1. 创建AD域及用户添加管理
使用ADManager Plus,可以进行批量的管理,进行一系列的增删改查,包括对用户、组、组织单位、人等,也可以自定义模板去展示这些对象的信息。
2. AD域管理员如何控制域内其他计算机,详细说明越多越好。
使用ADManager Plus可以批量管理AD域,正常情况下,我们只能对单一对象进行操作,而ADManager Plus可以进行批量的管理,进行一系列的增删改查,包括对用户、组、组织单位、人等,也可以自定义模板去展示这些对象的信息,可极大简化日常AD管理工作。
3. 什么是AD域管理企业AD域管理过程中的几个难点
为了集中管理Windows安全边界内的各类资源,“活动目录”就不用像,就是数据库,删掉像是一个数据库,负责管理及验证windows安全边界内的所有对象。
Active Directory域内的目录数据库用来存储用户账户、计算机账户、打印机与共享文件夹等对象,而提供目录服务的组件是Active Directory Domain Services(活动目录域服务),它负责目录数据库的存储、新建、删除、修改与查询等工作。
普通用户通过“活动目录”可以很容易找到并使用域中的各种资源。
管理员也可以通过活动目录,对域中的所有资源进行集中管理,以控制不同用户在不同计算机上对不同资源的访问。这种管理方式极大程度上减轻了企业的管理成本,提高了事件的处理效率。因此目前AD域也是国内企业使用率最高的管理工具之一。
虽然AD域管理给企业管理提供了新的思路,但是在管理过程中也同样存在着多个不合理之处。例如:批量事件的处理,用户权限的合理分配等,都是困扰企业IT管理员的AD域管理难题。
为了更好的解决企业AD域管理问题,卓豪ManageEngine发布了一款企业AD域管理工具——ADManager Plus。针对上述AD域管理难题,ADManager Plus都给出了完善的处理方式。例如:利用csv文件或自定义模板来解决批量事件处理问题,利用权限委派功能处理用户权限分配问题,利用生成的多类报表对域内发生的各类事件进行有效把控。比较完美的了AD域管理过程中所遇到的各类难题,对提升AD域管理效率有很大帮助。
由此可见,ADManager Plus对于提升AD域管理效率确实有着不可小觑的作用。
4. AD域控制器是如何管理加入域的客户端的
首先,默认的域账户是的确只有这样的权限,如果域控制器要变更某一账户或组的权限需要把账户加入到高权限的组,一般来说是加入客户端的本地管理员组,然后再用组策略去禁止显示我的电脑属性以防客户端无故退域,如果楼主需要将域的部分用户在客户端有管理权限的话可以在域控上把相应用户加入一个新创建的全局组,然后在本地客户端把这个全局组加入到本地管理员就可以了,当然你可以利用组策略的委派登录脚本来完成。
我本军团:助人为本,以本会友
5. LDAP和AD域的介绍及使用
1 LDAP入门
1.1 定义
LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写,LDAP标准实际上是在X.500标准基础上产生的一个简化版本。
1.2 目录结构
LDAP也可以说成是一种数据库,也有client端和server端。server端是用来存放数据,client端用于操作增删改查等操作,通常说的LDAP是指运行这个数据库的服务器。只不过,LDAP数据库结构为树结构,数据存储在叶子节点上。
因此,在LDAP中,位置可以描述如下
因此,苹果redApple的位置为
dn标识一条记录,描述了数据的详细路径。因此,LDAP树形数据库如下
因此,LDAP树形结构在存储大量数据时,查询效率更高,实现迅速查找,可以应用于域验证等。
1.3 命名格式
LDAP协议中采用的命名格式常用的有如下两种:LDAP URL 和X.500。
任何一个支持LDAP 的客户都可以利用LDAP名通过LDAP协议访问活动目录,LDAP名不像普通的Internet URL名字那么直观,但是LDAP名往往隐藏在应用系统的内部,最终用户很少直接使用LDAP 名。LDAP 名使用X.500 命名规 范,也称为属性化命名法,包括活动目录服务所在的服务器以及对象的属性信息。
2 AD入门
2.1 AD定义
AD是Active Directory的缩写,AD是LDAP的一个应用实例,而不应该是LDAP本身。比如:windows域控的用户、权限管理应该是微软公司使用LDAP存储了一些数据来解决域控这个具体问题,只是AD顺便还提供了用户接口,也可以利用ActiveDirectory当做LDAP服务器存放一些自己的东西而已。比如LDAP是关系型数据库,微软自己在库中建立了几个表,每个表都定义好了字段。显然这些表和字段都是根据微软自己的需求定制的,而不是LDAP协议的规定。然后微软将LDAP做了一些封装接口,用户可以利用这些接口写程序操作LDAP,使得ActiveDirectory也成了一个LDAP服务器。
2.2 作用
2.2.1 用户服务
管理用户的域账号、用户信息、企业通信录(与电子邮箱系统集成)、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。这里不单单指某些线上的应用更多的是指真实的计算机,服务器等。
2.2.2 计算机管理
管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略。
2.2.3 资源管理
管理打印机、文件共享服务、网络资源等实施组策略。
2.2.4 应用系统的支持
对于电子邮件(Exchange)、在线及时通讯(Lync)、企业信息管理(SharePoint)、微软CRM&ERP等业务系统提供数据认证(身份认证、数据集成、组织规则等)。这里不单是微软产品的集成,其它的业务系统根据公用接口的方式一样可以嵌入进来。
2.2.5 客户端桌面管理
系统管理员可以集中的配置各种桌面配置策略,如:用户适用域中资源权限限制、界面功能的限制、应用程序执行特征的限制、网络连接限制、安全配置限制等。
2.3 AD域结构常用对象
2.3.1 域(Domain)
域是AD的根,是AD的管理单位。域中包含着大量的域对象,如:组织单位(Organizational Unit),组(Group),用户(User),计算机(Computer),联系人(Contact),打印机,安全策略等。
可简单理解为:公司总部。
2.3.2 组织单位(Organization Unit)
组织单位简称为OU是一个容器对象,可以把域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位可以包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。
可以简单理解为:分公司。
2.3.3 群组(Group)
群组是一批具有相同管理任务的用户账户,计算机账户或者其他域对象的一个集合。例如公司的开发组,产品组,运维组等等。可以简单理解为分公司的某事业部。
群组类型分为两类:
2.3.4 用户(User)
AD中域用户是最小的管理单位,域用户最容易管理又最难管理,如果赋予域用户的权限过大,将带来安全隐患,如果权限过小域用户无法正常工作。可简单理解成为某个工作人员。
域用户的类型,域中常见用户类型分为:
一个大致的AD如下所示:
总之:Active Directory =LDAP服务器 LDAP应用(Windows域控)。ActiveDirectory先实现一个LDAP服务器,然后自己先用这个LDAP服务器实现了自己的一个具体应用(域控)。
3 使用LDAP操作AD域
特别注意:Java操作查询域用户信息获取到的数据和域管理员在电脑上操作查询的数据可能会存在差异(同一个意思的表示字段,两者可能不同)。
连接ad域有两个地址:ldap://XXXXX.com:389 和 ldap://XXXXX.com:636(SSL)。
端口389用于一般的连接,例如登录,查询等非密码操作,端口636安全性较高,用户密码相关操作,例如修改密码等。
域控可能有多台服务器,之间数据同步不及时,可能会导致已经修改的数据被覆盖掉,这个要么域控缩短同步的时间差,要么同时修改每一台服务器的数据。
3.1 389登录
3.2 636登录验证(需要导入证书)
3.3 查询域用户信息
3.4 重置用户密码
3.5 域账号解锁
总结
6. AD域文件权限管理
一提起在网络中共享资源,首先也是最重要的一点是谁可访问那些资源以及其访问级别。在 active directory 环境中管理文件服务器非常枯燥,而事实上一次只能处理一个用户,使得它成为系统管理员最耗时间的活动之一。
例如,假设一位新员工加入您公司内的人力资源团队。您想让他能够访问共享资源(例如,职员详细信息、人力资源政策、公司政策等),但是让他访问财务数据没有必要且会引起误解、篡改或滥用数据;再举一个例子,您肯定不希望为新员工授予任何资源的删除权限。因此,您需要在访问级别方面设置一些限制。您可通过谨慎地定义用户访问控制条目来实现。
ADManager Plus 中的 文件服务器管理 功能让管理员能够批量管理(即分配、修改、撤销)用户的NTFS和共享权限。您只需选择共享资源,然后根据用户的需要详细检查和定义其访问控制权限。通过使用ADManager Plus文件服务器管理功能,管理员可以:
授予用户/组访问必需资源的权限,而不会产生安全隐患
执行权限的“批量修改”
有效控制资源的权限,因而使环境更有条理
而所有这一切都是从一个简单和集中的窗口中完成
ADManager Plus在文件服务器管理部分提供四个操作部分,它们是:
修改NTFS权限 – 用于定义用户可在网络上和本地对文件夹和文件采取的行动
撤销NTFS权限 –用于撤销NTFS权限
修改共享权限- 用于确定其他人对共享文件夹拥有哪些类型的访问权
撤销共享权限- 用于撤销共享权限
当修改NTFS权限时,您还可以列出对特定文件夹的现有共享文件夹权限。通过让您复制对另一文件夹的权限并应用到所需文件夹,“从文件夹复制”选项让修改NTFS权限变得前所未有地轻松。“预览”选项列出权限更改,因此您可在它们更新之前验证它们。
撤销操作在员工离开组织的情况下非常有用。管理员不必坐下来思考需要撤销什么权限或哪些共享权限需要撤回等问题。他只需要选择用户账户(假设是Bob),然后在权限下面选择任何权限(在这种情况下是所有权限,因为员工已离职),键入(deny)。他的工作很快就轻松地完成了。
您甚至可以用ADManager Plus的帮助台指派功能,指派文件权限管理给任何用户。而且,您可以用内置的审计报表来跟踪共享文件夹和文件服务器的权限更改。技术人员和管理员审计报表可根据需要导出为CSV、PDF、HTML或Excel格式。
除此之外,ADManager Plus还内置了有关NTFS权限的报表。服务器中的共享、文件夹的权限、可访问文件夹的账户以及不可继承文件夹等方面的报表。这些报表让您可立即全面地了解访问控制信息,所以对管理员很有用。这种即时权限可见性可帮助他们有效地提高安全性。