活動目錄服務器常用命令合集如下:
net accounts 查看第一臺域控的計算機角色
net accounts 查看計算機角色
net share 查看共享
netdom query fsmo 驗證操作主機角色
get-ADforest|FL globalcatalogs 查詢當前林中所有全域編錄服務器
Get-ADDomaincontroller|FT name,ISglobalcatalog 驗證登錄域控制器是否為全域編錄服務器
dsquery site 查詢當前域中所有的站點
dsquery server :驗證網路中有多少臺域控
dsquery server -isgc 驗證網路中的全域編錄服務器
dsquery ou 查看創建的組織單位
dsquery server -isgc 查看當前網路中已部署的所有域控制器
dsquery computer -inactive 9 |dsmod computer -disabled yes 禁用63天以上沒有登錄過的計算機
dcdiag /test:netlogons 查看sysvol共享權限
AD域三層管理體系:
備注:組織單元可以嵌套,即組織單元里創建組織單元,組織單元和組的主要區別在于組織單元里的物件不能在屬于其他組織單元,而組內的物件可以再屬于其他組,
AD常用的LDAP名詞解釋:
DN:區分名(Distinguished Name),一個條目的區分名稱叫做“dn”或者叫做區分名,其中DN有三個屬性,分別是CN,OU,DC ,
DC (Domain Component)
CN:Common Name 通用名,一般為用戶名或服務器名,最長可以到80個字符,可以為中文;
OU:Organization Unit為組織單元,最多可以有四級,每級最長32個字符,可以為中文;
O:Organization 為組織名,可以3—64個字符長
C:Country為國家名,可選,為2個字符長
UID: userid ,物件的屬性為uid,例如員工的名字為:zsq,他的UID為:z02691,ldap查詢的時候可以根據cn,也可以根據uid,
例如:CN=test,OU=developer,DC=domainname,DC=com
在上面的代碼中 cn=test 可能代表一個用戶名,ou=developer 代表一個 active directory 中的組織單位,
這句話的含義可能就是說明 test 這個物件處在domainname.com 域的 developer 組織單元中,
組型別:
安全組:用來設定有安全權限相關任務的用戶或者計算機賬戶集合,
通信組:用于用戶之間的通信的組,
組作用域:
域本地組:主要用來設定訪問權限,只能將同一個域內的資源指派給域本地組,
全域組: 用來組織用戶,將多個被賦予相同權限的用戶賬戶加入同一個全域組內,林內可見,可在本域或有信任關系的其他域中使用,
通用組:來自林中任何域中的用戶賬戶、全域組和其他的通用組,全林范圍內可用,
授權規則可以使用AGDLP規則,即用戶賬戶account加入全域組glocal group,然后把全域組加入到域本地組 domain local group ,最后對域本地組進行授權permissions
FSMO(操作主機角色):
主要實作功能包括:架構修改、添加/重命名域、生產SID、用戶身份認證、全域編錄相關等特殊功能,
架構主機角色作用是定義所有域物件屬性或者稱為定義資料庫欄位以及存盤方式,作用域林級別,
域命名主機角色作用是負責控制域林內域的添加或洗掉,作用域林級別,
PDC主機角色作用是兼容低版本域控制器,優先成為主域瀏覽器,活動目錄資料庫的優先復制權限(默認5分鐘),時間同步,防止重復套用組策略,域只有一個PDC主機角色,
RID主機角色作用是在域中建立物件(用戶、組、計算機等),每一個物件有唯一SID,包含Domain ID和RID,跨域訪問、遷移域物件,通過RID Master確認域物件唯一性,
基礎結構主機角色作用為負責對跨域物件的參考進行更新,
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/9895.html
標籤:Windows