第7章 Windows Server 2012中的Active Directory
7.1 Active Directory基础知识简介
在开始讨论Active Directory之前,先介绍一些基础知识。由于Active Directory使用很多特有的词汇,这里只解释管理员需要了解的那部分。
工作组 工作组是一个Windows网络(LAN)中的一台或名多台计算机,它们都没有加入域。
域 一个域表示一组共享同一个数据库的对象。
Active Directory Domain Services 活动目录域服务(AD DS)是一个集成到Windows Server操作系统中的服务,但默认情况下不会自动安装。
站点 站点表示网络的物理结构或拓扑。
复制 复制是Active Directory相关概念中最复杂的一个。Active Directory是作为一个多主机复制系统设计的。这意味着可以执行如下示例所述的修改,在域控制器A或域控制器B上创建用户Joe,这个修改会被复制到没有创建用户的域控制器上。
对象 简单地说,Active Directory内的每样东西都是一个对象。
架构 架构用于存放所创建的对象的类。
组策略 配置用户或计算机的设置时需要使用组策略(Group Policy)。
组织单元 组织单元(Organizational unit),顾名思义,用于组织Active Directory中的对象,主要是用户和计算机。
默认域策略 默认域策略(Default Domain Policy)随着第一个域一起创建。它包含的策略将应用于整个域中的所有用户和计算机。必须明白这个策略对网络环境非常重要,绝不能删除。
默认域控制器策略 默认域控制器策略(Default Domain Controlers Policy)也非常重要,它链接到Active Directory中的所有域控制器容器。
林 一个林(Forest)是单个Active Directory的实例。在一个林中可以包含一到多个共享相同架构的域。如果只设置一个域控制器,其实就是在创建一个最小的林,也被称为单域林。林也可以看成是安全边界,其中的用户、计算机和其他对象都是可访问的。
全局编录 在多域Active Directory林中,全局编录(global catalog)包含了每个域中所有对象的信息。
信任 信任(Trust)是域之间用于访问资源(例如服务器和应用程序)的连接。
树 如果在同一个林中创建一到多个具有连续名称空间的域,且/或共享相同的架构,那么你就创建了一棵树(Tree)。
7.1.5 创建组织单元、帐号和组
在创建完域之后,就可以创建OU、用户帐号、计算机帐号、组,等等。有两种工具可供选择;要么使用旧有的Active Directory Users and Computers(ADUC)工具,要么选择Active Directory Administrative Center(ADAC)。
-
创建组织单元
组织单元用于组织Active Directory里面的对象。任何对象(例如用户、计算机、组,等等)都可以放到OU里面以便轻松地对其进行管理。创建OU的两个主要的技术原因是:
* 通过Group Policy进行管理
* 管理委托 -
通过Group Policy进行管理
可以创建Group Policy对象(GPO),并将其链接到站点、域和OU。如果希望为某些用户分配特定的组策略,可以创建一个OU,把这些用户帐号放到OU里面,以后将GPO和OU链接起来。
另一种将GPO应用于用户和计算机的方法是创建一个Active Directory安全组,然后将所有需要应用该安全设置的用户添加到这个组中。在创建和配置好组之后,可以将这个组添加到GPO's Security Filtering区域,并从Security Filtering设置中删除默认的Authentication User组。更详细的操作步骤可以阅读第9章,那里会告诉你如何完成这个操作以及其他更多信息。 -
Active Directory Administrative Center
-
通过ADAC配置OU
遵循以下步骤,使用Active Directory Administrative Center创建一个OU:
(1)启动Windows Server 2012。在Start页面上单击Active Directory Administrative Center。或者可以按下WIN+R组合键打开Run窗口,输入 dsac.exe,然后单击OK按钮。
(2)右击域,选择New | Organizational Unit。
(3)在Name文本框输入Sales并确保选中“Protect from accidental deletion”复选框。
(4)单击OK按钮,OU就创建好了。
(5)还可以创建子OU。右击刚才创建好的Sales OU。选择New | Organizational Unit。
(6)在Name文本框中输入Users并单击OK按钮。
注意,域下面的Users容器只是一个容器(不是OU),不能链接到GPO。OU的图标稍微有些不同——它不仅仅是一个文件夹,而是在文件夹的图标的前面嵌入了另一个图标,表示它还包含更多信息。 -
LDAP识别名
Active Directory使用Lightweight Directory Access Protocol(LDAP)进行通信。LDAP使用识别名唯一标识目录中的每个对象。在学习如何使用命令行或脚本创建对象之前,应理解DN的各个组件。
DN的格式是objectType=objectName,其多个类型对象使用逗号分隔。例如,名为bigfirm.com的域有两个域组件(bigfirmt和com)以如下方式标识:
dc=bigfirm,dc=com
组织单元的对象类型的是OU,Users和Computers容器以cn(表示“common name”)标识。Sales OU的DN应该是:
ou=Sales,dc=bigfirm,dc=com
Users容器的DN应该是:
cn=Users,dc=bigfirm,dc=com
容器是一个Active Directory对象,它在将服务器升级到域控制器的时候创建。这个对象包含了Active Directory中所有默认的用户和组,而且和OU的属性完全不相同。另一个显著的不同是,不能在这个容器上使用组策略。
位于Sales OU中的名为Sally.Smith的帐号的DN是:
cn=Sally.Smith,ou=sales,dc=bigfirm,dc=com
位于Users容器中的名为Joe.Johnson帐号的DN是:
cn=Maria,cn=Users,dc=bigfirm,dc=com -
使用PowerShell创建OU
-
PowerShell和Active Directory
通过输入如下命令导入模块:
Import-Module ActiveDirectory
执行这条命令需要一段时间,然后系统会再次提示你输入。接下来输入如下命令创建一个名为PS_OU的OU。
New-ADOrganizationalUnit -Name PS-OU -Server DC02.bigfirm.com -Path "DC=bigfirm,DC=com"
-
创建帐号
为了访问域,用户和计算机都需要帐户。
计算机帐户的创建通常是自动的,当计算机加入域时,就会自动创建一个计算机帐户。默认情况下,计算机帐户创建在Computers容器中,但是可以使用redircmp命令行工具修改这一设置。redircmp的语法如下所示
Redircmp DN -
使用Active Directory Administrative Center创建帐号
-
使用PowerShell创建帐号
-
创建组
- Directory Windows Server Active 2012directory windows server active directory windows active ad standard windows server 2012 名称windows server 2012 补丁windows server 2012 server windows 2919355 2012 windows版本server 2012 directory active microsoft managed directory active description logs_event directory active