管理活動目錄域服務對象

1、管理活動目錄域服務對象模塊概述管理用戶賬戶管理組賬戶管理計算機賬戶授權(quán)管理Lesson 1: 管理用戶賬戶ADDS管理工具創(chuàng)建用戶賬戶配置用戶賬戶屬性創(chuàng)建用戶配置文件示例: 管理用戶賬戶ADDS管理工具管理AD DS對象,您可以使用下面的圖形工具:您也可以使用下面的命令行工具:活動目錄嵌入式管理活動目錄管理中心活動目錄模塊Windows PowerShell目錄服務命令創(chuàng)建用戶賬戶配置用戶屬性創(chuàng)建用戶配置文件示例: 管理用戶賬戶在這個示例中，你將看到:打開活動目錄行政中心刪除一個用戶帳戶創(chuàng)建一個新的用戶帳戶移動用戶帳戶Lesson 2: 管理組賬戶組類型集團范圍實現(xiàn)組管理默認組特殊身份演示:管

2、理組組的類型分布組只做郵件通訊沒有安全標識(SID),不能劃分權(quán)限安全組安全主要與SID;可以被賦予權(quán)限也可以電子郵件啟用組范圍U 用戶C計算機GG全局組DLG域本地組UG通用組組的范圍成員來自同一域從域在同一片森林里成員從外部域成員信任可以對資源分配的權(quán)限本地組U, C,GG, DLG, UGand local usersU, C,GG, UGU, C,GGOn the local computer only域本地組U, C,GG, DLG, UGU, C,GG, UGU, C,GGAnywhere in the domain通用組U, C,GG, UGU, C,GG, UGN/AAnywh

3、ere in the forest全局組U, C,GGN/AN/AAnywhere in the domain or a trusted domain實施組管理ACL_Sales_Read(Domain Local Group)域本地組提供管理，比如資源訪問DLwhich are Sales(Global Group)Auditors(Global Group)在一個多域森林，用IGUDLA指定資源訪問A身份用戶或計算機作為成員I全局組這收集基于成員的角色成員作為成員G默認組仔細管理,提供默認組的管理權(quán)限,因為這些群體:通常有更廣泛的特權(quán)比是必要的對于大多數(shù)委托環(huán)境他們的成員通常都用保護組位置

4、Enterprise Admins用戶容器的森林根域Schema Admins用戶容器的森林根域Administrators 內(nèi)置的容器的每個域Domain Admins 每個域用戶的容器Server Operators 內(nèi)置的容器的每個域Account Operators內(nèi)置的容器的每個域Backup Operators內(nèi)置的容器的每個域Print Operators內(nèi)置的容器的每個域特殊身份特殊身份:是團體的成員是由操作系統(tǒng)可以使用Windows服務器操作系統(tǒng)來提供對資源的訪問:基于類型的身份驗證或連接不是基于用戶帳戶重要的特殊身份包括:Anonymous LogonAuthenticat

5、ed UsersEveryoneInteractiveNetwork示例: 管理組在這個示例中，你將看到:創(chuàng)建一個新的組在組中添加成員添加用戶到組修改組的類型和范圍修改組屬性Lesson 3: 管理計算機賬戶計算機容器是什么?指定位置的計算機帳戶控制權(quán)限創(chuàng)建計算機帳戶計算機帳戶和安全通道重置安全通道計算機容器是什么?指定位置的計算機帳戶最佳實踐是創(chuàng)建計算機對象的OU服務器通常的服務器角色計算機客戶通常按地區(qū)劃分典型OU:使用管理方便的配置和組策略控制權(quán)限創(chuàng)建計算機帳戶計算機帳戶和安全通道計算機帳戶sAM賬戶名和密碼用于創(chuàng)建一個安全通道之間的電腦和域控制器一條安全通道是可以打破的重新安裝一臺電腦

6、,即使有相同的名稱,會生成一個新的SID和密碼恢復一個計算機從一個舊備份,或回滾電腦一個古老的快照計算機和域同意密碼重置安全通道不要刪除計算機或者重新加入域這個過程會創(chuàng)建一個新的帳戶,導致新的SID和失去的組成員選擇重置安全通道:Active Directory 用戶和計算機DSMod.exeNetDom.exeNLTest.exeWindows PowerShellLesson 4: 授權(quán)管理ADDS權(quán)限起作用 ADDS 權(quán)限示例: 委派管理權(quán)限ADDS 權(quán)限有效地ADDS權(quán)限權(quán)限分配給用戶和組累加最佳實踐是分配權(quán)限組,而不是個人用戶在發(fā)生沖突:評估有效權(quán)限,您可以使用:拒絕權(quán)限覆蓋允許權(quán)限

7、顯式權(quán)限覆蓋繼承權(quán)限顯式允許重寫繼承了否認有效的權(quán)限標簽手動分析示例: 委派管理控制在這個示例中,你將看到:代表一個標準的任務代表一個自定義的任務視圖AD DS權(quán)限Lab: 管理AD DS對象Exercise 1:授權(quán)管理一個分公司Exercise 2:創(chuàng)建和配置用戶帳戶在AD DSExercise 3:管理計算機對象在AD DS登錄信息虛擬機20410B-LON-DC120410B-LON-CL1用戶名AdatumAdministrator密碼 Pa$w0rdEstimated Time: 60 minutes實驗場景A. Datum公司是一個全球工程和制造業(yè)公司,總部設在英國倫敦。一個IT辦公室和數(shù)據(jù)中心位于倫敦支持倫敦辦公室和其他地方。一個?；鶞首罱渴鹨粋€Windows Server 2012的基礎設施與Windows 8的客戶。你已經(jīng)工作了A. Datum作為桌面支持專家,先后訪問了桌面電腦來解決應用程序和網(wǎng)絡問題。你最近接受晉升到服務器支持團隊。你的第一個任務是配置基礎設施服務,一個新的辦事處。開始部署新分公司的辦公室,你準備AD DS對象。這個準備的一部分,您需要創(chuàng)建一個OU的分支機構(gòu)和委托權(quán)限來管理它。然后你需要創(chuàng)建用戶和