2154AWindows2000目录服务基础结构设计与管理

下次课开始于2024/12/14

MICROSOFT

EDUCATIONANDCERTIFICATION目录服务基础结构设计与管理MicrosoftWindows2000课程号2154A，考试号70-217

2024/12/14MCSE:Windows2000张东辉高培信息办TEL:5988204Email:zhangdh@gp.dq.cnpc.com.cn个人信息SystemsEngineerMicrosoftCertifiedProfessional2024/12/14利用组策略管理用户环境82024/12/148-1概述利用组策略配置和管理用户桌面约618条组策略设置管理模板它下面的设置都是基于注册表的存于sysvol\……\registry.pol中但这些设置并不永久地改变注册表2024/12/148-2管理用户环境简介控制用户在他们的环境下所能做的事情使用组策略设置来控制用户的环境应用组策略到一个容器，使定义的用户环境对新用户或计算机立即生效配置和集中管理用户环境强制标准配置

限制用户在操作系统中可访问的部分保证用户总是有他们自己的桌面和个人数据限制2000工具和组件的使用组装用户桌面

确保用户环境安全管理用户环境管理模板设置脚本设置重定向用户文件夹安生设置My

DocumentsHKEY_LOCAL_MACHINEHKEY_CURRENT_USER基于注册表的2024/12/14有效配置和管理用户环境简化用户环境，防止用户破坏环境它下面的设置都是基于注册表的相当于注册表5个子树中的机器和用户存于registry.pol中但这些设置并不永久地改变注册表8-3管理模板介绍2024/12/14什么是管理模板管理模板设置修改控制用户环境的注册设置设置在注册子目录树下修改注册设置计算机设置HKEY_LOCAL_MACHINE软件\MS\Windows\当前版本\策略\系统\……：0X258演示：计—管—系—登录：组策略脚本的最长等待时间：600，再看注册表用户设置HKEY_CURRENT_USER软件\MS\Windows\当前版本\策略演示：用—管—系—登录：禁用任务管理器，再看注册表2024/12/14什么是管理模板如果GPO不再使用，将删除组策略将只有本地注册设置在使用（有效）Windows2000将同时实现组策略和本地预设注册设置，除非两者之间存在着冲突冲突时，组策略设置有效2024/12/14计算机如何实现管理模板设置Registry.pol文件包含管理模板注册设置和设置值GPO列表1客户机启动/用户登录，重新获得GPO应用列表客户机连接到验证DC的SYSVOL，找到Registry.pol文件P277SysvolRegistry

.polRegistry

.polGPT2客户机将Registry.pol文件中的注册设置和设置值写到相应的注册表子树(HKLM/HKCU)Registry

.polHKCURegistry

.polHKLM3出现登录对话框/出现桌面

42024/12/14管理模板计算机（重启机时应用）用户（重新登录时应用）控制桌面的外观和行为—用户环境包括操作系统、组件和应用……8-4使用组策略中的管理模板2024/12/14管理模板设置的类型设置类型控制可用于Windows组件2000工具和组件，包括MMC（用户）系统登录/注销，组策略、磁盘限额、回环处理网络网络连接和拨号连接的属性，包括共用网络访问打印机打印机设置，自动公布在AD中，禁用基于WEB的打印等开始菜单和任务栏用户可以从开始菜单中访问的功能部件。只读，来防止用户修改。？？文件夹的NTFS权限桌面活动桌面，我的文档、网上邻居等控制面板添加/删除程序，打印机，显示，整个控制面板2024/12/14禁闭桌面的设置（一）隐藏桌面上的所有图标（用/管/桌）不能阻止用户用其它方式打开程序、项目退出时不保存设置（用/管/桌）图标、窗口大小位置。快捷方式仍可保存隐藏“我的电脑”中的这些指定的驱动器（用/管/W/资）ABCD所有从开始菜单中删除“运行”菜单（用/管/任）P280可利用任务管理中的“新任务”禁用“控制面板”中的“显示”（用/管/控/显）用于禁闭桌面的组策略设置（一）2024/12/14禁闭桌面的设置（二）禁用并删除“WindowsUpdate”的链接（用/管/任）可用IE的“工具”菜单禁止更改“任务栏和[开始]菜单”设置（用/管/任）指的是开始—设置—任务栏和开始菜单……含任务栏—右键—属性禁用和删除“关机”命令（用/管/任）开始菜单下的和CTRL+ALT+DEL

挡不住用程序关机，如任务计划rundll32.exe也挡不住计算机管理—关机用于禁闭桌面的组策略设置（二）2024/12/14禁闭用户访问网络资源的设置隐藏桌面上的“网上邻居”图标（用/管/桌）但可利用登录脚本给用户映射网络驱动器也挡不住运行和netuse,netview删除“映射网络驱动器”和“断开网络驱动器”（用/管/W/资），但可利用开始—运行，连到计算机“工具”菜单：禁用“Internet选项…”（用/管/W/IE/浏）Internet控制面板：禁用常规页等去标签利用组策略设置禁闭用户访问网络资源2024/12/14禁闭用户访问管理工具和应用程序的设置（一）从[开始]菜单中删除“搜索”菜单（用/管/任）仍可使用资源管理器和IE中的搜索实质：资源管理器==IE

从[开始]菜单中删除“运行”菜单（用/管/任）运行==任务管理器—新任务禁用任务管理器（用/管/系/登录/注销）只运行许可的Windows应用程序

（用/管/系）

见后，实验心得

利用组策略禁闭用户访问管理工具和应用程序（一）2024/12/14禁闭用户访问管理工具和应用程序的设置（二）从[开始]菜单删除“文档”菜单

（用/管/任），相关还有不要保留最近打开的文档记录退出时清除最近打开的文档记录最近文档的最大数目（用/管/W/资）禁止更改“任务栏和[开始]菜单”设置（用/管/任）（已讲）指的是开始—设置—任务栏和开始菜单……含任务栏—右键—属性

从[开始]菜单删除公用程序组（用/管/任）只有自己配置文件中的（正常：公+自己）利用组策略禁闭用户访问管理工具和应用程序（二）2024/12/14组策略中的回送处理模式SalsOU的用户，登录到ServerOU的计算机一般：组策略应用依赖于SalesOu的用户组策略设置一般为：Server的计算机

Sals的用户但有时对于特殊计算机，需要依赖于ServerOU的组策略设置SalsOU（用户所在）计算机(不执行)用户(2)ServerOU（计算机所在）计算机(1)用户(不执行)登录GPOGPO2024/12/14组策略中的回送处理模式对于指定了具体任务的计算机或安装了特殊软件的计算机，回送处理模式就非常有用了有两种模式（接上例）替换模式：只处理ServerOU上的关于“用户”的组策略设置合并模式：先处理SalesOU上的关于“用户”的组策略设置再处理ServerOU上的关于“用户”的组策略设置冲突时，计算机的生效回送处理模式设置:2024/12/14

默认 替换 合并42ServersOU—S39—GPO计算机11 √ √√用户22√√（后）SalesOU—user1—GPO计算机33用户44√√（先）深入讨论：设为替换，不重启，以user1登录，哪个生效？44，因为替换策略未生效启用回环处理（替换/合并），以非SALES用户，如Administrator登录，哪个生效？？22，回环就是针对使用这台计算机的所有用户Secedit/refreshpolicymachine_policy/enforce2024/12/14

启用回环处理模式组策略—计算机配置—管理模板—系统—组策略：“用户组策略反向对应处理方式”替换合并2024/12/14设计管理模板选择三个状态之一来配置设置在不同的GPO中配置同一个设置为不同值，会引起冲突，最后实现的设置将有效，除非修改了组策略继承HideMyNetworkPlacesiconondesktopPropertiesPolicyExplainHideMyNetworkPlacesiconondesktop未配置启用禁用或或包含关于组策略如何应用的信息应用设置禁用设置忽略设置（默认）2024/12/14

为了提高性能，可禁用组策略中不用的部分禁用计算机配置设置禁用用户配置设置操作：组策略名—右键—属性一般为二选一，但可同时选中2024/12/148-5实验A：利用管理模板分配基于注册的组策略

2024/12/14可利用组策略自动运行脚本计算机/W/脚本（启动/关闭）用户/W/脚本（登录/注销）用于：当组策略设置无法实现的时候可为每个用户帐号分配登录脚本仅登录指在用户帐号—属性—配置文件—登录脚本但不能集中管理，和指定启动/关闭，退出8-6用组策略分配脚本（Script）2024/12/14什么是组策略脚本设置组策略脚本设置允许你：集中配置脚本，在启动/关闭、登录/注销的时候，自动运行

管理和配置用户环境脚本Scripts计算机配置启动/关闭用户配置登录/注销启动/关闭计算机用户登录/注销2024/12/14处理顺序当用户启动计算机并登录的时候:a.

启动脚本运行（隐藏同步，逐个运行完后，再开始登录）登录脚本运行（隐藏异步，多脚本可同时运行）结束或超时，默认10分钟，可改P293计算机/管理/系统/登录/组策略脚本的最长等待时间影响所有脚本，不仅登录脚本当用户注销并关闭计算机时:a.

注销脚本运行b.

关闭脚本运行

Windows2000可从上到下处理多个脚本，若冲突，最后处理的脚本有效用组策略实现脚本设置的过程2024/12/14分配组策略脚本设置LogonPropertiesScriptsLogonScriptsforLogOnScript[AUCKLAND.contoso.msft]NameParametersDevelopment.vbsInformationServices.vbsUpDown添加...Edit...Remove显示文件...OKCancelApplyToviewthescriptfilesstoresinthisGroupPolicyObject,pressthebuttonbelow.复制脚本到适当的GPT添加脚本到适当的GPO2024/12/14

适当的GPTWinnt\sysvol\sysvol\gpmcse.com\policies\gpo_guid\Machine\scripts\startup和shutdownUser\scripts\logon和logoff分别对应四个不同的运行时刻启动/关闭，登录/注销2024/12/14

8-7实验B：利用组策略把脚本分配给用户和计算机2024/12/14保证用户从任何计算机登录都可获得自己的数据（文件随用户走）数据存储在服务器上重定向我的文档、应用程序数据、桌面和开始菜单用户配置文件中的四项使管理和备份数据更方便8-8利用组策略重定向文件夹2024/12/14什么是文件夹重定向重定向文件夹的优点：不管用户从什么客户机上登录，都可以访问文件夹的数据数据的集中存储更便于管理和备份减少网络通信。（指用户配置文件在漫游而未重定向时，登录注销时，需在本地和服务器之间复制）不需同步，登录注销更快文件不被存储在登录的计算机上，更安全，不占用存储空间重定向个人文件文档被存储在服务器上，但看起来好象在用户机器上我的文档我的文档2024/12/14选择重定向的文件夹

组策略—用户配置—Windows设置—文件夹重定向（本地机策略中没有此项）文件夹内容重定向到服务器的原因我的文档个人工作数据打开、另存为的默认位置开始菜单文件夹和快捷方式桌面所有文件、文件夹、快捷方式应用程序数据由应用程序存储的具体用户的数据文件随用户走，集中管理和备份。用户配置文件中保存的数据会减少提问：为什么？用户开始菜单标准化。多用户指向一个，并设只读来实现用户桌面标准化，不论何处登录应用程序使用相同的具体用户数据，不论何处登录2024/12/14把文件夹重定向到服务器位置上WhenRedirectingUserFolders:DesktopPropertiesTargetSettingsYoucanspecifythelocationoftheDesktopfolder没有指定管理策略Setting:OKCancelApplyTheGroupPolicyObjectwillhavenoeffectonthelocationofthisfolder.DesktopPropertiesTargetSettingsYoucanspecifythelocationoftheDesktopfolder基本–为每个人的文件夹重定向到一个位置Setting:OKCancelApplyThisfolderwillberedirectedtothespecifiedlocation.Anexampletargetpathis:\\server\share\%username%.Targetfolderlocation\\london\desktops\%username%BrowseDesktopPropertiesTargetSettingsYoucanspecifythelocationoftheDesktopfolder高级–为不同的用户组指定位置Setting:OKCancelApplyThisfolderwillberedirectedtodifferentlocationsbasedonthesecuritygroupmembershipoftheusers.Anexampletargetpathis\\server\share\%username%SecurityGroupMembershipGroupCONTOSO\acct \\london\acct\%username%CONTOSO\sales \\london\sales\%username%PathAddEditRemove使用%username%

变量使用%username%

变量2024/12/14

“目标”标签设置没有指定管理策略基本–为每个人的文件夹重定向到一个位置可每人一个位置（使用%username%变量）高级–为不同的用户组指定位置可每人一个位置（使用%username%变量）并可指定生效范围不同组用户，还可不同目录文件夹位置（UNC）安全成员组资格UNC路径：\\s58\homes\%username%2024/12/14

“设置”标签授予文件夹用户独占权（即文件夹所有权）把文件夹目录移到新位置策略删除文件保留在重定向的新位置策略删除时，不会找不到，只是已生效的仍沿用，后加入的不生效文件移回本地用户配置文件的位置实为复制，再指向本地，服务器端仍有一份副本2024/12/14实验心得：设置文件重定向，注销后(secedit不行)，本地文件夹被移至服务器，本地没有了相应的夹，如MyDocuments。若设置成：策略删除文件保留在重定向的新位置OK

文件移回本地用户配置文件的位置删除GPO链接后（用，去掉相应设备不行）服务器端后文件被复制回本地，服务器端仍有一份2024/12/14

8-9实验C：实现文件夹重定向策略

2024/12/148-10利用组策略确保用户环境安全域安全—GPO如：帐户策略—密码长度最小值复原时，先设为0，再设未定义生效：重启机或Secedit/refreshpolicymachine_policy/enforce复习：user对于域来设置帐户策略，而不是其它域是安全边界，2000核心管理单元对于OU上来做，域帐号登录不起作用2024/12/14利用组策略确保用户环境安全应用安全策略选择安全设置节点通过配置单独的安全设置选择安全设置配置安全设置通过导入安全模板标识或建立安全模板

导入安全模板到GPO分析安全设置2024/12/14

注意：2000只允许一个域帐户策略即域树的根域上所应用的帐户策略而OU定义另一个帐户策略的时候影响的只是OU下的计算机上的本地策略而本地策略，只在计算机本地帐户登录时应用所以帐户策略应在树根域上设置与其它组策略不一样，安全设置是永久的即使包含安全设置的GPO被删除，安全设置仍保留在注册表上2024/12/148-11实验D：利用组策略实现安全设置

2024/12/148-12解决用户环境管理过程中出现的问题使用管理模板的注册设置没有应用GPO链接，AD复制未完成Gpresult.exe（2000工具箱光盘上才有）脚本没有执行权限和继承发布Sysvol是否成功复制到所有DC文件夹没有重定向权限、磁盘限额2024/12/148-13最佳方案建立尽可能少的GPO尤其是含管理模板设置的GPO要实现回送处理模式的计算机，放在单独的OU中，应该没有任何用户帐户测试管理模板的效果确保脚按首选的顺序工作重定向文件，减少漫游用户登录/注销时间2024/12/14实验心得：组策略—用户配置—管理模板—系统只运行许可的Windows应用程序不要运行指定的Windows应用程序破解：cmd.exe，任务管理器？实际：cmd.exe,runas本地机策略工作组：重启，F8，带命令提示符，MMC，重设域成员：域管，MMC，重设域策略在域成员机上以本地帐号登录，RUNAS，删除GPO链接方法二：可通过创建相应命令的BAT文件来破解。2024/12/14

组策略—计算机配置—Windows设置—安全设置—本地策略—安全选项重命名系统管理员帐户，28题与域链接时的应用范围：域管、每台域成员计算机的本地管理员原管理员administrator已改为其它名，并不会影响本设置的应用DC不需重启（5分钟后），非DC域成员需重启生效不改管理员的UPN名，只改登录名（以前版本）取消GPO限制后，并不会自动改回administrator2024/12/14

组策略—用户配置—Windows设置—IE维护浏览器用户界面—浏览器标题标题栏，工具栏背景位图连接—代理设置URL—重要URL—主页方便维护人员配置用户IE环境2024/12/14

组策略—用户配置—Windows设置—文件夹重定向本地机策略中没有此项，1题我的文档，可选择：基本—每人相同位置高级—不同用户不同位置用户组—相应位置，可多个使用变量，如：\\s40\docs\%username%用户即为所有者，这点同主文件夹用户组范围，GPO作用范围，生效：取小作用：有点类似文件（夹）指向+脱机文件但登录注销时，不存在同步的问题，所以较快。2024/12/14使用组策略管理软件

92024/12/149-1概述软件的安装和维护AD目录服务组策略Windows安装程序2024/12/14

软件管理介绍删除软件删除维护软件升级分发安装软件准备软件包2024/12/14

软件管理将实现域/OU中的计算机/用户自动安装、升级或删除软件过程：预备：Msi、mst、zap文件利用工具箱下的转换工具wininstall._le将Install.exe、setup.exel转换为.ZAP文件（不可自动修复，只能重装）布置：设置组策略，启动/登录/激活维护：升级、重新布置删除：启动/登录时自动删除2024/12/14Windows安装程序（WindowsInstaller）Windows安装程序服务自动处理软件安装和配置的客户端服务也可以用来修改已经安装的软件或程序安装时即可以直接使用CD-ROM，也可以通过组策略方式Windows安装程序包包含WindowsInstallerservice在安装或者uninstall软件时需要的所有信息组成：.msi文件和所有安装/卸载软件时的源文件.msi文件包含了软件和包本身的摘要信息使用WindowsInstaller的好处应用上很灵活，自动安装/修复删除软件时非常干净彻底2024/12/149-4展开（分发）软件任务建立一个新的GPO或者找一个合适的已有的GPO准备好WindowsInstaller

package（.msi及源文件）将软件包放在软件分发点（服务器的共享文件夹）上对GPO进行配置2024/12/14建立软件分发点创建一个共享文件夹在文件夹里建立合适的子文件夹将WindowsInstallerpackages置入赋予用户Read权限以使得他们可以访问Read

权限最好：结合DFS提供冗余和负载平衡2024/12/14指派（Assigning）软件StartAssigning在用户配置里开始—程序里或者桌面上，文件关联，触发自动安装，也可添加/删除程序来安装Assigning在计算机配置里计算机一启动成功软件就安装，自动完整安装修复，对DC无效软件分发点2024/12/14发布（Publishing）软件：只能在用户配置里设?文档激活或者双击相关类型的文件，触发安装添加/删除程序在控制面板—添加/删除程序里进行安装软件分发点2024/12/14使用组策略来分发软件分发软件确定GPO(新建或者编辑已有的)选择包（.msi/.zap文件）选择分发的方式：Published,Assigned或者配置package属性2024/12/14

部署类型指派：用户、计算机发布：用户部署选项[]文件扩展名激活[]不在范围内，卸载[]不显示在添加/删除程序中安装用户界面选项基本选项：默认值，（默认设为此）最大选项：提示用户输入2024/12/14

设置软件安装默认值软件安装（非具体包）—右键—属性—常规默认包位置不可以是本地驱动器给用户设置添加新程序包时：显示部署软件对话框发布指派高级发布或指派用户安装界面选项：基本/最大不在范围内，将其卸载2024/12/149-5配置软件布置一个应用程序，几个不同配置分配/发布使用软件修改创建软件类别关联文件扩展名和应用程序2024/12/14使用软件修改MicrosoftWord2000在服务器上只有单一的应用程序实例英语词典法语词典德语词典2024/12/14

使用软件修改即利用.mst文件实现如：WORD多语言版本的安装注意：应软件布置过程中，添加/删除.mst(修改)操作：新建—程序包—高级发行或指派—修改添加：多个.mst有顺序之分2024/12/14

创建软件类别将添加/删除程序中的—添加新程序类别软件类型运行基于域范围操作：软件安装—右键—属性—类别将软件包分配给类别包—属性—类别必须登录到域，才可见到增加的类别2024/12/14

关联文件扩展名和应用程序不同应用程序经常默认使用相同的文件扩展名，如OFF97、OFF2000可改变文件扩展优先权操作：软件安装—右键—属性—文件扩展名2024/12/149-6实验A：分配和发布软件2024/12/14升级布置的软件重新布置软件操作：包—属性—升级[]现有程序包必须升级9-7维护布置的软件2024/12/14布置一个强制升级用户只能运行应用程序（V2.0）应用程序（V2.0）被布置为强制升级用户正在运行应用程序（V1.0）2024/12/14布置一个可选升级用户正在运行应用程序（V1.0）应用程序（V2.0）被布置为可选升级用户可以继续使用V1.0,也可选择升级到2.02024/12/14重新布置软件Step1软件的补丁被放在服务器上Step2GPO被重新布置Step3用户登录并调用应用程序Step4软件补丁被应用2024/12/14

分配—用户，或者发布或者安装下次登录，开始—程序，注册表等设置将被升级启动软件时，自动添加补丁分配—计算机下次启动，自动添加补丁操作：补丁及新msi文件，放到相应夹中包—右键—所有任务—重新布置2024/12/149-8删除布置的软件强制删除立即卸载用户和计算机的软件可选删除允许用户继续使用软件，但禁止新的安装Windows安装程序只有通过Windows安装程序包文件.msi安装的软件能通过组策略删除2024/12/149-9实验B：升级和删除软件2024/12/14探索中的软件管理技术Windows安装程序软件安装和维护msi包文件格式替换Setup.exe新的软件能力：有弹性，自修复基本服务器的技术通过组策略布置和管理软件包文件.msi2024/12/14发布非Windows安装程序包布置非Windows安装程序包的限制应用程序只能用于发布（用户）应用程序不能自动修复应用程序要求用户干涉安装应用程序不能用严格的权利限制安装

(用户必须有安装权利)2024/12/149-10解决软件布置的问题应用程序没按预期的出现添加/删除程序中是否有，发布/分配检查GPO，用户/计算机所处位置应用程序不能安装软件分布点可访问，权限应用程序没有按预期布置GPO冲突，分配和删除冲突2024/12/149-11最佳方案渐进布置和测试为软件分布点使用基于域的DFS根据功能来组织应用程序，并与类别对应不要将同一个的软件，同时分配给用户和计算机2024/12/14创建和管理目录树和目录林10

2024/12/1410-1概述2000可采用多层域结构，但最有效和最简便的方法：单域多层域：安全设置是基于域的不同的安全设置（如密码长度），必须不同的域域控制器的安全管理控制在域内减少复制通信域间仅复制：GC、配置信息、架构schema2024/12/1410-2目录树和目录林的介绍目录树：共用连续的命名空间的多层域父域—子域，分层排列目录树根域：树最高层的域，名最短目录林：由非连续名字空间的多层域目录树形成2024/12/14什么是目录树父域子域连续的名字空间，（域后缀延续）sales.contoso.msft父域子域新域目录树根域contoso.msftsales.contoso.msft2024/12/14什么是目录林?nwtraders.msftmarketing.

nwtraders.msftsales.

nwtraders.msftcontoso.msftsales.contoso.msft在目录林中的所有域共用一个公共配置、架构Schema、全局目录GC一个目录林是一个或多个目录树在目录林中的目录树不共同一个连续的名字空间目录林目录树目录树后加（创建）的新目录树2024/12/14什么是目录林根域?目录林根域：在林中第一个建立的域contoso.msft目录林目录林根域nwtraders.msft目录树目录树根域全局目录配置和架构企业EnterpriseAdminsSchemaAdminsmarketing.nwtraders.msftsales.contoso.msft目录树2024/12/14

目录林根域的名字不能改变因为与树根域有信任关系林根域第一个DC，默认GC两个组，只存在于林根域转换本机模式时，自动由全局组变为通用组EnterpriseAdmins有权对林作出修改，如添加子域SchemaAdmins有权对林架构作出修改2024/12/14多层域的特征降低复制流量仅：GC、架构、公共配置如：北京上海大庆，如何构建？维护域唯一的安全策略单元不同的安全策略，必须不同的域保留WindowsNT早期版本的域结构分散管理控制：如：高度机密，独立的域，非IT管理支持大量用户和多域名2024/12/1410-3创建目录树和目录林创建新子域运行dcpromo.exe新DC—新子域—林根企业组：用户名、口令—父域名、子域名、NetBIOS名—数据库、日志、SYSVOL位置—权限：以前/2000—目录恢复模式，管理密码向导将：创建新域，升级为DC，建立信任关系2024/12/14

创建新目录树运行dcpromo.exe新DC—新树—加入林—林根企业组：用户名、口令—新树DNS名向导将：创建新目录树的根域升级为DC建立信任关系复制架构和配置目录分区2024/12/14

创建新目录林运行dcpromo.exe新DC—新树—新林向导将：创建新目录林根域创建新目录树根域升级为DC配置GC从默认的架构和配置目录分区开始（顶点）2024/12/1410-4目录树和目录林中的信任关系2000中的可传递信任关系自动创建信任路径也可手工创建信任关系使用基于kerberosV5协议的域间验证使一个域的DC鉴别其它域的用户2024/12/14Windows2000中的传递信任关系父子信任父子信任树根信任域信任关系默认建立可传递双向Domain1域A域B域C树二树一目录林林根域2024/12/14信任如何工作树一树二域1目录林域A域BUser树根域林根域被信任域被信任域信任域域2域C使用K5协议确定是否有信任关系跟踪信任路径，并选最短2024/12/14KerberosV5如何工作contoso.msftmarketing.contoso.msft林根域KDCnwtraders.msftKDC服务器KDCsales.nwtraders.msft客户KDCKerberos身份验证2Session

Ticket1345K5协议是2000基本的验证协议验证用户身份和网络服务的完整性看电影，买票2024/12/14Windows2000快捷方式信任建立域间直接连接，缩短信任路径单向传递，用建二个来实现双向树一树二域1目录林域A域B树根域林根域被信任域信任域信任域域2域C快捷信任2024/12/14Windows2000中的非传递信任关系非传递信任关系非传递信任关系手动建立单向contoso.msft目录林非传递信任关系存在于…之间2000域和NT域两个目录林中的，2000域2000域和KerberosV5协议安全区域sales.contoso.msftmarketing.contoso.msft2024/12/14

创建非传递信任AD域和信任关系—域—属性—信任DNS互指，或其它方法2000域：完整DNS名NT域：域名密码不同林：外部，不可传递相同林：内部，快捷2024/12/14

信任的验证与取消验证信任AD域和信任关系—域—属性—信任相应域—编辑—验证取消信任AD域和信任关系—域—属性—信任相应域—删除使用命令Netdomtrust信任域/domain:被信任域/verify（或remove）需连接权限2024/12/1410-5实验A：创建域目录树和创建信任2024/12/1410-6全局目录（GC）林根域第一个DC，默认GC但可分布GC，平衡登录验证和查询由DC充当GC最好：一个区域，一台GC（离的近的）用于用户登录、资源访问确定活动目录中对象的位置提供通用组成员资格信息，用户主名—域存储于GC，连不上可用缓存2024/12/14GC和登录过程GC提供提供通用组成员资格信息给处理登录的DC当用户登录用一个用户主要名称UPN（如：www@gpmsce.com）时，提供域信息User登录域域域域域GC服务器2024/12/14

全局目录和验证用户登录时，如果验证域DC没有帐号的直接信息，则查询DC如：suzanf在sales.contoso.msft中向contoso.msft登录时在单个域中，用户登录不需要GC2024/12/14建立一个GC服务器AD站点和服务ConsoleWindowHelpActiveViewTreeNameTypeDescriptionActiveDirectorySitesandServicesSitesDefault-First-Site-NameServersInter-SiteTransportsSubnetsATLANTALONDONNewActiveDirectoryConnectionNewAllTasksNewWindowfromHereDeleteRefresh属性HelpNTDSSettingsPropertiesGeneralObjectSecurityNTDSSettingsDescription:QueryPolicy:全局编录DomainControllerDefaultQueryPolicy启用或者禁用全局编录GC2024/12/1410-7在目录树和目录林中使用组的策略使用安全组的好处安全权限的一致性DACL不会经常改变，便于管理和审查通用组成员资格存储于GC，变化后增加复制通信而全局组和域本地组只存储列表到GC成员资源不在列表中尽量少用，尽量只加入组成员如，应将全局组加入通用组2024/12/14通用组和复制GC服务器

通用组...并且复制到目录林中所有的GC服务器通用组中所有成员的变化被更新在GC中…尽量减少通用组的使用尽量使通用组的成员是组而不是用户帐号尽量减少组成员资格的变化将复制流量减小到最小化2024/12/14使用通用组的嵌套策略加用户帐号到全局组全局组用户把每个域的全局组加入到通用组全局组通用组全局组加入全局组(可选)全局组全局组加通用组到每一个域的域本地组通用组域本地组DLG给每个域的域本地组指派权限权限域本地组DLG2024/12/1410-8实验B：在目录林中使用组2024/12/1410-9解决创建和管理目录树和目录林过程中出现的问题快捷方式信任没有使用访问，验证不能登录到域DNS、GC在有些域上不能创建通用组本机模式2024/12/1410-10最佳方案使用A-G-G-U-DL-P信任路径过长时，创建快捷信任方式GC放在许多用户登录的站点上2024/12/14管理活动目录复制112024/12/1411-1概述AD复制站点的作用：优化和管理AD复制如北京、上海、大庆，组成一个域2000：多主控复制高效、容错，但易冲突NT：单主控复制，一个PDC对多BDCAD复制的作用整个网络上AD数据的一致性2024/12/14AD复制保证整个网络上的所有DC和客户机都获得AD上的所有信息域内复制、域间复制站点内复制、站点间复制多主控复制操作主控规则，解决冲突问题11-2活动目录复制介绍2024/12/14活动目录复制介绍复制DCBDCCDCA缓慢收敛？？的多主控复制2024/12/14自动构建环型复制拓扑结构添加、修改、移动、删除都能触发复制分为：初始更新（本地更新）复制更新11-3复制组件和进程2024/12/14复制初始更新DCADCBDCC复制更新复制更新复制如何工作活动目录更新移动删除添加修改2024/12/14复制等待时间复制初始更新DCA变化通知变化通知DCCDCB复制更新复制更新默认复制等待时间=5分钟，段数：最大3，最大传播延迟为15分钟当没有变化，周期性复制间隔=1小时紧急复制（安全性属性变化）=立即变化通知不需要等待默认的5分钟2024/12/14解决复制冲突问题DCA初始更新DCB冲突初始更新印记印记冲突版本号时间戳服务器GUID印记冲突发生，由于:属性值，如两个管理员在两个DC上修改同一对象同一属性在删除的容器对象上添加/移动容器对象

同属名字（重名）2024/12/14

尽量减少冲突（对象—属性）DC存储变化，在属性层次上而不是在对象层次上存储并复制对象的变化这样，两个不同属性的变化，不会引起冲突如：同时改同一个用户的口令、电话全局唯一印记(stamp)属性值：高印记LostAndFound容器同属名字：加星号标记等2024/12/14优化复制：初始更新复制更新GUIDUSNUpdateUpdateGUID更新顺序号USNUp-To-Dateness矢量DCADCB复制更新GUIDUSNDCCAD利用传播阻尼的最新向量，防止多次沿不同复制路径复制到相同DC的更新（复杂的数字算法）2024/12/14PropagationDampeningProcessofPreventingUnnecessaryReplicationPreventsUpdatesBeingReplicatedMoreThanOnce

UpdateSequenceNumbers(USN)ResolveconflictingupdatesAredistinctlymaintainedoneachdomaincontrollerCannotbeseparatedfromtheirassociatedupdatePreventlossandduplicationofupdatesUp-to-datenessVector--representthehighestoriginatingupdatereceivedfromeachdomaincontrollerHighWatermarkVector2024/12/14ReplicationExampleFromServerAHighwatermark8

Up-to-datevector3ServerC142FromServerAHighwatermark9

Up-to-datevector9ServerC142FromServerAHighwatermark9

Up-to-datevector9ServerC1522024/12/14ThemetadatainformationstoredinobjectUpdatepasswordGUIDoftheserverthatperformedtheoriginatingwrite(serverA)LocalUSNoftheupdateontheattribute(USN9)USNoftheserverthatperformedtheoriginatingwriteontheattribute(USN9)2024/12/14ThemetadatainformationstoredinobjectUpdatepasswordGUIDoftheserverthatperformedtheoriginatingwrite(serverA)LocalUSNoftheupdateontheattribute(USN7or15)USNoftheserverthatperformedtheoriginatingwriteontheattribute(USN9)2024/12/14复制拓扑—复制在整个网络上传播的路径确定DC与哪个具体的DC进行复制AD数据库按逻辑划分成目录分区每个目录分区都是一个复制单元每个目录分区都有各自的复制拓扑11-4复制拓扑2024/12/14目录分区域：所有DC林：所有DC目录分区活动目录数据库域contoso.msft配置架构保存关于AD中建立的所有具体域对象的信息包含关于活动目录结构的信息包含所有对象和属性的定义建立处理的规则2024/12/14A2A1A4A3域控制器来自同一个域域A拓扑架构/配置拓扑B2A2A1B1B3A4A3域控制器来自不同的域域A拓扑域B拓扑架构/配置拓扑什么是复制拓扑?连接对象：代表两个DC对象间的单向复制路径，指向复制源2024/12/14全局目录和分区复制B2A2A1B1B3A4A3GC：林中所有域分区的部分内容域A拓扑域B拓扑架构/配置拓扑2024/12/14A3KCCA2KCCA1KCCA4KCCA5KCCA6KCCA7KCCA3KCCA2KCCA1KCCA8KCCA4KCCA5KCCA6KCCA7KCC自动复制拓扑的产生自动复制拓扑的产生A8KCC域拓扑架构/配置拓扑2024/12/14

初始更新的最多路程段数目：不超过3个知识一致性的检验程序KCCKnowledgeConsistencyChecker每个DC上运行的内部过程为目录林产生复制拓扑2024/12/14使用连接对象连接对象的建立方式：自动/手动连接对象在每个DC上建立使用AD站点和服务手动建立、删除和调整连接对象使用AD站点和服务，右击连接对象，立即复制连接对象连接对象DCA1DCA22024/12/1411-5实验A：跟踪活动目录复制2024/12/14控制复制通信、登录通信及其它类型的通信站点：有助于定义网络的物理结构站点内复制站点间复制11-6利用站点优化活动目录复制2024/12/14什么是站点?自动建立的第一个站点叫做Default-First-Site-Name，可重命名站点可由0个、1个或多个子网组成

站点可用来控制复制通信和登录通信站点包含服务器（Server）对象并和子网对象相关联ADSitesandServicesConsoleWindowHelpActiveViewTreeActiveDirectorySitesandServicesSitesDefault-First-Site-NameServersInter-SiteTransportsSubnetsSiteInter-SiteTransportContainerSiteSubnetsContainerNameTypeRedmond-SiteDefault-First-Site-NameInter-SiteTransportsRedmond-SiteSubnetsDENVERNTDSSettings2024/12/14站点内复制站点内复制:发生于同一站点的域控制器之间

假定连接快速、高效、可靠复制通信不被压缩使用变化通告机制IP子网DCADCBIP子网站点复制2024/12/14复制组件知识一致性的检验程序KCCKnowledgeConsistencyChecker配置复制连接站点对象服务器对象A服务器对象B连接对象连接对象B是A的复制源A是B的复制源NTDSSettings对象NTDSSettings对象2024/12/14站点间复制站点间复制：根据人工制定的时间表进行带宽有限，且不一定可靠压缩至20%以内增加DC处理负载在每个站点一个或多个备份扮演桥头堡ISTG自动指定站点IP子网IP子网ISTG站点间拓扑发生器桥头堡服务器复制站点IP子网IP子网桥头堡服务器,ISTG复制复制2024/12/14比较站点内和站点间复制站点内复制变化通知不压缩的通信紧急复制站点间复制按时间表计划复制压缩的通信2024/12/14复制协议DCADCBRPCorSMTPRPC：用于站点内和站点间复制，基于连接SMTP：用于站点间复制，转储，不一定要连接用于不同域的架构配置和全局目录复制不能用于同一个域的域分区复制复制协议2024/12/14复制协议站点内复制：兼容IP的RPC协议站点间复制可使用：兼容IP的RPC协议SMTP(如果复制发生在两个域之间)2024/12/14关于“站点”site地点：一个或多个IP子网的高速连接高速：512K以上若连接在512K以下，应划为不同的站点一般：LAN为站点（10BaseT）LAN之间的连接一般低于512K当然，也可能LAN间高速路由连接域是网络的逻辑分组站点是网络的物理分组可一个站点多个域，也可一个域多个站点2024/12/14

一个站点多个域多个域应属同一个林站点内复制：林信息架构，基本配置，GC一个域多个站点站点间复制：域信息AD中域对象的信息不能用SMPT站点间复制：规划时间，低频度2024/12/1411-7实现站点管理活动目录复制好处：优化用户登录，优化AD复制就近，同一站点的DC站点内：较高频度，变化通知，不压缩站点间：应低频度，压缩，需创建“站点链接”建立站点身份：企业管理组/域管理组AD站点和服务—Sites—新站点站点名一般不要用下划线计算机对象Computer:2000P、memberServer:DC2024/12/14

建立子网对象AD站点和服务—Sites—Subnets—新子网输入地址、掩码，并与相应站点关联这样，ADIP子网站点一个重要的操作顺序创建站点，相应站点链接创建子网，与站点关联手工将DC从Default-First-Site-Name移入站点连接2024/12/14建立站点和子网AD站点和服务ConsoleWindowHelpActiveViewTreeActiveDirectorySitesandServicesSitesDefault-First-Site-NameServersInter-SiteTransportsSubnetsSiteInter-SiteTransportContainerSiteSubnetsContainerNameTypeRedmond-SiteDefault-First-Site-NameInter-SiteTransportsRedmond-SiteSubnetsDENVERNTDSSettingsDefault-First-Site-NameIP子网DCARedmond站点IP子网DCBIP子网2024/12/14查看同一站点下，DC的连接KCC自动创建维护，双向AD站点和服务—Sites—具体站点—Servers—具体DC—NTDS—自动产生—属性—更改日程安排星期一到日，1小时1次（默认）1小时2次1小时4次

指周期性复制AD复制还有：紧急复制，基于变化的5分钟延迟

2024/12/14建立和配置站点连接（站点间）通过下列组件定义站点连接：传输：IP/SMTP成员站点：两个或多个成本：1-32767，默认100时间表：星期一到日，1小时1次复制间隔：15-10080分钟，默认180分钟IP子网IP子网站点DCAIP子网IP子网站点DCB站点连接2024/12/14

建立站点连接AD站点和服务—Sites—Inter-Sitetransports—IP/SMTP—新站点链接2024/12/14建立站点连接桥站点XIP子网IP子网IP子网IP子网IP子网IP子网站点Z站点Y站点连接YZ,成本4站点连接XY,成本3站点连接桥XYZ,成本7如：X与Z之间有防火墙直接不能通信2024/12/14

在路由完全的网络上，不需要人工建立站点连接桥至少包括两个站点连接有一个共同的站点，如上例的站点Y如何建立站点连接桥AD站点和服务—Sites—Inter-Sitetransports—IP/SMTP—新站点链接桥什么时候建立站点连接桥内部防火墙，X与Z直接不能通信选择更好的连接路径，改善性能2024/12/1411-8实验B：利用站点管理活动目录复制2024/12/1411-9监控复制通信什么是复制监控复制监控器：图象格式显示DC间连接拓扑可运行于DC、成员、孤立计算机监控信息，同步DC2024/12/14

利用复制监控器监控复制通信安装：support\tools\setup.exe开始—程序—Windows2000SupportTools—AD复制监控器查看—选项—状态记录：显示改变的属性添加服务器，如s58

利用repadmin监控复制通信2024/12/1411-10调整复制提高复制性能默认自动可靠，一般不需调整建立附加的连接对象配置首选的桥头服务器（一个或多个）AD站点和服务—Sites—相应站点—Server—相应服务器—属性选择IP/SMTP，添加2024/12/1411-11实验C：监控复制2024/12/1411-12解决活动目录复制过程中出现的问题复制无法结束：未建站点连接复制缓慢：站点连接拓扑和时间表复制增加网络通信：半夜进行复制使对客户响应太慢客户加入相应站点（子网）KCC不能为可辨析名字的站点完成拓扑修改注册表2024/12/1411-13最佳方案在每个站点中至少设置一个DC，一个GC在每个站点至少设置一个DNS服务器制定站点连接的时间表，在网络通信不拥挤的时候复制2024/12/14管理操作主控

122024/12/1412-1概述五种操作主控架构Schema 林唯一域命名DomainNaming 林唯一PDC仿真器

PDCEmulator 域唯一相关标识符

RID 域唯一基础结构

Infrastructure 域唯一任何DC都可以是一操作主控用于：不可进行多主控更新时（单主控）2024/12/1412-2介绍操作主控只有DC可以是一个特定的操作主控，来执行相关的AD改变变化通过一个操作主控复制其它的DC上任何DC都可以是一操作主控操作主控可以移动到其它DC上复制单主控操作操作主控2024/12/14五种操作主控架构主控 林唯一域命名主控 林唯一PDC仿真器主控 域唯一RID主控 域唯一基础结构主控 域唯一林中只一个域：5个操作主控林中多个域：多于5个操作主控12-3操作主控角色2024/12/14操作主控默认位置在林根域的第一台DC上域范围RID主控PDC仿真主控基础结构主控目录林范围架构主控域命名主控域范围RID主控PDC仿真主控基础结构主控2024/12/14架构主控控制对架构的所有原始更新在林中将复制更新到所有的DC只有架构管理组可以对架构进行修改架构主控复制2024/12/14域命名主控只有它可以向目录林添加/删除域若其不可用，则无法添加/删除域查询GC，防止重名。其无法查询独立DC的GC，所以必须同时还是一个GC新域域命名主控GC服务器2024/12/14PDC仿真器充当NTBDC的PDC，并为早期版本客户机提供服务管理运行NT、95/98计算机的密码变化，写入AD最小化密码变化的复制等待时间接受密码变化的DCPDC仿真登录时，如密码错误，先送至PDC仿真同步全域中的域控制器时间防止重写GPO的可能客户计算机运行2000之前版本的WindowsPDC仿真器WindowsNT

BDC2024/12/14MoveRID主控在域内分配RID块给每一个DC查看dcdiag防止对象从一个DC移动到另一个DC时重名。域间移动时，RID主控将从域中删除对象对象SID=域SID+RIDRID主控RID块移动RID分配2024/12/14基础结构主控（InfrastructureMaster）更新外部对象的索引（组成员资格）单域不需要基础结构主控不应该和GC在同一个DC上，应手动移走否则将不起作用基础结构主控全局组嵌套到域本地组移动

GUIDSID新DN组成员列表域A域B2024/12/14

域间移动对象、删除域间移动用户movetree如前例：域A全局组加入到域B本地组域A全局组被移动到其它域（或删除）组成员列表：GUID—SID/DN变化基础结构主控周期性检查，与GC比较有变化，则更新列表（索引）并将变化复制给域内其它DC2024/12/14规划操作主控林架构主控和域命名主控在一起（及GC）从林根域移动到其它域域PDC仿真主控和RID主控在一起除非负载要求分开基础结构主控应手动移走，与GC分开否则它永远不会将变化复制给域内其它DC2024/12/14确定一个操作主控角色的保持者传送一个操作主控角色查封一个操作主控角色12-4管理操作主控角色2024/12/14确定一操作主控角色保持者确定一个操作主控角色，使用：AD用户和计算机RID主控PDC仿真主控基础结构主控AD域和信任关系域命名主控AD架构的MMC插件架构Schemamaster问：如何确定GC？2024/12/14传送一操作主控角色只有当域的基础结构发生主要的变化时，才传送角色在角色传送过程中没有数据的损失为传送操作主控角色，你必须拥有相应的权限或是特定组的成员操作主控功能传送角色到另外的DC2024/12/14

改变操作主控角色的默认组架构主控 架构管理员组域命名主控 企业管理员组PDC仿真器主控 域管理员组RID主控 域管理员组基础结构主控 域管理员组2024/12/14

传送PDC仿真器主控、RID主控、基础结构主控（非GC）角色AD用户和计算机连接到域控制器（目标）更改传送域命名主控角色（为GC）

AD域和信任关系连接到域控制器（目标）更改2024/12/14

传送架构主控角色AD架构更改域控制器（目标）更改传送保证主控的唯一性查封不保证唯一，未连接下的强行传输2024/12/14查封seizing一操作主控角色只有在当前操作主控不能传送时（永久性故障），才查封角色，暂时的故障，应等待可能会丢失数据你必须有适当的权限（授权查封组的成员）操作主控不再可用查封角色并重新指派到另一个DC2024/12/14

关于查封故障是永久性的，查封后不应再运行查封前，必须将角色与与网络断开若不断开，相当于传输查封PDC仿真和基础结构（利用率高）AD用户和计算机连接将成为新主控的DC更改，问：未连接，强行更改？是查封其他的操作主控角色（利用率低）通常不是一个值得修正的问题2024/12/14

用ntdsutil查封一个角色Ntdsutil—roles—connections—connecttoserver新角色—quit—seize相应主控或transfer相应主控Quit—quit若不断开，相应于传输Seizing=transfer2024/12/14失效的后果，不同主控不同PDC仿真主控和基础结构主控失效后，应立即查封其它的主控可能在相当一段时间用不到12-5管理操作主控失效2024/12/14PDC仿真器或基础结构主控的失效PDC仿真的失效可能会更严重地影响网络运行基础结构的失效不那么严重，除非读者移动大量的对象注意：查封（传输）到新DC（非GC）失效后的恢复确定DC问题的严重性确定该DC拥有哪此操作主控角色查封操作主控角色，并将它传送到另一个DC上确认新的DC已经收到了操作主控角色2024/12/14其他操作主控的失效恢复其它操作主控的失效将当前操作主控和网络断开在失效的DC引起的更新复制到新主控DC前，一直等待。

确认角色被查封的DC是永不恢复，查封，将计算机帐号从域中删除重新格式化原操作主控计算机的包含操作系统文件的分区，重新安装Windows2000，重新连接计算机到网络2024/12/1412-6实验A：管理操作主控2024/12/1412-7最佳方案不要进行频繁的角色传送域基础结构做了重大改变之后在DC降级前，传送角色将PDC仿真传送时，考虑密码相关的网络通信量周期性地检查角色保持者的最佳布置将架构主控和域命名主控分配到同一DC将基础结构与GC放在不同的GC，但同一站点下。2024/12/14维护活动目录数据库13

2024/12/1413-1概述利用“备份”来备份和恢复活动目录活动目录（本单元指DC上的活动目录信息）修改垃圾收集移动整理2024/12/1413-2维护活动目录数据库介绍备份AD恢复AD整理数据库的碎片移动AD数据库ntds.dit并不删除原始数据库

winnt\ntds2024/12/1413-3修改活动目录数据的过程所有的更新都是通过事务处理来完成的添加/删除/移动/修改AD对象略2024/12/1413-4垃圾收集处理DC上周期性删除AD不再使用的对象墓碑（tombstone）：对象删除标志生存时间：标志到真正删除的间隔默认：60天垃圾收集处理程序每12小时检查一次并整理数据库碎片（有一定的压缩功能）自动/手动2024/12/1413-5备份活动目录系统状态数据包括:在DC上的AD和SYSVOL共用文件夹注册表，系统启动文件，所有计算机上的类注册数据库证书服务器上证书服务数据库启动附件—系统工具—备份实用程序打开备份向导选择备份系统状态数据的方式备份活动目录2024/12/14

备份系统状态数据原则必须有备份文件和文件夹的权限管理员组、备份组、服务器操作组只有DC才包括AD和SYSVOL可自动备份，或常规备份的一部分当DC联机时备份系统状态数据