《Windows Server 2012 R2 Active Directory配置指南》由臺(tái)灣知名的微軟技術(shù)專(zhuān)家戴有煒先生傾力編著,是他最新推出的Windows Server 2012三卷力作中的Active Directory配置指南篇。
《Windows Server 2012 R2 Active Directory配置指南》延續(xù)了作者的一貫寫(xiě)作風(fēng)格:大量的實(shí)例演示兼具理論,以及完整清晰的操作過(guò)程,以簡(jiǎn)單易懂的文字進(jìn)行描述,內(nèi)容豐富,圖文并茂。本書(shū)共分13章,內(nèi)容包括Active Directory域服務(wù)、建立AD DS域、域用戶與組賬戶的管理、使用組策略管理用戶工作環(huán)境、利用組策略部署軟件、限制軟件的運(yùn)行、建立域樹(shù)和林、管理域和林信任、AD DS數(shù)據(jù)庫(kù)的復(fù)制、操作主機(jī)的管理、AD DS的維護(hù)、將資源發(fā)布到AD DS以及自動(dòng)信任根CA。
首先要感謝讀者長(zhǎng)久以來(lái)的支持與愛(ài)護(hù)!這一系列書(shū)籍仍然采用我一貫的編寫(xiě)風(fēng)格,也就是完全站在讀者的立場(chǎng)思考,并且以實(shí)用的觀點(diǎn)來(lái)編寫(xiě)這幾本W(wǎng)indows Server 2012書(shū)籍。我花費(fèi)了相當(dāng)多時(shí)間不斷地測(cè)試與驗(yàn)證書(shū)中所述內(nèi)容,并融合多年的教學(xué)經(jīng)驗(yàn),以最容易讓您了解的方式將其寫(xiě)到書(shū)中,希望這本書(shū)能幫助您快速學(xué)會(huì)Windows Server 2012。
本套書(shū)的宗旨是希望能夠讓讀者通過(guò)書(shū)中完整與清楚的實(shí)際操作,來(lái)充分了解Windows Server 2012,進(jìn)而能夠輕松地管理Windows Server 2012的網(wǎng)絡(luò)環(huán)境,因?yàn)榇藭?shū)不但理論解說(shuō)清楚,而且范例充足。對(duì)需要參加微軟認(rèn)證考試的讀者來(lái)說(shuō),這套書(shū)更是不可或缺的參考書(shū)籍。
學(xué)習(xí)網(wǎng)絡(luò)操作系統(tǒng),要注重實(shí)際操作,只有掌握操作中所介紹的各項(xiàng)技術(shù),才能充分了解與掌控它,因此建議使用類(lèi)似Windows Server 2012 Hyper-V的虛擬化軟件,來(lái)配置各種網(wǎng)絡(luò)測(cè)試環(huán)境。
本套書(shū)分為《Windows Server 2012系統(tǒng)配置指南》、《Windows Server 2012網(wǎng)絡(luò)管理與架站》和《Windows Server 2012 Active Directory配置指南》三本,內(nèi)容豐富詳實(shí),相信這幾本書(shū)仍然不會(huì)辜負(fù)您的期望,在學(xué)習(xí)Windows Server 2012時(shí)給予您最大的幫助。
感謝所有讓這本書(shū)能夠順利出版的朋友們,他們?cè)诮o予寶貴意見(jiàn)、幫助版面排版、協(xié)助技術(shù)審校、出借測(cè)試設(shè)備以及提供軟件資源等方面都給予了很大幫助。
第1章 Active Directory域服務(wù)(AD DS) 1
1.1 Active Directory域服務(wù)概述 2
1.1.1 Active Directory域服務(wù)的適用范圍(Scope) 2
1.1.2 名稱(chēng)空間(Namespace) 2
1.1.3 對(duì)象(Object)與屬性(Attribute) 3
1.1.4 容器(Container)與組織單位(Organization Units,OU) 3
1.1.5 域樹(shù)(Domain Tree) 4
1.1.6 信任(Trust) 5
1.1.7 林(Forest) 5
1.1.8 架構(gòu)(Schema) 6
1.1.9 域控制器(Domain Controller) 6
1.1.10 只讀域控制器(RODC) 7
1.1.11 可重新啟動(dòng)的AD DS(Restartable AD DS) 9
1.1.12 Active Directory回收站 9
1.1.13 AD DS的復(fù)制模式 9
1.1.14 域中的其他成員計(jì)算機(jī) 10
1.1.15 DNS服務(wù)器 10
1.1.16 輕型目錄訪問(wèn)協(xié)議(LDAP) 11
1.1.17 全局編錄(Global Catalog) 12
1.1.18 站點(diǎn)(Site) 12
1.1.19 目錄分區(qū)(Directory Partition) 13
1.2 域功能級(jí)別與林功能級(jí)別 14
1.2.1 域功能級(jí)別(Domain Functionality Level) 14
1.2.2 林功能級(jí)別(Forest Functionality Level) 15
1.3 Active Directory輕型目錄服務(wù) 15
第2章 建立AD DS域 17
2.1 建立AD DS域前的準(zhǔn)備工作 18
2.1.1 選擇適當(dāng)?shù)腄NS域名 18
2.1.2 準(zhǔn)備好一臺(tái)支持AD DS的DNS服務(wù)器 18
2.1.3 選擇AD DS數(shù)據(jù)庫(kù)的存儲(chǔ)位置 20
2.2 建立AD DS域 21
2.3 確認(rèn)AD DS域是否正常 26
2.3.1 檢查DNS服務(wù)器內(nèi)的記錄是否完整 27
2.3.2 排除登記失敗的問(wèn)題 30
2.3.3 檢查AD DS數(shù)據(jù)庫(kù)文件與SYSVOL文件夾 30
2.3.4 新增加的管理工具 32
2.3.5 查看事件日志文件 32
2.4 提升域與林功能級(jí)別 33
2.5 新建額外域控制器與RODC 34
2.5.1 安裝額外域控制器 35
2.5.2 利用安裝介質(zhì)來(lái)安裝額外域控制器 40
2.5.3 修改RODC的委派與密碼復(fù)制策略設(shè)置 42
2.6 RODC階段式安裝 43
2.6.1 建立RODC賬戶 43
2.6.2 將服務(wù)器附加到RODC賬戶 48
2.7 將Windows計(jì)算機(jī)加入或脫離域 51
2.7.1 將Windows計(jì)算機(jī)加入域 51
2.7.2 利用已加入域的計(jì)算機(jī)登錄 55
2.7.3 脫機(jī)加入域 56
2.7.4 脫離域 57
2.8 在域成員計(jì)算機(jī)內(nèi)安裝AD DS管理工具 58
2.9 刪除域控制器與域 60
第3章 域用戶與組賬戶的管理 65
3.1 管理域用戶賬戶 66
3.1.1 創(chuàng)建組織單位與域用戶賬戶 67
3.1.2 用戶登錄賬戶 68
3.1.3 創(chuàng)建UPN的后綴 69
3.1.4 賬戶的一般管理工作 71
3.1.5 域用戶賬戶的屬性設(shè)置 72
3.1.6 搜索用戶賬戶 74
3.1.7 域控制器之間數(shù)據(jù)的復(fù)制 79
3.2 一次同時(shí)添加多個(gè)用戶賬戶 80
3.2.1 利用csvde.exe來(lái)新建用戶賬戶 81
3.2.2 利用ldifde.exe來(lái)添加、修改與刪除用戶賬戶 82
3.2.3 利用dsadd.exe等程序來(lái)添加、修改與刪除用戶賬戶 83
3.3 域組賬戶 85
3.3.1 域內(nèi)的組類(lèi)型 85
3.3.2 組的使用范圍 85
3.3.3 域組的建立與管理 86
3.3.4 AD DS內(nèi)置的組 87
3.3.5 特殊組賬戶 89
3.4 組的使用原則 89
3.4.1 A、G、DL、P原則 90
3.4.2 A、G、G、DL、P原則 90
3.4.3 A、G、U、DL、P原則 91
3.4.4 A、G、G、U、DL、P原則 91
第4章 使用組策略管理用戶工作環(huán)境 92
4.1 組策略概述 93
4.1.1 組策略的功能 93
4.1.2 組策略對(duì)象 94
4.1.3 策略設(shè)置與首選項(xiàng)設(shè)置 97
4.1.4 組策略的應(yīng)用時(shí)機(jī) 97
4.2 策略設(shè)置實(shí)例演示 98
4.2.1 策略設(shè)置實(shí)例演示一:計(jì)算機(jī)配置 98
4.2.2 策略設(shè)置實(shí)例演示二:用戶配置 101
4.3 首選項(xiàng)設(shè)置實(shí)例演示 103
4.3.1 首選項(xiàng)設(shè)置實(shí)例演示一 103
4.3.2 首選項(xiàng)設(shè)置實(shí)例演示二 107
4.4 組策略的處理規(guī)則 109
4.4.1 一般的繼承與處理規(guī)則 109
4.4.2 例外的繼承設(shè)置 111
4.4.3 特殊的處理設(shè)置 113
4.4.4 更改管理GPO的域控制器 117
4.4.5 更改組策略的應(yīng)用間隔時(shí)間 118
4.5 利用組策略來(lái)管理計(jì)算機(jī)與用戶環(huán)境 120
4.5.1 計(jì)算機(jī)配置的管理模板策略 121
4.5.2 用戶配置的管理模板策略 122
4.5.3 賬戶策略 123
4.5.4 用戶權(quán)限分配策略 126
4.5.5 安全選項(xiàng)策略 128
4.5.6 登錄/注銷(xiāo)、啟動(dòng)/關(guān)機(jī)腳本 128
4.5.7 文件夾重定向 132
4.6 使用組策略限制訪問(wèn)可移動(dòng)存儲(chǔ)設(shè)備 138
4.7 WMI篩選器 141
4.8 組策略模型與組策略結(jié)果 145
4.9 組策略的委派管理 151
4.9.1 站點(diǎn)、域或組織單位的GPO鏈接委派 151
4.9.2 編輯GPO的委派 152
4.9.3 新建GPO的委派 152
4.10 Starter GPO的設(shè)置和使用 153
第5章 利用組策略部署軟件 156
5.1 軟件部署的概述 157
5.1.1 將軟件分配給用戶 157
5.1.2 將軟件分配給計(jì)算機(jī) 157
5.1.3 將軟件發(fā)布給用戶 157
5.1.4 自動(dòng)修復(fù)軟件 158
5.1.5 刪除軟件 158
5.2 將軟件發(fā)布給用戶 158
5.2.1 發(fā)布軟件 158
5.2.2 在客戶端安裝被發(fā)布的軟件 161
5.2.3 測(cè)試自動(dòng)修復(fù)軟件的功能 162
5.2.4 取消已發(fā)布的軟件 163
5.3 將軟件分配給用戶或計(jì)算機(jī) 164
5.3.1 分配給用戶 164
5.3.2 分配給計(jì)算機(jī) 165
5.4 對(duì)軟件進(jìn)行升級(jí)并重新部署 166
5.4.1 軟件升級(jí) 166
5.4.2 重新部署 169
5.5 部署Microsoft Office 171
5.6 軟件部署的其他設(shè)置 176
5.6.1 更改部署默認(rèn)值 177
5.6.2 更改高級(jí)部署設(shè)置 177
5.6.3 擴(kuò)展名與軟件關(guān)聯(lián)的優(yōu)先級(jí) 178
5.6.4 軟件分類(lèi) 179
5.7 將軟件重新封裝成MSI應(yīng)用程序 180
第6章 限制軟件的運(yùn)行 183
6.1 軟件限制策略概述 184
6.1.1 哈希規(guī)則 184
6.1.2 證書(shū)規(guī)則 184
6.1.3 路徑規(guī)則 185
6.1.4 網(wǎng)絡(luò)區(qū)域規(guī)則 185
6.1.5 規(guī)則的優(yōu)先級(jí) 185
6.2 啟用軟件限制策略 186
6.2.1 建立哈希規(guī)則 187
6.2.2 建立路徑規(guī)則 189
6.2.3 建立證書(shū)規(guī)則 191
6.2.4 建立網(wǎng)絡(luò)區(qū)域規(guī)則 194
6.2.5 不要將軟件限制策略應(yīng)用到本地系統(tǒng)管理員 195
第7章 建立域樹(shù)和林 196
7.1 建立第一個(gè)域 197
7.2 建立子域 197
7.3 建立林中的第二個(gè)域樹(shù) 203
7.3.1 選擇適當(dāng)?shù)腄NS架構(gòu) 204
7.3.2 建立第二個(gè)域樹(shù) 206
7.4 刪除子域與域樹(shù) 212
7.5 更改域控制器的計(jì)算機(jī)名稱(chēng) 215
第8章 管理域和林信任 220
8.1 域與林信任概述 221
8.1.1 信任域與受信任域 221
8.1.2 跨域訪問(wèn)資源的流程 221
8.1.3 信任的種類(lèi) 224
8.1.4 建立信任前的注意事項(xiàng) 227
8.2 建立快捷方式信任 229
8.3 建立林信任 235
8.3.1 建立林信任前的注意事項(xiàng) 235
8.3.2 開(kāi)始建立林信任 236
8.3.3 選擇性驗(yàn)證設(shè)置 244
8.4 建立外部信任 246
8.5 管理與刪除信任 248
8.5.1 信任的管理 248
8.5.2 信任的刪除 251
第9章 AD DS數(shù)據(jù)庫(kù)的復(fù)制 254
9.1 站點(diǎn)與AD DS數(shù)據(jù)庫(kù)的復(fù)制 255
9.1.1 同一個(gè)站點(diǎn)之間的復(fù)制 256
9.1.2 不同站點(diǎn)之間的復(fù)制 257
9.1.3 目錄分區(qū)與復(fù)制拓?fù)?258
9.1.4 復(fù)制協(xié)議 258
9.2 默認(rèn)站點(diǎn)的管理 259
9.2.1 默認(rèn)的站點(diǎn) 259
9.2.2 Servers文件夾與復(fù)制設(shè)置 260
9.3 利用站點(diǎn)來(lái)管理AD DS復(fù)制 263
9.3.1 創(chuàng)建站點(diǎn)與子網(wǎng) 264
9.3.2 創(chuàng)建站點(diǎn)鏈接 267
9.3.3 將域控制器移動(dòng)到所屬的站點(diǎn) 268
9.3.4 指定首選的bridgehead服務(wù)器 270
9.3.5 站點(diǎn)鏈接與AD DS數(shù)據(jù)庫(kù)的復(fù)制設(shè)置 271
9.3.6 站點(diǎn)鏈接橋 272
9.3.7 站點(diǎn)連接橋的兩個(gè)示例討論 274
9.4 管理全局編錄服務(wù)器 276
9.4.1 添加屬性到全局編錄內(nèi) 277
9.4.2 全局編錄的功能 277
9.4.3 通用組成員身份緩存 279
9.5 解決AD DS復(fù)制沖突的問(wèn)題 280
9.5.1 屬性戳記 281
9.5.2 沖突的種類(lèi) 281
第10章 操作主機(jī)的管理 285
10.1 操作主機(jī)概述 286
10.1.1 架構(gòu)操作主機(jī) 286
10.1.2 域命名操作主機(jī) 286
10.1.3 RID操作主機(jī) 287
10.1.4 PDC模擬器操作主機(jī) 287
10.1.5 基礎(chǔ)結(jié)構(gòu)操作主機(jī) 291
10.2 操作主機(jī)的放置優(yōu)化 291
10.2.1 基礎(chǔ)結(jié)構(gòu)操作主機(jī)的放置 291
10.2.2 PDC模擬器操作主機(jī)的放置 291
10.2.3 林級(jí)別操作主機(jī)的放置 293
10.2.4 域級(jí)別操作主機(jī)的放置 293
10.3 找出扮演操作主機(jī)角色的域控制器 293
10.3.1 利用管理控制臺(tái)找出扮演操作主機(jī)的域控制器 293
10.3.2 利用命令找出扮演操作主機(jī)的域控制器 295
10.4 轉(zhuǎn)移操作主機(jī)角色 296
10.4.1 利用管理控制臺(tái) 297
10.4.2 利用Windows PowerShell命令 299
10.5 奪取操作主機(jī)角色 300
10.5.1 操作主機(jī)停止服務(wù)所造成的影響 300
10.5.2 奪取操作主機(jī)角色實(shí)例演示 302
第11章 AD DS的維護(hù) 305
11.1 系統(tǒng)狀態(tài)概述 306
11.1.1 AD DS數(shù)據(jù)庫(kù) 306
11.1.2 SYSVOL文件夾 307
11.2 備份AD DS 307
11.2.1 安裝Windows Server Backup功能 307
11.2.2 備份系統(tǒng)狀態(tài) 308
11.3 還原AD DS 310
11.3.1 進(jìn)入目錄服務(wù)還原模式的方法 311
11.3.2 執(zhí)行AD DS的非授權(quán)還原 312
11.3.3 針對(duì)被刪除的AD DS對(duì)象執(zhí)行授權(quán)還原 316
11.4 AD DS數(shù)據(jù)庫(kù)的移動(dòng)與重組 319
11.4.1 可重新啟動(dòng)的AD DS(Restartable AD DS) 320
11.4.2 移動(dòng)AD DS數(shù)據(jù)庫(kù)文件 320
11.4.3 重組AD DS數(shù)據(jù)庫(kù) 324
11.5 重置“目錄服務(wù)還原模式”的系統(tǒng)管理員密碼 327
11.6 更改可重新啟動(dòng)的AD DS的登錄設(shè)置 328
11.7 Active Directory回收站 329
第12章 將資源發(fā)布到AD DS 333
12.1 將共享文件夾發(fā)布到AD DS 334
12.1.1 利用Active Directory用戶和計(jì)算機(jī)控制臺(tái) 334
12.1.2 利用計(jì)算機(jī)管理控制臺(tái) 335
12.2 查找AD DS內(nèi)的資源 336
12.2.1 通過(guò)網(wǎng)絡(luò) 336
12.2.2 通過(guò)Active Directory用戶和計(jì)算機(jī)控制臺(tái) 338
12.3 將共享打印機(jī)發(fā)布到AD DS 339
12.3.1 發(fā)布打印機(jī) 339
12.3.2 通過(guò)AD DS查找共享打印機(jī) 341
12.3.3 利用打印機(jī)位置來(lái)查找打印機(jī) 341
第13章 自動(dòng)信任根CA 345
13.1 自動(dòng)信任CA的設(shè)置準(zhǔn)則 346
13.2 自動(dòng)信任內(nèi)部的獨(dú)立CA 346
13.2.1 下載獨(dú)立根CA的證書(shū)并另存為證書(shū)文件 347
13.2.2 將CA證書(shū)導(dǎo)入到受信任的根證書(shū)頒發(fā)機(jī)構(gòu)策略 348
13.3 自動(dòng)信任外部的CA 351
13.3.1 下載獨(dú)立根CA的證書(shū)并另存為證書(shū)文件 351
13.3.2 建立證書(shū)信任列表(CTL) 354
附錄A AD DS與防火墻 358
A.1 AD DS相關(guān)的端口 359
A.1.1 將客戶端計(jì)算機(jī)加入域、用戶登錄時(shí)會(huì)用到的端口 359
A.1.2 計(jì)算機(jī)登錄時(shí)會(huì)用到的端口 360
A.1.3 建立域信任關(guān)系時(shí)會(huì)用到的端口 360
A.1.4 驗(yàn)證域信任時(shí)會(huì)用到的端口 360
A.1.5 訪問(wèn)文件資源時(shí)會(huì)用到的端口 361
A.1.6 執(zhí)行DNS查詢時(shí)會(huì)用到的端口 361
A.1.7 執(zhí)行AD DS數(shù)據(jù)庫(kù)復(fù)制時(shí)會(huì)用到的端口 361
A.1.8 文件復(fù)制服務(wù)(FRS)會(huì)用到的端口 361
A.1.9 分布式文件系統(tǒng)(DFS)會(huì)用到的端口 362
A.1.10 其他可能需要開(kāi)放的端口 362
A.2 限制動(dòng)態(tài)RPC端口的使用范圍 362
A.2.1 限制所有服務(wù)的動(dòng)態(tài)RPC端口范圍 363
A.2.2 限制AD DS數(shù)據(jù)庫(kù)復(fù)制使用指定的靜態(tài)端口 365
A.2.3 限制FRS使用指定的靜態(tài)端口 366
A.2.4 限制DFS使用指定的靜態(tài)端口 367
A.3 IPSec與VPN端口 368
A.3.1 IPSec所使用的通信協(xié)議與端口 368
A.3.2 PPTP VPN所使用的通信協(xié)議與端口 369
A.3.3 L2TP/IPSec所使用的通信協(xié)議與端口 369
附錄B Server Core服務(wù)器的管理 370
B.1 Server Core服務(wù)器概述 371
B.2 Server Core服務(wù)器的基本設(shè)置 373
B.2.1 修改計(jì)算機(jī)名 373
B.2.2 修改IP地址 373
B.2.3 啟用Server Core服務(wù)器 375
B.2.4 加入域 376
B.2.5 將域用戶加入本機(jī)Administrators組 377
B.2.6 修改日期與時(shí)間 377
B.3 在Server Core服務(wù)器內(nèi)安裝角色與功能 377
B.3.1 查看所有角色與功能的狀態(tài) 377
B.3.2 DNS服務(wù)器角色 378
B.3.3 DHCP服務(wù)器角色 379
B.3.4 文件服務(wù)器角色 379
B.3.5 Hyper-V角色 379
B.3.6 打印服務(wù)角色 380
B.3.7 Active Directory證書(shū)服務(wù)(AD CS)角色 380
B.3.8 Active Directory域服務(wù)(AD DS)角色 380
B.3.9 Web服務(wù)器(IIS)角色 380
B.4 遠(yuǎn)程管理Server Core服務(wù)器 381
B.4.1 通過(guò)服務(wù)器管理器來(lái)管理Server Core服務(wù)器 381
B.4.2 通過(guò)MMC管理控制臺(tái)來(lái)管理Server Core服務(wù)器 385
B.4.3 通過(guò)遠(yuǎn)程桌面來(lái)管理Server Core服務(wù)器 386
B.4.4 硬件設(shè)備的安裝 388
B.5 切換到GUI模式 389
B.5.1 若Server Core服務(wù)器是從GUI圖形模式轉(zhuǎn)換過(guò)來(lái)的 389
B.5.2 若Server Core服務(wù)器被安裝為Server Core模式 389
新書(shū)資訊