第1章 活动目录概述 1
1.1 活动目录概述 1
1.1.1 活动目录的重要意义 1
1.1.2 活动目录对象 2
1.1.3 活动目录组件 6
1.1.4 逻辑结构 7
1.1.5 物理结构 8
1.2 理解活动目录概念 9
1.2.1 全局目录(GC) 9
1.2.2 复制 10
1.2.3 信任关系 10
1.2.4 DNS名称空间 11
1.2.5 名称服务器 13
1.2.6 命名规范 14
1.2.7 域控制器 14
1.3 活动目录的新特性 15
1.3.1 活动目录的优点 15
1.3.2 活动目录新特性和改进 15
第2章 DNS与活动目录 18
2.1 DNS概述 18
2.1.1 DNS简介 18
2.1.2 名称空间 19
2.1.3 DNS和活动目录的区别 20
2.2.1 服务规划 21
2.2 规划DNS 21
2.1.4 DNS与活动目录集成 21
2.2.2 逻辑规划 23
2.2.3 服务器硬件规划 24
2.2.4 安全规划 27
2.3 DNS安装 29
2.3.1 IP地址设置 29
2.3.2 向导方式安装 30
2.3.3 组件方式安装 33
2.4 AD集成区域第一台DNS服务器 33
2.4.1 目录集成区域的优点 34
2.4.2 主要DNS服务器 34
2.4.3 AD集成区域的DNS服务器 38
2.4.4 AD集成区域DNS验证 46
2.5 AD集成区域第二台DNS服务器 48
第3章 活动目录部署 52
3.1 Active Directory评估 52
3.1.1 Active Directory架构环境 52
3.1.2 Active Directory Sizer工具评估应用环境 52
3.2 Active Directory规划 58
3.2.1 案例说明 59
3.2.2 AD名称空间 60
3.2.3 域林 61
3.3 Active Directory部署 65
3.3.1 安装第一个企业根域控制器域名book.com 65
3.3.2 安装辅助域控制器 71
3.3.3 安装根域book.com下的第一个子域bj.book.com 74
3.3.4 安装根域book.com下的第2个域树Pen.com 78
3.3.5 添加域林的第1个子域bj.book.com的成员服务器SR1 81
3.3.6 创建域林 83
3.3.7 删除Active Directory 89
3.3.8 重命名Active Directory 92
第4章 活动目录操作主机 101
4.1 操作主机概述 101
4.1.1 操作主机 101
4.1.3 域命名主机 102
4.1.4 PDC仿真器 102
4.1.2 架构主机 102
4.1.5 RID主机 103
4.1.6 基础结构主机 103
4.2 查看操作主机角色 103
4.2.1 GUI模式 104
4.2.2 命令行模式 107
4.2.3 脚本方式 108
4.3 操作主机规划 110
4.3.1 环境描述 110
4.3.2 FSMO规划 111
4.4 操作主机转移 112
4.4.1 角色转移 112
4.4.2 GUI模式转移操作主机角色 113
4.4.3 命令行模式 119
4.5 占用操作主机角色 122
4.5.1 故障状况 122
4.5.2 占用操作主机角色 123
第5章 活动目录的站点 127
5.1 站点概述 127
5.1.1 站点任务 127
5.1.2 独立站点 128
5.1.3 多个站点 128
5.1.4 站点管理 129
5.1.5 KCC 129
5.2.1 案例介绍 130
5.2 站点规划 130
5.1.6 默认站点 130
5.2.2 站点规划 131
5.3 Active Directory站点配置 132
5.3.1 创建站点 132
5.3.2 创建子网并连接站点 133
5.3.3 创建站点链接 134
5.3.4 移动服务器 135
5.3.5 给站点授权计算机 136
5.3.6 站点委派控制 137
5.3.7 站点链接搭桥 138
5.3.8 KCC手工检测 141
6.1.1 复制简介 142
6.1 复制概述 142
第6章 活动目录复制 142
6.1.2 复制类型 143
6.1.3 复制机制 144
6.1.4 复制方式 146
6.1.5 复制内容 148
6.2 复制拓扑 149
6.3 复制规划 155
6.4 管理复制 156
6.4.1 配置站点链接 156
6.4.2 站点链接开销 156
6.4.3 复制频率 156
6.4.4 设置站点链接可用性 157
6.4.5 配置站点链接桥 158
6.4.6 配置首选桥头服务器 158
第7章 活动目录信任 160
7.1 信任概述 160
7.1.1 信任 160
7.1.2 信任类型 160
7.1.3 信任方向 163
7.1.4 信任传递性 165
7.1.5 新的信任类型——林信任 166
7.2 信任的创建时间 167
7.2.4 何时创建林信任 168
7.2.3 何时创建领域信任 168
7.2.2 何时创建快捷信任 168
7.2.1 何时创建外部信任 168
7.3 创建信任实例 169
7.3.1 创建快捷信任 169
7.3.2 创建外部信任 172
7.3.3 创建林根信任 178
7.3.4 删除信任 179
7.3.5 验证信任 180
第8章 活动目录功能级别 182
8.1 功能级别 182
8.1.1 域功能 182
8.1.3 域功能级别评估 183
8.1.2 域功能提升 183
8.1.4 域林功能 184
8.2 提升功能级别 184
8.2.1 提升域功能级别 185
8.2.2 提升林功能级别 187
第9章 活动目录全局编录服务器 192
9.1 全局编录服务器概述 192
9.2 查看全局编录服务器 193
9.2.1 GUI方式 193
9.2.2 脚本方式 194
9.2.3 命令行方式 195
9.3 全局编录服务器规划 195
9.3.2 案例规划 196
9.3.1 全局编录服务器规划原则 196
9.4 全局编录服务器应用 197
9.4.1 域控制器提升为全局编录服务器 197
9.4.2 验证全局编录服务器的提升 198
9.4.3 验证全局编录服务器正常工作 200
9.4.4 删除全局编录服务器 203
第10章 活动目录委派 206
10.1 委派概述 206
10.1.1 组织单位 206
10.1.2 管理目标 207
10.2 委派规划 208
10.3 委派应用 209
10.3.1 创建组织单位、组、用户 210
10.3.2 创建委派任务 217
10.3.3 创建管理控制台 219
10.3.4 创建管理任务 225
10.3.5 禁止权限继承 229
10.4 受限委派 231
10.4.1 创建委派选项卡 232
10.4.2 配置委派 234
10.4.3 配置受限委派 238
11.1.1 组织单位模型 243
11.1.2 组织单位和组的区别 243
11.1 组织单位概述 243
第11章 活动目录的组织单位 243
11.1.3 群组原则 244
11.2 组织单位规划 244
11.2.1 规划组织单位原则 244
11.2.2 规划组织单位分层结构 245
11.3 组织单位应用 248
11.3.1 创建组织单位 248
11.3.2 移动组织单位 249
11.3.3 更改组织单位名称 251
11.3.4 删除组织单位 253
11.3.5 查找组织单位 254
11.3.6 组织单位新增用户 256
11.3.7 组织单位新增计算机 258
11.3.8 组织单位新增组 260
11.3.9 移动组织单位的成员 261
11.3.10 删除组织单位的成员 262
11.3.11 组织单位的委派 263
11.3.12 取消组织单位的权限继承 263
第12章 活动目录的用户 266
12.1 用户概述 266
12.1.1 用户账户简介 266
12.1.2 用户命名惯例 267
12.1.3 用户密码要求 267
12.2 创建用户 267
12.2.1 默认用户 268
12.2.2 UPN后缀 268
12.2.3 创建域用户账户 270
12.2.4 创建企业系统管理员 272
12.2.5 查看用户属性 274
12.2.6 其他用户属性 275
12.2.7 创建大量用户 285
12.2.8 将用户添加到本地管理员组 291
12.3 管理用户 293
12.3.1 添加到组 293
12.3.2 启用、禁用账户 295
12.3.3 移动 296
12.3.4 重设密码 297
12.3.5 删除 299
12.3.6 重命名 300
12.4 用户权限和权力 301
12.4.1 用户权限 301
12.4.2 用户权力 303
12.5 用户配置文件 307
12.5.1 用户配置文件概述 307
12.5.2 漫游用户配置文件 310
12.5.3 用户配置文件设置 312
12.5.4 强制使用相同的配置文件 316
12.6 用户主目录 323
12.6.1 创建共享文件夹 323
12.6.2 指派用户主目录 324
13.1.1 组类型 327
第13章 活动目录的组 327
13.1 组概述 327
13.1.2 组功能 328
13.1.3 默认组 331
13.1.4 嵌套组 333
13.2 组规划 335
13.2.1 组设计原则 335
13.2.2 组规划——AGDLP原则 336
13.3 组应用实例 337
13.3.1 创建全局安全组 337
13.3.2 移动用户到“全局组” 339
13.3.3 创建“本地域组” 341
13.3.4 “全局组”加入到“本地域组” 342
13.3.5 设置“本地域组”访问文件夹权限 343
第14章 活动目录的组策略 347
14.1 组策略概述 347
14.1.1 组策略的功能 347
14.1.2 组策略的组件 348
14.1.3 组策略的层次结构 349
14.1.4 计算机和用户策略的配置 352
14.2 组策略继承、委派 353
14.2.1 组策略的继承 353
14.2.2 组策略的委派 355
14.3.1 GPMC概述 360
14.3.2 GPMC初始安装 360
14.3 组策略管理控制台 360
14.3.3 管理组策略对象 368
14.3.4 GPO备份、还原、复制以及导入 374
14.3.5 组策略建模 379
14.3.6 策略结果集 381
14.4 组策略综合应用 383
14.4.1 UNIX终端仿真概述 383
14.4.2 部署环境 384
14.4.3 策略部署 385
15.1.1 访问控制权限 411
15.1.2 发布共享文件夹 411
15.1 发布资源 411
第15章 活动目录与网络资源 411
15.1.3 发布分布式文件系统 414
15.2 文件夹重定向 417
15.2.1 文件夹重定向概述 418
15.2.2 应用实例:文件夹重定向 420
15.2.3 重定向文件夹测试 429
15.3 应用程序部署 431
15.3.1 软件部署策略概述 431
15.3.2 实例1:使用MSI文件部署Office 2003 433
15.3.3 实例2:使用ZAP文件部署HotFix 445
15.3.4 实例3:使用开机、关机脚本部署HotFix 449
16.1.2 SYSVOL内容 453
16.1.1 SYSVOL简介 453
16.1 SYSVOL概述 453
第16章 活动目录SYSVOL共享 453
16.1.3 SYSVOL管理 454
16.2 SYSVOL应用实例 455
16.2.1 SYSVOL重定向 455
16.2.2 更改SYSVOL存储空间的大小 464
第17章 身份认证与活动目录 466
17.1 802.1x认证与活动目录 466
17.1.1 IEEE 802.1x身份认证概述 466
17.1.2 802.1x认证特点 466
17.1.3 IEEE 802.1x与IAS 467
17.2 IIS认证与活动目录 467
17.2.1 IIS自身安全机制 468
17.2.2 Web服务器身份认证 469
17.2.3 FTP服务器身份认证 478
17.3 SMTP与活动目录 479
17.3.1 设置身份验证方法 479
17.3.2 收件人策略 481
17.4 访问权限与活动目录 483
17.4.1 账户审核实战 483
17.4.2 限制用户登录到的计算机 485
17.4.3 委派用户权限 486
第18章 活动目录性能管理 492
18.1 活动目录性能监视工具 492
18.1.1 性能监视工具 492
18.1.2 事件查看器控制台 493
18.1.3 性能控制台 498
18.1.4 系统监视器 499
18.1.5 性能日志和警报 501
18.2 监视对共享文件夹的访问 505
18.2.1 监视网络资源使用 506
18.2.2 监视共享文件夹 506
18.2.3 监视打开的文件 507
18.2.4 发送控制台消息 508
19.1.2 管理目录复制 510
19.1.1 更改组成员身份 510
19.1 活动目录管理任务 510
第19章 活动目录的管理 510
19.1.3 创建用户和组账户 511
19.1.4 部署和升级软件包 511
19.1.5 重设用户密码 511
19.1.6 管理信任 511
19.1.7 管理全局编录 511
19.1.8 管理FSMO 512
19.1.9 管理站点 512
19.2 活动目录管理方式 512
19.2.1 使用运行方式 512
19.2.2 使用保存的查询 517
19.2.4 命令行管理Active Directory 521
19.2.3 MMC管理Active Directory 521
19.2.5 查找目录信息 522
19.3 MMC管理控制台 524
19.3.1 MMC控制台 524
19.3.2 管理单元 524
19.3.3 控制台选项 525
19.3.4 使用MMC控制台 525
19.4 Active Directory对象 532
19.4.1 默认的Active Directory对象 533
19.4.2 查找活动目录对象 536
19.4.3 移动活动目录对象 538
19.4.4 站点间移动域控制器 540
19.5.1 安全描述符 541
19.5 Active Directory权限管理 541
19.5.2 有效权限计算器 544
19.5.3 访问控制继承 546
第20章 管理活动目录数据库 550
20.1 Active Directory备份和恢复 550
20.1.1 活动目录状态信息 550
20.1.2 备份Active Directory数据库 551
20.1.3 还原Active Directory数据库 555
20.2 自动备份Active Directory数据库 558
20.3 重定向Active Directory数据库 564
20.4 离线整理Active Directory数据库 567
20.5 修复Active Directory数据库 569
20.7 Active Directory升域、降域 571
20.6 Active Directory重命名 571
第21章 活动目录常见故障 572
21.1 域控制器故障 572
21.1.1 故障描述 572
21.1.2 当主域控制器出现故障,但主域控制器仍然可用 573
21.1.3 主域控制器已经彻底损坏并且不能恢复时,整个网络不能正常使用 580
21.2 误删用户、组或者其他对象 584
21.3 恢复任意时间域控制器备份 586
第22章 登录域控制器 589
22.1 登录域控制器 589
22.2 脱离域控制器 594
23.1.1 提升域控制器——Dcpromo 598
第23章 活动目录管理工具 598
23.1 Active Directory管理工具 598
23.1.2 查询活动目录——Dsquery 599
23.1.3 活动目录数据库维护——Ntdsutil 611
23.1.4 显示目录对象属性——Dsget 623
23.1.5 域和林准备——Adprep 634
23.1.6 目录对象添加工具——Dsadd 635
23.1.7 修改目录对象——Dsmod 642
23.1.8 删除目录对象——Dsrm 658
23.1.9 计算机账户信任关系——Netdom 660
23.1.10 域控制器诊断工具——Dcdiag 677
23.1.11 对象模板权限工具——Dsacls 680
23.1.12 目录复制工具——Repadmin 685
23.1.13 目录服务检测工具——Dsatat 688
23.1.14 目录对象处理工具——Ldifde 691
23.1.15 域信息处理高级工具——Nltest.exe 696
23.1.16 诊断活动目录对象的许可权工具——Acldiag 702
23.1.17 域间组件移动工具——Movetree 705
23.1.18 安全组件检测工具——Sdcheck 706
23.1.19 复制监视工具——Replmon 708
23.1.20 活动目录对象编辑器——Adsiedit 712
23.2 用户与组的管理 714
23.2.1 用户账户数据库管理——Net accounts 714
23.2.2 计算机账户管理——Net Computer 716
23.2.3 用户账户管理——Net user 717
23.2.4 全局组管理——Net group 719
23.2.5 本地组管理——Net localgroup 720
23.2.6 身份识别工具——Whoami 722
23.2.7 用户信息迁移工具——USMT 724
23.2.8 登录用户权限设置工具——Ntrights 727
23.2.9 组成员查看工具——Ifmember 728
23.2.10 用户锁定状态查看工具——Lockoutstatus 729
23.3 组策略工具 731
23.3.1 检查域控制器上组策略对象——GpoTool 731
23.3.2 组策略结果检测工具——GpResult 733
23.3.3 组策略刷新工具——Gpupdate 736
23.3.4 组策略管理控制台——GPMC 738
23.3.5 组策略监视器——Winpolicies 741