AD ---- 活动目录的日常管理操作

管理信任关系:什么是信任关系:信任关系是用于确保一个域的用户可以访问和使用另一个域中资源的安全机制根据传递性分,信任关系可分为可传递信任关系和不可传递信任关系两种根据域之间关系分,Windows信任关系则可分为四种信任关系是如何工作的创建信任关系删除信任关系防止未经授权的用户访问

关于信任关系:父子信任根信任默认工作快捷方式信任有肋于提高效率外部信任关系不可传递在Windows 2000域与Windows NT 4.0域之间需要创建外部信任关系 Windows 2000域与其他非Windows Kerberos V5区域之间,需要创建外部信任关系创建信任关系的考虑:域中一定量用户要求长期访问某个域中的资源由于安全理由,区分了资源域和账号域部分信任关系默认存在处于减少上层域DC/GC压力,可创建快捷方式信任关系

我现在来到一台计算机名称叫做Guangzhou的计算机它是一个森林的另一棵域树它的域名叫做Guangzhou.Contoso.Msft 在两个域构建信任关系之前我们必需确保这两个域之间它们是能够相互访问的而且它们必需能够彼此解析到对方的域名和查询到对方的SRV记录在命令提示符里面输入ping Hangzhou.Subdom.Nwtraders.Msft按回车键现在可以看到是能够成功地访问到Hangzhou.Subdom.Nwtraders.Msft这个子域的

我现在来到一台计算机名称叫做Hangzhou的计算机它是一个森林的子域它的域名叫做Hangzhou.Subdom.Nwtraders.Msft 首先要在命令提示符里面输入ipconfig /flushdns按回车键去清除一下客户端的DNS查询缓存否则的话有可能它没直接向对方进行查询而直接把缓存里面的无效信息提供给用户在命令提示符里面输入ping Cotoso.Msft按回车键现在可以看到已经成功地解析到Contoso.Msft这台DC了接下来就可以创建信任关系了

我们现在所要创建的信任关系是Subdom.Nwtraders.Msft和Contoso.Msft之间的信任关系通过开始--程序--管理工具--选择Active Directory域和信任关系首先对着Subdom.Nwtraders.Msft右键--选择属性按信任--在受此域信任的域那一项按添加接下来就输入受信任域输入Contoso.Msft 下面要求输入密码这个密码是用来验证这两个域之间相互信任用的也就是这两密码需要两个域之间的管理员进行协商的而不是说使用现在创建的管理员密码按确定的时候它会跟对应的域进行相互联系的如果这里输入密码两边的密码都要输入相同的密码我就不输入密码了

我现在来到一台计算机名称叫做Guangzhou的计算机通过开始--程序--管理工具--选择Active Directory域和信任关系对着Contoso.Msft右键--选择属性按信任在信任此域的域那一项按添加在信任域里面输入Subdom.Nwtraders.Msft 因为那边没有设置密码所以这里也不输入密码了按确定按是就ok了现在我构建的实际上是属于一个单向的信任关系也就是说Subdom.Nwtraders.Msft这个域信任Contoso.Msft那个域的 Contoso.Msft这个域里面的用户是能够访问Subdom.Nwtraders.Msft域里面的资源而Subdom.Nwtraders.Msft这个域里面的用户是不能够访问Contoso.Msft这个域里面的资源的这个信任关系是快捷方式信任关系

我现在来到一台计算机名称叫做Shenzhen的计算机它是另一个森林它的域名叫做Xinge.com 它的IP地址是192.168.1.18 通过开始--运行--输入dnsmgmt.msc按确定来打开DNS 对着正向搜索区域右键--选择新建区域接着下一步选择标准辅助区域接着下一步

在名称里面输入子域的域名(Subdom.Nwtraders.Msft) 接着下一步因为那台子域的IP地址是192.168.1.6 所以在IP地址里面输入192.168.1.6按添加接着下一步按完成就ok了

有些时候区域的复制是需要时间的我们可能会看到一个红色的X号告诉你区域不是由DNS服务器加载的这时候问题并不大等待一下就能够复制成功了

我现来到一台计算机名称叫做Hangzhou的计算机它是森林中的字域通过开始--运行--输入dnsmgmt.msc按确定来打开DNS 对着正向搜索区域右键--选择新建区域接着下一步选择标准辅助区域接着下一步

在名称里面输入Xinge.com 接着下一步在IP地址里面输入192.168.1.18 按添加接着下一步按完成就ok了

我在Hangzhou这台计算机上通过开始--程序--管理工具--选择Active Directory域和信任关系对着Subdom.Nwtraders.Msft这个子域右键--选择属性按信任在信任此域的域里面--按添加在信任域里面输入Xinge.com 也就是说我现在设置Xinge.com信任Subdom.Nwtraders.Msft 按确定 Xinge.com是属于外部信任关系是不可传递的按Xinge.com-- 按编辑--按验证--输入信任域的用户名和密码确保这个信任关系是可靠的

我现在来到Shenzhen这台计算机通过开始--程序--管理工具--选择Active Directory域和信任关系对着Xinge.com右键--选择属性按信任在受此域信任的域里面按添加在受信任域里面输入Subdom.Nwtraders.Msft按确定 Subdom.Nwtraders.Msft是属于外部信任关系是不可传递的

删除信任关系:不再信任一个域或原域将被移除的时候,需要删除已建立的信任关系验证和删除信任关系:NETDOM TRUST 目标域FQDN /Verify NETDOM TRUST 目标域FQDN /Domain:本地域FQDN /remove

阻止未经授权的用户访问:何为之未经授权的用户如何阻止未经授权的用户访问 netdom.exe /flitersids:信任域FQDN

我们有时候会删除掉信任关系什么时候删除掉信任关系呢？当我们不再信任一个域比如说一家公司和另一家公司是处于合作伙伴的关系关系非常友好那么有一些资源需要共享需要创建一个信任关系但是世界是永恒不变的只有利益时间长了可能两家公司出现了分离合作伙伴终止我们这个时候需要把信任关系马上终止防止对方的用户还能够来我们的公司看资料比如说我现在想删除掉Xinge.com这个域打开Active Directory域和信任关系后对着Subdom.Nwtraders.Msft右键--选择属性按信任---按Xinge.com按删除就ok了

通过开始--程序--管理工具--选择Active Directory 站点和服务对着Sites右键--新建--按站点比如某些DC是在Shanghai的站点的名称就叫做Shanghai吧下面有一个DEFAULTIPSITELINK这个是站点间的复制连接这个是必需选上的按DEFAULTIPSITELINK 按确定

对着Subnets右键--选择新建--子网 IP地址为192.168.1.2 掩码为255.255.255.255 创建一个这样的子网按Shanghai 按确定

我再来创建一个子网 IP地址为192.168.1.3 掩码为255.255.255.255 按Shanghai 按确定这两台DC都放在Shanghai这个站点内当有客户端使用IP地址来访问的时候它就会默认地到Shanghai这个站点的DC里面去而不需要去访问DEFAULTIPSITELINK里面的DC 当然DC还需要我们手动移动到Shanghai站点里面

我现在把Beijing Hangzhou这二台DC都移动到Shanghai这个站点里面对着DC右键--选择移动按Shanghai 按确定那么这个Shanghai站点它下面就包含两个子网

另外我们也可以创建一个新的站点名称就叫做Beijing吧按DEFAULTIPSITELINK 按确定

现在为Beijing这个站点新建子网对着Subnets右键--选择新建--子网 IP地址为192.168.1.12 掩码为255.255.255.254 按Beijing 按确定

我现在把Guangzhou这台DC移动到Beijing这个站点里面对着Guangzhou右键--选择移动按Beijing 按确定

我现在来创建一个站点间的传输链接站点间的传输链接有二种方式 IP链接和SMTP链接在绝大部分的情况下我们都会使用IP链接因为IP链接它更有保证性和效率更高 SMTP链接会用于什么情况呢？SMTP链接它需要使用SMTP服务那么它通常是使用网络带宽非常小而且网络链接非常不稳定经常会断我们需要使用SMTP链接使这个复制链接能够保证数据的可靠性和可用性我现在来创建一个IP链接展开Inter-Site Transports 对着IP右键--选择新站点链接名称就叫做Beijing to Shanghai吧把Beijing和Shanghai都添加在此站点链接中的站点里面按确定

双击DEFAULTIPSITELINK这个站点链接在此站点链接中的站点按Beijing按删除确保Beijing和Shanghai站点之间就只有我当前所创建的Beijing to Shanghai的站点链接

对着Beijing to Shanghai这个站点链接右键--选择属性在常规里面可以看到开销值默认值是100 它是用来计算两个站点之间复制优先级的数值越小的优先级越高在复制的时候优先保证开销值小的先进行副本复制频率默认值是180分钟也就是Beijing站点和Shanghai站点之间是每180分钟才发生一次复制更关键的是可以更改日程安排按更改日程安排我们可以规定每天什么时候进行复制比如说我们每天早上8点钟到晚上8点钟可能有同事在使用宽带网络网络的效率没法得到保证我们就规定从早上8点钟到晚上8点钟之间不可以进行任何AD复制的选择无法使用复制那一项只有在晚上8点钟之后到早上8点钟之前才允许AD复制按确定就ok了

如果Beijing这个站点想和DEFAULTIPSITELINK这个站点进行复制怎么办呢? 当然我们可创建一个新的站点链接但是创建多个站点链接对你以后的管理不是好事所以我们就创建一个站点链接桥吧对着IP右键--选择新站点链接桥名称就叫做Beijing to Default site吧那么站点链接桥就把这两个站点链接放在里面了这样Beijing和DEFAULTIPSITELINK站点之间能够通过Shanghai站点来进行复制当然这个复制模式是Beijing先复制到Shanghai Shanghai再复制到DEFAULTIPSITELINK 这样能够保证Beijing到Shanghai只有一次复制而不是二次复制同样也减少了我们日程的维护量按确定就ok了

部署站点的最佳实践:根据复制需求来订制站点间的复制间隔和复制时间对于大环境,建议关闭ITSG,手动配置复制链接

转载于:https://blog.51cto.com/yejunsheng/162153

AD ---- 活动目录的日常管理操作相关推荐

深入理解域之AD活动目录企业应用及案例分享
QUOTE: 深入理解域之AD活动目录企业应用及案例分享无论集中还是分散,目录服务触及企业的每个角落,而且常常超越企业延伸到商业伙伴和客户.AD是一个企业目录系统,可以自动进行用户数据,安全和分布的 ...
文件------概念、基本操作、打开文件的方式、按行读取文件内容、复制文件、文件/目录的常用管理操作、文本文件的编码格式、练习1-4
文件的概念文件的概念计算机的文件,就是存储在某种长期储存设备上的一段数据长期存储设备包括:硬盘.U盘.移动硬盘.光盘... 文件的作用将数据长期保存下来,在需要的时候使用文件的存储方式在计 ...
实战：Windows Server 2008 活动目录传送和争夺操作主控角色
实战:传送和争夺操作主控角色当创建Windows Server 2008域时,Windows Server 2008将自动配置所有的操作主控角色.不过,给目录林或域内的另一个域控制器重新分配操作主控 ...
windows系统巡检命令及日常管理操作
一.基础环境管理 1.CPU使用率 wmic CPU get loadpercentage /value|findstr [1-9] 或 wmic path win32_perfformattedda ...
ad 活动目录 linux,Active Directory 活动目录
活动目录(Active Directory)是面向Windows Standard Server.Windows Enterprise Server以及 Windows Datacenter Serv ...
ZStack云平台云主机的日常管理操作
文章目录云主机日常操作功能云主机创建必要参数高级参数云主机管理生命周期管理配置运维其他云盘镜像管理云盘管理镜像管理熟悉云主机功能使用云主机日常操作功能云主机创建必要参数 ...
如何将Windows Server域(AD活动目录)中的用户导出并导入至Outlook2010通讯簿
在企业中如何同步所有的用户至邮件联系人,尤其是在增加了新员工的情况下是一个很常见的问题,解决办法之一就是将域用户中所有用户的Email加入至邮件客户端的通讯簿中.Windows 域用户管理在企业中有着 ...
系统管理员 AD如何还原活动目录
系统管理员 AD如何还原活动目录时间:2008-12-23 00:00 来源:"angerfire-宋杨[兆隆人]" 字体:[大中小]在使用域环境进行IT管理的企业中,AD活动 ...
还原活动目录完全手册
在使用域环境进行IT管理的企业中,AD活动目录的数据是至关重要的. 那么在AD活动目录的日常维护中难免出现意外. 做为一名企业内部网络管理员,在第一时间还原丢失的用户数据那么就为当前的生产环境避免了损 ...

AD ---- 活动目录的日常管理操作

AD ---- 活动目录的日常管理操作相关推荐

最新文章

热门文章