活动目录服务器常用命令合集如下:
net accounts 查看第一台域控的计算机角色
net accounts 查看计算机角色
net share 查看共享
netdom query fsmo 验证操作主机角色
get-ADforest|FL globalcatalogs 查询当前林中所有全局编录服务器
Get-ADDomaincontroller|FT name,ISglobalcatalog 验证登录域控制器是否为全局编录服务器
dsquery site 查询当前域中所有的站点
dsquery server :验证网络中有多少台域控
dsquery server -isgc 验证网络中的全局编录服务器
dsquery ou 查看创建的组织单位
dsquery server -isgc 查看当前网络中已部署的所有域控制器
dsquery computer -inactive 9 |dsmod computer -disabled yes 禁用63天以上没有登录过的计算机
dcdiag /test:netlogons 查看sysvol共享权限
AD域三层管理体系:
备注:组织单元可以嵌套,即组织单元里创建组织单元。组织单元和组的主要区别在于组织单元里的对象不能在属于其他组织单元,而组内的对象可以再属于其他组。
AD常用的LDAP名词解释:
DN:区分名(Distinguished Name),一个条目的区分名称叫做“dn”或者叫做区分名,其中DN有三个属性,分别是CN,OU,DC 。
DC (Domain Component)
CN:Common Name 通用名,一般为用户名或服务器名,最长可以到80个字符,可以为中文;
OU:Organization Unit为组织单元,最多可以有四级,每级最长32个字符,可以为中文;
O:Organization 为组织名,可以3—64个字符长
C:Country为国家名,可选,为2个字符长
UID: userid ,对象的属性为uid,例如员工的名字为:zsq,他的UID为:z02691,ldap查询的时候可以根据cn,也可以根据uid。
例如:CN=test,OU=developer,DC=domainname,DC=com
在上面的代码中 cn=test 可能代表一个用户名,ou=developer 代表一个 active directory 中的组织单位。
这句话的含义可能就是说明 test 这个对象处在domainname.com 域的 developer 组织单元中。
组类型:
安全组:用来设置有安全权限相关任务的用户或者计算机账户集合。
通信组:用于用户之间的通信的组。
组作用域:
域本地组:主要用来设置访问权限,只能将同一个域内的资源指派给域本地组。
全局组: 用来组织用户,将多个被赋予相同权限的用户账户加入同一个全局组内,林内可见,可在本域或有信任关系的其他域中使用。
通用组:来自林中任何域中的用户账户、全局组和其他的通用组,全林范围内可用。
授权规则可以使用AGDLP规则,即用户账户account加入全局组glocal group,然后把全局组加入到域本地组 domain local group ,最后对域本地组进行授权permissions
FSMO(操作主机角色):
主要实现功能包括:架构修改、添加/重命名域、生产SID、用户身份认证、全局编录相关等特殊功能。
架构主机角色作用是定义所有域对象属性或者称为定义数据库字段以及存储方式,作用域林级别。
域命名主机角色作用是负责控制域林内域的添加或删除,作用域林级别。
PDC主机角色作用是兼容低版本域控制器,优先成为主域浏览器,活动目录数据库的优先复制权限(默认5分钟),时间同步,防止重复套用组策略,域只有一个PDC主机角色。
RID主机角色作用是在域中建立对象(用户、组、计算机等),每一个对象有唯一SID,包含Domain ID和RID,跨域访问、迁移域对象,通过RID Master确认域对象唯一性。
基础结构主机角色作用为负责对跨域对象的引用进行更新。