第1章 搭建单域环境 1
1.1 活动目录介绍 2
1.1.1 工作组的缺点 2
1.1.2 域的功能 2
1.1.3 DNS服务器在域环境中的作用 2
1.2 实战:搭建域环境 3
1.2.1 在DCServer上安装活动目录和DNS服务器 4
1.2.2 安装活动目录后的检查 7
1.2.3 计域控制器向DNS服务器注册SRV记录 9
1.2.4 SRV记录注册不成功的可能原因 11
1.2.5 将计算机加入到域 13
1.2.6 将计算机加入到指定组织单元 16
1.2.7 禁用计算机帐号 20
1.2.8 将计算机退出域 20
1.2.9 域环境中计算机名称解析 21
1.3 设计和规划组织单元结构 24
1.3.1 组织单元的设计过程 24
1.3.2 影响组织单元结构的部门组织因素 25
1.3.3 组织单元结构设计指南 25
1.3.4 委派管理控制 26
1.3.5 组织单元的管理任务 27
1.3.6 委派管理控制指导方针 27
1.4 实战:设计和规划组织单元 28
1.4.1 在DCServer上创建组织单元 29
1.4.2 在组织单元中创建对象 30
1.4.3 将计算机和用户移动到组织单元 31
1.4.4 委派授权 32
1.4.5 验证委派授权 35
1.4.6 撤销委派授权 38
1.4.7 验证撤销的权限 40
1.4.8 删除组织单元 40
1.5 域和林功能级别 41
1.5.1 域功能级别 41
1.5.2 域功能级别的评估 42
1.5.3 林的功能级别 43
1.5.4 提升域功能级别 44
1.6 实战:将活动目录升级到2008 44
1.7 管理将计算机加入域的权限 49
1.7.1 取消普通域用户将计算机加入域的权限 49
1.7.2 授权特定普通域用户将计算机加入域 51
第2章 管理域用户和组 55
2.1 活动目录中的帐号 56
2.1.1 命名帐号的方针 56
2.1.2 设置密码策略的方针 56
2.1.3 CSVDE批量导入用户 58
2.1.4 登录名和登录主名 59
2.2 实战:创建和使用域帐号 60
2.2.1 创建用户主名后缀和用户 61
2.2.2 创建共享文件夹并设置权限 65
2.2.3 使用CSVDE批量创建和修改域用户 69
2.2.4 创建保存的查询 73
2.2.5 使用主目录访问资源 75
2.2.6 错误的登录 76
2.2.7 验证用户帐户的过期 77
2.3 漫游式用户配置文件 79
2.3.1 用户配置文件 79
2.3.2 用户配置文件包括的内容 79
2.3.3 用户配置文件的类型 79
2.3.4 漫游配置文件应用过程 80
2.3.5 示例:使用漫游式配置文件 80
2.4 活动目录中的组 88
2.4.1 组的类型 88
2.4.2 组的作用域 88
2.4.3 使用组的策略 89
2.4.4 内置的本地域组 89
2.4.5 内置的全局组和通用组 91
2.5 实战:在单域环境中使用组 91
2.5.1 设计全局组 92
2.5.2 设计本地域组 94
2.5.3 授权本地域组 95
2.5.4 给用户授权的过程 98
第3章 组策略管理计算机 99
3.1 本章实战环境介绍 100
3.2 组策略介绍 101
3.2.1 组策略结构 101
3.2.2 组策略对象 102
3.2.3 计算机和用户的组策略设置 103
3.2.4 组策略对象和活动目录容器 103
3.2.5 组策略的应用顺序和优先级 104
3.2.6 强制应用组策略 105
3.2.7 阻止继承 106
3.2.8 组策略刷新 106
3.3 配置帐户策略 108
3.3.1 帐户策略介绍 108
3.3.2 在Windows Server 2008中配置精准密码策略和帐户锁定策略 111
3.4 实战:配置帐户策略 112
3.4.1 设置域用户帐户策略 113
3.4.2 针对Domain Admins创建帐户策略 117
3.4.3 删除密码设置对象 124
3.4.4 为市场部计算机设置帐户策略 126
3.5 配置审核策略 129
3.5.1 审核策略简介 129
3.5.2 审核策略详解 129
3.5.3 审核设置 132
3.6 实战:设置审核策略 132
3.6.1 启用帐户登录事件和帐户管理审核 133
3.6.2 验证域帐户登录审核和帐户管理审核 134
3.6.3 验证本地用户登录审核 137
3.6.4 启用对象访问审核 139
3.6.5 查看Windows Server Core安全日志 145
3.7 用户权限设置 147
3.7.1 用户权限设置概述 147
3.7.2 示例:控制本地登录和访问网络资源 148
3.7.3 示例:允许普通域用户登录域控制器 153
3.7.4 示例:允许普通用户关闭服务器 155
3.8 配置安全选项 157
3.8.1 示例:不显示最后的用户名 157
3.8.2 示例:禁用来宾用户 159
3.8.3 示例:设置登录提示 161
3.9 配置受限制的组 162
3.10 示例:使用组策略集中管理系统服务 165
3.11 示例:使用组策略配置注册表安全 169
3.12 示例:使用组策略配置文件夹安全 173
3.13 使用组策略配置高级安全Windows防火墙 177
3.13.1 示例:使用组策略配置Windows 7的高级防火墙 178
3.13.2 示例:使用高级安全Windows防火墙控制应用程序流量 186
3.14 配置软件限制策略 190
3.15 使用组策略对可移动设备进行管理 196
3.15.1 示例:使用组策略禁止安装可移动设备 196
3.15.2 示例:使用组策略控制可移动存储访问 202
3.15.3 示例:禁止安装特定设备 204
3.16 示例:使用组策略配置Windows系统更新 207
3.17 配置受信任的证书颁发机构 210
3.18 使用组策略首选项管理用户和计算机 215
3.18.1 首选项介绍 216
3.18.2 示例:禁用已安装的设备 219
3.18.3 示例:集中管理本地用户和组 223
3.18.4 示例:使用首选项更改注册表 225
第4章 组策略管理用户环境 229
4.1 本章实战环境介绍 230
4.2 使用组策略首选项配置用户环境 230
4.2.1 首选项设置 230
4.2.2 介绍用户临时文件夹 232
4.2.3 示例:使用组策略管理用户临时文件 233
4.2.4 示例:使用组策略为用户创建快捷方式 236
4.2.5 示例:使用组策略实现文件复制 239
4.2.6 示例:使用组策略映射网络驱动器 242
4.3 使用脚本管理计算机和用户 243
4.3.1 组策略脚本设置 243
4.3.2 使用组策略实现脚本设置的过程 244
4.3.3 示例:使用开机脚本启用XP的防火墙 244
4.3.4 示例:使用脚本为用户添加网络打印机 246
4.4 实现用户数据漫游 249
4.4.1 Microsoft Windows Vista的新增功能 249
4.4.2 文件夹重定向的优势 249
4.4.3 选择重定向的文件夹 250
4.4.4 示例:实现“我的文档”重定向 251
4.5 管理用户IE浏览器设置 257
4.5.1 示例:管理用户IE设置 257
4.5.2 示例:配置IE使用代理服务器 261
4.6 示例:管理用户桌向和“开始”菜单 263
4.7 示例:禁用注册表编辑工具 267
4.8 禁止用户运行特定程序 271
4.8.1 示例:针对用户的软件限制策略 271
4.8.2 示例:禁止用户运行特定程序 274
4.9 禁止更改IP地址 276
4.9.1 示例:禁止用户更改IP地址 276
4.9.2 Windows服务与其功能介绍 280
第5章 组策略部署软件 283
5.1 本章实战环境介绍 284
5.2 软件部署详解 285
5.2.1 软件安装和维护过程 285
5.2.2 Windows安装程序 285
5.2.3 软件部署概述 286
5.2.4 创建一个软件分发点 286
5.2.5 分配软件 287
5.2.6 发布软件 287
5.3 实战:使用组策略部署Office 2007 287
5.3.1 自定义Office 2007安装 287
5.3.2 示例:使用组策略部署Office 289
5.3.3 示例:使用组策略添加Office功能 294
5.3.4 示例:使用组策略删除Office 297
5.3.5 示例:为人工安装自定义Office 2007企业版 300
5.4 实战:为用户部署软件 303
5.4.1 示例:为用户部署软件 303
5.4.2 示例:将部署的软件分类 309
5.4.3 示例:使用组策略进行软件升级 313
5.4.4 示例:指定扩展名和应用程序关联 315
5.5 示例:使用组策略部署exe软件 316
第6章 管理组策略 321
6.1 本章实战环境介绍 322
6.2 组策略管理 323
6.2.1 安装组策略管理 323
6.2.2 创建组策略 324
6.2.3 查看组策略设置 324
6.2.4 指定组策略的状态 325
6.2.5 查看组策略作用域 326
6.2.6 备份组策略 326
6.2.7 删除组策略 328
6.2.8 还原组策略 328
6.2.9 示例:授权创建组策略 330
6.2.10 示例:授权编辑组策略 333
6.2.11 示例:授权链接组策略 334
6.3 配置组策略筛选 337
6.3.1 Windows管理规范(WMI)过滤器简介 337
6.3.2 示例:使用WMI筛选 338
6.3.3 WMI筛选器语法 342
6.3.4 组策略安全筛选 343
6.3.5 拒绝某个用户或组应用组策略 344
6.4 配置用户组策略环回处理模式 345
6.4.1 示例:配置市场部计算机用户组策略环回处理模式为“替换” 347
6.4.2 示例:配置市场部计算机用户组策略环回处理模式为“合并” 352
6.5 配置组策略刷新间隔 354
6.5.1 示例:配置“计算机配置”刷新频率 354
6.5.2 示例:配置“用户配置”刷新频率 355
6.6 监控组策略应用 356
6.6.1 实施组策略时的常见问题 356
6.6.2 组策略建模 357
6.6.3 组策略结果 359
第7章 规划单域架构 363
7.1 本章实战环境介绍 364
7.2 创建活动目录站点 365
7.3 添加额外的域控制器 369
7.3.1 添加附加的域控制器 370
7.3.2 配置成完全冗余的域控制器 374
7.3.3 验证活动目录完全容错 377
7.4 添加只读域控制器 380
7.4.1 只读域控制器简介 380
7.4.2 从介质安装附加域控制器 383
7.4.3 为上海分支办公室从介质部署只读域控制器 384
7.4.4 只读域控制器常见问题解答 389
7.5 在Windows Server Core上部署只读域控制器 390
7.5.1 委派用户能够安装只读域控制器 390
7.5.2 在Windows Server Core上安装只读域控制器和DNS服务 393
7.5.3 授权管理只读域控制器 396
7.5.4 使用图形界面管理工具管理只读域控制器和DNS 398
7.6 使用RODC进行身份验证的过程 399
7.7 密码复制策略 403
7.7.1 为RODC密码复制选择管理模型 403
7.7.2 密码复制策略允许列表和拒绝列表 404
7.7.3 密码复制策略管理模型详解 405
7.7.4 密码复制策略操作过程 405
7.7.5 缓存密码过期 406
7.7.6 清除缓存的密码 406
7.8 实战:配置密码复制策略 406
7.8.1 配置SJZDC的密码复制策略 406
7.8.2 预设密码 410
7.8.3 删除域控制器重设置缓存的密码 411
7.9 卸载附加域控制器 414
7.9.1 卸载只读域控制器 414
7.9.2 将Windows Server Core计算机退出域 416
7.9.3 强制卸载活动目录 416
第8章 活动目录林 421
8.1 创建多个域的环境 422
8.1.1 部署Active Directory域服务需要的网络凭据 422
8.1.2 本节实战环境 423
8.1.3 创建子域 425
8.1.4 配置Windows Server Core为子域域控制器 428
8.1.5 配置DNS区域复制范围 429
8.1.6 将计算机加入到子域 432
8.1.7 多域环境中的用户登录主名 433
8.1.8 目录林根域特有的组 434
8.2 在林环境中使用组的策略 436
8.3 活动目录域功能级别详解 437
8.3.1 域功能级别 437
8.3.2 示例:提升域功能级别 438
8.3.3 林的功能级别 441
8.3.4 示例:提升林功能级别 441
8.4 全局目录服务器 442
8.4.1 全局目录服务器概述 442
8.4.2 示例:添加复制到全局目录的属性 443
8.4.3 全局目录功能 447
8.4.4 自定义全局目录服务器 448
8.4.5 示例:创建全局目录服务器 448
8.4.6 什么是通用组成员资格缓存 449
8.4.7 示例:为一个站点启用通用组的成员资格缓存 450
8.4.8 规划全局目录服务器的指导方针 450
8.4.9 启用通用组成员资格缓存的方针 451
8.5 创建域之间的信任关系 451
8.5.1 信任的类型 452
8.5.2 可传递信任与不可传递信任 453
8.5.3 信任的方向 453
8.5.4 什么是信任域对象 454
8.5.5 信任关系如何在目录林中工作 455
8.5.6 信任如何穿越目录林 456
8.5.7 何时以及如何创建信任 457
8.6 实战:人工创建信任 458
8.6.1 查看验证默认信任 458
8.6.2 验证可传递的信任 460
8.6.3 创建信任的快捷方式 464
8.7 删除子域 467
8.8 实战:创建林信任 471
8.8.1 配置DNS条件转发 472
8.8.2 建立信任 474
8.8.3 验证建立的林信任 477
8.8.4 验证跨林身份 478
8.8.5 控制跨林登录 480
8.8.6 为其他林中的用户授权 483
8.8.7 跨林访问共享资源 485
8.8.8 配置选择性身份验证 485
第9章 迁移域用户和计算机 491
9.1 使用ADMT迁移和重构Active Directory域 492
9.1.1 Active Directory迁移的最佳实践 492
9.1.2 执行用户和组帐户迁移的最佳操作 492
9.1.3 执行计算机迁移的最佳操作 493
9.1.4 回滚迁移的最佳操作 493
9.2 林内Active Directory域重构 493
9.2.1 使用ADMT重构林内Active Directory域概述 494
9.2.2 使用ADMT在林中重构Active Directory域的背景信息 494
9.3 准备在林中重构Active Directory域 496
9.3.1 评估新的Active Directory林结构 497
9.3.2 分配域对象角色和位置 497
9.3.3 组迁移计划 497
9.3.4 测试迁移计划 498
9.3.5 创建回滚计划 499
9.3.6 创建最终用户通知计划 500
9.3.7 创建迁移帐户组 501
9.4 实战:在Actiye Directory域之间迁移域对象 502
9.4.1 迁移组 502
9.4.2 使用ADMT在林中迁移全局组和用户 503
9.4.3 使用ADMT在林中迁移Windows 7成员计算机 508
9.5 林间Active Directory域重构 513
9.5.1 在林间重构Active Directory域的概述 514
9.5.2 在林间重构Active Directory域的过程 514
9.5.3 在林间重构Active Directory域的背景信息 514
9.6 实战:在林间迁移对象 515
9.6.1 跨林迁移用户 516
9.6.2 跨林迁移用户和密码 519
第10章 管理活动目录复制 529
10.1 活动目录站点 530
10.1.1 活动目录站点功能 530
10.1.2 活动目录站点组成 531
10.2 活动目录复制介绍 531
10.2.1 站点内复制 532
10.2.2 复制更新 532
10.2.3 同一站点内复制的延迟时间 532
10.2.4 解决复制冲突问题 533
10.2.5 优化复制 534
10.2.6 和多值属性有关的复制 535
10.3 目录分区 535
10.4 复制拓扑 537
10.4.1 复制拓扑概述 537
10.4.2 自动复制拓扑的产生 538
10.4.3 使用连接对象 539
10.4.4 全局目录服务器和复制分区 540
10.5 利用站点优化活动目录复制 540
10.5.1 站点和子网对象 540
10.5.2 站点链接 541
10.5.3 复制协议 542
10.5.4 站点内复制和站点间复制 543
10.5.5 建立和配置站点链接 545
10.5.6 建立站点链接桥 545
10.6 管理站点拓扑 548
10.6.1 桥头服务器 548
10.6.2 站点间拓扑生成器 548
10.6.3 指定桥头服务器 549
10.6.4 刷新复制拓扑 549
10.6.5 如何通过站点间链接强制复制 550
10.7 实战:利用站点管理活动目录复制 551
10.7.1 实战环境介绍 551
10.7.2 查看自动创建的连接对象 552
10.7.3 更改站点内复制计划 553
10.7.4 创建站点 553
10.7.5 创建子网对象 555
10.7.6 在站点间移动域控制器 556
10.7.7 创建站点间链接 557
10.7.8 配置站点间复制频率 560
10.7.9 配置站点复制开销 562
10.7.10 强制活动目录复制 563
10.7.11 指定桥头服务器 564
10.8 监控复制通信 565
10.8.1 常见的复制问题 565
10.8.2 如何确定产生问题的原因 566
第11章 管理操作主控 567
11.1 操作主控简介 568
11.1.1 架构主控 568
11.1.2 域命名主控 568
11.1.3 PDC仿真器 569
11.1.4 RID主控 569
11.1.5 基础结构主控 570
11.1.6 操作主控默认位置 571
11.2 实战:传送和争夺操作主控角色 572
11.2.1 实战场景 572
11.2.2 确定操作主控角色的保持者 572
11.2.3 传送操作主控角色 575
11.2.4 争夺操作主控角色 579
11.3 计划操作主控的部署 585
11.3.1 部署操作主控的指导方针 586
11.3.2 部署架构操作主控的指导方针 586
11.3.3 部署域命名主控的指导方针 587
11.3.4 部署PDC仿真器的指导方针 587
11.3.5 部署RID主控的指导方针 588
11.3.6 部署基础结构主控的指导方针 588
11.3.7 争夺操作主控角色的指导方针 588
第12章 维护活动目录数据库 591
12.1 维护活动目录数据库简介 592
12.1.1 本章实战场景 592
12.1.2 活动目录中的文件以及活动目录更改过程 593
12.1.3 垃圾收集处理 594
12.2 管理活动目录数据库 594
12.2.1 Windows 2008中可重启AD的配置 594
12.2.2 活动目录数据库碎片整理 596
12.2.3 示例:使用可重启AD DS整理活动目录数据库 597
12.2.4 示例:移动活动目录数据库 599
12.2.5 示例:在目录服务还原模式下管理活动目录数据库 601
12.3 实战:活动目录备份 602
12.3.1 安装Windows Server Backup备份程序 603
12.3.2 添加硬盘 604
12.3.3 备份关键卷 607
12.3.4 备份系统状态 610
12.4 还原活动目录 611
12.4.1 活动目录恢复的方法 611
12.4.2 恢复系统状态 613
12.4.3 通过系统状态备份进行授权恢复 613
12.4.4 域控制器完整恢复 616
12.5 更改活动目录还原密码 619
第13章 Windows Server 2008 R2活动目录的新功能 621
13.1 Windows Server 2008 R2的新功能 622
13.1.1 Windows Server 2008 R2的新功能介绍 622
13.1.2 Windows Server R2 Active Directory域服务中的新增功能 623
13.2 将活动目录升级到Windows Server 2008 R2 624
13.2.1 安装Windows Server 2008 R2 625
13.2.2 更新活动目录架构 625
13.2.3 将Windows Server 2008 R2作为附加的域控制器 626
13.2.4 降级Windows 2008域控制器 629
13.2.5 提升域功能级别 632
13.3 活动目录管理中心 633
13.3.1 使用活动目录管理中心修改用户密码 634
13.3.2 自定义Active Directory管理中心导航窗格 635
13.3.3 使用活动目录管理中心创建对象 636
13.3.4 使用活动目录管理中心管理对象 638
13.3.5 使用活动目录管理中心筛选对象 639
13.4 活动目录回收站 641
13.4.1 还原已删除Active Directory对象的方案概述 641
13.4.2 Active Directory回收站的要求 645
13.5 实战:配置活动目录回收站 645
13.5.1 确认域和林功能级别为Windows Server 2008 R2 646
13.5.2 使用命令启用Active Directory回收站 646
13.5.3 使用Ldp工具启用回收站 648
13.5.4 显示“已删除对象”容器 649
13.5.5 使用Ldp.exe还原已删除的Active Directory对象 651
13.5.6 使用命令行还原已删除的Active Directory对象 652
13.5.7 还原多个已删除的Active Directory对象 654
13.6 脱机加入域循序渐进指南 659
13.6.1 脱机加入域方案概述 659
13.6.2 脱机加入域的要求 660
13.6.3 示例:离线加入域 661