Windows Server 2008 Active Directory配置指南

Chapter 1 Active Directory Domain Services（AD DS）. 1

1-1 Active Directory Domain Services概述 1

1-1-1 Active Directory Domain Services的适用范围（Scope） 2

1-1-2 名称空间（Namespace） 2

1-1-3 对象（Object）与属性（Attribute） 2

1-1-4 容器（Container）与组织单位（Organization Units， OU） 3

1-1-5 域树目录（Domain Tree） 3

1-1-6 信任（Trust） 4

1-1-7 林（Forest） 5

1-1-8 架构（Schema） 6

1-1-9 域控制器（Domain Controller） 6

1-1-10 Active Directory的复制模式 7

1-1-11 域中的其他成员计算机 7

1-1-12 DNS服务器 8

1-1-13 轻型目录访问协议（LDAP） 8

1-1-14 全局编录（Global Catalog） 10

1-1-15 站点（Site） 10

1-1-16 目录分区（Directory Partition） 11

1-2 Windows Server 2008域控制器的新功能 12

1-2-1 只读域控制器（RODC） 12

1-2-2 可重新启动的AD DS（Restartable AD DS） 13

1-3 域功能级别与林功能级别 14

1-3-1 域功能级别（Domain Functionality Level） 14

1-3-2 林功能级别（Forest Functionality Level） 15

1-4 Active Directory轻型目录服务（AD LDS） 15

Chapter 2 创建AD DS域 17

2-1 创建AD DS域前的准备工作 17

2-1-1 选择适当的DNS域名 18

2-1-2 准备好用来支持AD DS的DNS服务器 18

2-1-3 选择Active Directory数据库的存储地点 20

2-2 创建AD DS域 21

2-2-1 使用Windows窗口界面来安装网络中的第一台域控制器 22

2-2-2 使用应答文件安装网络中的第一台域控制器 30

2-2-3 使用“命令行”来安装网络中的第一台域控制器 31

2-3 确认AD DS域是否正常 32

2-3-1 检查DNS服务器内的日志是否完整 32

2-3-2 排除注册失败的问题 35

2-3-3 检查Active Directory数据库文件与SYSVOL文件夹 36

2-3-4 添加新的管理工具 37

2-3-5 查看事件日志文件 38

2-4 提升域与林功能级别 39

2-4-1 提升域功能级别 39

2-4-2 提升林功能级别 39

2-5 添加额外域控制器与RODC 39

2-5-1 使用Windows窗口界面来安装额外域控制器 40

2-5-2 使用应答文件来安装额外域控制器 47

2-5-3 使用“命令行”来安装额外域控制器 49

2-5-4 使用“安装媒体”来安装额外域控制器 49

2-5-5 更改RODC的委派与密码复制策略设置 52

2-6 阶段式安装RODC 53

2-6-1 使用Windows窗口界面创建RODC账户 53

2-6-2 将服务器附加到RODC账户 57

2-7 将Windows计算机加入或脱离域 61

2-7-1 将Windows计算机加入域 61

2-7-2 使用已加入域的计算机登录 64

2-7-3 脱离域 65

2-8 在域成员计算机内安装AD DS管理工具 66

2-9 删除域控制器与域 67

2-9-1 使用Windows窗口界面来删除域控制器或域 68

2-9-2 使用应答文件来删除域控制器或域 71

2-9-3 使用“命令行”删除域控制器或域 72

2-10 域升级与在现有域环境中安装域控制器 73

2-10-1 将现有Windows 2000或Windows Server 2003林升级 73

2-10-2 在现有Windows 2000或Windows Server 2003林中添加一个

Windows Server 2008域 75

2-10-3 在现有Windows 2000或Windows Server 2003域中添加一台Windows Server 2008域

控制器 76

Chapter 3 域用户与组账户的管理 77

3-1 管理域用户账户 77

3-1-1 创建组织单位与域用户账户 78

3-1-2 用户登录账户 79

3-1-3 创建UPN的后缀 81

3-1-4 账户的一般管理工作 82

3-1-5 域用户账户的内容设置 84

3-1-6 查找用户账户 86

3-1-7 域控制器之间数据的复制 87

3-2 一次同时添加多个用户账户 89

3-2-1 利用csvde.exe来添加用户账户 89

3-2-2 利用ldifde.exe来添加. 修改与删除用户账户 91

3-2-3 利用dsadd.exe等程序来添加. 修改与删除用户账户 92

3-3 域组账户 93

3-3-1 域内的组类型 94

3-3-2 组的作用域 94

3-3-3 域组的创建与管理 95

3-3-4 AD DS内置的组 96

3-3-5 特殊组账户 98

3-4 组的使用准则 99

3-4-1 A. G. DL. P策略 99

3-4-2 A. G. G. DL. P策略 99

3-4-3 A. G. U. DL. P策略 100

3-4-4 A. G. G. U. DL. P策略 100

Chapter 4 利用组策略来管理用户的工作环境 101

4-1 组策略概述 101

4-1-1 组策略的功能 101

4-1-2 组策略对象（Group Policy Object） 103

4-1-3 策略设置与首选项设置 105

4-1-4 组策略的应用时限 106

4-2 策略设置实战演练 107

4-2-1 策略设置实战演练1：计算机配置 107

4-2-2 策略设置实战演练2：用户配置 109

4-3 首选项设置实战演练 112

4-3-1 首选项设置实战演练1 112

4-3-2 首选项设置实战演练2 117

4-4 组策略的处理规则 121

4-4-1 一般的继承与处理规则 121

4-4-2 特殊的继承设置 122

4-4-3 特殊的处理设置 125

4-4-4 更改管理GPO的域控制器 129

4-4-5 更改组策略的应用间隔时间 131

4-5 利用组策略来管理计算机与用户环境 133

4-5-1 计算机配置的管理模板策略 133

4-5-2 用户配置的管理模板策略 134

4-5-3 账户策略 135

4-5-4 用户权限分配策略 139

4-5-5 安全选项策略 141

4-5-6 登录/注销. 启动/关机脚本 142

4-5-7 文件夹重定向 145

4-6 利用组策略来限制访问“可移动存储设备” 152

4-7 WMI筛选器 155

4-8 组策略建模与组策略结果 159

4-8-1 组策略建模 159

4-8-2 组策略结果 163

4-9 组策略的委派管理 165

4-9-1 站点. 域或组织单位的GPO链接委派 165

4-9-2 编辑GPO的委派 166

4-9-3 添加GPO的委派 166

4-10 “Starter GPO”的设置与使用 167

Chapter 5 利用组策略部署软件 169

5-1 软件部署概述 169

5-1-1 将软件分配给用户 170

5-1-2 将软件分配给计算机 170

5-1-3 将软件发布给用户 170

5-1-4 自动修复软件 171

5-1-5 删除软件 171

5-2 将软件发布给用户 171

5-2-1 发布软件 171

5-2-2 客户端安装已发布的软件 174

5-2-3 测试自动修复软件的功能 175

5-2-4 取消已发布的软件 177

5-3 将软件分配给用户或计算机 177

5-3-1 分配给用户 177

5-3-2 分配给计算机 178

5-4 将软件升级与重新部署.. 179

5-4-1 软件升级 179

5-4-2 重新部署 181

5-5 部署Microsoft Office 182

5-5-1 部署Microsoft Office 2003 183

5-5-2 部署Microsoft Office 2007 188

5-6 发布ZAP应用程序 192

5-7 软件部署的其他设置 195

5-7-1 更改部署默认值 195

5-7-2 更改高级部署设置 196

5-7-3 扩展名与软件关联的优先级 197

5-7-4 软件分类 197

5-8 将软件重新包装成“MSI应用程序” 199

Chapter 6 限制软件的运行 201

6-1 软件限制策略概述 201

6-1-1 哈希规则 202

6-1-2 证书规则 202

6-1-3 路径规则 202

6-1-4 网络区域规则 202

6-1-5 规则的优先级 203

6-2 启用软件限制策略 203

6-2-1 新建哈希规则 204

6-2-2 新建路径规则 207

6-2-3 新建证书规则 209

6-2-4 新建网络区域规则 212

6-2-5 不要将软件限制策略应用到本地系统管理员 213

Chapter 7 新建域树和林 215

7-1 新建第一个域 215

7-2 新建子域 216

7-2-1 利用Windows窗口界面来新建子域 216

7-2-2 利用应答文件来新建子域 225

7-2-3 使用“命令行”来新建子域 227

7-3 新建林中的第2个域树 228

7-3-1 选择适当的DNS架构 228

7-3-2 使用Windows窗口界面来新建第2个域树 230

7-3-3 使用应答文件来新建第2个域树 239

7-3-4 使用“命令行”来新建第2个域树 240

7-4 删除子域与域树 240

7-4-1 使用Windows窗口界面来删除子域或域树 241

7-4-2 使用应答文件来删除子域或域树 244

7-4-3 使用“命令行”来删除子域或域树 246

7-5 更改域控制器的计算机名 246

Chapter 8 管理域与林信任 249

8-1 域与林信任概述 249

8-1-1 信任域与受信任域 249

8-1-2 跨域访问资源的流程 250

8-1-3 信任的种类 252

8-1-4 建立信任前的注意事项 256

8-2 建立“快捷方式信任” 258

8-3 新建“林信任” 263

8-3-1 建立“林信任”前的注意事项 264

8-3-2 开始建立“林信任” 265

8-3-3 “选择性身份验证”设置 272

8-4 建立“外部信任” 275

8-5 管理与删除信任 277

8-5-1 信任的管理 277

8-5-2 信任的删除 280

Chapter 9 Active Directory数据库的复制 283

9-1 站点与Active Directory数据库的复制 283

9-1-1 同一个站点之间的复制 284

9-1-2 不同站点之间的复制 286

9-1-3 目录分区与复制拓扑 287

9-1-4 复制协议 287

9-2 默认站点的管理 287

9-2-1 默认的站点 287

9-2-2 Servers文件夹与复制设置 288

9-3 用站点来管理Active Directory复制 290

9-3-1 建立站点与子网 291

9-3-2 建立站点链接 293

9-3-3 将域控制器转移到所属的站点 294

9-3-4 指定“首选的bridgehead服务器” 296

9-3-5 站点链接与Active Directory数据库的复制设置 297

9-3-6 站点链接桥 299

9-3-7 站点链接桥的两个范例 301

9-4 管理“全局编录服务器” 303

9-4-1 将属性添加到全局编录内 303

9-4-2 全局编录的功能 304

9-4-3 通用组成员身份缓存 305

9-5 解决Active Directory复制冲突的问题 307

9-5-1 属性印章 307

9-5-2 冲突的种类 307

Chapter 10 操作主机的管理 311

10-1 操作主机概述 311

10-1-1 架构操作主机 312

10-1-2 域命名操作主机 312

10-1-3 RID操作主机 312

10-1-4 PDC模拟器操作主机 312

10-1-5 基础结构操作主机 315

10-2 操作主机的放置优化 316

10-2-1 基础结构操作主机的放置 316

10-2-2 PDC模拟器操作主机的放置 316

10-2-3 林级别操作主机的放置 317

10-2-4 域级别操作主机的放置 317

10-3 找出扮演操作主机角色的域控制器 318

10-3-1 找出“架构操作主机” 318

10-3-2 找出“域命名操作主机” 319

10-3-3 找出“RID”. “PDC模拟器”与“基础结构”操作主机 320

10-4 转移操作主机角色 320

10-5 夺取操作主机角色 323

10-5-1 操作主机故障所造成的影响 323

10-5-2 夺取操作主机角色实战演练1 325

10-5-3 夺取操作主机角色实战演练2 327

Chapter 11 AD DS的维护 331

11-1 系统状态概述 331

11-1-1 Active Directory数据库 332

11-1-2 SYSVOL文件夹 333

11-2 备份AD DS 333

11-2-1 安装Windows Server Backup功能 333

11-2-2 备份系统状态 333

11-3 还原AD DS 335

11-3-1 进入“目录服务还原模式”的方法 335

11-3-2 执行AD DS的“非系统授权还原” 336

11-3-3 针对被删除的AD DS对象执行“系统授权还原” 337

11-3-4 还原组成员的隶属关系 341

11-4 Active Directory数据库的转移与整理 342

11-4-1 可重新启动的AD DS（Restartable AD DS） 342

11-4-2 转移Active Directory数据库文件 342

11-4-3 整理Active Directory数据库 347

11-5 重设“目录服务还原模式”的系统管理员密码 350

11-6 更改“可重新启动的AD DS”的登录设置 351

Chapter 12 将资源发布到AD DS 353

12-1 将共享文件夹发布到AD DS 353

12-1-1 利用“Active Directory用户和计算机”控制台发布 353

12-1-2 利用“计算机管理”控制台发布 355

12-2 查找AD DS内的资源 356

12-2-1 通过“网络”查找 356

12-2-2 通过“Active Directory用户和计算机”控制台查找 358

12-3 将共享打印机发布到AD DS 361

12-3-1 发布打印机 361

12-3-2 通过AD DS查找共享打印机 363

12-3-3 利用“打印机位置”来查找打印机 363

Chapter 13 自动信任根CA 367

13-1 自动信任CA的设置准则 367

13-2 自动信任内部的独立CA 368

13-2-1 下载独立根CA的证书并保存 368

13-2-2 将独立根CA的证书导入到“受信任的根证书颁发机构”策略 370

13-3 自动信任外部的CA 373

13-3-1 下载独立根CA的证书并保存 374

13-3-2 创建“证书信任列表（CTL）” 377

Appendix A AD DS与防火墙 383

A-1 AD DS相关的端口 383

A-1-1 将客户端计算机加入域和用户登录时会用到的端口 384

A-1-2 计算机登录时会用到的端口 384

A-1-3 创建域信任时会用到的端口 385

A-1-4 验证域信任时会用到的端口 385

A-1-5 访问文件资源时会用到的端口 385

A-1-6 执行DNS查询时会用到的端口 385

A-1-7 执行Active Directory数据库复制时会用到的端口 385

A-1-8 文件复制服务（FRS）会用到的端口 386

A-1-9 分布式文件系统（DFS）会用到的端口 386

A-1-10 其他可能需要开放的端口 387

A-2 限制动态RPC端口的使用范围 387

A-2-1 限制所有服务的动态RPC端口范围 387

A-2-2 限制Active Directory数据库复制使用指定的静态端口 389

A-2-3 限制FRS使用指定的静态端口 390

A-2-4 限制DFS使用指定的静态端口 390

A-3 IPSec与VPN端口 391

A-3-1 IPSec所使用的协议与端口 391

A-3-2 PPTP VPN所使用的协议与端口 391

A-3-3 L2TP/IPSec所使用的协议与端口 391

Appendix B 服务器核心安装选项的管理 393

B-1 “服务器核心安装”概述 393

B-2 “服务器核心安装”的基本设置 394

B-2-1 更改计算机名称 394

B-2-2 更改IP地址 395

B-2-3 启用“服务器核心安装” 396

B-2-4 启用Windows防火墙的“远程管理”规则 396

B-2-5 加入域 397

B-2-6 将域用户加入本地Administrators组 397

B-2-7 更改日期与时间. 地区及语言选项 397

B-3 在“服务器核心安装”内安装服务器角色 398

B-3-1 查看现有的角色 398

B-3-2 DNS服务器角色 398

B-3-3 DHCP服务器角色 399

B-3-4 文件服务角色 399

B-3-5 Hyper-V角色 400

B-3-6 打印服务角色 400

B-3-7 Active Directory Lightweight Directory Services（AD LDS）角色 400

B-3-8 Active Directory Domain Services（AD DS）角色 400

B-3-9 Stream Media Services角色 400

B-3-10 Web服务器（IIS）角色 401

B-4 在“服务器核心安装”内安装功能 402

B-5 管理“服务器核心安装” 403

B-5-1 在“命令提示符”环境下管理 404

B-5-2 在远程计算机通过“远程桌面”管理 404

B-5-3 在远程计算机通过TS RemoteApp管理 405

B-5-4 在远程计算机通过Windows Remote Shell管理 408

B-5-5 在远程计算机通过MMC管理控制台管理 408

B-5-6 硬件设备的安装 409

B-5-7 其他注意事项 410

B-6 常用命令列表 410

B-6-1 设置与安装命令 411

B-6-2 网络与防火墙命令 412

B-6-3 更新. 错误报告与回应 412

B-6-4 服务. 程序与性能 413

B-6-5 事件日志 414

B-6-6 磁盘与文件系统 414

B-6-7 硬件设备驱动程序 415

《Windows Server2008 Active directory配置指南(第5版)》作者戴有炜先生是中国台湾微软资深顾问、微软认证讲师、微软认证系统工程师，已编写过多本关于Windows操作系统的畅销图书，累计销量近百万。《Windows Server2008 Active directory配置指南(第5版)》为作者的最新力作。书中采用图文并茂的方式，以完整清晰的操作过程，配以大量演示图例，全面介绍了Windows Server 2008关于活动目录的强大功能和使用方法。全书共13章，包括AD DS基本概念、创建AD DS域、域用户与组账户的管理、利用组策略管理用户的工作环境、利用组策略部署软件、限制软件的运行、创建域树和林、管理域与林信任、Active Directory数据库的复制、操作主机的管理、AD DS的维护、将资源发布到AD DS、自动信任根CA等内容。
　　《Windows Server2008 Active directory配置指南(第5版)》面向广大初中级网络技术人员、网络管理和维护人员、网络系统集成人员，也可作为高等院校相关专业和技术培训班的教学用书，同时可以作为MCTS/MCITP认证考试的参考用书。

五年磨一剑，百万销量实力保障
　　WinServer 2008三卷本之一
　　戴有炜作品
　　20年技术开发与培训经验
　　10数本专业技术著述
　　惠及近百万专业读者
　　戴有炜作品
　　20年技术开发与培训经验
　　10数本专业技术著述
　　惠及近百万专业读者
　　循序渐进地介绍Active Directory Domain Services（AD DS）的基本概念：从域基本概念、域树状目录、域林、站点、域与林功能级别到目录分区，引导读者掌握必备的概念。
　　按部就班地介绍如何管理全新的“服务器核心安装”，让您轻松地构建一个更安全、管理负担更小的运行环境。
　　深入探讨组策略的关键议题，包括：组策略的应用、账户策略、自动执行脚本、首选项设置、文件夹重定向、WM]筛选器、组策略建模、组策略结果、Starter GPO等。
　　完整涵盖最经典且实用的议题，包括：限制用户执行软件、限制访问“可移动存储设备”、控管用户工作环境、控管客户端电脑环境、一次同时新增多个用户账户等。
　　IT人员必备的知识与技能，包括：操作主机的管理一AD DS的备份与还原、Active Di rectory数据库的维护与优化、通过AD DS发布资源、Active Directory数据库的复制、站点的配置与管理、AD DS与防火墙等。
　　完整详细地说明域环境的配置，包含域树、域树状目录、域、域控制器、只读域控制器（RODC）、阶段式安装RODC、域升级与自动安装域控制器等。
　　软件部署的完整介绍，包含软件发布、软件分配、软件升级、自动修复部署的软件、Microsoft Office的部署、软件重新包装等，让系统管理员更容易管理客户端所需的软件。介绍如何建立信任关系，包含快捷方式信任、林信任、外部信任等，让大型网络之间的沟通更方便、更高效。
　　涵盖最新的只读域控制器（RODC）、认证缓存、可重新启动的AD DS、组策略首选项设置、限制访问”可移动存储设备”、系统管理员角色隔离等。
　　微软MCTS、MCITP认证考试最佳实战参考书
　　充分掌握Active Directory Domain Services（AD DS）的完整知识体系
　　通过虚拟技术，只要一台电脑就可以搭建完整的网络学习环境
　　独家以Active Directory Domain Services配置实战为主题
　　一流专业的叙述，配合丰富的配置范例与图片，清晰易懂
　　随处可见的大量提示，提供专家级的建议指导，汇聚作者多年经验智慧
　　一贯秉持理论与实战兼顾的写作风格，完全以读者立场编写，广获好评