關于我們
書單推薦
新書推薦
|
Windows Server 2016 Active Directory配置指南
本書由臺灣知名的微軟技術專家戴有煒先生傾力編著,是他最新推出的Windows Server 2016三卷力作中的Active Directory配置指南篇。
本書延續(xù)了作者的一貫寫作風格:大量的實例演示兼具理論,以及完整清晰的操作過程,以簡單易懂的文字進行描述,內(nèi)容豐富,圖文并茂。本書共分13章,內(nèi)容包括Active Directory域服務、建立AD DS域、域用戶與組賬戶的管理、利用組策略管理用戶工作環(huán)境、利用組策略部署軟件、限制軟件的運行、建立域樹和林、管理域和林信任、AD DS數(shù)據(jù)庫的復制、操作主機的管理、AD DS的維護、將資源發(fā)布到AD DS以及自動信任根CA。 本書面向廣大初、中級網(wǎng)絡技術人員、網(wǎng)絡管理和維護人員,也可作為高等院校相關專業(yè)和技術培訓班的教學用書,同時可以作為微軟認證考試的參考用書。
本套書的宗旨是希望能夠讓讀者通過實際應用操作來充分理解Windows Server 2016,進而輕松管理Windows Server 2016的網(wǎng)絡環(huán)境。書中不但理論闡述清晰,且范例豐富。對需要參加微軟認證考試的讀者來說,本書更是不可或缺的實用參考手冊。
循序漸進地介紹Active Directory域服務(AD DS)的基本概念:從域基本概念、域樹狀目錄、域樹、站點、域與林功能等級到目錄分區(qū),使讀者有基本的認識。 獨家講述實用的Active Directory域服務(AD DS)配置專題。 按部就班地介紹如何配置“Server Core服務器”與“Nano服務器”,讓您很容易建立一個更安全的、管理負擔更低的運行環(huán)境。 深入探討組策略的關鍵問題,包括組策略的運行、賬戶策略、自動報告指令碼、*項設置、文件夾重定向、WMI篩選器、組策略模型、組策略結果、入門GPO等。 涵蓋經(jīng)典且實用的專題,包括限制用戶運行軟件、限制訪問可移動存儲設備、管理用戶工作環(huán)境、管理客戶端計算機環(huán)境、一次同時添加多個用戶賬戶等。 身為IT人員必備的知識與技能,包括:操作主機的管理、AD DS的備份與恢復、Active Directory資源回收站、AD DS數(shù)據(jù)庫的維護與優(yōu)化、通過AD DS公布資源、AD DS數(shù)據(jù)庫的復制、站點的配置與管理、AD DS與防火墻等。 完整詳細地說明域環(huán)境的配置,包括域樹、域樹狀目錄、域、子域、域控制器、只讀域控制器(RODC)、RODC階段式安裝、域升級、自動安裝域控制器、加入域、脫機加入域與脫離域等。 軟件部署的完整介紹,包含軟件發(fā)布、軟件分配、軟件升級、自動修復部署的軟件、Adobe Acrobat的部署、軟件重新包裝等,讓系統(tǒng)管理員更容易管理客戶端所需的軟件。 介紹如何建立信任關系,包含快捷方式信任、林信任、外部信任等,讓大型網(wǎng)絡之間溝通更加容易和有效。 采用Windows Server 2016 Hyper-V的虛擬環(huán)境,因此只要一臺電腦就可以建立完整的學習環(huán)境。 作者以多年的實踐經(jīng)驗,詳細列舉實際操作時的心得和技巧,引導您部署穩(wěn)定的AD DS運行環(huán)境。
序
首先要感謝讀者長期以來的支持與愛護!這一系列書籍仍然采用我一貫秉承的編寫風格,也就是完全站在讀者立場思考,并且以務實的觀點來改編升級這三本W(wǎng)indows Server 2016書籍。我花費了相當多的時間在不斷地測試與驗證書中所述內(nèi)容,并融合多年的教學經(jīng)驗,以最容易讓你理解的方式將其寫到書中,希望能夠幫助你快速地學會Windows Server 2016。 本套書的宗旨是希望能夠讓讀者通過書中豐富的示例與詳盡的實用操作來充分了解Windows Server 2016,進而能夠輕松地管理Windows Server 2016的網(wǎng)絡環(huán)境,因此書中不但理論解說清晰,而且范例充足。對需要參加微軟認證考試的讀者來說,這套書更是不可或缺的實用參考手冊。 學習網(wǎng)絡操作系統(tǒng),首當其沖注重動手實踐,唯有實際演練書中所介紹的各項技術,才能充分了解與掌握它,因此建議使用Windows Server 2016 Hyper-V等提供虛擬技術的軟件來搭建書中的網(wǎng)絡測試環(huán)境。 本套書分為《Windows Server 2016 Active Directory配置指南》《Windows Server 2016系統(tǒng)配置指南》《Windows Server 2016網(wǎng)絡管理與架站》三本,內(nèi)容豐富翔實,相信這幾本書仍然不會辜負你的期望,在學習Windows Server 2016時給予你最大的幫助。 感謝所有讓這套書能夠順利出版的朋友們,他們給予寶貴的意見、幫助版面編排、支持技術審校、出借測試設備或提供軟件資源等方面的協(xié)助。 戴有煒
戴有煒:臺灣微軟認證系統(tǒng)工程師(MCSE),微軟認證講師(MCT),微軟資深顧問。歷任IT部門主管、研發(fā)部門主管、技術總監(jiān)、講師等。 精通Windows Server技術,Windows Server系列暢銷書作者。
目 錄
第1章 Active Directory域服務(AD DS) 1 1.1 Active Directory域服務概述 2 1.1.1 Active Directory域服務的適用范圍(Scope) 2 1.1.2 名稱空間(Namespace) 2 1.1.3 對象(Object)與屬性(Attribute) 3 1.1.4 容器(Container)與組織單位(Organization Units,OU) 3 1.1.5 域樹(Domain Tree) 4 1.1.6 信任(Trust) 5 1.1.7 林(Forest) 5 1.1.8 架構(Schema) 6 1.1.9 域控制器(Domain Controller) 6 1.1.10 只讀域控制器(RODC) 7 1.1.11 可重啟的AD DS(Restartable AD DS) 9 1.1.12 Active Directory回收站 9 1.1.13 AD DS的復制模式 9 1.1.14 域中的其他成員計算機 10 1.1.15 DNS服務器 11 1.1.16 輕型目錄訪問協(xié)議(LDAP) 11 1.1.17 全局編錄(Global Catalog) 12 1.1.18 站點(Site) 12 1.1.19 目錄分區(qū)(Directory Partition) 13 1.2 域功能級別與林功能級別 14 1.2.1 域功能級別(Domain Functionality Level) 14 1.2.2 林功能級別(Forest Functionality Level) 14 1.3 Active Directory輕型目錄服務 15 第2章 建立AD DS域 17 2.1 建立AD DS域前的準備工作 18 2.1.1 選擇適當?shù)腄NS域名 18 2.1.2 準備好一臺支持AD DS的DNS服務器 18 2.1.3 選擇AD DS數(shù)據(jù)庫的存儲位置 20 2.2 建立AD DS域 21 2.3 確認AD DS域是否正常 27 2.3.1 檢查DNS服務器內(nèi)的記錄是否完備 27 2.3.2 排除注冊失敗的問題 30 2.3.3 檢查AD DS數(shù)據(jù)庫文件與SYSVOL文件夾 30 2.3.4 新增的管理工具 32 2.3.5 查看事件日志文件 33 2.4 提升域與林功能級別 33 2.5 新建額外域控制器與RODC 34 2.5.1 安裝額外域控制器 35 2.5.2 利用安裝媒體來安裝額外域控制器 40 2.5.3 更改RODC的委派與密碼復制策略設置 42 2.6 RODC階段式安裝 44 2.6.1 建立RODC賬戶 44 2.6.2 將服務器附加到RODC賬戶 48 2.7 將Windows計算機加入或脫離域 51 2.7.1 將Windows計算機加入域 52 2.7.2 利用已加入域的計算機登錄 55 2.7.3 脫機加入域 57 2.7.4 脫離域 58 2.8 在域成員計算機內(nèi)安裝AD DS管理工具 59 2.9 刪除域控制器與域 61 第3章 域用戶與組賬戶的管理 66 3.1 管理域用戶賬戶 67 3.1.1 創(chuàng)建組織單位與域用戶賬戶 68 3.1.2 用戶登錄賬戶 69 3.1.3 創(chuàng)建UPN后綴 70 3.1.4 賬戶的常規(guī)管理工作 72 3.1.5 域用戶賬戶的屬性設置 73 3.1.6 搜索用戶賬戶 75 3.1.7 域控制器之間數(shù)據(jù)的復制 80 3.2 一次同時新建多個用戶賬戶 81 3.2.1 利用csvde.exe來新建用戶賬戶 82 3.2.2 利用ldifde.exe來新建、修改與刪除用戶賬戶 83 3.2.3 利用dsadd.exe等程序添加、修改與刪除用戶賬戶 84 3.3 域組賬戶 86 3.3.1 域內(nèi)的組類型 86 3.3.2 組的作用域 86 3.3.3 域組的創(chuàng)建與管理 88 3.3.4 AD DS內(nèi)置的組 88 3.3.5 特殊組賬戶 90 3.4 組的使用原則 91 3.4.1 A、G、DL、P原則 91 3.4.2 A、G、G、DL、P原則 91 3.4.3 A、G、U、DL、P原則 92 3.4.4 A、G、G、U、DL、P原則 92 第4章 利用組策略管理用戶工作環(huán)境 93 4.1 組策略概述 94 4.1.1 組策略的功能 94 4.1.2 組策略對象 95 4.1.3 策略設置與首選項設置 98 4.1.4 組策略的應用時機 98 4.2 策略設置實例演練 99 4.2.1 策略設置實例演練一:計算機配置 99 4.2.2 策略設置實例演練二:用戶配置 102 4.3 首選項設置實例演練 105 4.3.1 首選項設置實例演練一 105 4.3.2 首選項設置實例演練二 109 4.4 組策略的處理規(guī)則 112 4.4.1 一般的繼承與處理規(guī)則 112 4.4.2 例外的繼承設置 113 4.4.3 特殊的處理設置 116 4.4.4 更改管理GPO的域控制器 120 4.4.5 更改組策略的應用間隔時間 122 4.5 利用組策略來管理計算機與用戶環(huán)境 124 4.5.1 計算機配置的管理模板策略 124 4.5.2 用戶配置的管理模板策略 126 4.5.3 賬戶策略 127 4.5.4 用戶權限分配策略 130 4.5.5 安全選項策略 132 4.5.6 登錄/注銷、啟動/關機腳本 133 4.5.7 文件夾重定向 136 4.6 利用組策略限制訪問可移動存儲設備 142 4.7 WMI篩選器 144 4.8 組策略建模與組策略結果 149 4.9 組策略的委派管理 154 4.9.1 站點、域或組織單位的GPO鏈接委派 155 4.9.2 編輯GPO的委派 155 4.9.3 新建GPO的委派 156 4.10 StarterGPO的設置與使用 157 第5章 利用組策略部署軟件 159 5.1 軟件部署概述 160 5.1.1 將軟件分配給用戶 160 5.1.2 將軟件分配給計算機 160 5.1.3 將軟件發(fā)布給用戶 160 5.1.4 自動修復軟件 161 5.1.5 刪除軟件 161 5.2 將軟件發(fā)布給用戶 161 5.2.1 發(fā)布軟件 161 5.2.2 客戶端安裝被發(fā)布的軟件 164 5.2.3 測試自動修復軟件的功能 165 5.2.4 取消已發(fā)布的軟件 166 5.3 將軟件分配給用戶或計算機 167 5.3.1 分配給用戶 167 5.3.2 分配給計算機 168 5.4 將軟件升級 168 5.5 部署Adobe Acrobat 172 5.5.1 部署基礎版 172 5.5.2 部署更新程序 174 第6章 限制軟件的運行 177 6.1 軟件限制策略概述 178 6.1.1 哈希規(guī)則 178 6.1.2 證書規(guī)則 178 6.1.3 路徑規(guī)則 179 6.1.4 網(wǎng)絡區(qū)域規(guī)則 179 6.1.5 規(guī)則的優(yōu)先級 179 6.2 啟用軟件限制策略 180 6.2.1 建立哈希規(guī)則 181 6.2.2 建立路徑規(guī)則 183 6.2.3 建立證書規(guī)則 185 6.2.4 建立網(wǎng)絡區(qū)域規(guī)則 188 6.2.5 不要將軟件限制策略應用到本地系統(tǒng)管理員 188 第7章 建立域樹與林 190 7.1 建立第一個域 191 7.2 建立子域 191 7.3 建立林中的第二個域樹 198 7.3.1 選擇適當?shù)腄NS架構 198 7.3.2 建立第二個域樹 200 7.4 刪除子域與域樹 206 7.5 更改域控制器的計算機名稱 210 第8章 管理域與林信任 214 8.1 域與林信任概述 215 8.1.1 信任域與受信任域 215 8.1.2 跨域訪問資源的流程 215 8.1.3 信任的種類 218 8.1.4 建立信任前的注意事項 221 8.2 建立快捷方式信任 223 8.3 建立林信任 229 8.3.1 建立林信任前的注意事項 229 8.3.2 開始建立林信任 230 8.3.3 選擇性身份驗證設置 238 8.4 建立外部信任 240 8.5 管理與刪除信任 242 8.5.1 信任的管理 242 8.5.2 信任的刪除 244 第9章 AD DS數(shù)據(jù)庫的復制 247 9.1 站點與AD DS數(shù)據(jù)庫的復制 248 9.1.1 同一個站點之間的復制 248 9.1.2 不同站點之間的復制 250 9.1.3 目錄分區(qū)與復制拓撲 251 9.1.4 復制通信協(xié)議 251 9.2 默認站點的管理 252 9.2.1 默認的站點 252 9.2.2 Servers文件夾與復制設置 253 9.3 利用站點來管理AD DS復制 256 9.3.1 建立站點與子網(wǎng) 257 9.3.2 建立站點鏈接 259 9.3.3 將域控制器移動到所屬的站點 261 9.3.4 指定首選的bridgehead服務器 262 9.3.5 站點鏈接與AD DS數(shù)據(jù)庫的復制設置 264 9.3.6 站點鏈接橋 265 9.3.7 站點鏈接橋的兩個范例討論 267 9.4 管理全局編錄服務器 269 9.4.1 向全局編錄內(nèi)添加屬性 270 9.4.2 全局編錄的功能 270 9.4.3 通用組成員緩存 272 9.5 解決AD DS復制沖突的問題 274 9.5.1 屬性標記 274 9.5.2 沖突的種類 274 第10章 操作主機的管理 278 10.1 操作主機概述 279 10.1.1 架構操作主機 279 10.1.2 域命名操作主機 279 10.1.3 RID操作主機 280 10.1.4 PDC模擬器操作主機 280 10.1.5 基礎結構操作主機 283 10.2 操作主機的放置優(yōu)化 284 10.2.1 基礎結構操作主機的放置 284 10.2.2 PDC模擬器操作主機的放置 284 10.2.3 林級別操作主機的放置 285 10.2.4 域級別操作主機的放置 285 10.3 找出扮演操作主機角色的域控制器 286 10.3.1 利用管理控制臺找出扮演操作主機的域控制器 286 10.3.2 利用命令找出扮演操作主機的域控制器 288 10.4 轉(zhuǎn)移操作主機角色 289 10.4.1 利用管理控制臺 290 10.4.2 利用Windows PowerShell命令 292 10.5 奪取操作主機角色 293 10.5.1 操作主機停擺所造成的影響 293 10.5.2 奪取操作主機角色實例演練 295 第11章 AD DS的維護 297 11.1 系統(tǒng)狀態(tài)概述 298 11.1.1 AD DS數(shù)據(jù)庫 298 11.1.2 SYSVOL文件夾 299 11.2 備份AD DS 299 11.2.1 安裝Windows Server Backup功能 299 11.2.2 備份系統(tǒng)狀態(tài) 300 11.3 還原AD DS 303 11.3.1 進入目錄服務修復模式的方法 303 11.3.2 執(zhí)行AD DS的非授權還原 304 11.3.3 針對被刪除的AD DS對象執(zhí)行授權還原 309 11.4 AD DS數(shù)據(jù)庫的移動與整理 312 11.4.1 可重新啟動的AD DS(Restartable AD DS) 313 11.4.2 移動AD DS數(shù)據(jù)庫文件 313 11.4.3 重整AD DS數(shù)據(jù)庫 317 11.5 重置“目錄服務修復模式”的系統(tǒng)管理員密碼 320 11.6 更改可重新啟動的AD DS的登錄設置 321 11.7 Active Directory回收站 322 第12章 將資源發(fā)布到AD DS 326 12.1 將共享文件夾發(fā)布到AD DS 327 12.1.1 利用Active Directory用戶和計算機控制臺 327 12.1.2 利用計算機管理控制臺 329 12.2 查找AD DS內(nèi)的資源 329 12.2.1 通過網(wǎng)絡 330 12.2.2 通過Active Directory用戶和計算機控制臺 331 12.3 將共享打印機發(fā)布到AD DS 332 12.3.1 發(fā)布打印機 332 12.3.2 通過AD DS查找共享打印機 333 12.3.3 利用打印機位置來查找打印機 333 第13章 自動信任根CA 338 13.1 自動信任CA的設置準則 339 13.2 自動信任內(nèi)部的獨立CA 339 13.2.1 下載獨立根CA的證書并保存 340 13.2.2 將CA證書導入到受信任的根證書頒發(fā)機構 341 13.3 自動信任外部的CA 344 13.3.1 下載獨立根CA的證書并保存 344 13.3.2 建立證書信任列表(CTL) 347 附錄A AD DS與防火墻 351 A.1 AD DS相關的端口 352 A.1.1 將客戶端計算機加入域、用戶登錄時會用到的端口 352 A.1.2 計算機登錄時會用到的端口 353 A.1.3 建立域信任時會用到的端口 353 A.1.4 驗證域信任時會用到的端口 353 A.1.5 訪問文件資源時會用到的端口 354 A.1.6 執(zhí)行DNS查詢時會用到的端口 354 A.1.7 執(zhí)行AD DS數(shù)據(jù)庫復制時會用到的端口 354 A.1.8 文件復制服務(FRS)會用到的端口 354 A.1.9 分布式文件系統(tǒng)(DFS)會用到的端口 355 A.1.10 其他可能需要開放的端口 355 A.2 限制動態(tài)RPC端口的使用范圍 356 A.2.1 限制所有服務的動態(tài)RPC端口范圍 356 A.2.2 限制AD DS數(shù)據(jù)庫復制使用指定的靜態(tài)端口 357 A.2.3 限制FRS使用指定的靜態(tài)端口 358 A.2.4 限制DFS使用指定的靜態(tài)端口 359 A.3 IPSec與VPN端口 360 A.3.1 IPSec所使用的通信協(xié)議與端口 360 A.3.2 PPTP VPN所使用的通信協(xié)議與端口 361 A.3.3 L2TP/IPSec所使用的通信協(xié)議與端口 361 附錄B Server Core與Nano服務器 362 B.1 Server Core服務器概述 363 B.2 Server Core服務器的基本設置 364 B.2.1 更改計算機名稱 364 B.2.2 更改IP地址 365 B.2.3 啟用Server Core服務器 367 B.2.4 加入域 367 B.2.5 將域用戶加入本地Administrators組 368 B.2.6 更改日期與時間 369 B.3 在Server Core服務器內(nèi)安裝角色與功能 369 B.3.1 查看所有角色與功能的狀態(tài) 369 B.3.2 DNS服務器角色 370 B.3.3 DHCP服務器角色 371 B.3.4 文件服務角色 372 B.3.5 Hyper-V角色 372 B.3.6 打印服務角色 373 B.3.7 Active Directory證書服務(AD CS)角色 373 B.3.8 Active Directory域服務(AD DS)角色 373 B.3.9 Web服務器(IIS)角色 373 B.4 遠程管理Server Core服務器 374 B.4.1 通過服務器管理器來管理Server Core服務器 374 B.4.2 通過MMC管理控制臺來管理Server Core服務器 378 B.4.3 通過遠程桌面來管理Server Core服務器 379 B.4.4 硬件設備的安裝 381 B.5 在虛擬機內(nèi)運行的Nano服務器 382 B.5.1 建立供虛擬機使用的Nano服務器映像文件 382 B.5.2 建立與啟動Nano服務器的虛擬機 385 B.5.3 將Nano服務器加入域 388 B.6 在物理機內(nèi)運行的Nano服務器 392 B.6.1 建立供物理機使用的Nano服務器映像文件 393 B.6.2 利用WinPE啟動計算機與安裝Nano服務器 393
你還可能感興趣
我要評論
|