青蛙學(xué)堂AD 域維日常維護(hù)手冊一、Active Directory (域) 介紹Active Directory 的體系結(jié)構(gòu)介紹Active Directory 的體系結(jié)構(gòu)分為邏輯結(jié)構(gòu)和物理結(jié)構(gòu)。必須

青蛙學(xué)堂

AD 域維日常維護(hù)手冊

一、Active Directory (域) 介紹

Active Directory 的體系結(jié)構(gòu)介紹

Active Directory 的體系結(jié)構(gòu)分為邏輯結(jié)構(gòu)和物理結(jié)構(gòu)。必須對Active Directory 的邏輯結(jié)構(gòu)與物理結(jié)構(gòu)進(jìn)行規(guī)則，才能較好地滿足企業(yè)的需求。為了管理Active Directory ，必須首先理解這些結(jié)構(gòu)。

Active Directory 的作用

Active Directory可以存儲用戶、計算機(jī)和網(wǎng)絡(luò)資源的信息，并且使資源可以被用戶和應(yīng)用程序訪問。它提供了一種統(tǒng)一的方法來命名、描述、定位、訪問、管理、和保護(hù)這些資源。

Active Directory具有如下功能：

● 對網(wǎng)絡(luò)資源的集中控制。通過對諸如服務(wù)器、共享文件和打印機(jī)等的資源進(jìn)行集中控制，只有授權(quán)用戶可以訪問Active Directory 中的資源 ??例如，可以通過給行政部的激光打印機(jī)設(shè)置權(quán)限，設(shè)置只有行政部人員可以使用該打印機(jī)??從而避免非法使用和資源浪費(fèi)。

● 集中和分散管理。管理員通過一致的管理界面，能夠可以編寫一個組策略，使得某個應(yīng)用程序的升級包能夠在網(wǎng)絡(luò)中每個用戶開機(jī)的時候就自動安裝，從而分散管理任務(wù)。例如，管理員可以把銷售部的計算機(jī)和打印機(jī)納入到一個組織單元中，將它們的管理權(quán)限委派給銷售部的技術(shù)支持人員，從而減少自己的工作量。

● 在邏輯結(jié)構(gòu)中安裝地存儲對象。Active Directory 使用層次邏輯結(jié)構(gòu)把所有資源作為對象存儲。例如，可以按照公司的組織結(jié)構(gòu)和業(yè)務(wù)需求來組織相應(yīng)的組織單元，將網(wǎng)絡(luò)資源分布在相應(yīng)的組織單元中，實現(xiàn)分級管理。Active Directory 還會對儲在其中的對象進(jìn)行加密，這樣可以保證數(shù)據(jù)的安全。

● 優(yōu)化網(wǎng)絡(luò)流量，Active Directory 物理結(jié)構(gòu)能夠更加高效地使用網(wǎng)絡(luò)帶寬，例如，當(dāng)用戶登錄到網(wǎng)絡(luò)時，能夠保證用戶是由離他們最近的驗證中心進(jìn)行身份驗證，從而減小了網(wǎng)絡(luò)流量。

Active Directory 服務(wù)的優(yōu)勢

Windows Server 2003 系列中Active Directory 是對Windows NT 中的扁平域模型的重大改進(jìn)。

● 集中的數(shù)據(jù)存儲。Active Directory 中的所有數(shù)據(jù)都保存在一個獨(dú)立的分布式數(shù)據(jù)庫中，允許用戶從任何位置訪問這些信息。和其他數(shù)據(jù)存儲方式相比，獨(dú)立的數(shù)據(jù)存儲所需的管理重復(fù)勞動更少，并且提高了數(shù)據(jù)的可用性和可組織性。

● 可伸縮性。Active Directory 使管理員能通過配置域 和樹以及域控制器的主席團(tuán)來調(diào)整目錄，以滿足業(yè)務(wù)和網(wǎng)絡(luò)的要求。Active Directory 允許每個域有幾百萬個對象，并使用索引技術(shù)和先進(jìn)的復(fù)制技術(shù)來加速處理。

● 可擴(kuò)展性。Active Directory 數(shù)據(jù)庫的架構(gòu)可以被擴(kuò)展，以便允許自定義的信息類型。

● 可管理性。Active Directory 是基于分組組織結(jié)構(gòu)的。這些組織結(jié)構(gòu)使管理員能更容易地控制管理權(quán)限和其他安全設(shè)置，并且使用戶能更容易地定位網(wǎng)絡(luò)資源，比如文件和打印機(jī)

● 與DNS 相集成。Active Directory 使用了DNS ，它是一種基于IP 地址的Internet 標(biāo)準(zhǔn)服務(wù)，可以把可讀性好的主機(jī)名稱轉(zhuǎn)換為IP 地址，雖然Active Directory 和DNS 是分開的，并且由于用途不同而被方式不同，但是它們有相同的分級結(jié)構(gòu)。Active Directory 客戶端使用 DNS 來定位域 控制

器。在使用Windows Server 2003 DNS 服務(wù)時，可以將主DNS 區(qū)域存儲在Active Directory 中，并啟用到其他Active Directory域控制器的復(fù)制。

● 客戶端配置管理。Active Directory 提供了新技術(shù)來管理客戶端配置問題，例如配置文件可以在不同的機(jī)器上漫游，即便發(fā)生硬盤故障，也可以在別的機(jī)器上馬上重新開始工作，這樣可以將管理工作和用戶停機(jī)時間都減到最小

● 基于策略的管理。在Active Directory 中，策略用于定義給定站點(diǎn)、域或者組織單元上用戶和計算機(jī)的可進(jìn)行的操作和設(shè)置?；诓呗缘墓芾砗喕艘恍┥敌热绮僮飨到y(tǒng)更新、應(yīng)用程序安裝、用戶配置文件和桌面系統(tǒng)鎖定

● 信息復(fù)制。Active Directory 提供多謝機(jī)復(fù)制技術(shù)，以確保信息的可用性、容錯、負(fù)載平衡和其他性能優(yōu)點(diǎn)。多主機(jī)復(fù)制使管理員能在任何域控制器上更新目錄并將目錄更改復(fù)制到任何其他域控制器上。由于采用了多臺域控制器，即使一臺域控制器停止了工作，復(fù)制仍可繼續(xù)。

二、AD 域界面預(yù)覽

可以通過開始菜單—管理工具—Active Directory 用戶和計算機(jī) 打開

1.1 Builtin 這個模塊里面的組都是系統(tǒng)的默認(rèn)組

1.2 Computers 這個模塊里面的都是域的客戶端計算機(jī)名（所有加了域的計算機(jī)都會在這個模塊里顯示）

1.3 Domain Contrillers 這個模塊里面的是域控制器的計算機(jī)名

1.4 Users 就是AD 域里面的一些用戶和組了，如果新建的賬戶沒指定分配到哪些地方的話，也會出現(xiàn)在這個Users 里面的

三、AD 域賬號的建立

姓名只是一些描述來的，最重要的是用戶登錄名那里的名稱，因為那個名稱是拿來登陸系統(tǒng)用的，以后用戶登陸系統(tǒng)用的賬號就是這個賬號了，本例為zhang san

密碼的設(shè)定，默認(rèn)密碼的長度最小長度一般為7，開啟了復(fù)雜性的，必須包含英文、數(shù)字、符號的，這些日后可以策略修改的。

用戶下次登陸是必須更改密碼這個也要勾上，密碼讓他們自己保管好

建立完這個用戶后我們還可以對這個用戶的一些具體屬性進(jìn)行詳細(xì)的設(shè)定

四、AD 域OU 的建立

這里隨便輸入一個名稱即可，大家把OU 想象成系統(tǒng)里面組就可以了，只不過這個“組”里面除了可以擺放用戶外，還可以擺放例如計算機(jī)、打印機(jī)之類的東西。本例名稱為dg(東莞)OU 也支持嵌套功能，也就是說可以在這個OU 里面再繼續(xù)創(chuàng)建OU 、一般我們使用OU 都是為了方便劃分用戶或者計算機(jī)的、OU 的劃分可以依據(jù)地理位置、應(yīng)用對象、人員分類等等，總之能區(qū)分的就行

例如我在dg 的基礎(chǔ)OU 上再建立一個qiantai （前臺）前臺下面再建立話1、話2這樣都是可以的，但是官方建議嵌套層面最好不要超過10層。

五、AD 域賬戶OU 間的移動

例如我賬戶張三是屬于dg-qiantai-話1的，那么我們直接選中張三這個賬戶，左鍵直接拖到話1的OU 中就可以了。

六、AD 域策略的介紹以及部署范圍

AD 域默認(rèn)的2個策略，域安全策略以及域控制器安全策略

域安全策略呢，就是針對整個域的用戶、計算機(jī)，如果對這個域安全策略做修改的話，那么它的生效范圍將是整個域（所有加入域的計算機(jī)、或者用戶）

域控制器安全策略，就是針對域控制器服務(wù)器的（DC ），如果針對這個域安全策略做修改的話，那么它的生效范圍是域服務(wù)器

如果域安全策略和域控制器安全策略有沖突的話，以域控制器安全策略為準(zhǔn)

七、AD 域OU 的策略部署

例如我需要對前臺的話務(wù)人員做一條策略是禁止C 盤的，只需要右擊下qiantai 屬性—組策略—新建—策略名稱隨便起個，我這里是為了方便表示。

雙擊策略或者點(diǎn)編輯，就可以直接對策略進(jìn)行編輯修改，本例是禁止C 盤，如若要修改或者限制其他的，請詳細(xì)查看組策略然后按照我所描述的方法就可以了。

選擇要限制的盤符

部署完策略后，在服務(wù)器上執(zhí)行這條命令，意思就是刷新策略，后面跟的參數(shù)是強(qiáng)制刷新的意思。如果想要客戶端也立即生效的話也同樣在客戶端上執(zhí)行一樣命令，因為AD 域策略默認(rèn)是90分鐘才自動刷新一次的，所以你不更新要等90分鐘才能看到效果

有一點(diǎn)要特別申明一下

這里的【計算機(jī)配置】策略所應(yīng)用的范圍是計算機(jī)，也就是說你建立的OU 里面所包含的對象必須是計算機(jī)才能生效，相對的來說【用戶配置】的話對象就是針對賬戶來做的。

【計算機(jī)配置】命令刷新后，需注銷或者重起計算機(jī)才能看到效果

【用戶配置】命令刷新后，就可看見效果，有個別的需要注銷。

八、AD 域策略的阻止策略繼承和禁止替代

如果勾上阻止策略繼承，那么就只有qiantai 這個OU 里面的對象對這個策略生效了，而qiantai 下面的話1室和話2室OU 都不會接收這個策略的

禁止替代呢，就是除了接收自己OU 的策略外，其它策略一概不接收，因為在上下層的OU 里默認(rèn)策略是下級繼承上級的，也就是說，如果下級OU 禁止替代的話，那么上級OU 的策略也就被阻止了下

不來。假如，話1室的策略是開放C 盤，qiantai 的策略是禁止C 盤，而下級OU 話1室有勾上了這個禁止替代，那么最后話1室得到的策略將是開放C 盤

九、客戶端加域操作

在加入域之前首先要知道域控制器（DC ）的IP 地址以及DC 的域名，IP 地址是192.168.0.240而客戶端在加域之前首先要把DNS 的指向指到DC 上，這樣才能解析DC 的域名后才能加域 右擊我的電腦-屬性-計算機(jī)名-更改-選擇域-輸入域名dg10086.gmcc.net

輸入一個有權(quán)限加入域的賬號跟密碼，每個域賬戶都可以加10個成員，管理員無限制

加域成功后，重啟計算機(jī)登陸到域環(huán)境就OK 了！

下拉菜單中選擇登陸的環(huán)境，一個是本機(jī)，一個是域

十、組策略管理(GPMC)工具的使用(重點(diǎn))

GPMC 的主要特征包括諸如組策略對象（GPO ）備份、恢復(fù)、導(dǎo)入、復(fù)制與報表生成之類的新增功能。

GPMC 工具包可以從微軟官網(wǎng)下載獲取，安裝很簡單一直下一步即可

安裝完畢后可在管理工具下找到組策略管理，直接雙擊運(yùn)行即可

10.1、GPMC 管理界面的認(rèn)識

在AD 里所有的OU 、已設(shè)置的組策略都能在這個工具（GPMC ）里顯示出來，

10.2、組策略的使用

打開 組策略管理 ，打開相關(guān)域下面的組策略對象，用右鍵打開菜單新建。

新建完之后，我們就可對這個對象進(jìn)行編輯了。在相應(yīng)的策略上面右鍵打開菜單，點(diǎn)編輯。(見下圖)

點(diǎn)編輯之后，就會出現(xiàn)如我們平時在PC 上用gpedit.msc 打開的組策略管理是一樣的。

注意：組策略是分為兩部分的。一是計算機(jī)配置，是針對計算機(jī)應(yīng)用的，二是用戶配置，是針對用戶應(yīng)用的。組策略編輯器是具體使用就不介紹了，這跟平時用的組策略是一樣的。

10.3、組策略應(yīng)用

我們新建的組策略是沒有被應(yīng)用下去的，這點(diǎn)和PC 上面的組策略不一樣，PC 上的組策略是應(yīng)用在本機(jī)上的。面我們域的策略在應(yīng)用在哪里需要系統(tǒng)管理員自己定義。

在組策略管理里面我們只需要把做好的組策略對象拖到你要應(yīng)用的對象下面就可以了，

你可以在這里看出OU 下面與組策略對象下面的策略圖標(biāo)的區(qū)別，相當(dāng)于連接了快捷方式，如果你不需要對這個OU 使用這甘條策略的時候，可以才OU 下面刪除這個快捷方式面不影響其他OU 的應(yīng)用。

10.4、報表形式查看組策略

選中需要查看的策略，然后在右側(cè)，設(shè)置選項中就可以已報表的形式來查看了，可以保存為htm 格式的文件

10.5、組策略的備份、還原、導(dǎo)出和導(dǎo)入

單擊【組策略對象】選中需要操作的策略，然后右擊，根據(jù)所需情況來操作

就這幾個功能是我們這些管理人員日常用到的，其它沒介紹到的各位也可以通過微軟的KB 資料去查看下，這里就不做多介紹了。

十一、AD 服務(wù)器日常維護(hù)方法

1、 最簡單的先使用ping 檢測一下服務(wù)器是否聯(lián)通的，大約3天ping 一次就可以了

2、 使用遠(yuǎn)程桌面登陸到服務(wù)器查看下日志情況，看有無錯誤日志或者警告之類的信息，如有錯誤信

息，可先重啟DNS 和Netlogon 服務(wù)看看

3、 如有錯誤信息或者警告之類的，請在微軟幫助主頁輸入事件ID 號查詢下是什么問題和解決的方

法，或者直接截圖、文檔說明也行發(fā)往我們的郵箱讓我們處理也行

4、 一個星期以內(nèi)重啟下DNS 和Netlogon 服務(wù)

Net stop dns&&net start dns

Net stop netlogon&&net start netlogon

直接在【開始】【運(yùn)行】里輸入上面的命令就可以了，第一條是重啟DNS 服務(wù)，第二條是重啟Netlogon 服務(wù)

5、 日志的備份

策略的備份