·· 467目录

第15章管理只读域控制器471

15.1 只读域控制器基本知识·· 471

15.1.1 活动目录数据库复制方向·· 471

15.1.2 密码复制策略·· 472

15.1.3 RODC优点·· 473

15.1.4 RODC缺点·· 474

15.1.5 部署前提·· 474

15.2 部署RODC域控制器·· 475

15.2.1 部署流程·· 475

15.2.2 安装过程·· 475

15.2.3 只读域控制器验证·· 476

15.3 只读域控制器管理任务·· 481

15.3.1 密码复制策略的位置·· 481

15.3.2 查看已经发布到RODC的用户·· 482

15.3.3 查看已经通过RODC进行身份验证的用户·· 483

15.3.4 用户发布到RODC· 483

15.3.5 预设密码·· 485

第16章升级域控制器487

16.1 案例任务·· 487

16.1.1 案例任务·· 487

16.1.2 迁移过程·· 487

16.1.3 参与升级的服务器·· 488

16.1.4 其他注意事项·· 488

16.2 拓展2003活动目录功能级别·· 488

16.2.1 2003域控制器配置·· 488

16.2.2 部署流程·· 491

16.2.3 提升2003活动目录域功能级别·· 491

16.2.4 提升2003活动目录林功能级别·· 493

16.3 提升2012服务器为额外域控制器·· 495

16.3.1 提升过程中需要注意的问题·· 495

16.3.2 额外域控制器提升成功后验证·· 496

16.3.3 额外域控制器占用FSMO角色·· 497

16.3.4 FSMO角色迁移后验证·· 503

16.3.5 小结·· 504

16.4 2003域控制器降级·· 504

16.4.1 域控制器降级为成员服务器·· 504

16.4.2 成员服务器降级为独立服务器（俗称脱域）·· 508

第17章管理活动目录数据库509

17.1 维护活动目录数据库·· 510

17.1.1 活动目录数据库文件·· 510

17.1.2 停止AD DS域服务·· 511

17.1.3 重定向活动目录数据库·· 513

17.1.4 离线整理活动目录数据库·· 515

17.1.5 修复活动目录数据库·· 516

17.1.6 重置目录服务还原模式管理员密码·· 517

17.1.7 查找和清理重复的安全标识符·· 518

17.1.8 自动管理活动目录数据库·· 518

17.1.9 清理域控制器源数据·· 519

17.2 备份活动目录数据库·· 522

17.2.1 安装Windows Server Backup组件·· 522

17.2.2 向导备份活动目录数据库·· 522

17.2.3 命令行备份活动目录数据库·· 532

17.3 恢复活动目录数据库·· 534

17.3.1 域对象删除·· 534

17.3.2 向导还原活动目录数据库·· 535

17.3.3 命令行还原活动目录数据库·· 541

17.4 通过备份还原域控制器·· 545

17.4.1 备份域控制器·· 545

17.4.2 还原域控制器·· 546

第18章 ADCS证书服务552

18.1 部署ADCS服务·· 552

18.1.1 根类型·· 552

18.1.2 安装ADCS服务·· 552

18.1.3 配置ADCS服务·· 556

18.2 证书日常管理·· 561

18.2. 1 “证书颁发机构”管理工具·· 561

18.2. 2 “证书模板”管理工具·· 566

18.2.3用户手动申请证书·· 570

18.2.4 查看已经颁发的证书·· 573

18.2.5 续订根证书·· 575

18.2.6 发布计算机证书自动申请策略·· 577

18.2.7 发布用户证书自动申请策略·· 580

18.3 用户访问SSL站点可能遇到的问题·· 582

18.3.1 提示信息解析·· 582

18.3.2 第一个提示：关于证书颁发机构·· 582

18.3.3 第二个信息：关于日期时间·· 586

18.3.4 第三个提示：名称无效·· 586

18.4 证书典型应用：SSL站点·· 587

18.4.1 基本信息·· 588

18.4.2 申请证书配置文件·· 588

18.4.3 申请Web服务器证书·· 590

18.4.4 Web服务器配置证书·· 592

18.4.5 设置SSL站点·· 593

18.4.6 客户端计算机访问SSL站点·· 595

第19章认识组策略599

19.1 必须了解的知识·· 600

19.1.1 组策略对象·· 600

19.1.2 本地策略和域组策略·· 602

19.1.3 域组策略分类·· 603

19.1.4 组策略的应用时间·· 603

19.1.5 组策略处理规则·· 603

19.1.6 强制继承·· 605

19.1.7 组策略更新·· 605

19.1.8 更改管理用的域控制器·· 607

19.1.9 更改策略的应用时间·· 607

19.1.10 首选项·· 609

19.2 组策略日常管理·· 609

19.2.1 打开GPMC控制台·· 609

19.2.2 查看组策略对象属性信息·· 610

19.2.3 创建组策略对象·· 613

19.2.4 删除组策略对象·· 615

19.2.5 更改组策略对象的状态·· 616

19.2.6 编辑组策略对象·· 616

19.2.7 组策略对象备份·· 617

19.2.8 管理备份·· 618

19.2.9 复制GPO· 620

第20章组策略应用-首选项设置622

20.1 首选项分类·· 622

20.1.1 计算机配置·· 622

20.1.2 用户配置·· 623

20.2 批量部署映射磁盘·· 624

20.2.1 映射驱动器的方法·· 624

20.2.2 部署“首选项”-映射驱动器·· 625

20.2.3 策略测试·· 630

20.3 登录用户添加到本地管理员组·· 631

20.3.1 部署“首选项”·· 631

20.3.2 策略测试·· 633

20.4 Internet Explorer浏览器设置·· 633

20.4.1 Internet Explorer设置·· 634

20.4.2 部署“首选项”·· 635

20.4.3 策略测试·· 636

第21章组策略应用-保护IE浏览器637

21.1 基本安全性保护措施·· 637

21.1.1 网络环境·· 637

21.1.2 域中采取的措施·· 638

21.2 保护浏览器·· 638

21.2.1 安全级别·· 638

21.2.2 权限分析·· 638

21.2.3 权限继承·· 640

21.2.4 设置安全级别·· 640

21.2.5 部署用户限制策略·· 642

21.3 保护IE存储区域·· 645

21.3.1 网页存储访问保护机制·· 645

21.3.2 限制存储区域中应用程序运行·· 645

21.4 最佳实践·· 646

第22章组策略应用-安装软件647

22.1 组策略安装软件·· 647

22.1.1 环境准备·· 648

22.1.2 WMI筛选器·· 648

22.1.3 应用程序“已发布”给用户·· 653

22.1.4 应用程序“已分配”给用户·· 656

22.1.5 应用程序“已分配”给计算机·· 658

22.1.6 应用程序修复功能测试·· 659

22.1.7 删除部署的程序包·· 660

22.1.8 升级应用程序·· 661

22.2 部署MicrosoftOffice 2013· 664

22.2.1 准备Office2013安装程序·· 664

22.2.2 下载OfficeCustomization Tool（OCT）模板·· 665

22.2.3 自定义Office2013安装环境·· 667

22.2.4 安装Office2013· 671

第23章组策略应用-高效沟通672

23.1 Bginfo设置·· 673

23.1.1 下载·· 673

23.1.2 本例中Bginfo完成的功能·· 673

23.1.3 参数设置·· 674

23.2 部署策略·· 678

23.2.1 部署共享文件夹·· 679

23.2.2 部署组策略·· 679

23.2.3 策略运行效果·· 681

第24章组策略应用-文件夹重定向681

24.1 文件夹重定向支持的文件夹·· 681

24.1.1重定向文件夹部署建议·· 681

24.1.2 支持的重定向文件夹·· 682

24.1.3 策略部署前“文档”位置·· 682

24.2 部署“文件夹重定向”策略·· 683

24.2.1 部署重定向策略·· 683

24.2.2 验证策略·· 686

第25章组策略应用-限制计算机接入686

25.1 应用环境以及解决方法·· 686

25.1.1 应用网络环境·· 687

25.1.2 解决思路·· 687

25.2 管理策略·· 687

25.2.1 默认用户类·· 688

25.2.2 重新配置DHCP服务器·· 688

25.2.3 客户端计算机验证·· 694

25.2.4 建议·· 695

第26章组策略应用-Windows时间服务696

26.1 域内时间·· 696

26.1.1 域内时间源·· 696

26.1.2 同步机制·· 697

26.1.3 时间同步方式·· 697

26.1.4 w32tm命令日常用法·· 697

26.2 时间自动同步·· 700

26.2.1 确认时间源服务器·· 700

26.2.2 同步域内时间方法一：nettime700

26.2.3 同步域内时间方法二：PDC主机作为时间源·· 701

26.3 常见问题·· 707

26.3.1 客户端计算机windows时间服务有问题·· 707

26.3.2 默认时间差值·· 708

26.3.3 启动“WindowsTime服务”并设置为“自动”启动·· 708

26.3.4 统一时区·· 709

26.3.5 禁止用户修改“日期和时间”·· 710

第27章一组常用组策略与排错711

27.1 限制“本地管理员”组成员·· 711

27.1.1 “Administrators”组已有成员·· 711

27.1.2 部署“受限制的组”策略·· 711

27.1.3 客户端计算机策略测试·· 714

27.1.4 删除策略·· 715

27.2 部署密码策略·· 715

27.2.1 默认密码策略·· 715

27.2.2 查看默认域密码策略·· 716

27.2.3 部署简单密码策略·· 716

27.2.4 用户密码设置测试·· 719

27.3 部署InternetExplorer访问主页·· 720

27.3.1 部署策略·· 720

27.3.2 策略测试·· 721

27.4 开机运行指定的应用程序·· 722

27.4.1 部署开机策略·· 722

27.4.2 策略测试·· 724

27.5 统一桌面背景·· 724

27.5.1 部署桌面背景策略·· 724

27.5.2 策略测试·· 726

27.6 启用密码屏幕保护·· 726

27.6.1 部署屏保密码策略·· 727

27.6.2 策略测试·· 730

27.7 禁止修改网络连接参数·· 731

27.7.1 用户更改网络参数·· 731

27.7.2 部署禁止修改网络参数策略·· 731

27.7.3 策略测试·· 734

27.8 组策略排错·· 735

27.8.1 对默认策略的处理·· 735

27.8.2 组策略的目标是谁·· 735

27.8.3 客户端计算机是否应用策略·· 736

27.8.4 确认客户端计算机基础环境是否正常·· 736

27.8.5 确认文件复***务是否启动·· 736

27.8.6 记录配置·· 736

27.9 组策略排错使用的工具·· 737

27.9.1 DCdiag· 737

27.9.2 GPResult739

27.9.3 Dcgpofix· 740

27.9.4 Repadmin· 740

27.9.5 Gpupdate740

第28章活动目录集成区域DNS服务740

28.1 DNS需要了解的知识·· 740

28.1.1 域中的计算机定位·· 740

28.1.2 DNS和Active Directory的结合·· 741

28.1.3 DNS服务器区域类型·· 741

28.1.4 DNS常用资源记录·· 743

28.1.5 nslookup 验证加入域所需的 SRV记录·· 744

28.1.6 动态更新·· 745

28.2 部署活动目录集成DNS服务·· 747

28.2.1 自动配置ActiveDirectory集成区域DNS服务·· 747

28.2.2 安装结果·· 748

28.2.3 _msdcs子域·· 748

28.2.4 域（本例中book.com）·· 754

28.2.5 查看域属性·· 758

28.2.6 DNS验证·· 763

28.3 DNS客户端·· 765

28.3.1 加域前提条件·· 765

28.3.2 DNS客户端缓存·· 765

28.3.3 DNS记录中存在旧的A记录，导致DNS解析不正确·· 766

28.3.4 误删_msdcs.子域·· 767