Windows Server 2012活動目錄管理實踐

Windows域的核心價值是身份驗證系統。域從出現(Windows NT)到現在(Windows Server 2012 AD DS域服務)已經經過了15年的時間，從初期單純的身份驗證功能到現在的企業管理中樞，域已經成為企業Windows Server網路系統的基礎架構平台，為IT人士提供了日益豐富的功能。

《Windows Server 2012活動目錄管理實踐》以Windows Server 2012 AD DS域服務為例，詳細講解了AD DS域服務的各個功能以及在管理中遇到的問題，為讀者拋磚引玉，方便讀者根據各自企業的實際情況更好地運營企業網路。

《Windows Server 2012活動目錄管理實踐》語言流暢、通俗易懂、深入淺出、可操作性強，注重讀者實戰能力的培養和技術水平的提高。《Windows Server 2012活動目錄管理實踐》適用於網路管理人員，以及對微軟基礎架構平台感興趣的計算機愛好者，並可作為大專院校計算機專業的教材或課後輔導資料。

第 1章　域概述　1

1.1　真實的案例　1

1.1.1　案例需求　1

1.1.2　IT技術部門　1

1.1.3　達到的效果　2

1.1.4　IT技術部門新措施　2

1.2　部署域的意義　2

1.2.1　網路管理中遇到的問題　2

1.2.2　部署域的價值　3

1.3　常用的計算機概念　3

1.3.1　獨立伺服器　3

1.3.2　成員伺服器　3

1.3.3　域控制器　3

1.3.4　客戶端計算機　4

1.4　常用域概念　4

1.4.1　DNS　4

1.4.2　工作組　5

1.4.3　域　5

1.4.4　根域　6

1.4.5　域樹　6

1.4.6　域林　7

1.4.7　如何區別域林和域樹　8

1.5　管理域控制器需要注意的問題　9

1.5.1　禁止在域控制器任意安裝軟體　9

1.5.2　禁止隨意添加/刪除域控制器　9

1.5.3　禁止FSMO角色的任意分配　9

1.5.4　謹慎備份域控制器　9

第 2章　部署第 一台域控制器　10

2.1　案例任務　10

2.1.1　案例任務　10

2.2.2　案例環境　10

2.2　部署網路第 一台域控制器　12

2.2.1　重命名計算機　12

2.2.2　更改網路參數　13

2.2.3　部署網路中第 一台域控制器　16

2.2.4　安裝過程中遇到的問題：“NetBIOS名稱”和域名不一致　26

2.3　驗證第 一台域控制器是否成功部署　27

2.3.1　驗證“AD DS域服務”　27

2.3.2　驗證“默認容器”　29

2.3.3　驗證“Domain Controllers”　29

2.3.4　驗證“Default-First-Site-Name”　31

2.3.5　驗證“Active Directory資料庫”和“日誌檔案”　31

2.3.6　驗證“計算機角色”　32

2.3.7　驗證系統共享卷“SYSVOL”和“NetLogon”服務　33

2.3.8　驗證“SRV記錄”　36

2.3.9　驗證FSMO操作主機角色　38

2.3.10　事件查看器　38

2.3.11　安裝日誌　39

2.4　計算機安裝“AD DS域服務”前後變化　40

2.4.1　伺服器管理器面板　41

2.4.2　登錄伺服器　42

2.4.3　Metro面板發生的變化　42

2.4.4　本地伺服器面板變化　44

2.4.5　默認組變化　45

2.4.6　用戶變化　46

2.5　常見問題　48

2.5.1　修改域控制器IP位址　48

2.5.2　重命名域控制器　52

第3章　部署額外域控制器及子域　56

3.1　案例任務　56

3.1.1　額外域控制器的作用　56

3.1.2　案例任務　56

3.1.3　案例環境　56

3.1.4　部署流程　57

3.2　部署網路中第 二台域控制器　58

3.2.1　“重命名計算機”需要注意的問題　58

3.2.2　“更改網路參數”需要注意的問題　58

3.2.3　獨立伺服器加入到域　59

3.2.4　提升為額外域控制器　62

3.3　驗證第 二台域控制器是否成功部署　71

3.3.1　驗證“計算機角色”　72

3.3.2　驗證“DNS”相關記錄　72

3.3.3　驗證“Active Directory站點和服務”　73

3.3.4　驗證網路中所有域控制器和GC　73

3.3.5　驗證FSMO操作主機角色　74

3.4　介質安裝第三台域控制器　74

3.4.1　第三台Windows Server 2012域控制器　74

3.4.2　第 一台域控制器生成安裝介質　75

3.4.3　傳遞安裝介質　76

3.4.4　通過介質安裝第三台域控制器　76

3.4.5　驗證第三台域控制器　77

3.5　部署子域　79

3.5.1　子域計算機配置　79

3.5.2　部署子域　80

3.5.3　驗證子域　86

3.5.4　驗證DNS　87

第4章　管理林和域功能級別　90

4.1　功能級別概述　90

4.1.1　功能級別在域中的作用　90

4.1.2　選擇合適的功能級別　91

4.1.3　功能級別的限制　91

4.1.4　注意事項　91

4.1.5　域功能級別支持的域控制器　92

4.1.6　林功能級別支持的域控制器　92

4.2　功能級別管理任務　92

4.2.1　查看域功能級別　93

4.2.2　查看林功能級別　94

4.2.3　提升域功能級別　96

4.2.4　提升林功能級別　98

4.2.5　功能級別降級　100

4.2.6　注意事項　101

第5章　管理全局編錄伺服器　102

5.1　全局編錄伺服器的作用　102

5.1.1　數據存儲　102

5.1.2　全局編錄伺服器的作用　103

5.1.3　全局編錄伺服器規劃原則　103

5.2　全局編錄伺服器日常管理　104

5.2.1　驗證域中全局編錄伺服器　104

5.2.2　域控制器提升為全局編錄伺服器　106

5.2.3　驗證DNS記錄　108

5.2.4　查詢服務連線埠　108

5.3　全局編錄伺服器管理實踐　109

5.3.1　自定義複製屬性　109

5.3.2　驗證唯讀屬性　111

5.3.3　全局編錄伺服器不可用　114

5.4　驗證父子域之間數據複製　115

5.4.1　林信息　115

5.4.2　ADSI編輯器　116

第6章　管理操作主機角色　120

6.1　FSMO簡介　120

6.1.1　類型　120

6.1.2　各個FSMO角色作用　121

6.1.3　套用環境　122

6.1.4　主域控制器　123

6.1.5　FSMO角色轉移　123

6.1.6　規劃FSMO角色　123

6.1.7　FSMO角色出現故障後帶來的影響　124

6.2　查看FSMO角色　124

6.2.1　圖形模式查看FSMO角色使用的控制台　124

6.2.2　圖形模式查看PDC、RID、IM主機角色　125

6.2.3　圖形模式查看Domain Naming Master主機角色　126

6.2.4　圖形模式查看Schema Master主機角色　126

6.2.5　命令行查看FSMO角色　127

6.2.6　DS命令組查看FSMO角色　128

6.2.7　PowerShell命令組查看FSMO角色　128

6.2.8　查看主域控制器　129

6.3　轉移FSMO角色　129

6.3.1　案例環境　129

6.3.2　注意事項　130

6.3.3　圖形模式轉移FSMO角色　130

6.3.4　Ntdsutil命令轉移FSMO角色　133

6.4　占用FSMO角色　134

6.4.1　注意事項　135

6.4.2　占用Schema Master角色　135

6.5　子域中的FSMO角色分布　136

6.5.1　林信息　137

6.5.2　父域　137

6.5.3　子域　137

第7章　管理組織單位　139

7.1　組織單位架構　139

7.1.1　默認域架構　139

7.1.2　默認組織單位位置　139

7.1.3　如何規劃組織單位架構　140

7.1.4　組織單位和組的區別　143

7.1.5　組織單位設計原則　143

7.2　組織單位管理任務　144

7.2.1　創建組織單位　144

7.2.2　啟用/禁用“防止容器被意外刪除”功能　145

7.2.3　移動組織單位　146

7.2.4　重命名組織單位　146

7.2.5　刪除組織單位　147

7.2.6　查找組織單位　148

7.3　組織單位委派控制　149

7.3.1　委派許可權　149

7.3.2　許可權測試　150

第8章　管理組　152

8.1　組基本知識　152

8.1.1　組的作用　152

8.1.2　組類型　153

8.1.3　組作用域　153

8.1.4　常用組　154

8.2　組日常管理　156

8.2.1　創建組　157

8.2.2　組成員添加　158

8.2.3　刪除組　159

8.2.4　重命名組　160

8.2.5　移動組　160

8.2.6　嵌套組　161

8.2.7　更改組作用域　162

8.2.8　確認組成員關係　163

8.3　組AGDLP套用　164

8.3.1　組套用原則　164

8.3.2　套用場景規劃　165

8.3.3　全局組操作　165

8.3.4　域本地組操作　165

8.3.5　檔案訪問授權　166

第9章　管理域計算機　167

9.1　計算機類型　167

9.1.1　計算機名稱命名方法　167

9.1.2　普通計算機　167

9.1.3　域內計算機　172

9.2　計算機名命名原則　175

9.2.1　命名原則　175

9.2.2　計算機名**性　176

9.2.3　NetBIOS名稱　178

9.2.4　加域後的計算機重命名　180

9.3　計算機加域/降域　182

9.3.1　客戶端加域過程　182

9.3.2　計算機賬戶生成模式　182

9.3.3　驗證客戶端與域控制器之間的連通性　183

9.3.4　線上加域方法之一　183

9.3.5　線上加域方法之二　184

9.3.6　離線加域　189

9.3.7　加域後計算機賬戶驗證　193

9.3.8　降域　193

9.4　計算機賬戶密碼　197

9.4.1　計算機賬戶密碼　197

9.4.2　計算機賬戶密碼有效時間　197

9.4.3　查看計算機賬戶密碼策略　198

9.4.4　修改計算機賬戶密碼策略的有效時間　199

9.5　授予加域許可權　200

9.5.1　加域環境　200

9.5.2　加域許可權　200

9.5.3　“將工作站添加到域”策略　200

9.5.4　“創建計算機對象”許可權　204

9.6　計算機賬戶基礎管理　206

9.6.1　創建計算機賬戶　206

9.6.2　禁用計算機賬戶　208

9.6.3　啟用計算機賬戶　209

9.6.4　刪除計算機賬戶　210

9.6.5　移動計算機賬戶　211

9.6.6　添加計算機賬戶到組　213

9.6.7　重置賬戶　214

9.6.8　用戶指定計算機登錄　215

9.7　計算機賬戶管理任務　216

9.7.1　委派用戶加域許可權　216

9.7.2　加域計算機重定向到目標組織單位　218

9.7.3　計算機改名前後加域可能出現的錯誤　221

9.7.4　禁止用戶退出域　224

9.7.5　清理長期不使用的計算機賬戶　225

9.7.6　查詢域中同一類型作業系統的數量　226

9.7.7　批量創建計算機賬戶　227

9.7.8　防止刪除計算機賬戶　228

9.7.9　常見錯誤之一：拒絕訪問　231

9.7.10　常見錯誤之二：找不到網路路徑　232

9.7.11　常見故障之三：不能連線域控制器　234

9.7.12　常見故障之四　235

第 10章　管理域用戶　236

10.1　用戶類型　236

10.1.1　什麼是用戶？　236

10.1.2　本地用戶賬戶　236

10.1.3　域用戶賬戶　243

10.1.4　用戶命名原則　248

10.1.5　用戶密碼　249

10.2　用戶登錄方式　250

10.2.1　UPN方式登錄　250

10.2.2　登錄名方式登錄　251

10.2.3　登錄名(Windows 2000以前版本)方式登錄　252

10.2.4　UPN登錄　252

10.3　常用用戶屬性　255

10.3.1　查看用戶屬性　255

10.3.2　DN和RDN　256

10.3.3　GUID　257

10.3.4　常用賬戶屬性　257

10.4　創建域用戶　259

10.4.1　用戶類型　259

10.4.2　默認用戶　259

10.4.3　創建單一普通域用戶　261

10.4.4　批量創建普通域用戶　263

10.4.5　批量導入用戶過程中出現的問題　269

10.4.6　創建域管理員　270

10.4.7　創建企業管理員　272

10.5　用戶配置檔案　274

10.5.1　用戶配置檔案　274

10.5.2　漫遊用戶配置檔案　276

10.5.3　用戶配置檔案驗證　278

10.5.4　用戶漫遊配置檔案注意事項　279

10.6　用戶基礎管理　280

10.6.1　“Active Directory用戶和計算機”管理選單　280

10.6.2　複製　280

10.6.3　添加到組　281

10.6.4　禁用賬戶　283

10.6.5　啟用賬戶　283

10.6.6　重置密碼　284

10.6.7　刪除用戶　285

10.6.8　重命名用戶　286

10.6.9　移動用戶　287

10.7　用戶管理實戰　287

10.7.1　查詢用戶　288

10.7.2　批量解鎖被鎖定的賬戶　288

10.7.3　統一更改默認本地管理員密碼　290

10.7.4　禁止刪除用戶　292

10.7.5　用戶登錄時只能登錄到域　293

10.7.6　恢復誤刪除的用戶　294

10.7.7　用戶在指定計算機登錄　298

10.7.8　限制用戶登錄時間　299

10.7.9　USMT遷移用戶配置檔案　301

10.7.10　清理長期沒有登錄的用戶　302

10.7.11　查詢用戶登錄時間　303

10.7.12　域快取登錄　304

10.7.13　查看域用戶密碼修改情況　306

10.7.14　審核域賬戶登錄　307

10.7.15　批量映射用戶主資料夾　308

10.7.16　批量添加域用戶屬性　309

10.7.17　拔掉網線才能登錄域　311

10.7.18　用戶登錄域速度異常　312

10.7.19　查看用戶在哪台計算機中登錄　313

10.7.20　提升域用戶運行特定軟體的許可權　314

10.7.21　檔案發布到用戶桌面　316

第 11章　管理站點　319

11.1　站點基本知識　319

11.1.1　名詞解釋　319

11.1.2　站點規劃原則　320

11.1.3　套用模式　321

11.2　單域多站點部署任務　321

11.2.1　地理分布　321

11.2.2　遇到的問題　322

11.2.3　站點的作用　322

11.2.4　案例任務　322

11.2.5　路由器規劃　323

11.2.6　域控制器規劃　327

11.2.7　站點規劃　329

11.3　部署單域多站點　329

11.3.1　單域多站點部署流程　329

11.3.2　創建新站點　330

11.3.3　創建站點子網　331

11.3.4　定位域控制器　334

11.3.5　創建站點連結　338

11.3.6　設定橋頭伺服器　341

11.3.7　創建站點連結橋　342

11.4　站點管理任務　344

11.4.1　查看站點　344

11.4.2　創建站點後域控制器自動添加到站點　346

11.4.3　提升用戶登錄速度　347

11.4.4　用戶指定域控制器登錄　349

第 12章　管理站點複製　352

12.1　複製概述　352

12.1.1　複製方式　352

12.1.2　複製協定　353

12.1.3　複製夥伴　354

12.1.4　分區同步　354

12.1.5　複製機制　355

12.1.6　複製拓撲　357

12.1.7　站點內複製　359

12.1.8　不同站點間複製　360

12.2　日常管理複製　360

12.2.1　站點常用查詢　361

12.2.2　調整複製時間　363

12.2.3　手動創建複製連結　364

12.2.4　站點連結開銷　366

12.2.5　配置橋頭伺服器　368

12.3　複製管理任務　370

12.3.1　監控域控制器的複製狀態　371

12.3.2　站點間複製出錯　372

12.3.3　禁用/啟用域控制器複製　374

12.3.4　站點間強制複製　375

12.3.5　禁止活動複製自動生成拓撲　376

第 13章　管理SYSVOL資料夾　378

13.1　SYSVOL資料夾簡介　378

13.1.1　SYSVOL資料夾的由來　378

13.1.2　驗證SYSVOL資料夾　379

13.1.3　SYSVOL日常管理　381

13.2　SYSVOL管理實踐　381

13.2.1　NETLOGON和SYSVOL共享丟失　382

13.2.2　移動SYSVOL資料夾　383

13.2.3　刪除SYSVOL資料夾　388

13.3　遷移Sysvol資料夾複製方式為DFS-R　394

13.3.1　複製機制　394

13.3.2　原域控制器　394

13.3.3　新域控制器　394

13.3.4　遷移服務　394

第 14章　Active Directory管理中心　398

14.1　“管理中心”概述　398

14.1.1　管理單元　398

14.1.2　啟動“Active Directory管理中心”　398

14.1.3 “概述”面板　399

14.1.4　Windows PowerShell歷史記錄　400

14.2　管理域對象　402

14.2.1　域管理界面　402

14.2.2　域管理功能　403

14.2.3　管理組織單位　408

14.2.4　管理用戶　410

14.2.5　管理計算機　416

14.2.6　管理組　419

第 15章　管理唯讀域控制器　423

15.1　唯讀域控制器基本知識　423

15.1.1　活動資料庫複製方向　423

15.1.2　密碼複製策略　424

15.1.3　RODC優點　425

15.1.4　RODC缺點　426

15.1.5　部署前提　426

15.2　部署RODC域控制器　426

15.2.1　部署流程　426

15.2.2　安裝過程　427

15.2.3　唯讀域控制器驗證　428

15.3　唯讀域控制器管理任務　432

15.3.1　密碼複製策略的位置　432

15.3.2　查看已經發布到RODC的用戶　433

15.3.3　查看已經通過RODC進行身份驗證的用戶　434

15.3.4　用戶發布到RODC　434

15.3.5　預設密碼　436

第 16章　升級域控制器　438

16.1　案例任務　438

16.1.1　案例任務　438

16.1.2　遷移過程　438

16.1.3　參與升級的伺服器　438

16.1.4　其他注意事項　439

16.2　拓展2003活動功能級別　439

16.2.1　2003域控制器配置　439

16.2.2　部署流程　442

16.2.3　提升2003活動域功能級別　442

16.2.4　提升2003活動林功能級別　443

16.3　提升2012伺服器為額外域控制器　445

16.3.1　提升過程中需要注意的問題　445

16.3.2　額外域控制器提升成功後驗證　446

16.3.3　額外域控制器占用FSMO角色　447

16.3.4　FSMO角色遷移後驗證　452

16.3.5　小結　453

16.4　2003域控制器降級　453

16.4.1　域控制器降級為成員伺服器　454

16.4.2　成員伺服器降級為獨立伺服器(俗稱脫域)　457

第 17章　管理活動資料庫　459

17.1　維護活動資料庫　459

17.1.1　活動資料庫檔案　459

17.1.2　停止AD DS域服務　460

17.1.3　重定向活動資料庫　461

17.1.4　離線整理活動資料庫　464

17.1.5　修復活動資料庫　465

17.1.6　重置服務還原模式管理員密碼　466

17.1.7　查找和清理重複的安全標識符　467

17.1.8　自動管理活動資料庫　467

17.1.9　清理域控制器源數據　468

17.2　備份活動資料庫　471

17.2.1　安裝Windows Server Backup組件　471

17.2.2　嚮導備份活動資料庫　471

17.2.3　命令行備份活動資料庫　481

17.3　恢復活動資料庫　483

17.3.1　域對象刪除　483

17.3.2　嚮導還原活動資料庫　484

17.3.3　命令行還原活動資料庫　490

17.4　通過備份還原域控制器　494

17.4.1　備份域控制器　494

17.4.2　還原域控制器　495

第 18章　ADCS證書服務　500

18.1　部署ADCS服務　500

18.1.1　根類型　500

18.1.2　安裝ADCS服務　500

18.1.3　配置ADCS服務　504

18.2　證書日常管理　510

18.2.1　“證書頒發機構”管理工具　510

18.2.2　“證書模板”管理工具　514

18.2.3　用戶手動申請證書　518

18.2.4　查看已經頒發的證書　521

18.2.5　續訂根證書　524

18.2.6　發布計算機證書自動申請策略　526

18.2.7　發布用戶證書自動申請策略　529

18.3　用戶訪問SSL站點可能遇到的問題　530

18.3.1　提示信息解析　531

18.3.2　第 一個提示：關於證書頒發機構　531

18.3.3　第 二個信息：關於日期時間　534

18.3.4　第三個提示：名稱無效　535

18.4　證書典型套用：SSL站點　536

18.4.1　基本信息　536

18.4.2　申請證書配置檔案　536

18.4.3　申請Web伺服器證書　538

18.4.4　Web伺服器配置證書　540

18.4.5　設定SSL站點　541

18.4.6　客戶端計算機訪問SSL站點　544

第 19章　認識組策略　548

19.1　必須了解的知識　548

19.1.1　組策略對象　548

19.1.2　本地組策略和域組策略　550

19.1.3　域組策略分類　551

19.1.4　組策略的套用時間　551

19.1.5　組策略處理規則　551

19.1.6　強制繼承　553

19.1.7　組策略更新　553

19.1.8　更改管理用的域控制器　555

19.1.9　更改組策略的套用時間　556

19.1.10　**項　558

19.2　組策略日常管理　558

19.2.1　打開GPMC控制台　558

19.2.2　查看組策略對象屬性信息　558

19.2.3　創建組策略對象　562

19.2.4　刪除組策略對象　564

19.2.5　更改組策略對象的狀態　564

19.2.6　編輯組策略對象　565

19.2.7　組策略對象備份　565

19.2.8　管理備份　567

19.2.9　複製GPO　569

第 20章　組策略套用——**項設定　571

20.1　**項分類　571

20.1.1　計算機配置　571

20.1.2　用戶配置　572

20.2　批量部署映射磁碟　573

20.2.1　映射驅動器的方法　573

20.2.2　部署“**項”——映射驅動器　574

20.2.3　策略測試　578

20.3　登錄用戶添加到本地管理員組　579

20.3.1　部署“**項”　580

20.3.2　策略測試　581

20.4　Internet Explorer瀏覽器設定　582

20.4.1　Internet Explorer設定　582

20.4.2　部署“**項”　583

20.4.3　策略測試　585

第 21章　組策略套用——保護IE瀏覽器　586

21.1　基本安全性保護措施　586

21.1.1　網路環境　586

21.1.2　域中採取的措施　586

21.2　保護瀏覽器　586

21.2.1　安全級別　587

21.2.2　許可權分析　587

21.2.3　許可權繼承　588

21.2.4　設定安全級別　589

21.2.5　部署用戶限制策略　591

21.3　保護IE存儲區域　593

21.3.1　網頁存儲訪問保護機制　593

21.3.2　限制存儲區域中應用程式運行　594

21.4　**佳實踐　595

第 22章　組策略套用——安裝軟體　596

22.1　組策略安裝軟體　596

22.1.1　環境準備　596

22.1.2　WMI篩選器　597

22.1.3　應用程式“已發布”給用戶　601

22.1.4　應用程式“已分配”給用戶　604

22.1.5　應用程式“已分配”給計算機　605

22.1.6　應用程式修復功能測試　606

22.1.7　刪除部署的程式包　608

22.1.8　升級應用程式　608

22.2　部署Microsoft Office 2013　611

22.2.1　準備Office 2013安裝程式　611

22.2.2　下載Office Customization Tool(OCT)模板　611

22.2.3　自定義Office 2013安裝環境　613

22.2.4　安裝Office 2013　618

第 23章　組策略套用——高效溝通　620

23.1　Bginfo設定　620

23.1.1　下載　620

23.1.2　本例中Bginfo完成的功能　620

23.1.3　參數設定　621

23.2　部署策略　624

23.2.1　部署已分享檔案夾　624

23.2.2　部署組策略　625

23.2.3　策略運行效果　626

第 24章　組策略套用——資料夾重定向　627

24.1　資料夾重定向支持的資料夾　627

24.1.1　重定向資料夾部署建議　627

24.1.2　支持的重定向資料夾　627

24.1.3　策略部署前“文檔”位置　628

24.2　部署“資料夾重定向”策略　628

24.2.1　部署重定向策略　628

24.2.2　驗證策略　630

第 25章　組策略套用——限制計算機接入　631

25.1　套用環境以及解決方法　631

25.1.1　套用網路環境　631

25.1.2　解決思路　631

25.2　管理策略　632

25.2.1　默認用戶類　632

25.2.2　重新配置DHCP伺服器　633

25.2.3　客戶端計算機驗證　636

25.2.4　建議　638

第 26章　組策略套用——Windows時間服務　639

26.1　域內時間　639

26.1.1　域內時間源　639

26.1.2　同步機制　640

26.1.3　時間同步方式　640

26.1.4　w32tm命令日常用法　641

26.2　時間自動同步　643

26.2.1　確認時間源伺服器　643

26.2.2　同步域內時間方法一：net time　643

26.2.3　同步域內時間方法二：PDC主機作為時間源　644

26.3　常見問題　650

26.3.1　客戶端計算機Windows時間服務有問題　650

26.3.2　默認時間差值　650

26.3.3　啟動“Windows Time服務”並設定為“自動”啟動　651

26.3.4　統一時區　651

26.3.5　禁止用戶修改“日期和時間”　652

第 27章　一組常用組策略與排錯　654

27.1　限制“本地管理員”組成員　654

27.1.1　“Administrators”組已有成員　654

27.1.2　部署“受限制的組”策略　654

27.1.3　客戶端計算機策略測試　657

27.1.4　刪除策略　657

27.2　部署密碼策略　658

27.2.1　默認密碼策略　658

27.2.2　查看默認域密碼策略　658

27.2.3　部署簡單密碼策略　659

27.2.4　用戶密碼設定測試　661

27.3　部署Internet Explorer訪問主頁　662

27.3.1　部署策略　662

27.3.2　策略測試　663

27.4　開機運行指定的應用程式　664

27.4.1　部署開機策略　664

27.4.2　策略測試　665

27.5　統一桌面背景　666

27.5.1　部署桌面背景策略　666

27.5.2　策略測試　668

27.6　啟用密碼螢幕保護　668

27.6.1　部署屏保密碼策略　668

27.6.2　策略測試　671

27.7　禁止修改網路連線參數　672

27.7.1　用戶更改網路參數　672

27.7.2　部署禁止修改網路參數策略　673

27.7.3　策略測試　675

27.8　組策略排錯　676

27.8.1　對默認策略的處理　676

27.8.2　組策略的目標是誰　676

27.8.3　客戶端計算機是否套用策略　677

27.8.4　確認客戶端計算機基礎環境是否正常　677

27.8.5　確認檔案複製服務是否啟動　677

27.8.6　記錄配置　677

27.9　組策略排錯使用的工具　678

27.9.1　DcDiag　678

27.9.2　GPResult　680

27.9.3　Dcgpofix　681

27.9.4　Repadmin　681

27.9.5　Gpupdate　681

第 28章　活動集成區域DNS服務　682

28.1　DNS需要了解的知識　682

28.1.1　域中的計算機定位　682

28.1.2　DNS和Active Directory的結合　682

28.1.3　DNS伺服器區域類型　683

28.1.4　DNS常用資源記錄　684

28.1.5　nslookup 驗證加入域所需的SRV記錄　686

28.1.6　動態更新　686

28.2　部署活動集成DNS服務　688

28.2.1　自動配置Active Directory集成區域DNS服務　688

28.2.2　安裝結果　689

28.2.3　_msdcs子域　689

28.2.4　域(本例中book.com)　694

28.2.5　查看域屬性　699

28.2.6　DNS驗證　703

28.3　DNS客戶端　704

28.3.1　加域前提條件　704

28.3.2　DNS客戶端快取　704

28.3.3　DNS記錄中存在舊的A記錄，導致DNS解析不正確　705

28.3.4　誤刪_msdcs.子域　706