某烟草公司管理员操作手册115119.docx

《某烟草公司管理员操作手册115119.docx》由会员分享，可在线阅读，更多相关《某烟草公司管理员操作手册115119.docx（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、操作手册 四川省烟草草专卖局（公公司）效能协同平平台管理员操作作手册AD域控及及组策略管管理版本号 11.0日期:20011年66月山东浪潮齐齐鲁软件产产业股份有有限公司文档修订记记录版本日期更改人描述0.12011-6-9孙正敏新建文档0.22011-6-177李浩完善文档1.02011-6-211孙正敏完善文档目录一、Acctivee Dirrectoory(AAD)活动动目录简介介41、工作组组与域的区区别42、公司采采用域管理理的好处43、Acttive Direectorry(ADD)活动目目录的功能能6二、ADD域控（DCC）基本操操作61、登陆AAD域控62、新建组组织单位（OU

2、）83、新建用用户104、调整用用户115、调整计计算机14三、ADD域控常用用命令151、创建组组织单位：(dsaadd)152、创建域域用户帐户户(dsaadd)153、创建计计算机帐户户(dsaadd)154、创建联联系人(ddsaddd)165、修改活活动目录对对象（dsmood）166、其他命命令（dssquerry、dsmoove、dsrmm）17四、组策策略管理191、打开组组策略管理理器192、受信任任的根证书书办法机构构组策略设设置203、IE安安全及隐私私组策略设设置254、注册表表项推送30五、设置置DNS转发发33 一、 Activve Direcctoryy(AD)活

3、动目录录简介1、工作组组与域的区区别域管理与工工作组管理理的主要区区别在于：1）、工作作组网实现现的是分散散的管理模模式，每一一台计算机机都是独自自自主的，用用户账户和和权限信息息保存在本本机中，同同时借助工工作组来共共享信息，共共享信息的的权限设置置由每台计计算机控制制。在网上上邻居中能能够看到的的工作组机机的列表叫叫浏览列表表是通过广广播查询浏浏览主控服服务器，由由浏览主控控服务器提提供的。而而域网实现现的是主/从管理模模式，通过过一台域控控制器来集集中管理域域内用户帐帐号和权限限，帐号信信息保存在在域控制器器内，共享享信息分散散在每台计计算机中，但但是访问权权限由控制制器统一管管理。这就

4、就是两者最最大的不同同。2）、在“域”模式下，资资源的访问问有较严格格的管理,至少有一一台服务器器负责每一一台联入网网络的电脑脑和用户的的验证工作作，相当于于一个单位位的门卫一一样，称为为“域控制器器（Dommain Conttrolller，简简写为DCC）”。3）、域控控制器中包包含了由这这个域的账账户、密码码、属于这这个域的计计算机等信信息构成的的数据库。当当电脑联入入网络时，域域控制器首首先要鉴别别这台电脑脑是否是属属于这个域域的，用户户使用的登登录账号是是否存在、密密码是否正正确。如果果以上信息息有一样不不正确，那那么域控制制器就会拒拒绝这个用用户从这台台电脑登录录。不能登登录，用户

5、户就不能访访问服务器器上有权限限保护的资资源，他只只能以对等等网用户的的方式访问问Winddows共共享出来的的资源，这这样就在一一定程度上上保护了网网络上的资资源。而工工作组只是是进行本地地电脑的信信息与安全全的认证。2、公司采采用域管理理的好处1）、方便便管理,权限管理理比较集中中，管理人人员可以较较好的管理理计算机资资源。2）、安全全性高，有有利于企业业的一些保保密资料的的管理，比比如一个文文件只能让让某一个人人看,或者指定定人员可以以看,但不可以以删/改/移等。3）、方便便对用户操操作进行权权限设置，可可以分发，指指派软件等等,实现网络络内的软件件一起安装装。4）、很多多服务必须须建立

6、在域域环境中，对对管理员来来说有好处处:统一管理理,方便在MSS 软件方方面集成,如ISA EXCHHANGEE(邮件服服务器)、ISA SERVVER(上上网的各种种设置与管管理)等。5）、使用用漫游账户户和文件夹夹重定向技技术，个人人账户的工工作文件及及数据等可可以存储在在服务器上上，统一进进行备份、管管理，用户户的数据更更加安全、有有保障。6）、方便便用户使用用各种资源源。7）、SMMS（Systtem MManaggemennt Seerverr）能够分分发应用程程序、系统统补丁等，用用户可以选选择安装，也也可以由系系统管理员员指派自动动安装。并并能集中管管理系统补补丁（如WWindo

7、ows UUpdattes），不不需每台客客户端服务务器都下载载同样的补补丁，从而而节省大量量网络带宽宽。8）、资源源共享用户和管理理员可以不不知道他们们所需要的的对象的确确切名称，但但是他们可可能知道这这个对象的的一个或多多个属性，他他们可以通通过查找对对象的部分分属性在域域中得到一一个所有已已知属性相相匹配的对对象列表，通通过域使得得基于一个个或者多个个对象属性性来查找一一个对象变变得可能。9）、管理理域控制器集集中管理用用户对网络络的访问，如如登录、验验证、访问问目录和共共享资源。为为了简化管管理，所有有域中的域域控制器都都是平等的的，你可以以在任何域域控制器上上进行修改改，这种更更新可

8、以复复制到域中中所有的其其他域控制制器上。域的实施通通过提供对对网络上所所有对象的的单点管理理进一步简简化了管理理。因为域域控制器提提供了对网网络上所有有资源的单单点登录，管管理远可以以登录到一一台计算机机来管理网网络中任何何计算机上上的管理对对象。在NNT网络中中，当用户户一次登陆陆一个域服服务器后，就就可以访问问该域中已已经开放的的全部资源源，而无需需对同一域域进行多次次登陆。但但在需要共共享不同域域中的服务务时，对每每个域都必必须要登陆陆一次，否否则无法访访问未登陆陆域服务器器中的资源源或无法获获得未登陆陆域的服务务。10）、可可扩展性 在活动目录录中，目录录通过将目目录组织成成几个部分

9、分存储信息息从而允许许存储大量量的对象。因因此，目录录可以随着着组织的增增长而一同同扩展，允允许用户从从一个具有有几百个对对象的小的的安装环境境发展成拥拥有几百万万对象的大大型安装环环境。11）、安安全性 域为用户提提供了单一一的登录过过程来访问问网络资源源，如所有有他们具有有权限的文文件、打印印机和应用用程序资源源。也就是是说，用户户可以登录录到一台计计算机来使使用网络上上另外一台台计算机上上的资源，只只要用户具具有对资源源的合适权权限。域通通过对用户户权限合适适的划分，确确定了只有有对特定资资源有合法法权限的用用户才能使使用该资源源，从而保保障了资源源使用的合合法性和安安全性。 12）、可

10、可冗余性每个域控制制器保存和和维护目录录的一个副副本。在域域中，你创创建的每一一个用户帐帐号都会对对应目录的的一个记录录。当用户户登录到域域中的计算算机时，域域控制器将将按照目录录检查用户户名、口令令、登录限限制以验证证用户。当当存在多个个域控制器器时，他们们会定期的的相互复制制目录信息息，域控制制器间的数数据复制，促促使用户信信息发生改改变时（比比如用户修修改了口令令），可以以迅速的复复制到其他他的域控制制器上，这这样当一台台域控制器器出现故障障时，用户户仍然可以以通过其他他的域控制制进行登录录，保障了了网络的顺顺利运行。3、Acttive Direcctoryy(AD)活动目录的的功能活动

11、目录(Actiive DDirecctoryy)主要提提供以下功功能：1）、基础础网络服务务：包括DDNS、WWINS、DDHCP、证证书服务等等。2）、服务务器及客户户端计算机机管理：管管理服务器器及客户端端计算机账账户，所有有服务器及及客户端计计算机加入入域管理并并实施组策策略。3）、用户户服务：管管理用户域域账户、用用户信息、企企业通讯录录（与电子子邮件系统统集成）、用用户组管理理、用户身身份认证、用用户授权管管理等，按按地市实施施组管理策策略。4）、资源源管理：管管理打印机机、文件共共享服务等等网络资源源。5）、桌面面配置：系系统管理员员可以集中中的配置各各种桌面配配置策略，如如：界面

12、功功能的限制制、应用程程序执行特特征限制、网网络连接限限制、安全全配置限制制等。6）、应用用系统支撑撑：支持财财务、人事事、电子邮邮件、企业业信息门户户、办公自自动化、补补丁管理、防防病毒系统统等各种应应用系统。二、 AD域控（DDC）基本本操作1、登陆AAD域控登陆到本地地市的域控控服务器，依依次点击“开始-管管理工具-Actiive DDirecctoryy 用户和和计算机”，如下图图：图2-1进入如下管管理界面：图2-2以乐山市公公司为例：在乐山的只只读域控服服务器上可可以看到个个省公司下下各地市的的节点：但是只能对对自己公司司的节点进进行维护：图2-32、新建组组织单位（OU）OU(O

13、rrganiizatiionall Uniit，组织织单位)是是可以将用用户、组、计计算机和其其它组织单单位放入其其中的ADD容器，是是可以指派派组策略设设置或委派派管理权限限的最小作作用域或单单元。通俗俗一点说，如如果把ADD比作一个个公司的话话，那么每每个OU就就是一个相相对独立的的部门。 图1-3 中以图标开头的的均表示组组织单位，若需要添加加组织单位位时，在需需要添加的的组织单位位的上级节节点依次点点击点击 “右键-新新建-组织织单位”，如下图图：图2-4填写组织单单位名称-点击 确确定图2-4既可在选中中的组织单单位节点下下新增组织织单位。注：删除组组织单位时时，要在查查看中勾选选

14、高级功功能图2-5然后选中的的组织单位位 属性-对对象中将“防止对象象被意外删删除”前的勾去去掉，才能能删除。图2-63、新建用用户图2-1 右侧窗口口中以图标标开头的就就是用户。与新建组织织单位相似似。对自己有有权操作维维护的组织织单位点击击 “右键-新新建-用户户”，填写用户户基本信息息，点击 下一步。图2-7填写初始密密码，点击击 下一步步图2-8点击 完成成图2-9既可在选中中的组织单单位节点下下新增用户户图2-1004、调整用用户右键点击用用户-属性图2-111进入用户信信息修改：图2-122其中 常规规 中电话话号码必填填图2-133电话选项卡卡中 移动动电话必填填图2-144单位

15、 选项项卡中 所所有信息必必填图2-155注：直接下下属 不需要维维护这几个选项项卡是常用用，并且需需要注意的的。5、调整计计算机当用户利用用自己的帐帐号加入域域后，在AAD管理工工具中就能能看到登入入域的计算算机右键点点击计算机机可对其进进行管理图2-166三、 AD域控常常用命令AD域控管管理命令可可以用命令令行的方式式，依次点点击“开始-运运行-cmmd”，打开命命令行工具具。AD域域控常用命命令有很多多，下面列列举一些比比较常见的的例子：1、创建组组织单位：(dsaadd)命令格式：dsaddd ouu -deesc 描描述 -s 服务器|-d 域域 -u 用用户名 -p 密码|* -

16、q -uc|-uoc|-ucii注意：OUU名称应为为要创建的的OU的LLDAP绝绝对路径（DDN，Diistinnguisshed Namme），如如果DN中中包含空格格，应该在在路径两端端使用双引引号。例如要在yyjx.ccom域中中建立一个个名为fiinancce的OUU，可以执执行以下命命令：C:ddsaddd ou ou=ffinannce,ddc=yjjx,dcc=comm -deesc 财务部2、创建域域用户帐户户(dsaadd)命令格式：dsaddd usser -saamid -pwd |* upn UPN例如要在yyjx.ccom域中中建立一个个名为miike的用用户帐户，

17、该该用户将位位于salles OOU中，其其显示名称称为“mikee yanng”，则可以以执行以下下命令：C:ddsaddd useer cnn=mikke,ouu=salles,ddc=yjjx,dcc=comm -saamid mikee -pwwd beenet33.0 -dispplay “mikke yaang”3、创建计计算机帐户户(dsaadd)命令格式：dsaddd coomputter 要在m域中的ssaless OU中中建立一个个名为cllientt-2的计计算机帐户户，可以执执行以下命命令：C:ddsaddd commputeer cnn=cliient-2,ouu=s

18、alles,ddc=yjjx,dcc=comm要在m域中的ssaless OU中中建立一个个名为cllientt-3的计计算机帐户户，并设置置计算机账账户的描述述信息为“测试工作作站”，可以执执行以下命命令：C:ddsaddd commputeer cnn=cliient-3,ouu=salles,ddc=yjjx,dcc=comm -deesc 测测试工作站站4、创建联联系人(ddsaddd)命令格式：dsaddd coontacct -fn -mii -lnn -ddispllay -descc 要在m域中的ssaless OU中中建立一个个名为杨建建新的联系系人，执行行以下命令令：C:d

19、dsaddd conntactt cn=杨建新,ou=ssaless,dc=yjx,dc=ccom -fn jjianxxin -ln yyang -dissplayy 杨建新新 5、修改活活动目录对对象（dssmod）用于修改AAD对象的的属性，可可以对OUU、用户、组组、联系人人等对象进进行修改。C:ddsmodd useer /?描述: 修改目录录中现有的的用户。语法: ddsmodd useer -upnn -fnn -mmi -lln -dispplay -ffnp -lnp -ddispllayp -eempidd -pwdd | * -ddesc -offfice -tel -e

20、emaill -homeetel -pageer -mmobille -faax -ipteel -wwebpgg -tiitle -ddept -ccompaany -mgr -hmddir -hhmdrvv : -proffile -lloscrr -musstchppwd yes | noo -ccanchhpwd yess | nno -reeverssibleepwd yess | nno -ppwdneevereexpirres yes | noo -aaccteexpirres -disaabledd yees | no -s | -d -u -pp | * -c -q -uc

21、| -ucco | -ucii几个具体用用法如下：重置用户帐帐户的密码码dsmodd useer UsserDNN -pwwd 新密密码 -musttchpwwd yyes | no 下次次登录时修修改此密码码启用或禁用用账户dsmodd useer UsserDNN 可分辨辨名称 -disaabledd yees|noo yees 禁用用 no 启用修改计算机机帐户属性性的格式为为：dsmodd commputeer CoomputterDNN .-deesc DDescrriptiion -looc Loocatiion -diisablled yes | noo -resset -ss

22、Serrver | -dd Dommain -u UsserNaame -p Passsworrd | * -c -qq -uc | -uuco | -ucci重设计算机机帐户dsmodd commputeer CoomputterDNN -reeset启用或禁用用计算机帐帐户dsmodd commputeer CoomputterDNN 可分辨辨名称 -disaabledd yees|noo yees 禁止止登录 nno 允许许登录将计算机帐帐户添加到到组中dsmodd grooup GGrouppDN -addmmbr CCompuuterDDN要创建一个个salees全局组组，并将用用户

23、mikke加入到到该组中，可可以执行以以下命令：C:ddsaddd grooup ccn=saales,ou=ssaless,dc=yjx,dc=ccom -descc 销售部部dsaddd 成功:cn=ssaless,ou=salees,dcc=yjxx,dc=comC:ddsmodd grooup ccn=saales,ou=ssaless,dc=yjx,dc=ccom -addmmbr ccn=miike,oou=saales,dc=yyjx,ddc=coomdsmodd 成功:cn=ssaless,ou=salees,dcc=yjxx,dc=com6、其他命命令（dssquerry、d

24、ssmovee、dsrrm）其他的活动动目录操作作命令还包包括dsqqueryy、dsmmove、ddsrm等等，分别用用于活动目目录对象的的查询、移移动和删除除。要查找saales OU中的的所有用户户，可以执执行以下命命令：C:ddsqueery uuser ou=ssaless,dc=yjx,dc=ccom -namee *CN=mmike,OU=ssaless,DC=yjx,DC=ccomCN=uuser11,OU=salees,DCC=yjxx,DC=comCN=uuser22,OU=salees,DCC=yjxx,DC=com要查找saales OU中已已经3个星星期不活动动的用户

25、，可可以执行以以下命令：C:ddsqueery uuser ou=ssaless,dc=yjx,dc=ccom -inacctivee 3要将mikke用户移移动到fiinancce OUU中，可以以执行以下下命令：C:ddsmovve cnn=mikke,ouu=salles,ddc=yjjx,dcc=comm -neewparrent ou=ffinannce,ddc=yjjx,dcc=commdsmovve 成功功:cn=mikee,ou=salees,dcc=yjxx,dc=com要删除saales OU中的的用户usser1，可可以执行以以下命令：C:ddsrm cn=uuser11

26、,ou=salees,dcc=yjxx,dc=com您确认要删删除 cnn=useer1,oou=saales,dc=yyjx,ddc=coom 吗(Y/N)? ydsrm 成功:ccn=usser1,ou=ssaless,dc=yjx,dc=ccom四、 组策略管理理1、打开组组策略管理理器依次点击“开始-管管理工具-点击进入入 组策略略管理”，进入组组策略管理理器。如下下图： 图4- 11 图4- 222、受信任任的根证书书办法机构构组策略设设置1、 启动组策略略管理：开开始-管理理工具-组组策略管理理 图4-32、 选择拥有管管理权限并并需进行组组策略设置置的ou，右右键选择创创建组策略

27、略对象 图4-43、 输入新建的的GPO的的名称 图4-554、 选择新建的的GPO，右右键编辑图4-65、 在组策略管管理编辑器器中 选选择 计计算机配置置-策略-winddows设设置-安全全设置-公公钥策略-受信任的的根证书颁颁发机构 右键选择择导入图4-76、 选择需要导导入的证书书（可以利利用证书管管理进行导导出）图4-77、 选择受信任任的根证书书颁发机构构图4-88、 点击完成，完完成组策略略设置图4-93、IE安安全及隐私私组策略设设置1、 启动组策略略管理：开开始-管理理工具-组组策略管理理图4-1002、 选择拥有管管理权限并并需进行组组策略设置置的ou，右右键选择创创建组

28、策略略对象 图4-1113、 输入新建的的GPO的的名称 图4-1124、 选择新建的的GPO，右右键编辑图4-1335、 在组策略管管理编辑器器中选择：用户配置置-策略-winddows设设置-Innternnet EExploorer维维护-安全全，在右侧侧窗口中选选择：安全全区域和内内容分级 右键选择择属性图4-1446、 选择导入当当前安全区区域和隐私私设置图4-1557、 在弹出的IIE增强的的安全配置置中选择继继续图4-1668、 在安全和隐隐私设置选选项卡中单单击修改设设置，在弹弹出的Innternnet属性性窗体中设设置相应的的IE安全全设置，点点击确定，完完成组策略略设置图4

29、-1774、注册表表项推送1、 启动组策略略管理：开开始-管理理工具-组组策略管理理图4-1882、 选择拥有管管理权限并并需进行组组策略设置置的ou，右右键选择创创建组策略略对象 图4-1993、 输入新建的的GPO的的名称图4-2004、 选择新建的的GPO，右右键编辑图4-2115、 在组策略管管理编辑器器中选择：用户配置置-策略-winddows设设置-Innternnet EExploorer维维护-安全全，在右侧侧窗口中选选择：安全全区域和内内容分级 右键选择择属性图4-222五、 设置DNSS转发效能协同平平台DNSS服务器只只负责对效效能协同平平台相关网网站、Lyync、OOutloook等进进行路由，而而每台电脑脑DNS只只可以设置置一个主要要DNS和和一个备用用DNS。为为了保证用用户使用效效能协同平平台时可以以继续访问问其他站点点及应用，可可以在DNNS上设置置转发。具具体配置如如下：依次点击：开始-管管理工具-DNS， 进入如如下管理界界面： 图4- 11 图4- 22右键点击DDNS-连连接到DNNS服务器器，选择下下列计算机机 输入： LSRRODC 图4- 33连接成功后后右键点击击LSROODC-属属性 图4- 44选择转发器器 点击 编辑 图4- 55加入需要转转发的服务务器地址：图4- 6637