windows server 2016系统配置指南-精选

1、若是组策略设置值的话 他是先被存储到PDC操作主机中，但若是AD DS 用户账户或其他对象有变动，则这些变动数据会先被存储到当前所连接的域控制器，同时系统会默认每15秒后自动将这些数据同步到其他域控制器
2、按照管理权限范围大小 组范围分别为 通用组大于全局组大于域本地组 典型的内建范例为 Enterprise admins 范围大于 Domain admins 大于 Administrators Administrators是系统内建的域本地组，administrator是系统内建的该组中的一个成员，该成员同时也是Enterprise admins和Domain admins组的成员，也是多domain users 组成员
3、文件和文件夹的继承的权限比直接设置的权限低；虽然权限具有累加性，但是拒绝权限的优先级最高；
4、若将文件由NTFS 或者 ReFS 剪切或复制到FAT FAT32 或exFAT磁盘，则新文件的原有权限都将被删除，因为FAT FAT32和 exFAT都不支持权限控制。
5、文件压缩和加密无法并存。要加密已压缩的文件，则该文件会自动解压。要压缩已加密的文件，则该文件会自动被解密。
6、被加密的文件只有文件的所有者可以读取，但是可以授权给其他用户读取。被授权的用户必须具有EFS证书，而普通用户第一次执行加密操作，他就会被自动赋予EF证书，也就可以被授权了。
7、共享权限只对通过网络访问此共享文件夹的用户有约束力，如果用户由本地登陆，就不受此权限限制。特别注意文件夹的本地用户权限和共享文件夹的共享权限的区别。网络用户最后的有效权限是共享权限与NTFS权限两者之中最严格的设置。比如经过累加后，用户A对此共享文件夹C:\test 的有效共享权限为读取，另外经过累加后，若用户A对此文件夹的有效NTFS权限为完全控制，则用户A对C:\test 的最后有效权限为两者之中最严格的读取。
8、若用户A是直接由本地登陆，而不是通过网络登陆，则用户A对C:\test的有效权限是由NTFS权限来决定的，也就是完全控制，因为直接由本地登陆并不受共享权限的约束。
9、当连接到网络上其他计算机时必须提供有效的用户账户名称与密码，不过计算机会自动以当前正在使用的账户名称与密码来连接网络计算机，也就是会以登陆计算机时所输入的账户名称与密码来连接网络计算机。
如果客户端计算机与网络计算机都加入域，而且当初是利用域账户登陆的话，则当在连接该网络计算机时，系统会自动利用此账户来连接网络计算机，此计算机再通过域控制器来确认身份后就会被允许连接该网络计算机，不需要再自行手动输入账户和密码。
如果客户端计算机与网络计算机并未加入域，或一台加入域另外一台没有加入域，或分别隶属于2个不具备信任关系的域则 ：如果该网络计算机内已事先建立了一个名称相同的用户账户，若密码也相同，则将自动利用此用户账户成功连接。若密码不同，则会要求输入用户名和密码
如果该网络计算机内不存在一个名称相同的用户账户，但是网络计算机已启动guest账户，则系统会自动利用guest身份连接；如果网络计算机停用guest账户，则系统会要求重新输入用户名和密码。
10、执行 NET USE Z: \Server3\Database 他就会以驱动器号Z：来连接共享文件夹\Server3\Database 其中Server3 也可以用QFDN来代替，比如Server3.nxa.com
11、当客户端计算机恢复与网络计算机连接后，网络文件与缓存文件之间必须同步，以确保两处的文件是一致的
如果更改过缓存文件内容，但是网络文件的内容并没有被更改过，系统会将缓存文件复制到网络计算机，并覆盖掉网络文件。
如果没有更改过缓存文件的内容，但是网络文件的内容被更改过，则系统会将网络文件复制到本地计算机并覆盖掉缓存文件。
如果网络文件和缓存文件都被更改过，则系统会提示选择哪一个文件，或对两个文件都进行保留。
12、如果要自定义本地Default 配置文件：需要将临时账户的本地用户配置文件复制到本地的%systemDrive%\用户\Default文件夹内。
13、如果要自定义域本地域Default配置文件：需要将临时账户的本地用户配置文件复制到任意一台域控制器的NETLOGON\Default User.V6文件夹内，并设置让everyone或Domain Users用户有权限访问。
14、对加入域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置有冲突，则以域或组织单位的组策略的设置优先，也就是此时本地计算机组策略的设置无效。
15、可以针对OU建立多个GPO，此时这些GPO内的设置会合并起来应用到OU内的所有用户和计算机，如果这些GPO内的设置有冲突的话，则以排列在前面的优先
16、如果域内有多个域控制器的话，则当更改AD DS数据库内的数据时，这些变更数据会先存储在所连接的域控制器，之后再自动被复制到其他域控制器。一般是15秒。也可以手工复制。与组策略有关的设置会先被存储到扮演PDC操作主机角色的域控制器内，然后由PDC模拟器操作主机复制给其他域控制器。
17、利用csvde.exe批量添加用户

DN, objectClass,sAMAccountName,userPrincipalName,displayName,userAccountControl
“CN=王俊杰，OU=业务部，DC=test,DC=com”,user,junjie,junjie@test.com,王俊杰，514
514对应账户禁用 512对应账户启用
导入的时候使用管理员运行powershell csvde -i-f c:\test\users1.txt
注意：因为通过这个方法无法给用户添加密码，所以本例中开始的权限都是514，禁用账户
18、新建文本文件：
dsadd user “CN=王俊杰,OU=业务部,DC=test,DC=com” -samid junjie -upn junjie@test.com -display 王俊杰 -tel 13968221473 -pwd Admin@. mima bled yes
dsmod user xxxxx
dsrm “CN=王俊杰,OU=业务部,DC=test,DC=com” -noprompt
pause
并将后缀名称改为cmd或者bat 直接双击执行即可批量导入用户

19、A G DL P原则
A用户 G全局组 DL本地组 P权限
举例来说，如果甲域内的用户要访问乙域内资源的话，则由甲域的系统管理员负责在甲域建立全局组、将甲域用户账户加入到此组内；而乙域的系统管理员则负责在乙域建立本地域组，并设置权限，然后将甲域的全局组加入到此组内。之后由甲域的系统管理员负责维护全局组内的成员，而乙域系统管理员则负责维护权限的设置，如此便可以分散管理工作的负担。

组策略中策略是强制的首选项是非强制的
组策略中计算机策略应用时机
1、计算机开机的时候会自动应用
2、如果计算机已经开机，则每隔一段时间会自动应用
域控制器：默认是每5分钟自动应用一次
非域控制器：默认是每隔90-120分钟之间自动应用一次
不论组策略值是否有变化，都会每隔16小时自动应用一次安全策略
3、手动应用 到域成员计算机上打开powershell 或者命令提示符 运行 gpupdate /target:computer /force
组策略中用户策略应用时机：
1、用户登陆时会自动应用
2、如果用户已经登陆则每过90-120分钟之间会自动应用一次。不论策略设置值是否发生变化，都会每隔16小时自动应用一次安全策略
3、手动应用 到域成员计算机上打开powershell 或者命令提示符 运行 gpupdate /target:user /force
执行gpupdate /force会同时应用计算机策略和用户策略
部分策略设置可能需要计算机重新启动或用户重新登陆才能生效，比如软件安装策略和文件夹重定向策略
默认的2个GPO 第一个 default domain policy作用于整个域内的所有计算机和用户；defalut domain controller policy 会被应用到domain controllers内的所有用户和计算机（也就是域控制器）
组策略的处理规则
1、如果高层父容器的某个策略被设置，但是在其下低层子容器并未设置此策略，则低层子容器会继承高层父容器的这个策略设置值。
2、如果低层子容器内的某个策略被设置的话，则此设置值默认会覆盖由其高层父容器所继承下来的设置值。
3、组策略的设置是有累加性的。由站点 域 与组织单位内的所有的GPO设置值累加的效果作为其最终结果；但是如果站点 域 组织的GPO设置值发生冲突的则 组织的GPO优先 域的GPO次之 站点的GPO优先权最低
4、如果组策略内的计算机配置于用户配置发生冲突的话，则以计算机配置优先。
5、如果将多个GPO链接到同一个OU则所有这些GPO的设置会累加起来作为最后的有效设置值，但是如果这些GPO的设置有冲突，则以链接顺序在前面的GPO优先（序号小）
6、本地计算机策略的优先级最低
继承的例外
1、OU右键可以选择阻止继承
2、GPO可以右键选择强制，无论其下的OU是否使用了阻止继承
筛选组策略设置
GPO右键-委派-高级-选择特定用户-选取权限拒绝应用组策略 则该组策略将不应用到具体某个用户上面，比如某个OU的项目经理不受该部门GPO的限制
强制处理GPO的概念 如果本地注册表没有被禁用，则用户有可能自己修改组策略，下次组策略重新应用需要16小时后，则通过强制刷新本地组策略值达到覆盖组策略效果。
用户组策略的环回处理模式：替换或者合并（服务器为准） 使用服务器的用户配置GPO来替换用户配置GPO 以用来确保服务器的稳定性。
查看用户计算机应用了哪些GPO gpresult /r

WMI 树结构模型 部分参数定义
win10和win server2016 version 10
win8.1 和 win server 2012 r2 version 6.3
win8 和 win server 2012 version 6.2
win7 和 win server 2008 r2 version 6.1
win vista 和 win server 2008 version 6.0
win server 2003 version 5.2
winxp 5.1
producttype
1 客户端等级的操作系统，例如 win10 win8.1
2 服务器等级的操作系统并且是域控制器
3 服务器等级的操作系统但并不是域控制器

MSI封装软件 EMCOMSI Package Builder
可能会针对同一个程序设置不同的软件限制规则，而这些规则的优先级由高到低分别为：哈希规则、证书规则、路径规则、网络区域规则
比如子域 hk.sayms.local加入 域sayms.local 父子关系；sayiis.local树域加入 sayms.local林；虽然是同一台服务器，但是不同条件下的角色不同；父子关系域 树状 根目录 都是双向信任关系，自动建立。
外部信任不具备传递性，快捷方式信任可以加快认证效率。
修改域控制器计算机名称：
netdom computername dc5.sayiis.local /add dc5x.sayiis.local
netdom computername dc5.sayiis.local /makeprimary dc5x.sayiis.local
netdom computername dc5.sayiis.local /remove dc5.sayiis.local
这样可以不中断服务
建立信任就是建立两个不同域之间的沟通桥梁。
除了利用新建信任向导来建立两个域或林之间的信任外，也可以利用netdom trust命令来新建，删除或者管理信任关系。通过 管理工具 ad 域和信任关系进行信任关系的管理，前提是DNS要能互相查询到对方。
AD DS内大部分数据都是利用多主机复制模式（multi-master replication)来复制。在这种模式下，可以直接更新任何一台域控制器内的AD DS对象，之后这个更新对象会被自动复制到其他域控制器。
同一个站点内的域控制器之间的AD DS复制采用更改通知（change notification)的方式，也就是当某台域控制器的AD DS数据库内有一笔数据更改时，他会等15秒，就通知位于同一个站点内的其他域控制器。收到通知的域控制器如果需要这笔数据的话，就会给源域控制器发出更新请求，这台源域控制器收到请求后，便会开始复制过程。
复制伙伴 直接复制伙伴 间接复制伙伴的关系 KCC跳数3跳限制
对于某些重要的更新数据来说，系统并不会等15秒才通知其直接复制伙伴，而是立刻通知，这个操作被称为紧急复制。例如，账户被锁定，账户锁定策略更改，域的密码策略更改。
只有隶属于同一个站点链接的站点之间才能进行AD DS数据库的复制。
全局编录的TCP端口号是TCP 3268，因此如果用户与全局编录服务器之间被防火墙隔开的话，需要在防火墙开放此端口。
全局编录的功能包括：快速查找对象，提供UPN,提供通用组的成员信息。
如果用户的UPN为george@sayms.local,则该用户账户就一定是存储于域sayms.local的AD DS数据库吗？
不一定，虽然账户的UPN后缀默认就是账户所在的域的域名，但是后缀可以更改，而且如果用户账户被移到到其他域时，其UPN并不会自动更改，也就是说UPN后缀不一定就是其域名。
AD DS使用标记(stamp)来作为解决冲突的依据。当修改了AD DS某个对象的属性数据（例如修改用户的地址）后，这个属性的标记数据就会发生改变。这个标记是由三个数据所组成的 版本号 修改时间 域控制器的GUID
AD DS在解决冲突时，是以标记值最高的优先；换句话说版本号码较高的优先；如果版本号相同，则以修改时间较后的优先；如果修改时间还是相同，再比较原始域控制器的GUID，GUID数值较高的优先。
域控制器之间的时间必须同步 第一台域控制器作为PDC模拟操作主机 可以使用如下命令： w32tm /config /manualpeerlist:“time.windows.com time.nist.gov time-nw.nist.gov” /syncfromflags:manual /reliable:yes /update
通过w32tm /query /configration 查看当前配置
一旦 架构操作主机，域命名操作主机或RID操作主机的角色被夺取后，请永远不要将原来扮演这些操作主机角色的域控制器再连接到网络上，否则严重的话整个AD DS数据库可能会被损毁。建议将这台域控制器的硬盘格式化。
Move-ADDirectoryServerOperationMasterRole Identity "DC2” -OperationMasterRole PDCEmulator 将PDC模拟操作主机转移到DC2
Move-ADDirectoryServerOperationMasterRole Identity "DC2” -OperationMasterRole PDCEmulator, InfrastureMaster 将PDC模拟操作主机和基础结构操作主机转移到DC2
Move-ADDirectoryServerOperationMasterRole Identity "DC2” -OperationMasterRole 0,1,2,3,4 将5个操作主机角色都转移到DC2
PDC模拟操作主机 0
RID操作主机 1
基础结构操作主机 2
架构操作主机 3
域命名操作主机 4
夺取操作主机角色操作，当操作主机故障挂掉 无法修复的时候 使用，原命令后加 -Force 关键字
wbadmin start systemstatebackup -backuptarget:\nas\backup\dc1 定期备份系统状态 后面的共享文件夹请提前创建
也可以使用图形化的windows server backup 图形化向导完成系统状态备份。
在系统状态备份完成后，若之后AD DS数据损坏的话，就可以执行非授权还原的程序来修复AD DS。必须进入目录服务器修复模式，然后利用之前的备份来执行非授权还原的工作。
但是如果系统无法启动的话，则应该执行完整服务器的还原程序，而不是非授权还原程序
Bcdedit /set {bootmgr} displaybootmenu Yes 打开开机提示菜单，按F8 选择，目录服务修复模式，登陆本地管理员账号，密码就是之前设置的密码，可以使用.\administrator登陆本地计算机账户；或者计算机名\administrator登陆。
使用windows server backup来恢复系统状态。或者使用wbadmin命令行来恢复。例如
wbadmin get version -backuptarget:\nas\backup\dc1 获得版本号
wbadmin start systemstaterecovery-version:07/21/2018-23:42 -backuptarget:\nas\bckup\dc1 来快速恢复
命令行的前提是安装了windows server backup工具
一旦启用active directory回收站后，就无法禁用，林与域功能级别的需要为windows server 2008 R2(含）以上的级别，才具备active directory 回收站功能。
如果是企业根CA（enterprise root CA),则不需要另外设置组策略，因为AD DS会自动通过组策略将企业的CA证书发送到域内所有的计算机，也就是说域内所有的计算机都会自动信任企业根CA
如果是安装在成员服务器上的独立根CA（stand-alone root CA)而且是由具备访问AD DS权限的域系统管理员所安装的，则也不需要另外设置组策略，因为AD DS会自动通过组策略将此独立根CA的证书发送到域内所有的服务器
如果是安装在独立服务器的独立根CA，是安装在成员服务器上的独立根CA但执行安装工作的不具备访问AD DS的权限，则需要另外通过受信任的根证书颁发机构策略（trusted root certificate authority policy),来将此独立根CA的证书自动发送到域内所有计算机
如果不是搭建在公司内部的独立根CA，而是外界的独立根CA，则需要另外通过企业信任策略（enterprise trut policy),来将此独立根CA的证书自动发送到域内所有计算机。

OU是一个容器，既能放组策略也能放用户 计算机 共享文件夹 共享打印机，组策略通过链接作用到该OU ，通过用户和计算机管理将用户移动到该OU，使得GPO作用于该OU中的用户

DFS 高可用性（failover） iscsi 存储池 卷 等内容因为过于繁杂请参考《windows server 2016系统配置指南》