活动目录实战.pdf

在小型域坏境中要做域环境，大家都知道域服务器垮掉可不是件好玩的事情，现在我用一台服务器做主域控，另一台做额外域控 我使用两台虚拟机给大家做实验我的域名为 域控 IP 为 192.168.0.2，额外域控IP192.168.0.5. 一设置 IP 二 为安全起见， 我们修改 administrator 用户， 并设置强密码 我新建了一帐户 51ctoadmin，并把它加入到 administrators 组 三切换到我们建的用户，放入系统光盘 这里自动生成了 netbios 名，不要修改了 这里是活动目录数据库和日志文件夹的位置 因为我们是第一台域控制器，同时作为 DNS 服务器，选择第二项 这里我们选择第二项 输入目录服务还原用的管理员密码 接下来是漫漫的等待 完成重启计算机这样我们的主域控制器就做好了 我们下面做额外域控 首先我们设置下 IP 地址，DNS 指向主域控制器 前面的步骤一样，在这一步不同的是我们选择 现有域的额外域控制器 我们这里输入域管理员的用户名与密码 这里我们选择要作为那个域的额外域控我们这里是 后面的步骤差不多，重启计算机后就算是做好了 客户端 DNS 都指向主 DNS，这样我们怎样让局域网的客户机上网呢？ 我们设置 DNS 属性。

如图，将所选域的转发器的 IP 地址填写上公网的 DNS 地址即可 我们考虑到如果主域控制服务器无法启动后，DNS 也无法使用，所以我们还要做辅助 DNS 首先我们要允许主 DNS 可以允许辅助 DNS 复制 我们在额外域控制器上安装 DNS 组件， 这样我们同步一下就可以了 我们在客户端设置两个 DNS 地址，主与辅的，当主域控出现问题，我们可以提升额外域控为主域控即可 今天一大早过来，发现 WIN98 客户端无法登陆，一检查主域控 DOWN 机了，没法启动幸好做了额外 DC，通过抢占 PDC 角色，提升额外 DC 为主 DC，先使客户机正常登录域环境，这样我们为修复主域控争取时间环境还是系列一的，主域控 IP192.168.0.2 计算机名为 51cto 额外域控 IP192.168.0.5 计算机名为bdc51cto. 下面我们就看一下具体怎么操作 这是出现的问题 我们必须进入 MSDOS，使用 ntdsutil 命令，不知道怎么用可以打？号 连接到我的额外域控上 出现这种情况就成功了 我们查看一下各个操作主机角色这时候 PDC 角色已经为额外域控了PDC 主机主要是帐户管理，所以只要抢夺了 PDC 角色，用户就可以正常登录。

终于又看到了正常的登录界面接下来我们就抓紧时间修复主域控吧 环境: 现在公司壮大了，在北京和上海都有了分公司 现在我们只示范北京子公司的子域建立过程 这里输入的用户名必须有企业管理员的权限 注意： 建立子域很容易出现问题，大家一定要保证网络畅通如果用虚拟机实验的话，一定要注意，可以 PING 通 公司这个时候又壮大了，兼并了广州一家公司，广州公司有自己的域环境，这个时候我们又不想重新建立新的域环境，广州分公司职工不要经过什么密码就能访问总公司的共享资料，还想保留怎么办？ 我们通过建立林信任，达到想要效果 下面开始动工： 建立林信任，大致分为三步： 提升域功能级别 提升林功能级别 建立信任 因为我的环境都是 2003 的服务器，要提升所有的域控为 2003，提升级别是不可逆的过程 我们先在 上建立信任 这里输入建立信任的密码，和管理员的密码无关 这样我们就建立完成，然后以同样的手法，在 建立 最后我们验证一下信任 在单域环境下且没有什么服务的情况的改域名还行， 如果网络环境比较复杂或者有其他服务， 不建议更改以免发生错误在实验中由于虚拟机坏掉在这里使用了两个，有部分图片对不上，请谅解。

WIN2000 域不支持域重命名 域重命名并不是在域控上完成的，在成员服务器上（我这里为了方便，就在一台上做了） 重命名提升域级别为 2003 纯模式，不能为混合模式 现在我们环境介绍一下：我原来域名为 更改为 首先我们看下角色 我们建立新的域名解析 这是要更改域名用的安装文件，安装后产生两个文件 rendom.exe.和 gpfixup.exe 文件 运行上面命令后会产生一个 xml 文件，替换所有的域名 在这里不要忘了 BIOS 名也要改 首先为更改域名做准备 正式执行 执行的结果，会在执行完成后自动重启计算机 看看我们登录的时候就显示 motools 了，可是到这并没有结束 我们要更改计算机 DNS 后缀名 这样再重启后，还是没有完成，因为我们的组策略失效了 重新锁定组策略 用下面的命令这一步是在成员服务器上实现的 在域控上出现问题不负责哦，如果还不能把组策略启用那就删除原来的加上自己的 局域网中有一台客户机为 98，现在不太可能了，在这边就是告诉大家怎么把 WIN98 加入域 首先我们建立一个用户 win98 我们现在设置 WIN98 客户端 我们这里域为 ,域控 IP 地址为 192.168.0.2 这里工作组要填写域名。

然后重启计算机，我们用设置好的域用户登录 环境介绍： 公司里有需要，引进了一台新的高性能服务器，要把原来的服务器作为一台成员服务器来使用，用新的服务器代替原来的服务器成为主域控 思路：首先是 FSMO 角色的迁移 再次降级主 DC 在提升的 DC 上重建 DNS如果把原来的服务器作为 DNS也可以） 因为编录服务器就是主 DC，所有我们在降级以前要把额外 DC 做成全局编录服务器，全局编录服务器影响着整个域用户登录所以很重要我这里主 DC 计算机名为 BASIC，额外 DC 计算机名为 BDC51CTO. 下面我们把额外 DC 设置为全局编录服务器 勾选全局编录 如何验证编录服务器已经工作，我们首先安装 support toools 连接额外 DC 如果这两项显示为 TRUE，则为正常运行 注册框架管理组件 在 MMC 中添加 更改架构操作主机角色 更改域命名操作主机角色 最后查看五大角色是否都转移成功 下面我们降级主 DC 重启以后 主域控就为域成员服务器了此时该服务器作为 DNS 在域环境中 迁移成功了如果想彻底把旧服务器报废，我们要在提升了的域控上安装 DNS，并把 DNS 指向自己，重建正向区，在这里就不多做演示了。

活动目录里的站点代表网络的物理结构，站点可以优化域控制器的复制，使得数据传输量为原来的 15%左右，减轻了网络压力 下面是我们网络拓扑图 接下来我们建立站点，并把相应的服务器移动到站点内 新建站点，我这里建立了三个站点 ShangHai BeiJing GuangZhou 为每个站点设置 IP 子网 移动服务器到相应的站点 为保证安全使得我们授权相应的服务器管理站点一般授权为域控制器） 为保证各个站点之间的连接，可以进行正常的复制，我们这里建立相应的站点链接 在这里可以设置开销，复制的频率，开销越低优先级越高 在更改计划中，我们可以设置站点之间的数据复制发生在什么时间 我们可以有一个工具直观的看网络中的拓扑结构， 也可以用它进行站点的管理 首先要安装support tools 连接到域林 选择其中的一台域控制器 现在我们可以看到 51cto 服务器上所有的数据 用此时这个选项我们可以检查各个站点是否复制链接正常 用这个选项我们可以显示整个林拓扑结构 由于我此时只开启了两台服务器 ，所以在我的拓扑结构图上只显示了两台 利用 GPMC 工具进行组策略部署 我们给 caiwu OU 部署 OFFICE 2003 程序包添加网络位置。

此时共享程序包的文件夹要设置好权限，domain users 有可读的权限 这里有发布 有已指派发布就是在安装程序中可以找到安装包指派是客户端可以在程序中找到相应的程序，当运行此程序是会自动安装 刷新组策略 检查客户端，此时部署成功 我们在有的时候会忘记目录还原的密码，此时该怎么办？ 用域管理员进入之后，使用 NTDSUTIL 工具 此时已经设置好了，重启计算机，进入目录还原模式备份活动目录 备份完毕 按 F8 进入目录服务还原模式，恢复 环境：公司每天一上班都有新的消息告诉员工 我们在这里用脚本加组策略来实现 我们对整个域里的所有用户做策略 在这里要注意要把脚本复制到这个 LOGON 目录下 下面是我脚本的内容，主要用到的就是 MSGBOX 语句 刷新组策略 登录客户端，显示效果 因为公司原来密码都是统一的，后来发现员工随便登录，有时甚至非公司人员也知道密码，给管理造成了很大的麻烦，同事也有抱怨说，自己的电脑老是被动主任发话咯 不做也不行了 具体操作如下： 首先我们选择用户 做完以上操作，这样用户在登录的时候就会提示要修改密码咯为了让他们能设置强密码，我们还可以设置密码策略默认的策略是至少 3 个字符 7 位密码长度 情景：新建域环境，域名 51ctolab，需要创建大批用户帐号。

我们所使用的工具是 dsadd 和 for 语句，在 2003 中这两个命令都是支持的 首先我们先看一下我原来活动目录中的信息 我创建一个文件夹存放我接下来要编辑的所有文件 接下来看看我的这几个文件的内容 在这里我的 hr.txt sales.txt wenyuan.txt 文档存放的是我们要建立的用户的信息，前面是登陆名，空格后写的是显示名 接下来我们运行 add.cmd 文档即可创建用户 结束后，我们验证一下是否创建成功，此时没有什么问题 下面我们对 dsadd 进行一下说明： 仅从操作过程来看非常简单，但有细节之处 1、dsadd user 是 Windows Server 2003 才具备的工具 2、hr.txt 内的原始数据还是需要手工输入的 3、For 语句将读取 hr.txt，把每行第一个空格前的内容赋予变量%%a，空格后的内容赋予变量%%b For 语句中 tokens 的含义是关键 后面一部分则是 dsadd user的命令，可以根据自己的需求修改域名和 OU 名，如果直接创建在默认的 Users 文件下的话就把 OU=test 改成 CN=Users 4、我在创建用户时关注的一些选项以及这些选项在 dsadd 中的对应开关符 （1）用户登录名 （-upn 设置 upn 值为 。

) （2）win2000 以前版本的用户登录名 (设置了 upn 会自动生成) （3）密码永不过期 （-pwdneverexpires {yes | no} 用户密码是否永远不过期默认值: no （4）账户永不过期（-acctexpires 设置用户帐户从今天起在天内过期0 值 意味着今天结束后帐户就过期; 正数值意味着帐户在未 来过期; 负数意味着该帐户已经过期并将过期日期设置 在过去; 字符串值 “never“ 意味着该帐户永远不过期 （5）用户显示名（-display 设置用户显示名为 （6）登录密码 （-pwd { | *} 设置用户密码为 如果是 *，会提示您输入密码 （7）用户下次登录是否修改密码 （-mustchpwd {yes | no} 用户在下次登录时是否更改密码默认值: no （8）账户是否禁用（-disabled {yes | no}用户帐户是否禁用默认值: no 附上我 add.cmd 的源代码与相关说明 -------------------------------------------- dsadd ou ou=allusers,dc=51ctolab,dc=com (添加组织单元alluser。