Windows AD(Active_Directory)域信息同步_组织单位、用户等信息查询
?示例准备
?知识了解
?读取AD域信息示例
?DirectorySearcher.Filter属性扩充说明?用户属性扩充说明(含图文属性对照)
?常规
?地址
?帐户
?电话
?组织
?示例下载
新建层次关系如下:
下面我们开始连接域,并读取出示例准备中键好的组织单位和用户
首先编写代码用LDAP尝试对域进行访问
形式:LDAP://Domain
#region## 是否连接到域
///
/// 功能:是否连接到域
/// 作者:Wilson
/// 时间:2012-12-15
///
https://www.360docs.net/doc/115980910.html,/zh-cn/library/system.directoryservices.directoryentry.path(v =vs.90).aspx
///
/// 域名或IP
/// 用户名
/// 密码
/// 域
///
private bool IsConnected(string domainName, string userName, string userPwd, out DirectoryEntry domain)
{
domain = new DirectoryEntry();
try
{
domain.Path = string.Format("LDAP://{0}", domainName);
https://www.360docs.net/doc/115980910.html,ername = userName;
domain.Password = userPwd;
domain.AuthenticationType = AuthenticationTypes.Secure;
domain.RefreshCache();
return true;
}
catch(Exception ex)
LogRecord.WriteLog("[IsConnected方法]错误信息:" + ex.Message); return false;
}
}
#endregion
传用参数,调IsConnected方法,结果如下
连接上AD域后,接着我们找到根OU
#region## 域中是否存在组织单位
///
/// 功能:域中是否存在组织单位
/// 作者:Wilson
/// 时间:2012-12-15
///
///
///
///
private bool IsExistOU(DirectoryEntry entry, out DirectoryEntry ou) {
ou = new DirectoryEntry();
try
{
ou = entry.Children.Find("OU=" + txtRootOU.Text.Trim());
return (ou != null);
catch(Exception ex)
{
LogRecord.WriteLog("[IsExistOU方法]错误信息:" + ex.Message);
return false;
}
}
#endregion
传入以数,调用IsExistOU方法,结果如下
下面来开始读取组织单位及用户的信息。
示例为了看出层次关系及导出信息是类型区分,给OU和User新建了一个实体类和一个类型的枚举
#region## 类型
///
/// 类型
///
public enum TypeEnum : int
{
///
/// 组织单位
///
OU = 1,
///
/// 用户
///
USER = 2
}
#endregion
#region## Ad域信息实体
///
/// Ad域信息实体
///
public class AdModel
{
public AdModel(string id, string name, int typeId, string parentId) {
Id = id;
Name = name;
TypeId = typeId;
ParentId = parentId;
}
public string Id { get; set; }
public string Name { get; set; }
public int TypeId { get; set; }
public string ParentId { get; set; }
}
#endregion
下面读取信息
private List
#region## 同步
///
/// 功能:同步
/// 创建人:Wilson
/// 创建时间:2012-12-15
///
///
public void SyncAll(DirectoryEntry entryOU)
{
DirectorySearcher mySearcher = new DirectorySearcher(entryOU, "(objectclass=organizationalUnit)"); //查询组织单位
DirectoryEntry root = mySearcher.SearchRoot; //查找根OU
SyncRootOU(root);
StringBuilder sb = new StringBuilder();
sb.Append("\r\nID\t帐号\t类型\t父ID\r\n");
foreach (var item in list)
{
sb.AppendFormat("{0}\t{1}\t{2}\t{3}\r\n", item.Id, https://www.360docs.net/doc/115980910.html,, item.TypeId, item.ParentId);
}
LogRecord.WriteLog(sb.ToString());
MessageBox.Show("同步成功", this.Text, MessageBoxButtons.OK,
https://www.360docs.net/doc/115980910.html,rmation);
Application.Exit();
}
#endregion
#region## 同步根组织单位
///
/// 功能: 同步根组织单位
/// 创建人:Wilson
/// 创建时间:2012-12-15
///
///
private void SyncRootOU(DirectoryEntry entry)
{
if (entry.Properties.Contains("ou") &&
entry.Properties.Contains("objectGUID"))
{
string rootOuName = entry.Properties["ou"][0].ToString();
byte[] bGUID = entry.Properties["objectGUID"][0] as byte[];
string id = BitConverter.ToString(bGUID);
list.Add(new AdModel(id, rootOuName, (int)TypeEnum.OU, "0"));
SyncSubOU(entry, id);
}
}
#endregion
#region## 同步下属组织单位及下属用户
///
/// 功能: 同步下属组织单位及下属用户
/// 创建人:Wilson
/// 创建时间:2012-12-15
///
///
///
private void SyncSubOU(DirectoryEntry entry, string parentId)
{
foreach (DirectoryEntry subEntry in entry.Children)
{
string entrySchemaClsName = subEntry.SchemaClassName;
string[] arr = https://www.360docs.net/doc/115980910.html,.Split('=');
string categoryStr = arr[0];
string nameStr = arr[1];
string id = string.Empty;
if (subEntry.Properties.Contains("objectGUID")) //SID
{
byte[] bGUID = subEntry.Properties["objectGUID"][0] as byte[];
id = BitConverter.ToString(bGUID);
}
bool isExist = list.Exists(d => d.Id == id);
switch (entrySchemaClsName)
{
case "organizationalUnit":
if (!isExist)
{
list.Add(new AdModel(id, nameStr, (int)TypeEnum.OU, parentId)); }
SyncSubOU(subEntry, id);
break;
case "user":
string accountName = string.Empty;
if (subEntry.Properties.Contains("samaccountName"))
{
accountName =
subEntry.Properties["samaccountName"][0].ToString();
}
if (!isExist)
{
list.Add(new AdModel(id, accountName, (int)https://www.360docs.net/doc/115980910.html,ER, parentId));
}
break;
}
}
}
#endregion
调用SyncAll方法循环输出list,结果如下,很清楚的可以看出层次关系
//ID 帐号类型父ID
//58-D6-C4-32-6A-A1-99-48-A4-8B-C8-5D-BC-C9-3E-17 acompany 1 0 //FB-44-91-AE-AC-73-2B-4D-9F-01-B1-E2-16-D3-CB-1B department01 1 58-D6-C4-32-6A-A1-99-48-A4-8B-C8-5D-BC-C9-3E-17
//47-9D-5B-91-60-22-D1-46-B0-CD-C7-B2-C7-D3-00-31 department03 1 FB-44-91-AE-AC-73-2B-4D-9F-01-B1-E2-16-D3-CB-1B
//E3-AD-47-45-38-64-02-4D-B9-83-2C-50-67-50-4F-92 zw 2
47-9D-5B-91-60-22-D1-46-B0-CD-C7-B2-C7-D3-00-31
//8A-D4-23-18-F3-6F-E1-47-93-7A-CC-07-76-4B-E7-86 zhongw 2 FB-44-91-AE-AC-73-2B-4D-9F-01-B1-E2-16-D3-CB-1B
//BC-D0-34-85-67-2F-05-4D-B5-77-E3-F4-AD-51-45-02 department02 1 58-D6-C4-32-6A-A1-99-48-A4-8B-C8-5D-BC-C9-3E-17
//1C-13-FA-66-E4-51-65-49-8B-DC-22-60-32-34-8F-22 wilson 2 BC-D0-34-85-67-2F-05-4D-B5-77-E3-F4-AD-51-45-02
//84-E8-E5-9A-6B-56-E2-45-9A-87-54-D1-78-6B-D3-56 porschev 2 58-D6-C4-32-6A-A1-99-48-A4-8B-C8-5D-BC-C9-3E-17
常项选项卡
地址选项卡
帐户选项卡
电话选项卡
组织选项卡
还有一些属性没有列出来,可以循环输出DirectoryEntry.Properties.PropertyNames 来找 比如用objectsid 这也是个用户比较重要的属性,在设置Windows 共享时会用到!
域用户与组账户的管理
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.360docs.net/doc/115980910.html,)处右击,“新建组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”“程序”“管理工具”“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”“帐户策略”“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.360docs.net/doc/115980910.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.360docs.net/doc/115980910.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
域控中 管理计算机和用户帐号
域控中管理计算机和用户帐号 管理计算机和用户帐号 在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。活动目录用户和计算机管理器是安装在域控制器上的目录管理工具,且用户可以在Windows2000 Professional 中安装它的管理工具,以便利用客户机对活动目录进行远程管理。 本章介绍了Active Directory用户和计算机的常用管理工具的使用: 1. 账户、组、组织机构相关的基本概念 2. 用户和计算机账户的配置与管理 3. 组的创建和管理 4. 组织机构的添加与管理 5. 资源的发布和搜索 6. 域和域间信任的管理 7.1 基本概念 活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户,计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。帐号可以用于: 验证计算机或用户的身份 允许访问域中资源 审核用户或计算机帐号的活动 7.1.1 用户帐号 用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户帐号也可以作为某些软 件的服务帐号。 7.1.2 计算机帐号 每一个运行Windows 2000 和Windows NT 的计算机在加入到域时都需要一个计算机帐号,就象用户帐号一样,被用来验证和审核计算机的登录过程和访问域资源。 7.1.3 组 组是可包含用户、联系人、计算机和其他组的Active Directory 或本机对象。使用组可以: 管理用户和计算机对Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享 资源的访问。 筛选器组策略设置 创建电子邮件通讯组 有两种类型的组: 安全组 通讯组 安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。 通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。 任何时候,组都可以从安全组转换为通讯组,反之亦然,但仅限于域处于本机模式的情况下。域处于
3种用组策略将域帐号加入本地管理员组的方法
3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”
2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。 第1种方法的步骤很简单: .在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图 第2种方法:
为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下: 为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为: https://www.360docs.net/doc/115980910.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):
在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组
实训二:windows server 2008 额外域控制器配置
实训二配置额外域控制器 一、知识点: 额外域控制器:如果域中只有一台域控制器,一旦出现物理故障,我们时可以备份还原AD。部署额外域控制器,指的是在域中部署第二个甚至更多的域控制器,每个域控制器都拥有一个Active Directory数据库。 只读域控制器:RODC只能单向的从其他可读写域控制器请求信息,而不会把任何修改传送给其他可写域控制器,这样做不仅可以降低主域服务器的工作负载及监控负载的工作量,还可以提高分支机构网络的安全性,同时便于管理。 二、动手实验: 实验目的: 利用windows server 2008搭建辅助域环境,了解辅助域控制器的作用,不仅学会安装辅助域控制器,而且还应学会如何配置辅助域,并实现辅助域在域环境中的作用。 实验内容: 1、配置域环境中额外域控制器 2、配置域环境中的只读域控制器(RODC) 3、测试辅助控制器是否搭建成功 实验要求: 1、完成实训内容,并做成实验报告。 实验步骤: 第一步配置域环境中额外域控制器 (1)部署环境 设置网络环境
(2)与主域的IP地址要互Ping的通 (3)根据拓扑图要求,将额外控制器的名称改为“BDC1”
输入域https://www.360docs.net/doc/115980910.html, 点击确定 (4)安装额外域控制器 开始------运行---输入dcpromo
输入dcpromo 点击确定 之后会弹出如下向导对话框,点击下一步 在弹出“部署配置”对话框勾选“现有林---向现有于添加域控制器”
下一步,输入主域名“https://www.360docs.net/doc/115980910.html,” 点击“设置”
输入“用户名和密码”点击“确定” 点击“下一步”选择域“https://www.360docs.net/doc/115980910.html,”
windows_ad域配置方案和操作手册
山东神达化工windows_ad域配置方案和操作手册 2015年01月14日
目录 1.背景 (3) 2.为什么要用域 (4) 2.1.一个演示实例说明 (4) 2.2域的概念 (7) 3.如何部署一个域 (7) 3.1.DNS前期准备 (8) 3.1.1.创建区域并允许动态更新 (9) 3.1.2.检查NS和SOA记录 (12) 3.2.创建域控制器 (14) 3.3.创建计算机账号 (23) 3.4.创建用户账号 (26) 4.用备份进行域的灾难重建 (30) 4.1.如何备份 (30) 4.2.如何还原 (34) 5.部署额外域控制器 (39) 6.ACTIVE DIRECTORY的授权还原 (48) 7.ACTIVE DIRECTORY的脱机碎片整理 (57) 8.针对神达化工的具体方案 (62) 8.1.用户管理 (62) 8.2.灾备和重建 (63) 8.3.桌面恢复 (63) 8.4.域用户集成本地管理员 (63) 8.5如何限制域用户脱离域后登陆 (68)
1.背景 山东神达化工有限公司(以下简称:神达化工)目前实施的HONEYWELL PHD 实时数据库需要且必须运行在windows的ad域中,目前项目进展顺利。 神达化工实施HONEYWELL PHD 实时数据库的网络拓扑如图1所示: 图1 ?一台域控制器:负责域用户的维护 ?一台数据库服务器:运行HONEYWELL所依赖的数据库 ?一台web服务器:对外访问,所有终端通过这台机器获取浏览信息。 神达化工在以往的信息化建设中并未使用过windows的ad域,借助HONEYWELL PHD 实时数据库项目,希望将域引入并通过域对公司内部的计算机进行管控。在项目建设过程中,针对windows的ad域,神达化工还有如下疑虑: 1、什么是域,为什么要实施域。
域用户及组账户的管理
域用户及组账户的管理 域系统管理员需要为每一个用户分别建立一个用户账户,让用户可以利用这个账户来登录域、访问网络上的资源。系统管理员同时也需要了解如何巧用组,以便有效的管理资源的访问。 本章的主要内容包括: 》域用户账户 》一次同时添加多个用户账户 》域组账户 》提升域功能级别 》组的使用准则 3.1域用户账户 作为域系统管理员,可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。当用户利用域用户账户登录域后,便可以直接连接域内的所有计算机、访问资源。换句话说,域用户在域内的一台计算机上登录成功后,当他们要连接域内的其他计算机时,并不需要再次登录到其他计算机上。这个只需要登录一次的功能,被制为“单一登录”(single sign-on )”。 本机用户账户并不具备“单一登录和”的功能,也就是说利用本机用户账户登录后,当要连接其他计算机时,必须再次登录。 非域控制器的Wdindows Server2003、Windows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具,不过,可以
通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具,也就是运行位于Windows Server 2003安装光盘中的I386文件夹内的ADMINPAD.MSI程序。 3.1.1组织单位 组织单位内可以容纳其他的对象,如用户账户、组账户、计算机账户等,以便更容易的管理资源,并可以通过组策略来集中管理域的用户工作环境与计算机环境。 你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。应设置有意义的组织单位名称,如”业务部“、”研发部“等,而且不要经常改变名称。 3.1.2用户登录账户 在Windows Server 2003或Windows 2000 Server域中,用户可以利用”用户登录名称(Windows 2000以前版本)“来登录域(见图3-1): 》用户登录名称(user principal name, UPN)它的格式与电子邮件账户相同,例如图3-1中的test@yu.local,这个名称只能在Windows Server 2003, Windows XP Professional, Windows 2000计算机上登录域时使用(如图3-2)。在整个林内,这个名称必须是唯一的。 UPN并不会随着账户的转移而改变,举例来说,用户”王乔治“的用户账户位于域https://www.360docs.net/doc/115980910.html, 内,若其UPN为test@yu.local,则即使这个用户账户被转移到林中的另一个域,如域https://www.360docs.net/doc/115980910.html,,,其UPN仍然是test@yu.local,用户王乔泽仍然可以继续使用原来的UPN登录。
域服务器的配置(详尽版)
域服务器的配置与实现(Windows Server2003) 法一: 1、dns服务器设置 a)开始—程序—管理工具—管理服务器角色—添加删除角色—域控制器(默认) 2、域控制器设置 法二: 一、域服务器的配置: 1.步骤: 1.0:计算机必须安装TCP/IP协议且IP地址最好为静态IP地址, 配置DNS服务器地址为网络中维护该区域DNS服务器的IP地址, 如下图:
1.1:点击开始?运行cmd,输入dcpromo命令,运行,出现【Acrive Directory安装向导】对话框; 1.2:安装配置Active Directory 【Acrive Directory安装向导】对话框: 1.2.1域控制类型:
选中【新域的域控制器】,下一步。 1.2.2创建一个新域: 选中【在新林中的域】,下一步。
1.2.3新的域名: 指定新域的DNS名称,一般应为公用的DNS域名,也可是部网使用的专用域名。 例如:hd.rjxy.。下一步。 1.2.4NetBI O S域名-默认 指定新域的NetBIOS名称。这是为了兼容以前版本Windows用户。该名默认为DNS名称最左
侧的名称,也可指定不同的名称。下一步。 1.2.5志文件文件夹:默认 指定这两种文件的文件夹位置,保留默认值即可。下一步。 1.2.6共享的系统卷:默认
指定存储域公用文件的文件夹,保持默认即可。下一步。 1.2.7DNS注册诊断 提示建立DNS服务器。 因为我们此前没有安装配置过DNS,所以诊断失败。这不是问题,我们让它自动安 装配置。 选中第2个,下一步。 1.2.8权限:默认
账号密码及权限管理制度
XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域,否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。
?一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责。 ?用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 ?对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则:
windowsserver无域配置故障转移群集帮助
w i n d o w s s e r v e r无域配置故障转移群集帮助集团标准化工作小组 [Q8QX9QT-X8QQB8Q8-NQ8QJ8-M8QMN]
准备工作软件准备 (1)?SQL?Server?2016 (2)?Windows?Server?2016??DataCenter???64位 (3)?VMware-workstation?12 Pro 操作系统:都是Windows?Server?2016??DataCenter(只有 Windows?Server?2016?才能无域配置集群) 计算机名 node1:WIN-VF232HI2UR6 node2:WIN-1MCR65603IJ IP规划
第一步:安装故障转移集(所有节点均需要此操作) 第二步:添加DNS后缀(所有节点均需要此操作,且后缀需一致) 第三步:所有节点上以管理员方式运行Powershell,然后执行以下命令 new-itemproperty -path HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System -Name LocalAccountTokenFilterPolicy -Value 1 或者也可以手动添加此注册表项(项名:LocalAccountTokenFilterPolicy,DWEORD(32位)值,值为1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
第四步:添加用户名,名称、密码均要一致,且隶属于Administrators 第五步:添加节点映射(注意要把集群名以及虚拟IP加上) C:\Windows\System32\drivers\etc\host
WOC-部署设置--Windows域认证配置
Windows域认证配置帮助文档1.域认证配置的选择 此节讲述域认证配置的场景及配置的选择。 1.1.域认证配置的场景 ●微软网上邻居应用(SMB/SMB2)会话启用了签名。 ●微软exchange邮件应用使用了加密的MAPI协议。 1.2.配置的选择
1.3.多域场景的支持 WOC支持windows多域的场景,如父子信任域、林信任域、树根信任域等。此时,WOC 需加入其中一个域,且此域与用户所在域、服务器所在域为双向信任。 2.WOC配置策略 2.1.自动协商模式的配置步骤 ●WOC服务端加入域 ●WOC服务端应用代理启用签名(Exchange解密已启用无需再启用) ●WOC服务端应用代理选择自动协商模式 ●WOC重启加速 2.2.委派模式配置步骤 ●WOC服务端加入域 ●域控制器(DC)上新建用户,并添加委派所需的权限 ●WOC服务端配置上一步所添加的用户 ●设置WOC服务端的时间与域控制器时间一致 ●WOC服务端应用代理启用签名(Exchange解密已启用无需启用) ●WOC服务端应用代理选择委派模式 ●WOC重启加速 2.3.启用NTLMv2配置步骤 ●WOC服务端应用代理启用NTLMv2 提示: ●WOC服务端是靠近服务器端的WOC设备 ●启用NTLMv2为Exchange代理仅有的选择,使用委派模式时,可以选择。开启此功能, 将引入风险,Outlook客户端无法保存用户名密码。此风险发生条件:(1)使用NTLM/NTLM认证;(2)登录客户端PC与登录OutLook的用户不一致。 ●SMB2只能使用委派模式
3.详细配置步骤 3.1.WOC加入域 3.1.1.配置DNS 在WOC服务端网关,选择系统->部署设置–>DNS ,设置首选DNS为域所在DNS服务器IP地址。例如:那么域名为https://www.360docs.net/doc/115980910.html,,输入https://www.360docs.net/doc/115980910.html,的DNS服务器IP即可。设置后,选择保存并生效, 系统提示“修改后将重启服务,确定吗?”,选择确定。 3.1.2.加入域 服务端网关,系统->部署设置->windows域。
《域管理》教程
?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来
管理员操作手册AD域控及组策略管理CTO
AD域控及组策略管理 目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。 1、工作组与域的区别...................... 错误!未指定书签。 2、公司采用域管理的好处.................. 错误!未指定书签。 3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。 二、AD域控(DC)基本操作 .............. 错误!未指定书签。 1、登陆AD域控........................... 错误!未指定书签。 2、新建组织单位(OU).................... 错误!未指定书签。 3、新建用户.............................. 错误!未指定书签。 4、调整用户.............................. 错误!未指定书签。 5、调整计算机............................ 错误!未指定书签。 三、AD域控常用命令.................... 错误!未指定书签。 1、创建组织单位:(dsadd)................. 错误!未指定书签。 2、创建域用户帐户(dsadd)................. 错误!未指定书签。 3、创建计算机帐户(dsadd)................. 错误!未指定书签。 4、创建联系人(dsadd)..................... 错误!未指定书签。 5、修改活动目录对象(dsmod)............. 错误!未指定书签。 6、其他命令(dsquery、dsmove、dsrm)..... 错误!未指定书签。 四、组策略管理......................... 错误!未指定书签。 1、打开组策略管理器...................... 错误!未指定书签。 2、受信任的根证书办法机构组策略设置...... 错误!未指定书签。 3、IE安全及隐私组策略设置 ............... 错误!未指定书签。 4、注册表项推送.......................... 错误!未指定书签。
windows域控制器配置教程
域控制服务器教程 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
用户组跟域的区别
局域网中工作组和域之间的差别 为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢? "自由"的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在"网上邻居"内,可想而知会有多么乱(恐怕网络邻居也会显示"下一页"吧)。为了解决这一问题,Windows 9x/NT/2000才引用了"工作组"这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在"网上邻居"里找到那个系的工作组名,双击就可以看到那个系别的电脑了。 那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的"网上邻居",在弹出的菜单出选择"属性",点击"标识",在"计算机名"一栏中添入你想好的名字,在"工作组"一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。"计算机说明"是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如"数学系主机"等。单击"确定"按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入"网上邻居",就可以看到你所在工作组的成员了。 相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入"网上邻居",首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击"整个网络",然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。"工作组"就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个"房间",以方便网上计算机共享资源的浏览。 域的管理和设置 打个比方,如果说工作组是"免费的旅店"那么域(Domain)就是"星级的宾馆";工作组可以随便出出进进,而域则需要严格控制。"域"的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。 不过在"域"模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为"域控制器(Domain Controller,简写为DC)"。 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互"看"到是远远不够的,
如何实现AD域账户导入导出
如何实现AD域账户导入导出
如何实现AD域账户导入导出 作为域管理员,有时我们需要批量地向AD域中添加用户帐户,这些用户帐户既有一些相同的属性,又有一些不同属性。如果在图形界面逐个添加、设置,那么需要的时间和人力会超出能够承受范围。一般来说,如果不超过10个,我们可利用AD用户帐户复制来实现。如果再多的话,就应该考虑使用使用命令行工具,实现批量导入导出对象。微软默认提供了两个批量导入导出工具,分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)。 具体选择上述哪个工具取决于需要完成的任务。如果需要创建对象,那么既可以使用CSVDE,也可以使用LDIFDE,如果需要修改或删除对象,则必须使用LDIFDE。本文不涉及使用CSVDE导入对象。而是换另一种导入导出AD帐户思路:使用CSVDE工具导出AD 帐户到CSV格式的文件中,再使用For语句读取该文件,使用DSADD命令进行批量添加。 具体步骤:
一:使用CSVDE导出帐户 使用CSVDE 导出现有对象的列表相当简单。 最简单的用法是: csvde –f ad.csv 将Active Directory 对象导出到名为ad.csv 的文件。–f 开关表示后面为输出文件的名称。 但是必须注意,上述的用法是很简单,但是导出来的结果可能存在太多你不希望要的记录和信息。 如果要实现更精确的导出记录,可以使用-d 和-r 以及-l 参数。 其中:-d 用来指定特定的搜索位置和范围 -r 用来指定特定的搜索对象类型 -l 用来指定导出对象的具体属性如: csvde –f users.csv –d "ou=Users,dc=contoso,dc=com" –r "(&(objectcategory=person)( objectclass=user))" –l DN,objectClass,description
域用户帐户和组的管理
域用户帐户和组的管理
域用户帐户和组的管理 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。
打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元,点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后,原来的本地用户和组帐号都没有了,这些对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。
【精品】实验四AD用户和计算机管理
【实验目的】 1、理解域的概念,掌握AD的安装方法。 2、掌握加入和退出域的方法。 3、掌握域用户的管理和配置,组的规划和建立。 4、了解Windows Server 2003域用户和本地用户的区别。 5、理解组的概念和作用,认识组的类型。 【实验内容】 1、练习AD的安装方法, 2、练习加入和退出域的方法。 3、练习域用户的管理和配置,组的规划和建立 【实验器材】 两台PC,一台作为域控制器DC(PC1),另一台客户机(PC2)需要加入到域中。 【实验步骤】 一、安装活动目录 1、将要作为控制器DC的PC上运行DCPromo。单击[下一步]。 2、由于所建立的是域中的第一台域控制器,所以选择[新域的域控制器]单击[下一 步]。 3、选择[创建一个新域的域目录树],单击[下一步]。 4、选择[创建一个新域的域目录林],单击[下一步]。 5、在[新域DNS全名]中输入要创建的域名tlpt+学号后两位.com(如学号2,DNS全名为tlpt02),单击[下一步]。 6、安装向导自动将域名控制器的NetBIOS名设置为“tlpt+学号后两位”,单击[下 一步]。 7、显示数据库、目录文件及 Sysvol文件的保存位置,一般不必做做修改,单击[下 一步]。 8、配置DNS服务器,单击[下一步];如果在安装 Active Directory之前未配置DNS 服务器可以在此让安装向导配置DNS,推荐使用这种方法。 9、为用户和组选择默认权限;单击[下一步] 10、输入以目录恢复模式下的管理员密码,单击[下一步]。 11、安装向导显示摘要信息,单击[下一步]。 12、安装完成,重新启动计算机。 13、设置DNS。(由于在AD配置过程中,默认把本机IP作为DNS的IP,所以我们在DNS服务器中要填写上本机IP)。 14、进入系统后,右键单击“我的电脑”,在“计算机名”栏能看到完整的计算机域名。
AD域管理与工作组管理的主要区别及域管理的优点
一 工作组与域的区别 域管理与工作组管理的主要区别在于: 1、 工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、 在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二 公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可 以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装,保证网络内软件的统一性。 4、 很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、 使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、 方便用户使用各种资源。域内的计算机 出现故障的时候 可以在第一时间使用其他机器来代替。数据是在网络上面存储所以并不会丢失 并且可以从不同的计算机或者重新安装了操作系统的计算机上来访问。 7、 SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。防止其他员工在客户端随意的安装软件,能够增强客户端的安全性,减少客户端故障 降低维护成本。 8、 资源共享,用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、 管理
Win2003AD域配置及简单管理
域控制器的安装及相关配置 这节课我们一起来学习Win2003域的安装配置,用户管理、委派管理、辅助域控建立、子域建立及域管理介绍及域信任。 在Windows中AD(活动目录)是用来存储用户帐户、组、打印机、共享文件夹等对象目录的,它负责目录数据库的保存、新建、删除、修改及查询等服务。 域部署过程如下: 1、利用Windows2003安装域控制器; 2、在Active Directory中创建OU,用户帐户及组; 3、将客户机Windows XP或Windows2000 professional加入域; 4、辅助域控建立; 5、子域建立; 6、域信任关系; 7、从Win2000到Win2003 一、安装第一台域控制器(管理员密码设置一个简单的123456) 在安装域控制器之前要决定你是AD中的林根还是树或是子域,以及是域中的第一个DC还是第一台之后的DC,如果是AD中第一就好办啦. 安装DC之前要注意把你的DC上的DNS指向自己,域有域名所以需要DNS做域名解析,所以建议大家在安装的域控制器的时候就把DNS指向自己,然后在安装DC的时候选择在DC上安装DNS。(如果你对DNS比较熟的话可以将DNS安装在其它的DNS上)。 安装之前有几点要注意的: 1、需要固定IP,指向DNS为自己; 2、需要有NTFS分区存放sysvol文件夹 3、Windows 2003 Web Edition无法安装为DC 在运行中输入“Dcpromo”打开安装向导, 在这里直接点击“下一步”,
这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”, 在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”,
域管理员使用手册
方钢铁件统东邮系 域管理员使用手册<>版本 修订历史记录日版说作<><28/12/2003>创建文张 目录 简介1.目的范围定义、首字母缩写词和缩略语 参考资料概述 2.登录系统域基本设置3. 未定义书签。!错误用户管理4. 域地址簿管理5.邮件列表6.短消息7. 域管理员使用手册 简介 域管理是企业邮件系统对一个虚拟邮件域进行管理的模块。这部分功能以web形式提供,能够对一个域中的邮件帐户、地址簿、邮件列表和短消息进行管理。本手册介绍使用该模块对虚拟邮件域进行管理的方法。目的 本文档将从一个虚拟邮件域的管理员的角度出发,指导域管理员进行本邮件域的管理、维护工作。 本文档的读者为虚拟邮件域的管理员。 范围 适合于进行邮件域管理的有关人员 定义、首字母缩写词和缩略语 虚拟邮件域: 虚拟域的域名,也就是邮件地址中“@”符号后的部分。通常和邮件服务器不是同一个名字,, 但提供邮件服务的服务器通常为 邮件列表: 虚拟邮件域可在内部建立邮件列表。邮件列表由自己的名字,并可定义一系列成员。拥有授权的用户可以给列表发信,所有的列表成员都会收到,起到方便通知、联系的群发作用。 域地址簿: 系统为每个用户提供私人地址簿和邮件域的公共地址簿。公共地址簿是属于域的,每个域都有且仅有一个公共地址簿。 磁盘限额: 可供分配的用户磁盘限额和的限制。域中所有用户的磁盘限额之和不能超过此限,一旦达到就不能开设新的用户帐号。 参考资料 《Web Mail使用手册》 概述 本文档描述了域管理员进行管理维护的各个模块的功能和使用说明,这些模块包括登录系统、域基本设置、用户管理、域地址簿管理、邮件列表、短消息。 登录系统 系统的域管理功能以web形式提供,访问地址为。这里是虚拟域下的邮件服务器名称。打开后看到如下页