活动目录管理：什么是AD？第 2 部分 - Microsoft 平台管理 - 博客 - Quest Community

在本系列的第一篇文章中，我解释了 Active Directory (AD) 是什么以及它的用途。我们发现，Active Directory 基本上是一个数据库和一组服务，可帮助用户在本地 Microsoft IT 环境中完成工作。今天，我们来探讨一些常见的 Active Directory 管理任务。

设计和设置 Active Directory

正如我们在上一篇文章中看到的，AD 管理的基本单位是域，即存储在单个 AD 数据库中的一组相关用户、计算机、打印机和其他 AD 对象。域应该是相当稳定的实体。例如，您的公司芝加哥办事处可能有一个域，旧金山办事处有一个单独的域。由于域是管理边界，因此您的芝加哥管理员无法从您的旧金山域中删除用户，并且您的 SF 管理员也无法修改芝加哥域中用户的权限。

为了简化 Active Directory 管理，域中的对象通常分为组织单位 (OU)。 OU 通常反映组织的结构；例如，您的芝加哥办事处的每个部门可能都有一个 OU：销售、营销、IT、法律等。 OU 也可以是临时性的 — 您可以为不同的项目创建 OU，并在项目结束时解散它们。

保持您的 Active Directory 清洁和健康

当然，IT 环境是一个动态的地方；无论您如何完美地规划您的架构、域、OU 等，您都不能简单地设置 Active Directory 并忘记它。用户、计算机、打印机和其他 AD 对象来来去去，因此您需要定期执行配置和取消配置任务。您还应该定期识别不活动的用户和计算机帐户，以便在它们被滥用之前将其清理掉。提醒用户在密码过期之前更改密码也是明智之举，这样他们就不会失去访问权限并不断向服务台提出密码重置请求。

更广泛地说，您还需要监视域控制器的运行状况以及它们之间的数据复制。否则，用户很可能会在登录或访问完成工作所需的资源时遇到问题。

Microsoft 提供了多种 Active Directory 管理工具，包括 Active Directory 用户和计算机 (ADUC)、本地用户和组以及 Microsoft 管理控制台 (MMC) 的 Active Directory 架构管理单元。然而，原生工具的功能有限；不断地在工具之间切换是很尴尬的；而且任务通常是手动的、耗时且容易出错。

Quest Active Administrator 填补了本机 Active Directory 管理工具留下的空白，使您能够通过单一管理平台更快、更轻松地管理您的 Active Directory。特别是，您可以自动执行用户帐户配置和取消配置、审核 AD 更改并发出警报，以及监控和管理 DC。此外，Active Administrator 使您能够安全地委派 AD 管理任务，这样您就可以拆分 Active Directory 管理工作，而无需授予所有管理员在域中执行任何操作的权限。

管理组策略

Active Directory 管理的另一个重要方面是管理组策略。组策略是一组称为组策略对象 (GPO) 的策略，可以应用于整个域或仅应用于某些 OU。例如，您可以使用组策略要求芝加哥域中的所有用户使用复杂的密码，或者禁止在芝加哥域的 Finance OU 中的所有计算机上使用可移动媒体。 Microsoft 提供了数百个可供您配置的 GPO；您可以执行以下操作：

• 禁用 PST 文件创建
• 将常用网站添加到用户的浏览器中
• 映射有用的网络驱动器
• 在所有计算机上设置自定义注册表值
• 将标准软件部署到所有计算机
• 在计算机启动或关闭或用户登录或注销时运行某些脚本

组策略非常强大，因此正确设置它并仔细管理对其所做的更改至关重要。对 GPO 的一次不当更改可能会导致停机或安全漏洞。不幸的是，本机工具无法轻松控制组策略。

Quest 提供了两种工具来简化组策略管理。我上面提到的 Active Administrator 使您能够在安全的离线环境中编辑和测试 GPO，并轻松地将 GPO 回滚到之前的已知状态，以便您可以快速从任何错误的修改或意外影响中恢复。

我们还提供专门用于组策略管理的工具：GPOADmin。这一屡获殊荣的解决方案可自动执行关键的组策略管理任务，以降低成本并消除手动流程。您可以并排比较 GPO 的版本以验证设置、快速回滚到已知良好的 GPO 版本、锁定某些 GPO 或 GPO 设置以使其无法更改等等。您甚至可以为 GPO 管理建立基于批准的工作流程，并完成基于电子邮件的批准或拒绝以及部署计划。此外，GPOADmin 可以选择扩展 Microsoft 组策略管理控制台 (GPMC)，以便您可以使用熟悉的界面进行 GPO 管理。

备份与恢复

最后但并非最不重要的一点是，正确的 Active Directory 管理需要可靠的备份和恢复。为了确保生产力和业务连续性，您需要能够定期备份 AD，并能够快速恢复特定设置或属性、整个 AD 对象、整个域，甚至整个林。虽然 AD 回收站可以快速恢复一些最近删除的对象，但它不是（也从来不是）企业备份和恢复解决方案。

Active Directory 恢复管理器是。可靠的自动备份可确保您拥有宝贵的 Active Directory 数据的最新副本，而自动化的精细恢复功能可确保您可以快速恢复用户、组、属性、权限等，而无需使 Active Directory 脱机。您将为管理员的小错误和重大灾难或 AD 损坏做好同样的准备。借助恢复管理器，您还可以创建虚拟实验室来测试灾难恢复计划，并向利益相关者提供有关恢复工作的详细报告。

超越 Active Directory 管理

Active Directory 管理就到此为止！但请务必阅读“什么是 Active Directory？”中的接下来三篇博客文章。 “ 系列：

• 第 3 部分：Active Directory 安全性
• 第 4 部分：Active Directory 迁移
• 第 5 部分：Active Directory 报告