活动目录在企业中的应用-51CTO.COM

活动目录在企业中的应用

它在用户权限管理，桌面配置管理，安全设置管理，拓扑结构以及冗余备份机制上的应用是否真正的解决了你在企业IT运维和管理中遇到的实际问题。

本期特邀微软最有价值专家（MVP）——董君先生，擅长活动目录以及Exchange产品，作为讲师曾主讲过涉及活动目录、Windows Server 2008、以及Exchange等课程的公开培训、企业培训以及微软官方动手实验营活动，并在TechED2009大会上对Exchange2010进行讲解。相信能为学习活动目录的用户在学习过程中遇到的实际问题，给予解答。欢迎午饭积极提问，与专家一起讨论!

专家博客地址：http://dong8745.blog.51cto.com/

专家家园地址：http://home.51cto.com/index.php?s=/space/43588

本期门诊链接：http://doctor.51cto.com/develop-186.html

精选本期网友提问与专家解答，以供网友学习参考。

Q：AD中用户基于漫游，要注意那些方面? 在基于漫游的基础上的用户，如果要进行更改登陆名称，要注意那些方面?

A：你好，在AD中用户漫游配置文件是个很有用的功能，通过它可以实现用户在域内不同计算机登陆加载相同配置配置文件的功能，提供了桌面环境的一致性，下面是几个注意点：

1.漫游配置文件是把配置文件保存在网络的共享空间中，因此对此共享空间用户需要有适当的访问权限，即应该有更改的权限

2.用户每次登陆和注销时会从网络上加载和上传自己的配置文件，并且随着使用会占用一部分空间因此建议在部署前针对用户数量和使用保留出适当的磁盘空间

3.为了保证配置文件的一致性，应该确保网络畅通，也就是每次注销时都可以将保存复制到漫游配置文件中，所以建议对共享服务器的网络配置冗余

4.在设置时可以使用环境变量%username%

5.可以配合使用文件夹重定向，将部分数据量大的文件夹如“我的文档”重定向到网络服务器

6.你好，问题2中的用户名称我理解的是用户的显示名不知是否有误，更改此名称不会有影响

Q：董老师：

1。可以通过活动目录自动添加打印机吗？要怎么添加？

2。在使用软件限制策略的时候，如果通过路径规则进行限制则用户修改文件名限制就会不起作用，而通过散列规则又需要对每个版本的软件都进行限制。有什么好的方法吗？

3。现在有许多网管产品也都拥有网络管理的功能，比如IPGuard等，而且使用起来更加方便，您觉得活动目录的优点在哪里？

A：.默认情况我已将打印设备在AD中发布，然后域用户根据设备描述信息搜索使用；如果需要自动添加打印机必须借助组策略脚本进行推发，可测试后使用。（可根据不同OU的地理位置添加位置最近的打印机）

2.Windows Server 2008 R2的组策略中提供了APPLocker（应用程序限制策略）功能，可以实现基于软件执行的细化规则并且提供现有软件版本的向上以及向下版本的限制，限制是客户端需要配合WIN7使用

3.你好，对这个软件不了解，不能为你提供横向的比较。在2008及以后版本中，AD已不再特指活动目录域服务，而是由5大部分组成：ADDS、ADRMS、ADCS、ADLCS、ADFS，。其实我们不应该将AD作为一个网络管理软件去理解。

信息共享。首先AD可以将你组织内的信息整合起来并共享，如员工的电话、部门、直属关系等，这个优势在整合其他应用如MOSS、OCS后会更加明显

权限集中管理。将分散在每个客户端的权限整合活动目录域控制器上，在客户端上对于每个用户做到严格的权限限制，在共享资源上对每个用户划分不同的访问权限等。

设置集中管理。按组织信息进行层次化的管理，通过域策略可以统一企业整体或者单个部门客户端设置，如统一IE设置，统一桌面环境等。大多数组策略条目实质上是修改客户端的注册表文件，因此可以很轻松的实现上述管理设置，并且在每一个新SERVER发布后都会对域策略进行扩展增加更多的功能，如2008中的 QOS、USB设备限制R2中的APPLocker等。并且通过Powershell和脚本可以实现更多的扩展。

其实AD只是微软服务领域的一个应用，只是处于核心基础架构的地位。结合Server系统自身的服务，如WSUS实现补丁自动分发，WDS实现操作系统网络部署等。并且结合微软其他产品，如虚拟化架构、Exchange、OCS、MOSS、ISA等选择更成熟的解决方案，解决更多的应用问题。所以如果将微软产品比作许多同心圆的话，AD是最中间的圆心，外部还会嵌套很多层每一层都能解决更多的问题。

Q：董老师，我向你问个故障现象。今天早晨我司有台电脑系统坏了，用户名为A。我给他重装系统后，用户名改为B。当我删除A账户时B账户也没有了请问是怎么回事？

A：你好，我的理解是现有域环境中一台客户端A系统当掉了直接重装系统没有进行退域，所以AD中还残留计算机账户。而后，在原计算机上重装系统更改计算机名为B后加域，最后在ADUC中删除A账户同时B账户也删除掉了。不知是否有误。

默认情况下是不会出现此问题的，建议在企业环境中操作系统使用完全安装方式部署，如果必须使用克隆版请用NEWSID重置。

Q：请问董老师在一个全新的环境安装活动目录需要注意什么？如何能够快速的创建较多的账户？

A：部署AD是一个系统化的工程，不同的环境规划的流程也会不尽相同，下面只是简单的介绍一下：

1.规划部署架构。逻辑拓扑上是部署单独的林根域、多域树还是父子域。物理拓扑上是单站点还是多站点。是否有分支，分支的规模，部署DC还是RODC等。

2.规划网络环境。如名称空间、保留的IP、主机信息等，如果有防火墙需要确认AD所需的端口已打开。如53 88 389 445等。

3.规划DC。根据用户的数量选择域控制器硬件，建议DC最少2台以提供冗余和负载，在人员较少的分支可以部署RODC。选择AD的功能级别，如果没有特殊需求建议使用较低的级别，如使用Windows Server 2008中颗粒化密码策略需要将功能级别进行提升。

4.了解环境组织信息以及客户需求，便于后面ADUC中创建组织架构和设置策略

5.做好备份策略并定期执行健康检查。

6.成批创建用户，系统提供了2个命令：CSVDE和LDIFDE，通过编写规定格式的文件实现用户的成批导入。当然也可以使用一些工具或者自己编脚本文件,关于脚本文件我曾写过一篇博文，链接如下：http://dong8745.blog.51cto.com/43588/126487

Q：您好，董老师！希望您可以分享如何更好地保障AD安全性的一些工作经验，谢谢！

A：1.物理安全。有些地方没有机房DC之类的设备甚至放在办公间里，所有人都可以接触到也谈不上安全。所以拥有专门的机房，并对机房进出进行严格控制是必须的。

2.DC拓扑。比如规模比较大拥有自己IT团队的分支机构可以部署附加域控制器然后委派一些日常权限，规模比较小IT能力有限的分支机构可以部署只读域控制器。处于冗余和负载目的应该至少部署一台主域控制器和一台附加域控制器。

3.权限控制。AD中的集中管理的权限可以作用到企业全局，不必要的权限会造成更加严重的威胁。比如在给用户不必要的权限如Domain Admins组权限或者本地Adsministrators组的权限后其实也就谈不上什么管理和限制了。建议普通用户隶属于Domain Users组，对初始Administrator账户进行更名并对每个管理员创建唯一的账户便于后期配置审核。

4.DC服务器上尽量不要安装其他软件。有些软件会造成DC服务器瘫痪并且不利于后期故障排除。

5.选择服务器版杀毒软件，有的软件杀毒能力很强但是可能会把系统一起干掉，这个用在DC上就不合适了。

6.做好备份。备份是AD安全的最后一道防线，所以日常对DC执行备份计划是必须的，并保证在其他服务器或异地保留一份备份副本，在墓碑期的对象可以通过adrestore工具恢复，超出墓碑期的用户可以通过备份执行授权和非授权还原恢复。

7.还有很多，安其实全本身就有一个宏命题涉及到IT的各个方面，这里也只是介绍了一些基本的原则。

Q：董老师：你好，我看过一些关于AD方面的东西，，不过感觉很难理解，，您可以用比较通俗易懂的语言稍微解释一下AD么？它都有哪些有点？

A：目录服务的产品其实有很多,AD特指微软开发的目录产品-活动目录。其实说到AD我们可以将它理解成为一个“电话黄页”，这个企业内的”电话黄页”集中保存了企业内部的的IT信息，如用户、计算机、组、电话号码、部门等等信息。所谓的林和域就是这个“电话黄页'包含信息的范围以及所能查询到的范围，基于这些组织起来的信息IT管理员可以完成访问权限的设置和桌面环境管理的工作。优点可参考2楼回复。#p#

Q：董老师：我用Windows 2003搭建的AD域，然后使用组策略将我的文档指定到共享出来的驱动器上面，但为什么我在服务器上无法查看User的我的文档的内容，显示存取受限，而我是用administrator操作服务器的。请问是哪地方的设置不对? 因为这样的话我就没办法在服务器端为User做文件备份。谢谢！

A：你好，出于安全考虑使用重定向后的“我的文档”只有文档的所有者即域用户拥有权限并默认成为创建文档所有者，管理员需要查看内容必须授予所有者和适合当的访问权限。使用备份整个服务器的方式可以备份这部分文档。

Q：请问

1.活动目录在企业中主要应用在哪里？什么地方的应用最多？比如说gpo？ou？还是？能举例说明吗？

2.企业中部署AD域，在部署之前规划原则大概是怎样的？能大概谈下吗？如何有效的正确的最简单化部署AD域环境？

3.您认为AD域中通过ou实施实施组策略管理比好有效一些还是通过组管理更有效一些？为什么？能举例说明吗？

谢谢老师的回答~~~期待详细的答案~~~

A：

1.请参见2楼回复。

2.请参见4楼回复。

3.你好，在AD中组织单元(OU)和组是2个不同的对象，用来完成不同的管理任务，因此不存在谁哪个更有效的问题。OU一般根据你的组织架构创建并且是链接组策略对象（GPO）的最小单位（默认执行的优先级最高）便于IT管理员维护客户端桌面设置；而组一般时一组相似用户的集合，用来控制访问权限和登录访问等。更多关于AD的知识可以参考9楼的回复。

Q：你好，董老师。刚好这几天我正在AD呢，是在虚拟机上弄的。弄了好几次，都是发现自己真的是不懂呢，尽管也在网上刚看了很多这方面的文章，自己也发现我对 server 2003 不是很了解。现在我想把server 2003最基本的功能弄熟悉了，然后在攻读AD和Exchange。

A：你好，可以说活动目录是微软服务器领域最核心的平台，首先掌握好AD也是学习微软产品的最佳入门途径。就Exchange来说，它的安装依赖于AD，并且它的架构信息、配置信息以及联系人信息也都保存在活动目录数据库中。

关于学习AD如果条件允许还是建议参加培训机构课程系统学习。如自学后后面深入学习下面这些资料推荐你看一下：

1.戴有炜编著的《Windows Server 2003 ActiveDirectory 配置指南》《Windows Server 2003网络专业指南》《Windows Server2003用户管理指南》三本书，最新的应该是2008版本，很系统的入门教材

2.3本进阶读物《Windows Server 2008 Unleashed》《 Windows Server 2008 R2 Unleashed》《Windows Server 2008 Active Directory Resource Kit》

3.1本大部头《WindowsInternals4thEdition》最新是第五版，第四版目前有翻译成中文的版本

4.视频资源 Technet Webcast，可以搜索一下早期的视频资源：http://technet.microsoft.com/zh-cn/dd547417.aspx

5.岳老师的博客，里面有很系统很深入浅出的系列文章： http://yuelei.blog.51cto.com/

Q：你好，如下问题不解，帮解决下，谢谢！

1、DNS服务器日志信息：“DNS 服务器遇到很多运行时间事件。要确定这些运行时间事件的初始原因，请检查此事件之前的 DNS 服务器事件日志项。为防止DNS 服务器添加事件日志过快，将取消事件 ID 高于3000 的后续事件，除非事件不再高速产生。”并且过一段时间会生产这样一个日志。上一个和下一个有很多这样的日志：“DNS 服务器在来自（ISP供应商DNS）的包内遇到无效域名。包将被拒绝。事件数据包含此 DNS 包。”

2、限制用户安装软件：目前公司已部署AD集成ISA，现在想限制某些用户不能安装与工作无关的软件，请问如何通过组策略实现？说明：客户端都是加入本地域管理员组，不然客户端无权限打开ERP客户端软件。

3、在DC上能否查看组策略是否被应用到客户端？也就是说想查看部署的组策略哪些用户被应用了？哪些没有应用？另外：能否查看客户端是否登录到域中？有些员工经常登录到本机，这样不好限制、管理，有什么好的办法解决。

4、致谢！

A：1.你好本次门诊主要讨论的是应用，具体排错的问题请将现有网络状态，系统环境，具体日志信息，发生错误时间以及在那段时间进行的操作和更改情况发至邮箱：dong8745@hotmail.com, 我可以给你提供一些建议

2.2008中提供了APPlocker功能可以和软件限制策略结合使用，当然域中限制用户安装软件最简介的方法是指给予普通域用户domain users权限，对于某些Domain users用户不能运行的软件，可以在域策略的如下位置计算机配置—策略—Windows 设置—安全设置—文件系统/注册表赋予domain users权限。

3.在DC上面可以使用组策略结果工具查看组策略设置，默认情况下策略应该是都被应用的，如果策略设置应用失败可以确定是单一问题还是普遍问题，排错可以从网络链接质量、本地缓存登陆、DC复制不一致入手。限制员工本地登陆域基于AD本身功能可以使用受限制的组功能，推送脚本更改本地管理员密码以及可以使用IPsec域隔离等技术。

Q：董老師您好：

請教你幾個問題

1、在主域控中刪除了輔助域控的計算機名，還有什麼影響？有什麼辦法恢復（不使用備份還原），使用通出域再進入域之類的可以恢復嗎？

2、在AD日志中出現1030（Windows無法查詢群組原則物件的清單......）、1058(Windows無法存取GPO CN={8CF56A24-BA04-4F64-B890-24ACFE52E75A....的群組原則範本檔案。檔案必須存在位置.....群組原則處理已中止})錯誤怎麼解決？

3、在EXCHANGE2007日誌中有8207（以虛擬機器ABC上的空間/慷資訊更新公用資料夾時發生錯誤。錯誤碼為0X80004005）

4' 發郵件給外網使用OUTLOOK2007的同事，如果包含了已刪除了的賬號時，外網同事收到就變成亂碼，但是使用OE不會亂碼，有什麼好的辦法解決嗎？

以上問題比較多，煩請專家一一解答，謝謝！

A：1.可以使用备份来恢复活动目录中的对象，如果在墓碑期内可以使用adrestore恢复，如果是辅助域控建议尽快解决。

2.3.4.你好本次门诊主要讨论的是应用，具体排错的问题请将现有网络状态，系统环境，具体日志信息，发生错误时间以及在那段时间进行的操作和更改情况发至邮箱：dong8745@hotmail.com, 我可以给你提供一些建议

Q：您好，我想请教下。我们公司因为垃圾邮件的，目前想上EXCHANGE2010。垃圾邮件很头疼，最近在看关于EXCHANGE 的书籍，书上说了分5个服务器角色，其中边缘传输这个角色。我不是很清楚，它的逻辑结构是存在与内部网络之外，那么我应该把他放在我们物理结构的那个位置上。

我们的结构是路由器（用服务器做的）----核心交换---交换下面分别是服务器跟PC

A：你好，边缘传输服务器一般放在DMZ区域，外部网络和内部网络之间，用来隔离企业对外提供服务的服务器。如果只有1道墙，应该放在防火墙内。#p#

Q：老师你好,2008R2中AD有哪些新功能?是否可以直接从2000的域中升级?

A：你好2008不支持从2000的直接升级，可以先将环境升级至2003并卸载环境中的2000域控制器后再升级至2008。

Q：你好！董老师：

我工作1年了，在研发公司做了一年的公司网管，感觉自己就是个民工，待遇就别提了。

说正题，我现在想从事一个行业，都不知道走那个行业，每个行业的人才都很多，我在网络行业里边自认为基础不错，从交换路由，再到搭建服务器，linux、 windows都能搞定，部署防毒系统等。都不错，感觉现在真不知道走那条道，处于迷茫中。现在很想走一个门道，不想走这么宽的路了，以前对邮件系统比较感兴趣，但是现在招聘不怎么多，我选择行业时候总喜欢看看招聘形式，不知道我这些是不是可以采取，不然工作几年后还是个网管，那我真是有点不甘心！很想走一条路走下去，就是不知道把脚放到那条路上。麻烦前辈指点下，我计算机英语还不错！

A：我入行时也是在一家集成类公司，在“面”这个方向上做了几年时间，在以后深入“点”的时候受益良多。其实在深入“点”的同时也应该继续扩大自己的“面”，不要让自己局限在某个点上。“面"的范围应该很宽泛比如你说的英语，其他如沟通能力、演讲能力都应该算在面上，这样你后面的路才会更宽。

Q：AD在实际应用中如何容灾谢谢

A：主要包含如下几个内容：

1.服务冗余。部署至少2台域控制器，有条件异地应该至少保留一台

2.数据备份。使用系统自带或者第三方工具执行备份计划

3.健康状态。运行DCDIAG定期执行健康检查。使用BPA工具进行系统健康检查，2003系统需要单独下载，2008系统已集成

Q：能否共享写windwos 服务器安全加固的一写项目案例，如exchange 的，微软的安全加固向导太不适用了

A：你好，微软提供的BPA工具都是成百上千条最佳实践建议的集合，在实际环境中效果还是不错的。某些时候不适用是因为每个环境中的情况不一致，而泛用性的东西针对性不强。针对性强的方案一般是咨询公司根据你的环境情况给出，我见过一些都属于企业高度机密的资料。

Q：怎么把2000域升级到2003域，并且把用户和密码都导入到新的2003域控中？怎么迁移呀

A：你好，首先为2003域控制器（DC）准备域和林德架构，然后将一台2003的DC加入域中并将原2000DC上驻留的5大操作主机角色迁移至 2003DC，最后在2000DC上重新执行DCPROMO进行降级。原域中的用户和密码不需要手动迁移，通过DC间的复制会拷贝到2003DC的数据库中。

Q：你好: 有一个基于漫游安全的问题,请教一下.环境是2008的AD,客户端是:XP SP2 ,WIN7等.在基于漫游的前提,怎么控制一台机器的硬盘相关的数据只能被本机管理员与域中某一个用户读写操作,其它漫游的用户登陆后实现无法读取.除了用NTFS格式,手动添加控制相关的用户的权限外,有没有什么策略,从而不需要一台一台的机器手动添加相关的权限,谢谢解答

A：你好，默认配置后的漫游文件夹只有所有者（即漫游的用户）拥有完全控制权限，管理员也没有权限，赋权需要手动添加。你的应用可以考虑使用FTP或者MOSS文档库功能，这样实现起来更好些。

Q：董老师，我现在有两个域，一个是2003的一个是2008的，现在要把两个域合并成为一个域，那域功能你级别该怎么办是2003还是2008呢！对客户端XP有影响吗？

A：你好，功能级别可以使用较低的级别（举例来说，在你将功能级别升级至2008以前，域中所有2003的DC必须进行降级，而升级至2008功能级别以后新 2003DC也不能再加入到域中）。但是如果需要某些特殊功能如颗粒化密码策略那你需要将功能级别提升至2008，如DirectAccess、 BranchCache需要将功能级别提升至2008 R2.

提升功能级别本身对客户端不会有影响，但是策略中的某些设置XP客户端会无法应用，如DirectAccess、BranchCache等。其实我们在推送策略时大多数是修改域成员计算机的配置文件和注册表键值，如果客户端系统较旧没有这部分功能和设置项自然也就没办法应用了。#p#

Q：怎样实现主域控制器挂掉，额外域控制器接管任务！额外域接管5个角色才能替代主域！采用的是windows2008 系统

A：你好,其实在2008中AD已经是一个多主复制的架构，不再有NT中BDC和PDC的概念，主域控和附加域控实际上并没有主从的分别，所不同的只是是否驻留操作主机角色。因此在一台域控瘫痪后并不会立即造成ADDS的瘫痪，用户登录和验证的任务此时已由额外域控器接管，后续管理员只需尽快将5大角色抢夺到现有 DC并将原DC信息在AD中清除即可。

5大角色驻留关系如下：

林级别唯一的如下：

域命名:从林中添加或移除域

架构:更改架构

域级别唯一的如下：

RID: 为DC提供RID池以及SID

基础结构: 跟踪域中组成员在其他域中的更改

lPDC:

以上面为例，如果当掉的是林级别DC那你需要抢夺上述5大角色，如果是子域中的DC当掉抢夺域级别的3大角色即可。环境比较大的地方可以把上述角色进行分布，并部署最佳实践，如GC和基础结构主控就不应该放在一台服务器上。域控发生问题是一些非常规的情况，如果需要快速迁移角色，可以提前编写一些批处理命令。

Q：懂老师能说下额外域接替主域的设置步骤嘛！（windows 2008）谢谢

A：主DC非正常离线可以执行的步骤如下：

1.使用Ntdsutil工具，抢夺驻留在主域控上的角色

2.使用Ntdsutil工具删除非正常离线的DC信息

3.在ADUC工具中确认现DC为GC

3.删除DNS中关于离线DC的所有信息

4.删除Active Directory 站点和复制工具中残留的离线DC复制关系

5.如果现在域中只有一台DC可以将另外一台DC加入到域中

主DC正常离线可以执行的步骤如下：

1.通过图形工具转移（不是抢夺）5大角色

2.在ADUC工具中确认现DC为GC

3.对主DC进行降级

【编辑推荐】