管理活動(dòng)目錄域服務(wù)對(duì)象

1、管理活動(dòng)目錄域服務(wù)對(duì)象模塊概述管理用戶賬戶管理組賬戶管理計(jì)算機(jī)賬戶授權(quán)管理Lesson 1: 管理用戶賬戶ADDS管理工具創(chuàng)建用戶賬戶配置用戶賬戶屬性創(chuàng)建用戶配置文件示例: 管理用戶賬戶ADDS管理工具管理AD DS對(duì)象,您可以使用下面的圖形工具:您也可以使用下面的命令行工具:活動(dòng)目錄嵌入式管理活動(dòng)目錄管理中心活動(dòng)目錄模塊Windows PowerShell目錄服務(wù)命令創(chuàng)建用戶賬戶配置用戶屬性創(chuàng)建用戶配置文件示例: 管理用戶賬戶在這個(gè)示例中，你將看到:打開(kāi)活動(dòng)目錄行政中心刪除一個(gè)用戶帳戶創(chuàng)建一個(gè)新的用戶帳戶移動(dòng)用戶帳戶Lesson 2: 管理組賬戶組類型集團(tuán)范圍實(shí)現(xiàn)組管理默認(rèn)組特殊身份演示:管

2、理組組的類型分布組只做郵件通訊沒(méi)有安全標(biāo)識(shí)(SID),不能劃分權(quán)限安全組安全主要與SID;可以被賦予權(quán)限也可以電子郵件啟用組范圍U 用戶C計(jì)算機(jī)GG全局組DLG域本地組UG通用組組的范圍成員來(lái)自同一域從域在同一片森林里成員從外部域成員信任可以對(duì)資源分配的權(quán)限本地組U, C,GG, DLG, UGand local usersU, C,GG, UGU, C,GGOn the local computer only域本地組U, C,GG, DLG, UGU, C,GG, UGU, C,GGAnywhere in the domain通用組U, C,GG, UGU, C,GG, UGN/AAnywh

3、ere in the forest全局組U, C,GGN/AN/AAnywhere in the domain or a trusted domain實(shí)施組管理ACL_Sales_Read(Domain Local Group)域本地組提供管理，比如資源訪問(wèn)DLwhich are Sales(Global Group)Auditors(Global Group)在一個(gè)多域森林，用IGUDLA指定資源訪問(wèn)A身份用戶或計(jì)算機(jī)作為成員I全局組這收集基于成員的角色成員作為成員G默認(rèn)組仔細(xì)管理,提供默認(rèn)組的管理權(quán)限,因?yàn)檫@些群體:通常有更廣泛的特權(quán)比是必要的對(duì)于大多數(shù)委托環(huán)境他們的成員通常都用保護(hù)組位置

4、Enterprise Admins用戶容器的森林根域Schema Admins用戶容器的森林根域Administrators 內(nèi)置的容器的每個(gè)域Domain Admins 每個(gè)域用戶的容器Server Operators 內(nèi)置的容器的每個(gè)域Account Operators內(nèi)置的容器的每個(gè)域Backup Operators內(nèi)置的容器的每個(gè)域Print Operators內(nèi)置的容器的每個(gè)域特殊身份特殊身份:是團(tuán)體的成員是由操作系統(tǒng)可以使用Windows服務(wù)器操作系統(tǒng)來(lái)提供對(duì)資源的訪問(wèn):基于類型的身份驗(yàn)證或連接不是基于用戶帳戶重要的特殊身份包括:Anonymous LogonAuthenticat

5、ed UsersEveryoneInteractiveNetwork示例: 管理組在這個(gè)示例中，你將看到:創(chuàng)建一個(gè)新的組在組中添加成員添加用戶到組修改組的類型和范圍修改組屬性Lesson 3: 管理計(jì)算機(jī)賬戶計(jì)算機(jī)容器是什么?指定位置的計(jì)算機(jī)帳戶控制權(quán)限創(chuàng)建計(jì)算機(jī)帳戶計(jì)算機(jī)帳戶和安全通道重置安全通道計(jì)算機(jī)容器是什么?指定位置的計(jì)算機(jī)帳戶最佳實(shí)踐是創(chuàng)建計(jì)算機(jī)對(duì)象的OU服務(wù)器通常的服務(wù)器角色計(jì)算機(jī)客戶通常按地區(qū)劃分典型OU:使用管理方便的配置和組策略控制權(quán)限創(chuàng)建計(jì)算機(jī)帳戶計(jì)算機(jī)帳戶和安全通道計(jì)算機(jī)帳戶sAM賬戶名和密碼用于創(chuàng)建一個(gè)安全通道之間的電腦和域控制器一條安全通道是可以打破的重新安裝一臺(tái)電腦

6、,即使有相同的名稱,會(huì)生成一個(gè)新的SID和密碼恢復(fù)一個(gè)計(jì)算機(jī)從一個(gè)舊備份,或回滾電腦一個(gè)古老的快照計(jì)算機(jī)和域同意密碼重置安全通道不要?jiǎng)h除計(jì)算機(jī)或者重新加入域這個(gè)過(guò)程會(huì)創(chuàng)建一個(gè)新的帳戶,導(dǎo)致新的SID和失去的組成員選擇重置安全通道:Active Directory 用戶和計(jì)算機(jī)DSMod.exeNetDom.exeNLTest.exeWindows PowerShellLesson 4: 授權(quán)管理ADDS權(quán)限起作用 ADDS 權(quán)限示例: 委派管理權(quán)限ADDS 權(quán)限有效地ADDS權(quán)限權(quán)限分配給用戶和組累加最佳實(shí)踐是分配權(quán)限組,而不是個(gè)人用戶在發(fā)生沖突:評(píng)估有效權(quán)限,您可以使用:拒絕權(quán)限覆蓋允許權(quán)限

7、顯式權(quán)限覆蓋繼承權(quán)限顯式允許重寫繼承了否認(rèn)有效的權(quán)限標(biāo)簽手動(dòng)分析示例: 委派管理控制在這個(gè)示例中,你將看到:代表一個(gè)標(biāo)準(zhǔn)的任務(wù)代表一個(gè)自定義的任務(wù)視圖AD DS權(quán)限Lab: 管理AD DS對(duì)象Exercise 1:授權(quán)管理一個(gè)分公司Exercise 2:創(chuàng)建和配置用戶帳戶在AD DSExercise 3:管理計(jì)算機(jī)對(duì)象在AD DS登錄信息虛擬機(jī)20410B-LON-DC120410B-LON-CL1用戶名AdatumAdministrator密碼 Pa$w0rdEstimated Time: 60 minutes實(shí)驗(yàn)場(chǎng)景A. Datum公司是一個(gè)全球工程和制造業(yè)公司,總部設(shè)在英國(guó)倫敦。一個(gè)IT辦公室和數(shù)據(jù)中心位于倫敦支持倫敦辦公室和其他地方。一個(gè)?；鶞?zhǔn)最近部署一個(gè)Windows Server 2012的基礎(chǔ)設(shè)施與Windows 8的客戶。你已經(jīng)工作了A. Datum作為桌面支持專家,先后訪問(wèn)了桌面電腦來(lái)解決應(yīng)用程序和網(wǎng)絡(luò)問(wèn)題。你最近接受晉升到服務(wù)器支持團(tuán)隊(duì)。你的第一個(gè)任務(wù)是配置基礎(chǔ)設(shè)施服務(wù),一個(gè)新的辦事處。開(kāi)始部署新分公司的辦公室,你準(zhǔn)備AD DS對(duì)象。這個(gè)準(zhǔn)備的一部分,您需要?jiǎng)?chuàng)建一個(gè)OU的分支機(jī)構(gòu)和委托權(quán)限來(lái)管理它。然后你需要?jiǎng)?chuàng)建用戶和