1. 創建AD域及用戶添加管理
使用ADManager Plus,可以進行批量的管理,進行一系列的增刪改查,包括對用戶、組、組織單位、人等,也可以自定義模板去展示這些對象的信息。
2. AD域管理員如何控制域內其他計算機,詳細說明越多越好。
使用ADManager Plus可以批量管理AD域,正常情況下,我們只能對單一對象進行操作,而ADManager Plus可以進行批量的管理,進行一系列的增刪改查,包括對用戶、組、組織單位、人等,也可以自定義模板去展示這些對象的信息,可極大簡化日常AD管理工作。
3. 什麼是AD域管理企業AD域管理過程中的幾個難點
為了集中管理Windows安全邊界內的各類資源,「活動目錄」就不用像,就是資料庫,刪掉像是一個資料庫,負責管理及驗證windows安全邊界內的所有對象。
Active Directory域內的目錄資料庫用來存儲用戶賬戶、計算機賬戶、列印機與共享文件夾等對象,而提供目錄服務的組件是Active Directory Domain Services(活動目錄域服務),它負責目錄資料庫的存儲、新建、刪除、修改與查詢等工作。
普通用戶通過「活動目錄」可以很容易找到並使用域中的各種資源。
管理員也可以通過活動目錄,對域中的所有資源進行集中管理,以控制不同用戶在不同計算機上對不同資源的訪問。這種管理方式極大程度上減輕了企業的管理成本,提高了事件的處理效率。因此目前AD域也是國內企業使用率最高的管理工具之一。
雖然AD域管理給企業管理提供了新的思路,但是在管理過程中也同樣存在著多個不合理之處。例如:批量事件的處理,用戶許可權的合理分配等,都是困擾企業IT管理員的AD域管理難題。
為了更好的解決企業AD域管理問題,卓豪ManageEngine發布了一款企業AD域管理工具——ADManager Plus。針對上述AD域管理難題,ADManager Plus都給出了完善的處理方式。例如:利用csv文件或自定義模板來解決批量事件處理問題,利用許可權委派功能處理用戶許可權分配問題,利用生成的多類報表對域內發生的各類事件進行有效把控。比較完美的了AD域管理過程中所遇到的各類難題,對提升AD域管理效率有很大幫助。
由此可見,ADManager Plus對於提升AD域管理效率確實有著不可小覷的作用。
4. AD域控制器是如何管理加入域的客戶端的
首先,默認的域賬戶是的確只有這樣的許可權,如果域控制器要變更某一賬戶或組的許可權需要把賬戶加入到高許可權的組,一般來說是加入客戶端的本地管理員組,然後再用組策略去禁止顯示我的電腦屬性以防客戶端無故退域,如果樓主需要將域的部分用戶在客戶端有管理許可權的話可以在域控上把相應用戶加入一個新創建的全局組,然後在本地客戶端把這個全局組加入到本地管理員就可以了,當然你可以利用組策略的委派登錄腳本來完成。
我本軍團:助人為本,以本會友
5. LDAP和AD域的介紹及使用
1 LDAP入門
1.1 定義
LDAP是輕量目錄訪問協議(LightweightDirectory Access Protocol)的縮寫,LDAP標准實際上是在X.500標准基礎上產生的一個簡化版本。
1.2 目錄結構
LDAP也可以說成是一種資料庫,也有client端和server端。server端是用來存放數據,client端用於操作增刪改查等操作,通常說的LDAP是指運行這個資料庫的伺服器。只不過,LDAP資料庫結構為樹結構,數據存儲在葉子節點上。
因此,在LDAP中,位置可以描述如下
因此,蘋果redApple的位置為
dn標識一條記錄,描述了數據的詳細路徑。因此,LDAP樹形資料庫如下
因此,LDAP樹形結構在存儲大量數據時,查詢效率更高,實現迅速查找,可以應用於域驗證等。
1.3 命名格式
LDAP協議中採用的命名格式常用的有如下兩種:LDAP URL 和X.500。
任何一個支持LDAP 的客戶都可以利用LDAP名通過LDAP協議訪問活動目錄,LDAP名不像普通的Internet URL名字那麼直觀,但是LDAP名往往隱藏在應用系統的內部,最終用戶很少直接使用LDAP 名。LDAP 名使用X.500 命名規 范,也稱為屬性化命名法,包括活動目錄服務所在的伺服器以及對象的屬性信息。
2 AD入門
2.1 AD定義
AD是Active Directory的縮寫,AD是LDAP的一個應用實例,而不應該是LDAP本身。比如:windows域控的用戶、許可權管理應該是微軟公司使用LDAP存儲了一些數據來解決域控這個具體問題,只是AD順便還提供了用戶介面,也可以利用ActiveDirectory當做LDAP伺服器存放一些自己的東西而已。比如LDAP是關系型資料庫,微軟自己在庫中建立了幾個表,每個表都定義好了欄位。顯然這些表和欄位都是根據微軟自己的需求定製的,而不是LDAP協議的規定。然後微軟將LDAP做了一些封裝介面,用戶可以利用這些介面寫程序操作LDAP,使得ActiveDirectory也成了一個LDAP伺服器。
2.2 作用
2.2.1 用戶服務
管理用戶的域賬號、用戶信息、企業通信錄(與電子郵箱系統集成)、用戶組管理、用戶身份認證、用戶授權管理、按需實施組管理策略等。這里不單單指某些線上的應用更多的是指真實的計算機,伺服器等。
2.2.2 計算機管理
管理伺服器及客戶端計算機賬戶、所有伺服器及客戶端計算機加入域管理並按需實施組策略。
2.2.3 資源管理
管理列印機、文件共享服務、網路資源等實施組策略。
2.2.4 應用系統的支持
對於電子郵件(Exchange)、在線及時通訊(Lync)、企業信息管理(SharePoint)、微軟CRM&ERP等業務系統提供數據認證(身份認證、數據集成、組織規則等)。這里不單是微軟產品的集成,其它的業務系統根據公用介面的方式一樣可以嵌入進來。
2.2.5 客戶端桌面管理
系統管理員可以集中的配置各種桌面配置策略,如:用戶適用域中資源許可權限制、界面功能的限制、應用程序執行特徵的限制、網路連接限制、安全配置限制等。
2.3 AD域結構常用對象
2.3.1 域(Domain)
域是AD的根,是AD的管理單位。域中包含著大量的域對象,如:組織單位(Organizational Unit),組(Group),用戶(User),計算機(Computer),聯系人(Contact),列印機,安全策略等。
可簡單理解為:公司總部。
2.3.2 組織單位(Organization Unit)
組織單位簡稱為OU是一個容器對象,可以把域中的對象組織成邏輯組,幫助網路管理員簡化管理組。組織單位可以包含下列類型的對象:用戶,計算機,工作組,列印機,安全策略,其他組織單位等。可以在組織單位基礎上部署組策略,統一管理組織單位中的域對象。
可以簡單理解為:分公司。
2.3.3 群組(Group)
群組是一批具有相同管理任務的用戶賬戶,計算機賬戶或者其他域對象的一個集合。例如公司的開發組,產品組,運維組等等。可以簡單理解為分公司的某事業部。
群組類型分為兩類:
2.3.4 用戶(User)
AD中域用戶是最小的管理單位,域用戶最容易管理又最難管理,如果賦予域用戶的許可權過大,將帶來安全隱患,如果許可權過小域用戶無法正常工作。可簡單理解成為某個工作人員。
域用戶的類型,域中常見用戶類型分為:
一個大致的AD如下所示:
總之:Active Directory =LDAP伺服器 LDAP應用(Windows域控)。ActiveDirectory先實現一個LDAP伺服器,然後自己先用這個LDAP伺服器實現了自己的一個具體應用(域控)。
3 使用LDAP操作AD域
特別注意:Java操作查詢域用戶信息獲取到的數據和域管理員在電腦上操作查詢的數據可能會存在差異(同一個意思的表示欄位,兩者可能不同)。
連接ad域有兩個地址:ldap://XXXXX.com:389 和 ldap://XXXXX.com:636(SSL)。
埠389用於一般的連接,例如登錄,查詢等非密碼操作,埠636安全性較高,用戶密碼相關操作,例如修改密碼等。
域控可能有多台伺服器,之間數據同步不及時,可能會導致已經修改的數據被覆蓋掉,這個要麼域控縮短同步的時間差,要麼同時修改每一台伺服器的數據。
3.1 389登錄
3.2 636登錄驗證(需要導入證書)
3.3 查詢域用戶信息
3.4 重置用戶密碼
3.5 域賬號解鎖
總結
6. AD域文件許可權管理
一提起在網路中共享資源,首先也是最重要的一點是誰可訪問那些資源以及其訪問級別。在 active directory 環境中管理文件伺服器非常枯燥,而事實上一次只能處理一個用戶,使得它成為系統管理員最耗時間的活動之一。
例如,假設一位新員工加入您公司內的人力資源團隊。您想讓他能夠訪問共享資源(例如,職員詳細信息、人力資源政策、公司政策等),但是讓他訪問財務數據沒有必要且會引起誤解、篡改或濫用數據;再舉一個例子,您肯定不希望為新員工授予任何資源的刪除許可權。因此,您需要在訪問級別方面設置一些限制。您可通過謹慎地定義用戶訪問控制條目來實現。
ADManager Plus 中的 文件伺服器管理 功能讓管理員能夠批量管理(即分配、修改、撤銷)用戶的NTFS和共享許可權。您只需選擇共享資源,然後根據用戶的需要詳細檢查和定義其訪問控制許可權。通過使用ADManager Plus文件伺服器管理功能,管理員可以:
授予用戶/組訪問必需資源的許可權,而不會產生安全隱患
執行許可權的「批量修改」
有效控制資源的許可權,因而使環境更有條理
而所有這一切都是從一個簡單和集中的窗口中完成
ADManager Plus在文件伺服器管理部分提供四個操作部分,它們是:
修改NTFS許可權 – 用於定義用戶可在網路上和本地對文件夾和文件採取的行動
撤銷NTFS許可權 –用於撤銷NTFS許可權
修改共享許可權- 用於確定其他人對共享文件夾擁有哪些類型的訪問權
撤銷共享許可權- 用於撤銷共享許可權
當修改NTFS許可權時,您還可以列出對特定文件夾的現有共享文件夾許可權。通過讓您復制對另一文件夾的許可權並應用到所需文件夾,「從文件夾復制」選項讓修改NTFS許可權變得前所未有地輕松。「預覽」選項列出許可權更改,因此您可在它們更新之前驗證它們。
撤銷操作在員工離開組織的情況下非常有用。管理員不必坐下來思考需要撤銷什麼許可權或哪些共享許可權需要撤回等問題。他只需要選擇用戶賬戶(假設是Bob),然後在許可權下面選擇任何許可權(在這種情況下是所有許可權,因為員工已離職),鍵入(deny)。他的工作很快就輕松地完成了。
您甚至可以用ADManager Plus的幫助台指派功能,指派文件許可權管理給任何用戶。而且,您可以用內置的審計報表來跟蹤共享文件夾和文件伺服器的許可權更改。技術人員和管理員審計報表可根據需要導出為CSV、PDF、HTML或Excel格式。
除此之外,ADManager Plus還內置了有關NTFS許可權的報表。伺服器中的共享、文件夾的許可權、可訪問文件夾的賬戶以及不可繼承文件夾等方面的報表。這些報表讓您可立即全面地了解訪問控制信息,所以對管理員很有用。這種即時許可權可見性可幫助他們有效地提高安全性。