第1部分 Windows Server 2008活动目录概述 3
第1章 Windows Server 2008活动目录的新增功能 3
1.1活动目录域服务的新功能 3
1.1.1只读域控制器(RODC) 3
1.1.2活动目录域服务审核 5
1.1.3细化密码策略 5
1.1.4可重新启动的活动目录域服务 7
1.1.5数据库装载工具 7
1.1.6用户界面改进 8
1.2其他活动目录服务角色 9
1.2.1活动目录证书服务角色 9
1.2.2活动目录联合身份验证服务角色 10
1.2.3活动目录轻型目录服务角色 11
1.2.4活动目录权限管理服务角色 12
1.3小结 13
第2章 活动目录域服务组件 14
2.1AD DS物理结构 14
2.1.1目录数据存储 14
2.1.2域控制器 16
2.1.3全局编录服务器 16
2.1.4只读域控制器 18
2.1.5操作主机 20
2.1.6转移操作主机角色 22
2.1.7架构 23
2.2AD DS逻辑结构 28
2.2.1AD DS分区 29
2.2.2域 31
2.2.3林 34
2.2.4信任 35
2.2.5站点 38
2.2.6组织单位 39
2.3小结 41
2.4补充资源 41
2.4.1相关工具 41
2.4.2下载代码中的资源 42
2.4.3相关帮助主题 42
第3章 活动目录域服务和域名系统 43
3.1集成DNS和AD DS 43
3.1.1服务位置(SRV)资源记录 44
3.1.2AD DS域控制器注册的SRV记录 44
3.1.3DNS定位器服务 47
3.1.4自动站点覆盖 49
3.2AD DS集成区域 51
3.2.1使用ADDS集成区域的好处 51
3.2.2DNS的默认应用程序分区 51
3.2.3管理AD DS集成区域 53
3.3集成DNS命名空间和AD DS域 55
3.3.1DNS委派 56
3.3.2转发器和根提示 57
3.3.3DNS和ADDS集成故障排除 61
3.3.4DNS故障排除 61
3.3.5SRV记录注册故障排除 62
3.4小结 62
3.5最佳实践 63
3.6补充资源 63
3.6.1相关信息 63
3.6.2相关工具 63
3.6.3下载代码中的资源 64
3.6.4相关帮助主题 64
第4章 活动目录域服务复制 65
4.1AD DS复制模型 65
4.2复制过程 66
4.2.1更新类型 66
4.2.2复制更改 67
4.3复制SYSVOL目录 71
4.4站点内和站点间复制 72
4.4.1站点内复制 72
4.4.2站点间复制 73
4.4.3复制延迟 74
4.4.4紧急复制 74
4.5生成复制拓扑 75
4.5.1知识一致性检查器 75
4.5.2连接对象 76
4.5.3站点内复制拓扑 76
4.5.4全局编录复制 79
4.5.5站点间复制拓扑 81
4.5.6RODC和复制拓扑 83
4.6配置站点间复制 83
4.6.1创建额外的站点 84
4.6.2站点链接 85
4.6.3站点链接桥 87
4.6.4复制传输协议 88
4.6.5配置桥头服务器 89
4.7复制故障排除 90
4.7.1AD DS复制故障排除的步骤 90
4.7.2AD DS复制故障排除工具 91
4.8小结 93
4.9最佳实践 94
4.10补充资源 94
4.10.1相关信息 94
4.10.2相关工具 95
4.10.3下载代码中的资源 95
4.10.4相关帮助主题 95
第2部分 设计和实现Windows Server 2008活动目录 99
第5章 设计活动目录域服务结构 99
5.1定义目录服务需求 99
5.1.1定义业务和技术需求 100
5.1.2记录当前环境 104
5.2设计林结构 108
5.2.1林和AD DS设计 109
5.2.2单个林或多个林 109
5.2.3针对AD DS安全进行林设计 111
5.2.4林设计模型 112
5.2.5设计林所有权 114
5.2.6林变更控制策略 114
5.3设计多个林的集成 115
5.3.1设计林间信任 115
5.3.2设计林间目录集成 117
5.4设计域结构 118
5.4.1确定域数量 118
5.4.2设计林根域 120
5.4.3设计域层次结构 121
5.4.4域树和信任 122
5.4.5部署后更改域层次结构 123
5.4.6定义域所有权 123
5.5定义域和林功能级别 124
5.5.1在域功能级别启用的功能 124
5.5.2在林功能级别启用的功能 125
5.5.3实现域和林功能级别 125
5.6设计DNS基础结构 126
5.7设计组织单位结构 132
5.7.1组织单位和AD DS设计 132
5.7.2设计OU结构 132
5.7.3创建OU设计 134
5.8设计站点拓扑 135
5.8.1站点和AD DS设计 135
5.8.2创建站点设计 136
5.8.3创建复制设计 138
5.8.4设计服务器位置 141
5.9小结 147
5.10最佳实践 147
5.11补充资源 147
5.11.1相关信息 147
5.11.2下载代码中的资源 148
第6章 安装活动目录域服务 149
6.1安装AD DS的必备条件 149
6.1.1硬盘空间需求 150
6.1.2网络连接 150
6.1.3DNS 151
6.1.4管理权限 151
6.1.5操作系统兼容性 151
6.2了解AD DS安装选项 152
6.2.1安装配置任务和添加角色向导 152
6.2.2服务器管理器 153
6.2.3活动目录域服务安装 153
6.2.4无人参与安装 154
6.3使用活动目录域服务安装向导 154
6.3.1部署配置 155
6.3.2命名域 156
6.3.3设置Windows Server 2008功能级别 156
6.3.4其他域控制器选项 159
6.3.5文件位置 159
6.3.6完成安装 160
6.3.7验证AD DS的安装 161
6.4执行无人参与安装 161
6.5部署只读域控制器 163
6.5.1服务器核心安装Windows Server 2008 163
6.5.2部署RODC 164
6.6删除AD DS 164
6.6.1删除额外的域控制器 165
6.6.2删除最后一台域控制器 165
6.6.3无人参与删除AD DS 166
6.6.4强制删除Windows Server 2008域控制器 166
6.7小结 167
6.8补充资源 167
6.8.1相关信息 167
6.8.2相关工具 168
第7章 迁移到活动目录域服务 169
7.1迁移路径 169
7.1.1域升级迁移路径 170
7.1.2域重构 171
7.2确定迁移路径 172
7.3升级域 174
7.4重构域 175
7.5林内迁移 181
7.6配置林间信任 181
7.7小结 183
7.8最佳实践 183
7.9补充资源 183
7.9.1相关信息 184
7.9.2相关工具 184
第3部分 管理Windows Server 2008活动目录 187
第8章 活动目录域服务安全 187
8.1AD DS安全基础 187
8.1.1安全主体 188
8.1.2访问控制列表 188
8.1.3访问令牌 190
8.1.4身份验证 190
8.1.5授权 191
8.2Kerberos安全 191
8.2.1Kerberos简介 192
8.2.2Kerberos身份验证 193
8.2.3身份验证委派 199
8.2.4在Windows Server 2008中配置Kerberos 201
8.2.5与公钥基础结构集成 202
8.2.6与智能卡集成 203
8.2.7与其他Kerberos系统互操作 204
8.2.8Kerberos故障排除 205
8.3NTLM身份验证 207
8.4实现域控制器安全 209
8.4.1减少域控制器的攻击面 209
8.4.2配置默认域控制器策略 211
8.4.3配置SYSKEY 216
8.5设计安全管理实践 217
8.6小结 218
8.7最佳实践 219
8.8补充资源 219
8.8.1相关信息 219
8.8.2相关工具 219
8.8.3下载代码中的资源 220
8.8.4相关帮助主题 220
第9章 委派活动目录域服务管理 221
9.1活动目录管理任务 221
9.2访问活动目录对象 222
9.3活动目录对象权限 223
9.3.1标准权限 224
9.3.2特殊权限 224
9.3.3权限继承 227
9.3.4有效权限 230
9.3.5活动目录对象的所有权 232
9.4委派管理任务 233
9.5审核管理权限的使用 235
9.5.1为域控制器配置审核策略 236
9.5.2在活动目录对象上配置审核 237
9.6委派管理工具 239
9.7计划管理委派 240
9.8小结 241
9.9补充资源 241
第10章 管理活动目录对象 242
10.1管理用户 242
10.1.1用户对象 242
10.1.2inetOrgPerson对象 246
10.1.3联系对象 246
10.1.4服务账户 247
10.2管理组 247
10.2.1组类型 248
10.2.2组作用域 249
10.2.3活动目录中的默认组 250
10.2.4特殊标识 252
10.2.5创建安全组设计 252
10.3管理计算机 254
10.4管理打印机对象 256
10.4.1在活动目录中发布打印机 256
10.4.2跟踪打印机位置 258
10.5管理已发布共享文件夹 259
10.6自动化活动目录对象管理 260
10.6.1管理活动目录的命令行工具 260
10.6.2使用LDIFDE和CSVDE 261
10.6.3使用VBScript管理活动目录对象 262
10.7小结 266
10.8最佳实践 266
10.9补充资源 267
10.9.1相关信息 267
10.9.2相关工具 267
10.9.3下载代码中的资源 268
第11章 组策略简介 269
11.1组策略概述 270
11.1.1组策略工作原理 270
11.1.2Windows Server 2008组策略中的新增功能 272
11.2组策略组件 273
11.2.1组策略容器概述 273
11.2.2组策略模板的组件 274
11.2.3组策略对象组件的复制 276
11.3组策略处理 276
11.3.1客户端如何处理GPO 277
11.3.2初始GPO处理 279
11.3.3后台GPO刷新 280
11.3.4如何刷新与组策略相关的GPO历史记录 281
11.3.5默认后台处理间隔时间的例外情况 282
11.4实现组策略 285
11.4.1GPMC概述 286
11.4.2使用GPMC创建和链接GPO 287
11.4.3修改GPO处理的作用域 288
11.4.4委派GPO管理 294
11.4.5在域和林之间实现组策略 296
11.5管理组策略对象 297
11.5.1备份和还原GPO 297
11.5.2复制组策略对象 298
11.5.3导入组策略对象设置 298
11.5.4建模和报告组策略结果 298
11.6编写组策略管理脚本 302
11.7计划组策略实现 304
11.8组策略故障排除 305
11.9小结 306
11.10补充资源 306
第12章 使用组策略管理用户桌面 308
12.1使用组策略管理桌面 309
12.2管理用户数据和配置文件设置 310
12.2.1管理用户配置文件 311
12.2.2使用组策略管理漫游用户配置文件 316
12.2.3文件夹重定向 317
12.3管理模板 323
12.3.1理解管理模板文件 323
12.3.2管理基于域的模板文件 326
12.3.3管理ADMX模板文件的最佳实践 326
12.4使用脚本管理用户环境 328
12.5使用组策略部署软件 328
12.5.1Windows Installer技术 329
12.5.2部署应用程序 329
12.5.3使用组策略分发非Windows Installer应用程序 331
12.5.4配置软件包属性 332
12.5.5使用组策略配置Windows Installer 336
12.5.6计划组策略软件安装 337
12.5.7使用组策略管理软件的局限性 338
12.6组策略首选项概述 339
12.6.1组策略首选项与策略设置 339
12.6.2组策略首选项设置 340
12.6.3组策略首选项选项 341
12.7小结 343
12.8补充资源 343
12.8.1相关信息 344
12.8.2下载代码中的资源 344
第13章 使用组策略管理安全 345
13.1使用组策略配置域安全 345
13.1.1默认域策略概述 345
13.1.2默认域控制器策略概述 348
13.1.3为域重新创建默认GPO 352
13.1.4细化密码策略 353
13.2使用组策略强化服务器安全 356
13.3使用组策略配置网络安全 360
13.3.1配置有线网络安全 361
13.3.2配置无线网络安全 362
13.3.3配置Windows防火墙和IPsec安全 362
13.4使用安全模板配置安全设置 364
13.5小结 367
13.6补充资源 367
第4部分 维护Windows Server 2008活动目录 371
第14章 监视和维护活动目录 371
14.1监视活动目录 371
14.1.1为什么监视活动目录 372
14.1.2监视服务器可靠性和性能 373
14.1.3如何监视活动目录 378
14.1.4监视内容 383
14.1.5监视复制 384
14.2活动目录数据库维护 386
14.2.1垃圾收集 386
14.2.2联机碎片整理 386
14.2.3活动目录数据库的脱机碎片整理 387
14.2.4使用Ntdsutil管理活动目录数据库 388
14.3小结 389
14.4补充资源 390
第15章 活动目录灾难恢复 391
15.1计划应对灾难 391
15.2活动目录数据存储 392
15.3备份活动目录 394
15.3.1备份的需要 395
15.3.2逻辑删除生存时间 395
15.3.3备份频率 396
15.4还原活动目录 396
15.4.1通过创建一台新的域控制器还原活动目录 397
15.4.2执行活动目录非授权还原 399
15.4.3执行活动目录授权还原 402
15.4.4还原组成员身份 403
15.4.5重新激活逻辑删除对象 405
15.4.6使用活动目录数据库装载工具 407
15.4.7还原SYSVOL信息 409
15.4.8还原操作主机和全局编录服务器 409
15.5小结 412
15.6最佳实践 412
15.7补充资源 412
15.7.1相关信息 412
15.7.2相关工具 413
第5部分 活动目录标识和访问管理 417
第16章 活动目录轻型目录服务 417
16.1AD LDS概述 417
16.1.1AD LDS功能 417
16.1.2AD DS部署场景 418
16.2AD LDS的结构和组件 419
16.2.1AD LDS服务器 419
16.2.2AD LDS实例 420
16.2.3目录分区 420
16.2.4AD LDS复制 424
16.2.5AD LDS安全 426
16.3实现AD LDS 431
16.3.1配置实例和应用程序分区 431
16.3.2AD LDS管理工具 433
16.3.3配置复制 437
16.3.4备份和还原AD LDS 439
16.4配置AD DS和AD LDS同步 441
16.5小结 443
16.6最佳实践 443
16.7补充资源 444
16.7.1相关工具 444
16.7.2下载代码中的资源 444
16.7.3相关帮助主题 445
第17章 活动目录证书服务 446
17.1活动目录证书服务概述 446
17.1.1公钥基础结构组件 446
17.1.2证书颁发机构 451
17.1.3证书服务部署场景 452
17.2实现AD CS 453
17.2.1安装AD CS根证书颁发机构 453
17.2.2安装AD CS从属证书颁发机构 454
17.2.3配置Web注册 455
17.2.4配置证书吊销 455
17.2.5管理密钥存档和恢复 460
17.3管理AD CS中的证书 462
17.3.1配置证书模板 462
17.3.2配置证书自动注册 465
17.3.3使用组策略管理证书接受 466
17.3.4配置凭据漫游 467
17.4设计AD CS实现 467
17.4.1设计CA层次结构 467
17.4.2设计证书模板 470
17.4.3设计证书分发和吊销 471
17.5小结 472
17.6最佳实践 472
17.7补充资源 472
17.7.1相关信息 472
17.7.2相关工具 473
第18章 活动目录权限管理服务 474
18.1AD RMS概述 474
18.1.1AD RMS功能 475
18.1.2AD RMS组件 476
18.1.3AD RMS的工作原理 478
18.1.4AD RMS部署方案 481
18.2实现AD RMS 481
18.2.1安装AD RMS之前的预安装考虑事项 482
18.2.2安装AD RMS群集 482
18.2.3配置AD RMS服务连接点 485
18.2.4使用AD RMS客户端 486
18.3管理AD RMS 489
18.3.1管理信任策略 489
18.3.2管理权限策略模板 494
18.3.3配置排除策略 497
18.3.4配置安全策略 498
18.3.5查看报告 499
18.4小结 500
18.5补充资源 500
第19章 活动目录联合身份验证服务 502
19.1AD FS概述 502
19.1.1联合身份验证 503
19.1.2Web服务 503
19.1.3AD FS组件 505
19.1.4AD FS部署设计 507
19.2实现AD FS 512
19.2.1AD FS部署要求 512
19.2.2在联合Web SSO设计中实现AD FS 517
19.2.3配置账户伙伴联合身份验证服务 522
19.2.4配置资源伙伴AD FS组件 527
19.2.5为基于Windows NT令牌的应用程序配置AD FS 530
19.2.6实现Web SSO设计 532
19.2.7实现具有林信任的联合Web SSO设计 532
19.3小结 533
19.4最佳实践 533
19.5补充资源 533
19.5.1下载代码中的资源 534
19.5.2相关帮助主题 534