当前位置：首页 > 实用文档 > 其他范文> 你的任务应该被自动化:活动目录

你的任务应该被自动化:活动目录

时间：2023-09-10 08:57:35 其他范文收藏本文下载本文

你的任务应该被自动化:活动目录（共6篇）由网友“木木心”投稿提供，以下是小编精心整理的你的任务应该被自动化:活动目录，供大家参考借鉴，希望可以帮助到有需要的朋友。

你的任务应该被自动化:活动目录

篇1：你的任务应该被自动化:活动目录

在一个忙碌的环境中，活动目录可能变得就像充满垃圾的仓库，从未被清理过，废弃的用户帐户、不存在的相关服务器和其他一些混乱的类别充斥在活动目录中，并且可能导致性能和管理中的问题。手工清理是非常繁琐的工作，并且很费时间，可能会引起更多的生产性工作。令人高兴的是，有了很多能够自动完成处理大量保持活动目录整洁这项工作的工具。

在这些工具中，最简单易用、最直接的工具之一就是特殊操作软件的活动目录看门人(Active Directory Janitor)(这款软件有三十天的试用期;一套软件售价199美元)。它可以迅速察看一个活动目录存储来查出所有的对象，这些是不再被看作符合比如说像是一个活动计算机和一个正在使用的用户帐户这样的，正在使用的实体。接下来，管理员可以得到一个报告。报告中列出了所有可疑的对象，如果管理员需要的话，他可以做删除、不可见或者重新排列这些可疑对象的操作。

当使用Active Directory Janitor扫描一个网络并保证准确探测(例如:用户最后一次登陆时间，这是查找一个不再使用的用户帐号的一种很有用的方法)时，Active Directory Janitor使用超过30种的定制特性，并且你可以要求它自动标记那些基于可靠条件是有安全风险的用户帐户，

Netpro公司的目录分析师(DirectoryAnalyzer)提供了不同的处理，除了同样做活动目录的深入分析分类的管理。软件检查活动目录因为一些像复制延时或者DNS矛盾这样的小问题，并且建议修复每一个做有标记的问题。这个工具还能为复制提供统计数据，以确定特定应用的效果(例如:Exchange)在活动目录上的情况，并且和像微软操作管理这样的框架应用相结合，这一项是被特别支持的。

如果你想用一种简单的方法来记录在活动目录中作的改变，公司的ChangeAuditor软件能够记录关于每一个相关联的活动目录AD的元数据:是谁做了改变，变化发生在什么时间，什么状况下。

Quest软件公司为活动目录管理设计了一款名为“针对活动目录的Quest管理组件(Quest Management Suite for Active Directory)”的软件。在这个包中有一个叫Reporter的程序，它同审核、追踪记录功能一起监控针对活动目录所作的所有改动DD例如，哪个人针对哪条记录在什么时候做了什么样的改动。并且显示这些改动是否是手工完成还是由其他的管理组件产品完成的。同时还有一个名为 ActiveRoles的程序包含在这个组件当中，这是一个加速活动目录配置或者根据特殊要求创建新的用户帐号组的程序。

篇2：你的任务应该被自动化:活动目录网络服务器

在一个忙碌的环境中，活动目录可能变得就像充满垃圾的仓库，从未被清理过，废弃的用户帐户、不存在的相关服务器和其他一些混乱的类别充斥在活动目录中，并且可能导致性能和管理中的问题。手工清理是非常繁琐的工作，并且很费时间，可能会引起更多的生产

在一个忙碌的环境中，活动目录可能变得就像充满垃圾的仓库，从未被清理过。废弃的用户帐户、不存在的相关服务器和其他一些混乱的类别充斥在活动目录中，并且可能导致性能和管理中的问题。手工清理是非常繁琐的工作，并且很费时间，可能会引起更多的生产性工作。令人高兴的是，有了很多能够自动完成处理大量保持活动目录整洁这项工作的工具。

当使用Active Directory Janitor扫描一个网络并保证准确探测(例如:用户最后一次登陆时间，这是查找一个不再使用的用户帐号的一种很有用的方法)时，Active Directory Janitor使用超过30种的定制特性，并且你可以要求它自动标记那些基于可靠条件是有安全风险的用户帐户。

Quest软件公司为活动目录管理设计了一款名为“针对活动目录的Quest管理组件(Quest Management Suite for Active Directory)”的软件。在这个包中有一个叫Reporter的程序，它同审核、追踪记录功能一起监控针对活动目录所作的所有改动――例如，哪个人针对哪条记录在什么时候做了什么样的改动。并且显示这些改动是否是手工完成还是由其他的管理组件产品完成的。同时还有一个名为 ActiveRoles的程序包含在这个组件当中，这是一个加速活动目录配置或者根据特殊要求创建新的用户帐号组的程序。

原文转自：www.ltesting.net

篇3：WIN技巧：你的任务应该被自动化:活动目录

篇4：你真的需要活动目录吗？

一、活动目录的功能

活动目录是微软为解决分布式windows网络集中化管理应用的一项关键产品，它的核心思想和协议源自于早期NOVELL的类似技术，今天的活动目录总结起来功能无外乎于以下三项：

1、集中化的身份验证

利用AD数据库，将分散在windows客户机上的用户管理体系集中到DC上，实现一个用户在任何节点的漫游能力。同时微软的其他产品也不同程度的可以与这个集中化的身份认证体系集成，譬如Exchange，ISA，SMS，甚至Office等等。除此以外，由于开放的LDAP协议，使得第三方产品也可以集成到这个统一的身份验证体系中来。

2、集中化的资源检索

由于AD具有影射网络共享资源，集成DFS等能力，再加上统一的身份认证，使得将分散在网络上的资源集中检索和权限控制变得可能。从理论上说，管理员可以利用AD的这一特性，建立一个完全分布式的文件存储系统，将专用的文件服务器，网络存储系统，客户机上的分散存储集中起来管理和应用。

3、集中化的权限与策略控制

由于身份验证的集中化，用户的权限管理自然也可以集中化。同时更重要的是利用可分法的GPO，AD实现了将分散在Windows客户机上的组策略集中控管的能力。众所周知，组策略是微软提供的利用注册表开关和脚本控制Windows特性的有效工具，集中化的组策略实现了管理员对整个windows网络中客户机的批量操控。

二、活动目录的优势

活动目录技术从早期的NT到如今的，已经发展出一个相当庞大的技术构架。从单一的水平域管理，扩展到可以通过站点和森林扩展出庞大的域结构。达到了微软所希望的解决方案服务一个跨国机构的目标。同时，与其他厂商的类似产品相比，活动目录与微软产品的深度集成也从侧面延伸了活动目录的功能。譬如Exchange Server构建在AD之上，得到一个集成的邮件解决方案、ISA Server构建在AD之上，得到一个集成的防火墙解决方案、Office和Sharepoint构建在AD之上，得到一个企业内部集中化办公解决方案、乃至SQLserver数据库、SMS、RRAS、CA、RADIUS、iis、Cluster、WSUS甚至最简单的DHCP Server，都可以与AD集成，实现“集中化”的管控。不但如此、他们其中的一些甚至是必须与AD集成才可以使用。基于AD的微软产品构架，从理论上来说可以解决企业IT环境中绝大部分需求和问题。

三、中国企业为什么部署活动目录？

windows产品的广泛使用，使得几乎每一个企业都拥有或大或小的Windows网络环境，同时市场的需要也培养出了一大批熟悉微软产品的SA，微软还为他们颁发MCSE和MVP证书。各种各样的技术文章和培训教材也充满了网络、在各个社区中很容易找到关于活动目录的讨论和技术文章。这使得很多企业的IT管理人员在面临一些实际需求时，首先想到的就是活动目录，大量的企业部署了活动目录。甚至于很多SE认为活动目录就是一个完美的IT管理解决方案。

那么，中国的企业究竟为什么部署活动目录呢？笔者在很多社区和中与第一线的SA们进行过深入讨论，总结为以下几种：

1、为了EMAIL

企业需要一个邮件服务器、于是SA想到了微软的Exhange Server，

为了实现Exchange Server，所以必须部署AD。

2、为了集中化验证和文件权限控制

企业需要员工能在任何一台计算机上工作，希望他们有自己的网络帐号，同时企业的文件服务器也需要这样的帐号来区分访问者，为不同部门和不同的员工部署不同的文件访问权限。所以，SA部署了AD。

3、为了集中化控制客户机

SA发现工作中总要花很多时间去客户机上做修改和控制，跑来跑去，工作量很大，非常不方便。于是部署AD，通过集中化的组策略，实现了从核心控制台上对不同部门客户机的不同策略管理。譬如限制用户对系统某些功能的访问和修改、统一定位内部WSUS服务器的补丁更新位置、批量分法软件、限制软件和网络的使用等等。

以上三种需求，占到了90%左右的国内中小型企业的实际情况。当然，另有10%会使用到AD的其他特性，譬如企业需要群集，于是必须部署AD。SA希望集中控管需要部署SMS，于是必须部署AD。

四、活动目录的问题

活动目录的问题就在于微软希望他能面面俱到，但实际上这是不可能的，最后导致了活动目录的臃肿、不可靠、性能低和管理复杂。按照之前我们总结的中国中小企业需求，可以说绝大部分活动目录的部署，可以形象比喻为“为了听收音机而购买了一台汽车，然后为了维持这台汽车不断的付出时间、精力和金钱”。企业的需求就是一台收音机，而活动目录就是这台汽车。

那么活动目录在作为一台收音机使用时，存在哪些问题呢？

1、对DNS的高度依赖

众所周知，AD是构建在DNS名称空间之上的，一个强健可靠的DNS实例是AD的基石，DNS让AD可以管理无限庞大和复杂的网络环境。大家知道，AD是只能部署在WINDOWS的DNS服务之上的，他融入了很多非标准DNS的定义和记录，而Windows的DNS是一个可靠性和负载能力低下的DNS服务器。看看Internet上，有几个ISP会使用Windows DNS？最后的结果，是windows DNS一旦出现问题，整个AD随即故障。例如DNS中的记录更新失败，多DNS区域复制失败，或者DNS需要迁移等等事件，都会导致AD面临极大的风险。这就是说，一栋庞大的大厦建立在了一个不牢固的地基上。

2、过于复杂的LDAP协议

AD的LDAP，虽然号称“轻量”，实际上纷繁复杂。微软希望将这个协议封闭起来，在整个AD的控管环境中用户不要直接与协议打交道。但是LDAP的复杂性，导致一旦出现问题，用户连一个基本的错误反馈界、调试接口和工具都没有。所以微软又不得不提供LDAP调试工具，放在光盘的额外安装目录中。即便如此，又有多少SA能精通这个怪胎协议的调试呢？

3、过于复杂的身份和权限机制

AD的集中化身份验证体系，无疑是AD最受欢迎的功能之一。但是为了让它能面面俱到，微软把它搞得过于复杂了。首先在计算机帐户和用户帐户被同等看待的前提下，OU和Group却又可以交叉容纳用户对象。实际上，AD中的Group太过复杂，为了实现森林的扩展，AD中的Group有基本的6种类型组合，有数十个内置组，更不用说组和组之间允许权限交联，允许交叉继承，允许权限并集和交集。再加上AD与NTFS的集成，文件夹权限和OU权限的并行，逻辑容器和物理容器的互不关联，活动目录的帐户与本地客户机帐户并存。这真的是我见过最复杂的一套机制了，虽然这样复杂的机制让AD足够灵活，但是事实上绝大部分的用户不需要这么复杂的机制，敢问有多少百分比的SA完全搞清了AD中这套机制？绝大部分的人也仅仅是从MCSE的简单教材中了解了初步的概念而已。

篇5：WIN技巧：如何用ADSI实现自动化的活动目录操作

网管们都应该知道，脚本对于减轻工作量来说是非常有用的，通过脚本，以前需要手工数小时才能完成的工作，现在只需要完全交给电脑自动处理就可以了。比如建立一个Visual Basic Scripting Edition (VBS)，Windows Management Instrumentation (WMI)就可以自动完成Windows系统中的多种任务。

而我们今天介绍的另一种脚本技术可以实现活动目录的自动化操作，这就是活动目录访问接口（Active Directory Service Interfaces ，ADSI)。使用ADSI，你可以完成任何通过Active Directory GUI界面可以完成的工作，比如创建、删除、修改目录对象（容器、用户、组，等等）。另外，ADSI可以通过查询目录来快速获得目录信息。

下面我就来介绍一下ADSI以及它对活动目录的基本操作。

绑定到目录

和使用Visual Basic 的GetObject方法绑定到WMI一样，你也可以基于Lightweight Directory Access Protocol (LDAP)使用GetObject方法绑定目录。在ADSI脚本中，首先需要指定一个LDAP驱动，这实际上是一个名为adsldp.dll的文件，只不过我们要加一个“LDAP:”作为前缀。这和我们使用WMI脚本的方法类似，只不过在WMI脚本中前缀变成了“Winmgmts:”。另外，你必须指定目录对象的路径，比如域、部门单元、用户组或者用户。LDAP驱动和目录路径结合起来被称为AdsPath。在这段代码中，我们会将LDAP和acme.com 域的Marketing单元绑定在一起。

在代码中我们会注意到，第一，AdsPath是被引号和括号包围的。我们在编辑ADSI脚本或其他任何脚本时，都应该使用纯文本编辑器，比如Notepad，因为在Microsoft Word中带有智能标记功能，由它编写出来的脚本代码不会被主机识别出来。第二，注意我们是如何设计对象路径的。所有域名都采用了两个字符来标识，而这两个字符并不是随便写的，它们被称为Attribute Type。它与Object Class一起使用，用来标明是属于容器对象还是叶子对象。表A列出了这种表示方法的含义。

举个例子，假如我们希望绑定westcoast.acme.com域中Finance OU里面Managers组的成员Mary，我们可以使用这段代码。

另外，对于用户和组来说，cn属性类型也表示容器，比如“Users”、“Computers”、“Domain Controllers”等。

绑定之后

正如我们所期望的，当我们将对象绑定到活动目录后，就可以执行四种基本的操作了。每种操作都由一种方法实现，如表B所示。

如果打算使用其中任何一种方法，还需要在语句中以参数的形式提供相应的信息，比如“创建什么内容？”之类的，

假设现在我们要在acme.com的Marketing OU中创建一个名为MSmith的用户，我们可以使用这段代码。

代码中前两行表示告诉脚本要绑定到活动目录，然后建立一个名为MSmith 的User对象类。接下去两行看起来可能会有些陌生，下面我就来解释一下。对于一个用户，他具有多种属性可以进入存储在活动目录的数据库（查看User属性就能看到了），比如电话号码、姓名、办公室位置等。在这些属性中，只有用户名即代码中的“sAMAccountName”是建立用户所必须的。因此第三行使用Put方法修改第二行所建立的用户的属性。当然，我们也可以再添加一些别的属性。

第四行是用来将修改（创建对象或修改属性等动作）提交给活动目录的，它使用了一个叫做SetInfo的方法。如果没有这最后一行代码，脚本不会对活动目录产生任何影响。

我们还可以使用Get方法获取活动目录对象的属性。通过这段代码，我们显示了Marketing OU中的description属性。

rootDSE

在上面任何一个代码范例中，我们都没有指定服务器名，这是由于ADSI支持“无服务器绑定”，也就是我们不需要输入域控制器的名称。借由这种特性，我们其实也不必输入AdsPath。当然我们可以将脚本绑定到根目录，也就是所谓的Root Directory Service Entry (rootDSE)，然后利用它的属性绑定到当前的域。

具体的做法是通过rootDSE中一个被称作defaultNamingContext的属性找到AdsPath，然后再利用AdsPath绑定到当前域。这里的“当前域”是指用户登录的域。假设当前域为westcoast.acme.com，这段代码显示了如何不注明AdsPath即可进行绑定。

在代码中，我们首先绑定到rootDSE，然后利用Get方法获得了defaultNamingContext属性并将其赋值给一个字符串变量。最后我们使用这个字符串变量作为域名的引用。在这个例子中，字符串变量strADsPath的实际值应该是LDAP://DC=westcoast, DC=acme, DC=com 。

绑定变量到rootDSE的好处在于，不管当前的域是什么都可以使用同一脚本。为了显示这种方法的实用价值，我们在自己的活动目录实验室中进行了测试，目标是在三个不同的域中各建立500个用户，其用户名分别为User1、User2......以此类推。你可以想象，假如采用活动目录的GUI界面，我们需要花费多长的时间才能创建完这些用户。而当我们在每个域中都采用这段脚本，你会发现完成这个任务是一件相当简单的事情。

实际上，有关ADSI的内容远不止我们在这篇文章中所涉及到的。想获取更多有关 ADSI的知识，请访问微软MSDN网站上的 “Using Active Directory Service Interfaces” 。

篇6：WIN技巧：让你系统更好的管理挑战活动目录故障

挑战活动目录故障

当您管理的网络不断扩大，软件、硬件和网络服务不断增多，这些资源如何有效管理？不同应用系统的令人头痛的用户安全验证如何统一？微软的活动目录（AD，Active Directory）是最好的解决方案，

活动目录的由来

力，并且为您的整个网络架构提供了一个集中的信息知识库。它大大简化了用户和计算机的管理，并且提供了网络资源的更便捷的访问方式。

活动目录的相关术语

活动目录是一项较新的技术，有许多术语或许是不曾听说过的，所以有必要了解活动目录相关术语。

1．层次化的目录结构

活动目录是由对象（Object）、组织单元（OU）、域（Domain）、域树（Tree）、森林（Forest）构成的层次结构。活动目录为每个域建立一个目录数据库的副本，这个副本只存储用于这个域的对象。如果多个域之间有相互关系，它们可以构成一个域树。在每个域树中，每个域都拥有自己的目录数据库副本存储自己的对象，并且可以查找域树中其他目录数据库的副本。多个域树构成森林。这种层次结构使得企业网络具有很强的扩展性，便于组织、管理及目录定位。

2．对象、组织单位

对象可以是一个用户、一台打印机或一个网络共享。它有描述它们的属性。组织单元可以是组织的任何部分，组织单位也称为容器（OU，Organizational Units）。组织单位是可以将对象和其他单位放入活动目录的容器中的，组织单位的主要用途是委派管理权。

3．域、域控制器

域是活动目录的核心单元，是对象（如计算机、用户等）的容器，这些对象有相同的安全需求、复制过程和管理。域名是基于通常的Internet“域名系统”结构。一个域可以有多个服务器，每个服务器存储域中的所有对象，没有主服务器，所有服务器都是同等的。这是一个多主机模型，对象可以在域的多个服务器之间复制。

4．域树、森林

一个域可以是其他域的子域或父域，这些子域、父域构成了一棵树D域树。域树实现了连续的域名空间，域树中的域层次越深级别越低，一个“.”代表一个层次，如域child.china.com 就比 china.com这个域级别低，因为它有两个层次关系，而china.com只有一个层次。多棵域树构成了森林，森林中的每一棵域树都有自己的唯一命名空间，

5．组策略

组策略是用户或计算机初始化时用到的配置设置。组策略设置定义了系统管理的用户的桌面环境的多个组件，实现软件自动分发和升级。组策略的实施限制了用户对计算机和网络的更改权限，提高了管理员管理网络结构的能力。

6．AD服务接口（ADSI）

ADSI是一个目录服务接口，它可用于编写应用程序以访问和管理AD和基于LDAP（轻型目录访问协议）的不同目录，简化了开发和管理跨平台多个目录系统的分布式应用程序，是实现单点登录的有效手段。

活动目录的意义

Windows是PC机的大脑，那么“目录服务”就是网络的灵魂。微软活动目录的作用主要体现在以下几方面。

1．单点登录

由于活动目录是以LDAP协议为基础的，各应用程序可通过ADSI调用AD的用户验证，这样统一了各应用系统的用户和密码，实现单点登录。

集成了关键的安全性，如Kerberos第五版本和公开密钥基础设施等，用户授权管理和目录进入控制已经整合在活动目录当中了，而它们都是Windows 2000操作系统的关键安全措施。

3．以策略为基础，管理更加简化

通过组策略您可以决定目录对象和域资源的进入权限，什么样的域资源可以被用户使用，以及这些域资源怎样使用等，从而帮助您更加经济高效地管理企业。

4．信息的复制性