Windows Server 2019 Active Directory配置指南

本書由微軟技術專家戴有煒先生傾力編著，是他**推出的Windows Server 2019兩卷力作中的Active Directory配置指南篇。本書延續了作者的一貫寫作風格：大量的實例演示兼具理論，以及完整清晰的操作過程，以簡潔易懂的文字進行描述，內容豐富，圖文並茂。本書共分16章，內容包括Active Directory域服務、建立AD DS域、域用戶與組賬戶的管理、利用組策略管理用戶工作環境、利用組策略部署軟體、限制軟體的運行、建立域樹和域林、管理域和林信任、AD DS資料庫的複製、操作主機的管理、AD DS的維護、將資源發布到AD DS、自動信任根CA、利用WSUS部署更新程式、AD RMS企業檔案著作權管理以及AD DS與防火牆。

第1章 Active Directory域服務（AD DS） 1

1.1 Active Directory域服務概述 2

1.1.1 Active Directory域服務的適用範圍 2

1.1.2 名稱空間 2

1.1.3 對象與屬性 3

1.1.4 容器與組織單位 3

1.1.5 域樹 4

1.1.6 信任 5

1.1.7 林 6

1.1.8 架構 6

1.1.9 域控制器 7

1.1.10 唯讀域控制器 7

1.1.11 可重啟的AD DS 9

1.1.12 Active Directory資源回收筒 9

1.1.13 AD DS的複製模式 10

1.1.14 域中的其他成員計算機 10

1.1.15 DNS伺服器 11

1.1.16 輕型目錄訪問協定 11

1.1.17 全局編錄 12

1.1.18 站點 13

1.1.19 目錄分區 14

1.2 域功能級別與林功能級別 14

1.2.1 域功能級別 14

1.2.2 林功能級別 15

1.3 Active Directory輕型目錄服務 15

第2章 建立AD DS域 17

2.1 建立AD DS域前的準備工作 18

2.1.1 選擇適當的DNS域名 18

2.1.2 準備好一台支持AD DS的DNS伺服器 18

2.1.3 選擇AD DS資料庫的存儲位置 20

2.2 建立AD DS域 21

2.3 確認AD DS域是否正常 26

2.3.1 檢查DNS伺服器內的記錄是否完備 26

2.3.2 排除註冊失敗的問題 29

2.3.3 檢查AD DS資料庫檔案與SYSVOL資料夾 30

2.3.4 新增的管理工具 32

2.3.5 查看事件日誌檔案 32

2.4 提升域與林功能級別 33

2.5 新建額外域控制器與RODC 34

2.5.1 安裝額外域控制器 34

2.5.2 利用“安裝媒體”安裝額外域控制器 38

2.5.3 更改RODC的委派與密碼複製策略設定 40

2.6 RODC階段式安裝 41

2.6.1 建立RODC賬戶 42

2.6.2 將伺服器附加到RODC賬戶 46

2.7 將Windows計算機加入或脫離域 48

2.7.1 將Windows計算機加入域 48

2.7.2 利用已加入域的計算機登錄 51

2.7.3 脫機加入域 53

2.7.4 脫離域 54

2.8 在域成員計算機內安裝AD DS管理工具 55

2.9 刪除域控制器與域 57

第3章 域用戶與組賬戶的管理 63

3.1 管理域用戶賬戶 64

3.1.1 建立組織單位與域用戶賬戶 65

3.1.2 用戶登錄賬戶 66

3.1.3 建立UPN後綴 68

3.1.4 賬戶的常規管理工作 69

3.1.5 域用戶賬戶的屬性設定 70

3.1.6 搜尋用戶賬戶 72

3.1.7 域控制器之間數據的複製 77

3.2 一次同時添加多個用戶賬戶 79

3.2.1 利用csvde.exe新建用戶賬戶 79

3.2.2 利用ldifde.exe新建、修改與刪除用戶賬戶 81

3.2.3 利用dsadd.exe等程式添加、修改與刪除用戶賬戶 82

3.3 域組賬戶 83

3.3.1 域內的組的類型 84

3.3.2 組的使用範圍 84

3.3.3 域組的建立與管理 85

3.3.4 AD DS內置的組 86

3.4 組的使用策略 88

3.4.1 A、G、DL、P策略 88

3.4.2 A、G、G、DL、P策略 89

3.4.3 A、G、U、DL、P策略 89

3.4.4 A、G、G、U、DL、P策略 90

第4章 利用組策略管理用戶工作環境 91

4.1 組策略概述 92

4.1.1 組策略的功能 92

4.1.2 組策略對象 93

4.1.3 策略設定與首選項設定 96

4.1.4 組策略的套用時機 96

4.2 策略設定實例演練 97

4.2.1 策略設定實例演練一：計算機配置 97

4.2.2 策略設定實例演練二：用戶配置 100

4.3 首選項設定實例演練 102

4.3.1 首選項設定實例演練一 102

4.3.2 首選項設定實例演練二 106

4.4 組策略的處理規則 109

4.4.1 通用的繼承與處理規則 109

4.4.2 例外的繼承設定 111

4.4.3 特殊的處理設定 113

4.4.4 更改管理GPO的域控制器 118

4.4.5 更改組策略的套用間隔時間 119

4.5 利用組策略來管理計算機與用戶環境 121

4.5.1 計算機配置的管理模板策略 121

4.5.2 用戶配置的管理模板策略 122

4.5.3 賬戶策略 123

4.5.4 用戶許可權分配策略 127

4.5.5 安全選項策略 128

4.5.6 登錄/註銷、啟動/關機腳本 129

4.5.7 資料夾重定向 133

4.6 利用組策略限制訪問可移動存儲設備 139

4.7 WMI篩選器 141

4.8 組策略建模與組策略結果 146

4.9 組策略的委派管理 152

4.9.1 站點、域或組織單位的GPO連線委派 153

4.9.2 編輯GPO的委派 153

4.10 Starter GPO的設定與使用 155

第5章 利用組策略部署軟體 157

5.1 軟體部署概述 158

5.1.1 將軟體分配給用戶 158

5.1.2 將軟體分配給計算機 158

5.1.3 將軟體發布給用戶 158

5.1.4 自動修復軟體 159

5.1.5 刪除軟體 159

5.2 將軟體發布給用戶 159

5.2.1 發布軟體 159

5.2.2 客戶端安裝被發布的軟體 162

5.2.3 測試自動修復軟體的功能 163

5.2.4 取消已發布的軟體 164

5.3 將軟體分配給用戶或計算機 165

5.3.1 分配給用戶 165

5.3.2 分配給計算機 166

5.4 將軟體升級 167

5.5 部署Adobe Acrobat 170

5.5.1 部署基礎版 170

5.5.2 部署更新程式 172

第6章 限制軟體的運行 176

6.1 軟體限制策略概述 177

6.1.1 哈希規則 177

6.1.2 證書規則 177

6.1.3 路徑規則 178

6.1.4 網路區域規則 178

6.1.5 規則的優先權 178

6.2 啟用軟體限制策略 179

6.2.1 建立哈希規則 180

6.2.2 建立路徑規則 182

6.2.3 建立證書規則 184

6.2.4 建立網路區域規則 187

6.2.5 不要將軟體限制策略套用到本地管理員 188

第7章 建立域樹與域林 189

7.1 建立第一個域 190

7.2 建立子域 190

7.3 建立域林中的第二個域樹 197

7.3.1 選擇適當的DNS架構 198

7.3.2 建立第二個域樹 199

7.4 刪除子域與域樹 205

7.5 更改域控制器的計算機名 209

第8章 管理域與林信任 213

8.1 域與林信任概述 214

8.1.1 信任域與受信任域 214

8.1.2 跨域訪問資源的流程 214

8.1.3 信任的種類 217

8.1.4 建立信任前的注意事項 220

8.2 建立捷徑信任 222

8.3 建立林信任 228

8.3.1 建立林信任前的注意事項 229

8.3.2 開始建立林信任 230

8.3.3 選擇性身份驗證設定 237

8.4 建立外部信任 239

8.5 信任的管理與刪除 241

8.5.1 信任的管理 241

8.5.2 信任的刪除 244

第9章 AD DS資料庫的複製 247

9.1 站點與AD DS資料庫的複製 248

9.1.1 同一個站點之間的複製 249

9.1.2 不同站點之間的複製 251

9.1.3 目錄分區與複製拓撲 251

9.1.4 複製通信協定 252

9.2 默認站點的管理 252

9.2.1 默認站點 252

9.2.2 Servers資料夾與複製設定 253

9.3 利用站點來管理AD DS複製 256

9.3.1 建立站點與子網 257

9.3.2 建立站點連結 260

9.3.3 將域控制器移動到所屬的站點 261

9.3.4 指定首選bridgehead伺服器 263

9.3.5 站點連結與AD DS資料庫的複製設定 264

9.3.6 站點連結橋 266

9.3.7 站點連線網橋的兩個示例討論 268

9.4 管理全局編錄伺服器 270

9.4.1 在全局編錄內添加屬性 270

9.4.2 全局編錄的功能 271

9.4.3 通用組成員快取 273

9.5 解決AD DS複製衝突的問題 274

9.5.1 屬性標記 274

9.5.2 衝突的種類 275

第10章 操作主機的管理 279

10.1 操作主機概述 280

10.1.1 架構操作主機 280

10.1.2 域命名操作主機 280

10.1.3 RID操作主機 281

10.1.4 PDC模擬器操作主機 281

10.1.5 基礎結構操作主機 285

10.2 操作主機的放置最佳化 285

10.2.1 基礎結構操作主機的放置 285

10.2.2 PDC模擬器操作主機的放置 285

10.2.3 林級別操作主機的放置 286

10.2.4 域級別操作主機的放置 287

10.3 找出扮演操作主機角色的域控制器 287

10.3.1 利用管理控制台找出扮演操作主機的域控制器 287

10.3.2 利用命令找出扮演操作主機的域控制器 289

10.4 轉移操作主機角色 290

10.4.1 利用管理控制台 291

10.4.2 利用Windows PowerShell命令 293

10.5 奪取操作主機角色 294

10.5.1 操作主機停止工作所造成的影響 294

10.5.2 奪取操作主機角色實例演練 296

第11章 AD DS的維護 298

11.1 系統狀態概述 299

11.1.1 AD DS資料庫 299

11.1.2 SYSVOL資料夾 300

11.2 備份AD DS 300

11.2.1 安裝Windows Server Backup功能 300

11.2.2 備份系統狀態 301

11.3 恢復AD DS 304

11.3.1 進入目錄服務修復模式的方法 304

11.3.2 執行AD DS的非授權還原 305

11.3.3 針對被刪除的AD DS對象執行授權還原 310

11.4 AD DS資料庫的整理 313

11.4.1 可重新啟動的AD DS 313

11.4.2 整理AD DS資料庫 314

11.5 重置目錄服務修復模式的管理員密碼 317

11.6 更改可重新啟動的AD DS的登錄設定 317

11.7 Active Directory資源回收筒 318

第12章 將資源發布到AD DS 322

12.1 將已分享檔案夾發布到AD DS 323

12.1.1 利用Active Directory用戶和計算機控制台 323

12.1.2 利用計算機管理控制台 325

12.2 查找AD DS內的資源 326

12.2.1 通過網路 326

12.2.2 通過Active Directory用戶和計算機控制台 327

12.3 將共享印表機發布到AD DS 328

12.3.1 發布印表機 328

12.3.2 通過AD DS查找共享印表機 330

12.3.3 利用印表機位置來查找印表機 330

第13章 自動信任根CA 334

13.1 自動信任CA的設定準則 335

13.2 自動信任內部的獨立CA 335

13.2.1 下載獨立根CA的證書並保存 336

13.2.2 將CA證書導入到受信任的根證書頒發機構策略 337

13.3 自動信任外部的CA 340

13.3.1 下載獨立根CA的證書並保存 340

13.3.2 建立證書信任列表 342

第14章 利用WSUS部署更新程式 346

14.1 WSUS概述 347

14.2 WSUS的系統需求 347

14.3 WSUS的特性與工作方式 348

14.3.1 利用計算機組部署更新程式 348

14.3.2 WSUS伺服器的架構 349

14.3.3 選擇資料庫與存儲更新程式的位置 350

14.3.4 延遲下載更新程式 351

14.3.5 使用“快速安裝檔案” 351

14.4安裝WSUS伺服器 352

14.5 設定客戶端的自動更新 360

14.6 審批更新程式 363

14.6.1 建立新計算機組 364

14.6.2 審批更新程式的安裝 364

14.6.3 拒絕更新程式 367

14.6.4 自動審批更新程式 368

14.7 自動更新的組策略設定 369

第15章 AD RMS企業檔案著作權管理 374

15.1 AD RMS概述 375

15.1.1 AD RMS的需求 375

15.1.2 AD RMS如何工作 376

15.2 AD RMS實例演練 377

第16章 AD DS與防火牆 390

16.1 AD DS相關的連線埠 391

16.1.1 將客戶端計算機加入域、用戶登錄時用到的連線埠 391

16.1.2 計算機登錄時用到的連線埠 392

16.1.3 建立域信任時用到的連線埠 392

16.1.4 驗證域信任時用到的連線埠 392

16.1.5 訪問檔案資源時用到的連線埠 392

16.1.6 執行DNS查詢時用到的連線埠 393

16.1.7 執行AD DS資料庫複製時用到的連線埠 393

16.1.8 檔案複製服務（FRS）用到的連線埠 393

16.1.9 分散式檔案系統（DFS）用到的連線埠 394

16.1.10 其他可能需要開放的連線埠 394

16.2 限制動態RPC連線埠的使用範圍 394

16.2.1 限制所有服務的動態RPC連線埠範圍 395

16.2.2 限制AD DS資料庫複製使用指定的靜態連線埠 396

16.2.3 限制FRS使用指定的靜態連線埠 397

16.2.4 限制DFS使用指定的靜態連線埠 398

16.3 IPSec與VPN連線埠 399

16.3.1 IPSec使用的通信協定與連線埠 399

16.3.2 PPTP VPN使用的通信協定與連線埠 399

16.3.3 L2TP/IPSec使用的通信協定與連線埠 399