青蛙阜堂

AD域維日常維護手冊

一、ActiveDirectory（域）介紹

ActiveDirectory的體系構造介紹

ActiveDirectory的體系構造分為規律構造和物理構造。必需對Active

Directory的規律構造與物理構造進展規章，才能較好地滿足企業的需求。為了

治理ActiveDirectory，必需首先理解這些構造。

ActiveDirectory的作用

ActiveDirectory可以存儲用戶、計算機和網絡資源的信息,并且使資源可

以被用戶和應用程序訪問。它供給了一種統一的方法來命名、描述、定位、訪問、

治理、和保護這些資源。

ActiveDirectory具有如下功能：

?對網絡資源的集中掌握。通過對諸如效勞器、共享文件和打印機等的資

源進展集中掌握，只有授權用戶可以訪問ActiveDirectory中的資源……例

如，可以通過給行政部的激光打印機設置權限，設置只有行政部人員可以使用該

打印機……從而避開非法使用和資源鋪張。

?集中和分散治理。治理員通過全都的治理界面，能夠可以編寫一個組策

略，使得某個應用程序的升級包能夠在網絡中每個用戶開機的時候就自動安裝，

從而分散治理任務。例如，治理員可以把銷售部的計算機和打印機納入到一個組織

單元中，將它們的治理權限委派給銷售部的技術支持人員，從而削減自己的工作量。

?在規律構造中安裝地存儲對象。ActiveDirectory使用層次規律構造

把全部資源作為對象存儲。例如，可以依據公司的組織構造和業務需求來組織相

應的組織單元，將網絡資源分布在相應的組織單元中，實現分級治理。Active

Directory還會對儲在其中的對象進展加密，這樣可以保證數據的安全。

?優化網絡流量，ActiveDirectory物理構造能夠更加高效地使用網絡

帶寬，例如，當用戶登錄到網絡時，能夠保證用戶是由離他們最近的驗證中心進展

身份驗證，從而減小了網絡流量。

ActiveDirectory效勞的優勢

WindowsServer2022系列中ActiveDirectory是對WindowsNT中的

扁平域模型的重大改進。

?集中的數據存儲。ActiveDirectory中的全部數據都保存在一個獨立

的分布式數據庫中，允許用戶從任何位置訪問這些信息。和其他數據存儲方式相

比，獨立的數據存儲所需的治理重復勞動更少，并旦提高了數據的可用性和可組

織性。

?可伸縮性。ActiveDirectory使治理員能通過配置域和樹以及減掌

握器的主席團來調整名目，以滿足業務和網絡的要求。ActiveDirectory允許

每個域有兒百萬個對象，并使用索引技術和先進的復制技術來加速處理。

?可擴展性。ActiveDirectory數據庫的架構可以被擴展，以便允許自

定義的信息類型。

?可治理性。ActiveDirectory是基于分組組織構造的。這些組織構造

使治理員能更簡潔地掌握治理權限和其他安全設置，并且使用戶能更簡潔地定位

網絡資源，比方文件和打印機

?與DNS相集成。ActiveDirectory使用了DNS,它是一種基于IP

地址的Internet標準效勞，可以把可讀性好的主機名稱轉換為IP地址，雖然

ActiveDirectory和DNS是分開的，并且由于用途不同而被方式不同，但是

它們有一樣的分級構造。ActiveDirectory客戶端使用DNS來定位域掌握

器。在使用WindowsServer2022DNS效分時，可以將主DNS區域存儲在

ActiveDirectory中，并啟用到其他ActiveDirectory域掌握器的復制。

?客戶端配置治理。ActiveDirectory供給了技術來治理客戶端配置問

題，例如配置文件可以在不同的機器上漫游，即便發生硬盤故障，也可以在別的

機器上馬上重開頭工作，這樣可以將治理工作和用戶停機時間都減到最小

?基于策略的治理。在ActiveDirectory中，策略用于定義給定站點、

域或者組織單元上用戶和計算機的可進展的操作和設置。基于策略的治理簡化了

一些傻笑國，比方操作系統更、應用程序安裝、用戶配置文件和桌面系統鎖定

?信息復制。ActiveDirectory供給多謝機復制技術，以確保信息的可

用性、容錯、負載平衡和其他性能優點。多主機復制使治理員能在任何域掌握器

上更名目并將名目更改復制到任何其他域掌握器上。由于承受了多臺域掌握器,

即使一臺域掌握器停頓了工作，復制仍可連續。

二、AD域界面預覽

可以通過開頭菜單一治理工具一ActiveDirectory用戶和計算機翻開

1.1Builtin這個模塊里面的組都是系統的默認組

1.2Computers這個模塊里面的都是域的客戶端計算機名（全部加了域的計算機都會在這個模塊里

顯示）

1.3DomainContrillers這個模塊里面的是域掌握器的計算機名

1.4Users就是AD域里面的一些用戶和組了，假設建的賬戶沒指定安排到哪些地方的話，也會消

滅在這個Users里面的

三、AD域賬號的建立

例如我在dg的根底OU上再建立一個qiantai（前臺）前臺式面再建立話1、話2這樣都是可以的,

但是官方建議嵌套層面最好不要超過10層。

五、AD域賬戶0U間的移動

例如我賬戶張三是屬于dg-ciantai-話1的，那么我們直接選中張三這個賬戶，左鍵直接拖到話1的

OU中就可以了。

六、AD域策略的介紹以及部署范圍

AD域默認的2個策略，域安全策略以及域掌握器安全策略

域安全策略呢，就是針對整個域的用戶、計算機，假設對這個域安全策略做修改的話，那么它的生效

范圍將是整個域（全部參加域的計算機、或者用戶）

域掌握器安全策略，就是針對域掌握器效勞器的（DC）,假設針對這個域安全策略做修改的話，那

么它的生效范圍是域效勞器

假設域安全策略和域掌握器安全策略有沖突的話，以域掌握器安全策略為準

七、AD域0U的策略部署

例如我需要對前臺的話務人員做一條策略是制止C盤的，只需要右擊下qiantai屬性一組策略一建

一策略名稱任憑起個，我這里是為了便利表示。

雙擊策略或者點編輯，就可以直接對策略進展編輯修改，本例是制止C盤，如假設要修改或者限制其

他的，請具體查看組策略然后依據我所描述的方法就可以了。

選擇要限制的盤符

部署完策略后，在效勞器上執行這條命令，意思就是刷策略，后面跟的參數是強制刷的意思。假設想

要客戶端也馬上生效的話也同樣在客戶端上執行?樣命令，由于AD域策略默認是90分鐘才自動刷

一次的，所以你不更要等90分鐘才能看到效果

有一點要特別申明一下

這電的【計算機配置】策略所應用的范圍是計算機，也就是說你建立的OU里面所包含的對象必需是

計算機才能生效，相對的來說【用戶配置】的話對象就是針對賬戶來做的。

【計算機配置】命令刷后，需注銷或者重起計算機才能看到效果

【用戶配置】命令刷后，就可觀察效果，有個別的需要注銷.

八、AD域策略的阻擋策略繼承和制止替代

假設勾上阻擋策略繼承，那么就只有qiantai這個OU里面的對象對這個策略生效了，而qiantai下

面的話1室和話2室OU都不會接收這個策略的

制止替代呢，就是除了接收自己OU的策略外，其它策略一概不接收，由于在上下層的OU里默認策

略是下級繼承上級的，也就丹說，假設下級OU制止替代的話，那么上級OU的策略也就被阻擋了下

不來。假設，話1室的策略是開放C盤，qiantai的策略是制止C盤，而下級0U話1室有勾上了

這個制止替代，那么最終話1室得到的策略將是開放C盤

九、客戶端加域操作

在參加域之前首先要知道域掌握器(DC)的IP地址以及DC的域名，IP地址是40

而客戶端在加域之前首先要把DNS的指向指到DC上，這樣才能解析DC的域名后才能加域

右擊我的電腦■屬性-計算機名■更改■選擇域■輸入域名

輸入一個有權限參加域的賬號跟密碼，每個域賬戶都可以加1D個成員，治理員無限制

加域成功后，重啟計算機登陸到域環境就OK了！

卜拉菜單中選擇登陸的環境，一個是本機，一個是域

十、組策略治理(GPMC)工具的使用(重點)

GPMC的主要特征包括諸如組策略對象(GPO)備份、恢復、導入、復制與報表生成之類的增功能。

GPMC工具包可以從微軟官網下載獵取，安裝很簡潔始終下一步即可

安裝完畢后可在治理工具下找到組策略治理，直接雙擊運行即可

10.GPMC治理界面的生疏

在AD里全部的OU、己設置的組策略都能在這個工具（GPMC）里顯示出來,

10.2、組策略的使用

翻開組策略治理，翻開相關域下面的組策略對象，用右鍵翻開菜單建.

建完之后，我們就可對這個對象進展編輯了。在相應的策略上面右鍵翻開菜單，點編輯。（見以下圖）

點編輯之后，就會消滅如我們尋常在PC上用gpedit.msc翻開的組策略治理是?樣的。

留意：組策略是分為兩局部的。一是計算機配置，是針對計算機應用的，二是用戶配置，是針對用

戶應用的。組策略編輯器是具體使用就不介紹了，這跟尋常用的組策略是一樣的。

10.3、組策略應用

我們建的組策略是沒有被應用下去的，這點和PC上面的組策略不一樣，PC上的組策略是應用在本

機上的。面我們域的策略在應用在哪里需要系統治理員自己定義。

在組策略治理里面我們只需要把做好的組策略對象拖到你要應用的對象下面就可以了,

你可以在這里看出0U下面與組策略對象下面的策略圖標的區分，相當于連接了快捷方式，假設你不

需要對這個0U使用這甘條策略的時候，可以才0U下面刪除這個快捷方式面不影響其他0U的應用。

10.4、報表形式查看組策略

選中需要查看的策略，然后在右側，設置選項中就可以已報表的形式來查看了，可以保存為htm格

式的文件

10.5、組策略的備份、復原、導出和導入

單擊【組策略對象】選中需要操作的策略，然后右擊，依據所需狀況來操作

就這幾個功能是我們這些治理人員日常用到的