域组建,域管理,活动目录管理,OU管理

第6章Windows域管理很多人对域名、活动目录、DHCP、DNS等术语可能还停留在概念性的阶段，于实际操作却有些陌生，本章有助于改善这一点。

本章主要内容包括：⏹介绍域、活动目录等基础概念；⏹活动目录部署和配置；⏹DHCP部署和配置；⏹组策略涉及以下一些方面：⏹普通Server 2003和域控制器之间的升降级⏹DHCP和DNS的配置使用⏹添加或删除域用户⏹计算机加入域⏹SAM数据库和Syskey⏹组策略应用：对组策略进行编辑、设置，掌握强化系统的安全性的方法。

实验1域管理基础域是（Domain）Windows网络管理的一个基本单位。

域管理涉及域、活动目录（AD）和SAM数据库等概念。

1. 域和工作组首先我们介绍一下工作组（Work Group）的概念。

域和工作组都是局域网环境下的两种不同的网络资源管理模式。

工作组的概念想必大家都很熟悉。

它是我们默认安装完系统以后的最初、也是最常用的一种工作模式。

工作组将局域网中的电脑按功能分组，以便查找和浏览共享资源。

同一个工作组内部或不同工作组成员之间可以通过“网上邻居”实现资源共享。

从“网上邻居”最先看到的是本机所在的工作组的机器。

“工作组”是一个“对等”网结构，就像一个自由加入和退出的俱乐部一样，可以随时自由出入毫无限制，它本身的作用仅仅是提供一个“房间”，以方便查找。

在这种模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，没有server或client的概念。

共享文件即使加有访问密码，也非常容易被破解。

以工作组组成的局域网中，每一台电脑实现“个人自治”，一切设置在本机上进行，包括各种策略，用户登录也是在本机进行的，密码也是放在本机的数据库来验证的。

显然，工作组模式在安全性上存在很大问题。

域的提出，放弃了可以随便出出进进的工作组模式，而采用了“中央集权”式的严格控制。

我们可以说，域既是Windows网络系统的逻辑组织单元，也是Internet的逻辑组织单元。

活动目录中的对象由使用组织单位(OU) 进行组织。

OU 的设计具有两项主要因素：目录对象管理的委派以及组策略对象(GPO) 的应用。

OU 设计应该反映出在网域中管理对象的方式。

变更OU 设计并不困难，但是因为必须小心地操控访问控制列表，所以可能会较为复杂。

一旦建立委派和组策略之后，重新设计已经套用设定的OU 可能很花时间。

因为OU 可担任系统管理委派及组策略应用的双重角色，所以必须进行两次OU 设计程序：一次针对委派，另一次则针对组策略的用法。

工作1：针对系统管理的委派来设计OU 设定OU 可以用来将对象(例如用户或计算机) 的系统管理委派给指定的群组。

虽然可以将权限委派给个人，但最佳的作法仍是使用群组，因为随着组织中的人员变更，更新委派群组中的成员资格要比更新目录中的对象权限来得容易。

藉由OU 进行委派涉及下列的工作：·识别或建立即将委派权利的系统管理员群组。

·将即将委派权利的个人或群组放置到OU 中。

建立系统管理群组具有管理权的OU。

·将要指派的对象权利指派给每个OU 内的系统管理群组。

·在OU 内建立/放置要控制的对象。

·识别要委派系统管理工作的群组时，请尽可能地详细说明必要的最低控制权限。

工作2：设计组策略应用程序的OU 设定您可以建立OU，以将组策略设定套用至特定的计算机或用户子集。

根据默认，OU 中的所有对象都会收到已套用的GPO 所包含的设定。

从委派(或作业) 角度来看，完成OU 设计之后的下一个步骤就是修改OU 设计，以说明组策略设定所可能导致的任何独特状况。

例如，从委派角度来看，您可以建立称为“工作站”的OU，以委派用来管理所有工作站的权限。

在考虑组策略时，可能需要在桌面计算机OU 和行动装置OU 中反映出桌面计算机及笔记本电脑不同的原则需求。

在此案例中，可以将这些桌面计算机和移动装置OU 建立为工作站或OU 内的子OU，或者由这两个个别的OU 来取代工作站OU。

域管理员使用手册作为一个域管理员，您负责管理和维护域环境，确保网络的顺利运行和安全性。

在这份使用手册中，您将找到一些关键问题和解决方案，以帮助您更好地管理域。

1. 域环境介绍在开始管理域之前，您需要熟悉域环境的基本概念和组成部分。

域是一组计算机、用户和设备的集合，它们共享一个共同的安全数据库和组策略。

域环境通常由域控制器、域成员和域资源组成。

2. 域管理员权限作为域管理员，您将拥有特殊的权限和责任来管理域环境。

您的权限将包括用户和计算机的管理、组织单位的创建和维护、安全策略的制定等。

确保只有经过授权的管理员才能访问域控制器和进行管理操作。

3. 用户管理用户管理是域管理员最常见的任务之一。

您将负责创建、删除、禁用和启用用户账户，设置密码策略，管理用户组和组织单位等。

确保为每个用户分配适当的权限和资源，并定期审查和更新用户账户信息。

4. 计算机管理域管理员还需要管理域中的计算机。

您将负责加入新计算机到域中，管理计算机账户，设置计算机安全策略等。

定期更新操作系统和应用程序的补丁，确保计算机的安全性。

5. 组织单位管理组织单位（OU）是域中组织和管理用户、计算机和其他对象的一个关键组成部分。

作为域管理员，您将负责创建和维护OU，将对象分配到不同的OU，并设置适当的权限和策略。

6. 安全策略实施保护域环境的安全性是域管理员的重要任务之一。

您需要制定和实施适当的安全策略，包括密码策略、访问控制策略、安全审计等。

定期审查安全策略的有效性，并根据需要进行调整和更新。

7. 故障排除和故障恢复在域环境中，故障和问题是难以避免的。

作为域管理员，您需要具备故障排除和故障恢复的技巧。

了解常见的问题和解决方法，定期监控和维护域控制器、网络连接等，确保系统的稳定性和可靠性。

8. 域备份和恢复域环境中的数据备份和恢复是非常重要的。

域管理员需要定期备份活动目录数据库、系统状态和相关配置文件，并确保备份的完整性和可用性。

在需要时，快速恢复域环境以确保业务的连续性。

AD域管理解决方案AD（Active Directory）域是Windows Server操作系统中一种用于管理网络资源和用户权限的目录服务。

它可以提供集中管理和身份验证的功能，是企业级网络环境中必备的一项技术。

下面是一些AD域管理的解决方案。

2.组织单元（OU）：AD域中的OU是一种逻辑组织单位，用于对网络资源进行分组和管理。

通过合理设置OU的层级结构，可以便于对用户、计算机和组的权限和策略进行管理。

通过OU，可以将相同职能的用户和计算机集中管理，提高管理效率。

3.用户和组管理：AD域可以集中管理用户和组的身份验证和授权信息。

管理员可以通过ADUC创建和删除用户，修改密码，分配用户权限等。

同时，可以创建和管理组，通过组来分配权限和策略，提高管理的灵活性和可扩展性。

4.组策略：AD域中的组策略可以用于集中管理计算机和用户的配置。

管理员可以通过组策略设置用户桌面和应用程序的配置，安全策略，网络设置等。

组策略可以根据需要应用到不同的OU、组或个别对象上，提供了灵活的配置管理能力。

5.安全和权限管理：AD域的安全性是管理的重要考虑因素之一、管理员可以通过ADUC设置用户和组的安全权限，限制其访问特定资源。

同时，可以通过访问控制列表（ACL）控制对特定对象的访问权限。

此外，AD域还支持审计策略，可以对关键操作进行审计记录和报告。

6.备份和恢复：AD域的管理解决方案中，备份和恢复是必不可少的一环。

AD域的数据包括用户、组、计算机和策略配置等，这些数据的丢失或损坏可能会导致系统不可用。

管理员应定期备份AD域的数据，并测试恢复过程的有效性。

7.故障排除和监控：AD域的管理解决方案应包括故障排除和监控的功能。

管理员可以使用日志记录和性能监视工具来分析和诊断AD域的问题。

定期监控AD域的性能和可用性，并采取必要的措施来修复故障或性能下降的问题。

总之，AD域管理解决方案是一个综合的技术体系，包括了用户和组管理、策略配置、安全和权限管理、备份和恢复等方面。