前 言
目录服务是微软Windows操作系统重要的服务,也是Windows的精华所在。从Windows NT4.0开始有目录服务,随着微软的服务器操作系统的升级,经历了Windows Server 2000、 Windows Server 2003、Windows Server 2008和Windows Server 2008 R2几个版本的发展,其对应的活动目录的功能也越来越强大。本书将会以实际的案例为读者展现强大的活动目录的功能,能够达到举一反三的效果,让读者很容易和自己的工作实际联系起来。
本书共计13章,以Windows Server 2008操作系统的目录服务为主,本着由简单到复杂的原则,分为三部分。
第一部分为第1~7章,介绍活动目录功能,配置Windows Server 2008作为域控制器和DNS服务器,将计算机加入域,为了方便管理设计和规划组织单元,委派用户对组织单元的管理权限。这一部分详细讲解了将计算机Windows Server 2003 的域控制器升级到Windows Server 2008的步骤。其他内容还包括:域用户的管理和批量导入域用户;在域环境中使用组策略配置服务器安全;配置软件限制策略;配置公钥策略;使用组策略为计算机部署Office和其他软件;使用脚本集中管理计算机;使用组策略管理域用户,比如设置某个部门的用户上网必须使用指定的代理服务器,禁止用户修改注册表等设置;规划单域结构实现活动目录容错;规划和创建活动目录站点支持分支办公室等。
第二部分为 第8~12章,介绍活动目录树、目录林多域环境的应用场景,创建多域环境分散管理任务及创建目录树、目录林的步骤。这一部分的内容还包括:全局目录的作用;使用活动目录迁移工具实现活动目录重构;在目录林内迁移用户和计算机;在目录林之间迁移用户和计算机;使用活动目录站点管理活动目录复制;管理活动目录操作主控;活动目录备份和还原等。
第三部分为第13章,介绍了Windows Server 2008 R2活动目录的新增功能,包括活动目录管理中心、活动目录回收站、离线加域等。
活动目录是普通计算机应用者很少接触到的技术,因此学习起来感觉抽象,不好理解。因此本书每章都遵循这样的一个原则安排其内容:功能介绍,实战演练,验证结果。
各章内容的介绍如下。
第1章 搭建单域环境
将企业中的计算机和服务器以域的形式组织,能够实现计算机和用户的集中管理以及对用户的集中的身份验证。本章将会配置Windows Server 2008作为域控制器和DNS服务器,将计算机加入域,为了方便管理设计和规划组织单元,委派用户对组织单元的管理权限。本章详细讲解了将计算机Windows Server 2003 的域控制器升级到Windows Server 2008的步骤。
第2章 管理域用户和组
本章将介绍如何在域环境中管理域用户和组,包括创建登录主名后缀、创建域用户、设置域用户属性、创建漫游式用户配置文件等,使用户的工作环境能够在域中的计算机中漫游;配置域用户的主目录,使用户登录后很容易找到网络中的资源;使用CSVDE批量创建域用户,批量重设域用户密码,批量修改域用户属性。本章还将介绍域中组的类型,全局组和域本地组的区别,在域环境中使用组的策略,创建保存的查询,快速定位满足特定条件的用户帐户等。
第3章 组策略管理计算机
本章将详细介绍组策略是如何应用到域中用户和计算机的,将会介绍和演示使用组策略配置帐户策略,审核策略,用户权限设置,系统安全选项,使用组策略管理系统服务和注册表安全,使用组策略设置文件夹的安全,配置高级安全Windows防火墙,配置软件限制策略,配置系统更新,配置受信任的证书颁发机构,以及使用组策略首选项管理用户和计算机。
第4章 组策略管理用户环境
使用组策略中的用户配置可以很好地初始化用户登录后的环境,比如管理用户的临时文件夹的位置,为用户的桌面添加访问资源的快捷方式,用户登录后将一些文件下载到某个文件夹,用户登录后将网络共享文件夹映射为网络驱动器,用户登录后为用户连接网络打印机,用户在域中任何计算机登录后都能看到"我的文档"中的文件等。
也可以使用组策略中用户配置的设置对域用户登录后的行为进行限制。比如管理用户的IE设置,管理用户的桌面环境和"开始"菜单,禁止用户使用注册表编辑工具,禁止用户运行某些程序,禁止用户修改IP地址等。
第5章 组策略部署软件
本章详细介绍了使用组策略部署软件的整个过程,展示了使用组策略为特定部门的计算机部署Office 2007的过程,包括自定义Office 2007部署、更新Office 2007部署,以及删除部署的Office 2007。本章还以实例的形式展示了如何使用组策略为用户部署软件和升级软件,并且演示了分配软件和发布软件的区别,同时还介绍了使用组策略为用户发布exe软件的方法。
第6章 管理组策略
本章详细介绍了如何使用组策略管理工具进行组策略管理,包括组策略备份、还原,授权用户编辑某个组策略,授权创建组策略,授权用户将组策略链接到特定组织单元等。通过组策略管理工具可查看组策略设置,禁用组策略的用户设置或计算机设置。配置组策略筛选,可以使组策略只应用到满足特定查询条件的用户和计算机上,使用组策略建模和组策略结果监控组策略应用,可排除组策略应用中的错误。
第7章 规划单域架构
本章将会针对物理位置在三个城市的企业网络规划活动目录,在公司总部添加附加域控制器,实现冗余和负载均衡。在分支办公室部署只读域控制器,这样就能够在保证服务器和远程终端安全不受到影响的情况下,对远程办公的活动目录信息进行更快的验证,帮助它们提高获取资源的速度。通过创建活动目录站点,创建子网对象,将域控制器移动到相对应的站点,能确保用户登录时优先使用本地站点的域控制器进行身份验证和应用组策略。
第8章 活动目录林
活动目录林是活动目录的最大单位。本章介绍了使用多域组建活动目录林的场景,在多域环境中使用组的策略,全局目录服务器在多域环境中的作用,升级域功能级别和林功能级别,创建信任的快捷方式,以及林信任。
第9章 迁移域用户和计算机
重构涉及在同一个林或不同林中的 Active Directory 域之间迁移资源。部署 Active Directory 或 AD DS 后,可以通过在林之间重构域或在单个林内重构域来确定是否可降低环境的复杂性。通过活动目录重构,可以将单域结构变成多域结构,也可以将多域结构变成单域结构,在此期间需要使用活动目录迁移工具(ADMT)迁移域中的用户和计算机,亦可以将其他林中的用户和密码使用ADMT进行迁移。
第10章 管理活动目录复制
Windows Server 2008活动目录服务复制涉及网络域控制器之间活动目录数据的传递和保持。本章将会针对物理位置在三个城市的企业网络规划活动目录,在公司总部添加附加域控制器,实现冗余和负载均衡。在分支办公室部署附加的域控制器,对远程办公的活动目录信息进行更快的验证,帮助它们提高获取资源的速度。通过创建活动目录站点,控制活动目录跨广域网的复制,同时也能确保用户登录时优先使用本地站点的域控制器进行身份验证和应用组策略。
第11章 管理操作主控
操作主控是执行Windows Server 2008活动目录服务中指定角色的域控制器,可以控制一组特定的目录变化。对于每个角色,只有拥有此角色的域控制器才能进行相关的目录改变。即使操作主控出了故障,也有办法将这些角色从一个主控移动到另一个主控中。知道这些活动目录网络中每个域控制器拥有的操作主控角色,可以有助于利用数据复制和网络带宽。
第12章 维护活动目录数据库
Windows Server 2008 为 Active Directory带来了许多新功能,其中对备份和恢复计划具有重大影响的两个功能是:新的 Windows Server Backup 实用工具,以及获取和使用 Active Directory 的"卷影复制服务"快照的能力。本章将介绍这些增强功能所带来的变化,以及如何利用这些变化来简化 Active Directory 备份活动。
第13章 Windows Server 2008 R2活动目录的新功能
由于Windows Server 2008 R2基于Windows 2008,所以R2的活动目录基本特性与Windows 2008是相同的,上述Windows 2008活动目录所具有的活动目录审核新特性、多元密码策略新特性、可重启的活动目录域服务、只读域控制器等特性也是R2所具有的。除此之外,在Windows Server 2008 R2的活动目录中,还增加了活动目录管理中心、活动目录回收站、离线加域等新功能。
致 谢
任何一本书的出版,都离不开家人、朋友等的关心和帮助。以下诸位为本书提供了极大帮助:河北师范大学的蒋春澜教授、邓明利教授为作者创造了优越的写作条件与实验环境,河北师范大学的赵书良教授、河北经贸大学的王顶老师等对本书的组织、行文提出了许多好的建议。感谢河北师范大学软件学院的全体教师,他们中的大多数人阅读了本书初稿,指出了书中的不少错误,并配合录制了本书视频。
需要特别感谢的是河北师范大学软件学院的管理层,他们开明的态度和支持使我能有充分的时间和空间写作本书,包括罗忠华先生、赵胜老师等。
在书稿编辑方面,清华大学出版社的栾大成先生和其他编校人员给予了很大帮助,对他们为本书出版所做的一切工作衷心地表示感谢。
要感谢我的父母、妻子和孩子,没有家人的大力支持,写作将是件令人痛苦的事情,而本书的成文过程却始终充满了动力与快乐。
韩立刚
E-mail: onesthan@hotmail.com
