1、什么是域

Domain：域是計算機網(wǎng)絡的一種形式，其中所有用戶賬戶，計算機，打印機和其他安全主體都在位于稱為域控制器的一個或多個中央計算機集群上的中央數(shù)據(jù)庫中注冊。

兩個域之間可以通過建立信任（Trust）關系來進行聯(lián)系。

AD域

2、內(nèi)網(wǎng)的環(huán)境：

1）工作組：默認模式，人人平等，但是不方便管理

2）域：人人不平等，優(yōu)點：可以實現(xiàn)集中管理、統(tǒng)一管理

3、域的組成：

1）域控制器（DC：Domain Controller）：老大，控制其他成員

2）成員機（之間還是平等的 ）

4、域的部署

1）安裝域控制器DC—就生成了域環(huán)境

2）安裝了活動目錄AD（核心）—就生成了域控制器

通過安裝活動目錄：AD（Active Directory）來實現(xiàn)集中管理、統(tǒng)一管理

里面放的是公司的公共資源，也叫域資源，比如在里面創(chuàng)建一個域賬號a，就可以通過它來登錄成員機的電腦

內(nèi)網(wǎng)一般會以公司的名字作為這個域的域名，例如：whh.com。每一個員工的電腦都會以員工的姓名作為主機名，那么這些電腦在域里面的名字就是例如：a.whh.com

域賬號登錄成員機的過程：

使用域賬號進行登錄

成員機檢查本地沒有這個賬號

成員機向DNS服務器解析DC的IP

向DC匯報有人想要進行登錄，將賬號密碼發(fā)送給DC

DC在AD里面找有沒有這個賬號，有就返回可以登錄的指示acess key

這時候成員機接到acess key就會讓它登錄并且在C:\user里面為a賬號創(chuàng)建家目錄和配置文件

登陸成功后成員機會問DC還有什么要求

DC查詢AD將組策略發(fā)給成員機

成員機按照組策略來加載一些特定要求，例如：強制成員機有特定桌面壁紙，不能更改

一般公司就不允許使用本地帳號進行登錄，會為每一個員工創(chuàng)建一個域賬號用來登錄，想要訪問域資源，必須使用域賬號進行登錄

注意：在域里面，DC必須與DNS完美搭檔，一起配合使用，建議將DC同時設置為DNS（以下實驗就是），這時候DNS就不需要再單獨創(chuàng)建了，會自動配置這個域的區(qū)域文件，并且生成解析記錄

全局組（Global Group）

全局組，單域用戶訪問多域資源（必須是同一個域里面的用戶）。只能在創(chuàng)建該全局組的域上進行添加用戶和全局組，可以在域林中的任何域中指派權限，全局組可以嵌套在其他組中。

域本地組（Domain Local Group）

域本地組，多域用戶訪問單域資源（訪問同一個域）。可以從任何域添加用戶賬戶、通用組和全局組，只能在其所在域內(nèi)指派權限。域本地組不能嵌套于其他組中。它主要是用于授予位于本域資源的訪問權限。

通用組（Universal Group）

通用組，通用組成員來自域林中任何域中的用戶賬戶、全局組和其他的通用組，可以在該域林中的任何域中指派權限，可以嵌套于其他域組中。非常適于域林中的跨域訪問。

區(qū)別：

域本地組：用戶來自于全林，作用于本域

全局組：用戶來自于本域，作用于全林

通用組：用戶來自于全林，作用于全林

本地域組的權限

Administrators（管理員組）

Remote Desktop Users（遠程登錄組）

Print Operators（打印機操作員組）

Account Operators（帳號操作員組）

Server Operaters（服務器操作員組）

Backup Operators（備份操作員組）

全局組、通用組的權限

Domain Admins（域管理員組）

Enterprise Admins（企業(yè)系統(tǒng)管理員組）

Schema Admins（架構管理員組）

Domain Users（域用戶組）

組織單元OU（Organizational Unit）

組織單元是可以將用戶、組、計算機和其它組織單位放入其中的AD容器，是可以指派組策略設置或委派管理權限的最小作用域或單元。

性質是最小作用域或單元。

作用：用來歸類域資源（域用戶、域計算機、域組等）

組策略GPO（Group Policy）

作用：通過組策略可以修改計算機的各種屬性，如：桌面背景、網(wǎng)絡參數(shù)等

組策略在域中下發(fā)后，用戶的應用順序是LSDOU，在應用過程中如果出現(xiàn)沖突，后應用的生效！

L：本地組策略

S： 站點，可以理解為林

D： 域的組策略

OU：一系列的組織單元

組策略的阻止繼承及強制！

強制：表示下級OU的組策略就不生效了，到這塊就停了

A-G-DL-P策略

A(account)，表示用戶賬號

G(Global group)，表示全局組

U(Universal group)，表示通用組

DL(Domain local group)，表示域本地組P(Permission 許可)，表示資源權限。

A-G-DL-P策略是將用戶賬號添加到全局組中，將全局組添加到域本地組中，然后為域本地組分配資源權限。按照AGDLP的原則對用戶進行組織和管理起來更容易。

在AGDLP形成以后當給一個用戶某一個權限的時候,只要把這個用戶加入到某一個本地域組就可以了。

那么目前市場當中有沒有一款專業(yè)的AD域管理工具呢？答案是肯定的。

ADManager Plus

ADManager Plus作為一款AD域管理軟件，可以批量對AD域內(nèi)用戶進行管理，通過CVS文件或者建立通用模板等形式批量創(chuàng)建或修改用戶信息。對于上述問題，ADManager Plus則可以輕松解決。不僅如此，ADManager Plus還具備權限分配功能，對域內(nèi)用戶的各類權限進行合理分配。如遇特殊情況則利用其中的委派功能進行相關權限的委派，在事件處理完成后及時回收權限。避免了AD域內(nèi)用戶權限分配凌亂的情況發(fā)生。ADManager Plus中還內(nèi)置150多類報表，通過這些報表管理員可以輕松的對域內(nèi)的用戶狀態(tài)進行了解。例如：域內(nèi)用戶的近期登錄情況，域內(nèi)用戶的密碼修改情況等等。通過這些用戶狀態(tài)管理員可以判斷接下來如何對用戶進行處理。

當然ADManager Plus不僅能對域中用戶進行管理，同樣對組也可以進行管理，包括：創(chuàng)建，修改，配置等多類功能，對管理員的工作起到極大的幫助作用。

相比以往的AD域管理，利用ADManager Plus管理AD域更加方便，而且在一些事件的處理方面ADManager Plus可以做到更加合理。所以作為一款AD域管理工具它非常合適企業(yè)的選擇。其將改變IT管理人員的工作形式，對企業(yè)AD域合理管理具有重要意義。

總結

以上是生活随笔為你收集整理的哪款AD域管理软件更靠谱AD域管理软件的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。