AD ---- 活动目录的平常管理操做

管理信任关系:什么是信任关系:信任关系是用于确保一个域的用户能够访问和使用另外一个域中资源的安全机制根据传递性分,信任关系可分为可传递信任关系和不可传递信任关系两种根据域之间关系分,Windows信任关系则可分为四种信任关系是如何工做的建立信任关系删除信任关系防止未经受权的用户访问

关于信任关系:父子信任根信任默认工做快捷方式信任有肋于提升效率外部信任关系不可传递在Windows 2000域与Windows NT 4.0域之间须要建立外部信任关系 Windows 2000域与其余非Windows Kerberos V5区域之间,须要建立外部信任关系建立信任关系的考虑:域中必定量用户要求长期访问某个域中的资源因为安全理由,区分了资源域和帐号域部分信任关系默认存在处于减小上层域DC/GC压力,可建立快捷方式信任关系

我如今来到一台计算机名称叫作Guangzhou的计算机它是一个森林的另外一棵域树它的域名叫作Guangzhou.Contoso.Msft 在两个域构建信任关系以前咱们必需确保这两个域之间它们是可以相互访问的并且它们必需可以彼此解析到对方的域名和查询到对方的SRV记录在命令提示符里面输入ping Hangzhou.Subdom.Nwtraders.Msft按回车键如今能够看到是可以成功地访问到Hangzhou.Subdom.Nwtraders.Msft这个子域的

我如今来到一台计算机名称叫作 Hangzhou的计算机它是一个森林的子域它的域名叫作Hangzhou.Subdom.Nwtraders.Msft 首先要在命令提示符里面输入ipconfig /flushdns按回车键去清除一下客户端的DNS查询缓存不然的话有可能它没直接向对方进行查询而直接把缓存里面的无效信息提供给用户在命令提示符里面输入ping Cotoso.Msft按回车键如今能够看到已经成功地解析到Contoso.Msft这台DC了接下来就能够建立信任关系了

咱们如今所要建立的信任关系是Subdom.Nwtraders.Msft和Contoso.Msft之间的信任关系经过开始--程序--管理工具--选择Active Directory域和信任关系首先对着Subdom.Nwtraders.Msft右键--选择属性按信任--在受此域信任的域那一项按添加接下来就输入受信任域输入Contoso.Msft 下面要求输入密码这个密码是用来验证这两个域之间相互信任用的也就是这两密码须要两个域之间的管理员进行协商的而不是说使用如今建立的管理员密码按肯定的时候它会跟对应的域进行相互联系的若是这里输入密码两边的密码都要输入相同的密码我就不输入密码了

我如今来到一台计算机名称叫作Guangzhou的计算机经过开始--程序--管理工具--选择Active Directory域和信任关系对着Contoso.Msft右键--选择属性按信任在信任此域的域那一项按添加在信任域里面输入Subdom.Nwtraders.Msft 由于那边没有设置密码因此这里也不输入密码了按肯定按是就ok了如今我构建的其实是属于一个单向的信任关系也就是说Subdom.Nwtraders.Msft这个域信任Contoso.Msft那个域的 Contoso.Msft这个域里面的用户是可以访问Subdom.Nwtraders.Msft域里面的资源而Subdom.Nwtraders.Msft这个域里面的用户是不可以访问Contoso.Msft这个域里面的资源的这个信任关系是快捷方式信任关系

我如今来到一台计算机名称叫作Shenzhen的计算机它是另外一个森林它的域名叫作Xinge.com 它的IP地址是192.168.1.18 经过开始--运行--输入dnsmgmt.msc按肯定来打开DNS 对着正向搜索区域右键--选择新建区域接着下一步选择标准辅助区域接着下一步

在名称里面输入子域的域名(Subdom.Nwtraders.Msft) 接着下一步由于那台子域的IP地址是192.168.1.6 因此在IP地址里面输入192.168.1.6按添加接着下一步按完成就ok了

有些时候区域的复制是须要时间的咱们可能会看到一个红色的X号告诉你区域不是由DNS服务器加载的这时候问题并不大等待一下就可以复制成功了

我现来到一台计算机名称叫作Hangzhou的计算机它是森林中的字域经过开始--运行--输入dnsmgmt.msc按肯定来打开DNS 对着正向搜索区域右键--选择新建区域接着下一步选择标准辅助区域接着下一步

在名称里面输入Xinge.com 接着下一步在IP地址里面输入192.168.1.18 按添加接着下一步按完成就ok了

我在Hangzhou这台计算机上经过开始--程序--管理工具--选择Active Directory域和信任关系对着Subdom.Nwtraders.Msft这个子域右键--选择属性按信任在信任此域的域里面--按添加在信任域里面输入Xinge.com 也就是说我如今设置Xinge.com信任Subdom.Nwtraders.Msft 按肯定 Xinge.com是属于外部信任关系是不可传递的按Xinge.com-- 按编辑--按验证--输入信任域的用户名和密码确保这个信任关系是可靠的

我如今来到Shenzhen这台计算机经过开始--程序--管理工具--选择Active Directory域和信任关系对着Xinge.com右键--选择属性按信任在受此域信任的域里面按添加在受信任域里面输入Subdom.Nwtraders.Msft按肯定 Subdom.Nwtraders.Msft是属于外部信任关系是不可传递的

删除信任关系:再也不信任一个域或原域将被移除的时候,须要删除已创建的信任关系验证和删除信任关系:NETDOM TRUST 目标域FQDN /Verify NETDOM TRUST 目标域FQDN /Domain:本地域FQDN /remove

阻止未经受权的用户访问:何为之未经受权的用户如何阻止未经受权的用户访问 netdom.exe /flitersids:信任域FQDN

咱们有时候会删除掉信任关系何时删除掉信任关系呢？当咱们再也不信任一个域好比说一家公司和另外一家公司是处于合做伙伴的关系关系很是友好那么有一些资源须要共享须要建立一个信任关系可是世界是永恒不变的只有利益时间长了可能两家公司出现了分离合做伙伴终止咱们这个时候须要把信任关系立刻终止防止对方的用户还可以来咱们的公司看资料好比说我如今想删除掉Xinge.com这个域打开Active Directory域和信任关系后对着Subdom.Nwtraders.Msft右键--选择属性按信任---按Xinge.com按删除就ok了

经过开始--程序--管理工具--选择Active Directory 站点和服务对着Sites右键--新建--按站点好比某些DC是在Shanghai的站点的名称就叫作Shanghai吧下面有一个DEFAULTIPSITELINK这个是站点间的复制链接这个是必需选上的按DEFAULTIPSITELINK 按肯定

对着Subnets右键--选择新建--子网 IP地址为192.168.1.2 掩码为255.255.255.255 建立一个这样的子网按Shanghai 按肯定

我再来建立一个子网 IP地址为192.168.1.3 掩码为255.255.255.255 按Shanghai 按肯定这两台DC都放在Shanghai这个站点内当有客户端使用IP地址来访问的时候它就会默认地到Shanghai这个站点的DC里面去而不须要去访问DEFAULTIPSITELINK里面的DC 固然DC还须要咱们手动移动到Shanghai站点里面

我如今把Beijing Hangzhou这二台DC都移动到Shanghai这个站点里面对着DC右键--选择移动按Shanghai 按肯定那么这个Shanghai站点它下面就包含两个子网

另外咱们也能够建立一个新的站点名称就叫作Beijing吧按DEFAULTIPSITELINK 按肯定

如今为Beijing这个站点新建子网对着Subnets右键--选择新建--子网 IP地址为192.168.1.12 掩码为255.255.255.254 按Beijing 按肯定

我如今把Guangzhou这台DC移动到Beijing这个站点里面对着Guangzhou右键--选择移动按Beijing 按肯定

我如今来建立一个站点间的传输连接站点间的传输连接有二种方式 IP连接和SMTP连接在绝大部分的状况下咱们都会使用IP连接由于IP连接它更有保证性和效率更高 SMTP连接会用于什么状况呢？SMTP连接它须要使用SMTP服务那么它一般是使用网络带宽很是小并且网络连接很是不稳定常常会断咱们须要使用SMTP连接使这个复制连接可以保证数据的可靠性和可用性我如今来建立一个IP连接展开Inter-Site Transports 对着IP右键--选择新站点连接名称就叫作Beijing to Shanghai吧把Beijing和Shanghai都添加在此站点连接中的站点里面按肯定

双击DEFAULTIPSITELINK这个站点连接在此站点连接中的站点按Beijing按删除确保Beijing和Shanghai站点之间就只有我当前所建立的Beijing to Shanghai的站点连接

对着Beijing to Shanghai这个站点连接右键--选择属性在常规里面能够看到开销值默认值是100 它是用来计算两个站点之间复制优先级的数值越小的优先级越高在复制的时候优先保证开销值小的先进行副本复制频率默认值是180分钟也就是Beijing站点和Shanghai站点之间是每180分钟才发生一次复制更关键的是能够更改日程安排按更改日程安排咱们能够规定天天何时进行复制好比说咱们天天早上8点钟到晚上8点钟可能有同事在使用宽带网络网络的效率无法获得保证咱们就规定从早上8点钟到晚上8点钟之间不能够进行任何AD复制的选择没法使用复制那一项只有在晚上8点钟以后到早上8点钟以前才容许AD复制按肯定就ok了

若是Beijing这个站点想和DEFAULTIPSITELINK这个站点进行复制怎么办呢? 固然咱们可建立一个新的站点连接可是建立多个站点连接对你之后的管理不是好事因此咱们就建立一个站点连接桥吧对着IP右键--选择新站点连接桥名称就叫作Beijing to Default site吧那么站点连接桥就把这两个站点连接放在里面了这样Beijing和DEFAULTIPSITELINK站点之间可以经过Shanghai站点来进行复制固然这个复制模式是Beijing先复制到Shanghai Shanghai再复制到DEFAULTIPSITELINK 这样可以保证Beijing到Shanghai只有一次复制而不是二次复制一样也减小了咱们日程的维护量按肯定就ok了

部署站点的最佳实践:根据复制需求来订制站点间的复制间隔和复制时间对于大环境,建议关闭ITSG,手动配置复制连接