AD域管理员手册.docVIP

目录 第一章 AD域概述 4 1.1 AD的逻辑结构 4 1.2 AD的物理结构 5 1.3 WIN2003 AD新特性 6 第二章 AD域的安装和卸载 8 2.1 安装WIN2003 AD 8 2.2 确认AD的安装 15 2.2.1 默认容器 15 2.2.2 Active Directory 数据库 16 2.2.3 根域验证 16 2.2.4 DNS 17 2.3 自动卸载WIN2003 AD 17 2.4 手动卸载WIN2003 AD 18 第三章 基本配置 23 3.1 划分OU 23 3.2 站点管理 26 3.3 建立域间信任 27 3.4 防病毒软件排除 28 3.5客户端计算机加入域 30 第四章 备份与恢复 32 4.1 备份AD 32 4.2 AD灾难恢复流程 35 4.2.1灾难类型 35 4.2.2恢复方法 35 4.2.3恢复流程 35 4.3 非权威恢复与权威恢复 40 4.3.1非权威恢复 40 4.3.2权威恢复 41 4.4 非权威恢复具体操作 41 4.5 权威恢复恢复具体操作 42 4.6 AD操作主机转移 43 4.7 还原模式密码更改 47 4.8 恢复Active Director 48 4.8.1 环境分析 48 4.8.2 从AD中清除主域控制器对象 48 4.8.3 在额外域控制器上通过ntdsutil.exe工具夺取五种ＦＭＳＯ操作 50 4.8.4 设置额外控制()为ＧＣ（全局编录） 52 4.8.5 重新安装并恢复损坏主域控制器 52 4.8 备份与恢复DHCP 53 第五章 组策略 53 5.1组策略概念 53 5.2 GPMC 54 5.3常用组策略 55 5.3.1禁止客户端退出域 55 5.3.2 修改软件安装的选项 56 5.3.3修改硬件驱动安装的选项 57 5.3.4开放WINXP防火墙端口 58 第六章 常用脚本 59 6.1管理员密码修改脚本 59 6.2用户导出脚本 60 6.3用户自动加入域 61 6.4将密码设置为从不过期 62 6.5创建 1,000 个用户帐户 63 6.6用户帐户属性 63 6.7用户帐户添加模版 65 附录 66 附录一：实施环境准备参考表 66 第一章 AD域概述 目录服务是一种分布式数据库，用于存储与网络资源有关的信息，以便于查找和管理。Microsoft Active Directory 是用于 Windows 目录服务的实现。涉及目录服务的基本问题围绕着可以将哪些信息存储在数据库中，存储的方式是什么，如何查询特定的信息，以及如何对结果进行处理。Active Directory 包含目录服务本身，以及允许访问支持 X.500 命名规则的数据库的从属服务 活动目录服务提供了单一登录的能力并且为你的整个网络架构提供了一个集中的信息知识库，它大大的简化了用户和计算机的管理并且提供了网络资源的更好的访问方式。 1.3 WIN2003 AD新特性 Windows Server 2003 对于活动目录进行了许多的改善，使得它功能更强大，更可靠也更经济。Windows Server 2003 中的活动目录提供了如下特性：更易于部署和管理 Windows Server 2003增强了管理员的能力以使其即使在包含多个森林、域及站点的大企业中也能有效的配置和管理活动目录。改进的迁移和管理工具连同重命名域的功能，使得部署活动目录任务明显简化。工具也提供了更加人性化的拖曳、多对象的选择以及保存和重用查询的功能。另外对组策略进行了改进以使其能够被更加简单和有效地在活动目录环境中对大量用户和计算机进行管理。 ADMT 2.0 版本 重命名域 架构（Schema）重定义 活动目录应用模式(AD/AM) 组策略的改进 增强的用户界面 更加安全 额外的安全特性使得管理多森林和跨域信任关系更加容易。跨森林的信任关系是有别于现有Windows信任关系的新类型，它可以管理两个森林间的安全关系——大大简化了跨森林的安全管理以及验证。用户可以在不用牺牲单一登录功能的情况下，访问其他森林的资源，并且由于只需在用户所在的森林中维护它的用户ID和口令，因此管理也被大大的简化了。这对于一些需要在某些分公司或区域拥有自己森林的场景提供了更好的灵活性，同时也有利于对活动目录的维护。此外，Windows Server 2003提供了一个新的凭证管理器来放置用户的凭证以及X.509证书。软件控制策略使得管理员可以阻止用户在网络中安装不被允许的程序。 跨森林验证 跨森林授权 交叉认证的增强（Cross-Certification） IAS和跨森林验证 凭证管理器（Credential Manager） 软件限制策略 改进的性能与可靠性 Windows S