这个问题不影响正常使用,它显示的编码是组或用户的SID。是反应慢造成的,多等一会就能变成用户名了
创新互联建站基于成都重庆香港及美国等地区分布式IDC机房数据中心构建的电信大带宽,联通大带宽,移动大带宽,多线BGP大带宽租用,是为众多客户提供专业中国电信云锦天府报价,主机托管价格性价比高,为金融证券行业服务器托管,ai人工智能服务器托管提供bgp线路100M独享,G口带宽及机柜租用的专业成都idc公司。
AD常用命令以及概念活动目录服务器常用命令合集如下:net accounts 查看第一台域控的计算机角色net accounts 查看计算机角色net share 查看共享netdom query fsmo 验证操作主机角色get-ADforest|FL globalcatalogs 查询当前林中所有全局编录服务器Get-ADDomaincontroller|FT name,ISglobalcatalog 验证登录域控制器是否为全局编录服务器dsquery site 查询当前域中所有的站点dsquery server :验证网络中有多少台域控dsquery server -isgc 验证网络中的全局编录服务器dsquery ou 查看创建的组织单位dsquery server -isgc 查看当前网络中已部署的所有域控制器dsquery computer -inactive 9 |dsmod computer -disabled yes 禁用63天以上没有登录过的计算机dcdiag /test:netlogons 查看sysvol共享权限AD域三层管理体系:备注:组织单元可以嵌套,即组织单元里创建组织单元。组织单元和组的主要区别在于组织单元里的对象不能在属于其他组织单元,而组内的对象可以再属于其他组。AD常用的LDAP名词解释:DN:区分名(Distinguished Name),一个条目的区分名称叫做“dn”或者叫做区分名,其中DN有三个属性,分别是CN,OU,DC 。DC (Domain Component)CN:Common Name 通用名,一般为用户名或服务器名,最长可以到80个字符,可以为中文;OU:Organization Unit为组织单元,最多可以有四级,每级最长32个字符,可以为中文;O:Organization 为组织名,可以3—64个字符长
C:Country为国家名,可选,为2个字符长UID: userid ,对象的属性为uid,例如员工的名字为:zsq,他的UID为:z02691,ldap查询的时候可以根据cn,也可以根据uid。例如:CN=test,OU=developer,DC=domainname,DC=com在上面的代码中 cn=test 可能代表一个用户名,ou=developer 代表一个 active directory 中的组织单位。这句话的含义可能就是说明 test 这个对象处在domainname.com 域的 developer 组织单元中。组类型:安全组:用来设置有安全权限相关任务的用户或者计算机账户集合。通信组:用于用户之间的通信的组。组作用域:域本地组:主要用来设置访问权限,只能将同一个域内的资源指派给域本地组。全局组: 用来组织用户,将多个被赋予相同权限的用户账户加入同一个全局组内,林内可见,可在本域或有信任关系的其他域中使用。通用组:来自林中任何域中的用户账户、全局组和其他的通用组,全林范围内可用。授权规则可以使用AGDLP规则,即用户账户account加入全局组glocal group,然后把全局组加入到域本地组 domain local group ,最后对域本地组进行授权permissionsFSMO(操作主机角色):主要实现功能包括:架构修改、添加/重命名域、生产SID、用户身份认证、全局编录相关等特殊功能。架构主机角色作用是定义所有域对象属性或者称为定义数据库字段以及存储方式,作用域林级别。域命名主机角色作用是负责控制域林内域的添加或删除,作用域林级别。PDC主机角色作用是兼容低版本域控制器,优先成为主域浏览器,活动目录数据库的优先复制权限(默认5分钟),时间同步,防止重复套用组策略,域只有一个PDC主机角色。RID主机角色作用是在域中建立对象(用户、组、计算机等),每一个对象有唯一SID,包含Domain ID和RID,跨域访问、迁移域对象,通过RID Master确认域对象唯一性。
基础结构主机角色作用为负责对跨域对象的引用进行更新。
¥
5.9
百度文库VIP限时优惠现在开通,立享6亿+VIP内容
立即获取
AD常用命令以及概念
AD常用命令以及概念
活动目录服务器常用命令合集如下:
net accounts 查看第一台域控的计算机角色
net accounts 查看计算机角色
net share 查看共享
netdom query fsmo 验证操作主机角色
get-ADforest|FL globalcatalogs 查询当前林中所有全局编录服务器
Get-ADDomaincontroller|FT name,ISglobalcatalog 验证登录域控制器是否为全局编录服务器
首先你要清楚“域安全策略”和“域控制器安全策略”的作用范围,以及他们作用的先后顺序。当一台计算机处于域模式,就会采用域策略。域对于独立的计算机而言,就是计算机本身。域策略属于计算机策略。计算机的策略大体上分为四类,他们分别是本地策略,域策略,站点策略以及ou策略。起作用的先后顺序为local policy(本地)--〉site policy(站点)--〉domain policy(域)--〉ou policy。一台处于工作组模式的计算机只会执行本地安全策略,而dc(domain controller)则至少要执行本地安全策略,域安全策略,域控制器安全策略三个策略,换言之,处于域模式的计算机要执行多条策略,那么就要有相应的措施保证策略不冲突。默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是merge的关系,即和并执行;但当产生冲突的时候,后执行的策略会替代先执行的策略。域控制器安全策略属于ou策略的一种。而域控制器安全策略仅仅作用在domain controller 这个组织单元(ou)上,他并不与域安全策略冲突,当他们和并执行时,在你所说的第一种情况下(“域控制器安全策略”中的“重命名管理员帐号名称”更改为sandong,而“域安全策略”设置为“未定义”),计算机的管理员帐户遵照将本地安全策略执行,而域控制器安全策略中的管理员帐户则改为sandong。第二种情况下(“域安全策略”中设置sandong,而“域控制器安全策略”设置为“未定义”)本地安全策略将与域安全策略冲突,根据上述解释,由于域安全策略后于本地安全策略执行,且域控制器安全策略为“未定义”所以将执行域安全策略,所有所有域中计算机管理员将更名为sandong.
AD就是Active Directory 是指Windows 2000网络中的目录服务。它有两个作用:
1.目录服务功能。
Active Directory提供了一系列集中组织 管理和访问网络资源的目录服务功能。Active Directory使网络拓扑和协议对用户变得透明,从而使网络上的用户可以访问任何资源(例如打印机),而无需知道该资源的位置以及它是如何连接到网络的。
Active Directory被划分成区域进行管理,这使其可以存储大量的对象。基于这种结构,Active Directory可以随着企业的成长而进行扩展。从仅拥有一台存储几百个对象的服务器的小型企业,扩展为拥有上千台存储数百万个对象的服务器的大型企业。
2.集中式管理。
Active Directory还可以集中管理对网络资源的访问,并允许用户只登陆一次就能访问在Active Directory上的所有资源。
Active Directory存储关于网络上对象的信息并使这些信息可以用于用户和网络管理员的目录服务。Active Directory 允许网络用户通过单个登录过程访问网络上任意位置允许访问的资源。它给网络管理员提供了直观的网络层次结构视图和对所有网络对象的单点管理。
更重要的是,该技术还可以用来确保只有那些经过授权的用户或应用程序方可获准在具备安全保障的前提自下针对相关资源实施访问调用。
Active Directory 用户和计算机
设计为执行日常 Active Directory 管理任务的管理工具。这些任务包括创建、删除、修改、移动和设置存储在目录中的对象的权限。这些对象包括组织单位、用户、联系人、组、计算机、打印机和共享的文件对象。
Active Directory 数据模型
从 LDAP 数据模型演化而来的模型。该目录用来保存对象,这些对象代表了由属性描述的各种端口的实体。在架构中定义了可以存储在目录中的对象和对象的类。对于对象的每个类,架构都定义了该类的实例所必须拥有的属性,并且该类可以是其的父类(该类可能有的附加属性)。