第1章 域概述 1
1.1真实的案例 1
1.1.1案例需求 1
1.1.2 IT技术部门 1
1.1.3达到的效果 2
1.1.4 IT技术部门新措施 2
1.2部署域的意义 2
1.2.1网络管理中遇到的问题 2
1.2.2部署域的价值 3
1.3常用的计算机概念 3
1.3.1独立服务器 3
1.3.2成员服务器 3
1.3.3域控制器 3
1.3.4客户端计算机 4
1.4常用域概念 4
1.4.1 DNS 4
1.4.2工作组 5
1.4.3域 5
1.4.4根域 6
1.4.5域树 6
1.4.6域林 7
1.4.7如何区别域林和域树 8
1.5管理域控制器需要注意的问题 9
1.5.1禁止在域控制器任意安装软件 9
1.5.2禁止随意添加/删除域控制器 9
1.5.3禁止FSMO角色的任意分配 9
1.5.4谨慎备份域控制器 9
第2章 部署第一台域控制器 10
2.1案例任务 10
2.1.1案例任务 10
2.2.2案例环境 10
2.2部署网络第一台域控制器 12
2.2.1重命名计算机 12
2.2.2更改网络参数 13
2.2.3部署网络中第一台域控制器 16
2.2.4安装过程中遇到的问题:“NetBIOS名称”和域名不一致 26
2.3验证第一台域控制器是否成功部署 27
2.3.1验证“AD DS域服务” 27
2.3.2验证“默认容器” 29
2.3.3验证“Domain Controllers” 29
2.3.4验证“Default-First-Site-Name” 31
2.3.5验证“Active Directory数据库”和“日志文件” 31
2.3.6验证“计算机角色” 32
2.3.7验证系统共享卷“SYSVOL”和“NetLogon”服务 33
2.3.8验证“SRV 记录” 36
2.3.9验证FSMO操作主机角色 38
2.3.10事件查看器 38
2.3.11安装日志 39
2.4计算机安装“AD DS域服务”前后变化 40
2.4.1服务器管理器面板 41
2.4.2登录服务器 42
2.4.3 Metro面板发生的变化 42
2.4.4本地服务器面板变化 44
2.4.5默认组变化 45
2.4.6用户变化 46
2.5常见问题 48
2.5.1修改域控制器IP地址 48
2.5.2重命名域控制器 52
第3章 部署额外域控制器及子域 56
3.1案例任务 56
3.1.1额外域控制器的作用 56
3.1.2案例任务 56
3.1.3案例环境 56
3.1.4部署流程 57
3.2部署网络中第二台域控制器 58
3.2.1“重命名计算机”需要注意的问题 58
3.2.2“更改网络参数”需要注意的问题 58
3.2.3独立服务器加入到域 59
3.2.4提升为额外域控制器 62
3.3验证第二台域控制器是否成功部署 71
3.3.1验证“计算机角色” 72
3.3.2验证“DNS”相关记录 72
3.3.3验证“Active Directory站点和服务” 73
3.3.4验证网络中所有域控制器和GC 73
3.3.5验证FSMO操作主机角色 74
3.4介质安装第三台域控制器 74
3.4.1第三台Windows Server2012域控制器 74
3.4.2第一台域控制器生成安装介质 75
3.4.3传递安装介质 76
3.4.4通过介质安装第三台域控制器 76
3.4.5验证第三台域控制器 77
3.5部署子域 79
3.5.1子域计算机配置 79
3.5.2部署子域 80
3.5.3验证子域 86
3.5.4验证DNS 87
第4章 管理林和域功能级别 90
4.1功能级别概述 90
4.1.1功能级别在域中的作用 90
4.1.2选择合适的功能级别 91
4.1.3功能级别的限制 91
4.1.4注意事项 91
4.1.5域功能级别支持的域控制器 92
4.1.6林功能级别支持的域控制器 92
4.2功能级别管理任务 92
4.2.1查看域功能级别 93
4.2.2查看林功能级别 94
4.2.3提升域功能级别 96
4.2.4提升林功能级别 98
4.2.5功能级别降级 100
4.2.6注意事项 101
第5章 管理全局编录服务器 102
5.1全局编录服务器的作用 102
5.1.1数据存储 102
5.1.2全局编录服务器的作用 103
5.1.3全局编录服务器规划原则 103
5.2全局编录服务器日常管理 104
5.2.1验证域中全局编录服务器 104
5.2.2域控制器提升为全局编录服务器 106
5.2.3验证DNS记录 108
5.2.4查询服务端口 108
5.3全局编录服务器管理实践 109
5.3.1自定义复制属性 109
5.3.2验证只读属性 111
5.3.3全局编录服务器不可用 114
5.4验证父子域之间数据复制 115
5.4.1林信息 115
5.4.2 ADSI编辑器 116
第6章 管理操作主机角色 120
6.1 FSMO简介 120
6.1.1类型 120
6.1.2各个FSMO角色作用 121
6.1.3应用环境 122
6.1.4主域控制器 123
6.1.5 FSMO角色转移 123
6.1.6规划FSMO角色 123
6.1.7 FSMO角色出现故障后带来的影响 124
6.2查看FSMO角色 124
6.2.1图形模式查看FSMO角色使用的控制台 124
6.2.2图形模式查看PDC、RID、IM主机角色 125
6.2.3图形模式查看Domain Naming Master主机角色 126
6.2.4图形模式查看Schema Master主机角色 126
6.2.5命令行查看FSMO角色 127
6.2.6 DS命令组查看FSMO角色 128
6.2.7 PowerShell命令组查看FSMO角色 128
6.2.8查看主域控制器 129
6.3转移FSMO角色 129
6.3.1案例环境 129
6.3.2注意事项 130
6.3.3图形模式转移FSMO角色 130
6.3.4 Ntdsutil命令转移FSMO角色 133
6.4占用FSMO角色 134
6.4.1注意事项 135
6.4.2占用Schema Master角色 135
6.5子域中的FSMO角色分布 136
6.5.1林信息 137
6.5.2父域 137
6.5.3子域 137
第7章 管理组织单位 139
7.1组织单位架构 139
7.1.1默认域架构 139
7.1.2默认组织单位位置 139
7.1.3如何规划组织单位架构 140
7.1.4组织单位和组的区别 143
7.1.5组织单位设计原则 143
7.2组织单位管理任务 144
7.2.1创建组织单位 144
7.2.2启用/禁用“防止容器被意外删除”功能 145
7.2.3移动组织单位 146
7.2.4重命名组织单位 146
7.2.5删除组织单位 147
7.2.6查找组织单位 148
7.3组织单位委派控制 149
7.3.1委派权限 149
7.3.2权限测试 150
第8章 管理组 152
8.1组基本知识 152
8.1.1组的作用 152
8.1.2组类型 153
8.1.3组作用域 153
8.1.4常用组 154
8.2组日常管理 156
8.2.1创建组 157
8.2.2组成员添加 158
8.2.3删除组 159
8.2.4重命名组 160
8.2.5移动组 160
8.2.6嵌套组 161
8.2.7更改组作用域 162
8.2.8确认组成员关系 163
8.3组AGDLP应用 164
8.3.1组应用原则 164
8.3.2应用场景规划 165
8.3.3全局组操作 165
8.3.4域本地组操作 165
8.3.5文件访问授权 166
第9章 管理域计算机 167
9.1计算机类型 167
9.1.1计算机名称命名方法 167
9.1.2普通计算机 167
9.1.3域内计算机 172
9.2计算机名命名原则 175
9.2.1命名原则 175
9.2.2计算机名唯一性 176
9.2.3 NetBIOS名称 178
9.2.4加域后的计算机重命名 180
9.3计算机加域/降域 182
9.3.1客户端加域过程 182
9.3.2计算机账户生成模式 182
9.3.3验证客户端与域控制器之间的连通性 183
9.3.4在线加域方法之一 183
9.3.5在线加域方法之二 184
9.3.6离线加域 189
9.3.7加域后计算机账户验证 193
9.3.8降域 193
9.4计算机账户密码 197
9.4.1计算机账户密码 197
9.4.2计算机账户密码有效时间 197
9.4.3查看计算机账户密码策略 198
9.4.4修改计算机账户密码策略的有效时间 199
9.5授予加域权限 200
9.5.1加域环境 200
9.5.2加域权限 200
9.5.3“将工作站添加到域”策略 200
9.5.4“创建计算机对象”权限 204
9.6计算机账户基础管理 206
9.6.1创建计算机账户 206
9.6.2禁用计算机账户 208
9.6.3启用计算机账户 209
9.6.4删除计算机账户 210
9.6.5移动计算机账户 211
9.6.6添加计算机账户到组 213
9.6.7重置账户 214
9.6.8用户指定计算机登录 215
9.7计算机账户管理任务 216
9.7.1委派用户加域权限 216
9.7.2加域计算机重定向到目标组织单位 218
9.7.3计算机改名前后加域可能出现的错误 221
9.7.4禁止用户退出域 224
9.7.5清理长期不使用的计算机账户 225
9.7.6查询域中同一类型操作系统的数量 226
9.7.7批量创建计算机账户 227
9.7.8防止删除计算机账户 228
9.7.9常见错误之一:拒绝访问 231
9.7.10常见错误之二:找不到网络路径 232
9.7.11常见故障之三:不能连接域控制器 234
9.7.12常见故障之四 235
第10章 管理域用户 236
10.1用户类型 236
10.1.1什么是用户? 236
10.1.2本地用户账户 236
10.1.3域用户账户 243
10.1.4用户命名原则 248
10.1.5用户密码 249
10.2用户登录方式 250
10.2.1 UPN方式登录 250
10.2.2登录名方式登录 251
10.2.3登录名(Windows 2000以前版本)方式登录 252
10.2.4 UPN登录 252
10.3常用用户属性 255
10.3.1查看用户属性 255
10.3.2 DN和RDN 256
10.3.3 GUID 257
10.3.4常用账户属性 257
10.4创建域用户 259
10.4.1用户类型 259
10.4.2默认用户 259
10.4.3创建单一普通域用户 261
10.4.4批量创建普通域用户 263
10.4.5批量导入用户过程中出现的问题 269
10.4.6创建域管理员 270
10.4.7创建企业管理员 272
10.5用户配置文件 274
10.5.1用户配置文件 274
10.5.2漫游用户配置文件 276
10.5.3用户配置文件验证 278
10.5.4用户漫游配置文件注意事项 279
10.6用户基础管理 280
10.6.1 “Active Directory用户和计算机”管理菜单 280
10.6.2复制 280
10.6.3添加到组 281
10.6.4禁用账户 283
10.6.5启用账户 283
10.6.6重置密码 284
10.6.7删除用户 285
10.6.8重命名用户 286
10.6.9移动用户 287
10.7用户管理实战 287
10.7.1查询用户 288
10.7.2批量解锁被锁定的账户 288
10.7.3统一更改默认本地管理员密码 290
10.7.4禁止删除用户 292
10.7.5用户登录时只能登录到域 293
10.7.6恢复误删除的用户 294
10.7.7用户在指定计算机登录 298
10.7.8限制用户登录时间 299
10.7.9 USMT迁移用户配置文件 301
10.7.10清理长期没有登录的用户 302
10.7.11查询用户登录时间 303
10.7.12域缓存登录 304
10.7.13查看域用户密码修改情况 306
10.7.14审核域账户登录 307
10.7.15 批量映射用户主文件夹 308
10.7.16批量添加域用户属性 309
10.7.17拔掉网线才能登录域 311
10.7.18用户登录域速度异常 312
10.7.19查看用户在哪台计算机中登录 313
10.7.20提升域用户运行特定软件的权限 314
10.7.21文件发布到用户桌面 316
第11章 管理站点 319
11.1站点基本知识 319
11.1.1名词解释 319
11.1.2站点规划原则 320
11.1.3应用模式 321
11.2单域多站点部署任务 321
11.2.1地理分布 321
11.2.2遇到的问题 322
11.2.3站点的作用 322
11.2.4案例任务 322
11.2.5路由器规划 323
11.2.6域控制器规划 327
11.2.7站点规划 329
11.3部署单域多站点 329
11.3.1单域多站点部署流程 329
11.3.2创建新站点 330
11.3.3创建站点子网 331
11.3.4定位域控制器 334
11.3.5创建站点链接 338
11.3.6设置桥头服务器 341
11.3.7创建站点链接桥 342
11.4站点管理任务 344
11.4.1查看站点 344
11.4.2创建站点后域控制器自动添加到站点 346
11.4.3提升用户登录速度 347
11.4.4用户指定域控制器登录 349
第12章 管理站点复制 352
12.1复制概述 352
12.1.1复制方式 352
12.1.2复制协议 353
12.1.3复制伙伴 354
12.1.4目录分区同步 354
12.1.5复制机制 355
12.1.6复制拓扑 357
12.1.7站点内复制 359
12.1.8不同站点间复制 360
12.2日常管理复制 360
12.2.1站点常用查询 361
12.2.2调整复制时间 363
12.2.3手动创建复制链接 364
12.2.4站点链接开销 366
12.2.5配置桥头服务器 368
12.3复制管理任务 370
12.3.1监控域控制器的复制状态 371
12.3.2站点间复制出错 372
12.3.3禁用/启用域控制器复制 374
12.3.4站点间强制复制 375
12.3.5禁止活动目录复制自动生成拓扑 376
第13章 管理SYSVOL文件夹 378
13.1 SYSVOL文件夹简介 378
13.1.1 SYSVOL文件夹的由来 378
13.1.2验证SYSVOL文件夹 379
13.1.3 SYSVOL日常管理 381
13.2 SYSVOL管理实践 381
13.2.1 NETLOGON和SYSVOL共享丢失 382
13.2.2移动SYSVOL文件夹 383
13.2.3删除SYSVOL文件夹 388
13.3迁移Sysvol文件夹复制方式为 DFS-R 394
13.3.1复制机制 394
13.3.2原域控制器 394
13.3.3新域控制器 394
13.3.4迁移服务 394
第14章Active Directory管理中心 398
14.1“管理中心”概述 398
14.1.1管理单元 398
14.1.2启动“Active Directory管理中心” 398
14.1.3“概述”面板 399
14.1.4 Windows PowerShell历史记录 400
14.2管理域对象 402
14.2.1域管理界面 402
14.2.2域管理功能 403
14.2.3管理组织单位 408
14.2.4管理用户 410
14.2.5管理计算机 416
14.2.6管理组 419
第15章 管理只读域控制器 423
15.1只读域控制器基本知识 423
15.1.1活动目录数据库复制方向 423
15.1.2密码复制策略 424
15.1.3 RODC优点 425
15.1.4 RODC缺点 426
15.1.5部署前提 426
15.2部署RODC域控制器 426
15.2.1部署流程 426
15.2.2安装过程 427
15.2.3只读域控制器验证 428
15.3只读域控制器管理任务 432
15.3.1密码复制策略的位置 432
15.3.2查看已经发布到RODC的用户 433
15.3.3查看已经通过RODC进行身份验证的用户 434
15.3.4用户发布到RODC 434
15.3.5预设密码 436
第16章 升级域控制器 438
16.1案例任务 438
16.1.1案例任务 438
16.1.2迁移过程 438
16.1.3参与升级的服务器 438
16.1.4其他注意事项 439
16.2拓展2003活动目录功能级别 439
16.2.1 2003域控制器配置 439
16.2.2部署流程 442
16.2.3提升2003活动目录域功能级别 442
16.2.4提升2003活动目录林功能级别 443
16.3提升2012服务器为额外域控制器 445
16.3.1提升过程中需要注意的问题 445
16.3.2额外域控制器提升成功后验证 446
16.3.3额外域控制器占用FSMO角色 447
16.3.4 FSMO角色迁移后验证 452
16.3.5小结 453
16.4 2003域控制器降级 453
16.4.1域控制器降级为成员服务器 454
16.4.2成员服务器降级为独立服务器(俗称脱域) 457
第17章 管理活动目录数据库 459
17.1维护活动目录数据库 459
17.1.1活动目录数据库文件 459
17.1.2停止AD DS域服务 460
17.1.3重定向活动目录数据库 461
17.1.4离线整理活动目录数据库 464
17.1.5修复活动目录数据库 465
17.1.6重置目录服务还原模式管理员密码 466
17.1.7查找和清理重复的安全标识符 467
17.1.8自动管理活动目录数据库 467
17.1.9清理域控制器源数据 468
17.2备份活动目录数据库 471
17.2.1安装Windows Server Backup组件 471
17.2.2向导备份活动目录数据库 471
17.2.3命令行备份活动目录数据库 481
17.3恢复活动目录数据库 483
17.3.1域对象删除 483
17.3.2向导还原活动目录数据库 484
17.3.3命令行还原活动目录数据库 490
17.4通过备份还原域控制器 494
17.4.1备份域控制器 494
17.4.2还原域控制器 495
第18章ADCS证书服务 500
18.1部署ADCS服务 500
18.1.1根类型 500
18.1.2安装ADCS服务 500
18.1.3配置ADCS服务 504
18.2证书日常管理 510
18.2.1“证书颁发机构”管理工具 510
18.2.2“证书模板”管理工具 514
18.2.3用户手动申请证书 518
18.2.4查看已经颁发的证书 521
18.2.5续订根证书 524
18.2.6发布计算机证书自动申请策略 526
18.2.7发布用户证书自动申请策略 529
18.3用户访问SSL站点可能遇到的问题 530
18.3.1提示信息解析 531
18.3.2第一个提示:关于证书颁发机构 531
18.3.3第二个信息:关于日期时间 534
18.3.4第三个提示:名称无效 535
18.4证书典型应用:SSL站点 536
18.4.1基本信息 536
18.4.2申请证书配置文件 536
18.4.3申请Web服务器证书 538
18.4.4 Web服务器配置证书 540
18.4.5设置SSL站点 541
18.4.6客户端计算机访问SSL站点 544
第19章 认识组策略 548
19.1必须了解的知识 548
19.1.1组策略对象 548
19.1.2本地组策略和域组策略 550
19.1.3域组策略分类 551
19.1.4组策略的应用时间 551
19.1.5组策略处理规则 551
19.1.6强制继承 553
19.1.7组策略更新 553
19.1.8更改管理用的域控制器 555
19.1.9更改组策略的应用时间 556
19.1.10首选项 558
19.2组策略日常管理 558
19.2.1打开GPMC控制台 558
19.2.2查看组策略对象属性信息 558
19.2.3创建组策略对象 562
19.2.4删除组策略对象 564
19.2.5更改组策略对象的状态 564
19.2.6编辑组策略对象 565
19.2.7组策略对象备份 565
19.2.8管理备份 567
19.2.9复制GPO 569
第20章 组策略应用——首选项设置 571
20.1首选项分类 571
20.1.1计算机配置 571
20.1.2用户配置 572
20.2批量部署映射磁盘 573
20.2.1映射驱动器的方法 573
20.2.2部署“首选项”——映射驱动器 574
20.2.3策略测试 578
20.3登录用户添加到本地管理员组 579
20.3.1部署“首选项” 580
20.3.2策略测试 581
20.4 Internet Explorer浏览器设置 582
20.4.1 Internet Explorer设置 582
20.4.2部署“首选项” 583
20.4.3策略测试 585
第21章 组策略应用——保护IE浏览器 586
21.1基本安全性保护措施 586
21.1.1网络环境 586
21.1.2域中采取的措施 586
21.2保护浏览器 586
21.2.1安全级别 587
21.2.2权限分析 587
21.2.3权限继承 588
21.2.4设置安全级别 589
21.2.5部署用户限制策略 591
21.3保护IE存储区域 593
21.3.1网页存储访问保护机制 593
21.3.2限制存储区域中应用程序运行 594
21.4最佳实践 595
第22章 组策略应用——安装软件 596
22.1组策略安装软件 596
22.1.1环境准备 596
22.1.2 WMI筛选器 597
22.1.3应用程序“已发布”给用户 601
22.1.4应用程序“已分配”给用户 604
22.1.5应用程序“已分配”给计算机 605
22.1.6应用程序修复功能测试 606
22.1.7删除部署的程序包 608
22.1.8升级应用程序 608
22.2部署Microsoft Office 2013 611
22.2.1准备Office 2013安装程序 611
22.2.2下载Office Customization Tool(OCT)模板 611
22.2.3自定义Office2013安装环境 613
22.2.4安装Office 2013 618
第23章 组策略应用——高效沟通 620
23.1 Bginfo设置 620
23.1.1下载 620
23.1.2本例中Bginfo完成的功能 620
23.1.3参数设置 621
23.2部署策略 624
23.2.1部署共享文件夹 624
23.2.2部署组策略 625
23.2.3策略运行效果 626
第24章 组策略应用——文件夹重定向 627
24.1文件夹重定向支持的文件夹 627
24.1.1重定向文件夹部署建议 627
24.1.2支持的重定向文件夹 627
24.1.3策略部署前“文档”位置 628
24.2部署“文件夹重定向”策略 628
24.2.1部署重定向策略 628
24.2.2验证策略 630
第25章 组策略应用——限制计算机接入 631
25.1应用环境以及解决方法 631
25.1.1应用网络环境 631
25.1.2解决思路 631
25.2管理策略 632
25.2.1默认用户类 632
25.2.2重新配置DHCP服务器 633
25.2.3客户端计算机验证 636
25.2.4建议 638
第26章 组策略应用——Windows时间服务 639
26.1域内时间 639
26.1.1域内时间源 639
26.1.2同步机制 640
26.1.3时间同步方式 640
26.1.4 w32tm命令日常用法 641
26.2时间自动同步 643
26.2.1确认时间源服务器 643
26.2.2同步域内时间方法一:net time 643
26.2.3同步域内时间方法二:PDC主机作为时间源 644
26.3常见问题 650
26.3.1客户端计算机Windows时间服务有问题 650
26.3.2默认时间差值 650
26.3.3启动“Windows Time服务”并设置为“自动”启动 651
26.3.4统一时区 651
26.3.5禁止用户修改“日期和时间” 652
第27章 一组常用组策略与排错 654
27.1限制“本地管理员”组成员 654
27.1.1 “Administrators”组已有成员 654
27.1.2部署“受限制的组”策略 654
27.1.3客户端计算机策略测试 657
27.1.4删除策略 657
27.2部署密码策略 658
27.2.1默认密码策略 658
27.2.2查看默认域密码策略 658
27.2.3部署简单密码策略 659
27.2.4用户密码设置测试 661
27.3部署Internet Explorer访问主页 662
27.3.1部署策略 662
27.3.2策略测试 663
27.4开机运行指定的应用程序 664
27.4.1部署开机策略 664
27.4.2策略测试 665
27.5统一桌面背景 666
27.5.1部署桌面背景策略 666
27.5.2策略测试 668
27.6启用密码屏幕保护 668
27.6.1部署屏保密码策略 668
27.6.2策略测试 671
27.7禁止修改网络连接参数 672
27.7.1用户更改网络参数 672
27.7.2部署禁止修改网络参数策略 673
27.7.3策略测试 675
27.8组策略排错 676
27.8.1对默认策略的处理 676
27.8.2组策略的目标是谁 676
27.8.3客户端计算机是否应用策略 677
27.8.4确认客户端计算机基础环境是否正常 677
27.8.5确认文件复制服务是否启动 677
27.8.6记录配置 677
27.9组策略排错使用的工具 678
27.9.1 DcDiag 678
27.9.2 GPResult 680
27.9.3 Dcgpofix 681
27.9.4 Repadmin 681
27.9.5 Gpupdate 681
第28章 活动目录集成区域DNS服务 682
28.1 DNS需要了解的知识 682
28.1.1域中的计算机定位 682
28.1.2 DNS和Active Directory的结合 682
28.1.3 DNS服务器区域类型 683
28.1.4 DNS常用资源记录 684
28.1.5 nslookup验证加入域所需的SRV 记录 686
28.1.6动态更新 686
28.2部署活动目录集成DNS服务 688
28.2.1自动配置Active Directory集成区域DNS服务 688
28.2.2安装结果 689
28.2.3 msdcs子域 689
28.2.4域(本例中book.com) 694
28.2.5查看域属性 699
28.2.6 DNS验证 703
28.3 DNS客户端 704
28.3.1加域前提条件 704
28.3.2 DNS客户端缓存 704
28.3.3 DNS 记录中存在旧的A记录,导致DNS解析不正确 705
28.3.4误删_msdcs.子域 706