《Windows Server 2012活動目錄管理實踐》 目錄15-28章

·· 467目錄

第15章管理只讀域控制器471

15.1 只讀域控制器基本知識·· 471

15.1.1 活動目錄數據庫複製方向·· 471

15.1.2 密碼複製策略·· 472

15.1.3 RODC優勢·· 473

15.1.4 RODC缺點·· 474

15.1.5 部署前提·· 474

15.2 部署RODC域控制器·· 475

15.2.1 部署流程·· 475

15.2.2 安裝過程·· 475

15.2.3 只讀域控制器驗證·· 476

15.3 只讀域控制器管理任務·· 481

15.3.1 密碼複製策略的位置·· 481

15.3.2 查看已經發布到RODC的用戶·· 482

15.3.3 查看已經經過RODC進行身份驗證的用戶·· 483

15.3.4 用戶發佈到RODC· 483

15.3.5 預設密碼·· 485

第16章升級域控制器487

16.1 案例任務·· 487

16.1.1 案例任務·· 487

16.1.2 遷移過程·· 487

16.1.3 參與升級的服務器·· 488

16.1.4 其餘注意事項·· 488

16.2 拓展2003活動目錄功能級別·· 488

16.2.1 2003域控制器配置·· 488

16.2.2 部署流程·· 491

16.2.3 提高2003活動目錄域功能級別·· 491

16.2.4 提高2003活動目錄林功能級別·· 493

16.3 提高2012服務器爲額外域控制器·· 495

16.3.1 提高過程當中須要注意的問題·· 495

16.3.2 額外域控制器提高成功後驗證·· 496

16.3.3 額外域控制器佔用FSMO角色·· 497

16.3.4 FSMO角色遷移後驗證·· 503

16.3.5 小結·· 504

16.4 2003域控制器降級·· 504

16.4.1 域控制器降級爲成員服務器·· 504

16.4.2 成員服務器降級爲獨立服務器（俗稱脫域）·· 508

第17章管理活動目錄數據庫509

17.1 維護活動目錄數據庫·· 510

17.1.1 活動目錄數據庫文件·· 510

17.1.2 中止AD DS域服務·· 511

17.1.3 重定向活動目錄數據庫·· 513

17.1.4 離線整理活動目錄數據庫·· 515

17.1.5 修復活動目錄數據庫·· 516

17.1.6 重置目錄服務還原模式管理員密碼·· 517

17.1.7 查找和清理重複的安全標識符·· 518

17.1.8 自動管理活動目錄數據庫·· 518

17.1.9 清理域控制器源數據·· 519

17.2 備份活動目錄數據庫·· 522

17.2.1 安裝Windows Server Backup組件·· 522

17.2.2 嚮導備份活動目錄數據庫·· 522

17.2.3 命令行備份活動目錄數據庫·· 532

17.3 恢復活動目錄數據庫·· 534

17.3.1 域對象刪除·· 534

17.3.2 嚮導還原活動目錄數據庫·· 535

17.3.3 命令行還原活動目錄數據庫·· 541

17.4 經過備份還原域控制器·· 545

17.4.1 備份域控制器·· 545

17.4.2 還原域控制器·· 546

第18章 ADCS證書服務552

18.1 部署ADCS服務·· 552

18.1.1 根類型·· 552

18.1.2 安裝ADCS服務·· 552

18.1.3 配置ADCS服務·· 556

18.2 證書平常管理·· 561

18.2. 1 「證書頒發機構」管理工具·· 561

18.2. 2 「證書模板」管理工具·· 566

18.2.3用戶手動申請證書·· 570

18.2.4 查看已經頒發的證書·· 573

18.2.5 續訂根證書·· 575

18.2.6 發佈計算機證書自動申請策略·· 577

18.2.7 發佈用戶證書自動申請策略·· 580

18.3 用戶訪問SSL站點可能遇到的問題·· 582

18.3.1 提示信息解析·· 582

18.3.2 第一個提示：關於證書頒發機構·· 582

18.3.3 第二個信息：關於日期時間·· 586

18.3.4 第三個提示：名稱無效·· 586

18.4 證書典型應用：SSL站點·· 587

18.4.1 基本信息·· 588

18.4.2 申請證書配置文件·· 588

18.4.3 申請Web服務器證書·· 590

18.4.4 Web服務器配置證書·· 592

18.4.5 設置SSL站點·· 593

18.4.6 客戶端計算機訪問SSL站點·· 595

第19章認識組策略599

19.1 必須瞭解的知識·· 600

19.1.1 組策略對象·· 600

19.1.2 本地策略和域組策略·· 602

19.1.3 域組策略分類·· 603

19.1.4 組策略的應用時間·· 603

19.1.5 組策略處理規則·· 603

19.1.6 強制繼承·· 605

19.1.7 組策略更新·· 605

19.1.8 更改管理用的域控制器·· 607

19.1.9 更改策略的應用時間·· 607

19.1.10 首選項·· 609

19.2 組策略平常管理·· 609

19.2.1 打開GPMC控制檯·· 609

19.2.2 查看組策略對象屬性信息·· 610

19.2.3 建立組策略對象·· 613

19.2.4 刪除組策略對象·· 615

19.2.5 更改組策略對象的狀態·· 616

19.2.6 編輯組策略對象·· 616

19.2.7 組策略對象備份·· 617

19.2.8 管理備份·· 618

19.2.9 複製GPO· 620

第20章組策略應用-首選項設置622

20.1 首選項分類·· 622

20.1.1 計算機配置·· 622

20.1.2 用戶配置·· 623

20.2 批量部署映射磁盤·· 624

20.2.1 映射驅動器的方法·· 624

20.2.2 部署「首選項」-映射驅動器·· 625

20.2.3 策略測試·· 630

20.3 登陸用戶添加到本地管理員組·· 631

20.3.1 部署「首選項」·· 631

20.3.2 策略測試·· 633

20.4 Internet Explorer瀏覽器設置·· 633

20.4.1 Internet Explorer設置·· 634

20.4.2 部署「首選項」·· 635

20.4.3 策略測試·· 636

第21章組策略應用-保護IE瀏覽器637

21.1 基本安全性保護措施·· 637

21.1.1 網絡環境·· 637

21.1.2 域中採起的措施·· 638

21.2 保護瀏覽器·· 638

21.2.1 安全級別·· 638

21.2.2 權限分析·· 638

21.2.3 權限繼承·· 640

21.2.4 設置安全級別·· 640

21.2.5 部署用戶限制策略·· 642

21.3 保護IE存儲區域·· 645

21.3.1 網頁存儲訪問保護機制·· 645

21.3.2 限制存儲區域中應用程序運行·· 645

21.4 最佳實踐·· 646

第22章組策略應用-安裝軟件647

22.1 組策略安裝軟件·· 647

22.1.1 環境準備·· 648

22.1.2 WMI篩選器·· 648

22.1.3 應用程序「已發佈」給用戶·· 653

22.1.4 應用程序「已分配」給用戶·· 656

22.1.5 應用程序「已分配」給計算機·· 658

22.1.6 應用程序修復功能測試·· 659

22.1.7 刪除部署的程序包·· 660

22.1.8 升級應用程序·· 661

22.2 部署MicrosoftOffice 2013· 664

22.2.1 準備Office2013安裝程序·· 664

22.2.2 下載OfficeCustomization Tool（OCT）模板·· 665

22.2.3 自定義Office2013安裝環境·· 667

22.2.4 安裝Office2013· 671

第23章組策略應用-高效溝通672

23.1 Bginfo設置·· 673

23.1.1 下載·· 673

23.1.2 本例中Bginfo完成的功能·· 673

23.1.3 參數設置·· 674

23.2 部署策略·· 678

23.2.1 部署共享文件夾·· 679

23.2.2 部署組策略·· 679

23.2.3 策略運行效果·· 681

第24章組策略應用-文件夾重定向681

24.1 文件夾重定向支持的文件夾·· 681

24.1.1重定向文件夾部署建議·· 681

24.1.2 支持的重定向文件夾·· 682

24.1.3 策略部署前「文檔」位置·· 682

24.2 部署「文件夾重定向」策略·· 683

24.2.1 部署重定向策略·· 683

24.2.2 驗證策略·· 686

第25章組策略應用-限制計算機接入686

25.1 應用環境以及解決方法·· 686

25.1.1 應用網絡環境·· 687

25.1.2 解決思路·· 687

25.2 管理策略·· 687

25.2.1 默認用戶類·· 688

25.2.2 從新配置DHCP服務器·· 688

25.2.3 客戶端計算機驗證·· 694

25.2.4 建議·· 695

第26章組策略應用-Windows時間服務696

26.1 域內時間·· 696

26.1.1 域內時間源·· 696

26.1.2 同步機制·· 697

26.1.3 時間同步方式·· 697

26.1.4 w32tm命令平常用法·· 697

26.2 時間自動同步·· 700

26.2.1 確認時間源服務器·· 700

26.2.2 同步域內時間方法一：nettime700

26.2.3 同步域內時間方法二：PDC主機做爲時間源·· 701

26.3 常見問題·· 707

26.3.1 客戶端計算機windows時間服務有問題·· 707

26.3.2 默認時間差值·· 708

26.3.3 啓動「WindowsTime服務」並設置爲「自動」啓動·· 708

26.3.4 統一時區·· 709

26.3.5 禁止用戶修改「日期和時間」·· 710

第27章一組經常使用組策略與排錯711

27.1 限制「本地管理員」組成員·· 711

27.1.1 「Administrators」組已有成員·· 711

27.1.2 部署「受限制的組」策略·· 711

27.1.3 客戶端計算機策略測試·· 714

27.1.4 刪除策略·· 715

27.2 部署密碼策略·· 715

27.2.1 默認密碼策略·· 715

27.2.2 查看默認域密碼策略·· 716

27.2.3 部署簡單密碼策略·· 716

27.2.4 用戶密碼設置測試·· 719

27.3 部署InternetExplorer訪問主頁·· 720

27.3.1 部署策略·· 720

27.3.2 策略測試·· 721

27.4 開機運行指定的應用程序·· 722

27.4.1 部署開機策略·· 722

27.4.2 策略測試·· 724

27.5 統一桌面背景·· 724

27.5.1 部署桌面背景策略·· 724

27.5.2 策略測試·· 726

27.6 啓用密碼屏幕保護·· 726

27.6.1 部署屏保密碼策略·· 727

27.6.2 策略測試·· 730

27.7 禁止修改網絡鏈接參數·· 731

27.7.1 用戶更改網絡參數·· 731

27.7.2 部署禁止修改網絡參數策略·· 731

27.7.3 策略測試·· 734

27.8 組策略排錯·· 735

27.8.1 對默認策略的處理·· 735

27.8.2 組策略的目標是誰·· 735

27.8.3 客戶端計算機是否應用策略·· 736

27.8.4 確認客戶端計算機基礎環境是否正常·· 736

27.8.5 確認文件復***務是否啓動·· 736

27.8.6 記錄配置·· 736

27.9 組策略排錯使用的工具·· 737

27.9.1 DCdiag· 737

27.9.2 GPResult739

27.9.3 Dcgpofix· 740

27.9.4 Repadmin· 740

27.9.5 Gpupdate740

第28章活動目錄集成區域DNS服務740

28.1 DNS須要瞭解的知識·· 740

28.1.1 域中的計算機定位·· 740

28.1.2 DNS和Active Directory的結合·· 741

28.1.3 DNS服務器區域類型·· 741

28.1.4 DNS經常使用資源記錄·· 743

28.1.5 nslookup 驗證加入域所需的 SRV記錄·· 744

28.1.6 動態更新·· 745

28.2 部署活動目錄集成DNS服務·· 747

28.2.1 自動配置ActiveDirectory集成區域DNS服務·· 747

28.2.2 安裝結果·· 748

28.2.3 _msdcs子域·· 748

28.2.4 域（本例中book.com）·· 754

28.2.5 查看域屬性·· 758

28.2.6 DNS驗證·· 763

28.3 DNS客戶端·· 765

28.3.1 加域前提條件·· 765

28.3.2 DNS客戶端緩存·· 765

28.3.3 DNS記錄中存在舊的A記錄，致使DNS解析不正確·· 766

28.3.4 誤刪_msdcs.子域·· 767