AD域控管理

一、AD域介紹

Active Directory（簡稱AD）是一項由微軟公司開發的、基於LDAP和Kerberos協議的網路服務，同時它也是一個系統組件，能夠在Windows Server操作系統上提供一系列的服務。一個Active Directory域是指一組共享認證、授權、命名和目錄服務的計算機資源（例如文件等）和安全策略。AD域提供了一種集中管理用戶、計算機等對象的方式，也方便實現對這些對象的訪問控制。

在AD域中，包含多個域控制器（Domain Controller, 簡稱 DC）。域控是AD網路中的重要角色，它存儲了該域中所有的對象數據，如用戶賬號、計算機賬號、組、組策略等。同時它也是身份驗證服務的提供者，在用戶登錄驗證時會與本地計算機的SAM資料庫比較、認證用戶身份信息。

AD域的DNS扮演著至關重要的角色，域控提供的AD DS服務要求域中每台計算機都有一份DNS配置。在AD域中，DNS不僅用於定位域控制器，還用於定位其他域中的資源。每個AD域中至少應該有一個域控制器擔任DNS伺服器的角色。

二、AD域控制器管理

1. 域控制器的安裝

域控的安裝可參考以下步驟：


- 首先在伺服器上安裝域控所需要的操作系統，如Windows Server 2016/2019。
- 配置IP地址和DNS伺服器，確保可以訪問域名。
- 將伺服器加入域。
- 在「伺服器管理器」中選擇「添加角色和功能」。
- 在角色選擇頁面中選擇「Active Directory域服務」。
- 在「功能」頁面選擇「域控制器」並確認所需組件，根據嚮導完成安裝即可。

2. 域控制器的備份與恢復

域控的備份與恢復非常重要，針對不同的情況，您可採取不同的方案進行備份恢復。

以下是一些常見的方案：


- 系統狀態備份：可用於系統修復，但只能在原有硬體上恢復。
- 系統備份：可以在新硬體上恢復，但如果備份文件太大，恢復時間較長。
- 跨林森林轉移：可用於跨森林的域控制器遷移，但需要保證網路環境好。

3. 域控制器的升級

在Windows Server 2012 R2及以上版本中，可以通過AD DS 服務升級嚮導將現有的域控升級為Windows Server 2016/2019。

升級域控需要注意以下幾點：


- 僅支持從64位操作系統的域控升級； 
- 建議在非生產環境測試環境進行；
- 進行升級之前一定要對系統進行備份；
- 執行升級後，一旦無法恢復，則不得不使用完全重裝的方法重新安裝系統。

三、AD域管理

1. 組管理

組可用於在AD域中管理用戶和計算機賬戶。對組的管理包括創建組、刪除組、管理組成員等操作。


# 創建組
New-ADGroup -Name  -GroupCategory  -GroupScope  -Path 

# 刪除組
Remove-ADGroup 

# 管理組成員
Add-ADGroupMember  -Members 

# 查詢組
Get-ADGroup

2. 用戶管理

用戶管理是每個AD域的基本操作，包括創建用戶、刪除用戶、重置密碼、啟用或禁用用戶賬戶等。


# 創建用戶
New-ADUser -Name  -UserPrincipalName  -SamAccountName  -GivenName  -Surname  -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force) -ChangePasswordAtLogon $true -Enabled $true -Path 

# 刪除用戶
Remove-ADUser 

# 重置密碼
Set-ADAccountPassword  -NewPassword (ConvertTo-SecureString "P@ssw0rd" -AsPlainText -Force)

# 啟用/禁用用戶賬戶
Enable-ADAccount -Identity 
Disable-ADAccount -Identity 

# 查詢用戶
Get-ADUser

3. 計算機管理

在AD域中，對計算機的管理可以實現計算機賬戶、計算機組和其他計算機相關策略等管理，常用的計算機管理操作有創建計算機、刪除計算機、修改計算機名等。


# 創建計算機
New-ADComputer -Name  -SamAccountName  -Path 

# 刪除計算機
Remove-ADComputer -Identity 

# 修改計算機名稱
Rename-Computer -NewName

四、域控安全管理

1. 密碼策略管理

合理的密碼策略可以提高域控安全性，主要是從密碼的複雜度、有效期以及密碼歷史記錄方面進行設置。


# 查看當前密碼策略
Get-ADDefaultDomainPasswordPolicy

# 修改密碼策略
Set-ADDefaultDomainPasswordPolicy -ComplexityEnabled $true -MaxPasswordAge  -PasswordHistoryCount

2. 帳戶鎖定策略管理

AD域支持帳戶鎖定功能，可以有效地限制用戶惡意猜測密碼，保證域環境的安全性。


# 獲取當前帳戶鎖定策略
Get-ADDefaultDomainLockoutPolicy

# 修改帳戶鎖定策略
Set-ADDefaultDomainLockoutPolicy -LockoutDuration  -LockoutObservationWindow  -LockoutThreshold

3. 基礎許可權管理

域控制器默認會賦予域管理員等賬號高級許可權，為了避免惡意操作導致域損失，建議按照最小許可權原則進行許可權授予。


# 授予用戶組許可權
Add-ADGroupMember -Identity  -Members 

# 授予用戶單獨許可權
Get-ADUser -Identity  | Set-ADObject -Replace @{msDS-AllowedToDelegateTo=""}

總結

AD域的管理是一個非常複雜的過程，需要管理員綜合考慮多種因素進行合理的配置。通過本文對AD域介紹、域控制器管理、AD域管理和域控安全管理方面的闡述，相信讀者能夠更好的了解AD域的相關知識和操作技巧。

原創文章，作者：TXOK，如若轉載，請註明出處：https://www.506064.com/zh-tw/n/149687.html