1、域的含义
域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。
域既是 Windows 网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在 Windows 网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域,每个域都有自己的安全策略,以及它与其他域的安全信任关系。
当企业网络中计算机和用户数量较多时,为了实现高效管理,就需要windows域。
2、域的原理
在工作组上你一切的设置在本机上进行包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。
不过在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享,集中统一,便于管理。
3、域和组的区别
工作组是一群计算机的集合,它仅仅是一个逻辑的集合,各自计算机还是各自管理的,你要访问其中的计算机,还是要到被访问计算机上来实现用户验证的。而域不同,域是一个有安全边界的计算机集合,在同一个域中的计算机彼此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可了。为什么是这样的呢?因为在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户,这个帐户和用户帐户一样,也有密码(登录凭证,由2000的DC(域控制器)上的KDC服务来颁发和维护)保护的。
域和工作组适用的环境不同,域一般是用在比较大的网络里,工作组则较小,在一个域中需要一台类似服务器的计算机,叫域控服务器,其他电脑如果想互相访问首先都是经过它的,但是工作组则不同,在一个工作组里的所有计算机都是对等的,也就是没有服务器和客户机之分的,但是和域一样,如果一台计算机想访问其他计算机的话首先也要找到这个组中的一台类似组控服务器,组控服务器不是固定的,以选举的方式实现,它存储着这个组的相关信息,找到这台计算机后得到组的信息然后访问。
4、域的优势
1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。
2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人或指定人员看,但不可以删/改/移等。
3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。
4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。
6、方便用户使用各种资源。
7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
8、资源共享:用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。
9、管理
A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。
B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。
10、可扩展性:在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。
11、安全性:域为用户提供了单一的登录过程来访问网络资源,如所有他们具有权限的文件、打印机和应用程序资源。也就是说,用户可以登录到一台计算机来使用网络上另外一台计算机上的资源,只要用户具有对资源的合适权限。域通过对用户权限合适的划分,确定了只有对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。
12、可冗余性:每个域控制器保存和维护目录的一个副本。在域中,你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时,域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时,他们会定期的相互复制目录信息,域控制器间的数据复制,促使用户信息发生改变时(比如用户修改了口令),可以迅速的复制到其他的域控制器上,这样当一台域控制器出现故障时,用户仍然可以通过其他的域控制进行登录,保障了网络的顺利运行。
5、域的规划建设
1、一般系统集成公司在做企业网络维护过程中,一般会建议公司采用单域单站点管理模式,建设AD与BAD,即主域控器与备份域控制器,在其下面采用OU(组织单元)的模式进行集中管理各部门人员与电脑。此种管理模式,成本降低,且减少管理复杂度和维护量。
2、AD(主域控制器):公司所有权限管理,用户建立以及各种策略、软件等的管理及实施到每台电脑。同时,AD(active directory)活动目录,动态的建立整个域模式网络中的对象的数据库或索引,协议为LDAP,安装了AD的服务器称为DC域控制器,存储整个域的对象的信息并周期性更新。
3、BAD(备份域控制器):采用与AD完全相同的设置,继承AD上的所有管理资料,防止AD出现故障后,公司电脑无法登陆AD和使用网络资源,在BAD服务器上,建立资源共享文件夹,即File server,进行公司种文件的共享和使用,将BAD服务器做成WSUS服务器(windows补丁服务器),管理公司所有电脑的补丁的下载与提供安装的服务,如有需要还可集成ISA SERVER服务器,进行公司网络的管控(上网行为管理)。
6、Windows的身份认证
身份验证是一个提供给已导入帐号目录服务客户的搭配功能。目前身份验证有两大系统,分别是微软的AD认证(Active Directory)与自由软体的LDAP(Light-weighted Data Access Protocol)服务,不论是哪一个阵营的程式,NewSoft OA的“身份验证”模组都支援。
在AD/LDAP使用前(使用者需利用不同帐号密码登入各个系统)
AD/LDAP使用后(使用者只要利用单一帐号密码登入AD/LDAP)
从图示可以清楚的发现,在使用AD/LDAP后,使用者原本要自行记忆多组帐号密码来登入不同的系统。现在只要先登入一台AD/LDAP Server,接下来的身份验证就会由该Server来协助处理了。
7、Windows的AD域
7.1 AD域管理
1、AD域管理:通过批量创建和编辑用户帐户,指派管理权限等,简化Windows AD域的管理。
2、批量管理域用户:使用CSV文件批量导入用户、编辑用户属性、重置密码、批量迁移用户和用户对象。
3、批量创建域用户:通过导入CSV文件,批量创建用户,包含Exchange邮箱、终端服务等所有属性,指派到组。
4、批量编辑域用户:批量重置密码、解锁用户、迁移用户、删除/启用/禁用用户、添加到组或从组中移除、修改用户属性等。
5、管理不活跃/禁用的用户帐户:通过生成不活域/禁用的用户帐户列表,轻松删除、启用或迁移帐户,达到清理AD域的目的。
6、AD域密码管理:重置多个用户帐户的密码、配置密码策略、启用/禁用密码过期的用户。
7、手机App:通过手机App执行重置密码、启用、禁用、解锁以及删除用户帐户等操作。
8、AD域计算机管理:批量创建计算机、启用、禁用和迁移计算机,修改计算机属性和所属组。
9、终端服务管理:批量编辑终端服务主文件夹、路径、启动程序、会话时间和远程设置。
7.2AD域报表
1、AD域报表:默认提供150多种报表,全面分析Windows AD域架构。
2、AD域用户报表:全面的用户分析报表,包括不活跃的用户、被锁定的用户、最后登录的用户以及被禁用的用户等。
3、用户登录报表:生成用户登录行为报表,包括登录时间、时长等属性。
4、密码报表:包括密码状态、安全权限、密码过期、无效登录尝试和密码变更报表。
5、最后登录报表:了解某组织单元、组或整个AD域里,用户最后一次登录时间,包括帐户状态、帐户创建时间等信息。
6、计算机报表:全面的计算机对象、域控制器、工作站、计算机帐户状态以及按照操作系统分类的报表。
7、组报表:所有类型的安全和分发组,包括其中的组成员报表以及分发列表及成员报表。
8、组织单元报表:详细的组织单元报表,包括最近创建的组织单元、最近修改的组织单元、GPO链接的组织单元、GPO阻止继承的组织单元以及空的组织单元。
9、计划报表:设置报表计划,自动生成并发送报表,报表可导出为CSV、PDF和HTML格式文件。
7.3权限指派/工作流
1、帮助台管理:将管理权限指派给帮助台技术员或HR,降低AD管理员的工作负荷。
2、管理权限指派:设置工作流程,安全地将管理权限指派给其他用户。
3、划分不同权限:设置不同的角色,配置不同的管理权限,确保AD域的安全。
4、基于组织单元的权限指派:为一个组织单元配置一个管理员,执行相关的管理操作。
5、安全指派:按照一定的规则,设置管理权限,确保信息安全。
7.4Exchange管理
1、Exchange服务器管理:在一个平台全面管理Exchange服务器和AD。
2、邮箱创建:批量创建邮箱,支持Exchange Server 2003, 2007/2010/2013版本和Office 365。
3、设置邮箱权限:可通过模板轻松批量设置邮箱权限,支持Exchange Servers 2003和2007/2010/2013。
4、禁用/删除Exchange邮箱:批量禁用和删除邮箱。
5、分发列表报表:全面分析分发列表,提供分发组、分发列表成员和非分发列表成员报表。
6、Exchange服务器邮箱迁移:批量将邮箱迁移到指定的Exchange服务器。
7、Exchange策略管理:应用多个Exchange策略,例如共享策略、角色指派策略、保留策略、UM策略和ActiveSync策略。
8、Windows 添加AD域
在创建好AD域控后便来到了添加组织单位和域用户的环节,域控可以对域用户下发组策略(GPO)对用户的功能进行一些限制。
首先创建组织单位(OU),可以手工创建,可以使用命令批量创建
首先使用到的是dsadd命令,dsadd有许多语法,有兴趣的可以自己去找找相关的资料学习,本次添加用户只需要使用到dsadd ou和dsadd user这两个语法
dsadd ou ou=总公司,DC=cn DC=cn //这里的ou为一个组织单位,从左往右DC为域名
dsadd ou ou=xx部门,ou=总公司,DC=cn DC=cn //这里的部门是公司的其中一个部门
dsadd ou ou=xxx办公室,ou=xx部门,ou=总公司,DC=cn DC=cn //这里的xxx办公室是部门下的,所以部门在这里是第三层
这样就添加好了AD域的组织单位了,而且是一个具有组织结构的ou
接下来就是添加用户了,博主这里使用了批处理命令去导入域用户。
首先在excel里面写好每一列所代表的的数据,比如第一列是员工的姓名,第二列为工号,第三列为ou,层层递进,然后将excel表格另存为格式为.csv格式保存,最后以管理员的身份运行批处理文件将每一行的数据输出,最后执行添加用户,实现自动化添加。
For /f "tokens=1,2,3,4,5 delims=," %a in (C:\Users\Administrator\Desktop\user.csv) do dsadd user "cn=%a,ou=%c,ou=%d,ou=%e,dc=cn,dc=cn" -samid %b -upn %b@cn.cn -display %a -pwd 12345678 -mustchpwd no -pwdneverexpires no -disabled no
-upn UPN
指定要添加的用户的用户主体名称(例如,Linda@widgets.microsoft.com)。
-fn FirstName
指定要添加的用户的名字。
-mi Initial
指定要添加的用户的中间名首字母。
-ln LastName
指定要添加的用户的姓氏。
-display DisplayName
指定要添加的用户的显示名。
-empid EmployeeID
指定要添加的用户的雇员 ID。
-pwd {Password | *}
指定将用户密码设置为 Password 或 *。如果设置为 *,将提示您输入用户密码。
-desc Description
指定要添加的用户的描述。
-memberof GroupDN ...
指定希望用户加入的组的可分辨名称。
-office Office
指定要添加的用户的办公室位置。
-tel PhoneNumber
指定要添加的用户的电话号码。
-email Email
指定要添加的用户的电子邮件地址。
-hometel HomePhoneNumber
指定要添加的用户的家庭电话号码。
-pager PagerNumber
指定要添加的用户的寻呼机号码。
-mobile CellPhoneNumber
指定要添加的用户的移动电话号码。
-fax FaxNumber
指定要添加的用户的传真号码。
-iptel IPPhoneNumber
指定要添加的用户的 IP 电话号码。
-webpg WebPage
指定要添加的用户的 Web 页的 URL。
-title Title
指定要添加的用户的称谓。
-dept Department
指定要添加的用户的部门。
-company Company
指定要添加的用户的公司信息。
-mgr ManagerDN
指定要添加的用户的管理器的可分辨名称。
-hmdir HomeDirectory
指定要添加的用户的主目录位置。如果 HomeDirectory 是作为通用命名约定 (UNC) 路径给出,则必须使用 -hmdrv 参数指定要映射到此路径的驱动器号。
-hmdrv DriveLetter:
指定要添加的用户的主目录驱动器号(例如,E:)。
-profile ProfilePath
指定要添加的用户的配置文件路径。
-loscr ScriptPath
指定要添加的用户的登录脚本路径。
-mustchpwd {yes | no}
指定用户是否必须在下次登录时更改其密码(yes 必须更改,no 不必更改)。默认情况下,用户不必更改密码 (no)。
-canchpwd {yes | no}
指定用户是否可以更改其密码(yes 可以更改,no 根本不能更改)。默认情况下,允许用户更改密码 (yes)。如果 -mustchpwd 参数的值为 yes,则该参数的值必须为 yes。
-reversiblepwd {yes | no}
指定是否应使用可逆加密来存储用户密码(yes 表示应该,no 表示不应该)。默认情况下,用户不能使用可逆加密 (no)。
-pwdneverexpires {yes | no}
指定用户密码是否永不过期(yes 表示是,no 表示不是)。默认情况下,用户密码会过期 (no)。
-acctexpires NumberOfDays
指定从今天算起用户帐户将到期的天数。0 值表示将今天的结束时间设置为到期时间。正值表示将将来的时间设置为到期时间。负值表示将以前的时间设置为到期时间。值 never 将帐户设置为永不过期。例如,0 值表示该帐户在今天结束时过期。值 -5 表示该帐户 5 天前就已经到期,并将以前的时间设置为到期日期。值 5 表示该帐户将在 5 天后到期。
-disabled {yes | no}
指定是否禁用用户帐户登录(yes 禁用登录,no 允许登录)。默认情况下,启用用户帐户登录 (no)。
{-s Server | -d Domain}
连接到指定的远程服务器或域。默认情况下,计算机与登录域中的域控制器相连接。
-u UserName
指定用户要用于登录到远程服务器的用户名。默认情况下,-u 使用用户登录时的用户名。您可以使用下列任一格式指定用户名:
用户名(例如 Linda)
域\用户名(例如 widgets\Linda)
用户主体名称 (UPN)(例如 Linda@widgets.microsoft.com)
-p {Password | *}
指定使用密码或 * 登录到远程服务器。如果键入 *,将提示您输入密码。
-q
将所有输出降低为标准输出(安静模式)。
使用批处理命令导入AD域用户的教程先到这里,后续遇到什么问题再补充,也可以给博主提一些建议。
引用
来自知乎