某烟草公司管理员操作手册

四川省烟草专卖局（公司）效能协同平台管理员操作手册AD域控及组策略管理版本号1.0日期:2023年6月山东浪潮齐鲁软件产业股份文档修订记录鞭版本肤日期敲更改人歌描述慧0.1逼2023卡-喷6-9客孙正敏深新建文档矮0.2性2023-亦6-17敬李浩艳完善文档脊1.0回2023-喷6-21凝孙正敏倘完善文档目录赚一、贝迟Activ装eDir糕ector克y(AD)泼活动目录简留介堆义4搜1盐、工作组与砖域的区别季境4剑2鼻、公司采用肠域管理的好鸟处从督4途3名、轨Activ专eDir垮ector诊y(AD)悲活动目录的灾功能按月6堵二、薯荡AD吵域控（菌DC师）基本操作红描6酬1没、登陆辟AD叼域控杠既6夹2逢、新建组织汗单位（村OU贷）栋话8膝3疫、新建用户浙攻10膏4候、调整用户或束11词5蒸、调整计算份机幅宣14龙三、房闻AD罪域控常用命拖令行杜15姑1伐、创建组织尘单位：建(dsad梳d)偏话15钥2宫、创建域用醉户帐户辈(dsad翠d)富使15齿3召、创建计算广机帐户领(dsad臭d)除砍15饿4燥、创建联系介人蜡(dsad始d)川婆16复5偶、修改活动柔目录对象提（唱dsmod值）夺岗16趁6毯、其他命令坦（戒dsque夕ry监、他dsmov男e截、卡dsrm禽）冬暴17阿四、勉朱组策略管理戚称19修1坐、打开组策铲略管理器展盘19叮2拦、受信任的睁根证书办法扛机构组策略晴设置兆册20滩3阁、虑IE懂安全及隐私堤组策略设置避米25泥4流、注册表项汁推送戏歉30毒五、疾碍设置决DNS彩转发犁房33欲A晃ctive探棋D公irect湾ory面(AD)妇活动目录砌简介母1、工作组嫁与域的区别鲜域管理与工犹作组管理的股主要区别在芝于：堡1溉）蚂、工作组网屯实现的是分贡散的管理模帖式，每一台拿计算机都是批独自自主的你，用户账户健和权限信息去保存在本机至中，同时借鱼助工作组来萌共享信息，钞共享信息的夹权限设置由希每台计算机默控制。在网只上邻居中能尤够看到的工庆作组机的列蜻表叫浏览列墙表是通过广汤播查询浏览停主控服务器吸，由浏览主偷控服务器提锣供的。而域禁网实现的是余主骂/鼻从管理模式螺，通过一台侍域控制器来椒集中管理域缘内用户帐号张和权限，帐已号信息保存俱在域控制器闪内，共享信捆息分散在每吹台计算机中争，但是访问卫权限由控制景器统一管理什。这就是两杯者最大的不专同。勒2膏）明、在告“烦域丈”幕模式下，资幕源的访问有隔较严格的管糕理斥,帜至少有一台伪服务器负责惜每一台联入旅网络的电脑飞和用户的验冠证工作，相厉当于一个单岗位的门卫一讨样，称为牺“坦域控制器（池Domai陈nCon月troll泳er吉，简写为粉DC宅）磁”旺。卷3五）葛、域控制器啦中包含了由锻这个域的账春户、密码、哭属于这个域环的计算机等圾信息构成的贯数据库。当员电脑联入网吃络时，域控切制器首先要滩鉴别这台电胸脑是否是属告于这个域的撑，用户使用晴的登录账号骑是否存在、台密码是否正逼确。如果以取上信息有一厉样不正确，例那么域控制盒器就会拒绝哄这个用户从现这台电脑登忘录。不能登捏录，用户就奇不能访问服号务器上有权至限保护的资个源，他只能弯以对等网用查户的方式访艇问欢Windo肿ws挂共享出来的脱资源，这样团就在一定程其度上保护了新网络上的资记源。而工作腊组只是进行宁本地电脑的布信息与安全距的认证。胆2、瓣公司采用域厕管理的好处艳1见）巷、方便管理舍,鸭权限管理比忽较集中，管沾理人员可以鸣较好的管理么计算机资源杂。轿2女）说、安全性高罪，有利于企捧业的一些保每密资料的管抗理，比如一兼个文件只能腹让某一个人禁看响,姻或者指定人许员可以看增,垮但不可以删畜/摩改匹/突移等。驶3狡）壳、方便对用痰户操作进行辣权限设置，健可以分发，针指派软件等吉,挡实现网络内鼻的软件一起分安装。天4铜）缠、很多服务务必须建立在准域环境中，糟对管理员来搬说有好处罗:勾统一管理狱,脚方便在半MS辈软件方面集美成债,百如献ISAE隔XCHAN温GE(羡邮件服务器余)序、临ISAS捉ERVER煮(绒上网的各种废设置与管理跌)塔等。款5惊）希、使用漫游泥账户和文件礼夹重定向技贱术，个人账宾户的工作文员件及数据等斥可以存储在甩服务器上，风统一进行备斤份、管理，潮用户的数据斗更加安全、须有保障。脊6螺）晋、方便用户甲使用各种资拒源。架7惹）仙、秤SMS棚（市Syste倘mMan值ageme权ntSe饭rver阁）能够分发手应用程序、程系统补丁等赌，用户可以酬选择安装，揉也可以由系续统管理员指估派自动安装弹。并能集中请管理系统补剧丁（如蜻Windo沿wsUp熊dates炕），不需每彼台客户端服霸务器都下载便同样的补丁雅，从而节省尖大量网络带册宽。灭8裳）庭、资源共享亡用户和管理舒员可以不知召道他们所需鞋要的对象的喜确切名称，冻但是他们可顷能知道这个燥对象的一个糟或多个属性川，他们可以浩通过查找对拴象的部分属策性在域中得着到一个所有窜已知属性相屿匹配的对象菌列表，通过剥域使得基于爪一个或者多眨个对象属性身来查找一个帖对象变得可舞能。9）、管理侦域控制器集妻中管理用户毕对网络的访婶问，如登录饰、验证、访狮问目录和共盲享资源。为直了简化管理捷，所有域中清的域控制器朱都是平等的制，你可以在脑任何域控制摸器上进行修悲改，这种更轿新可以复制煌到域中所有路的其他域控旨制器上。焦域的实施通巷过提供对网虚络上所有对秆象的单点管躬理进一步简朋化了管理。着因为域控制哭器提供了对胸网络上所有亭资源的单点暴登录，管理蚂远可以登录唇到一台计算能机来管理网薯络中任何计辆算机上的管家理对象。在例NT违网络中，当识用户一次登源陆一个域服东务器后，就虫可以访问该顿域中已经开仙放的全部资软源，而无需汁对同一域进稿行多次登陆薪。但在需要情共享不同域库中的服务时驾，对每个域务都必须要登臭陆一次，否联则无法访问挥未登陆域服争务器中的资赌源或无法获鱼得未登陆域绍的服务。生10羽）宿、可扩展性企冒在活动目录倡中，目录通比过将目录组包织成几个部胃分存储信息显从而允许存劣储大量的对女象。因此，把目录可以随业着组织的增挖长而一同扩未展，允许用称户从一个具遇有几百个对该象的小的安欠装环境发展芦成拥有几百售万对象的大插型安装环境炉。刮11）刑、安全性绳拦域为用户提脸供了单一的百登录过程来死访问网络资做源，如所有餐他们具有权苍限的文件、芽打印机和应峰用程序资源仰。也就是说宾，用户可以迁登录到一台艳计算机来使滩用网络上另休外一台计算队机上的资源宣，只要用户拼具有对资源吹的合适权限疑。域通过对利用户权限合灿适的划分，山确定了只有窃对特定资源猎有合法权限每的用户才能梅使用该资源痰，从而保障售了资源使用领的合法性和笛安全性。抖促1券2）弟、可冗余性芝每个域控制挂器保存和维随护目录的一戴个副本。在告域中，你创呼建的每一个抓用户帐号都腐会对应目录惯的一个记录炸。当用户登慰录到域中的镇计算机时，冷域控制器将泻按照目录检套查用户名、恼口令、登录假限制以验证袜用户。当存科在多个域控吉制器时，他院们会定期的绕相互复制目批录信息，域姨控制器间的蓝数据复制，规促使用户信绕息发生改变矩时（比如用海户修改了口劫令），可以突迅速的复制催到其他的域减控制器上，折这样当一台活域控制器出第现故障时，锅用户仍然可酿以通过其他滩的域控制进聋行登录，保抵障了网络的急顺利运行。馅3、殃A沸ctive捐益D末irect婆ory掏(AD)枕活鄙动目录的功撒能阵活动目录(辰Activ约eDir羽ector靠y)主要提漫供以下功能忙：删1您）哑、门基榨础网络服务搁：包括DN熔S、WIN扫S、DHC扫P、证书服坐务等。滋2撒）星、嘴服务器及客辩户端计算机迁管理：管理困服务器及客钻户端计算机织账户，所有斯服务器及客喇户端计算机歇加入域管理双并实施组策如略。务3）、用乞户服务：管寸理用户域账玩户、用户信拜息、企业通厨讯录（与电卫子邮件系统迁集成）、用弓户组管理、醒用户身份认筑证、用户授事权管理等，歼按地市秒实施组管理零策略。侄4）、侄资源管理：奔管理打印机条、文件共享展服务等网络肃资源。扔5）、沟桌面配置：齐系统管理员辉可以集中的壳配置各种桌私面配置策略欠，如：界面霉功能的限制虏、应用程序剑执行特征限怖制、网络连辣接限制、安原全配置限制轮等。驾6）、威应用系统支忍撑：支持财四务、人事、介电子邮件、反企业信息门兵户、办公自淡动化、补丁家管理、防病屑毒系统等各验种应用系统冷。痒AD域控因（DC）晒基本操作盛1、登陆A纱D域控救登陆到艳本地市的婶域控服务器穴，依次点击予“俯开始-管理劲工具-Ac魄tive阻Direc滔tory疤用户和计算砖机捏”协，如下图：图2-1笨进入如下管匠理界面：图2-2街以乐山市公寨司为例：其在乐山的只对读域控服务虑器上可以看秧到个省公司蠢下各地市的添节点：橡但是只能对爱自己公司的很节点进行维阿护：图2-3撤2、现新建销组织单位（窑OU占）攻OU(Or百ganiz标ation测alUn四it，组织纲单位)是可臂以将用户、择组、计算机悄和其它组织甜单位放入其拌中的AD容缺器，是可以闻指派组策略灿设置或委派滴管理权限的孙最小作用域耳或单元。通贤俗一点说，渠如果把AD侄比作一个公彼司的话，那说么每个OU猾就是一个相钱对独立的部宾门。施裂图1-乱3碰中以克图赞标开头的均桑表示夜组织单位，刃若需要添加鱼组织单位时酸，在需要添尝加的伸组织单位我的上级节点秆依次点击挎点击饰“遥右键-新建逆-组织单位内”仇，如下图稀：图2-4般填写组织单飞位名称-点激击确定图2-4奏既可疾在选中的组拉织单位节点贵下新增组织用单位罗。缴注：删除组苹织单位时，菌要在岂查看中勾选朽高级功能图2-5像然后役选中的组织腊单位践捐属性-对象咽中将显“屿防止对象被赛意外删除何”执前的勾去掉趁，才能删除梯。图2-6斗3、倍新建用户泉图扁2坚-1右侧膨窗口中以扰图标开头的列就是钟用户弱。枯与新建予组织单位相防似的。嫁对自己有权钱操作维护的旬组织单位点砍击董“援右键-新建碰-用户齿”悦，性填写用户基收本信息，点淋击洲双下一步蛮。图2-7恼填写初始密蛮码，点击拾下一步图2-8点击完成图2-9铁既可在选中株的晨组织单位栗节点下新增阔用户图2-10秘4、巧调整用户牛右键点击起用户百-撤属性图2-11乱进入用户信定息修改：图2-12教其中常规仰中号骨码必填图2-13袖选项卡暖中移动电迟话必填图2-14驶单位选项级卡中舰所有信息必肃填图2-15缓注：直接下勒属顽增不需要维护截这几个选项消卡是常用，侵并且需要注柔意的。差5、走调整计算机签当用户利用鼻自己的帐号吹加入域后，绳在AD窝管理工具中魔就能看到登栗入域的计算绩机守右键点击计熊算机可对其披进行管理图2-16可AD域控常衰用命令认AD域控管攻理命令可以遭用命令行的卫方式，依次谜点击乒“徐开始-运行蔽-cmd法”董，打开命令爱行工具。A里D域控常用架命令有很多筝，下面列举彩一些比较常锣见的例子：腿1、释创建组织单悄位：咽(dsad垫d)灶命令格式：沿dsadd趟ou<清OUDN>圾[-de锋sc描述段][{-纽s服务器神|-d域冻}][-侦u用户名悦][-p鲁{密码|照*}][圈-q][赚{-uc|餐-uoc|窃-uci}鼻]齐注意：OU等名称应为要芹创建的OU拼的LDAP铺绝对路径（悬DN，Di舰sting叶uishe捏dNa与me），如互果DN中包坦含空格，应怖该在路径两丝端使用双引珍号。液例如要在y震jx.co惯m域中建立浇一个名为f狸inanc窗e的OU，闭可以执行以霉下命令：厉C:\>d促sadd环ouou斥=fina永nce,d亲c=yjx挡,dc=c造om-d轰esc"举财务部"块2、饺创建域用户搅帐户肺(dsad侦d)跳命令格式：青dsadd滔user察<Use鼓rDN>规[-sam俗id<S担AMNam粪e>]-捕pwd{霉<Pass妇word>量|*}毕–酸upnU察PN蝴例如要在y项jx.co沫m域中建立妹一个名为m填ike的用侧户帐户，该努用户将位于狐sales浇OU中，慰其显示名称丹为绝“肃mike薪yang睬”供，则可以执咬行以下命令浊：卷C:\>d粱sadd窝user异cn=mi并ke,ou性=sale刚s,dc=利yjx,d纤c=com嫩-sam牢idmi亭ke-p薯wdbe辉net3.窑0-di踏splay狗“mik圈eyan滔g”仗3、畅创建计算机疫帐户别(dsad站d)右命令格式：牵dsadd标comp你uter绝<Comp课uterD猾N>南要在yjx溜域莲中的sal猪esOU换中建立一个炭名为cli哭ent-2三的计算机帐壁户，可以执学行以下命令摧：才C:\>d养sadd丸compu刘terc执n=cli衡ent-2舍,ou=s梨ales,粥dc=yj倡x,dc=过com获要在yjx性域杀中的sal窜esOU穷中建立一个雾名为cli馋ent-3予的计算机帐蛇户，并设置劳计算机账户叫的描述信息西为忌“果测试工作站所”野，可以执行喊以下命令：划C:\>d桃sadd沃compu尼terc助n=cli商ent-3鱼,ou=s喊ales,粗dc=yj番x,dc=旬com-彻desc崭测试工作站缝4、诵创建联系人荣(dsad状d)队命令格式：倚dsadd糠cont缝act<心Conta决ctDN>些[-fn液<Fir轻stNam宫e>][耗-mi<拒Initi愚al>]娃[-ln惕<Last陆Name>饲][-d农ispla到y<Di旅splay拾Name>妄][-d困esc<倡Descr状iptio值n>]扭要在yjx贪域拖中的sal使esOU棵中建立一个振名为杨建新羞的联系人，跌执行以下命王令：啄C:\>d鹅sadd虑conta丰ctcn龙=杨建新,辰ou=sa著les,d瞧c=yjx叹,dc=c炕om-f诵njia眨nxin炼-lny艇ang-炸displ范ay杨建掌新腥老5胳、胸修乖改活动目录骄对象脸（dsmo阵d）参用于修改A馒D对象的属氧性，可以对躬OU、用户眯、组、联系屡人等对象进届行修改。插C:\>d顶smod烟user众/?释描述:锻修改目录中漆现有的用户远。扩语法:读ds餐modu薪ser<徐UserD鸽N...椒>[-u和pn<U脑PN>]滩[-fn律<Firs胖tName跃>]疯盈乔[-mi晴<Init锻ial>]趋[-ln推<Las废tName河>][-雀displ伪ay<D帝ispla宰yName浸>]效寄蠢[-fnp领<fir楼stna乌meph叉oneti侦c>][植-lnp睬<last服name听phon惯etic>索]蛛瞧急[-dis妙playp役<dis高play涝name甲phone寺tic>]骗龙婆[-emp唯id<E桐mploy寨eeID>邪][-p前wd{<洁Passw逃ord>贿|*}]蛋涂匙[-des型c<De涌scrip乘tion>座][-o悼ffice键<Off市ice>]档[-te侧l<Ph颠one#>异]更我刺[-ema锤il<E部mail>橡][-h晃omete小l<Ho吧mePho愈ne#>]伍[-pa条ger<探Pager绞#>]跪怒受[-mob派ile<去CellP野hone#吃>][-拴fax<滨Fax#>锹][-i雕ptel先<IPPh皆one#>且]顿谣释[-web蒜pg<W孩ebPag纲e>][财-titl换e<Ti堤tle>]路[-de帽pt<D兆epart尘ment>侨]宝环惯[-com葡pany柱<Comp待any>]光[-mg怠r<Ma饼nager爱>][-颈hmdir辅<Hom馆eDir>王]面归冒[-hmd智rv<D报riveL权tr>:]检[-pr逃ofile徒<Pro纪fileP糕ath>]蹄芒嫂[-los引cr<S闪cript吉Path>晕][-m伍ustch猴pwd{悔yes|贴no}]任南扬[-can扎chpwd唱{yes疾|no杜}][-担rever什sible谜pwd{揉yes|知no}]坏和犁[-pwd共never齿expir魄es{y头es|狂no}]牵营预[-acc构texpi滨res<藏NumDa减ys>]搞[-dis贞abled初{yes射|no每}]为斑伞[{-s警<Serv稍er>|润-d<惕Domai缓n>}]愧[-u<口UserN沈ame>]渠第暮[-p{虾<Pass矿word>赠|*}揭][-c陶][-q火][{-娃uc|保-uco屯|-uc枕i}]]称几个具体用思法如下：样重置用户帐关户的密码誉dsmod削user晃User归DN-p役wd新密近码[-m睡ustch辫pwd{组yes|顷no}]供下次登录章时修改此密吨码仆启用或禁用依账户叔dsmod辅user捞User芳DN可分裹辨名称-刘disab易led{司yes|n踢o}ye栽s禁用秒no启用怀修改计算机版帐户属性的螺格式为：霸dsmod砍comp略uter朵Compu默terDN促...[亏-desc申Desc料ripti赌on][胜-loc武Locat油ion]馋[-dis待abled闻{yes色|no块}][-暖reset闪][{-项sSer律ver|企-dD较omain厦}][-没uUse途rName币][-p叠{Pas啦sword备|*}绍][-c婆][-q声][{-尝uc|达-uco季|-uc丛i}]脆重设计算机理帐户腰dsmod馆comp功uter仓Compu禁terDN饥-res钳et饿启用或禁用光计算机帐户逗dsmod稳comp织uter傅Compu瓶terDN逢可分辨名隙称-di遭sable击d{ye俭s|no}签yes嘉禁止登录阵no允许放登录仆将计算机帐蛮户添加到组办中哄dsmod颈grou须pGro眯upDN舅-addm笑brCo驴mpute亚rDN创要创建一个亭sales令全局组，并珍将用户mi映ke加入到玩该组中，可圾以执行以下余命令：想C:\>d旺sadd曾group蒙cn=s针ales,墙ou=sa蠢les,d对c=yjx爷,dc=c荐om-d炉esc销盟售部挨dsadd啊成功:c支n=sal坑es,ou喉=sale狱s,dc=域yjx,d孙c=com涨C:\>d氧smod关group凤cn=s低ales,层ou=sa费les,d异c=yjx例,dc=c唉om-a察ddmbr杏cn=m泽ike,o岂u=sal菜es,dc械=yjx,深dc=co逆m慈dsmod岂成功:c愚n=sal五es,ou岩=sale卷s,dc=朽yjx,d舞c=com泥6、财其他命令（狡dsque秤ry、ds格move、冻dsrm）烧其他的活动潮目录操作命搭令还包括d匙squer习y、dsm隆ove、d唯srm等，亚分别用于活部动目录对象滴的查询、移矩动和删除。胸要查找sa竭lesO绞U中的所有帽用户，可以高执行以下命钥令：觉C:\>d御squer停yuse似rou=色sales昨,dc=y饥jx,dc耗=com农-name坡*棕"CN=m刑ike,O斥U=sal其es,DC兼=yjx,夸DC=co针m"病"CN=u魂ser1,哑OU=sa赚les,D倒C=yjx鸣,DC=c以om"转"CN=u励ser2,浓OU=sa银les,D驻C=yjx岩,DC=c抖om"纲要查找sa基lesO担U中已经3灶个星期不活影动的用户，雨可以执行以茅下命令：架C:\>d疲squer式yuse捞rou=款sales扮,dc=y愈jx,dc泄=com界-inac绸tive尸3搏要将mik悬e用户移动现到fina观nceO清U中，可以编执行以下命乖令：昨C:\>d线smove搅cn=m反ike,o菜u=sal赏es,dc酸=yjx,农dc=co桂m-ne羊wpare荒ntou清=fina召nce,d蛾c=yjx算,dc=c事om涂dsmov睬e成功:饿cn=mi桥ke,ou度=sale此s,dc=虑yjx,d父c=com峰要删除sa股lesO兆U中的用户乒user1掌，可以执行助以下命令：溪C:\>d细srmc维n=use衡r1,ou组=sale吹s,dc=支yjx,d压c=com棋您确认要删较除cn=妹user1揉,ou=s强ales,木dc=yj努x,dc=护com吗艺(Y/N)丰?y距dsrm含成功:cn汤=user多1,ou=罢sales桶,dc=y侧jx,dc漫=com组策略管理督1、声打开组策略方管理器晶依次点击积“挠开始-管理越工具-点击厦进入组策根略管理迅”尸，进入组策初略管理器。增如下图：图4-1图4-2对2、热受信任的根早证书爪办法机构组课策略设置嗓启动组策略不管理：开始铁-管理工具亩-组策略管补理图4-3迷选择拥有