Use PowerShell deployment Active Directory(使用PS部署AD)

2 简介

  • Active Directory 是一种 Windows “目录服务” 由 Microsoft (微软)开发。在 Windows Server 2000 操作系统平台中加入的功能组件。为 Windows 平台提供统一管理,所有居于 Windows 平台的可用性服务,都严重依赖 Active Directory
  • Active Directory 提供了跨平台服务,除了Windows 平台外,还提供 LinuxUnix 平台和 Mac 平台的服务。
  • Azure 平台更是严重依赖 Active Directory 的服务

3 描述

  • Active Directory (活动目录) 是 Microsoft (微软) Windows Server 家族产品中的核心功能组件。它提供了包括但不限于 Domain(域)、Single Sign On(单点登入)、uniform identity authentication(统一身份验证)、Organizational Unit(组织单位)、Computer(计算机)、User Group(用户组)和 User(用户)、资源、以及联系人等等的,管理。
    运行 Active Directory 服务(AD DS)的服务器称为 Domain controller(域控制器)
  • Active Directory 同时还提供 Lightweight Directory Access Protocol 轻行目录访问协议(LDAP)

Active Directory 功能

  1. Domain Services
    Active Directory 域服务(AD DS)是 Windows Domain 网络的基础核心。它存储所有域成员的信息,包括 DomainSingle Sign Onuniform identity authenticationOrganizational UnitComputerUser Group和 User、资源、以及联系人等等的,管理。示例包括组策略,加密文件系统,BitLocker,域名服务,远程桌面服务,Exchange Server和SharePoint Server。

  2. Lightweight Directory Services
    Lightweight Directory Services 轻量目录服务(AD LDS),其前身为 Active Directory 应用程序模式(ADAM)。AD LDS 在 Windows Server 上作为服务运行。“AD LDS与AD DS” 共享代码库,并提供相同的功能,包括相同的API,但不需要创建域,或域控制器。
    AD LDS 提供了目录数据的存储和目录服务与LDAP 目录服务接口。但是,与AD DS不同,多个 “AD LDS 实例可以在同一服务器上运行”。

  3. Certificate Services
    Certificate Services 证书服务(AD CS),它可以为组织建立 “证书颁发机构”。通过RPC或HTTP传输协议接收新数字证书的请求,根据自定义或指定站点的策略检查,为颁发的证书设置可选属性,并颁发证书。
    证书服务允许管理员将证书添加到证书吊销列表(CRL),并定期发布签名的CRL。

  4. Federation Services
    Federation Services 联合身份验证服务(AD FS),它是一种单点登入服务。
    基于 AD FS 的身份验证,用户可以使用基于Web的服务(例如,互联网论坛,博客,在线购物,网络邮件)或仅使用存储在中心位置的一组凭证的网络资源,而不是必须被授予每项服务的一组专用凭证,“AD FS 做为 AD DS的扩展功能。
    AD DS 使用户能够使用一组凭据进行身份验证,并使用属于同一网络的设备进行身份验证。
    AD FS 使他们能够在不同的网络中使用相同的凭证集。

  5. Rights Management Services
    Rights Management Services 权限管理服务(AD RMS),在 Windows Server 2008 之前称为权限管理服务或 RMS
    AD RMS 是 Windows Server 附带的“文件权限管理的软件”。它使用加密和选择性功能拒绝的形式来限制对文档的访问,如公司电子邮件、Microsoft Word文档和web页面,以及授权用户可以对这些文档执行的操作。

5 术语

术语 说明
Trusting (信任) 要允许一个域中的用户访问另一个域中的资源,Active Directory 使用 trust。在创建域时,将自动创建林中的信任。forest 设置信任的默认边界,并且对于 forest 中的所有域,传递信任是自动的。
One-way trust (单向信任) Domain_1 允许访问 Domain_2 域上的用户,但 Domain_2 域不允许访问 Domain_1 域上的用户。
Two-way trust (双向信任) 允许 域 与 域 之间相互访问。
Trusted domain (可信域名) 受信任的域; 其用户可以访问信任域。
Transitive trust (传递信任) 可以将超出两个域的信任扩展到林中的其他受信任域。
Intransitive trust (不可传递的信任) 单向信任,不超出两个域。
Explicit trust (明确信任) 管理员创建的信任。它不是传递性的,只是一种方式。
Cross-link trust (交叉链接信任) 当两个域之间不存在(子/父)关系时,不同树中或同一树中的域之间的显式信任。
Shortcut (捷径信任) 连接不同树中的两个域,传递,一个或两个。
Forest trust (林级别信任) 适用于整个林。传递性,单向或双向。
Realm (领域) 可以是传递性的或非传递性的,单向或双向。
External (外部) 连接到其他林或非AD域。不可传递,单向或双向
PAM trust (PAM信任) Microsoft Identity Manager从(可能是低级别)生产林到(Windows Server 2016功能级别)“堡垒”林使用的单向信任,它发布有时间限制的组成员身份。

6 Example Active Directory (AD) 活动目录配置

6.1 Install the Active Directory and DNS server

6.1.1
Configuring the basic setting of the Active Directory server (配置活动目录服务器的基本设置)

6.1.2
Install the Active Directory and DNS server and Management Module

6.2 Deploying a New Forest

6.2.1
Deploying a New Forest with Windows PowerShell 使用 PowerShell 部署一个新林级别

6.2.2
Add Active Directory Organizational Unit 在 Active Directory 上新建组织单位。

6.3 Create administrative users and groups for SQL Server in Active Directory

6.3.1
Create administrative users and groups for SQL Server in Active Directory(为活动目录创建一个新的管理员用户)

6.4 Create administrative users and groups for SQL Server in Active Directory

6.4.1
Add a new user group for SQL Server in the Active directory (在 Active Directory 中为 SQL Server 新建用户组)

6.4.2
Add a new user group for Cluster in the Active directory (在 Active Directory 中为 Cluster 新建用户组)

6.4.3
Add a new user for SQL Server in the Active directory (在 Active Directory 中为 SQL Server 新建用户)

6.5 Create administrative users and groups for iSCSI Server in Active Directory

6.5.1
Add a new user group for iSCSI Server in the Active directory (在 Active Directory 中为 iSCSI Server 新建用户组)

6.5.2
Add a new user for iSCSI Server in the Active directory (在 Active Directory 中为 iSCSI Server 新建用户)

6.6 Configuring a drive for backing up Active Directory (配置用于备份活动目录的驱动器)

6.6.1
Resize the size of the specified partition and underlying file system. (调整指定分区和基础文件系统的大小)

6.7 Back up Active Directory configuration and system status

6.7.1
Install the Windows server backup service (安装 WindowsServerBackup 服务)

6.7.2
备份系统状态

发表评论