活動目錄服務器常用命令合集如下:
net accounts 查看第一台域控的計算機角色
net accounts 查看計算機角色
net share 查看共享
netdom query fsmo 驗證操作主機角色
get-ADforest|FL globalcatalogs 查詢當前林中所有全局編錄服務器
Get-ADDomaincontroller|FT name,ISglobalcatalog 驗證登錄域控制器是否為全局編錄服務器
dsquery site 查詢當前域中所有的站點
dsquery server :驗證網絡中有多少台域控
dsquery server -isgc 驗證網絡中的全局編錄服務器
dsquery ou 查看創建的組織單位
dsquery server -isgc 查看當前網絡中已部署的所有域控制器
dsquery computer -inactive 9 |dsmod computer -disabled yes 禁用63天以上沒有登錄過的計算機
dcdiag /test:netlogons 查看sysvol共享權限
AD域三層管理體系:
備注:組織單元可以嵌套,即組織單元里創建組織單元。組織單元和組的主要區別在於組織單元里的對象不能在屬於其他組織單元,而組內的對象可以再屬於其他組。
AD常用的LDAP名詞解釋:
DN:區分名(Distinguished Name),一個條目的區分名稱叫做“dn”或者叫做區分名,其中DN有三個屬性,分別是CN,OU,DC 。
DC (Domain Component)
CN:Common Name 通用名,一般為用戶名或服務器名,最長可以到80個字符,可以為中文;
OU:Organization Unit為組織單元,最多可以有四級,每級最長32個字符,可以為中文;
O:Organization 為組織名,可以3—64個字符長
C:Country為國家名,可選,為2個字符長
UID: userid ,對象的屬性為uid,例如員工的名字為:zsq,他的UID為:z02691,ldap查詢的時候可以根據cn,也可以根據uid。
例如:CN=test,OU=developer,DC=domainname,DC=com
在上面的代碼中 cn=test 可能代表一個用戶名,ou=developer 代表一個 active directory 中的組織單位。
這句話的含義可能就是說明 test 這個對象處在domainname.com 域的 developer 組織單元中。
組類型:
安全組:用來設置有安全權限相關任務的用戶或者計算機賬戶集合。
通信組:用於用戶之間的通信的組。
組作用域:
域本地組:主要用來設置訪問權限,只能將同一個域內的資源指派給域本地組。
全局組: 用來組織用戶,將多個被賦予相同權限的用戶賬戶加入同一個全局組內,林內可見,可在本域或有信任關系的其他域中使用。
通用組:來自林中任何域中的用戶賬戶、全局組和其他的通用組,全林范圍內可用。
授權規則可以使用AGDLP規則,即用戶賬戶account加入全局組glocal group,然后把全局組加入到域本地組 domain local group ,最后對域本地組進行授權permissions
FSMO(操作主機角色):
主要實現功能包括:架構修改、添加/重命名域、生產SID、用戶身份認證、全局編錄相關等特殊功能。
架構主機角色作用是定義所有域對象屬性或者稱為定義數據庫字段以及存儲方式,作用域林級別。
域命名主機角色作用是負責控制域林內域的添加或刪除,作用域林級別。
PDC主機角色作用是兼容低版本域控制器,優先成為主域瀏覽器,活動目錄數據庫的優先復制權限(默認5分鍾),時間同步,防止重復套用組策略,域只有一個PDC主機角色。
RID主機角色作用是在域中建立對象(用戶、組、計算機等),每一個對象有唯一SID,包含Domain ID和RID,跨域訪問、遷移域對象,通過RID Master確認域對象唯一性。
基礎結構主機角色作用為負責對跨域對象的引用進行更新。