活动目录

ADDS是微软域基础架构平台,实质上仍然是身份验证系统。
部署域环境简单,难的是管理依赖于域的应用。
域的规划存在多样性,可以根据公司的架构,管理理念选择适合自身的域架构。
微软建议使用单域多站点模式,可以适应大部分企业需求。
域只是一个平台,更重要的是前期规划要方便后期应用,能够支撑更多的服务。
如没有特殊需求,域规划越简单越好,能用单域多站点解决的应用尽量不要使用父子域,能用父子域解决的应用尽量不使用单林多域环境。
部署域的价值:统一用户身份标识,提升企业形象。通过域环境单点登录,降低运维成本。更清晰的组织架构和权限管理。与其他系统做集成。组策略管理。权限委派等。
独立服务器 成员服务器 域控制器(只读域控制器,额外域控制器,域控制器)
如果网络中安装的是第一台域控制器,那么该服务器默认就是林根服务器,也是根域服务器,FSMO操作主机角色默认也是安装到第一台域控制器。
额外域控制器和域控制器之间的平行关系,他们之间的区别在于是否存在FSMO角色。
ADDS服务和普通服务是一样的,在“服务”控制台,可以完成“启动 停止,暂停”操作。
域控制器会被添加到“domain controllers”组织单元中。
域环境中,DNS是基石,网络中的计算机通过DNS定位域控制器。
域 域树 域林 根域
DNS可以解析主机名称和IP地址
域控制器需要将自己注册到DNS服务器中。
建议将DNS 和ADDS服务部署在同一台服务器中。
域是一个有安全边界的集合,同一个域中的计算机彼此之间建立信任关系,计算机之间允许相互访问。
大部分企业管理都是通过组策略完成的。
小型企业采用单域
中型企业(总部+多分支)采用单域多站点或父子域
集团企业,各分公司独立运营,采用单林多域
根域 get-adforest命令验证根域所在的服务器
域树由多个域组成,这些域共享同一存储结构和配置,形成一个连续的名字空间,树中的域通过信任关系连接。
父子域之间的关系是双向信任的。
域林是由多棵域树构成的,域林中的所有域树仍共享同一个存储结构,配置和全局目录,所有域树之间通过kerberos建立信任关系。
域树由多个域组成,这些域共享同一个存储结构和目录,形成一个连续的名字空间。
域树中的域通过双向可传递信任关系连接在一起。
禁止随意添加/删除域控制器。紧张FSMO角色任意分配。谨慎备份域控制器。


重命名 激活系统 打全补丁 静态IP 集成区域DNS服务。
安装ADDS服务分两个阶段:安装角色和提升域服务。
将域控制器添加到现有域---就是部署多台域控。
将新域添加到现有林---为现有林中添加新域,创建另一棵全新的域树。
添加新林
网络中的第一台域控制器默认为GC全局编录服务器。
目录还原模式主要用来还原active directory数据库。
林功能级别 域功能级别
设置AD数据库文件夹,AD日志文件夹,SYSVOL文件夹的存放位置
两个服务:ADDS 和 ADWS
将服务器提升为域控制器的过程中,安装向导自动确定该域控制器属于哪个站点的成员。
活动目录数据库文件 Ntds.dit 存储域控制器中所有活动目录对象。
日志文件 edb.log
系统检查点文件edb.chk
键入net accounts命令查看第一台域控的计算机角色
验证系统共享卷SYSVOL和netlogon服务 net share
默认域策略和默认域控制策略
GUID 全局唯一标识符
验证目录服务器 dcdiag /test:netlogons
验证SRV记录:登录DNS控制台
验证FSMO操作主机角色 netdom query fsmo
事件查看器 安装日志 debug文件夹中












本地管理员 域管理员
用于Windows power shell的active directory模块
ADSI编辑器
Active directory 域和信任关系
Active directory 用户和计算机
Active directory 管理中心
Active directory 站点和服务
DNS
域控制器改IP地址---掌握
重命名域控制器---掌握
部署额外域控制器和子域
把成员服务器通过添加角色和功能提升为额外域控制器
查看网络中所有的域控制器和GC dsquery server dsquery server-isgc
第一台域控制器生成安装介质,使用ntdsutil工具创建。
Ntdsutil:activate instance ntds ---ifm---create sysvol full e:\dcinstallmedia—quit
管理GC:全局编录服务器不仅记录本域所有对象的只读信息,还会记录其他域中部分对象的只读信息。
GC的主要作用是:存储对象信息副本,提高搜索性能
通过ps查询当前林中所有的全局编录服务器:get-adforest|fl global catalogs
查询当前域中所有的站点:dsquery site
查询某个站点中所有的GC: get-addomaincontroller –filter {site –eq “上海站点”} |ft name,isglobalcatalog
域控制器提升为GC命令
Dsmod server“CN=BDC,CN=server,CN=default-first-site-name,CN=sites,CN=configuration,DC=book,DC=local ”-isgc yes|no
GC服务使用的默认端口是3268 查看端口是否监听 netstat –an | find “3268”
注册MMC active directory架构:regsvr32 schmmgmt.dll



连接到活动目录数据库 使用 ADSI编辑器

连接到全局编录服务器活动目录数据库




管理操作主机角色FSMO
架构主机角色 schema master 域命名主机角色 domain naming master RID主机角色 relative identifier master PDC模拟主机角色 基础架构主机角色
架构角色的作用是定义所有域对象属性
域命名主机角色的作用是为负责控制域林内域的添加或删除
基础架构主机角色负责对跨域对象的引用进行更新
RID主机角色为域中每一个对象创建SID
林环境内:整个林中只有一台架构主机和域命名主机
域环境内:每一个域拥有自己的RID主机 PDC 和基础架构主机
拥有PDC主机角色的域控一般为主域控制器
PDC角色也可以在不同域控制器之间切换,使用transfer 或 seize
FSMO角色转移:应首先尝试角色转移,如果转移不成功,才会执行占用操作
一般不建议将基础架构主机角色指派给GC所在的域控制器
Netdom query fsmo






查看主域控制器 net accounts

转移FSMO角色,克隆虚拟机后要重新生成SID。否则报错

查看自己的SID

重新生成SID


转移主机角色的过程中,具备操作主机角色的域控制器必须始终在线,操作主机转移过程支持逆向操作,除了schema master需要使用ntdsutil命令行方式转移外,其他几个角色都可以在图像界面完成操作。

原文地址:https://blog.51cto.com/90856/2472796

时间: 2024-09-30 11:13:57

活动目录的相关文章

更改默认添加到活动目录的客户端数量

我们启用"将工作站添加到域"策略以后,只允许普通用户添加10个计算机账户,超过十个以后此用户账户就不能再将计算机加入域,工作需要,管理员可以修改这个值.请看下面讲述. (由于环境是英文的,请大家对照相应的中文去找,还请大家谅解.如有问题请给我博客留言,谢谢!) "运行"中输入"adsiedit.msc"打开ADSI编辑器,连接到"DC=contoso,DC=com"(默认) 右击DC=contoso,DC=COM,选择&quo

Server 2008 R2活动目录配置

一.安装windows2008_64bit_r2 给服务器设置密码:xxxxxxxx 二.安装配置DNS 1.更改服务器主机名:DCserver 2.配置静态IP地址 IP地址:10.0.100.10 子网:255.255.255.0 网关:10.0.100.1 dns:10.0.100.10 三.安装活动目录

sharepoint 2013 修改某些显示名,email和活动目录不一致的账户 powershell

#该脚本修改某些显示名,email和活动目录不一致的账户Add-PSSnapin Microsoft.SharePoint.PowerShell $ConfirmPreference = 'None'  #关闭确认提示 $filePath="c:\file\" $allUsers=get-content C:\file\user.txt  -Encoding UTF8                   #从文件中读取需要迁移的账户,每一行包含账户和新的显示名称,新的email地址,字

windows活动目录(域环境初涉)

windows域环境可以对域环境内的计算机进行统一管理(包括集中的身份验证和统一的活动行为) 域环境中要存在一台DC(域控制器) 安装了AD(活动目录)的服务器就成为DC. 安装DC时要配置DNS服务器需要把域内所有的DNS指向该服务器,如果DNS服务同时部署在DC上也需要把自身的DNS指向自己(要使用ip地址不要使用本地回环地址127.0.0.1). 组策略文件夹:SYSVOL 把域控制器的DNS指向自己后SRV记录不完整要在域控制器上重启netlogon服务:net stop netlogo

活动目录(AD DS)域改名

在过去的几年工作中,接触了客户的上百个域,绝大部分看起来都是很随意地搭建起来,后期的生产维护要多花很多时间.只有一个是咨询了美国最著名的网络安全公司建立起来的,几乎符合大多教科书的命名及安全规范,堪称典范.后来才了解到:该公司还设计了美国国防部,诺思罗普-格鲁曼公司(全球最著名的军火商,没之一,航母设计者)以及美国众议院的网络. 随着微软活动目录的开发,新的功能不断添加,最初的设计缺陷可以在后来的运维当中改正,域改名(domain rename)便是其中之一.在Windows 2000中,即使是

Skype For Business 2015实战系列2:安装活动目录

Skype For Business 2015实战系列2:安装活动目录 今天开始我们就正式进入了Skype For Business 2015的部署阶段,在部署开始之前,我们先来看一下我们本次的环境列表: 计算机名 IP地址 角色 备注 DC 192.168.1.20 AD DS   Mail 192.168.1.22 Exchange 2013   Front01 192.168.1.25 SFB前端   Front01 192.168.1.26 SFB前端   SQL01 192.168.1

windows 2008 活动目录实施方案

Windows Server 2008活动目录实施方案 1.     用户需求 要求 一:活动目录高可用,实现容灾 二:客户机成功加入域,限制财务的用户只能登陆到财务的客户机,每周一到周五实现财务部的用户能够成功登陆,其他时间不允许登陆. 三:组策略限制如下: 1. 限制所有员工桌面背景为1.jpg,为所有用户设置账户锁定策略,输错 两次密码锁定. 2. 限制行政部员工桌面背景为2.jpg 3. 限制销售部员工的开始菜单中删除运行图标,删除桌面的计算机图标        4.为所有客户端自动安装

活动目录管理及维护----------操作主机1(转移主机优化域控制器,占用操作主机较色,升级03域控制器到08)

享受生活  热爱挑战                                                                                        刘明远分享                 六操作主机  上(本章分两节) 每章一段话 没有永远的缘份,没有永远的生命,我们所能拥有的,可能只是平凡的一生.然而因为有你,生命便全然不同,世界也许因你而更加精彩.不要放弃了自己!!! (本章实验:转移主机的优化域控制器.  占用操作主机角色) 一  操作主

windows 活动目录管理(1)简述部署域服务

(一)AD简述: 1. 活动目录(Active directory):是windows 网络中的目录服务,对于活动目录域服务AD DS概念,分为两种活动目录是一个目录:活动目录是一种服务. 优点和特性  : 集中管理,便捷地访问网络资源,可扩展性. 2.域(domain):是组织与存储资源的核心管理单元. 3.域控制器(domain controller):就是安装了活动目录服务的一台计算机. 4.对象(object):由一组属性组成. 5.属性(Attribute):就是用来描述对象的数据.

活动目录父子域用户迁移之:TFS&SharePoint问题汇总(一)

前段时间做了个项目,是关于父子域合并的,其实无非就是使用ADMT把域用户,计算机等从子域迁移到父域上,看似迁移用户很简单.But--生产环境啊,Exchange,TFS,Sharepoint,还有其余乱七八糟的东西,都使用了域账号,牵一发动全身的节奏,迁移账号出点儿问题相关用户就可以坐在那打酱油了,迁移前在他们生产环境中新建测试账号迁移,但是这种测试账号相对理想的环境,测试过程中很多问题不容易发现,很多问题是迁移了客户生产用户账号时出现了问题,但是于对于TFS一窍不通,sharepoint大多不