一、AD域介绍
Active Directory(简称AD)是一项由微软公司开发的、基于LDAP和Kerberos协议的网络服务,同时它也是一个系统组件,能够在Windows Server操作系统上提供一系列的服务。一个Active Directory域是指一组共享认证、授权、命名和目录服务的计算机资源(例如文件等)和安全策略。AD域提供了一种集中管理用户、计算机等对象的方式,也方便实现对这些对象的访问控制。
在AD域中,包含多个域控制器(Domain Controller, 简称 DC)。域控是AD网络中的重要角色,它存储了该域中所有的对象数据,如用户账号、计算机账号、组、组策略等。同时它也是身份验证服务的提供者,在用户登录验证时会与本地计算机的SAM数据库比较、认证用户身份信息。
AD域的DNS扮演着至关重要的角色,域控提供的AD DS服务要求域中每台计算机都有一份DNS配置。在AD域中,DNS不仅用于定位域控制器,还用于定位其他域中的资源。每个AD域中至少应该有一个域控制器担任DNS服务器的角色。
二、AD域控制器管理
1. 域控制器的安装
域控的安装可参考以下步骤:
- 首先在服务器上安装域控所需要的操作系统,如Windows Server 2016/2019。
- 配置IP地址和DNS服务器,确保可以访问域名。
- 将服务器加入域。
- 在“服务器管理器”中选择“添加角色和功能”。
- 在角色选择页面中选择“Active Directory域服务”。
- 在“功能”页面选择“域控制器”并确认所需组件,根据向导完成安装即可。
2. 域控制器的备份与恢复
域控的备份与恢复非常重要,针对不同的情况,您可采取不同的方案进行备份恢复。
以下是一些常见的方案:
- 系统状态备份:可用于系统修复,但只能在原有硬件上恢复。
- 系统备份:可以在新硬件上恢复,但如果备份文件太大,恢复时间较长。
- 跨林森林转移:可用于跨森林的域控制器迁移,但需要保证网络环境好。
3. 域控制器的升级
在Windows Server 2012 R2及以上版本中,可以通过AD DS 服务升级向导将现有的域控升级为Windows Server 2016/2019。
升级域控需要注意以下几点:
- 仅支持从64位操作系统的域控升级;
- 建议在非生产环境测试环境进行;
- 进行升级之前一定要对系统进行备份;
- 执行升级后,一旦无法恢复,则不得不使用完全重装的方法重新安装系统。
三、AD域管理
1. 组管理
组可用于在AD域中管理用户和计算机账户。对组的管理包括创建组、删除组、管理组成员等操作。
# 创建组
New-ADGroup -Name <组名> -GroupCategory <分组类型> -GroupScope <分组范围> -Path <组织单位>
# 删除组
Remove-ADGroup <组名>
# 管理组成员
Add-ADGroupMember <组名> -Members <用户>
# 查询组
Get-ADGroup <组名>
2. 用户管理
用户管理是每个AD域的基本操作,包括创建用户、删除用户、重置密码、启用或禁用用户账户等。
# 创建用户
New-ADUser -Name <用户名> -UserPrincipalName <用户主账号> -SamAccountName <预Windows2000用户名> -GivenName <名字> -Surname <姓氏> -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) -ChangePasswordAtLogon $true -Enabled $true -Path <组织单位>
# 删除用户
Remove-ADUser <用户>
# 重置密码
Set-ADAccountPassword <用户> -NewPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force)
# 启用/禁用用户账户
Enable-ADAccount -Identity <用户>
Disable-ADAccount -Identity <用户>
# 查询用户
Get-ADUser <用户>
3. 计算机管理
在AD域中,对计算机的管理可以实现计算机账户、计算机组和其他计算机相关策略等管理,常用的计算机管理操作有创建计算机、删除计算机、修改计算机名等。
# 创建计算机
New-ADComputer -Name <计算机名> -SamAccountName <预Windows2000计算机名> -Path <组织单位>
# 删除计算机
Remove-ADComputer -Identity <计算机>
# 修改计算机名称
Rename-Computer -NewName <新计算机名>
四、域控安全管理
1. 密码策略管理
合理的密码策略可以提高域控安全性,主要是从密码的复杂度、有效期以及密码历史记录方面进行设置。
# 查看当前密码策略
Get-ADDefaultDomainPasswordPolicy
# 修改密码策略
Set-ADDefaultDomainPasswordPolicy -ComplexityEnabled $true -MaxPasswordAge <天数> -PasswordHistoryCount <历史记录数量>
2. 帐户锁定策略管理
AD域支持帐户锁定功能,可以有效地限制用户恶意猜测密码,保证域环境的安全性。
# 获取当前帐户锁定策略
Get-ADDefaultDomainLockoutPolicy
# 修改帐户锁定策略
Set-ADDefaultDomainLockoutPolicy -LockoutDuration <解锁时间> -LockoutObservationWindow <重置计数器的时间段> -LockoutThreshold <失败次数>
3. 基础权限管理
域控制器默认会赋予域管理员等账号高级权限,为了避免恶意操作导致域损失,建议按照最小权限原则进行权限授予。
# 授予用户组权限
Add-ADGroupMember -Identity <组名> -Members <用户>
# 授予用户单独权限
Get-ADUser -Identity <用户> | Set-ADObject -Replace @{msDS-AllowedToDelegateTo="<目标计算机>"}
总结
AD域的管理是一个非常复杂的过程,需要管理员综合考虑多种因素进行合理的配置。通过本文对AD域介绍、域控制器管理、AD域管理和域控安全管理方面的阐述,相信读者能够更好的了解AD域的相关知识和操作技巧。
