第7章 Windows Server 2012中的Active Directory

第7章 Windows Server 2012中的Active Directory

7.1 Active Directory基础知识简介

　　在开始讨论Active Directory之前，先介绍一些基础知识。由于Active Directory使用很多特有的词汇，这里只解释管理员需要了解的那部分。
　　工作组 工作组是一个Windows网络（LAN）中的一台或名多台计算机，它们都没有加入域。
　　域 一个域表示一组共享同一个数据库的对象。
　　Active Directory Domain Services 活动目录域服务（AD DS）是一个集成到Windows Server操作系统中的服务，但默认情况下不会自动安装。
　　站点 站点表示网络的物理结构或拓扑。
　　复制 复制是Active Directory相关概念中最复杂的一个。Active Directory是作为一个多主机复制系统设计的。这意味着可以执行如下示例所述的修改，在域控制器A或域控制器B上创建用户Joe，这个修改会被复制到没有创建用户的域控制器上。
　　对象 简单地说，Active Directory内的每样东西都是一个对象。
　　架构 架构用于存放所创建的对象的类。
　　组策略 配置用户或计算机的设置时需要使用组策略（Group Policy）。
　　组织单元 组织单元（Organizational unit），顾名思义，用于组织Active Directory中的对象，主要是用户和计算机。
　　默认域策略 默认域策略（Default Domain Policy）随着第一个域一起创建。它包含的策略将应用于整个域中的所有用户和计算机。必须明白这个策略对网络环境非常重要，绝不能删除。
　　默认域控制器策略 默认域控制器策略（Default Domain Controlers Policy）也非常重要，它链接到Active Directory中的所有域控制器容器。
　　林 一个林（Forest）是单个Active Directory的实例。在一个林中可以包含一到多个共享相同架构的域。如果只设置一个域控制器，其实就是在创建一个最小的林，也被称为单域林。林也可以看成是安全边界，其中的用户、计算机和其他对象都是可访问的。
　　全局编录 在多域Active Directory林中，全局编录（global catalog）包含了每个域中所有对象的信息。
　　信任 信任（Trust）是域之间用于访问资源（例如服务器和应用程序）的连接。
　　树 如果在同一个林中创建一到多个具有连续名称空间的域，且/或共享相同的架构，那么你就创建了一棵树（Tree）。

7.1.5 创建组织单元、帐号和组

　　在创建完域之后，就可以创建OU、用户帐号、计算机帐号、组，等等。有两种工具可供选择；要么使用旧有的Active Directory Users and Computers(ADUC)工具，要么选择Active Directory Administrative Center(ADAC)。

1. 创建组织单元
   组织单元用于组织Active Directory里面的对象。任何对象（例如用户、计算机、组，等等）都可以放到OU里面以便轻松地对其进行管理。创建OU的两个主要的技术原因是：
   ＊　通过Group Policy进行管理
   ＊　管理委托

2. 通过Group Policy进行管理
   可以创建Group Policy对象（GPO），并将其链接到站点、域和OU。如果希望为某些用户分配特定的组策略，可以创建一个OU，把这些用户帐号放到OU里面，以后将GPO和OU链接起来。
   另一种将GPO应用于用户和计算机的方法是创建一个Active Directory安全组，然后将所有需要应用该安全设置的用户添加到这个组中。在创建和配置好组之后，可以将这个组添加到GPO's Security Filtering区域，并从Security Filtering设置中删除默认的Authentication User组。更详细的操作步骤可以阅读第9章，那里会告诉你如何完成这个操作以及其他更多信息。

3. Active Directory Administrative Center

4. 通过ADAC配置OU
   遵循以下步骤，使用Active Directory Administrative Center创建一个OU：
   （1）启动Windows Server 2012。在Start页面上单击Active Directory Administrative Center。或者可以按下WIN+R组合键打开Run窗口，输入 dsac.exe，然后单击OK按钮。
   （2)右击域，选择New | Organizational Unit。
   （3）在Name文本框输入Sales并确保选中“Protect from accidental deletion”复选框。
   （4）单击OK按钮，OU就创建好了。
   （5）还可以创建子OU。右击刚才创建好的Sales OU。选择New | Organizational Unit。
   （6）在Name文本框中输入Users并单击OK按钮。
   注意，域下面的Users容器只是一个容器（不是OU），不能链接到GPO。OU的图标稍微有些不同——它不仅仅是一个文件夹，而是在文件夹的图标的前面嵌入了另一个图标，表示它还包含更多信息。

5. LDAP识别名
   　　Active Directory使用Lightweight Directory Access Protocol（LDAP）进行通信。LDAP使用识别名唯一标识目录中的每个对象。在学习如何使用命令行或脚本创建对象之前，应理解DN的各个组件。
   DN的格式是objectType=objectName，其多个类型对象使用逗号分隔。例如，名为bigfirm.com的域有两个域组件（bigfirmt和com)以如下方式标识：
   dc=bigfirm,dc=com
   　　组织单元的对象类型的是OU，Users和Computers容器以cn（表示“common name”）标识。Sales OU的DN应该是：
   ou=Sales,dc=bigfirm,dc=com
   Users容器的DN应该是：
   cn=Users,dc=bigfirm,dc=com
   　　容器是一个Active Directory对象，它在将服务器升级到域控制器的时候创建。这个对象包含了Active Directory中所有默认的用户和组，而且和OU的属性完全不相同。另一个显著的不同是，不能在这个容器上使用组策略。
   　　位于Sales OU中的名为Sally.Smith的帐号的DN是：
   cn=Sally.Smith,ou=sales,dc=bigfirm,dc=com
   　　位于Users容器中的名为Joe.Johnson帐号的DN是：
   cn=Maria,cn=Users,dc=bigfirm,dc=com

6. 使用PowerShell创建OU

7. PowerShell和Active Directory
   　　通过输入如下命令导入模块：
   Import-Module ActiveDirectory
   　　执行这条命令需要一段时间，然后系统会再次提示你输入。接下来输入如下命令创建一个名为PS_OU的OU。
   New-ADOrganizationalUnit -Name PS-OU -Server DC02.bigfirm.com -Path "DC=bigfirm,DC=com"

8. 创建帐号
   　　为了访问域，用户和计算机都需要帐户。
   　　计算机帐户的创建通常是自动的，当计算机加入域时，就会自动创建一个计算机帐户。默认情况下，计算机帐户创建在Computers容器中，但是可以使用redircmp命令行工具修改这一设置。redircmp的语法如下所示
   Redircmp DN

9. 使用Active Directory Administrative Center创建帐号

10. 使用PowerShell创建帐号

11. 创建组