Windows Server 2008活动目录应用指南PDF电子书下载

第1部分 Windows Server 2008活动目录概述 3

第1章 Windows Server 2008活动目录的新增功能 3

1.1活动目录域服务的新功能 3

1.1.1只读域控制器（RODC） 3

1.1.2活动目录域服务审核 5

1.1.3细化密码策略 5

1.1.4可重新启动的活动目录域服务 7

1.1.5数据库装载工具 7

1.1.6用户界面改进 8

1.2其他活动目录服务角色 9

1.2.1活动目录证书服务角色 9

1.2.2活动目录联合身份验证服务角色 10

1.2.3活动目录轻型目录服务角色 11

1.2.4活动目录权限管理服务角色 12

1.3小结 13

第2章 活动目录域服务组件 14

2.1AD DS物理结构 14

2.1.1目录数据存储 14

2.1.2域控制器 16

2.1.3全局编录服务器 16

2.1.4只读域控制器 18

2.1.5操作主机 20

2.1.6转移操作主机角色 22

2.1.7架构 23

2.2AD DS逻辑结构 28

2.2.1AD DS分区 29

2.2.2域 31

2.2.3林 34

2.2.4信任 35

2.2.5站点 38

2.2.6组织单位 39

2.3小结 41

2.4补充资源 41

2.4.1相关工具 41

2.4.2下载代码中的资源 42

2.4.3相关帮助主题 42

第3章 活动目录域服务和域名系统 43

3.1集成DNS和AD DS 43

3.1.1服务位置（SRV）资源记录 44

3.1.2AD DS域控制器注册的SRV记录 44

3.1.3DNS定位器服务 47

3.1.4自动站点覆盖 49

3.2AD DS集成区域 51

3.2.1使用ADDS集成区域的好处 51

3.2.2DNS的默认应用程序分区 51

3.2.3管理AD DS集成区域 53

3.3集成DNS命名空间和AD DS域 55

3.3.1DNS委派 56

3.3.2转发器和根提示 57

3.3.3DNS和ADDS集成故障排除 61

3.3.4DNS故障排除 61

3.3.5SRV记录注册故障排除 62

3.4小结 62

3.5最佳实践 63

3.6补充资源 63

3.6.1相关信息 63

3.6.2相关工具 63

3.6.3下载代码中的资源 64

3.6.4相关帮助主题 64

第4章 活动目录域服务复制 65

4.1AD DS复制模型 65

4.2复制过程 66

4.2.1更新类型 66

4.2.2复制更改 67

4.3复制SYSVOL目录 71

4.4站点内和站点间复制 72

4.4.1站点内复制 72

4.4.2站点间复制 73

4.4.3复制延迟 74

4.4.4紧急复制 74

4.5生成复制拓扑 75

4.5.1知识一致性检查器 75

4.5.2连接对象 76

4.5.3站点内复制拓扑 76

4.5.4全局编录复制 79

4.5.5站点间复制拓扑 81

4.5.6RODC和复制拓扑 83

4.6配置站点间复制 83

4.6.1创建额外的站点 84

4.6.2站点链接 85

4.6.3站点链接桥 87

4.6.4复制传输协议 88

4.6.5配置桥头服务器 89

4.7复制故障排除 90

4.7.1AD DS复制故障排除的步骤 90

4.7.2AD DS复制故障排除工具 91

4.8小结 93

4.9最佳实践 94

4.10补充资源 94

4.10.1相关信息 94

4.10.2相关工具 95

4.10.3下载代码中的资源 95

4.10.4相关帮助主题 95

第2部分 设计和实现Windows Server 2008活动目录 99

第5章 设计活动目录域服务结构 99

5.1定义目录服务需求 99

5.1.1定义业务和技术需求 100

5.1.2记录当前环境 104

5.2设计林结构 108

5.2.1林和AD DS设计 109

5.2.2单个林或多个林 109

5.2.3针对AD DS安全进行林设计 111

5.2.4林设计模型 112

5.2.5设计林所有权 114

5.2.6林变更控制策略 114

5.3设计多个林的集成 115

5.3.1设计林间信任 115

5.3.2设计林间目录集成 117

5.4设计域结构 118

5.4.1确定域数量 118

5.4.2设计林根域 120

5.4.3设计域层次结构 121

5.4.4域树和信任 122

5.4.5部署后更改域层次结构 123

5.4.6定义域所有权 123

5.5定义域和林功能级别 124

5.5.1在域功能级别启用的功能 124

5.5.2在林功能级别启用的功能 125

5.5.3实现域和林功能级别 125

5.6设计DNS基础结构 126

5.7设计组织单位结构 132

5.7.1组织单位和AD DS设计 132

5.7.2设计OU结构 132

5.7.3创建OU设计 134

5.8设计站点拓扑 135

5.8.1站点和AD DS设计 135

5.8.2创建站点设计 136

5.8.3创建复制设计 138

5.8.4设计服务器位置 141

5.9小结 147

5.10最佳实践 147

5.11补充资源 147

5.11.1相关信息 147

5.11.2下载代码中的资源 148

第6章 安装活动目录域服务 149

6.1安装AD DS的必备条件 149

6.1.1硬盘空间需求 150

6.1.2网络连接 150

6.1.3DNS 151

6.1.4管理权限 151

6.1.5操作系统兼容性 151

6.2了解AD DS安装选项 152

6.2.1安装配置任务和添加角色向导 152

6.2.2服务器管理器 153

6.2.3活动目录域服务安装 153

6.2.4无人参与安装 154

6.3使用活动目录域服务安装向导 154

6.3.1部署配置 155

6.3.2命名域 156

6.3.3设置Windows Server 2008功能级别 156

6.3.4其他域控制器选项 159

6.3.5文件位置 159

6.3.6完成安装 160

6.3.7验证AD DS的安装 161

6.4执行无人参与安装 161

6.5部署只读域控制器 163

6.5.1服务器核心安装Windows Server 2008 163

6.5.2部署RODC 164

6.6删除AD DS 164

6.6.1删除额外的域控制器 165

6.6.2删除最后一台域控制器 165

6.6.3无人参与删除AD DS 166

6.6.4强制删除Windows Server 2008域控制器 166

6.7小结 167

6.8补充资源 167

6.8.1相关信息 167

6.8.2相关工具 168

第7章 迁移到活动目录域服务 169

7.1迁移路径 169

7.1.1域升级迁移路径 170

7.1.2域重构 171

7.2确定迁移路径 172

7.3升级域 174

7.4重构域 175

7.5林内迁移 181

7.6配置林间信任 181

7.7小结 183

7.8最佳实践 183

7.9补充资源 183

7.9.1相关信息 184

7.9.2相关工具 184

第3部分 管理Windows Server 2008活动目录 187

第8章 活动目录域服务安全 187

8.1AD DS安全基础 187

8.1.1安全主体 188

8.1.2访问控制列表 188

8.1.3访问令牌 190

8.1.4身份验证 190

8.1.5授权 191

8.2Kerberos安全 191

8.2.1Kerberos简介 192

8.2.2Kerberos身份验证 193

8.2.3身份验证委派 199

8.2.4在Windows Server 2008中配置Kerberos 201

8.2.5与公钥基础结构集成 202

8.2.6与智能卡集成 203

8.2.7与其他Kerberos系统互操作 204

8.2.8Kerberos故障排除 205

8.3NTLM身份验证 207

8.4实现域控制器安全 209

8.4.1减少域控制器的攻击面 209

8.4.2配置默认域控制器策略 211

8.4.3配置SYSKEY 216

8.5设计安全管理实践 217

8.6小结 218

8.7最佳实践 219

8.8补充资源 219

8.8.1相关信息 219

8.8.2相关工具 219

8.8.3下载代码中的资源 220

8.8.4相关帮助主题 220

第9章 委派活动目录域服务管理 221

9.1活动目录管理任务 221

9.2访问活动目录对象 222

9.3活动目录对象权限 223

9.3.1标准权限 224

9.3.2特殊权限 224

9.3.3权限继承 227

9.3.4有效权限 230

9.3.5活动目录对象的所有权 232

9.4委派管理任务 233

9.5审核管理权限的使用 235

9.5.1为域控制器配置审核策略 236

9.5.2在活动目录对象上配置审核 237

9.6委派管理工具 239

9.7计划管理委派 240

9.8小结 241

9.9补充资源 241

第10章 管理活动目录对象 242

10.1管理用户 242

10.1.1用户对象 242

10.1.2inetOrgPerson对象 246

10.1.3联系对象 246

10.1.4服务账户 247

10.2管理组 247

10.2.1组类型 248

10.2.2组作用域 249

10.2.3活动目录中的默认组 250

10.2.4特殊标识 252

10.2.5创建安全组设计 252

10.3管理计算机 254

10.4管理打印机对象 256

10.4.1在活动目录中发布打印机 256

10.4.2跟踪打印机位置 258

10.5管理已发布共享文件夹 259

10.6自动化活动目录对象管理 260

10.6.1管理活动目录的命令行工具 260

10.6.2使用LDIFDE和CSVDE 261

10.6.3使用VBScript管理活动目录对象 262

10.7小结 266

10.8最佳实践 266

10.9补充资源 267

10.9.1相关信息 267

10.9.2相关工具 267

10.9.3下载代码中的资源 268

第11章 组策略简介 269

11.1组策略概述 270

11.1.1组策略工作原理 270

11.1.2Windows Server 2008组策略中的新增功能 272

11.2组策略组件 273

11.2.1组策略容器概述 273

11.2.2组策略模板的组件 274

11.2.3组策略对象组件的复制 276

11.3组策略处理 276

11.3.1客户端如何处理GPO 277

11.3.2初始GPO处理 279

11.3.3后台GPO刷新 280

11.3.4如何刷新与组策略相关的GPO历史记录 281

11.3.5默认后台处理间隔时间的例外情况 282

11.4实现组策略 285

11.4.1GPMC概述 286

11.4.2使用GPMC创建和链接GPO 287

11.4.3修改GPO处理的作用域 288

11.4.4委派GPO管理 294

11.4.5在域和林之间实现组策略 296

11.5管理组策略对象 297

11.5.1备份和还原GPO 297

11.5.2复制组策略对象 298

11.5.3导入组策略对象设置 298

11.5.4建模和报告组策略结果 298

11.6编写组策略管理脚本 302

11.7计划组策略实现 304

11.8组策略故障排除 305

11.9小结 306

11.10补充资源 306

第12章 使用组策略管理用户桌面 308

12.1使用组策略管理桌面 309

12.2管理用户数据和配置文件设置 310

12.2.1管理用户配置文件 311

12.2.2使用组策略管理漫游用户配置文件 316

12.2.3文件夹重定向 317

12.3管理模板 323

12.3.1理解管理模板文件 323

12.3.2管理基于域的模板文件 326

12.3.3管理ADMX模板文件的最佳实践 326

12.4使用脚本管理用户环境 328

12.5使用组策略部署软件 328

12.5.1Windows Installer技术 329

12.5.2部署应用程序 329

12.5.3使用组策略分发非Windows Installer应用程序 331

12.5.4配置软件包属性 332

12.5.5使用组策略配置Windows Installer 336

12.5.6计划组策略软件安装 337

12.5.7使用组策略管理软件的局限性 338

12.6组策略首选项概述 339

12.6.1组策略首选项与策略设置 339

12.6.2组策略首选项设置 340

12.6.3组策略首选项选项 341

12.7小结 343

12.8补充资源 343

12.8.1相关信息 344

12.8.2下载代码中的资源 344

第13章 使用组策略管理安全 345

13.1使用组策略配置域安全 345

13.1.1默认域策略概述 345

13.1.2默认域控制器策略概述 348

13.1.3为域重新创建默认GPO 352

13.1.4细化密码策略 353

13.2使用组策略强化服务器安全 356

13.3使用组策略配置网络安全 360

13.3.1配置有线网络安全 361

13.3.2配置无线网络安全 362

13.3.3配置Windows防火墙和IPsec安全 362

13.4使用安全模板配置安全设置 364

13.5小结 367

13.6补充资源 367

第4部分 维护Windows Server 2008活动目录 371

第14章 监视和维护活动目录 371

14.1监视活动目录 371

14.1.1为什么监视活动目录 372

14.1.2监视服务器可靠性和性能 373

14.1.3如何监视活动目录 378

14.1.4监视内容 383

14.1.5监视复制 384

14.2活动目录数据库维护 386

14.2.1垃圾收集 386

14.2.2联机碎片整理 386

14.2.3活动目录数据库的脱机碎片整理 387

14.2.4使用Ntdsutil管理活动目录数据库 388

14.3小结 389

14.4补充资源 390

第15章 活动目录灾难恢复 391

15.1计划应对灾难 391

15.2活动目录数据存储 392

15.3备份活动目录 394

15.3.1备份的需要 395

15.3.2逻辑删除生存时间 395

15.3.3备份频率 396

15.4还原活动目录 396

15.4.1通过创建一台新的域控制器还原活动目录 397

15.4.2执行活动目录非授权还原 399

15.4.3执行活动目录授权还原 402

15.4.4还原组成员身份 403

15.4.5重新激活逻辑删除对象 405

15.4.6使用活动目录数据库装载工具 407

15.4.7还原SYSVOL信息 409

15.4.8还原操作主机和全局编录服务器 409

15.5小结 412

15.6最佳实践 412

15.7补充资源 412

15.7.1相关信息 412

15.7.2相关工具 413

第5部分 活动目录标识和访问管理 417

第16章 活动目录轻型目录服务 417

16.1AD LDS概述 417

16.1.1AD LDS功能 417

16.1.2AD DS部署场景 418

16.2AD LDS的结构和组件 419

16.2.1AD LDS服务器 419

16.2.2AD LDS实例 420

16.2.3目录分区 420

16.2.4AD LDS复制 424

16.2.5AD LDS安全 426

16.3实现AD LDS 431

16.3.1配置实例和应用程序分区 431

16.3.2AD LDS管理工具 433

16.3.3配置复制 437

16.3.4备份和还原AD LDS 439

16.4配置AD DS和AD LDS同步 441

16.5小结 443

16.6最佳实践 443

16.7补充资源 444

16.7.1相关工具 444

16.7.2下载代码中的资源 444

16.7.3相关帮助主题 445

第17章 活动目录证书服务 446

17.1活动目录证书服务概述 446

17.1.1公钥基础结构组件 446

17.1.2证书颁发机构 451

17.1.3证书服务部署场景 452

17.2实现AD CS 453

17.2.1安装AD CS根证书颁发机构 453

17.2.2安装AD CS从属证书颁发机构 454

17.2.3配置Web注册 455

17.2.4配置证书吊销 455

17.2.5管理密钥存档和恢复 460

17.3管理AD CS中的证书 462

17.3.1配置证书模板 462

17.3.2配置证书自动注册 465

17.3.3使用组策略管理证书接受 466

17.3.4配置凭据漫游 467

17.4设计AD CS实现 467

17.4.1设计CA层次结构 467

17.4.2设计证书模板 470

17.4.3设计证书分发和吊销 471

17.5小结 472

17.6最佳实践 472

17.7补充资源 472

17.7.1相关信息 472

17.7.2相关工具 473

第18章 活动目录权限管理服务 474

18.1AD RMS概述 474

18.1.1AD RMS功能 475

18.1.2AD RMS组件 476

18.1.3AD RMS的工作原理 478

18.1.4AD RMS部署方案 481

18.2实现AD RMS 481

18.2.1安装AD RMS之前的预安装考虑事项 482

18.2.2安装AD RMS群集 482

18.2.3配置AD RMS服务连接点 485

18.2.4使用AD RMS客户端 486

18.3管理AD RMS 489

18.3.1管理信任策略 489

18.3.2管理权限策略模板 494

18.3.3配置排除策略 497

18.3.4配置安全策略 498

18.3.5查看报告 499

18.4小结 500

18.5补充资源 500

第19章 活动目录联合身份验证服务 502

19.1AD FS概述 502

19.1.1联合身份验证 503

19.1.2Web服务 503

19.1.3AD FS组件 505

19.1.4AD FS部署设计 507

19.2实现AD FS 512

19.2.1AD FS部署要求 512

19.2.2在联合Web SSO设计中实现AD FS 517

19.2.3配置账户伙伴联合身份验证服务 522

19.2.4配置资源伙伴AD FS组件 527

19.2.5为基于Windows NT令牌的应用程序配置AD FS 530

19.2.6实现Web SSO设计 532

19.2.7实现具有林信任的联合Web SSO设计 532

19.3小结 533

19.4最佳实践 533

19.5补充资源 533

19.5.1下载代码中的资源 534

19.5.2相关帮助主题 534