Windows Server 2019 Active Directory 配置指南

本書由微軟技術專家戴有煒先生傾力編著，是他**推出的Windows Server 2019兩捲力作中的Active Directory配置指南篇。 本書延續了作者的一貫寫作風格：大量的實例演示兼具理論，以及完整清晰的操作過程，以簡潔易懂的文字進行描述，內容豐富，圖文並茂。本書共分16章，內容包括Active Directory域服務、建立AD DS域、域用戶與組賬戶的管理、利用組策略管理用戶工作環境、利用組策略部署軟件、限制軟件的運行、建立域樹和域林、管理域和林信任、AD DS數據庫的復制、操作主機的管理、AD DS的維護、將資源發布到AD DS、自動信任根CA、利用WSUS部署更新程序、AD RMS企業文件版權管理以及AD DS與防火牆。 本書面向廣大初、中級網絡技術人員、網絡管理和維護人員，也可作為高等院校相關專業和技術培訓班的教學用書，同時可以作為微軟認證考試的參考用書。

戴有煒,微軟認證系統工程師（MCSE）,微軟認證講師（MCT）,微軟資深顧問,IT部門主管、研發部門主管、技術總監、講師等

目    錄
第1章    Active Directory域服務（AD DS） 1
1.1    Active Directory域服務概述 2
1.1.1    Active Directory域服務的適用範圍 2
1.1.2    名稱空間 2
1.1.3    對象與屬性 3
1.1.4    容器與組織單位 3
1.1.5    域樹 4
1.1.6    信任 5
1.1.7    林 6
1.1.8    架構 6
1.1.9    域控制器 7
1.1.10    只讀域控制器 7
1.1.11    可重啟的AD DS 9
1.1.12    Active Directory回收站 9
1.1.13    AD DS的復制模式 10
1.1.14    域中的其他成員電腦 10
1.1.15    DNS服務器 11
1.1.16    輕型目錄訪問協議 11
1.1.17    全局編錄 12
1.1.18    站點 13
1.1.19    目錄分區 14
1.2    域功能級別與林功能級別 14
1.2.1    域功能級別 14
1.2.2    林功能級別 15
1.3    Active Directory輕型目錄服務 15

第2章    建立AD DS域 17
2.1    建立AD DS域前的準備工作 18
2.1.1    選擇適當的DNS域名 18
2.1.2    準備好一臺支持AD DS的DNS服務器 18
2.1.3    選擇AD DS數據庫的存儲位置 20
2.2    建立AD DS域 21
2.3    確認AD DS域是否正常 26
2.3.1    檢查DNS服務器內的記錄是否完備 26
2.3.2    排除註冊失敗的問題 29
2.3.3    檢查AD DS數據庫文件與SYSVOL文件夾 30
2.3.4    新增的管理工具 32
2.3.5    查看事件日誌文件 32
2.4    提升域與林功能級別 33
2.5    新建額外域控制器與RODC 34
2.5.1    安裝額外域控制器 34
2.5.2    利用“安裝媒體”安裝額外域控制器 38
2.5.3    更改RODC的委派與密碼復制策略設置 40
2.6    RODC階段式安裝 41
2.6.1    建立RODC賬戶 42
2.6.2    將服務器附加到RODC賬戶 46
2.7    將Windows電腦加入或脫離域 48
2.7.1    將Windows電腦加入域 48
2.7.2    利用已加入域的電腦登錄 51
2.7.3    離線加入域 53
2.7.4    脫離域 54
2.8    在域成員電腦內安裝AD DS管理工具 55
2.9    刪除域控制器與域 57

第3章    域用戶與組賬戶的管理 63
3.1    管理域用戶賬戶 64
3.1.1    建立組織單位與域用戶賬戶 65
3.1.2    用戶登錄賬戶 66
3.1.3    建立UPN後綴 68
3.1.4    賬戶的常規管理工作 69
3.1.5    域用戶賬戶的屬性設置 70
3.1.6    搜索用戶賬戶 72
3.1.7    域控制器之間數據的復制 77
3.2    一次同時添加多個用戶賬戶 79
3.2.1    利用csvde.exe新建用戶賬戶 79
3.2.2    利用ldifde.exe新建、修改與刪除用戶賬戶 81
3.2.3    利用dsadd.exe等程序添加、修改與刪除用戶賬戶 82
3.3    域組賬戶 83
3.3.1   域內的組的類型 84
3.3.2   組的使用範圍 84
3.3.3    域組的建立與管理 85
3.3.4    AD DS內置的組 86
3.4    組的使用策略 88
3.4.1    A、G、DL、P策略 88
3.4.2    A、G、G、DL、P策略 89
3.4.3    A、G、U、DL、P策略 89
3.4.4    A、G、G、U、DL、P策略 90

第4章    利用組策略管理用戶工作環境 91
4.1    組策略概述 92
4.1.1    組策略的功能 92
4.1.2    組策略對象 93
4.1.3    策略設置與首選項設置 96
4.1.4    組策略的應用時機 96
4.2    策略設置實例演練 97
4.2.1    策略設置實例演練一：電腦配置 97
4.2.2    策略設置實例演練二：用戶配置 100
4.3    首選項設置實例演練 102
4.3.1    首選項設置實例演練一 102
4.3.2    首選項設置實例演練二 106
4.4    組策略的處理規則 109
4.4.1    通用的繼承與處理規則 109
4.4.2    例外的繼承設置 111
4.4.3    特殊的處理設置 113
4.4.4    更改管理GPO的域控制器 118
4.4.5    更改組策略的應用間隔時間 119
4.5    利用組策略來管理電腦與用戶環境 121
4.5.1    電腦配置的管理模板策略 121
4.5.2    用戶配置的管理模板策略 122
4.5.3    賬戶策略 123
4.5.4    用戶權限分配策略 127
4.5.5    安全選項策略 128
4.5.6    登錄/註銷、啟動/關機腳本 129
4.5.7    文件夾重定向 133
4.6    利用組策略限制訪問可移動存儲設備 139
4.7    WMI篩選器 141
4.8    組策略建模與組策略結果 146
4.9    組策略的委派管理 152
4.9.1    站點、域或組織單位的GPO連接委派 153
4.9.2    編輯GPO的委派 153
4.10    Starter GPO的設置與使用 155

第5章    利用組策略部署軟件 157
5.1    軟件部署概述 158
5.1.1    將軟件分配給用戶 158
5.1.2    將軟件分配給電腦 158
5.1.3    將軟件發布給用戶 158
5.1.4    自動修復軟件 159
5.1.5    刪除軟件 159
5.2    將軟件發布給用戶 159
5.2.1    發布軟件 159
5.2.2    客戶端安裝被發布的軟件 162
5.2.3    測試自動修復軟件的功能 163
5.2.4    取消已發布的軟件 164
5.3    將軟件分配給用戶或電腦 165
5.3.1    分配給用戶 165
5.3.2    分配給電腦 166
5.4    將軟件升級 167
5.5    部署Adobe Acrobat 170
5.5.1    部署基礎版 170
5.5.2    部署更新程序 172

第6章    限制軟件的運行 176
6.1    軟件限制策略概述 177
6.1.1    哈希規則 177
6.1.2    證書規則 177
6.1.3    路徑規則 178
6.1.4    網絡區域規則 178
6.1.5    規則的優先級 178
6.2    啟用軟件限制策略 179
6.2.1    建立哈希規則 180
6.2.2    建立路徑規則 182
6.2.3    建立證書規則 184
6.2.4    建立網絡區域規則 187
6.2.5    不要將軟件限制策略應用到本地管理員 188

第7章    建立域樹與域林 189
7.1    建立第一個域 190
7.2    建立子域 190
7.3    建立域林中的第二個域樹 197
7.3.1    選擇適當的DNS架構 198
7.3.2    建立第二個域樹 199
7.4    刪除子域與域樹 205
7.5    更改域控制器的電腦名 209

第8章    管理域與林信任 213
8.1    域與林信任概述 214
8.1.1    信任域與受信任域 214
8.1.2    跨域訪問資源的流程 214
8.1.3    信任的種類 217
8.1.4    建立信任前的註意事項 220
8.2    建立快捷方式信任 222
8.3    建立林信任 228
8.3.1    建立林信任前的註意事項 229
8.3.2    開始建立林信任 230
8.3.3    選擇性身份驗證設置 237
8.4    建立外部信任 239
8.5    信任的管理與刪除 241
8.5.1    信任的管理 241
8.5.2    信任的刪除 244

第9章    AD DS數據庫的復制 247
9.1    站點與AD DS數據庫的復制 248
9.1.1    同一個站點之間的復制 249
9.1.2    不同站點之間的復制 251
9.1.3    目錄分區與復制拓撲 251
9.1.4    復制通信協議 252
9.2    默認站點的管理 252
9.2.1    默認站點 252
9.2.2    Servers文件夾與復制設置 253
9.3    利用站點來管理AD DS復制 256
9.3.1    建立站點與子網 257
9.3.2    建立站點鏈接 260
9.3.3    將域控制器移動到所屬的站點 261
9.3.4    指定首選bridgehead服務器 263
9.3.5    站點鏈接與AD DS數據庫的復制設置 264
9.3.6    站點鏈接橋 266
9.3.7    站點連接網橋的兩個示例討論 268
9.4    管理全局編錄服務器 270
9.4.1    在全局編錄內添加屬性 270
9.4.2    全局編錄的功能 271
9.4.3    通用組成員緩存 273
9.5    解決AD DS復制沖突的問題 274
9.5.1    屬性標記 274
9.5.2    沖突的種類 275

第10章    操作主機的管理 279
10.1    操作主機概述 280
10.1.1    架構操作主機 280
10.1.2    域命名操作主機 280
10.1.3    RID操作主機 281
10.1.4    PDC模擬器操作主機 281
10.1.5    基礎結構操作主機 285
10.2    操作主機的放置優化 285
10.2.1    基礎結構操作主機的放置 285
10.2.2    PDC模擬器操作主機的放置 285
10.2.3    林級別操作主機的放置 286
10.2.4    域級別操作主機的放置 287
10.3    找出扮演操作主機角色的域控制器 287
10.3.1    利用管理控制台找出扮演操作主機的域控制器 287
10.3.2    利用命令找出扮演操作主機的域控制器 289
10.4    轉移操作主機角色 290
10.4.1    利用管理控制台 291
10.4.2    利用Windows PowerShell命令 293
10.5    奪取操作主機角色 294
10.5.1    操作主機停止工作所造成的影響 294
10.5.2    奪取操作主機角色實例演練 296

第11章    AD DS的維護 298
11.1    系統狀態概述 299
11.1.1    AD DS數據庫 299
11.1.2    SYSVOL文件夾 300
11.2    備份AD DS 300
11.2.1    安裝Windows Server Backup功能 300
11.2.2    備份系統狀態 301
11.3    恢復AD DS 304
11.3.1    進入目錄服務修復模式的方法 304
11.3.2    執行AD DS的非授權還原 305
11.3.3    針對被刪除的AD DS對象執行授權還原 310
11.4    AD DS數據庫的整理 313
11.4.1    可重新啟動的AD DS 313
11.4.2    整理AD DS數據庫 314
11.5    重置目錄服務修復模式的管理員密碼 317
11.6    更改可重新啟動的AD DS的登錄設置 317
11.7    Active Directory回收站 318

第12章    將資源發布到AD DS 322
12.1    將共享文件夾發布到AD DS 323
12.1.1    利用Active Directory用戶和電腦控制台 323
12.1.2    利用電腦管理控制台 325
12.2    查找AD DS內的資源 326
12.2.1    通過網絡 326
12.2.2    通過Active Directory用戶和電腦控制台 327
12.3    將共享打印機發布到AD DS 328
12.3.1    發布打印機 328
12.3.2    通過AD DS查找共享打印機 330
12.3.3    利用打印機位置來查找打印機 330

第13章    自動信任根CA 334
13.1    自動信任CA的設置準則 335
13.2    自動信任內部的獨立CA 335
13.2.1    下載獨立根CA的證書並保存 336
13.2.2    將CA證書導入到受信任的根證書頒發機構策略 337
13.3    自動信任外部的CA 340
13.3.1    下載獨立根CA的證書並保存 340
13.3.2    建立證書信任列表 342

第14章    利用WSUS部署更新程序 346
14.1    WSUS概述 347
14.2    WSUS的系統需求 347
14.3    WSUS的特性與工作方式 348
14.3.1    利用電腦組部署更新程序 348
14.3.2    WSUS服務器的架構 349
14.3.3    選擇數據庫與存儲更新程序的位置 350
14.3.4    延遲下載更新程序 351
14.3.5    使用“快速安裝文件” 351
14.4     安裝WSUS服務器 352
14.5    設置客戶端的自動更新 360
14.6    審批更新程序 363
14.6.1    建立新電腦組 364
14.6.2    審批更新程序的安裝 364
14.6.3    拒絕更新程序 367
14.6.4    自動審批更新程序 368
14.7    自動更新的組策略設置 369

第15章    AD RMS企業文件版權管理 374
15.1    AD RMS概述 375
15.1.1    AD RMS的需求 375
15.1.2    AD RMS如何工作 376
15.2    AD RMS實例演練 377

第16章    AD DS與防火牆 390
16.1    AD DS相關的埠 391
16.1.1    將客戶端電腦加入域、用戶登錄時用到的埠 391
16.1.2    電腦登錄時用到的埠 392
16.1.3    建立域信任時用到的埠 392
16.1.4    驗證域信任時用到的埠 392
16.1.5    訪問文件資源時用到的埠 392
16.1.6    執行DNS查詢時用到的埠 393
16.1.7    執行AD DS數據庫復制時用到的埠 393
16.1.8    文件復制服務（FRS）用到的埠 393
16.1.9    分佈式文件系統（DFS）用到的埠 394
16.1.10    其他可能需要開放的埠 394
16.2    限制動態RPC埠的使用範圍 394
16.2.1    限制所有服務的動態RPC埠範圍 395
16.2.2    限制AD DS數據庫復制使用指定的靜態埠 396
16.2.3    限制FRS使用指定的靜態埠 397
16.2.4    限制DFS使用指定的靜態埠 398
16.3    IPSec與VPN埠 399
16.3.1    IPSec使用的通信協議與埠 399
16.3.2    PPTP VPN使用的通信協議與埠 399
16.3.3    L2TP/IPSec使用的通信協議與埠 399