AD域同步账号配置手册

AD域服务器配置使用手册目录•简介•安装AD域服务器•配置AD域服务器•使用AD域服务器•常见问题与解决方案简介Active Directory（简称AD）是由微软公司开发的一种目录服务，用于管理和组织网络中的用户、计算机、应用程序等资源。

AD域服务器是一个核心组件，用于集中管理和分发资源，提供统一的身份验证和访问控制。

本文档将指导您进行AD域服务器的安装、配置和使用，以便在企业网络中实现集中管理和统一认证。

在安装AD域服务器之前，您需要确保以下条件已满足：•一台运行Windows Server操作系统的服务器•具有管理员权限的帐户•确保网络连接正常按照以下步骤进行AD域服务器的安装：1.在服务器上运行Windows Server安装程序。

2.选择“自定义安装”选项，并选择“域控制器”角色。

3.指定域的名称，并设置管理员密码。

4.安装必要的依赖项和组件。

5.完成安装过程。

安装完成后，您需要进行AD域服务器的配置，以满足特定的网络需求。

以下是一些常见的AD域服务器配置任务：•添加组织单位（OU）和用户组：用于组织和管理用户和计算机资源。

•配置组策略：通过组策略设置实施安全和配置要求。

•创建用户账户和共享文件夹：用于授权和权限管理。

•配置安全认证和访问控制：用于保护网络资源免受未经授权的访问。

•配置域名服务器（DNS）和动态主机配置协议（DHCP）：用于自动分配IP地址和解析域名。

您可以通过Windows Server管理工具如Active Directory用户和计算机、组策略管理等进行以上配置任务。

使用AD域服务器一旦AD域服务器配置完成，您可以开始使用其提供的功能：•用户身份验证和访问控制：用户可以使用域帐户登录到域中的任何计算机，并访问授权的资源。

•统一管理：通过AD域服务器，您可以集中管理用户、计算机和应用程序的配置和访问权限。

•自动化管理：通过组策略和脚本，可以自动化管理和配置群组策略、软件安装等。

AD域帐号同步系统说明文档目录一、基本功能 (2)二、高级功能（自动同步） (5)一、基本功能1.解压MailADSync.zip，打开MailAdSync.exe2.设置相关信息（1）私钥：企业自己生成一对公私钥，并把公钥、IP交给提供方进行绑定（2）CID：提供方绑定公钥、IP后返回CID码（3）域名：AD域所在机器的IP（4）账号：管理员账号（5）密码：管理员密码（6）企业名称：AD域中企业根节点名称（7）初始密码：同步至企业邮箱时，为用户设定的初始密码填写示例：（如需实现自动同步请勾选“开启自动同步功能”）3.填写完成后点击保存，连接成功即返回下图所示界面4.点击同步按钮即开始同步进入企业邮箱即可查看更新的数据二、高级功能（自动同步）1.打开管理工具界面，开始 管理工具2.选择本地安全策略3.设置审核帐户管理选项，安全设置→本地策略→审核策略→审核帐户管理勾选成功，确定4.设置审核目录服务访问勾选成功，点击确定5.打开服务器管理器，选择查看，并勾选高级功能6.选择企业根节点，右击选择属性7.选择安全，点击高级8.选择审核 添加在输入要选择的对象名称，填入Authenticated Users，确定勾选下图所示选项，创建、删除用户对象，创建组织单位对象、删除组织单位对象，写入全部属性，确定9.打开任务计划程序，开始→管理工具→任务计划程序创建基本任务，任务计划程序→任务计划程序库→事件查看器任务→创建基本任务建立基本任务，填写任务名称，下一步选择特定事件被记录时，下一步日志选择安全，事件ID填写4720，下一步选择启动程序，下一步程序或脚本，选择AD帐号同步程序，下一步查看任务信息，点击完成任务列表任务名称日志选项事件ID 创建人员安全4720更改人员信息安全4738 删除用户安全4726组织架构管理安全4662在AD域中进行管理时，即可自动启动同步程序。

AD配置说明1. LDAP管理1.1打开：基础设置­访问控制­LDAP管理1.2属性说明属性名 描述 备注名称 用户自定义类型 AD服务器类型服务器 服务器连接地址 例：ldap://192.168.1.100端口 服务器连接端口 默认：389登录帐号 AD域帐号 AD域真实存在AD域用户密码 AD域帐号的密码BaseDN 基位置(dc:域名,ou:组织,cn:部门) 例：CN=Users,DC=domainname,DC=com搜索过滤器 过滤条件 例：(objectClass=user) 允许定期同步更新 是否允许本系统与Ad域同步更新YES或NO1.3配置示例1.3.1 AD服务器1.3.2配置如图所示1.3.3连接测试1.3.4保存即可2、域用户管理2.1 打开：基础设置­访问控制­域用户列表2.2 查看 域的所有用户（下拉列表数据是LDAP管理数据）2.3 对AD用户手动导入选中要导入的用户：点击导入：设置导入到指派的机构和用户角色点击导入：弹出导入结果查看导入的用户：基础设置‐访问控制‐用户管理2.4注：导入的密码与登录帐号一样3、AD同步更新设置3.1 前提条件基础设置‐访问控制‐LDAP管理，列状态=”Success”和允许定期同步更新=”是”,如图示：3.2【状态=”Success”】配置选中某行数据，点击”连接测试”按钮,显示”连接测试成功”后，状态会变成” Success”3.3【允许定期同步更新=”是”】配置：编辑‐允许定期同步更新 勾上—保存3.4 设置AD同步更新日程（周期）3.4.1 打开：基础设置—系统工具—定期任务管理3.4.2 新增同步日程任务3.4.3 选择【活动目录(AD)同步更新】‐‐【确认选择】3.4.4 保存即可3.4.5 备注说明AD用户更新信息，同步更新后，用户相关信息会自动更新。

AD用户添加，同步更新后，自动添加到本系统。

•示例准备•知识了解•读取AD域信息示例•DirectorySearcher.Filter属性扩充说明•用户属性扩充说明(含图文属性对照)•常规•地址•帐户•电话•组织•示例下载•新建层次关系如下：•下面我们开始连接域，并读取出示例准备中键好的组织单位和用户首先编写代码用LDAP尝试对域进行访问形式：LDAP://Domain#region## 是否连接到域/// <summary>/// 功能：是否连接到域/// 作者：Wilson/// 时间：2012-12-15////zh-cn/library/system.directoryservices.directoryentry.path(v =vs.90).aspx/// </summary>/// <param name="domainName">域名或IP</param>/// <param name="userName">用户名</param>/// <param name="userPwd">密码</param>/// <param name="entry">域</param>/// <returns></returns>private bool IsConnected(string domainName, string userName, string userPwd, out DirectoryEntry domain){domain = new DirectoryEntry();try{domain.Path = string.Format("LDAP://{0}", domainName);ername = userName;domain.Password = userPwd;domain.AuthenticationType = AuthenticationTypes.Secure;domain.RefreshCache();return true;}catch(Exception ex)LogRecord.WriteLog("[IsConnected方法]错误信息：" + ex.Message); return false;}}#endregion传用参数，调IsConnected方法，结果如下•连接上AD域后，接着我们找到根OU#region## 域中是否存在组织单位/// <summary>/// 功能：域中是否存在组织单位/// 作者：Wilson/// 时间：2012-12-15/// </summary>/// <param name="entry"></param>/// <param name="ou"></param>/// <returns></returns>private bool IsExistOU(DirectoryEntry entry, out DirectoryEntry ou) {ou = new DirectoryEntry();try{ou = entry.Children.Find("OU=" + txtRootOU.Text.Trim());return (ou != null);catch(Exception ex){LogRecord.WriteLog("[IsExistOU方法]错误信息：" + ex.Message);return false;}}#endregion传入以数，调用IsExistOU方法，结果如下•下面来开始读取组织单位及用户的信息。

AD域用户同步实名审计和实名管理 配置及使用说明北京百卓网络有限公司2010年1月29日目录1．实名审计和实名管理功能简介 (2)2．AD域服务器配置说明 (3)3．PatrolFlow设备配置说明 (8)4．实名同步使用说明 (9)4.1 静态分配IP时，一个域帐号登陆一台PC实名情况 (9)4.2 动态获取IP时，一个域帐号登陆一台PC实名情况 (10)4.3 多个域帐号登陆一台PC时实名情况 (10)4.4 多个域帐号登陆多台PC时实名情况 (12)5．故障诊断 (13)1．实名审计和实名管理功能简介AD域用户实名审计和实名管理是百卓网络PatrolFlow信息安全网关设备的一个功能，此功能是针对微软AD域环境，通过与域帐号进行同步，解决了用户的实名审计和实名管理的问题。

实名审计：通过与AD域帐号进行实名同步，可基于用户域帐号形式，实名记录用户的上网行为，以便于网管人员更直观查询用户行为。

实名管理：通过与AD域帐号进行实名同步，可基于用户域帐号对象，为各用户分别配置不同的上网策略，以便于网管人员更灵活的管理用户的上网行为。

AD域环境网络拓扑图工作原理简介：在微软域环境中，当客户端PC每次域登陆时，自动从域服务器上执行预先定义的组策略，该组策略向客户端PC推送登陆脚本，该脚本将PC的IP地址和域帐号推送到PatrolFlow设备，并进行用户名同步；当客户端PC域注销时，执行注销脚本，将该域帐号置为离线状态。

AD域帐号同步PatrolFlow设备界面2．AD域服务器配置说明第一步：单击“开始”，单击“管理工具”，单击“Active Directory 用户和计算机”，如下图。

第二步：点选域名，单击鼠标右键，选择“属性”，如下图。

第三步：在弹出的域属性窗口中，选择“组策略”标签，如下图。

第四步：点选“Default Domain Policy”后，单击“编辑”按钮，如下图。

第五步：用户配置→Windows设置→脚本（登陆/注销），在右侧窗口，点选“登陆”，单击“属性”，如下图。

. Windows Terminal Service 终端服务器安装配置文档一：将服务器提升为域服务器如果你的Win2003高级服务器版，没有升级到域控制器，就是nt下常说的dc。

在开始菜单的管理工具中选择“配置服务器”。

next选择“active directory”。

下一步选择“启动active directory向导”。

nextnext默认即可。

next nextnext这里指定一个dns名机子会去搜寻dns服务器，next我的输入"kelaode"，你们自定。

默认得，nextnext 确定。

这里我不配置dns，根据自己的情况配置。

next 默认即可。

nextnext next这个需要一些时间。

完成。

重起。

二：用户登录1：设置策略组添加受策略控制组时注意画圈位置，必须使用“应用组策略”，否则策略不能生效右面，可以继续“添加”受此策略控制的组，该组现可管理“政治处”和“指挥处”两个组2：编辑策略组交互登录设置（1）编辑本地策略（如在“管理策略”），添加“通过终端服务容许登录”和“允许本地登录“（2）打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“（下图）（3）打开“默认域安全策略”，在下图中添加远程登录的组此时，即可已完成交互登录的设定！受策略控制组的权限设定1：Netmeeting 禁止文件发送设定2：在“管理模板—资源管理器”中做磁盘访问权限设定，网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定禁用注册表设定，禁用命令提示符，禁止自动播放等在“系统”中如图设定桌面禁用“我的文档、我的电脑、回收站”等属性设定，在“用户配置---管理模板---桌面”中如下配置控制面板设定1、完全禁用控制面板设定，将“禁止访问控制面板“起用”即可！2、控制面板部分禁用设定，不起用“禁止访问控制面板”，然后在起用“直显示指定控制面板程序”，并添加相应的程序名，只显示“键盘、鼠标和字体”等设定如下如，添加intl.cpl 为只显示“字体”，添加main.cpl为显示键盘和鼠标！设置后效果如下图：控制面板程序对照表(见最后附加表)禁止添加删除程序设定，如下图：打印机添加设定在“控制面板——打印机”中，可进行禁止用户添加、删除打印机设定，如下图Ctrl+Alt+Del设定使用Ctrl+Alt+Del时，只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定，将“注销“添加到开始菜单的设定，开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定，如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令！网络设定禁止普通用户访问Tcp/IP高级设置，禁用新建连接，禁止访问LAN连接属性等的设置文件夹重定向1.网络设定：注意DNS设定！2.重定向文件夹权限设定此处注意，最好加入Domain User的共享权限（默认为Everyone）为完全控制，否则会发生不能重定向的现象。

Windows Terminal Service 终端服务器安装配置文档一：将服务器提升为域服务器如果你的Win2003高级服务器版，没有升级到域控制器，就是nt 下常说的dc。

在开始菜单的管理工具中选择“配置服务器”。

next选择“active directory”。

下一步选择“启动active directory向导”。

nextnext默认即可。

nextnextnext这里指定一个dns名机子会去搜寻dns服务器，next我的输入"kelaode"，你们自定。

默认得，nextnext确定。

这里我不配置dns，根据自己的情况配置。

next默认即可。

nextnextnext这个需要一些时间。

完成。

重起。

二：用户登录1：设置策略组添加受策略控制组时注意画圈位置，必须使用“应用组策略”，否则策略不能生效右面，可以继续“添加”受此策略控制的组，该组现可管理“政治处”和“指挥处”两个组2：编辑策略组交互登录设置（1）编辑本地策略（如在“管理策略”），添加“通过终端服务容许登录”和“允许本地登录“（2）打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“（下图）（3）打开“默认域安全策略”，在下图中添加远程登录的组此时，即可已完成交互登录的设定！受策略控制组的权限设定1：Netmeeting 禁止文件发送设定2：在“管理模板—资源管理器”中做磁盘访问权限设定，网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定“系统”中如图设定在“用户配置---管理模板---桌面”中如下配置1、完全禁用控制面板设定，将“禁止访问控制面板“起用”即可！2、控制面板部分禁用设定，不起用“禁止访问控制面板”，然后在起用“直显示指定控制面板程序”，并添加相应的程序名，只显示“键盘、鼠标和字体”等设定如下设置后效果如下图：控制面板程序对照表(见最后附加表)禁止添加删除程序设定，如下图：打印机添加设定在“控制面板——打印机”中，可进行禁止用户添加、删除打印机设定，如下图使用Ctrl+Alt+Del时，只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定，将“注销“添加到开始菜单的设定，开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定，如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令！网络设定禁止普通用户访问Tcp/IP高级设置，禁用新建连接，禁止访问LAN连接属性等的设置1. 网络设定：注意DNS设定！2. 重定向文件夹权限设定此处注意，最好加入Domain User的共享权限（默认为Everyone）为完全控制，否则会发生不能重定向的现象。