管理对象和信任

第3章配置ActiveDirectory对象和信任章节概述第1节：配置ActiveDirectory对象第2节：使用组的策略第3节：ADDS对象管理自动化第4节：委派对ADDS对象的管理访问权第5节：配置ADDS信任第1节：配置ActiveDirectory对象ADDS对象的类型演示：配置ADDS用户帐户ADDS组类型ADDS组作用域默认ADDS组ADDS特殊标识讨论：使用默认组和特殊标识演示：配置ADDS组帐户演示：配置其他ADDS对象ADDS对象的类型用户帐户

实现用户的单一登录

允许访问资源计算机帐户

实现计算机对资源访问的身份验证和审核组帐户

帮助简化管理InetOrgPerson类似于用户帐户用于兼容其他目录效劳组织单位

用于将相似的对象分组以便于管理打印机

用于简化查找和连接打印机的过程共享文件夹

用于简化查找和连接共享文件夹的过程演示：配置ADDS用户帐户在本演示中，你将看到如何配置ADDS用户帐户。ADDS组类型通讯组只能用于电子邮件应用程序不支持平安性平安组用于将权利和权限分配给用户组和计算机组嵌套时使用最有效功能级别决定了你可以创立的组类型本地组ADDS组作用域组成员可包括同域域本地组任何受信任域

全局组通用组可用于在以下范围内分配权限组作用域通用组、全局组，以及该组自己的域中的其他域本地组任何受信任域中的帐户作为任何受信任域中的成员

的用户、组和计算机

该组自己的域中的用户、组和计算机

任何受信任域

作为任何受信任域中的成员

的用户、组和计算机

本地计算机上

默认ADDS组默认组用于管理共享资源，以及委派特定的全域性管理角色。AccountOperatorsAdministratorsBackupoperatorsIncomingforest

trustbuildersNetworkconfiguration

operatorsPerformancelogusersPerformancemonitor

usersPre-Windows2000

compatibleaccessPrintoperatorsRemoteDesktop

usersReplicatorServeroperatorsUsersADDS特殊标识旨在允许无需管理性交互或用户交互，即可直接访问资源。AnonymouslogonAuthenticatedusersBatchCreatorgroupCreatorownerDialupEveryoneInteractiveLocalsystemNetworkSelfServiceTerminalServerusersOtherorganizationThisorganization讨论：使用默认组和特殊标识使用场景，答复教材中的问题。演示：配置ADDS组帐户在本演示中，你将看到如何配置ADDS组帐户。演示：配置其他ADDS对象在本演示中，你将看到如何配置其他ADDS对象。第2节：使用组的策略分配资源访问权的选项使用帐户组分配资源访问权使用帐户组和资源组讨论：在单域或多域环境中使用组分配资源访问权的选项在分配对资源的访问权时：应方案最低限度的权限使方案尽可能简单最好方案文档选项包括：将用户帐户添加到资源的ACL将用户帐户添加到组，再将组添加到资源的ACL将用户帐户添加到帐户组，将帐户组添加到资源组，然后将资源组添加到资源的ACL

使用帐户组分配资源访问权权限帐户组用户帐户使用帐户组和资源组资源组权限帐户组用户帐户讨论：在单域或多域环境中使用组使用场景，答复教材中的问题。第3节：ADDS对象管理自动化自动化ADDS对象管理的工具使用命令行工具配置ADDS对象使用LDIFDE管理用户对象使用CSVDE管理用户对象WindowsPowerShellWindowsPowerShellCmdlet演示：使用WindowsPowerShell配置ActiveDirectory对象自动化ADDS对象管理的工具ActiveDirectory

用户和计算机目录效劳工具DsaddDsmodDsrmCsvde和Ldifde工具WindowsPowerShell使用命令行工具配置ADDS对象命令行工具：DsaddDsmodDsrmDsgetnetuserNetgroupNetcomputerfilename.ldf使用LDIFDE管理用户对象ActiveDirectory导入导出LDIFDE.exe使用CSVDE管理用户对象filename.csvActiveDirectory导入导出CSVDE.exe

WindowsPowerShellWindowsPowerShell是一种可扩展的脚本和命令行技术，可用来管理ADDS和其他Windows组件。WindowsPowerShell功能包括：强大的单行Cmdlet别名变量管道脚本支持访问所有cmd.exe命令一个Cmdlet的结果可通过管道传到另一个Cmdlet。WindowsPowerShellCmdletWindowsPowerShellCmdlet全都使用相同的语法名词动词Date参数示例GetGet-DateStart

ServiceW3SVCStart-ServiceW3SVC

Get-ServiceW3svc|format-listGet-Service|sort-objectname

Get-Service|where-object{$_.status–eq“running”}|

sort-objectname演示：使用WindowsPowerShell配置ActiveDirectory对象在本演示中，你将看到如何使用WindowsPowerShell来配置ActiveDirectory对象。实验A：配置ActiveDirectory对象练习1：配置ADDS对象练习2：实施ADDS组策略练习3：使ADDS对象的管理自动化登录信息虚拟机NYC-DC1、LON-DC1、NYC-CL1

用户名Administrator

密码Pa$$w0rd实验预估时间：40分钟实验A回忆实验复习题和解答你在公司中使用组的策略与本实验中所使用的策略相比，有何异同？在可实现ADDS对象管理自动化的选项中，哪个选项在你的公司中最有用？第4节：委派对ADDS对象的管理访问权ActiveDirectory对象权限演示：ActiveDirectory域效劳对象权限继承有效权限控制委派讨论：委派控制的场景演示：配置控制委派ActiveDirectory对象权限ActiveDirectory权限：包括标准权限和特殊权限：标准权限是最常分配的权限特殊权限实现更细致地控制对象访问权的分配可以是允许、隐式拒绝或显式拒绝可设置在对象级别，或者从父对象上继承演示：ActiveDirectory域效劳对象权限继承在本演示中，你将看到ADDS对象如何继承权限。有效权限有效权限是授予指定用户或组的实际权限。权限是累积的，包括分配给该用户帐户的权限以及分配给

其组帐户的权限显式拒绝权限覆盖允许权限显式允许权限覆盖显式拒绝权限对象所有者总是可以更改权限对象所有者总是可以更改权限。有效权限工具计算特殊权限时，不会使用特殊标识控制委派域OU1OU2Admin2Admin1Admin3OU3控制委派是将管理ActiveDirectory对象的职责分配给其他用户或组。委派管理：分摊日常管理任务，从而减轻管理工作负担为用户或组提供更多的对本地网络资源的控制权防止了需要多个管理帐户讨论：委派控制的场景委派管理权限的益处是什么？如何在公司中使用控制委派？演示：配置控制委派在本演示中，你将看到如何配置控制委派。第5节：配置ADDS信任ADDS信任ADDS信任选项信任在林中的工作方式信任在林间的工作方式演示：配置信任用户主体名称选择性身份验证设置演示：配置高级信任设置ADDS信任信任提供使用户可访问其他域中的资源的机制。信任特点：可传递——信任关系延伸到双域信任之外，以纳入其他受信任域信任方向——信任方向定义帐户域和资源域身份验证协议——用来建立和维护信任的协议

ADDS信任选项林（根）树/根信任林信任快捷信任外部信任Kerberos领域领域信任域D林1域B域A域E域F林（根）域P域Q父/子

信任林2域C信任在林中的工作方式树1树2域1树根域林根域域2域C域A域B信任在林间的工作方式WoodgroveBank林信任全局编录全局编录SeattleEMEA.WoodgroveBankVancouver246135789林1林2演示：配置信任此演示中，你将看到如何配置快捷信任、外部信任和林信任用户主体名称域后缀可以是用户的主域、林中的任何其他域，或者自定义域名可以添加更多UPN域后缀UPN在林中必须是唯一的UPN后缀可用于在受信任林之间路由身份验证请求：如果两个林中使用了相同的UPN后缀，那么UPN后缀路由自动禁用可以手