Windows Server Active Directory域服务配置与管理全面指南

Windows Server Active Directory (AD) 域服务配置与管理全面指南

[TOC]

Active Directory (AD) 是 Windows Server 的核心服务，提供了集中式身份验证和授权服务。以下详细介绍 AD 域服务的配置与管理。

一、Active Directory 基础概念

1.1 什么是 Active Directory

Active Directory 是一种由微软开发的目录服务，它允许网络管理员存储和组织网络中的对象，如用户、计算机、打印机等，以及管理这些对象的访问和权限。

• 用于:集中存储网络资源信息、提供身份验证和授权服务、实现策略管理和软件分发

主要功能和特点包括：

1. 身份验证和授权： Active Directory 提供了认证机制，允许用户通过登录来访问网络资源，并授权给用户适当的权限以执行特定的操作。
2. 目录服务： 它是一个层次化的数据库，用于存储和组织网络中的对象信息。这些对象可以是用户、组、计算机、打印机等。
3. 集中管理： 管理员可以使用 Active Directory 中心化地管理网络中的所有对象和其访问权限，而不需要在每台计算机上单独配置。
4. 安全性和策略管理： Active Directory 提供了安全性功能，如访问控制、加密、审计和密码策略管理，以确保网络资源的安全性。
5. 复制和冗余： Active Directory 使用多个域控制器（Domain Controller）来提供高可用性和冗余，确保即使一个域控制器失效，网络服务也能继续运行。
6. 集成其他服务： 它与其他微软服务和产品集成紧密，如Exchange Server、SharePoint、Azure等，使得企业能够统一管理整个IT基础架构。

使用场景：

• 企业内部网络管理： 主要用于大型组织和企业，以管理其内部的用户、计算机和资源访问。
• 单点登录（SSO）： Active Directory 可以作为单点登录（SSO）系统的基础，使用户在企业网络中的各种应用和服务中实现统一的登录体验。
• 安全管理和合规性： 通过强化的安全策略和审计功能，帮助组织保护其数据和资源，并符合相关的法规和标准。

1.2 核心组件

• 域 Domain : 活动目录的一种实现形式，主要由域控制器和成员计算机组成
• • 域控制器（Domain Controller, DC）： 域控制器是存储和管理 Active Directory 数据库的服务器。每个域至少有一个域控制器，它负责验证用户的登录请求、存储和维护域中的对象（如用户、组、计算机等）以及处理其他域控制器的同步和复制
    • 一般来说：域控制器就是安装了活动目录的一台计算机
    • 活动目录的数据都存储在域控制器内
    • 一个域可以有多台域控制器
  • 域名系统（Domain Name System, DNS）： DNS 在 Active Directory 中扮演着重要角色，用于解析域名和 IP 地址之间的关系，确保客户端能够正确地定位和访问域控制器
• **名称空间（DNS域名空间）：**是一个区域的名字，定位了网络资源（域名资源）的位置
  • **AD DS复制:**将AD DS数据库的所有更新复制到域中或林中的所有其他域控制器
    • 作用：确保所有域控制器都有相同的信息、使用多主机复制模型、可通过创建AD DS站点来进行管理
• **森林（Forest）：**一个森林是一个或多个域的逻辑集合，它们共享一个单一的林根和安全边界。森林是一个安全和管理的边界，它定义了信任关系和策略。
• **树（Tree）：**具有连续命名空间的域
• 组织单位（OU）： 用于组织和管理对象的容器
• 对象: 用户、计算机、组、打印机等资源
  • 对象由一组属性组成，它代表的是具体的事物
  • 属性就是用来描述对象的数据

1.3 域结构

• 域的组成：物理结构、逻辑结构
• 物理结构：侧重于活动目录的配置和优化
• 逻辑结构：侧重于网络资源的管理

1、逻辑结构

• 单域：在网络中只建立了一个域
• 域树：具有连续域名空间的多个域（qfnu.com jsj.qfnu.com）
• 域林：由一个或者多个没有形成连续域名空的域树组成(QFNU.com] JNU.com] )
• 组织单位：域内部的一种容器（用于存放对象）

2、物理结构

• 站点：可以将高速连接的网络中多台域控制放入一个站点（一个站点必须一个GC 全局边路服务器）
• 站点是一个物理范围，对应高速稳定的ip子网，如企业内部的局域网。

一个域的域控制器分布在不同的站点中，而站点之间是慢速连接，由于不同站点的域控制器之间会互相复制AD DS数据库，因此要谨慎规划执行复制的时段，尽量在离峰时段执行复制工作，频率不要过高，避免复制时占用站点之间的连接带宽，影响站点之间其他数据的传输效率

一个站点中可以包含多个域，一个域也可以包含多个站点

同一个站点内的域控制器之间是通过快速链路连接在一起的，在复制AD DS数据时，可以实现快速复制。AD DS会设置让同一个站点内、隶属于同一个域的域控制器之间自动执行复制操作，默认的复制频率也要高于不同站点之间的域控制器

域控制器（DC）

域控制器在多域环境下同步活动目录数据的功能。

域控制器保存了活动目录信息的副本，并负责把这些信息及其最新的变化复制到其他域控制器上，使各个DC上的信息保持同步。

主要有以下3种类型的活动目录数据会在域控制器之间进行复制。

域数据：包含域中的对象有关的信息，包括用户、计算机和电子邮件联系人等对象及他们的属性。

配置数据：描述目录的拓扑结构，包括所有域、域树和域林的列表、以及域控制器和全局编录服务器的所处位置

架构数据：对于活动目录中存储的所有对象和属性数据的正式定义。

二、AD 域服务安装与配置

2.1 系统要求

• Windows Server 2012 R2 或更高版本
• 至少 2GB RAM (建议 4GB 或更多)
• 至少 20GB 可用磁盘空间
• 静态 IP 地址
• DNS 服务支持

2.2 安装步骤

方法1: 使用服务器管理器

1. 打开"服务器管理器"
2. 点击"添加角色和功能"
3. 选择"基于角色或基于功能的安装"
4. 选择服务器
5. 勾选"Active Directory 域服务"
6. 完成安装后，点击"将此服务器提升为域控制器"

方法2: 使用 PowerShell

Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Import-Module ADDSDeployment
Install-ADDSForest -DomainName "yourdomain.com" -DomainNetbiosName "YOURDOMAIN" -InstallDns

2.3 域控制器配置选项

1. 部署配置:

   • 添加新林
   • 向现有域添加域控制器
   • 添加新域到现有林

2. 域控制器选项:

   • 设置域功能级别(影响可用功能)
   • 指定 DNS 选项
   • 设置目录服务还原模式(DSRM)密码

3. DNS 选项:

   • 自动创建 DNS 委派(适用于子域)

4. 路径:

   • 指定数据库、日志文件和 SYSVOL 的位置

三、Active Directory 管理工具

3.1 主要管理工具

1. Active Directory 用户和计算机

   • 管理用户、组、计算机和 OU
   • 路径: dsa.msc

2. Active Directory 站点和服务

   • 管理物理网络拓扑和复制
   • 路径: dssite.msc

3. Active Directory 域和信任

   • 管理域信任关系
   • 路径: domain.msc

4. 组策略管理(GPMC)

   • 管理组策略对象(GPO)
   • 路径: gpmc.msc

5. ADSI 编辑器

   • 高级 AD 对象编辑
   • 路径: adsiedit.msc

3.2 常用命令行工具

• dsquery: 查询 AD 对象
• dsadd: 添加 AD 对象
• dsmod: 修改 AD 对象
• dsmove: 移动 AD 对象
• dsrm: 删除 AD 对象
• nltest: 测试域信任和 DC 定位
• repadmin: 监控和管理复制

四、用户与组管理

4.1 用户账户管理

创建用户

New-ADUser -Name "John Doe" -GivenName "John" -Surname "Doe" -SamAccountName "jdoe" -UserPrincipalName "jdoe@yourdomain.com" -Path "OU=Users,DC=yourdomain,DC=com" -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) -Enabled $true

用户属性配置

• 密码策略
• 账户过期
• 登录时间限制
• 登录工作站限制
• 配置文件路径(漫游配置文件)
• 主目录

4.2 组管理

组类型

• 安全组: 用于分配权限
• 分发组: 仅用于电子邮件分发

组作用域

• 域本地组: 仅在创建它的域中使用
• 全局组: 可以在整个林中使用
• 通用组: 可以在整个林中使用，并可包含来自任何域的成员

创建组

New-ADGroup -Name "Sales Team" -GroupScope Global -GroupCategory Security -Path "OU=Groups,DC=yourdomain,DC=com"

五、组策略管理

5.1 组策略基础

• GPO (组策略对象): 包含策略设置的集合
• GPC (组策略容器): AD 中存储的 GPO 属性
• GPT (组策略模板): SYSVOL 中的策略文件

5.2 创建和链接 GPO

1. 打开"组策略管理"
2. 右键"组策略对象"，选择"新建"
3. 指定名称，点击"确定"
4. 右键要应用 GPO 的域或 OU，选择"链接现有 GPO"
5. 选择刚创建的 GPO

5.3 常用策略设置

• 计算机配置:

  • 密码策略
  • 账户锁定策略
  • 软件安装
  • 启动/关机脚本
  • 安全设置

• 用户配置:

  • 登录/注销脚本
  • 文件夹重定向
  • Internet Explorer 设置
  • 开始菜单和任务栏限制

5.4 组策略处理顺序

1. 本地 GPO
2. 站点链接的 GPO
3. 域链接的 GPO
4. OU 链接的 GPO(从父 OU 到子 OU)
5. 子 OU 链接的 GPO

5.5 组策略建模和结果

• 组策略建模: 模拟策略应用结果
• 组策略结果: 查看实际应用的策略

六、AD 维护与故障排除

6.1 日常维护任务

1. 备份 AD:

   wbadmin start systemstatebackup -backuptarget:D:

2. 监控事件日志: 特别关注目录服务和 DNS 服务器日志
3. 检查复制状态:

   repadmin /showrepl

4. 清理陈旧对象: 使用 ntdsutil 工具

6.2 常见问题排查

1. 登录问题:

   • 检查网络连接
   • 验证 DNS 配置
   • 检查账户状态(是否被锁定或过期)

2. 复制问题:

   • 使用 repadmin /syncall 强制复制
   • 检查防火墙设置
   • 验证站点链接配置

3. DNS 问题:

   • 验证 SRV 记录
   • 使用 nslookup 测试解析
   • 检查动态更新设置

6.3 灾难恢复

1. 目录服务还原模式(DSRM):

   • 启动时按 F8 进入
   • 使用 ntdsutil 执行恢复操作

2. 系统状态恢复:

   wbadmin start systemstaterecovery -version:MM/DD/YYYY-HH:MM

七、高级 AD 功能

7.1 AD 站点和服务

• 优化跨地理位置域的复制
• 配置站点链接成本和计划

7.2 AD 信任

• 创建外部信任(与外部域)
• 创建林信任(与另一个 AD 林)
• 创建领域信任(与 Kerberos 领域)

7.3 AD 证书服务(AD CS)

• 部署企业 CA
• 配置证书自动注册
• 管理证书模板

7.4 AD 联合身份验证服务(AD FS)

• 配置单点登录(SSO)
• 建立与云服务的信任关系
• 管理声明提供程序

八、最佳实践

1. 命名规范: 建立一致的命名约定
2. OU 设计: 基于管理需求而非组织结构
3. 权限委派: 使用最小权限原则
4. 文档记录: 记录所有配置变更
5. 测试环境: 在生产环境变更前测试
6. 定期审核: 检查账户权限和使用情况
7. 备份策略: 定期备份系统状态

通过以上配置和管理实践，您可以构建一个安全、稳定且高效的 Active Directory 环境，为组织提供可靠的身份验证和资源管理服务。