21 个有效的 Active Directory 管理技巧

这是最全面的在线 Active Directory 管理技巧列表。

在本文中，我将分享有关 AD 设计、命名约定、自动化、AD 清理、监控、Active Directory 用户管理等方面的技巧。

一探究竟：

1.Active Directory OU结构最佳实践

如果您没有良好的 Active Directory 组织单元 (OU) 设计，您就会遇到问题。

首先，我将快速解释良好的 OU 设计如此重要的三个主要原因。

• 原因 1 组策略 - 良好的 OU 设计将使组策略的实施和管理变得更加容易。我发现，通过正确的 OU 设计，问题大大减少。
• 原因#2 委派权限 - 必须能够在细粒度级别委派权限并审核这些权限。正确的 OU 结构将允许您轻松地在粒度级别上委派权限。
• 原因 3 管理任务 - 修改用户帐户、使用 LDAP 查询、报告和批量更改都是常见的管理任务。如果 Active Directory 一片混乱，这些简单的日常任务对于整个团队来说就会变得困难。

现在我已经解释了为什么 OU 设计如此重要，让我向您展示我的良好 OU 设计技巧。

OU 最佳实践 #1：分离用户和计算机

不要将用户和计算机放入同一个 OU，这是 Microsoft 的最佳实践。

相反，为用户创建一个新的 OU，为计算机创建一个新的 OU。

接下来，为每个部门或分组创建子 OU。

对计算机和用户都执行此操作。

接下来，为特定功能或相似对象的分组创建 OU。以下是我使用的一些示例：

• 会议室电脑
• VDI（虚拟桌面）
• 测试电脑
• 通用账户
• 服务账户

我将为其中每一项功能创建一个 OU。

您可以按照您喜欢的任何方式构建子 OU，这基本上取决于您计划如何管理用户和计算机。在我工作过的组织中，按部门和特定职能来管理它们是最有意义的。最重要的技巧是将用户和计算机对象分组到单独的组织单元中。

Active Directory 设计最佳实践示例

下面是一个真实的示例，说明良好的 OU 结构如何使管理 Active Directory 变得更加容易。

客户的域策略会在 15 分钟不活动后锁定计算机。该策略适用于域中的每台计算机。

这成为会议室计算机的一个问题，用户在教学或进行演示时屏幕会一直锁定。

为了解决这个问题，我刚刚创建了一个名为会议室计算机的子 OU，并将受影响的计算机移至该 OU 中。我创建了一个新的组策略对象，将锁定时间更改为 60 分钟并将其应用到这个新的 OU。

现在，这些计算机在应用新的超时策略时仍然继承其父级的策略。

问题解决了！

OU 最佳实践 #2：为安全组创建 OU

首先，我将安全组放入部门文件夹中。

这在当时是有道理的。

但是我错了。

发生的情况是，我会有非特定部门的小组。那些去哪儿了？

他们最终会出现在不同的地方，然后没有人能找到他们。

为了解决这个问题，我创建了一个专门用于安全组的组。

就像用户和计算机一样，我可以创建子 OU 以按部门或功能对它们进行分组。

这非常有效，我确切地知道所有组的位置，并且可以通过子 OU 以任何我想要的方式组织它们。例如，如果我或我团队中的某人需要授予用户访问共享文件夹的权限，我就会知道这些组位于共享文件夹 OU 中。

OU 最佳实践 #3：为服务器创建 OU

您希望将服务器保留在自己的 OU 中。您将拥有只需要应用于服务器而不是工作站的组策略，反之亦然。我还可以根据需要创建子 OU 来对特定服务器进行分组。

现在我可以将策略应用于所有服务器或特定服务器。

Active Directory 的结构和设计非常重要。如果您实施上述设计技巧，将会使管理 Active Directory 变得更加容易。您将可以灵活地应用组策略、委派控制和管理 AD 对象。

2. 使用标准化命名约定

无论您的组织规模大小，您都需要标准化 Active Directory 对象的命名。

以下是我关于良好命名约定的建议。

用户

最流行的选项是用户名字首字母+姓氏。

我将以“乔·史密斯”为例。

用户名是：jsmith

下一个流行的选项是完整的名字 + 姓氏（使用特殊字符分隔名称）。

用户名是：joe.smith

这两种方法都效果很好并且用户友好。您可能遇到的一个问题是重复的用户名。

要解决此问题，只需添加中间的首字母即可。

例如，我有乔·史密斯（Joe Smith），然后我得到了一位名叫简·史密斯（Jane Smith）的新员工。 Jane 的用户名与 Joe 相同，因此我需要使用 Jane 的中间名首字母。

Jane 的中间名首字母是 A，因此用户名是 jasmith。或简·a·史密斯

我会避免截断名称或包含数字的命名约定。这对每个人来说都太令人困惑了。

团体

这是我用于创建组的模板。

部门或群组+资源+权限

让我分解一下

• 部门或组 - 您可以使用完整的部门名称或缩写。在某些情况下，它可能不是特定的部门，而可能是来自各个部门的用户，因此只需为该组起一个名称即可。
• 资源 - 这应该定义该组的用途，它可以是一个单词或几个单词（用连字符分隔单词）

• 群组前缀：创建群组时，您必须选择群组类型，我使用前缀来定义我正在使用的群组。

  • 本地域=L
• 全局=G
• 通用=U

这里有些例子

示例 1 - 帮助台工作人员需要重置密码的权限。

安全组名称为：Helpdesk-PasswordReset-G

示例 2 - 人力资源部门需要锁定培训文件夹

安全组名称：HR-Training-Folder-G-RW

示例 3 - 销售部门希望锁定共享日历

安全组名称：Sales-Shared-Calendar-G-RW

一旦我按照此命名约定重命名了所有组，就可以更轻松地查找和使用它们。

计算机、服务器和其他 AD 对象

对于大多数其他对象，我遵循以下命名约定：

类型 + 部门或位置代码 + 资产#

• 类型

  • W=工作站
• L=笔记本电脑
• P=打印机
• S=服务器
• V= VDI 或虚拟机

这里有些例子

IT 部门资产工作站# 1234

W-IT-1234

人力资源部门的笔记本电脑资产# 1235

L-HR-1235

销售部门的打印机资产#1233

P-SA-1233

创建一个整个团队都可以遵循的清晰的命名约定，我不仅仅是在谈论用户和计算机。为所有对象创建命名约定

3. 使用高级工具监控 Active Directory

Active Directory 是网络的心脏，如果它停止跳动，那么其他一切都会消失。

我知道免费工具很棒（我使用很多），但在监控方面我依赖专业工具。

为什么？

它节省了我大量的时间，并为其他 IT 员工提供了易于阅读的服务器和应用程序指标。

以下是一些最喜欢的：

SolarWinds Server & Application Monitor - 我喜欢这个工具，因为它允许我监控任何服务器上的任何应用程序。监视使 Active Directory 运行的所有组件和服务。如果 Active Directory 出现问题或速度缓慢，该程序将快速识别问题。

SolarWinds Network Performance Monitor - 用于监控任何支持 SNMP 的设备上的网络、带宽、CPU、内存以及更多指标的出色工具。

Netfort Languardian - 这是一个深度数据包检查程序，用于监控网络和用户活动。尽管它可能被认为是一种网络工具，但它有大量的用例。我可以找出谁删除了文件、监控 DNS、查找恶意 DNS 服务器、监控服务器和 Active Directory 的带宽等等。

ManageEngine Audit Plus - 提供对 Active Directory 的实时审核。跟踪 AD 对象、用户活动、DNS、GPO 等的更改。

市场上有很多专业工具，我建议您四处搜索并找到最适合您需求的工具。

4. 使用核心服务器（如果可能）

Server Core 占用空间更小，更安全，并且不需要那么多更新。

额外好处是减少重新启动！

当微软说这是首选安装选项时，我起初持怀疑态度。但在运行核心服务器几年后，它们表现得非常出色。它们很稳定，而且更新确实较少。

不幸的是，它们并不适用于所有情况。

并非所有第三方应用程序都支持核心服务器。

它们非常适合 Windows 服务器，例如域控制器、DHCP、DNS。

因此，尽可能安装核心服务器并获得好处。

这是一个很好的表格，总结了服务器核心的优点

https://msdn.microsoft.com/en-us/library/hh846314(v=vs.85).aspx

5.了解如何检查AD健康状况

域控制器、DNS 和复制问题将导致各种问题。

以下是检查 Active Directory 运行状况的一些快速提示。

使用 dcdiag 检查域控制器

Dcdiag 是一个命令行工具，用于分析林或企业中域控制器的状态并报告任何问题。它内置于大多数 Windows 服务器操作系统中，如果您安装了 ADDS 或 ADLDS 角色，它也会包含在内。

使用以下命令来分析域控制器的运行状况。

dcdiag /s:服务器名称 /a

这将对域控制器上运行的各种组件和服务运行多项测试。

任何未通过的测试都会失败。

使用dcdiag测试DNS

使用下面的命令来测试dns

dcdiag /test:dns /s:服务器名称

您可以在屏幕截图中测试检测到我的 DNS 存在一些问题

通过查看测试，我丢失了一些 A 和 SRV DNS 记录

使用repadmin测试复制

使用以下 repadvertministrtogether withive 命令来测试域控制器之间的复制。

repadmin /showrepl

6.使用安全组对资源应用权限

请勿使用个人帐户对资源（打印机、共享文件夹、应用程序、日历等）应用权限。

相反，请使用安全组。

这使得向资源添加和删除用户变得更加容易。它还有助于报告和审计。

在资源上设置组后，您不必每次都访问每个资源来修改访问权限。你只需更新群组即可。

使用技巧 3 中的组命名约定，这就像一个魅力。

这是一个例子。

我有一个名为销售部门培训的文件夹。

我将创建一个名为 HR-Training-SG-RW 的组（这遵循我的命名约定提示#）

然后我会将该组添加到该文件夹的权限中。

现在，每当我想授予用户权限或撤销用户对此文件夹的权限时，我只需修改该组的成员即可。

我可以对所有资源使用该方法。

7. 清理Active Directory（至少每月一次）

随着时间的推移，Active Directory 将拥有过时的用户、计算机和组帐户。

为了保持 Active Directory 的安全和整洁，您需要找到这些过时的帐户并将其删除。

建议每月至少检查一次 AD 中是否有不活动的计算机和不活动的用户帐户。有大量可用的脚本和 GUI 工具可以帮助查找和删除旧帐户。

我的广告工具页面上有一些可用的清理工具

我每月运行一次清理过程。

8. 为 Active Directory 对象添加描述

看到 Active Directory 中的对象却不知道它们的用途是令人沮丧的。

即使您使用良好的命名约定，我仍然喜欢为对象添加描述。显然不是所有对象，而是服务器、组、服务帐户和通用帐户，我都对它们进行了描述。

这不仅可以帮助我快速识别对象的用途，还可以帮助整个团队理解。

您可以在下面的屏幕截图中看到我添加了一些组和服务帐户的描述。

这里有一些非标准帐户，再次使用描述字段，我可以在 Active Directory 中轻松查看这些帐户的用途。

同样，我不会对所有对象（主要是组、服务器和非标准帐户）执行此操作。

这又节省了很多时间。

9. 使用委派控制向导为非管理员设置权限（帮助台）

了解 Active Directory 委派非常重要，这样就可以在不将用户添加到域管理员等特权组的情况下授予权限。

通过委派权限，您可以使用最小特权访问方法。 （仅授予需要的权限）

这有助于安全性和合规性。

以下是您为何需要委派权利的一些示例。

• 服务台需要重置密码
• 更新用户帐户信息，例如电话号码或地址
• 授予在域中添加和删除计算机的权限。
• 创建、删除和管理用户帐户
• 修改群组成员资格

在本视频中，我将授予我们的帮助台小组重置密码的权利。

10. 审核对 Active Directory 的更改

Active Directory 审核是记录 Active Directory 中的更改和事件的过程。

出于安全和合规性原因，审核非常重要。

您至少应该审核活动目录中的以下事件：

• 登录尝试失败
• 对对象的任何更改
• 登录成功
• 特权帐户的修改
• 组策略变更
• 文件/文件夹删除

在审核 Active Directory 之前，必须首先设置审核策略。

审核 Active Directory 的步骤

步骤 1：在域控制器上启用审核

步骤 2：启用事件审核

步骤 3：查看并维护审核日志

上述步骤是一个高级概述。

有关详细步骤，请查看以下资源：

https://www.lepide.com/how-to/enable-active-directory-security-auditing.html

https://technet.microsoft.com/en-us/library/dd277403.aspx

11. 追踪帐户锁定的根源

随机帐户锁定不仅让最终用户感到沮丧，而且让帮助台和解决问题的管理员感到沮丧。

了解如何追踪帐户锁定的根源是所有系统管理员都需要知道的。

移动设备和设置为运行服务的用户帐户是帐户锁定的最常见原因。

12. 自动执行常见的 Active Directory 任务

我鼓励你尽可能自动化一切。

Active Directory 管理涉及许多日常任务，例如用户帐户创建、修改、帐户删除、计算机管理、安全性等。其中一些日常任务非常耗时。

大多数日常任务都可以自动化，以提高您的工作效率。

以下是您应该自动化的一些常见任务：

• 用户帐户创建
• 帐户删除
• 账户修改
• 集团会员管理
• 广告清理
• 文件复制、目录清理
• 软件部署
• Windows 和第 3 方补丁
• 存货
• 资产退役

自动化某些任务的整个过程可能很困难，但可以自动化您能做的事情。将重复性任务的任何部分自动化都可以节省时间。

PowerShell 是一个可以自动执行许多此类任务的工具。

我的团队最近使用 PowerShell 自动化了整个用户帐户创建过程。这涉及许多步骤，例如创建帐户、添加到组、创建 Office 365 邮箱和创建个人共享文件夹。

创建用户帐户从未如此简单。

13.了解 LDAP 可分辨名称路径

Active Directory 是一种 LDAP（轻量级目录访问协议）目录服务，这意味着对对象的所有访问都通过 LDAP 进行。

LDAP 使用路径来定位对象，对象的完整路径由其专有名称定义。

将其他系统与 Active Directory 集成时，通常需要一些 LDAP 信息。

不幸的是，每个程序的做法都不同。对不同路径有一点了解将有助于将其他系统与 Active Directory 集成。

在大多数情况下，您需要以下各项的专有名称：

• 域名
• 用户帐户（具有 AD 的读取权限）
• 用户所在的OU

以下是查找专有名称的方法

第 1 步：打开 ADUC 并浏览到该帐户

第2步：右键单击该帐户并选择属性

步骤 3：选择属性编辑器

第四步：找到属性Distinguished Name，然后点击查看按钮

用户 Pam Smith 的专有名称是：

CN=Pam Smith、OU=会计、OU=ADPRO 用户、DC=ad、DC=activedirectorypro、DC=com

对任何其他需要的对象重复这些步骤。

14.使用服务帐户（具有最低权限）

有时您需要使用用户帐户（域或本地）运行任务、脚本或程序。

这些称为服务帐户。

首先，不要使用域管理员帐户或任何其他用户帐户来执行这些操作。

相反，创建一个新帐户以用于每个特定服务。您的用户帐户应该制定每 x 天更改一次密码的策略。如果正在使用某个帐户并且其密码发生更改，则该服务将停止工作。

以下是一些额外的提示：

• 使用描述性名称
• 记录帐户并在 Active Directory 中添加描述
• 创建长而复杂的密码
• 将帐户设置为永不过期
• 限制帐户可以登录的内容
• 审核和监控服务帐户的使用情况
• 如果可能，创建本地服务帐户而不是域帐户
• 给予服务帐户最少的权限
• 不要将一个帐户用于多项服务。

15. 尽可能委派任务

不，我不是在谈论将权利委托给服务台。

多年来，系统和网络管理员的职责不断增加。一些系统管理员几乎负责从服务器到打印机的所有事务。

为了保持理智，愿意将一些任务委派给团队之外的其他人。

看 ：

我对此犹豫了很多年。我努力让一切井井有条，程序井然有序，并保持系统 24/7 运行。

但随着责任的增加，生产力达到了下降的地步。新项目推出缓慢。

为了解决这个问题，我了解到可以将任务委派给我的团队之外。

以下是我委派的一些任务：

• 帐户设置和删除
• 管理打印服务器
• 修改账户属性
• 添加和删除域计算机
• 软件分发
• 修改群组成员
• 修补工作站

与主管交谈，与愿意承担这些角色的其他员工交谈。

如果不起作用，只需撤销他们的权利并重新接管任务（我不得不这样做几次）。

16.使用限制性组来控制本地组

受限组允许您集中管理工作站和服务器上本地组的成员。

其一种常见用途是将 Active Directory 组添加到所有计算机上的本地管理员组中。这是为您的服务台或其他 IT 员工授予所有工作站管理权限的简单方法。

这也是防止用户或其他员工将用户添加到本地管理组的好方法。

普通用户不应该拥有管理员权限，我已经看到这种情况已经失控。您可以使用受限组来阻止这种情况。

这是一个视频教程，演示了在加入域的计算机上将域组添加到本地管理组中。

这里有一些关于使用限制性组的好资源和教程

https://social.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx

17. 正确设置您的域名时间

为什么要关心时间？

如果所有域控制器、成员服务器和计算机上的时间不同步，您将遇到问题。

那么如何正确设置时间呢？

以下是一些时间同步技巧

1 将 PDC 模拟器设置为时间源

w32tm /config /manualpeerlist:timeserver /syncfromflags:manual /reliable:yes /update

所有加入域的计算机都将从 PDC 获取时间。

2 禁用主机系统和来宾操作系统之间的时间同步。

VM 倾向于与主机（VMware 或 Hyper-v）同步时间。最佳实践是禁用此功能，以便加入域的系统将继续使用域层次结构进行时间同步。

我记得我们一直在与时间问题作斗争，直到我们发现 VMware 主机正在更改时间并且 PDC 不同步。

您可以阅读有关使用组策略设置时间的信息。除非你已经在计算机上进行了时间设置，否则你不需要这个。

默认情况下，加入域的计算机将与 PDC 同步。

其他资源

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd363553(v=ws.10)
https:// /blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/

18. 记录 Active Directory 和组策略

Active Directory 对于验证用户身份、授权访问许多资源（例如电子邮件、打印机、文件、远程访问等）至关重要。

因此，记录 Active Directory 是有意义的。

以下是我建议您记录的一些内容

• 森林名称
• 域名
• 网络BIOS名称
• 森林功能级别
• 林中的所有域
• 全局编录服务器
• FSMO 角色持有者
• 拓扑图
• 站点和子网
• 所有对象的命名约定
• 组策略对象及其用途的描述

Microsoft Active Directory 拓扑图绘制器是一个方便的小工具，有助于编写文档。

https://www.microsoft.com/en-us/download/details.aspx?id=13380

19.正确实施集团政策

我喜欢团体政策。

这是在所有加入域的计算机上控制和应用设置的简单方法。

它甚至可以用来部署软件。

要成功使用组策略，您需要遵循一些规则。

以下是我的组策略提示。

Tip#1 首先，不要修改默认域策略

提示#2 不要修改默认域控制器策略

Tip#3 使用良好的 OU 结构

提示#4 不要在域级别设置组策略对象

提示#5 在 OU 根级别应用组策略

查看我的组策略最佳实践的完整列表

20.实施变更控制

Active Directory 和组策略的更改可能会中断服务并影响业务运营。

重要的是要通过变更控制流程来实施这些变更，以避免任何停机。

记录您的更改也很有帮助，以防出现问题并且需要回滚更改。

在进行重大更改时，我建议执行以下操作。

• 谁负责变革
• 变更说明
• 实施时间
• 变更持续时间
• 预期影响
• 已更改已测试
• 备份程序

我建议让变更过程尽可能简单。没有什么比一堆繁文缛节和文书工作更能拖慢进度了。

21. 使用 Active Directory 作为一切的集中身份验证源。

如果您是支持 Active Directory 身份验证的本地或基于云的应用程序，请使用它。

当资源由 Active Directory 集中控制时，授权和访问变得更加容易。

对于最终用户来说这也是一大优势，他们只需一个用户名和密码即可进行身份验证。

任何问题？请在下面发表评论。