AD对象

AD对象类型

用户

在AD域默认可以登陆任何具备信任关系的域中的计算机

访问应用，服务运行账户

访问网络资源（SSO）

默认加入域中的计算机，被域用户登陆后，在访问资源时，默认使用登陆该计算机的域用户的身份访问该资源

命令类型：

SAMaccount方式：域名称\用户名（默认）

UPN方式：用户名@域DNS名称

用户属性

各种应用通过属性进行筛选（LDAP）

属性的定义：AD架构

默认位置

CN=users，DC=XXX，DC=com

更改默认创建用户的位置

 

用户配置文件：

用于保存用户个性化配置

需要在指定的文件服务器中定义共享文件

在指定的用户属性中，定义用户配置文件的共享位置和自动生成的名称

组

安全组：

管理AD对象，用于当资源为指定组配置权限时，该组中的用户直接应用该权限

通讯组：

只是用于当部署Exchange时，邮件组的应用（群发邮件），无法在资源中为该类型组配置权限

组的作用域：在组织中有多个域环境和信任域时

考虑：管理应用时，需要相关的管理账户，当这些账户存在于不同的域时，无法实现一个域用户管理多个域的对象

通过组的作用域的概念，对组进行规划，实现多域管理和权限的需求

内置本地（Local）：每个系统自动生成的用于管理当前计算机系统的组，该组的权限范围只限定于当前计算机

本地域（Local domain）：该组可以被当前域的资源配置权限（资源引用），该组的成员范围，任意信任的域

全局（Global）：该组可以被任意信任的域的资源引用,该组的成员必须和该组同一个域

通用（Universal）：该组可以被任意信任的域的资源引用，该组的成员可以是该组所在森林中的任意用户

通用组的保存位置为全局编录服务器（GC）

该作用域的组，一般用于整个组织的配置和管理，不推荐用于管理组织中个个域的对象

基于组的作用域对组织中的资源、权限进行有效的管理（AGDLP）

AP：在森林中，任意域的资源可以直接为任意域的用户配置相关访问该资源的权限

ADLP：在资源组中，通过创建作用域范围为（DL）的组后，在当区域的资源配置该组权限，组织中，其他域的用户访问资源时，可以将其他域的用户添加到该组中

AGP&AGDLP：在用户域中，可以创建全局作用域的组，在资源域中，可以在资源中直接配置其他域的全局组，或者将其他域中的全局组添加到资源域的域本地组中

组织中的应用的用户权限规划（多域环境）

多域多用户规划（AP）（推荐）

应用的管理权限：管理该应用的用户，必须首先添加到应用的管理组中

单用户全局管理（ADLP）（不推荐）

在森林中，定义被管理的域

计算机

计算机加域

任何域用户都可以将计算机添加到域（次数限制为3），域管理员组成员的用户可以为计算机无限制次数加域

计算机脱域

手工脱域

计算机的本地管理员可以直接强制该计算机脱域（无域用户名密码）

普通域用户无法将使用的计算机脱域

意外脱域：重新更新域的计算机账户信息即可（客户端计算机重新加域）

物理机环境

长时间不启动&不连接到域

本地时钟和AD时钟不同导致脱域

虚拟机环境

恢复快照

不建议删除计算机账户，对于脱域的计算机，更新计算机域账户即可（重新加域）

离线加域

客户端计算机在没有网络连接到域控制器时，通过在DC中创建该计算机账户，并导出配置文件，在客户端计算机，手工导入该文件，更改客户端计算机状态（Nano Server）

AD对象配置

批量对象管理和操作

DS开头的cmd命令

Powershell相关命令

CSV文件（可用Excel编辑的文件）：第三方对象批量导入当前域

Excel编辑批量导入用户的信息

本地向微软Azure迁移时使用

admt（ad迁移工具）（Active Directory Migration Toolkit (ADMT)）：不同AD域&森林间用户迁移工具

手册

工具

操作

Windows Server 2016 Visio

AD管理和委派

OU规划

基于位置，业务，应用，和资源（参考组织的组织结构和规划）

后期的组策略和委派考虑

委派

当访问，管理指定资源时，可以指定任意域用户具备指定的权限-委派

委派

被访问的资源

委派的对象

委派的权限

委派管理

删除委派：在被委派资源的安全列表中，找到委派权限的对象，将该对象进行删除

委派使用

委派的用户通过在本地安装指定资源的管理工具，使用委派的用户登陆该计算机，打开工具，执行委派操作

Remote Server Administration Tools for Windows 10