4- 11

28、 图4- 222、受信任任的根证证书办法法机构组组策略设设置1、 启动组策略略管理：开始-管理工工具-组策略略管理 图4-32、 选择拥有管管理权限限并需进进行组策策略设置置的ouu，右键键选择创创建组策策略对象象 图4-43、 输入新建的的GPOO的名称称 图4-554、 选择新建的的GPOO，右键键编辑图4-65、 在组策略管管理编辑辑器中 选择择 计算算机配置置-策略-wwinddowss设置-安全设设置-公钥策略-受信任任的根证证书颁发发机构 右键选选择导入入图4-76、 选择需要导导入的证证书（可可以利用用证书管管理进行行导出）图4-77、 选择受信任任的根证证书颁发发机构图4-88

29、、 点击完成，完完成组策策略设置置图4-93、IE安安全及隐隐私组策策略设置置1、 启动组策略略管理：开始-管理工工具-组策略略管理图4-1002、 选择拥有管管理权限限并需进进行组策策略设置置的ouu，右键键选择创创建组策策略对象象 图4-1113、 输入新建的的GPOO的名称称 图4-1124、 选择新建的的GPOO，右键键编辑图4-1335、 在组策略管管理编辑辑器中选选择：用用户配置置-策略-wwinddowss设置-IInteerneet EExplloreer维护护-安全，在在右侧窗窗口中选选择：安安全区域域和内容容分级 右键选选择属性性图4-1446、 选择导入当当前安全全区域和

30、和隐私设设置图4-1557、 在弹出的IIE增强强的安全全配置中中选择继继续图4-1668、 在安全和隐隐私设置置选项卡卡中单击击修改设设置，在在弹出的的Intternnet属属性窗体体中设置置相应的的IE安全全设置，点点击确定定，完成成组策略略设置图4-1774、注册表表项推送送1、 启动组策略略管理：开始-管理工工具-组策略略管理图4-1882、 选择拥有管管理权限限并需进进行组策策略设置置的ouu，右键键选择创创建组策策略对象象 图4-1993、 输入新建的的GPOO的名称称图4-2004、 选择新建的的GPOO，右键键编辑图4-2115、 在组策略管管理编辑辑器中选选择：用用户配置置-

31、策略-wwinddowss设置-IInteerneet EExplloreer维护护-安全，在在右侧窗窗口中选选择：安安全区域域和内容容分级 右键选选择属性性图4-222五、 设置DNSS转发效能协同平平台DNNS服务务器只负负责对效效能协同同平台相相关网站站、Lyync、Outtloook等进进行路由由，而每每台电脑脑DNSS只可以以设置一一个主要要DNSS和一个个备用DDNS。为为了保证证用户使使用效能能协同平平台时可可以继续续访问其其他站点点及应用用，可以以在DNNS上设设置转发发。具体体配置如如下：依次点击：开始-管理工工具-DDNS， 进入如如下管理理界面： 图4- 11 图4- 22右键点击DDNS-连接到到DNSS服务器器，选择择下列计计算机 输入： LSSRODDC 图4- 33连接成功后后右键点点击LSSRODDC-属属性 图4- 44选择转发器器 点击 编辑 图4- 55加入需要转转发的服服务器地地址：图4- 6645