活动目录

dahege 2020-02-21

ADDS是微软域基础架构平台,实质上仍然是身份验证系统。
部署域环境简单,难的是管理依赖于域的应用。
域的规划存在多样性,可以根据公司的架构,管理理念选择适合自身的域架构。
微软建议使用单域多站点模式,可以适应大部分企业需求。
域只是一个平台,更重要的是前期规划要方便后期应用,能够支撑更多的服务。
如没有特殊需求,域规划越简单越好,能用单域多站点解决的应用尽量不要使用父子域,能用父子域解决的应用尽量不使用单林多域环境。
部署域的价值:统一用户身份标识,提升企业形象。通过域环境单点登录,降低运维成本。更清晰的组织架构和权限管理。与其他系统做集成。组策略管理。权限委派等。
独立服务器 成员服务器 域控制器(只读域控制器,额外域控制器,域控制器)
如果网络中安装的是第一台域控制器,那么该服务器默认就是林根服务器,也是根域服务器,FSMO操作主机角色默认也是安装到第一台域控制器。
额外域控制器和域控制器之间的平行关系,他们之间的区别在于是否存在FSMO角色。
ADDS服务和普通服务是一样的,在“服务”控制台,可以完成“启动 停止,暂停”操作。
域控制器会被添加到“domain controllers”组织单元中。
域环境中,DNS是基石,网络中的计算机通过DNS定位域控制器。
域 域树 域林 根域
DNS可以解析主机名称和IP地址
域控制器需要将自己注册到DNS服务器中。
建议将DNS 和ADDS服务部署在同一台服务器中。
域是一个有安全边界的集合,同一个域中的计算机彼此之间建立信任关系,计算机之间允许相互访问。
大部分企业管理都是通过组策略完成的。
小型企业采用单域
中型企业(总部+多分支)采用单域多站点或父子域
集团企业,各分公司独立运营,采用单林多域
根域 get-adforest命令验证根域所在的服务器
域树由多个域组成,这些域共享同一存储结构和配置,形成一个连续的名字空间,树中的域通过信任关系连接。
父子域之间的关系是双向信任的。
域林是由多棵域树构成的,域林中的所有域树仍共享同一个存储结构,配置和全局目录,所有域树之间通过kerberos建立信任关系。
域树由多个域组成,这些域共享同一个存储结构和目录,形成一个连续的名字空间。
域树中的域通过双向可传递信任关系连接在一起。
禁止随意添加/删除域控制器。紧张FSMO角色任意分配。谨慎备份域控制器。
活动目录
活动目录
重命名 激活系统 打全补丁 静态IP 集成区域DNS服务。
安装ADDS服务分两个阶段:安装角色和提升域服务。
将域控制器添加到现有域---就是部署多台域控。
将新域添加到现有林---为现有林中添加新域,创建另一棵全新的域树。
添加新林
网络中的第一台域控制器默认为GC全局编录服务器。
目录还原模式主要用来还原active directory数据库。
林功能级别 域功能级别
设置AD数据库文件夹,AD日志文件夹,SYSVOL文件夹的存放位置
两个服务:ADDS 和 ADWS
将服务器提升为域控制器的过程中,安装向导自动确定该域控制器属于哪个站点的成员。
活动目录数据库文件 Ntds.dit 存储域控制器中所有活动目录对象。
日志文件 edb.log
系统检查点文件edb.chk
键入net accounts命令查看第一台域控的计算机角色
验证系统共享卷SYSVOL和netlogon服务 net share
默认域策略和默认域控制策略
GUID 全局唯一标识符
验证目录服务器 dcdiag /test:netlogons
验证SRV记录:登录DNS控制台
验证FSMO操作主机角色 netdom query fsmo
事件查看器 安装日志 debug文件夹中
活动目录
活动目录
活动目录
活动目录
活动目录
活动目录
活动目录
活动目录
活动目录
活动目录
活动目录
活动目录
本地管理员 域管理员
用于Windows power shell的active directory模块
ADSI编辑器
Active directory 域和信任关系
Active directory 用户和计算机
Active directory 管理中心
Active directory 站点和服务
DNS
域控制器改IP地址---掌握
重命名域控制器---掌握
部署额外域控制器和子域
把成员服务器通过添加角色和功能提升为额外域控制器
查看网络中所有的域控制器和GC dsquery server dsquery server-isgc
第一台域控制器生成安装介质,使用ntdsutil工具创建。
Ntdsutil:activate instance ntds ---ifm---create sysvol full e:\dcinstallmedia—quit
管理GC:全局编录服务器不仅记录本域所有对象的只读信息,还会记录其他域中部分对象的只读信息。
GC的主要作用是:存储对象信息副本,提高搜索性能
通过ps查询当前林中所有的全局编录服务器:get-adforest|fl global catalogs
查询当前域中所有的站点:dsquery site
查询某个站点中所有的GC: get-addomaincontroller –filter {site –eq “上海站点”} |ft name,isglobalcatalog
域控制器提升为GC命令
Dsmod server“CN=BDC,CN=server,CN=default-first-site-name,CN=sites,CN=configuration,DC=book,DC=local ”-isgc yes|no
GC服务使用的默认端口是3268 查看端口是否监听 netstat –an | find “3268”
注册MMC active directory架构:regsvr32 schmmgmt.dll
活动目录
活动目录
活动目录
连接到活动目录数据库 使用 ADSI编辑器
活动目录
连接到全局编录服务器活动目录数据库
活动目录
活动目录
活动目录
活动目录
管理操作主机角色FSMO
架构主机角色 schema master 域命名主机角色 domain naming master RID主机角色 relative identifier master PDC模拟主机角色 基础架构主机角色
架构角色的作用是定义所有域对象属性
域命名主机角色的作用是为负责控制域林内域的添加或删除
基础架构主机角色负责对跨域对象的引用进行更新
RID主机角色为域中每一个对象创建SID
林环境内:整个林中只有一台架构主机和域命名主机
域环境内:每一个域拥有自己的RID主机 PDC 和基础架构主机
拥有PDC主机角色的域控一般为主域控制器
PDC角色也可以在不同域控制器之间切换,使用transfer 或 seize
FSMO角色转移:应首先尝试角色转移,如果转移不成功,才会执行占用操作
一般不建议将基础架构主机角色指派给GC所在的域控制器
Netdom query fsmo
活动目录
活动目录
活动目录
活动目录
活动目录
活动目录
查看主域控制器 net accounts
活动目录
转移FSMO角色,克隆虚拟机后要重新生成SID。否则报错
活动目录
查看自己的SID
活动目录
重新生成SID
活动目录
活动目录
转移主机角色的过程中,具备操作主机角色的域控制器必须始终在线,操作主机转移过程支持逆向操作,除了schema master需要使用ntdsutil命令行方式转移外,其他几个角色都可以在图像界面完成操作。
活动目录