在Server Core中管理AD域服務

在Windows服務器中，提供了Server Core這一特殊的運行環(huán)境，例如Windows 2008 Server Core就是以Windows Server 2008為核心，以命令行運行的只提供特定功能的基礎服務的系統(tǒng)，以安全穩(wěn)定為最大特點，因為減少了不必要的服務和管理工具，運行效率大大提高。Server Core雖然是Windows Server 2008的最小系統(tǒng)安裝項目，但其提供的服務和功能卻讓服務器在企業(yè)網絡環(huán)境中扮演著關鍵性的角色。

在Server Core中安裝AD DS服務

在其中安裝AD DS域服務，可以有效管理局域網資源。使用記事本創(chuàng)建名為“yufuwu.txt”的文件，其內容依次包括“[DCInstall]”，“ReplicaOrNewDomain=Domain”，“NewDomain=Forest”，“NewDomainDNSName=xxx.com”，“ForestLevel=1”，“DomainNetbiosName=xbios”，“InstallDNS=Yes”，“ConfirmGc=Yes”，“CreateDNSDelegation=No”，“DatabasePath=”C:WindowsNTDS””，“SYSVOLPath=”C:WindowsSYSVOL””，“SafeModeAdminPa ssword=”qwe123!@#””等。

格式為每條語句占據一 行，其 中 的“xxx.com”表 示 DNS域 名，“xbios”表示具體的NetBIOS名稱，“DatabasePath” 表示AD數據庫文件路徑，“LogPath” 表 示 Active Directory日志文件路徑，“SafeModeAdminPassword”存儲目錄還原模式密碼，該密碼必須符合強制規(guī)則，可以根據實際情況設置以上參數。

利用優(yōu)盤等設備，將該文件復制到Server Core主機磁盤上，在提示符中執(zhí)行“dcpromo/ unattend:e:yufuwu.txt”命令，假設該文件存儲在E盤中，之后執(zhí)行驗證操作，完畢后執(zhí)行域服務安裝操作，之后重啟系統(tǒng)，完成AD DS域服務安裝操作。

添加新的組織單元

使 用“dsadd”命令，可以將特定的主機、聯(lián)系人、組、組織單元、賬戶添加到活動目錄數據庫中。執(zhí)行“dsadd computer cn=jsj1,cn=computers,dc=xxxxxx.dc=com” 命令，可以將名 為“jsj1”的主機名添加到名為“xxxxxx.com”域中的名為“computers”的容器中。注意，必須擁有管理員權限的賬戶才可以執(zhí)行這些命令。因為各命令的參數眾多，限于篇幅無法逐一介紹，具體可以查看幫助信息。

執(zhí)行“dsadd contact CN=jlianxiren1,DC=jinpfzh, DC=net,-display lianxiren1-email helloman@126.com”命令，可以向名為“jinpfzh.net” 的 域 中添加名為“l(fā)ianxiren1”的聯(lián)系人，其郵箱為“helloman@126.com”。執(zhí)行“dsadd group“cn=desing1,dc=jinpfz.dc=net”” 命令， 向“jinpfzh.net” 的 域 中添加名為“design1”的組。執(zhí)行“dsmod group ”cn=desing1,dc=jinpfz.dc=net” -secgrp no”命令，可以將該組從安全組轉換為非安全組。執(zhí)行“dsadd ou“OU=xiaozu1,DC=jinpfzh.DC=net” -desc“miaoshuxinxi”” 命令，向“jinpfzh.net” 的 域中添加名為“xiaozu1”的組織單元，其描述信息為“miaoshuxinxi”。

添加新的賬戶

執(zhí)行“dsad user ”cn=yongh1,ou=xiaozu1,dc=j inpfzh,dc=net” -company gongsi1 -dept 管理部門 -pwd qwe123”命令，向“jinpfzh.net”的域中的名為“design1”的組織單元中添加名為“yonghu1”的賬戶，其密碼為“qwe123”，其隸屬于名為“gongsi1”的公司，所屬部門為“管理部”。當對活動目錄中的賬戶、主機、組織單元、服務器、分區(qū)等對象進行修改時，需要使用到“dsmod”命令。例如 執(zhí)行“dsmod computer cn=jsj1,cn=computers,dc=xxxxxx.dc=com-disabled yes”命令，可以禁用名為“xxxxxx.com”域中的名為“jsj1”的主機。對應的執(zhí)行“dsmod computer cn=jsj1,cn=computers,dc=xxxxxx.dc=com -reset”命令，可以恢復目標主機的活力。

向指定組中添加賬戶

執(zhí)行“dsmod contact CN=lianxiren1”,DC=jinpfzh, DC=net,-office 新樓1019號 -email helloman@sohu.com”，可 以將 名 為“l(fā)ianxiren1” 賬戶的辦公地點修改為“新樓 1019號”，郵箱修改 為“helloman@sohu.com”。 如何向指定的組中添加賬戶呢？ 執(zhí)行“dsmod group“cn=desing1,dc=jinpfz.dc=net” -addmbr”cn=user2.cn=users,dc=jinpfzh,dc=net” ”cn=user2.cn=users, dc=jinpfzh,dc=net”” 命令，可以向名為“design1”的組中添加 名 為“user2”和“userid” 的 賬戶。 執(zhí)行“dsmod group“cn=desing1,dc=jinpfz.dc=net” -rmmbr”cn=lianxiren.cn=users,dc=jinpfzh,dc=net””命令，可以從該組中刪除名為“l(fā)ianxiren”的賬戶。

修改組織單元屬性

對組織單元的屬性進行修改，需要使用“dsmod ou”命令。執(zhí)行“dsmod ou“OU=xiaozu1,DC=jinpfzh.DC=net” -desc“xindemiaoshuxinxi”” 命令，可以將“xiaozu1”組織單元的描述信息進行修改。利用“dsmod server”命令，可以修改域控制器屬性。

例 如， 執(zhí)行“dsmod server “CN=xxx.CN=Servers.CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=jin pfzh,DC=net” -isgc yes”命令，可以將名為“xxx”的域控制器設置為全局編錄服務器。對域中賬戶的設置需要用到“dsmod user”命令。

例如，執(zhí)行“dsmod user“cn=user1,cn=users,dc=ji npfzh,dc=net” -disable yes”命令，可以禁用名為“user1”的賬戶。執(zhí)行“dsmod user “cn=user1,c n=users,dc=jinpfzh,dc=n et” -disable no”命令，可以恢復該賬戶的正常功能。執(zhí)行“dsmod user “cn=use r1,cn=users,dc=jinpfzh,d c=net” -pwd zxc!@#$%123-mustchpwd yes”命令，可以將“user1”賬戶的密碼修改為“zxc!@#$%123”，其必須符合強制密碼策略。

刪除AD中的指定對象

當需要刪除活動目錄中的主機、組、組織單元、賬戶、服務器等對象的話，需要使用“dsrm”命令。例如，執(zhí)行“dsrm -subtree-noprompt -c OU=xiaozu1.DC=jinpfzh,DC=net”命令，可以刪除“xiaozu1”組織單元以及其中包含的所有對象。執(zhí)行“dsrm -noprompt-c CN=lianxiren1.OU=xiaozu2，DC=jinpfzh,DC=net”命令，可以將“xiaozu2”組織單元中的“l(fā)ianxiren1”賬戶刪除。 執(zhí)行“dsrm -subtree-exclude -c OU=xuanchuan.DC=jinpfzh,DC=net”命令，可以將“xuanchuan”組織單元中的所有對象刪除，但是保留該組織單元。

查詢AD中指定的對象信息

當需要查詢活動目錄中的主機、組、組織單元、賬戶、服務器等對象的狀態(tài)時，需要依靠“dsquery”命令。例如執(zhí)行“dsquery computer CN=Computers,dc=j inpfzh,cn=net”命令，可以 查 看“jinpfzh.net”域中“COmputers”容器 中的所有主機。執(zhí)行“dsquery computer domainroot-name a*”命令，可以查看域中所有名稱以“a”開頭的 主 機。 執(zhí)行“dsquery contact OU=xuanchuan.DC=jinpfzh,DC=net”命令，可以查看“xuanchuan”組織單元中的所有聯(lián)系人信息。

執(zhí)行“dsquery group domainroot -name a*-desc 管理”命令，可以查詢域中所有名稱以“a”開頭，描述信息中包含“管理”的組。 執(zhí)行“dsquery group DC=jinpfzh,DC=net”命令，可以查詢“jinpfzh.net”域中的所有組信息。執(zhí)行“dsquery ou”命令，可 以查詢域中所有的組織單元信 息。 執(zhí)行“dsquery ou domainroot -name a*”命令，可以查詢域中所有名稱以“a”開頭的組織單元。

查看AD中目錄分區(qū)信息

執(zhí)行“dsquery partition”命令，可以查詢域中所有的目錄分區(qū)信息。 執(zhí)行“dsquery quota domainroot”命令，可以查詢配額規(guī)范分配信息，配額規(guī)范用來確定給定安全主體在特定目錄分區(qū)中可以擁有的最大數量的目錄對象。在域中可能存在多臺域控制器，包括主域控制器、額外域控制器等。執(zhí)行“dsquery server” 命令，可以查詢域中全部域控制器信息。執(zhí)行“dsquery server -o rdn -forest”命令，可以查詢林中所有的域控制器信息。執(zhí)行“dsquery server-forest -hasfsmo schema”命令，可以查詢林中具有架構操作主機角色的域控制器。執(zhí)行“dsquery server-domain xxx.net”命令，可以查詢指定“xxx.com”域中的域控制器信息。

在域中可能存在多個站點，執(zhí)行“dsquery site-o rdn”命令，可以查詢域中所有的站點信息。執(zhí)行“dsquery site -name Def*”命令，可以查詢域中所有名稱以“Def”開頭的站點。執(zhí)行“dsquery *”命令，可以查詢域中的所有對象。執(zhí)行“dsquery* OU=xuanchuan,DC=jinpfzh,DC=net -scope base -attr *”命令，可以 顯 示“xuanchuan” 組織單元中的所有對象的全部屬性。在活動目錄數據庫中存在大量的賬戶，利用“dsquery user”命令，可以查詢其中所需的賬戶。例如，執(zhí)行“dsquery user OU=xiaozu1,DC=pinfzh,DC=net -o upn-name a* -disabled”命令，可以在“xiaozu1”組織單元中搜尋所有名稱以“a”開頭的、處于禁用狀態(tài)的賬戶信息。執(zhí)行“dsquery user OU=xuanchuan,DC=j inpfzh,DC=net -o upn”命令，可以顯示“xuanchuan”組織單元中的所有賬戶信息。