Windows Server 2016 Active Directory配置指南

作者：戴有炜
　　定价：89元
印次：1-1
ISBN：9787302517962
出版日期：2019.02.01
印刷日期：2018.12.20

本书由台湾知名的微软技术专家戴有炜先生倾力编着，是他最新推出的Windows Server 2016三卷力作中的Active Directory配置指南篇。本书延续了作者的一贯写作风格：大量的实例演示兼具理论，以及完整清晰的操作过程，以简单易懂的文字进行描述，内容丰富，图文并茂。本书共分13章，内容包括Active Directory域服务、建立AD DS域、域用户与组账户的管理、利用组策略管理用户工作环境、利用组策略部署软体、限制软体的运行、建立域树和林、管理域和林信任、AD DS资料库的複製、操作主机的管理、AD DS的维护、将资源发布到AD DS以及自动信任根CA。本书面向广大初、中级网路技术人员、网路管理和维护人员，也可作为高等院校相关专业和技术培训班的教学用书，同时可以作为微软认证考试的参考用书。

第1章ActiveDirectory域服务（ADDS） 1

1.1ActiveDirectory域服务概述 2

1.1.1ActiveDirectory域服务的适用範围（Scope） 2

1.1.2名称空间（Namespace） 2

1.1.3对象（Object）与属性（Attribute） 3

1.1.4容器（Container）与组织单位（OrganizationUnits，OU） 3

1.1.5域树（DomainTree） 4

1.1.6信任（Trust） 5

1.1.7林（Forest） 5

1.1.8架构（Schema） 6

1.1.9域控制器（DomainController） 6

1.1.10只读域控制器（RODC） 7

1.1.11可重启的ADDS（RestartableADDS） 9

1.1.12ActiveDirectory资源回收筒 9

1.1.13ADDS的複製模式 9

1.1.14域中的其他成员计算机 10

1.1.15DNS伺服器 11

1.1.16轻型目录访问协定（LDAP） 11

1.1.17全局编录（GlobalCatalog） 12

1.1.18站点（Site） 12

1.1.19目录分区（DirectoryPartition） 13

1.2域功能级别与林功能级别 14

1.2.1域功能级别（DomainFunctionalityLevel） 14

1.2.2林功能级别（ForestFunctionalityLevel） 14

1.3ActiveDirectory轻型目录服务 15

第2章建立ADDS域 17

2.1建立ADDS域前的準备工作 18

2.1.1选择适当的DNS域名 18

2.1.2準备好一台支持ADDS的DNS伺服器 18

2.1.3选择ADDS资料库的存储位置 20

2.2建立ADDS域 21

2.3确认ADDS域是否正常 27

2.3.1检查DNS伺服器内的记录是否完备 27

2.3.2排除注册失败的问题 30

2.3.3检查ADDS资料库档案与SYSVOL资料夹 30

2.3.4新增的管理工具 32

2.3.5查看事件日誌档案 33

2.4提升域与林功能级别 33

2.5新建额外域控制器与RODC 34

2.5.1安装额外域控制器 35

2.5.2利用安装媒体来安装额外域控制器 40

2.5.3更改RODC的委派与密码複製策略设定 42

2.6RODC阶段式安装 44

2.6.1建立RODC账户 44

2.6.2将伺服器附加到RODC账户 48

2.7将Windows计算机加入或脱离域 51

2.7.1将Windows计算机加入域 52

2.7.2利用已加入域的计算机登录 55

2.7.3脱机加入域 57

2.7.4脱离域 58

2.8在域成员计算机内安装ADDS管理工具 59

2.9删除域控制器与域 61

第3章域用户与组账户的管理 66

3.1管理域用户账户 67

3.1.1创建组织单位与域用户账户 68

3.1.2用户登录账户 69

3.1.3创建UPN后缀 70

3.1.4账户的常规管理工作 72

3.1.5域用户账户的属性设定 73

3.1.6搜寻用户账户 75

3.1.7域控制器之间数据的複製 80

3.2一次同时新建多个用户账户 81

3.2.1利用csvde.exe来新建用户账户 82

3.2.2利用ldifde.exe来新建、修改与删除用户账户 83

3.2.3利用dsadd.exe等程式添加、修改与删除用户账户 84

3.3域组账户 86

3.3.1域内的组类型 86

3.3.2组的作用域 86

3.3.3域组的创建与管理 88

3.3.4ADDS内置的组 88

3.3.5特殊组账户 90

3.4组的使用原则 91

3.4.1A、G、DL、P原则 91

3.4.2A、G、G、DL、P原则 91

3.4.3A、G、U、DL、P原则 92

3.4.4A、G、G、U、DL、P原则 92

第4章利用组策略管理用户工作环境 93

4.1组策略概述 94

4.1.1组策略的功能 94

4.1.2组策略对象 95

4.1.3策略设定与首选项设定 98

4.1.4组策略的套用时机 98

4.2策略设定实例演练 99

4.2.1策略设定实例演练一：计算机配置 99

4.2.2策略设定实例演练二：用户配置 102

4.3首选项设定实例演练 105

4.3.1首选项设定实例演练一 105

4.3.2首选项设定实例演练二 109

4.4组策略的处理规则 112

4.4.1一般的继承与处理规则 112

4.4.2例外的继承设定 113

4.4.3特殊的处理设定 116

4.4.4更改管理GPO的域控制器 120

4.4.5更改组策略的套用间隔时间 122

4.5利用组策略来管理计算机与用户环境 124

4.5.1计算机配置的管理模板策略 124

4.5.2用户配置的管理模板策略 126

4.5.3账户策略 127

4.5.4用户许可权分配策略 130

4.5.5安全选项策略 132

4.5.6登录/注销、启动/关机脚本 133

4.5.7资料夹重定向 136

4.6利用组策略限制访问可移动存储设备 142

4.7WMI筛选器 144

4.8组策略建模与组策略结果 149

4.9组策略的委派管理 154

4.9.1站点、域或组织单位的GPO连结委派 155

4.9.2编辑GPO的委派 155

4.9.3新建GPO的委派 156

4.10StarterGPO的设定与使用 157

第5章利用组策略部署软体 159

5.1软体部署概述 160

5.1.1将软体分配给用户 160

5.1.2将软体分配给计算机 160

5.1.3将软体发布给用户 160

5.1.4自动修复软体 161

5.1.5删除软体 161

5.2将软体发布给用户 161

5.2.1发布软体 161

5.2.2客户端安装被发布的软体 164

5.2.3测试自动修复软体的功能 165

5.2.4取消已发布的软体 166

5.3将软体分配给用户或计算机 167

5.3.1分配给用户 167

5.3.2分配给计算机 168

5.4将软体升级 168

5.5部署AdobeAcrobat 172

5.5.1部署基础版 172

5.5.2部署更新程式 174

第6章限制软体的运行 177

6.1软体限制策略概述 178

6.1.1哈希规则 178

6.1.2证书规则 178

6.1.3路径规则 179

6.1.4网路区域规则 179

6.1.5规则的优先权 179

6.2启用软体限制策略 180

6.2.1建立哈希规则 181

6.2.2建立路径规则 183

6.2.3建立证书规则 185

6.2.4建立网路区域规则 188

6.2.5不要将软体限制策略套用到本地系统管理员 188

第7章建立域树与林 190

7.1建立第一个域 191

7.2建立子域 191

7.3建立林中的第二个域树 198

7.3.1选择适当的DNS架构 198

7.3.2建立第二个域树 200

7.4删除子域与域树 206

7.5更改域控制器的计算机名称 210

第8章管理域与林信任 214

8.1域与林信任概述 215

8.1.1信任域与受信任域 215

8.1.2跨域访问资源的流程 215

8.1.3信任的种类 218

8.1.4建立信任前的注意事项 221

8.2建立捷径信任 223

8.3建立林信任 229

8.3.1建立林信任前的注意事项 229

8.3.2开始建立林信任 230

8.3.3选择性身份验证设定 238

8.4建立外部信任 240

8.5管理与删除信任 242

8.5.1信任的管理 242

8.5.2信任的删除 244

第9章ADDS资料库的複製 247

9.1站点与ADDS资料库的複製 248

9.1.1同一个站点之间的複製 248

9.1.2不同站点之间的複製 250

9.1.3目录分区与複製拓扑 251

9.1.4複製通信协定 251

9.2默认站点的管理 252

9.2.1默认的站点 252

9.2.2Servers资料夹与複製设定 253

9.3利用站点来管理ADDS複製 256

9.3.1建立站点与子网 257

9.3.2建立站点连结 259

9.3.3将域控制器移动到所属的站点 261

9.3.4指定首选的bridgehead伺服器 262

9.3.5站点连结与ADDS资料库的複製设定 264

9.3.6站点连结桥 265

9.3.7站点连结桥的两个範例讨论 267

9.4管理全局编录伺服器 269

9.4.1向全局编录内添加属性 270

9.4.2全局编录的功能 270

9.4.3通用组成员快取 272

9.5解决ADDS複製冲突的问题 274

9.5.1属性标记 274

9.5.2冲突的种类 274

第10章操作主机的管理 278

10.1操作主机概述 279

10.1.1架构操作主机 279

10.1.2域命名操作主机 279

10.1.3RID操作主机 280

10.1.4PDC模拟器操作主机 280

10.1.5基础结构操作主机 283

10.2操作主机的放置最佳化 284

10.2.1基础结构操作主机的放置 284

10.2.2PDC模拟器操作主机的放置 284

10.2.3林级别操作主机的放置 285

10.2.4域级别操作主机的放置 285

10.3找出扮演操作主机角色的域控制器 286

10.3.1利用管理控制台找出扮演操作主机的域控制器 286

10.3.2利用命令找出扮演操作主机的域控制器 288

10.4转移操作主机角色 289

10.4.1利用管理控制台 290

10.4.2利用WindowsPowerShell命令 292

10.5夺取操作主机角色 293

10.5.1操作主机停摆所造成的影响 293

10.5.2夺取操作主机角色实例演练 295

第11章ADDS的维护 297

11.1系统状态概述 298

11.1.1ADDS资料库 298

11.1.2SYSVOL资料夹 299

11.2备份ADDS 299

11.2.1安装WindowsServerBackup功能 299

11.2.2备份系统状态 300

11.3还原ADDS 303

11.3.1进入目录服务修复模式的方法 303

11.3.2执行ADDS的非授权还原 304

11.3.3针对被删除的ADDS对象执行授权还原 309

11.4ADDS资料库的移动与整理 312

11.4.1可重新启动的ADDS（RestartableADDS） 313

11.4.2移动ADDS资料库档案 313

11.4.3重整ADDS资料库 317

11.5重置“目录服务修复模式”的系统管理员密码 320

11.6更改可重新启动的ADDS的登录设定 321

11.7ActiveDirectory资源回收筒 322

第12章将资源发布到ADDS 326

12.1将已分享档案夹发布到ADDS 327

12.1.1利用ActiveDirectory用户和计算机控制台 327

12.1.2利用计算机管理控制台 329

12.2查找ADDS内的资源 329

12.2.1通过网路 330

12.2.2通过ActiveDirectory用户和计算机控制台 331

12.3将共享印表机发布到ADDS 332

12.3.1发布印表机 332

12.3.2通过ADDS查找共享印表机 333

12.3.3利用印表机位置来查找印表机 333

第13章自动信任根CA 338

13.1自动信任CA的设定準则 339

13.2自动信任内部的独立CA 339

13.2.1下载独立根CA的证书并保存 340

13.2.2将CA证书导入到受信任的根证书颁发机构 341

13.3自动信任外部的CA 344

13.3.1下载独立根CA的证书并保存 344

13.3.2建立证书信任列表（CTL） 347

附录AADDS与防火墙 351

A.1ADDS相关的连线埠 352

A.1.1将客户端计算机加入域、用户登录时会用到的连线埠 352

A.1.2计算机登录时会用到的连线埠 353

A.1.3建立域信任时会用到的连线埠 353

A.1.4验证域信任时会用到的连线埠 353

A.1.5访问档案资源时会用到的连线埠 354

A.1.6执行DNS查询时会用到的连线埠 354

A.1.7执行ADDS资料库複製时会用到的连线埠 354

A.1.8档案複製服务（FRS）会用到的连线埠 354

A.1.9分散式档案系统（DFS）会用到的连线埠 355

A.1.10其他可能需要开放的连线埠 355

A.2限制动态RPC连线埠的使用範围 356

A.2.1限制所有服务的动态RPC连线埠範围 356

A.2.2限制ADDS资料库複製使用指定的静态连线埠 357

A.2.3限制FRS使用指定的静态连线埠 358

A.2.4限制DFS使用指定的静态连线埠 359

A.3IPSec与VPN连线埠 360

A.3.1IPSec所使用的通信协定与连线埠 360

A.3.2PPTPVPN所使用的通信协定与连线埠 361

A.3.3L2TP/IPSec所使用的通信协定与连线埠 361

附录BServerCore与Nano伺服器 362

B.1ServerCore伺服器概述 363

B.2ServerCore伺服器的基本设定 364

B.2.1更改计算机名称 364

B.2.2更改IP位址 365

B.2.3启用ServerCore伺服器 367

B.2.4加入域 367

B.2.5将域用户加入本地Administrators组 368

B.2.6更改日期与时间 369

B.3在ServerCore伺服器内安装角色与功能 369

B.3.1查看所有角色与功能的状态 369

B.3.2DNS伺服器角色 370

B.3.3DHCP伺服器角色 371

B.3.4档案服务角色 372

B.3.5Hyper-V角色 372

B.3.6列印服务角色 373

B.3.7ActiveDirectory证书服务（ADCS）角色 373

B.3.8ActiveDirectory域服务（ADDS）角色 373

B.3.9Web伺服器（IIS）角色 373

B.4远程管理ServerCore伺服器 374

B.4.1通过伺服器管理器来管理ServerCore伺服器 374

B.4.2通过MMC管理控制台来管理ServerCore伺服器 378

B.4.3通过远程桌面来管理ServerCore伺服器 379

B.4.4硬体设备的安装 381

B.5在虚拟机内运行的Nano伺服器 382

B.5.1建立供虚拟机使用的Nano伺服器映像档案 382

B.5.2建立与启动Nano伺服器的虚拟机 385

B.5.3将Nano伺服器加入域 388

B.6在物理机内运行的Nano伺服器 392

B.6.1建立供物理机使用的Nano伺服器映像档案 393

B.6.2利用WinPE启动计算机与安装Nano伺服器 393