Windows Server 2019 Active Directory配置指南（簡體書）

第1章 Active Directory域服務（AD DS） 1

1.1 Active Directory域服務概述 2

1.1.1 Active Directory域服務的適用範圍 2

1.1.2 名稱空間 2

1.1.3 物件與屬性 3

1.1.4 容器與組織單位 3

1.1.5 域樹 4

1.1.6 信任 5

1.1.7 林 6

1.1.8 架構 6

1.1.9 域控制器 7

1.1.10 只讀域控制器 7

1.1.11 可重啟的AD DS 9

1.1.12 Active Directory回收站 9

1.1.13 AD DS的復制模式 10

1.1.14 域中的其他成員計算機 10

1.1.15 DNS服務器 11

1.1.16 輕型目錄訪問協議 11

1.1.17 全局編錄 12

1.1.18 站點 13

1.1.19 目錄分區 14

1.2 域功能級別與林功能級別 14

1.2.1 域功能級別 14

1.2.2 林功能級別 15

1.3 Active Directory輕型目錄服務 15

第2章 建立AD DS域 17

2.1 建立AD DS域前的準備工作 18

2.1.1 選擇適當的DNS域名 18

2.1.2 準備好一臺支持AD DS的DNS服務器 18

2.1.3 選擇AD DS數據庫的存儲位置 20

2.2 建立AD DS域 21

2.3 確認AD DS域是否正常 26

2.3.1 檢查DNS服務器內的記錄是否完備 26

2.3.2 排除注冊失敗的問題 29

2.3.3 檢查AD DS數據庫文件與SYSVOL文件夾 30

2.3.4 新增的管理工具 32

2.3.5 查看事件日志文件 32

2.4 提升域與林功能級別 33

2.5 新建額外域控制器與RODC 34

2.5.1 安裝額外域控制器 34

2.5.2 利用“安裝媒體”安裝額外域控制器 38

2.5.3 更改RODC的委派與密碼復制策略設置 40

2.6 RODC階段式安裝 41

2.6.1 建立RODC賬戶 42

2.6.2 將服務器附加到RODC賬戶 46

2.7 將Windows計算機加入或脫離域 48

2.7.1 將Windows計算機加入域 48

2.7.2 利用已加入域的計算機登錄 51

2.7.3 脫機加入域 53

2.7.4 脫離域 54

2.8 在域成員計算機內安裝AD DS管理工具 55

2.9 刪除域控制器與域 57

第3章 域用戶與組賬戶的管理 63

3.1 管理域用戶賬戶 64

3.1.1 建立組織單位與域用戶賬戶 65

3.1.2 用戶登錄賬戶 66

3.1.3 建立UPN後綴 68

3.1.4 賬戶的常規管理工作 69

3.1.5 域用戶賬戶的屬性設置 70

3.1.6 搜索用戶賬戶 72

3.1.7 域控制器之間數據的復制 77

3.2 一次同時添加多個用戶賬戶 79

3.2.1 利用csvde.exe新建用戶賬戶 79

3.2.2 利用ldifde.exe新建、修改與刪除用戶賬戶 81

3.2.3 利用dsadd.exe等程序添加、修改與刪除用戶賬戶 82

3.3 域組賬戶 83

3.3.1 域內的組的類型 84

3.3.2 組的使用範圍 84

3.3.3 域組的建立與管理 85

3.3.4 AD DS內置的組 86

3.4 組的使用策略 88

3.4.1 A、G、DL、P策略 88

3.4.2 A、G、G、DL、P策略 89

3.4.3 A、G、U、DL、P策略 89

3.4.4 A、G、G、U、DL、P策略 90

第4章 利用組策略管理用戶工作環境 91

4.1 組策略概述 92

4.1.1 組策略的功能 92

4.1.2 組策略物件 93

4.1.3 策略設置與首選項設置 96

4.1.4 組策略的應用時機 96

4.2 策略設置實例演練 97

4.2.1 策略設置實例演練一：計算機配置 97

4.2.2 策略設置實例演練二：用戶配置 100

4.3 首選項設置實例演練 102

4.3.1 首選項設置實例演練一 102

4.3.2 首選項設置實例演練二 106

4.4 組策略的處理規則 109

4.4.1 通用的繼承與處理規則 109

4.4.2 例外的繼承設置 111

4.4.3 特殊的處理設置 113

4.4.4 更改管理GPO的域控制器 118

4.4.5 更改組策略的應用間隔時間 119

4.5 利用組策略來管理計算機與用戶環境 121

4.5.1 計算機配置的管理模板策略 121

4.5.2 用戶配置的管理模板策略 122

4.5.3 賬戶策略 123

4.5.4 用戶權限分配策略 127

4.5.5 安全選項策略 128

4.5.6 登錄/注銷、啟動/關機腳本 129

4.5.7 文件夾重定向 133

4.6 利用組策略限制訪問可移動存儲設備 139

4.7 WMI篩選器 141

4.8 組策略建模與組策略結果 146

4.9 組策略的委派管理 152

4.9.1 站點、域或組織單位的GPO連接委派 153

4.9.2 編輯GPO的委派 153

4.10 Starter GPO的設置與使用 155

第5章 利用組策略部署軟件 157

5.1 軟件部署概述 158

5.1.1 將軟件分配給用戶 158

5.1.2 將軟件分配給計算機 158

5.1.3 將軟件發布給用戶 158

5.1.4 自動修復軟件 159

5.1.5 刪除軟件 159

5.2 將軟件發布給用戶 159

5.2.1 發布軟件 159

5.2.2 客戶端安裝被發布的軟件 162

5.2.3 測試自動修復軟件的功能 163

5.2.4 取消已發布的軟件 164

5.3 將軟件分配給用戶或計算機 165

5.3.1 分配給用戶 165

5.3.2 分配給計算機 166

5.4 將軟件升級 167

5.5 部署Adobe Acrobat 170

5.5.1 部署基礎版 170

5.5.2 部署更新程序 172

第6章 限制軟件的運行 176

6.1 軟件限制策略概述 177

6.1.1 哈希規則 177

6.1.2 證書規則 177

6.1.3 路徑規則 178

6.1.4 網絡區域規則 178

6.1.5 規則的優先級 178

6.2 啟用軟件限制策略 179

6.2.1 建立哈希規則 180

6.2.2 建立路徑規則 182

6.2.3 建立證書規則 184

6.2.4 建立網絡區域規則 187

6.2.5 不要將軟件限制策略應用到本地管理員 188

第7章 建立域樹與域林 189

7.1 建立第一個域 190

7.2 建立子域 190

7.3 建立域林中的第二個域樹 197

7.3.1 選擇適當的DNS架構 198

7.3.2 建立第二個域樹 199

7.4 刪除子域與域樹 205

7.5 更改域控制器的計算機名 209

第8章 管理域與林信任 213

8.1 域與林信任概述 214

8.1.1 信任域與受信任域 214

8.1.2 跨域訪問資源的流程 214

8.1.3 信任的種類 217

8.1.4 建立信任前的注意事項 220

8.2 建立快捷方式信任 222

8.3 建立林信任 228

8.3.1 建立林信任前的注意事項 229

8.3.2 開始建立林信任 230

8.3.3 選擇性身份驗證設置 237

8.4 建立外部信任 239

8.5 信任的管理與刪除 241

8.5.1 信任的管理 241

8.5.2 信任的刪除 244

第9章 AD DS數據庫的復制 247

9.1 站點與AD DS數據庫的復制 248

9.1.1 同一個站點之間的復制 249

9.1.2 不同站點之間的復制 251

9.1.3 目錄分區與復制拓撲 251

9.1.4 復制通信協議 252

9.2 默認站點的管理 252

9.2.1 默認站點 252

9.2.2 Servers文件夾與復制設置 253

9.3 利用站點來管理AD DS復制 256

9.3.1 建立站點與子網 257

9.3.2 建立站點鏈接 260

9.3.3 將域控制器移動到所屬的站點 261

9.3.4 指定首選bridgehead服務器 263

9.3.5 站點鏈接與AD DS數據庫的復制設置 264

9.3.6 站點鏈接橋 266

9.3.7 站點連接網橋的兩個示例討論 268

9.4 管理全局編錄服務器 270

9.4.1 在全局編錄內添加屬性 270

9.4.2 全局編錄的功能 271

9.4.3 通用組成員緩存 273

9.5 解決AD DS復制衝突的問題 274

9.5.1 屬性標記 274

9.5.2 衝突的種類 275

第10章 操作主機的管理 279

10.1 操作主機概述 280

10.1.1 架構操作主機 280

10.1.2 域命名操作主機 280

10.1.3 RID操作主機 281

10.1.4 PDC模擬器操作主機 281

10.1.5 基礎結構操作主機 285

10.2 操作主機的放置優化 285

10.2.1 基礎結構操作主機的放置 285

10.2.2 PDC模擬器操作主機的放置 285

10.2.3 林級別操作主機的放置 286

10.2.4 域級別操作主機的放置 287

10.3 找出扮演操作主機角色的域控制器 287

10.3.1 利用管理控制臺找出扮演操作主機的域控制器 287

10.3.2 利用命令找出扮演操作主機的域控制器 289

10.4 轉移操作主機角色 290

10.4.1 利用管理控制臺 291

10.4.2 利用Windows PowerShell命令 293

10.5 奪取操作主機角色 294

10.5.1 操作主機停止工作所造成的影響 294

10.5.2 奪取操作主機角色實例演練 296

第11章 AD DS的維護 298

11.1 系統狀態概述 299

11.1.1 AD DS數據庫 299

11.1.2 SYSVOL文件夾 300

11.2 備份AD DS 300

11.2.1 安裝Windows Server Backup功能 300

11.2.2 備份系統狀態 301

11.3 恢復AD DS 304

11.3.1 進入目錄服務修復模式的方法 304

11.3.2 執行AD DS的非授權還原 305

11.3.3 針對被刪除的AD DS物件執行授權還原 310

11.4 AD DS數據庫的整理 313

11.5 重置目錄服務修復模式的管理員密碼 317

11.6 更改可重新啟動的AD DS的登錄設置 317

11.7 Active Directory回收站 318

第12章 將資源發布到AD DS 322

12.1 將共享文件夾發布到AD DS 323

12.2 查找AD DS內的資源 326

12.3 將共享打印機發布到AD DS 328

第13章 自動信任根CA 334

13.1 自動信任CA的設置準則 335

13.2 自動信任內部的獨立CA 335

13.3 自動信任外部的CA 340

第14章 利用WSUS部署更新程序 346

14.1 WSUS概述 347

14.2 WSUS的系統需求 347

14.3 WSUS的特性與工作方式 348

14.4 安裝WSUS服務器 352

14.5 設置客戶端的自動更新 360

14.6 審批更新程序 363

14.7 自動更新的組策略設置 369

第15章 AD RMS企業文件版權管理 374

15.1 AD RMS概述 375

15.2 AD RMS實例演練 377

第16章 AD DS與防火墻 390

16.1 AD DS相關的端口 391

16.2 限制動態RPC端口的使用範圍 394

16.3 IPSec與VPN端口 399