十几年磨一剑，畅销书第10次升级

本书简介

《Windows Server 2022 Active Directory配置实战》是微软技术专家最新推出的Windows Server 2022两卷力作中的Active Directory配置实战篇。

《Windows Server 2022 Active Directory配置实战》延续了作者一贯的写作风格，通过大量的实例演示，将理论与实际操作相结合，并以简明易懂的文字进行描述，内容丰富，图文并茂。本书共分16章，内容包括Active Directory域服务、创建AD DS域、域用户与组账户的管理、利用组策略管理用户工作环境、利用组策略部署软件、限制软件的执行、建立域树和林、管理域与林的信任、AD DS数据库的复制、操作主机的管理、AD DS的维护、将资源发布到AD DS、自动信任根CA、利用WSUS部署更新程序、AD RMS企业文件版权管理以及AD DS与防火墙。

本书既适合广大初中级网络技术人员、网络管理和维护人员阅读，也可作为高等院校相关专业和技术培训班的教学用书，同时还可以作为微软认证考试的参考用书。

本书作者

戴有炜 微软认证系统工程师（MCSE） 微软认证讲师（MCT）微软资深顾问，IT部门主管、研发部门主管、技术总监、讲师等。

著作：

《Windows Server 2019系统与网站配置指南》

　《Windows Server 2019系统配置指南》

　《Windows Server 2016网络管理与架站》

　《Windows Server 2016系统配置指南》

　《Windows Server 2016网络管理与架站》

   《Windows Server 2016 Active Directory配置指南》

   《Windows Server 2012 R2系统配置指南》

  《Windows Server 2012 R2网络管理与架站》 

《Windows Server 2012 R2 Active Directory配置指南》

   《Windows Server 2008 R2安装与管理》

   《Windows Server 2008 R2网络管理与架站》

《Windows Server 2008 R2 Active Directory配置指南》

　 《ISA Server 2006防火墙安装与管理指南》

编辑推荐

《Windows Server 2022 Active Directory配置指南》由微软技术专家戴有炜先生倾力之作，是他新推出的Windows Server 2022两卷力作中的Active Directory配置指南篇。

    作者以十几年的实践经验为背景，专业讲解Active Directory域服务（AD DS）配置，实例丰富，图文并茂。内容涉及Active Directory域环境的配置、管理、软件部署、信任关系、安全性等方方面面。适合读者众多：初、中级网络技术人员、网络管理和维护人员；网络相关专业和技术培训的学生或学员；准备参加微软认证考试的考试人员。

本书目录

第1章　Active Directory域服务（AD DS） 1

1.1　Active Directory域服务概述 2

1.1.1　Active Directory域服务的适用范围 2

1.1.2　命名空间 2

1.1.3　对象与属性 2

1.1.4　容器与组织单位 3

1.1.5　域树 4

1.1.6　信任 4

1.1.7　林 5

1.1.8　架构 6

1.1.9　域控制器 6

1.1.10　只读域控制器 7

1.1.11　可重启的AD DS 8

1.1.12　Active Directory回收站 8

1.1.13　AD DS的复制模式 8

1.1.14　域中的其他成员计算机 9

1.1.15　DNS服务器 10

1.1.16　轻量级目录访问协议 10

1.1.17　全局编录 11

1.1.18　站点 11

1.1.19　目录分区 12

1.2　域功能级别与林功能级别 13

1.2.1　域功能级别 13

1.2.2　林功能级别 13

1.3　Active Directory轻型目录服务 14

第2章　创建AD DS域 15

2.1　创建AD DS域前的准备工作 16

2.1.1　选择适当的DNS域名 16

2.1.2　准备好一台支持AD DS的DNS服务器 16

2.1.3　选择AD DS数据库的存储位置 17

2.2　创建AD DS域 18

2.3　确认AD DS域是否正常 23

2.3.1　检查DNS服务器内的记录是否完整 23

2.3.2　排除注册失败的问题 25

2.3.3　检查AD DS数据库文件与SYSVOL文件夹 26

2.3.4　新增加的管理工具 27

2.3.5　查看事件日志文件 28

2.4　提升域与林功能级别 28

2.5　新建额外域控制器与RODC 29

2.5.1  安装额外域控制器 30

2.5.2  利用“安装媒体”来安装额外域控制器 34

2.5.3  更改RODC的委派与密码复制策略设置 35

2.6  RODC阶段式安装 36

2.6.1  创建RODC账户 37

2.6.2  将服务器附加到RODC账户 40

2.7  将Windows计算机加入或脱离域 41

2.7.1  将Windows计算机加入域 42

2.7.2  利用已加入域的计算机登录 44

2.7.3  脱机加入域 45

2.7.4  脱离域 47

2.8  在域成员计算机内安装AD DS管理工具 47

2.9  删除域控制器与域 49

第3章　域用户与组账户的管理 53

3.1  管理域用户账户 54

3.1.1  创建组织单位与域用户账户 55

3.1.2  用户登录账户 56

3.1.3  创建UPN的后缀 57

3.1.4  账户的常规管理工作 59

3.1.5  域用户账户的属性设置 60

3.1.6  查找用户账户 62

3.1.7  域控制器之间数据的复制 66

3.2  一次同时添加多个用户账户 67

3.2.1  利用csvde.exe来添加用户账户 68

3.2.2  利用ldifde.exe来添加、修改与删除用户账户 69

3.2.3  利用dsadd.exe等程序来添加、修改与删除用户账户 70

3.3  域组账户 72

3.3.1  域组的类型 72

3.3.2  组的作用域 72

3.3.3  域组的创建与管理 73

3.3.4  AD DS内置的组 74

3.4  组的使用原则 76

3.4.1  A、G、DL、P原则 76

3.4.2  A、G、G、DL、P原则 76

3.4.3  A、G、U、DL、P原则 77

3.4.4  A、G、G、U、DL、P原则 77

第4章　利用组策略管理用户工作环境 78

4.1  组策略概述 79

4.1.1  组策略的功能 79

4.1.2  组策略对象 80

4.1.3  策略设置与首选项设置 82

4.1.4  组策略的应用时机 83

4.2  策略设置实例演练 84

4.2.1  策略设置实例演练一：计算机配置 84

4.2.2  策略设置实例演练二：用户配置 86

4.3  首选项设置实例演练 88

4.3.1  “首选项设置”实例演练一 89

4.3.2  “首选项设置”实例演练二 92

4.4  组策略的处理规则 94

4.4.1  一般的继承与处理规则 94

4.4.2  例外的继承设置 96

4.4.3  特殊的处理设置 98

4.4.4  更改管理GPO的域控制器 102

4.4.5  更改组策略的应用间隔时间 103

4.5  利用组策略来管理计算机与用户环境 105

4.5.1  计算机配置的管理模板策略 105

4.5.2  用户配置的管理模板策略 106

4.5.3  账户策略 106

4.5.4  更详细的密码策略 110

4.5.5  用户权限分配策略 111

4.5.6  安全选项策略 113

4.5.7  登录/注销、启动/关机脚本 114

4.5.8  文件夹重定向 117

4.6  利用组策略限制访问“可移动存储设备” 121

4.7  WMI筛选器 124

4.8  组策略建模与组策略结果 128

4.9  组策略的委派管理 133

4.9.1  站点、域或组织单位的GPO链接委派 133

4.9.2  编辑GPO的委派 134

4.9.3  新建GPO的委派 134

4.10  Starter GPO的设置与使用 135

第5章　利用组策略部署软件 137

5.1  软件部署概述 138

5.1.1  将软件分配给用户 138

5.1.2  将软件分配给计算机 138

5.1.3  将软件发布给用户 138

5.1.4  自动修复软件 139

5.1.5  删除软件 139

5.2  将软件发布给用户 139

5.2.1  发布软件 139

5.2.2  在客户端安装被发布的软件 141

5.2.3  测试自动修复软件的功能 143

5.2.4  取消已发布的软件 143

5.3  将软件分配给用户或计算机 144

5.3.1  分配给用户 144

5.3.2  分配给计算机 145

5.4  将软件升级 145

5.5  部署Adobe Acrobat 148

5.5.1  部署基础版 149

5.5.2  部署更新程序 150

第6章　限制软件的执行 153

6.1  软件限制策略概述 154

6.1.1  哈希规则 154

6.1.2  证书规则 154

6.1.3  路径规则 155

6.1.4  网络区域规则 155

6.1.5  规则的优先级 155

6.2  启用软件限制策略 156

6.2.1  创建哈希规则 156

6.2.2  创建路径规则 158

6.2.3  创建证书规则 160

6.2.4  创建网络区域规则 163

6.2.5  不要将软件限制策略应用到本地系统管理员组 164

第7章　建立域树与林 165

7.1  建立第一个域 166

7.2  建立子域 166

7.3  建立林中的第2棵域树 172

7.3.1  选择适当的DNS架构 172

7.3.2  建立第2棵域树 174

7.4  更改域控制器的计算机名称 179

7.5  删除子域与域树 183

第8章　管理域与林的信任 187

8.1  域与林的信任概述 188

8.1.1  信任域与受信任域 188

8.1.2  跨域访问资源的流程 188

8.1.3  信任的种类 190

8.1.4  建立信任前的注意事项 194

8.2  建立快捷方式信任 196

8.3  建立林信任 200

8.3.1  建立林信任前的注意事项 201

8.3.2  开始建立林信任 202

8.3.3  “选择性身份验证”设置 208

8.4  建立外部信任 210

8.5  管理与删除信任 212

8.5.1  信任的管理 212

8.5.2  删除信任 215

第9章　AD DS数据库的复制 217

9.1  站点与AD DS数据库的复制 218

9.1.1  同一个站点之间的复制 219

9.1.2  不同站点之间的复制 220

9.1.3  复制通信协议 221

9.2  默认站点的管理 221

9.2.1  默认的站点 222

9.2.2  Servers文件夹与复制设置 222

9.3  利用站点来管理AD DS复制 225

9.3.1  建立站点与子网 226

9.3.2  建立站点链接 228

9.3.3  将域控制器移动到所属的站点 229

9.3.4  指定首选的bridgehead服务器 231

9.3.5  站点链接与AD DS数据库的复制设置 232

9.3.6  站点链接桥 233

9.3.7  站点链接桥的两个范例讨论 235

9.4  管理全局编录服务器 236

9.4.1  向全局编录内添加属性 237

9.4.2  全局编录的功能 238

9.4.3  通用组成员缓存 239

9.5  解决AD DS复制冲突的问题 241

9.5.1  属性标记 241

9.5.2  冲突的种类 241

第10章　操作主机的管理 245

10.1  操作主机概述 246

10.1.1  架构操作主机 246

10.1.2  域命名操作主机 246

10.1.3  RID操作主机 247

10.1.4  PDC模拟器操作主机 247

10.1.5  基础结构操作主机 250

10.2  操作主机的放置优化 250

10.2.1  基础结构操作主机的放置 251

10.2.2  PDC模拟器操作主机的放置 251

10.2.3  林级别操作主机的放置 252

10.2.4  域级别操作主机的放置 252

10.3  找出扮演操作主机角色的域控制器 252

10.3.1  利用管理控制台找出扮演操作主机的域控制器 253

10.3.2  利用命令找出扮演操作主机的域控制器 255

10.4  转移操作主机角色 256

10.4.1  利用管理控制台 256

10.4.2  利用Windows PowerShell命令 258

10.5  夺取操作主机角色 259

10.5.1  操作主机停摆所造成的影响 259

10.5.2  夺取操作主机角色实例演练 260

第11章　AD DS的维护 262

11.1  系统状态概述 263

11.1.1  AD DS数据库 263

11.1.2  SYSVOL文件夹 264

11.2  备份AD DS 264

11.2.1  安装Windows Server Backup功能 264

11.2.2  备份系统状态 264

11.3  还原AD DS 267

11.3.1  进入目录服务修复模式的方法 267

11.3.2  执行AD DS的非授权还原 268

11.3.3  针对被删除的AD DS对象执行授权还原 272

11.4  AD DS数据库的整理 274

11.4.1  可重新启动的AD DS 275

11.4.2  整理AD DS数据库 275

11.5  重置目录服务修复模式的管理员密码 278

11.6  更改可重新启动的AD DS的登录设置 279

11.7  Active Directory回收站 280

第12章　将资源发布到AD DS 283

12.1  将共享文件夹发布到AD DS 284

12.1.1  利用Active Directory用户和计算机控制台 284

12.1.2  利用计算机管理控制台 285

12.2  查找AD DS内的资源 286

12.2.1  通过网络查找AD DS内的资源 286

12.2.2  通过Active Directory用户和计算机控制台查找AD DS内的资源 287

12.3  将共享打印机发布到AD DS 288

12.3.1  发布打印机 288

12.3.2  通过AD DS查找共享打印机 289

12.3.3  通过“打印机位置”来查找打印机 289

第13章　自动信任根CA 293

13.1  自动信任CA的设置准则 294

13.2  自动信任内部的独立CA 294

13.2.1  下载独立根CA的证书并保存 295

13.2.2  将CA证书导入受信任的根证书颁发机构 296

13.3  自动信任外部的CA 299

13.3.1  下载独立根CA的证书并保存 299

13.3.2  建立证书信任列表 300

第14章　利用WSUS部署更新程序 304

14.1  WSUS概述 305

14.2  WSUS的系统需求 305

14.3  WSUS的特性与工作方式 306

14.3.1  利用计算机组来部署更新程序 307

14.3.2  WSUS服务器的架构 307

14.3.3  选择数据库与存储更新程序的地点 308

14.3.4  延迟下载更新程序 309

14.3.5  使用快速安装文件 309

14.4  安装WSUS服务器 310

14.5  设置客户端的自动更新 317

14.6  审批更新程序 320

14.6.1  建立新计算机组 322

14.6.2  审批更新程序的安装 323

14.6.3  拒绝更新程序 325

14.6.4  自动审批更新程序 326

14.7  自动更新的组策略设置 326

第15章　AD RMS企业文件权限管理 331

15.1  AD RMS概述 332

15.1.1  AD RMS的需求 332

15.1.2  AD RMS如何工作 333

15.2  AD RMS实例演练 333

15.2.1  准备好计算机 334

15.2.2  建立用户账户 335

第16章　AD DS与防火墙 345

16.1  AD DS相关的端口 346

16.1.1  将客户端计算机加入域、用户登录时会用到的端口 346

16.1.2  计算机登录时会用到的端口 346

16.1.3  建立域信任时会用到的端口 347

16.1.4  验证域信任时会用到的端口 347

16.1.5  访问文件资源时会用到的端口 347

16.1.6  执行DNS查询时会用到的端口 347

16.1.7  执行AD DS数据库复制时会用到的端口 348

16.1.8  文件复制服务（FRS）会用到的端口 348

16.1.9  分布式文件系统（DFS）用到的端口 348

16.1.10  其他可能需要开放的端口 349

16.2  限制动态RPC端口的使用范围 349

16.2.1  限制所有服务的动态RPC端口范围 350

16.2.2  限制AD DS数据库复制使用指定的静态端口 351

16.2.3  限制FRS使用指定的静态端口 352

16.2.4  限制DFS使用指定的静态端口 353

16.3  IPSec与VPN端口 353

16.3.1  IPSec所使用的通信协议与端口 354

16.3.2  PPTP VPN所使用的通信协议与端口 354

16.3.3  L2TP/IPSec所使用的通信协议与端口 354

本文摘自《Windows Server 2022 Active Directory配置实战》，获出版社和作者授权发布。

Windows Server 2022 Active Directory 配置实战——京东