第一章 部署Windows 域环境
本章结构
一、域、活动目录的相关概念
二、部署Windows 域环境
三、管理域中的账户、组、OU
具体知识点
一、域、活动目录的相关概念
(一)、工作组
特点:工作组环境下的计算机地位平等,规模很小(不适合大型企业网络环境)
(二)、域环境
定义:逻辑上把网络中计算机组织在一起,集中管理的一种网络环境
优点:1、集中管理 2、便捷的网络资源访问 3、可扩展性
是一个数据库:存储着整个Windows网络中用户、组、计算机、共享文件夹等对象信息
活动目录
是一种服务:能实现对数据对象的增、删、改、查等操作
域就是活动目录具体的体现形式
域控制器(DC):安装了活动目录功能的计算机
域环境
成员计算机:加入了该域环境的计算机
(三)、域的结构
单域:网络中只有一个域 (最常见的管理方式)
域树:具有连续名称空间的多个域
域林:由一个或多个没有形成连续名称的域树组成
二、部署Windows 域环境
(一)、部署域控制器
必须满足条件:
1、安装者必须是本地管理员权限
2、操作系统版本必须是服务器版本(Web版除外)
3、本地至少一个分区是NTFS文件系统
4、配置静态的IP地址和子网掩码 (正确TCP/IP设置)
5、磁盘空间足够
输入安装命令: dcpromo
(二)、部署成员计算机
1、客户机必须和域控制器是连通的
2、一定要配置正确的DNS地址 (否则无法解析域名,也就无法加入域)
三、域中用户、组 、OU的管理
(一)、用户
1、命名规则:
a、唯一的用户登录名 (登录名在域中是唯一的;显示名在OU中唯一)
b、最长20字符
c、不能出现非法字符 ( < > ? ! / \ | = 等)
2、用户属性
a、登录时间 : 来限制用户登录域的时间
b、登录到:可实现账户可以登录的客户机范围
c、账户过期:规定用户账户是否存在过期的期限来保证账户安全
(二)、组
安全组:主要是用于设置用户安全权限的
组的类型
通讯组:主要用于电子邮件通信的
本地域组:使用范围是本域
组的作用域 全局组:使用范围是整个林及信任域
通用组:使用范围是整个林及信任域 (用户的登录或查询速度更快)
(三)、OU的管理
定义:是活动目录中的一个容器(组织单位);可以存放用户、组、计算机、OU等其他对象
创建方法:基于部门的;基于地理位置的;基于对象类型的
特别注意:OU中不能包含来自其他域中的对象
第二章 域控管理
本章结构
一、回顾Windows 域
二、添加额外域控及管理
三、卸载域控
具体知识点
一、回顾Windows 域
1、域环境的概念
2、域环境的搭建
a、安装域控制器的条件 b、客户机加入域的条件 c、用户、组、OU的管理
二、添加额外域控及管理
(一)、为什么要有额外域控?
1、容错 当域中的域控制器出现故障时,其他域控仍能提供域服务
2、负载均衡 适用大型网络环境,加快用户登录域的审核速度
3、更易于用户的连接访问 适用于分支机构,提高登录速度
(二)、安装额外域控的条件
1、必须具有域管理员身份
2、正确的TCP/IP设置 (能保证和域控制通信,DNS设置正确)
3、操作系统版本必须受当前域功能级别支持 (向下兼容)
安装过程使用命令:dcpromo (在现有林,添加域控制器)
注意:安装过程中不需要加入域也能成功
安装完成后,AD中所有数据是同步的
三、卸载域控制器
(一)、注意事项
1、保证域环境中至少有一台全局编录服务器 (用于验证用户登录)
2、所有域控一定要处于联机状态
3、如果该域控制器不是域内的最后一台域控制器,则该控制器被降级为成员服务器;如果是最后一台域控制器,则降级为独立服务器
(二)、卸载命令 : dcpromo
第三章 组策略的应用
本章结构
一、组策略的相关概念
二、组策略的应用(修改现有策略、创建、应用规则、软件分发等)
具体知识点
一、组策略的相关概念
(一)、作用:统一桌面环境、自动执行脚本、安全设置、软件安装等
(二)、好处:1、减小管理成本(只要设置一次就可对相关用户或计算机生效)
2、减小用户单独配置错误的可能性
3、可以针对特定对象(用户或计算机)实施特定策略
(三)、GPO
1、组策略的所有配置信息都存放在GPO中
2、GPO只能链接到站点、域、OU中(SDOU),通过设置来影响容器中的计算机或用户
3、默认存在的GPO: 默认域策略(Default Domain Policy )对整个域都生效
默认域控制器策略( Default Domain Controller Policy) 对域控生效
(四)、组策略的内容
1、计算机配置 : 对容器内的计算机生效 (客户端重启生效)
2、用户配置: 对容器内的账户生效 (客户端注销生效)
二、组策略的应用
(一)、应用规则
1、默认继承 (下级容器会默认继承上级容器的策略)
2、阻止继承 (下级容器可以选择阻止继承上级容器的策略)
3、强制生效 (上级容器的策略可以强制让下级容器生效)
强制生效 > 阻止继承 > 默认继承
4、应用顺序与规则
1)、顺序:LSDOU的顺序 (从左到右应用),后应用的生效
2)、不冲突 : 累加
3)、冲突: 后应用的生效
4)、如果同一个容器应用了多个GPO,不冲突则累加;冲突,谁的优先级高谁后应用,谁生效 (优先级=1 为最高)
5、筛选:可以实现阻止一个GPO应用到容器中的特定账户或计算机
6、软件分发
1)、准备.msi格式的软件包
2)、需要创建共享文件夹,把需要部署的软件放在共享文件夹中,并赋予共享文件夹的共享权限和NTFS权限
3)、创建GPO\用户配置\策略\软件设置\软件安装\属性\选择默认程序包的位置
4)、添加数据包
5)、设置“登录安装此应用程序”
6)、验证
分配:可以将程序分配到用户或计算机上 (用户必须用的软件,采用“分配”)
发布:可以将程序发布给用户,用户可选择是否安装
注意:分配比发布更具有强制性的部署方式
第四章 Windows 备份和灾难恢复
本章结构
一、Windows 备份工具的概述
二、数据备份
三、数据还原
具体知识点
一、备份工具
(一)、备份: 为了避免数据丢失(硬件故障、误操作、病毒感染.....),提前将系统中数据按一定策略存储到安全的地方,当出现问题时能快速还原减少损失
(二)、还原: 备份的反向过程
(三)、Windows Server Backup
特性:是Windows Server 2008系统中的一个功能,由管理控制台和命令行工具组成;能实现对服务器执行基本的备份和还原功能。
安装:服务器管理器\功能\选择“Windows Server Backup”(安装命令行工具,必须安装Windows Powershell 功能)\下一步安装
二、数据备份
(一)、备份方式
1、手动备份 (一次性备份)
2、自动备份 (备份计划) 周期性进行,减少管理员工作量
(二)、一次性备份的操作
1、图形化方式
2、命令行方式备份
wbadmin (固定格式命令) start backup (开始备份) -backuptarget:盘符: (备份存储目标位置) -include:盘符: (备份的源位置)
(三)、一次性备份的恢复
1、图形化
2、命令行
a、查看可用的备份集版本 wbadmin get versions (查出的关键数据是版本标识符)
b、开始恢复 wbadmin start recovery (开始恢复) -version:版本标识符 -itemtype:类型 -items:还原内容的具体位置列表(例:D:\aaa.txt) -recoverytarget:盘符:\ (还原的目标位置)
类型:三种 volume 代表卷 app 应用程序 file 文件或文件夹
(四)、计划备份的操作 (准备一块单独硬盘)
1、图形化
2、命令行
a、查看可用的磁盘 wbadmin get disks (查看的关键内容是目标磁盘的磁盘标识符)
b、 wbadmin enable backup (启用备份) -addtarget :磁盘标识符 (备份目标存储位置) -schedule:备份时间 (如果多个时间用逗号隔开) -include:盘符: (需要备份的盘) -allCritical (包含系统分区卷)
注意:计划备份必须包含系统分区
3、命令行还原 (同一次性还原)
(五)、备份配置
1、完整备份 每次备份所有内容都会备份 (时间长但不影响性能)
2、增量备份 只有改动的内容会被备份,以前备份过的不再备份 (速度快,降低整体性能)
3、自定义 可针对不同磁盘选择不同方式 (建议:系统盘完整备份,其他盘做增量备份
第五章 活动目录备份和灾难恢复
本章结构
一、AD备份/还原
二、备份/还原操作
三、Windows 的安全模式
具体知识点
一、AD备份还原简介
(一)、为什么要进行活动目录备份?
(二)、注意:如果要备份AD,只能当成系统状态的一部分完成
系统状态数据包括 : P105~P106
(三)、备份系统状态的注意事项
1、只能用命令完成
2、不能自动备份 (如果想实现自动备份,只能通过任务计划完成)
3、只能存在本地磁盘
4、恢复时只能恢复系统状态数据和应用程序;卷和文件无法恢复
5、备份操作者的权限: 只能是Administrators 组和 backup Operators组成员
(四)、两种还原方式及区别
1、非授权还原 (域中只有一台DC ;域中有多台DC,但是旧数据不需要还原到其他域控制器上)
2、授权还原 (域中有多台DC,数据需要还原到所有DC上;是建立在非授权基础之上)
二、备份\还原操作
(一)、单域控备份,非授权还原
1、备份 : wbadmin start systemstatebackup (开始系统状态备份) -backuptarget:目标盘符:
2、删除用户和OU及文件夹
3、非授权还原
a、重启 按 F8 选择目录服务还原模式 ;用“.\administrator”输入安装域控时目录服务还原密码登录
b、查看备份集版本 wbadmin get versions (关键版本标识符)
c、非授权还原 wbadmin start systemstaterecovery (开始恢复) -version:版本标识符
d、还原完成后重启,删除的用户和OU可以恢复,文件夹不能恢复
(二)、多域控,授权还原
1、环境 (两台DC,一主,一额 )
2、主域控建立了4个域用户:aa、bb、cc、dd ;aa、bb在user中;cc、dd直接在域中;建立了两个OU aa和bb;在C盘还建立了T218的测试文件夹
3、做系统状态备份 (主域控)
4、备份完成后,删除刚刚建立的所有内容 (发现误操作)
5、先做非授权还原
6、授权还原 (需要建立在非授权基础上,非授权完成后不重启)
a、Ntdsutil (进入这个管理工具,专门管理AD活动目录的)
b、Active instance ntds (将实例名设置为“NTDS”)
c、Authoritative restore (进入授权还原命令模式)
d、Restore object cn=aa (用户名),cn=users ,(代表还原账户所在的位置),dc=benet,(域名),dc=com (域后缀)
如果还原OU 把cn改成OU (注意:如果该用户直接在域中不在users中,可省略cn=users)
7、验证 :只有做了授权的用户或OU会恢复
第六章 操作主机
本章结构
一、操作主机概念
二、转移和占用
三、操作主机应用 (2003的AD 升级到2008 AD)
具体知识点
一、操作主机概念
(一)、单主复制 (出现Windows NT 4.0的域环境下;域控制器分为PDC (主域控)和BDC (备份域控)两种;PDC可以修改数据库内容;BDC只能读取AD数据库内容)
(二)、多主复制 (Windows 2000后;所有域控制器都可以修改AD数据库内容)
缺点:所有域控制器的地位平等 (造成网络中某些功能不合适)
(三)、操作主机 (是域控制器的一种角色,担任不同的角色的域控制器有不同功能)
(四)、五种操作主机角色
| 范围 | 名称 | 作用 | 默认位置 | 管理工具 |
| 林内唯一 | 架构主机 | 统一林中所有对象及其属性 | 林内的第一台DC上 | AD架构 regsvr32 schmmgmt.dll)注册 |
| 域命名主机 | 防止林中域名重复 | AD域和信任关系 | ||
| 域内唯一 | PDC仿真 主机 | 域内密码和时间同步;支持2000之前的系统 | 域内第一台DC | AD用户和计算机 |
| RID主机 | 域内分配RID号(SID=域ID + RID) | |||
| 基础结构 主机 | 所在域中对象到其他域的引用 |
二、转移和占用
(一)、为什么要转移和占用? (P130)
(二)、转移 正常的角色转换 (担任角色的主机和目标主机需要联机)
(三)、占用 强制手段转移操作主机角色
操作步骤: 1、 Ntdsutil 进入管理工具
2、 roles
3、 connection
4、 connect to server 本机的全名 (目标DC 的FQDN)
5、 quit 后退一步
6、 Seize 五种操作主机角色 (逐一操作)
注意:1、能转移绝不占用
2、被占用的操作角色不要再连接到网络上
三、将Windows Server 2003的AD升级到Windows Server 2008AD
(一)、网络环境
已知的2003的域控制器和一台2008工作组环境的服务器
(二)、目标
将2008服务器变成该网络的域控制器
(三)、具体步骤
1、扩展2003的功能 (因为2003不支持2008的功能)
a、将2008的光盘插入2003系统中 运行命令 D: 进入光驱
b、运行命令 cd source \adprep
c、adprep.exe /forestprep 扩展林信息 输入 C 回车
d、提升域功能级别为本机模式 (即域功能级别为2003)
e、adprep.exe /domainprep (扩展域架构)
f、adprep.exe /domainprep /gpprep (更新组策略对象权限)
g、adprep.exe /rodcprep (更新对只读域控的支持)
2、将2008变成额外域控制器 (将首选DNS指向自己)
3、转移操作主机角色到2008上
4、卸载2003域控制器
5、先提升林功能级别和域功能级别
6、删除2003的残余信息 (在AD站点和服务)
第七章 AD常见故障排查
本章结构
一、AD常见故障排查思路
二、常见故障举例
具体知识点
一、常见故障及排障思路
(一)、常见故障
1、加入域失败 2、域用户无法登录 3、域登录缓慢
4、组策略部署不生效 5、数据同步失败
(二)、排障思路
1、单一用户 用户是否禁用、密码是否过期、是否有权限
2、单一客户端 时间是否同步、IP是否设置正确、DNS是否正确
3、网络 交换路由设备
4、服务器 AD是否正常运行,DNS服务器是否正常工作
二、常见故障举例
(一)、客户机无法加入域
1、分析:不是单一用户 单一计算机 (DNS设置是否正确)
测试 :ping ip 和 域名
查看DNS缓存的命令: ipconfig /displaydns
刷新DNS缓存 ipconfig /flushdns (清空)
2、解决方法:设置正确的DNS指向,清空DNS缓存
(二)、用户无法登录
1、分析:
1)、换用户登录,依旧不能登录说明不是用户的问题
2)、换客户端登录,依旧不能登录说明不是客户端问题
3)、用ping命令验证 : ping IP地址可通;但是ping 域名不同 得出是DNS有问题
4)、首先检查DNS客户端;第二步检查DNS服务器问题
2、解决方法:重启DNS服务
(三)、部分用户登录缓慢
1、分析:
1)、能登录,但是时间长说明不是客户端问题
2)、ping 两台DC的IP都能通,但是Ping 域名不通说明网络没问题还是DNS问题
3)、用nslookup 解析域名失败,换首选DNS能成功,说明其中一个DNS服务器有问题
2、解决方法:换DNS首选指向,解决故障的DNS服务器
(四)、组策略不生效的问题
1、分析:
1)、是否对所有用户都不生效
2)、在服务器上运行 “gpupdate /force”刷新组策略 (重启服务器和客户端)
3)、检查是计算机配置还是用户配置
4)、检查组策略是否有冲突 (LSDOU顺序及组策略应用规则)
(五)、DC间复制数据失败
1、分析:现象两台DC,在其中一台新建账户,发现账户不能同步
2、解决方法:DC间影响数据同步的因素
1)、网络问题 2)、时间是否同步
如果手动复制失败,时间问题
同步时间: net time \\对方的主机名(或IP地址) /set /y
第八章 多域间访问
本章结构
一、林内信任关系
二、林间信任关系
具体知识点
一、林内信任关系
(一)、林根域、子域、树根域的概念
Enterprise Admins (企业管理组):可以对活动目录的整个林做修改
1、林根域:林中创建的第一个域
Schema Admins (架构管理组):扩展林架构
2、子域:向域树中添加的任何新域都叫子域,子域的域名= 自己的名字 + 父域的域名
3、树根域:在林环境中建立的具有独立的域名的一个域树
(二)、林内的信任关系
1、搭建环境:必须是林根域Enterprise Admins 成员
2、信任关系特点
a、自动建立 (环境搭建完成后自动建立 树根信任和父子信任)
b、双向
c、可传递的信任 A和B相互信任 B和C相互信任 A和C相互信任
3、验证方法 : AGDLP规则
1、A 用户;G代表全局组、DL代表本地域组、P权限
将本域中的账户加入全局组(范围信任整个林及信任域);将全局组加入信任域的本地域组;给本地域组赋予权限;本域中的账户可以访问信任域中的资源
2、林中所有域账户都能在同一台客户机去登录自己的域
二、林间信任
(一)、外部信任
特点:
1、手动建立 2、不可传递性 3、分双向和单向
外传:本地域信任指定域
单向
内传: 指定域信任本域
作用:实现特定域之间的信任,从而实现相互访问
(二)、林信任
特点: 1、手动建立 2、可传递性 3、只能在林根域上建立 4、分双向和单向
作用:实现林间任意域之间的信任及相互访问
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
