1、创建 OU 委派权限OU 就是组织单位,能把用户、组、计算机和其他组织单位放入其中的活动目录容器, OU在域控制器(DC)上创建,控制权限仅次于域OU 和组账户都是活动目录对象,都是基于管理的目的创建OU 中可以有用户账户、组账户、计算机、打印机、共享文夹及子 OU 等对象OU 是活动目录中最小的管理单元OU 是活动目录和企业中最重要的组件之一,它是活动目录和企业的实际环境联系的纽带1 创建 OU创建 OU 步骤以系统管理员身份登录域控制器,在开始菜单中依次单击“管理工具” “Active Directory 用户和计算机”菜单项,打开“Active Directory 用户和计算机”窗口。在
2、左窗格中用鼠标右键单击域名,并在弹出的快捷菜单中依次选择“新建” “组织单位”命令2 添加用户到 OU 中3 给 OU 中的用户赋予权限4 委派高级权限将用户添加入 OU 中然后。然后选取一个用户委派权限管理 OU 中的成员http:/ Active Directory 域中的计算机或用户安装各种应用软件是网络管理员的日常工作之一,而通过编辑组策略在 Active Directory 域中进行“软件部署”是迅速完成任务的理想方式。在 Active Directory 域中实现软件部署主要取决于三个方面:Windows Installer、组策略和安装文件本身,并且既可以为域用户部署软件,也可以
3、为域成员计算机部署软件。MSI(Microsoft Software Installer,微软软件安装器)文件是 Windows Installer 能够部署的仅有的两种文件类型之一,Windows Installer 是 Microsoft 企业制定的一种安装文件标准,采用这种标准的安装文件会采取一种所有组件彼此独立的方式进行打包。用户可以对这种安装文件进行检查、精简,并可以决定将其安装在本地或是不安装。1 以系统管理员身份登录域控制器,打开“Active Directory 用户和计算机”窗口。在左窗格中右键单击域名,并选择“属性”命令2 在打开的属性”对话框中切换到“组策略”选项卡, 并
4、单击“新建”按钮新建名称为 MSPY2003 的策略保持 MSPY2003 策略的选中状态,单击 “编辑”按钮打开 “组策略编辑器”窗口。在左窗格中依次展开“用户配置”“软件设置”目录,然后右键单击“软件安装”选项,在弹出的快捷菜单中依次选择“新建”“程序包”命令在“计算机配置”和“用户配置”目录中都包含“软件安装”选项,并且都用于在 AD 域中部署软件。如果软件要部署到 AD 域中的计算机中,需要在 “计算机配置”目录中进行设置;如果软件要部署给 AD 域中的用户,则应该在“用户配置 ”目录中设置。在 Windows Server 2003(SP1)系统中,Windows Installer
5、 提供“发布”和“指派”两种软件部署方式。“发布”方式不会自动为域内客户安装软件,而是把安装选项放到域用户的“添加或删除程序”中,供用户在需要的时候自主选择安装;“指派”方式则直接把软件安装到域成员计算机的开始菜单程序组中。“发布”方式一般用于给用户提供各种软件工具,由用户按需选择安装或不安装;“指派”方式可用于软件的强制安装使用,用户无权自行卸载软件。返回“组策略编辑器”窗口,可以在右窗格中看到已经发布的软件名称。关闭“租策略编辑器”窗口和“Active Directory 用户和计算机”窗口在 Active Directory 域控制器中完成软件发布操作后,在 Active Directo
6、ry 工作站中以系统管理员组用户身份登录到 Active Directory 域中。打开“控制面板”窗口,双击“ 添加或删除程序”图标打开“ 添加或删除程序”窗口。在窗口左侧单击“ 添加新程序” 按钮,然后在右侧的“从网络添加程序”列表中可以看到已经发布的程序名称。单击“ 添加”按钮开始安装备份域控制器系统状态数据包括注册表,系统启动文件 ,类注册数据库,证书服务数据,文件复制服务,集群服务,域名服务和活动目录 8 部分, 通常情况下只前 3 部分。这 8 部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份。一.备份 Active Directory 数据 如果一个域内存在不止一台
7、DC,当重新安装其中的一台 DC 时备份 Active Directory 并不是必需的 ,你只需要将其中的一台 DC 从域中删除,重新安装,并使之回到域中,那么另外的 DC 自然会将数据复制到这台 DC 上。 二.Active Directory 的恢复 有两种办法可以恢复 Active Directory。 第一种是从域的其它 DC 上恢复数据, 前提是域内必须还有一台 DC 是可用的,这时当损坏的 DC 重新安装并加入到它原来的域时,DC 之间会自动进行数据复制,Active Directory 随之会恢复。 如果一个域内剩下最后一台 DC,那就非常有必要对 Active Directo
8、ry 进行备份。详细过程如下: 1.“开始“菜单-“运行“,输入“ntbackup“,启动备份工具。 选高级模式2.在“欢迎“标签中使用“备份向导“, 在备份向导对话框选择备份的内容页面中选择“只备份系统状态数据“,下一步。 3.在“备份保存的位置 “页面中输入存放备份数据的文件名,如“d:akAD0322。bkf“,下一步,完成备份向导。如果要进行一些设置 ,如备份完成后验证数据 ,请使用“高级“选项进行配置。 4.选择“完成“开始备份,根据数据的多少, 可能需要几分钟到十几分钟甚至更长一段时间。备份完毕系统会生成备份报表。开始还原了这里如果主域控制器挂掉了,那么需要重新安装操作系统,这里的
9、环境为了试验效果,把新建的 OU 给删除了,现在来恢复一下开机从备份介质进行恢复。通常情况下,对于大多数小型公司来说, 整个公司只有一个域,由于资金等诸方面的限制也只有一台 DC,因此从介质恢复 Active Directory 是经常遇到的事情。 1.验证方式和非验证方式 从备份介质进行 Active Directory 恢复有两种方式可以选择:验证方式(authoritative restore)和非验证方式(nonauthoritative restore)。 通常情况下,Windows2000 使用非验证方式恢复:Active Directory 从备份介质中恢复以后,域内其它的 DC
10、 会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据。举个例子,假设今天是星期五,你使用了星期三的备份对 Active Directory 进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复 Active Directory 的 DC 上,也就是新数据会覆盖你使用备份恢复的数据。 验证模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的 DC 上,无论从备份以后数据是否发生了变化。还拿上面的例子来说,当你在星期五使用星期三的备份恢复了 Active Directory 后, 这些恢复过来的数据会复制到域内所有的 DC 上,强行将备份后发生改变的所有数据覆盖掉,域内数
11、据就恢复到了备份时的状态。验证模式恢复 Active Directory 通常用于这种情况:Active Directory 在域内某台 DC 上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它 DC 上,这时就需要在某台 DC 上使用验证方式恢复 Active Directory,强制使域恢复到原来的好的状态。应该说这种方式是用的比较多的一种恢复 Active Directory 的方式。 2.非验证恢复 Active Directory 要实现非验证恢复,目录服务必须处于离线状态 (备份 Active Directory 时目录服务不必处于离线状态)。为恢复 Active Dire
12、ctory,你必须使用 server 处于“目录服务恢复模式“。要做到这一点,需要重新启动 server,当屏幕提示你选择操作系统时 ,按 F8,启动系统启动高级菜单,选择“目录服务恢复模式“。 当 Windows2000 出现用户登录窗口时, 输入本地管理员账户和密码(注意,不是在Active Directory 中的管理员的账号和密码,因为这时 Active Directory 处于离线状态, 不可用。你只有使用存储在安全账户管理器,有时称之为 SAM 中的管理员账号和密码进行登录 )。登录成功后,你就可以进行恢复 Active Directory 的操作。 (1)启动 Windows20
13、00 自带的备份程序:“开始“-“运行“,输入“ntbackup“; (2)在欢迎标签中选择 “恢复向导“,跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集。 (3)选择合适的备份文件 ,完成数据恢复。重新启动机器即可。 (4)注意:通常情况下,你不能恢复 60 天以前备份的 Active Directory 数据,这是因为受 Windows2000 tombstone lifetime(可以理解为生存时间吧 ,因为不能准确的翻译出其含义,只好照搬上了。-沧海),除非你进行了设置。 3.验证方式恢复 Active Directory 为实现验证方式恢复,你必须首先实现非验证方式恢复, 然后
14、你可以使用NTDSUTIL 命令行工具实现验证式 Active Directory 恢复。验证式恢复可以实现全部或部分 Active Directory 数据的恢复。 (1)使用非验证方式恢复 Active Directory,重新启动机器。 (2)再次使用“目录服务恢复模式“启动 Windows2000,以管理员身份登录。 (3)“ 开始“-“运行“, 输入“ntdsutil“, 启动命令行工具。 (4)恢复整个 Active Directory 数据库, 使用下列命令: authoritative restore restore database 恢复部分 Active Directory
15、 数据,使用下列命令: authoritative restore restore subtree ou=Brien,dc=files,dc=COM 红色部分要根据实际情况确定,比如你的域名字是 ,要恢复的 OU 是myou 则第二行命令应该是:restore subtree ou=myou,dc=mydom,dc=net,依此类推。恢复部分数据的方式有时用来恢复被删除的 OU,如某域内有两个管理员, 你和 A,A 有点菜:),昨天晚上不小心把一个重要的 OU 给删除了,今天你就可以使用验证式恢复将这个 OU 给恢复过来,前提自然是你有这个 OU 被删除之前的备份。 最后使用 quit 命令退出, 重新启动机器。
