何敏

摘 要：Active Directory（活動(dòng)目錄）是微軟Windows server操作系統(tǒng)平臺(tái)的核心組件，在網(wǎng)絡(luò)的環(huán)境中，Active Directory 提供組織、管理與控制網(wǎng)絡(luò)資源的各種功能，Active存儲(chǔ)了有關(guān)網(wǎng)絡(luò)對(duì)象的信息，并且讓管理員和用戶能夠輕松地查找和使用這些信息。文章闡述了在大規(guī)模局域網(wǎng)中，在Windows server 2008環(huán)境下，Activer Directory的部署與應(yīng)用。

關(guān)鍵詞：Active Directory（活動(dòng)目錄）；域；OU（組織單位）

引言

在Active Directory（活動(dòng)目錄）部署實(shí)施與日常應(yīng)用管理中經(jīng)常需要做大量的重復(fù)工作，尤其是在用戶數(shù)量龐大的網(wǎng)絡(luò)中，給管理人員帶來了巨大的工作負(fù)擔(dān)。Active Directory（活動(dòng)目錄）部署實(shí)施與日常應(yīng)用管理工作中結(jié)合Windows批處理命令的使用，可以極大減輕管理人員的工作負(fù)擔(dān)，提高工作效率。文中舉出的例子均是實(shí)際環(huán)境中應(yīng)用使用過的，故障解決辦法也是長期工作中總結(jié)出來的經(jīng)驗(yàn)，可供借鑒與參考。

1 Active Directory（活動(dòng)目錄）服務(wù)器部署

Active Directory（活動(dòng)目錄）部署時(shí)需要理解許多相關(guān)概念，如：用戶、OU、域、域樹、林等等概念。本文描述的環(huán)境是一個(gè)單位內(nèi)的局域網(wǎng)絡(luò)，所以文中所有示例均為一個(gè)域內(nèi)的管理，不涉及域樹、林等概念。部署過程簡單描述如下：

1.1 安裝Window2008 server操作系統(tǒng)

Active Directory（活動(dòng)目錄）是Windows serve 2008的組件，必須先安裝Windows serve 2008操作系統(tǒng)，關(guān)于安裝操作系統(tǒng)，可以參考微軟手冊(cè)與相關(guān)書籍，此處不再詳述。安裝好兩臺(tái)服務(wù)器。

1.2 安裝配置域控制器

單擊開始菜單選擇“運(yùn)行”執(zhí)行“dcpromo”命令，將普通服務(wù)器提升為Active Directory Domain Services（AD DS），根據(jù)安裝提示進(jìn)行安裝，依次選擇：“高級(jí)模式”-“在新林中新建域”，然后輸入域名“hmtest.com”， 在設(shè)置林功能級(jí)別時(shí)選擇“Window server 2008”，設(shè)置域功能級(jí)別時(shí)選擇“Window server 2008”，在其他域控制選項(xiàng)時(shí)勾選“DNS服務(wù)器”，直到完成安裝。

完成第一臺(tái)服務(wù)器后，再按上述過程安裝另一臺(tái)服務(wù)器，第一臺(tái)作為主域控制器，另一臺(tái)作為額外域控制器，防止單點(diǎn)故障。

2 計(jì)算機(jī)終端加入域

2.1 添加域用戶

部署完服務(wù)器，需要將所有用戶和計(jì)算機(jī)終端加入到域中，如果使用手動(dòng)添加用戶信息，對(duì)于用戶數(shù)量大的網(wǎng)絡(luò)是一件費(fèi)時(shí)費(fèi)力的事情，所以用批處理程序去自動(dòng)添加是非常有必要的。

步驟1：在域中添加各單位和部門的OU（組織單位）。在hetest.com 域中添加名為“hm公司”的OU，在“hm公司”下添加部門的OU。

步驟2：編寫如下的批處理程序并保存為adduser1.bat文件。

for /f "tokens=1，2，3，4，5，6，7 delims=，" %a in （c：＼user1.txt） do @dsadd user "cn=%c，ou=%f，ou=%g，dc=hmtest，dc=com" -samid %d -upn %d@hmtest.com -ln %a -fn %b -pwd %e -display %c -disabled no 2>>c：＼erroruser1.txt

步驟3：在excel表格中按照如下格式編輯單位所有人員信息，編輯好以后另存為user1.csv文件，使用記事本打開此文件將文件另存為user1.txt。

步驟4：將上述兩個(gè)文件放到域控制器c盤根目錄下，雙擊運(yùn)行adduser1.bat，程序會(huì)將user1中所有的用戶自動(dòng)創(chuàng)建的域中，并且可以在erroruser1.txt文件中查看錯(cuò)誤信息。

2.2 計(jì)算機(jī)加入域

編寫加域的批處理程序，且在加入時(shí)提示用戶更改正確的計(jì)算機(jī)名稱。例如本單位要求計(jì)算機(jī)名稱必須和單位資產(chǎn)編號(hào)一直，加域時(shí)提示用戶輸入資產(chǎn)編號(hào)進(jìn)行校驗(yàn)，如果和計(jì)算機(jī)名稱不符則提示更改計(jì)算機(jī)名稱。

步驟一：在域控制器上創(chuàng)建一個(gè)用戶用于加域程序使用，本用戶擁有計(jì)算機(jī)加入域的權(quán)限。創(chuàng)建用戶auser，密碼為123456。

步驟二：編寫如下批處理程序，保存為jiayu.bat，為了防止用戶名和密碼的泄露，可以使用工具軟件將jiayu.bat轉(zhuǎn)換為jiayu.exe。如果將來不想讓用戶加域使用了，將創(chuàng)建的auser用戶刪除即可。

步驟三：將jiayu.exe程序發(fā)布在園區(qū)網(wǎng)，用戶只需要下載到本地，雙擊即可執(zhí)行。

加域程序可以方便用戶加入域中，但如果在加域過程中出現(xiàn)故障和問題，系統(tǒng)將不會(huì)給出提示信息，那么就需要我們使用普通的方式加域了。

2.3 完成綁定關(guān)系

經(jīng)過上面兩個(gè)過程，計(jì)算機(jī)和用戶已經(jīng)加入域中，可以使用域用戶登錄計(jì)算機(jī)了，但用戶和計(jì)算機(jī)之間未建立綁定關(guān)系，可以在任何計(jì)算機(jī)上使用任何用戶名登錄，無法滿足我們的安全要求。手動(dòng)綁定工作量巨大，我們可以通過下述方法完成此項(xiàng)工作。

步驟一：在域控中建立一個(gè)共享空間，如：D：＼clientinfo，給everyone讀寫、執(zhí)行、修改權(quán)限。（本例域控IP地址為192.168.1.1）

步驟二：編寫如下批處理程序，保存為user-computer.bat。

echo net user %username% /domain workstations：%computername% >＼＼192.168.1.1＼clientinfo＼%username%-%computername%.bat

步驟三：將此批處理文件作為登錄腳本，通過組策略下發(fā)給所有計(jì)算機(jī)（此處不再詳述）。則所有用戶登錄計(jì)算機(jī)時(shí)將會(huì)在域控的共享目錄中產(chǎn)生一條批處理命令。

步驟四：登錄域控制器，只要在域控中雙擊執(zhí)行上一步產(chǎn)生的批處理命令就可以將用戶綁定到計(jì)算機(jī)上了。

3 活動(dòng)目錄日常管理及應(yīng)用實(shí)例

3.1 為用戶添加管理員權(quán)限

因?yàn)楣芾淼男枰?，本單位給所有用戶的權(quán)限均為user權(quán)限。用戶需要安裝軟件、調(diào)整計(jì)算機(jī)設(shè)置時(shí)需要申請(qǐng)開放管理員權(quán)限。如果在域控中手動(dòng)給用戶添加權(quán)限，容易忘記回收權(quán)限，且比較麻煩，最好使用批處理命令完成。

步驟三：當(dāng)需要將某個(gè)用戶添加為管理員時(shí)，只需要雙擊運(yùn)行批處理，輸入該用戶的登錄名稱并回車，程序會(huì)自動(dòng)將用戶加入Localadmin組中獲得管理員權(quán)限。同時(shí)，在該文件夾下會(huì)生成一個(gè)批處理文件，可以很方便地查看給哪個(gè)用戶開放了管理員權(quán)限，以及開放的時(shí)間等信息。當(dāng)需要取消用戶的管理員權(quán)限時(shí)，只需要雙擊該批處理文件即可。該批處理執(zhí)行完畢后會(huì)將自己刪除，非常便于日常管理。

3.2 批量更改用戶登錄名稱

因?yàn)槟承┨厥庠颍枰娜镜?000多用戶的登錄名稱，如果使用手動(dòng)依次更改，工作量大，且容易出現(xiàn)手誤，使用批處理命令來完成此項(xiàng)工作既快速又不容易出錯(cuò)。

步驟一：將原用戶登錄名與現(xiàn)需要使用的用戶登錄名整理成以下示例的格式，保存為username.txt（中間的逗號(hào)必須使用英文符號(hào)，否則會(huì)出錯(cuò)）。

示例：

Olduser1，newuser1

Olduser2，newuser2

Olduser3，newuser3

步驟二：編寫如下的批處理命令，保存為changename.bat。

for /f "tokens=1，2 delims=，" %%a in （username.txt） do dsquery user -upn %%a@hmtest.com | dsmod user -upn %%b@hmtest.com >>err.txt

步驟三：將username.txt與changename.bat放到同一個(gè)目錄下面，雙擊運(yùn)行changename.bat，將自動(dòng)更改用戶登錄名稱。執(zhí)行時(shí)發(fā)生的錯(cuò)誤可以在err.txt中查看。

在域中用戶存在兩個(gè)登錄名稱，UPN與SAMID。本程序更改的是用戶的UPN名稱，微軟沒有提供更改SAMID的命令，如果需要更改用戶SAMID，可以使用第三方的程序，例如：adfind和admod，這兩個(gè)程序可以很方便地在網(wǎng)上找到，使用時(shí)可以參考本節(jié)所講內(nèi)容。

4 活動(dòng)目錄常見故障處理

4.1 加域時(shí)，彈出窗口提示“拒絕訪問域控制器”

遇到此問題，多數(shù)情況為計(jì)算機(jī)已經(jīng)加入過域，只需要在域控制器中刪除該主機(jī)即可。

4.2 加域時(shí)域選項(xiàng)為灰色不可選

系統(tǒng)中workstation服務(wù)沒有啟用，在系統(tǒng)服務(wù)中啟動(dòng)該服務(wù)即可。如果系統(tǒng)中沒有workstation服務(wù)，需要在“網(wǎng)絡(luò)配置”中安裝“Microsoft 網(wǎng)絡(luò)客戶端”。

4.3 加域時(shí)提示“找不到網(wǎng)絡(luò)路徑”

出現(xiàn)此問題的原因有如下幾種：

（1）網(wǎng)卡的設(shè)置上沒有選擇“Microsoft網(wǎng)絡(luò)客戶端”。

（2）克隆安裝的操作系統(tǒng)SID重復(fù)，可以使用軟件來修改操作系統(tǒng)的SID。修改操作系統(tǒng)SID的軟件在互聯(lián)網(wǎng)上可以下載到。

（3）缺少相關(guān)的系統(tǒng)服務(wù)，查看并啟動(dòng)下列相關(guān)服務(wù)。

tcp/ip netbios help

Remote registry

Windows Time

4.4 登錄域時(shí)提示“域控制器不可用”

出現(xiàn)此問題的原因及解決辦法有如下幾種：

（1）Windows防火墻或相關(guān)防火墻軟件影響。關(guān)閉相關(guān)軟件進(jìn)行嘗試。

（2）計(jì)算機(jī)時(shí)鐘出現(xiàn)錯(cuò)誤，與正常時(shí)間相差過大。正確設(shè)置系統(tǒng)時(shí)鐘即可。

（3）計(jì)算機(jī)與域控連接異常，例如：計(jì)算機(jī)長時(shí)間未登錄域就會(huì)造成連接異常。此時(shí)需要將計(jì)算機(jī)退域，并重新加域。

5 結(jié)束語

Active Directory（活動(dòng)目錄）是微軟的Windows操作系統(tǒng)最核心的組件，便于網(wǎng)絡(luò)管理員對(duì)整改網(wǎng)絡(luò)資源的管理。本文中所有的對(duì)Active Directory（活動(dòng)目錄）管理的例子均在實(shí)際應(yīng)用中發(fā)揮了重要的作用，極大地減輕了管理人員的工作量，具有很強(qiáng)的實(shí)用價(jià)值。