AD 域
AD 域
安装域服务
安装
AD,DNS,DHCP服务的前提条件是有一个固定的IP 地址
最好也将计算机改成一个容易记住的名字
服务器管理器 --> 添加角色或功能 --> 基于角色或基于功能的安装 --> 从服务器池中选择服务器 --> Active Directory 域服务 --> 如果需要,自动重启目标服务器 --> 安装
添加新林
林,是指森林模型,即树状结构。这里的操作一般都会有几分钟的等待时间
- 服务器管理器 --> 部署后配置 --> 将此服务器提升为域控制器
- 添加新林 -->
12tall.com - 输入目录服务还原模式(DSRM) 密码
- 创建DNS 委派 --> 更改 --> 填入当前计算机的管理员账号密码
- NetBIOS 名称保持默认(12TALL) 即可
- 保持缺省值安装(此过程会持续20min)
- 添加完可能会提示
无法创建dns 委派的警告,其实对使用来说是没有影响的
添加组织和用户
- 开始 --> 管理工具 --> Active Directory 用户计算机
- 找到域名
12tall.com - 右键 --> 新建,即可
- 新建时可选:防止被意外删除
- 查看 --> 高级,属性 --> 对象。可以关闭防止被意外删除
普通计算机加域
加域前需将DNS 设置为能解析
12tall.com的IP 地址,一般来说,直接设置为域服务器IP 就好了
DNS 服务器的设置,参见上一篇:DNS 服务器
- 右击
计算机--> 属性 --> 更改设置 --> 更改… - 修改一个容易记的计算机名,填入域名
12tall.com - 在弹出框中输入账号密码
- 成功后会弹出提示
欢迎加入 12tall.com 域。
域策略配置
计算机策略: 设置到本地计算机,对所有用户生效
用户策略: 一些用户的个性化操作
一般将更改应用到计算机策略就行了
一般域策略更新后会在用户下一次登录时生效。也可以设置自动刷新时间:
- 开始 --> Windows 管理工具 --> 组策略管理
- 右击
Default Domain Policy--> 编辑 - 计算机配置 --> 策略 --> 管理模板 --> 系统 --> 组策略 --> 设置域控制器组策略刷新间隔
- 缺省刷新时间:5min
登录失败次数限制
- 开始 --> Windows 管理工具 --> 组策略管理
- 右击
Default Domain Policy--> 编辑 - 计算机配置 --> 策略 --> Windows 设置 --> 安全设置 --> 账户策略 --> 账户锁定策略
- 账户锁定阈值: 3;账户锁定时间:30min;重置账户锁定计数器:30min
网络驱动器映射
网络驱动器映射在用户策略中配置。最好在域中新建一个组织单位的同时,也新建一个用户组。
- 用户组用以分配权限
- 组织单位用以分配可见性
保证文件夹存在
文件夹属性 --> 共享 --> 高级共享 可设置访问权限
这里必须要用到组而不是组织单位
- 开始 --> Windows 管理工具 --> 组策略管理
- 右击
Default Domain Policy--> 编辑 - 用户配置 --> 首选项 --> Windows 设置 --> 驱动器映射 --> 新建 --> 映射驱动器
- 位置,填写:
\\hostname\dir,并指定盘符 - 五分钟后,用户再次登录就可以看到该驱动器了
- 配置可见性:
需要用到组织单位 指定项目级别,连接所有要应用的OU
常用 --> 项目级别目标 --> 目标 --> 新建项目 --> 组织单位
填入筛选条件:OU=研发部,DC=12tall,DC=com。并选择OU 中的用户
命令行工具
输入指令,可以在命令行中获取相应的用法,例如:
C:\Users\Administrator>dsquery user /?
描述: 根据给定标准查找目录中的用户。
语法: dsquery user [{<StartNode> | forestroot | domainroot}]
[-o {dn | rdn | upn | samid}]
[-scope {subtree | onelevel | base}]
[-name <Name>] [-namep <Phonetic Name>]
[-desc <Description>] [-upn <UPN>]
[-samid <SAMName>] [-inactive <NumWeeks>] [-stalepwd <NumDays>]
[-disabled] [{-s <Server> | -d <Domain>}] [-u <UserName>]
[-p {<Password> | *}] [-q] [-gc] [-limit <NumObjects>]
[{-uc | -uco | -uci}]
参数:
值 描述
{<StartNode> | forestroot | domainroot}
该搜索从此开始的节点:
林根、域根或其 DN 为
<StartNode> 的一个节点。
可以是 "forestroot"、"domainroot" 或
对象 DN。如果指定了 "forestroot",
则会通过全局编录进行搜索。
默认: domainroot。
-o {dn | rdn | upn | samid}
指定输出格式。
默认: 可分辨名称(DN)。
-scope {subtree | onelevel | base}
指定搜索范围:
根目录位于开始节点的子树(subtree);
只搜索开始节点的直属子节点(onelevel);
由开始节点代表的基对象(base)。
注意: 除非开始节点代表一个域根,
否则,子树和域范围对任何开始节点
实质上是一样的。
如果林根被指定为 <StartNode>,
则子树是唯一有效的范围。
默认: subtree。
-name <Name> 查找其名称与筛选器的给定 <Name>
(如 "jon*"、"*ith" 或 "j*th")
匹配的用户。
-namep <Phonetic Name> 查找其拼音显示名称为 <Phonetic Name>
(如 "╜╜▐╖"、"▓┴█" 或 "▓*╖")的
用户。
-desc <Description> 查找其描述与筛选器的给定 <Description>
(如 "jon*"、"*ith" 或 "j*th")
匹配的用户。
-upn <UPN> 查找其 UPN 与筛选器的给定 <UPN>
匹配的用户。
-samid <SAMName> 查找其 SAM 帐户名与筛选器的给定
<SAMName> 匹配的用户。
-inactive <NumWeeks> 查找至少 <NumWeeks> 个星期
处于非活动状态(没有登录)
的用户。
-stalepwd <NumDays> 查找至少 <NumDays> 天没有
更改密码的用户。
-disabled 查找帐户被禁用的用户。
{-s <Server> | -d <Domain>}
-s <Server> 用名称 <Server> 连接到 AD DC/LDS
实例。
-d <Domain> 连接到域 <Domain> 中的 AD DC。
默认: 登录域中的 AD DC。
-u <UserName> 以 <UserName> 身份连接。默认: 登录的用户。
用户名可以采用: 用户名、
域\用户名或用户主体名称(UPN)。
-p <Password> 用户 <UserName> 的密码。
如果指定了 *,
则会提示你输入密码。
-q 安静模式: 将所有输出抑制为标准
输出。
-gc 在 Active Directory 域服务
全局编录中查询。
-limit <NumObjects> 指定与给定条件匹配的要返回对象
的数量,其中 <NumObjects>
是要返回对象的数量。
如果 <NumObjects> 的值是 0,
则返回所有匹配的对象。如果没有
指定这个参数,则默认显示前 100 个
结果。
{-uc | -uco | -uci} -uc 指定来自管道的输入或至管道的输出
用 Unicode 格式。
-uco 指定至管道或文件的输出
用 Unicode 格式。
-uci 指定来管道或文件的输入
用 Unicode 格式。
备注:
dsquery 命令帮助你在目录中查找与指定搜索条件匹配的对象:
dsquery 的输入是一个搜索条件,其输出是与该搜索匹配的对象列表。
若要获得特定对象的属性,请使用 dsget 命令(dsget /?)。
如果你提供的值包含空格,请在文本两边使用引号
(例如,"CN=John Smith,CN=Users,DC=microsoft,DC=com")。
如果你输入了多个值,这些值必须用空格隔开
(例如,一系列可分辨名称)。
示例:
在给定组织单位(OU)中查找名称以 "jon" 开始并且帐户被禁止登录的所有用户,
并显示他们的用户主体名称(UPN):
dsquery user ou=Test,dc=microsoft,dc=com -o upn -name jon* -disabled
只在当前域中查找名称以 "smith" 结束并且至少已有三个星期处于非活动状态
的所有用户,并显示他们的 DN:
dsquery user domainroot -name *smith -inactive 3
在给定组织单位中查找 ou=sales,dc=microsoft,dc=com 的所有用户
并显示他们的 UPN:
dsquery user ou=sales,dc=microsoft,dc=com -o upn
另请参阅:
dsquery computer /? - 在目录中查找计算机的帮助。
dsquery contact /? - 在目录中查找联系人的帮助。
dsquery subnet /? - 在目录中查找子网的帮助。
dsquery group /? - 在目录中查找组的帮助。
dsquery ou /? - 在目录中查找组织单位的帮助。
dsquery site /? - 在目录中查找站点的帮助。
dsquery server /? - 在目录中查找 AD DC/LDS 实例的帮助。
dsquery user /? - 在目录中查找用户的帮助。
dsquery quota /? - 在目录中查找配额的帮助。
dsquery partition /? - 在目录中查找分区的帮助。
dsquery * /? - 使用通用 LDAP 查询在目录中查找
任何对象的帮助。
目录服务命令行工具帮助:
dsadd /? - 添加对象的帮助。
dsget /? - 显示对象的帮助。
dsmod /? - 修改对象的帮助。
dsmove /? - 移动对象的帮助。
dsquery /? - 查找与搜索条件匹配的对象的帮助。
dsrm /? - 删除对象的帮助。查找与搜索标准匹配对象
命令:dsquery /?
# security accounts manager id
dsquery user -samid user01修改对象
命令:dsmod /?
# 修改密码
dsmod user {DN} -pwd password
# 根据samid 修改密码
dsquery user -samid user01 | dsmod user -pwd password # | 管道运算符,将上一步的结果传递给下一步以下命令现用现查吧
添加对象
命令:dsadd /?
显示对象
命令:dsget /?
移动对象
命令:dsmove /?
删除对象
命令:dsrm /?