Windows Server 2003 域管理知识

 

OU
缺点是没有安全性设计。
优点是有效地组织对象。
使用UPN登陆公司的域
某公司有多个域，可以使用UPN（User Principals Name）登陆公司的域，使用打开邮箱的命令就可以登陆到网络中，这样做的好处是：只需输入邮箱地址，不必知道登陆哪个域。
如：admin@bitqfx.com = User Name + Server Name
利用Internet 邮件地址登陆公司的域
某公司员工出差到上海，他可以使用Internet 邮件地址如：
admin@yahoo.com.cn 通过Internet 登陆到北京公司的域，但是必须在Active Directory Domain And Trusts （活动目录域和信任关系）添加记录。
DC的复制
由USN号大的DC向USN号小的方向复制。
AD权限（Permission）继承的分类
继承上来，继承下去。
域、域树和森林
域、域树：连续的命名空间。
森林：不连续的命名空间，常用于公司合并。
AD安装的校验
验证netlogon.dns文件的存在，同时用命令nslookup来验证DNS的设置。
Group Policy 的规则
基于Windows的域
是标准的AD对象
依赖于SDOU
组策略的实现必须Link到SDOU上
GPO的功能
GPO（Group Policy Object，组策略对象）
设定访问许可
建立用户对象
GPO的生效级别
在AD的不同层次上定义多个GPO，则使用LSDOU(Local Host->Site->Domain->OU )的优先顺序来执行策略，对计算机和用户的作用是这四个策略执行的“和”。有时，在一个GPO中的设置会被其他GPO中的设置抵消。
在AD的同一个层次上的多个GPO，则自下而上执行，高级的覆盖低级的，所以高级应该放在上面。
组策略冲突分析
     通过组策略，可以对用户环境进行定义或者限制，如用户使用的软件、桌面环境、开始菜单里包含的程序等等，它能为你的管理带来很大的方便。但是初学者往往对组策略实施的一些具体细则感到迷惑，尤其是当组策略存在冲突的时候，到底哪个策略生效这一问题令很多人非常头疼。
     现在我们就来给大家做一个清楚的解答。我们以配置用户桌面上有无“网上邻居”图标这一策略项为例来分析组策略冲突时的生效级别。
（1）、同一OU上多个组策略
   我们先在“Active Directory用户和计算机”中新建一个OU(组织单元)“1”，并在其中新建一个用户“chen”。然后我们给“1”这个OU建立两个组策略：一个命名为“有‘网上邻居’”，并对其进行配置，停用“隐藏桌面上的‘网上邻居’图标”这一项目；另一个命名为“无‘网上邻居”’，并对其进行配置，启用“隐藏桌面上的‘网上邻居’图标”这一项目。
     当这两个互相存在冲突的策略同时作用于 OU“1”时，以排在最上面策略为准(策略由下而上执行，以最后执行的为准)。即用户chen登录时桌面上还是有“网上邻居”图标的。
     如果我们对排列在下的“无‘网上邻居”’策略设置了“禁止替代”，或者两者都设置了“禁止替代”，则以排在下面的“无‘网上邻居’”为准，即OU“1”中的用户chen登录时桌面上将没有“网上邻居”图标。其原因是“禁止替代”具有强行执行的效力，并且，依据“禁止替代的权限不可下降”的原则，先执行的“不可替代”项目将屏蔽掉其后执行的“禁止替代”项目。
（2）、父OU和子OU
     在域上新建OU“2”，并建立它的子OU“2(1)”，同时在子OU“2(1)”中建立用户“zhang”。
     在父OU“2”上新建一个组策略“无‘网上邻居’”，并对其进行相应配置；在子OU“2(1)”上新建组策略“有‘网上邻居’”，并对其进行相应配置。
     大家知道一个OU上的组策略在默认情况下是要继承到其子OU上的。而这时子OU中的策略项目和其父OU上的项目存在冲突。在这种情况下，以子OU上的项目为准(先执行父OU上的策略，后执行子OU上的策略，以后执行的为准)，即子OU中的用户zhang登录时，桌面上仍然有“网上邻居”图标。
     另外，与第一种情况相同，如果父OU“2”上的“无‘网上邻居’”策略设置了“禁止替代’，即便是子OU“2 (1)”上的“有‘网上邻居”’也设置了“不可替代”，其最终执行结果依旧以先执行的父OU为准，即桌面无“网上邻居”。
（3）、“阻止策略继承”与“禁止替代”
     “阻止策略继承”将阻断子OU从父级OU乃至更高级 OU或域上继承组策略设置。而在父级OU的策略上设置“禁止替代”，将使设置在子OU上的“阻止策略继承”失效。即这时用户zhang登录时，产生效果的依旧是从父级OU上继承下来的，被设置为“禁止替代”的策略——“无‘网上邻居’”，这时桌面上将没有“网上邻居”图标。
GPO权限的设定
选中GPO Link-》属性
General->
disable:禁止计算机的配置和禁止用户的配置，这样可以提升开机速度，改善性能。
Links->
Domain：选择作用于哪个域上。
Security->
必须赋予用户有“读”和“应用”的权限，否则该GPO在该用户不生效。
GPO信息的存储类型
DCSysvolPolices 下，用GUID命名，每一个GUID代表一个GPO。
GPO存储分两个方面，GPC和GPT。
GPC：组策略容器，跟随AD的复制
GPT：组策略模板，存储到硬盘，FRS（File Replication Service）
GPO存储的位置
注册表HKEY_LOCAL_MACHINE->Software->Policies
密码和帐户的策略
本地计算机用户的SAM在本机上，如果本机在域中，则密码策略遵循域的组策略；如果本机在OU中，则密码策略遵循OU的组策略。
域用户的SAM在域控制器上，密码策略遵循DC的组策略。
在AD中发布打印机
win2k:共享打印机->属性->共享->在AD中发布
非win2k:复制WinntSystem32Pubprn.vbs到win9x的计算机->运行Pubprn.vbs
发布和指派软件
〈软件跟随用户走〉
Publish <User>：
用户可以用添加/删除程序添加或删除
通过文件关联可以安装
Assign <User>:
用户logon后，出现在桌面或开始菜单
用户第一次选择后开始安装
卸载后，下一次还会出现在桌面或开始菜单
通过文件关联可以安装
〈软件跟随计算机走〉
Assign <计算机>:
图标显示在开始菜单
用户无权卸载程序，本机管理员才可以卸载程序
注1：一般情况下，域用户都要加入到“本地用户和计算机”中的本地管理员组（administrators组），使域用户具有本地计算机管理员的权限，否则域用户和本机管理员无法共用软件。
注2：分发软件时的分发点必须是一个网络路径。
文件夹权限
父文件夹只要设置成“完全控制”，无论子文件夹或文件的权限如何，该用户都可以对该文件夹进行任何操作，包括“删除”。但是如果子文件夹或文件的所有者是其他用户，则必须先要夺取所有权，否则是不可对其进行操作的。
理解AGDLP
域用户A加入到域全局安全组G，然后在“本地用户和计算机”中创建一个本地组DL，把G加入到DL中，最后为DL分配权限。