補(bǔ)充知識：AD基礎(chǔ)知識培訓(xùn)

活動目錄基礎(chǔ)知識010302什么是活動目錄什么是活動目錄(AD)，活動目錄的優(yōu)點(diǎn),如何搭建ADDNSAD與DNS服務(wù)的關(guān)系，活動目錄的作用用戶，組策略，目錄04在微軟的企業(yè)網(wǎng)絡(luò)架構(gòu)里,『域』占有舉足輕重的地位,可以說WindowsServer的重要功能都建立在域上。

活動目錄（ActiveDirectory），俗稱AD域，是面向服務(wù)器操作系統(tǒng)的目錄服務(wù)。活動目錄軟件包含在服務(wù)器操作系統(tǒng)中。隨著OS不斷升級，活動目錄已經(jīng)從Windows2000—》Windows2003—》Windows2008—》Windows2012。活動目錄為什么需要域如果資源分布在多臺服務(wù)器上，要在每臺服務(wù)器分別為每一員工建立一個賬戶（共M*N），用戶則需要在每臺服務(wù)器上（共M臺）登錄域的好處服務(wù)器和用戶的計算機(jī)都在同一個域中，用戶在域中只要擁有一個賬號用戶只需要在域中擁有一個域賬戶，只需要在域中登錄一次就可以訪問域中的資源了。部署ADDC建立第1個域具體來說,建立第1個域就是要建立第1部域控制器（DomainController,以下簡稱為DC）而建立DC的第1個動作就是執(zhí)行Dcpromo.exe－－但是必須具有系統(tǒng)管理員權(quán)限才能執(zhí)行此程序,因此務(wù)必先以具有系統(tǒng)管理員權(quán)限的用戶帳戶登入。建立第一部DC以下的示范步驟,系假設(shè)目前的網(wǎng)絡(luò)無任何域,所要建立的是整個網(wǎng)絡(luò)的第一個域－－又稱為根域（RootDomain）?！盒略鼋巧徊⑽唇C安裝WindowsServer2008后,啟動時預(yù)設(shè)會自動開啟初始化設(shè)定工作視窗,雖然可以在此窗口中點(diǎn)選新增角色,接著選取安裝ActiveDirectory域服務(wù),以使該計算機(jī)扮演DC角色。然而,這種作法并未真正建立DC,到了最后一個畫面還是要求必須執(zhí)行Dcpromo.exe,如下圖。『新增角色』并未建立DC所以我們建議無須使用新增角色功能,干脆直接執(zhí)行Dcpromo.exe吧！執(zhí)行Dcpromo.exe請按開始鈕,輸入"dcpromo"、按Enter鍵：執(zhí)行Dcpromo.exe之后按完成鈕,再按立即重新啟動鈕。重新啟動后若要確認(rèn)此計算機(jī)是否已經(jīng)是DC,從『開始/系統(tǒng)管理工具』菜單是否出現(xiàn)關(guān)于ActiveDirectory的命令即可得知：執(zhí)行Dcpromo.exe先前在第6步驟所設(shè)的密碼,系使用于當(dāng)AD數(shù)據(jù)庫毀損時,可在開機(jī)啟動WindowsServer2008之前按F8鍵,進(jìn)入目錄服務(wù)還原模式,重建AD數(shù)據(jù)庫。由于此重建動作會改變既有的AD資料,為防止濫用,因此必須以密碼保護(hù),而且此密碼不必和域系統(tǒng)管理員的密碼相同。域中的計算機(jī)除了域控制器之外,域中的計算機(jī)還可區(qū)分成以下兩類：成員服務(wù)器（MemberServer）工作站（Workstation）成員服務(wù)器安裝WindowsServer2008、WindowsServer2003/2003R2、Windows2000Server等系統(tǒng),加入了域、但不是DC的計算機(jī)?；蚴前惭bWindowsNTServer系統(tǒng),且加入域的電腦,都算是成員服務(wù)器。由于這些服務(wù)器都是域的成員,所以審核使用者身份的工作,都交由DC執(zhí)行,使用者只要通過DC的身份驗(yàn)證,即可依據(jù)設(shè)定的權(quán)限來使用服務(wù)器所提供的服務(wù)。換言之,成員服務(wù)器都信任DC的身分驗(yàn)證。最好停用成員服務(wù)器的本機(jī)賬戶雖然加入了域,但是成員服務(wù)器上仍保留本機(jī)的帳戶數(shù)據(jù)庫,因此使用者仍可利用這些本機(jī)帳戶,登入該服務(wù)器。對域的安全管理而言,這些本機(jī)賬戶可能會是漏洞,所以我們建議停用成員服務(wù)器的本機(jī)帳戶,強(qiáng)迫使用者一律以域賬戶登入。工作站所有安裝以下操作系統(tǒng),而且加入域的計算機(jī)都算是工作站：WindowsNTWorkstationWindows2000ProfessionalWindowsXPProfessionalWindows7/vista商用入門版、商用進(jìn)階版和旗艦版工作站使用者可利用這些工作站登入域,存取域中的資源、執(zhí)行應(yīng)用程序等等,但是WindowsServer2008的某些新功能,必須搭配Windows7的工作站才能發(fā)揮效果。而工作站本身仍然保留了本機(jī)帳戶的數(shù)據(jù)庫,使用者利用本機(jī)賬戶登入工作站時,只能使用本機(jī)（該工作站）的資源,但無法存取域上的資源。域外的計算機(jī)首選,應(yīng)該要知道哪些計算機(jī)不能加入AD域？執(zhí)行Linux、Unix等等非Windows系統(tǒng)的電腦。此外,Windows95/98/Me、WindowsXP家庭版、Windows7家庭入門版、Windows7家庭進(jìn)階版,也都沒有加入域的功能。獨(dú)立服務(wù)器簡單地說,未加入域的服務(wù)器就是『獨(dú)立服務(wù)器』－－無論安裝的是Windows或非Windows的服務(wù)器操作系統(tǒng)。它一旦加入域后,角色即轉(zhuǎn)換為『成員服務(wù)器』。相反地,『成員服務(wù)器』如果退出域,則又成為『獨(dú)立服務(wù)器』。如果在『獨(dú)立服務(wù)器』上執(zhí)行Dcpromo.exe,則可升級為DC。獨(dú)立服務(wù)器客戶端計算機(jī)無論是執(zhí)行何種操作系統(tǒng),只要未加入域,而且不是獨(dú)立服務(wù)器的電腦,都可以歸為此類。使用者雖然不能用它們登入域,但仍可利用域帳戶,透過這些計算機(jī)存取域資源。將獨(dú)立服務(wù)器加入域建立域之后,通常會優(yōu)先將網(wǎng)絡(luò)上的獨(dú)立服務(wù)器加入域,以便集中管理。以下示范將WindowsServer2008獨(dú)立服務(wù)器加入域的步驟（此步驟亦適用于Windows7）。2023/1/1522DNS概述DNS：是域名系統(tǒng)（DomainNameSystem）的縮寫，指在Internet中使用的分配名字和地址的機(jī)制。域名系統(tǒng)允許用戶使用友好的名字而不是難以記憶的數(shù)字——IP地址來訪問Internet上的主機(jī)。域名解析：就是將用戶提出的名字變換成網(wǎng)絡(luò)地址的方法和過程，從概念上講，域名解析是一個自上而下的過程。返回全球只有13臺路由DNS根服務(wù)器，在13臺路由服務(wù)器中，名字分別為“A”至“M”，其中10臺設(shè)置在美國，另外各有一臺設(shè)置于英國、瑞典和日本2023/1/1523DNS工作原理遞歸查詢的工作原理迭代查詢的工作原理轉(zhuǎn)發(fā)器的工作原理DNS服務(wù)緩存工作原理返回2023/1/1524遞歸查詢的工作原理計算機(jī)1遞歸查詢37遞歸查找是將查詢提交給DNS服務(wù)器，DNS客戶端需要DNS服務(wù)器提供一個完整的查詢應(yīng)答DNS服務(wù)器檢查緩存和正向查找區(qū)域來應(yīng)答查詢數(shù)據(jù)庫本地DNS服務(wù)器返回返回2023/1/1525迭代查詢的工作原理計算機(jī)1本地DNS服務(wù)器根提示（.）.com遞歸查詢37迭代查詢迭代查詢迭代查詢詢問.com詢問授權(quán)響應(yīng)321返回2023/1/1526轉(zhuǎn)發(fā)器的工作原理轉(zhuǎn)發(fā)器是其他內(nèi)部DNS服務(wù)器將外部域名或者非本地域名的正向查找轉(zhuǎn)發(fā)到指定的DNS服務(wù)器計算機(jī)1根（.）.com迭代查詢迭代查詢迭代查詢詢問.com詢問授權(quán)應(yīng)答本地DNS服務(wù)器轉(zhuǎn)發(fā)器遞歸查詢3737遞歸查詢返回2023/1/1527DNS服務(wù)器緩存的工作原理緩存是將最近訪問的信息臨時存儲在子系統(tǒng)的特殊內(nèi)存中的過程，以便快速訪問客戶端A在哪里?客戶端1客戶端2bielca245bielca24537客戶端A在哪里??bielca245地址是37緩存表主機(jī)名稱IP地址生存時間3730秒返回2023/1/1528域名稱空間根域子域二級域頂級域FQDN:.biel7bielcomsalesbiel1biel2orgnet主機(jī):biele106返回2023/1/1529資源記錄主機(jī)(A)資源記錄別名(CHAME)資源記錄郵件交換器(MX)資源記錄指針(PTR)資源記錄返回2023/1/1530管理客戶端了解DNS客戶端的設(shè)置對DHCP客戶端啟用DNS為靜態(tài)客戶端配置DNS返回AD與DNS服務(wù)的關(guān)系DNS服務(wù)器儲存資源記錄指示計算機(jī)或服務(wù)所在的地址等信息域控制器儲存域中的對象提供身份驗(yàn)證、安全原則及各種對象的信息等DNS在ActiveDirectory所扮演的角色1.修改『首選DNS服務(wù)器』的設(shè)定加入域的先決條件是要能夠連結(jié)到該域的DC,而要連到DC就必須先設(shè)定正確的DNS服務(wù)器地址。先前建立DC的時候,其實(shí)已經(jīng)將該域的DNS服務(wù)器和DC安裝在一起了。換言之,域里的DC和DNS服務(wù)器實(shí)為同一部電腦,所以應(yīng)該將獨(dú)立服務(wù)器上的首選DNS服務(wù)器,設(shè)為DC的IP地址。2.修改『成員隸屬』的設(shè)定請按開始鈕,在電腦項(xiàng)目上按右鈕、執(zhí)行『內(nèi)容』命令：修改『成員隸屬』的設(shè)定加入域后的電腦,其名稱預(yù)設(shè)會出現(xiàn)在DC的ActiveDirectory使用者和電腦窗口的Computers容器中：用于實(shí)現(xiàn)組策略解決方案的過程用于實(shí)現(xiàn)組策略解決方案的過程涉及規(guī)劃、設(shè)計、部署和維護(hù)解決方案。在規(guī)劃組策略設(shè)計時，請確保設(shè)計OU結(jié)構(gòu)以簡化組策略管理并符合服務(wù)級別協(xié)議在設(shè)計階段：定義組策略的應(yīng)用范圍。確定適用于所有企業(yè)用戶的策略設(shè)置。基于角色和位置對用戶和計算機(jī)進(jìn)行分類基于用戶和計算機(jī)要求規(guī)劃桌面配置。部署階段從測試環(huán)境中的暫存過程開始安全設(shè)置組策略提供了一些選項(xiàng)，可以通過這些選項(xiàng)為GPO范圍內(nèi)的計算機(jī)和用戶設(shè)置安全選項(xiàng)。可以為本地計算機(jī)、域和網(wǎng)絡(luò)指定安全設(shè)置。為提供附加保護(hù)，可以應(yīng)用軟件限制策略，防止用戶基于路徑、URL區(qū)域、哈?；虬l(fā)行者條件運(yùn)行文件?？梢酝ㄟ^為特定軟件創(chuàng)建規(guī)則來指定此默認(rèn)安全級別的例外。軟件限制策略設(shè)置

為抵御運(yùn)行WindowsXP和WindowsServer

2003的計算機(jī)上的病毒、有害應(yīng)用程序以及對計算機(jī)的攻擊，組策略提供了新的軟件限制策略設(shè)置?，F(xiàn)在可以使用策略設(shè)置標(biāo)識在域中運(yùn)行的軟件，并控制其執(zhí)行能力。軟件部署

軟件部署進(jìn)程分配軟件發(fā)布軟件自動修復(fù)軟件刪除軟件軟件的發(fā)布與分配將軟件分配給用戶軟件被“通告”給用戶，但是這個軟件并沒有真正安裝，而只是安裝這個軟件有關(guān)的部分信息開始運(yùn)行此軟件利用“文件啟動”功能將軟件發(fā)布給用戶當(dāng)將一個軟件發(fā)布給用戶后，該軟件不會自動安裝，需要執(zhí)行以下操作執(zhí)行操作“開始”－“控制面板”－“添加刪除程序”－“添加程序”利用“文件啟動”功能軟件的發(fā)布與分配將軟件分配給計算機(jī)當(dāng)一個軟件分配給域內(nèi)的計算機(jī)后，當(dāng)這個計算機(jī)啟動時，這個軟件就會自動安裝在這些計算機(jī)里，而且是安裝到公用程序組內(nèi)。分配：用戶或計算機(jī)不可以選擇安裝或不安裝。分發(fā)：用戶可以選擇安裝或不安裝部署MSI軟件創(chuàng)建分布點(diǎn)選擇分發(fā)軟件的方法選擇軟件安裝屬性Changethesoftwaredeploymentproperties3UseaGPOtodeploysoftware2Createasoftware

distributionpoint1PublishAssignProperty1Property2Property3文件夾重定向使用文件夾重定向可以將重要的用戶文件夾（如“文檔”文件夾和“用戶”文件夾）重定向到基于服務(wù)器的位置。InternetExplorer維護(hù)

可以在支持組策略的計算機(jī)上管理和自定義MicrosoftInternetExplorer的配置。組策略對象編輯器包括InternetExplorer“維護(hù)”節(jié)點(diǎn)。部署電源管理設(shè)置所有電源管理設(shè)置都已啟用組策略，從而提供了潛在的巨大成本節(jié)約。通過組策略控制電源設(shè)置可讓組織節(jié)省大量資金。限制設(shè)備訪問可以集中限制在組織的計算機(jī)上安裝設(shè)備?，F(xiàn)在，能夠創(chuàng)建策略設(shè)置以控制對設(shè)備（如USB設(shè)備、CD-RW驅(qū)動器、DVD-RW驅(qū)動器以及其他可移動介質(zhì)）的訪問。新增用戶帳戶WindowsServer2008將用戶帳戶信息儲存于固定的位置,依服務(wù)器類型不同,其位置也不同：域控制器會將帳戶信息存于AD數(shù)據(jù)庫中,該數(shù)據(jù)庫所對應(yīng)的文件為\%systemroot%\NTDS\NTDS.DIT（『%systemroot%』表示W(wǎng)indowsServer2008系統(tǒng)所在的文件夾,預(yù)設(shè)為Windows）。成員服務(wù)器或獨(dú)立服務(wù)器則將帳戶數(shù)據(jù)存于SecurityAccountsManager(SAM)數(shù)據(jù)庫,該數(shù)據(jù)庫對應(yīng)的的文件為\%systemroot%\system32\config\SAM。預(yù)設(shè)容器安裝AD域服務(wù)之后,預(yù)設(shè)會有以下5種容器：Builtin：用來存放內(nèi)建的組,例如：Administrators、AccountOperators、Guests及Users。Computers：用來存放域內(nèi)的計算機(jī)帳戶,凡是加入域的計算機(jī),其計算機(jī)名稱都會出現(xiàn)于此容器內(nèi)。DomainControllers：用來存放域控制器的計算機(jī)帳戶。換言之,域內(nèi)所有的域控制器都會出現(xiàn)在此容器內(nèi)。ForeignSecurityPrincipals：儲存來自有信任關(guān)系域的對象。Users：用來存放域內(nèi)的用戶帳戶及組。設(shè)定賬戶名稱使用者登入名稱即是所謂的UPN（UserPrincipalName）,UPN與e-mail有相似的格式。例如：『emily@』,『emily』是用戶帳戶名稱『,』則代表該賬戶所在的域名；UPN的后半部(@)又稱為UPN后綴。在設(shè)定用戶帳戶名稱時,請遵循以下兩項(xiàng)原則：1.使用者的全名在同一個容器不得重復(fù)；而UPN在整個域(Domain)、域樹(DomainTree)與林(Forest)中都不得重復(fù)。2.使用者的姓名與UPN可以使用中文,如需與WindowsNT4.0相容,則不要超過20個字符,并且不要包含『"/\:;|=,+*?<和>』等特殊符號。設(shè)定帳戶密碼4個多選鈕的意義如下：用戶必須在下次登入時變更密碼：勾選此項(xiàng)后,使用者首次登入域時,系統(tǒng)會強(qiáng)迫他立即設(shè)定新的密碼,并用新密碼來登入。如此可確保連系統(tǒng)管理員也不知道用戶個人的密碼。用戶不能變更密碼：在預(yù)設(shè)的情況下,使用者可以隨時按Ctrl+Alt+Del鍵,然后按變更密碼鈕來變更密碼（這是以WindowsXP/Vista為例）。登入時自動建立的文件夾當(dāng)我們在某一部工作站（假設(shè)是tony-vista）用先前建立的登入名稱（在上例為miin）來登入域時,在該工作站的%systemdrive%\Users文件夾會自動建立同名的子文件夾－『%systemdrive%\Users\miin』,用來儲存該賬戶的用戶配置文件。萬一本機(jī)用戶帳戶也有一個miin,而且更早登入過,意味著『%systemdrive%\Users\miin』早已經(jīng)存在,怎能再建立同名的文件夾呢？此時系統(tǒng)會為域的miin建立『%systemdrive%\Users\miin.xdom』子文件夾以資區(qū)別,其中『xdom』是域名。Administrator-系統(tǒng)管理員帳戶Administrator賬戶擁有最大的控制權(quán),我們無法刪除它,但可以將它更名。更名可讓企圖冒用系統(tǒng)管理員帳戶的用戶,不易猜到真正的名稱。