网络技术精讲(从入门到精通)第7篇:Windows Server 2025实战
摘要
本文将带你深入了解Windows Server 2025的部署与配置实战。你将学到Windows Server 2025的安装方法、Active Directory域服务的架构与配置、用户与组管理、文件服务器配置、组策略的应用、以及PowerShell的实用命令。通过本文,你将掌握企业级Windows服务器的管理技能,能够独立部署和管理Windows网络环境。
学习目标
阅读完本文后,你将能够:
- 能力1:独立完成Windows Server 2025的安装和初始配置
- 能力2:部署和配置Active Directory域服务,理解域控制器的角色
- 能力3:管理用户账户、组账户和组织单位
- 能力4:配置文件服务器,设置共享权限和NTFS权限
- 能力5:使用组策略集中管理用户和计算机配置
引言:Windows Server在企业中的地位
Windows Server是全球最广泛使用的服务器操作系统之一,特别是在企业环境中。从文件共享、打印服务到 Active Directory 域服务,从 Web 服务器到数据库平台,Windows Server 提供了完整的企业级服务。
Windows Server 2025 是最新的长期支持版本,带来了许多新特性和改进,包括增强的安全性、混合云支持、容器平台改进、Linux 集成增强等。对于 IT 管理员来说,掌握 Windows Server 的管理是基本技能。
51学通信认为:“虽然 Linux 在服务器市场的份额在增长,但 Windows Server 仍然是许多企业的核心平台。理解 Active Directory、组策略、文件和打印服务等核心功能,是管理企业网络的基础。即使你的环境包含 Linux,与 Windows 的集成也是常见需求。“
一、Windows Server 2025 安装
1.1 安装前准备
在安装 Windows Server 2025 之前,需要做好以下准备:
flowchart TD subgraph 安装前准备 HW_Check[硬件要求检查<br>64位处理器、1.4GHz+<br>内存2GB+、磁盘32GB+] ISO_Download[下载ISO镜像<br>微软评估中心或<br>Volume Licensing Service Center] License_Key[准备许可密钥<br>零售版或<br>批量许可] Backup[备份现有数据<br>如果是升级安装<br>或重新配置] Plan[安装规划<br>服务器角色<br>IP地址规划] end HW_Check --> Backup ISO_Download --> Backup License_Key --> Plan Backup --> Plan style HW_Check fill:#ffcdd2 style ISO_Download fill:#fff9c4 style License_Key fill:#c8e6c9 style Backup fill:#bbdefb style Plan fill:#e1bee7
图表讲解:Windows Server 安装前的准备步骤。
段落1:图中展示了安装 Windows Server 需要完成的准备工作。硬件要求检查是第一步,确保服务器满足最低要求:64位处理器(建议支持 Second Level Address Translation - SLAT)、内存至少2GB(建议4GB以上)、磁盘空间至少32GB(建议60GB以上)、网络适配器。对于生产环境,建议配置更高的资源以获得更好的性能。
段落2:Windows Server 2025 ISO 可以从微软评估中心下载试用版本(180天评估期),或者通过 Volume Licensing Service Center 下载正式版本。对于批量许可,企业可以通过 Microsoft Open License、Open Value、Enterprise Agreement 等方式获取许可。
段落3:安装规划包括:确定要安装的服务器角色(如 Active Directory、文件服务器、Web 服务器、DHCP、DNS 等);规划 IP 地址、子网掩码、默认网关;规划计算机名称(建议使用有意义的命名规范);规划管理员密码(复杂且安全);如果是域控制器,规划域名(如 corp.contoso.com)。
段落4:安装选项有两种:Server Core 和 Desktop Experience。Server Core 是无 GUI 的最小安装,安全性更高、资源消耗更少、维护需求更低,但需要使用远程工具(如 Windows Admin Center、PowerShell)管理。Desktop Experience 包含完整的图形界面,适合需要本地管理或运行依赖 GUI 的应用。
1.2 安装过程
Windows Server 2025 的安装过程包括以下主要步骤:
- 引导安装:从 USB、DVD 或 PXE 服务器引导,选择语言、时间和键盘格式
- 输入密钥:输入产品密钥,或选择”我没有产品密钥”稍后激活
- 选择版本:选择 Standard 或 Datacenter 版本,带 GUI 或 Core
- 接受许可条款:阅读并接受微软许可协议
- 安装类型:选择”自定义:仅安装 Windows”
- 磁盘分区:选择安装磁盘,可以删除现有分区或创建新分区
- 完成安装:等待安装完成,系统会自动重启
安装完成后,需要完成初始配置任务:
- 设置管理员密码
- 配置网络连接(IP 地址、子网掩码、默认网关、DNS 服务器)
- 更新 Windows
- 重命名计算机
- 加入域(如果适用)
- 启用远程桌面(如果需要)
51学通信提示:对于生产环境,建议安装 Server Core 版本。虽然初期学习曲线较陡,但长期来看,Server Core 的安全性更高、维护需求更低、资源占用更少。管理 Server Core 可以使用 Windows Admin Center(基于 Web 的管理工具)或远程服务器管理工具(RSAT)。
二、Active Directory 域服务
2.1 Active Directory 概述
Active Directory(AD)是微软的目录服务,提供集中化的身份管理和访问控制。
flowchart TD subgraph AD逻辑结构 Forest[森林<br>Forest] Domain1[域<br>corp.contoso.com] Domain2[域<br>child.corp.contoso.com] Domain3[域<br>fabrikam.com] OU1[组织单位<br>销售部] OU2[组织单位<br>技术部] OU3[组织单位<br>财务部] end subgraph AD物理结构 DC1[域控制器1<br>DC01.corp.contoso.com] DC2[域控制器2<br>DC02.corp.contoso.com] DC3[域控制器3<br>DC03.corp.contoso.com] ROdc[只读域控制器<br>RDC01.branch.corp.contoso.com] end Forest --> Domain1 Forest --> Domain3 Domain1 --> Domain2 Domain1 --> OU1 Domain1 --> OU2 Domain1 --> OU3 Domain1 --> DC1 Domain1 --> DC2 Domain1 --> DC3 Domain2 --> ROdc style Forest fill:#ff9800 style Domain1 fill:#4caf50 style OU1 fill:#ffcdd2 style OU2 fill:#ffcdd2 style DC1 fill:#2196f3 style DC2 fill:#2196f3
图表讲解:Active Directory 的逻辑结构和物理结构。
段落1:图中展示了 AD 的两种结构:逻辑结构和物理结构。逻辑结构包括森林、域、树和组织单位(OU)。森林是 AD 的最顶层容器,包含一个或多个域。域是 AD 的管理边界,域内的用户和计算机由域控制器集中管理。树是域的层次结构,父域和子域通过 DNS 名称关系关联(如 corp.contoso.com 和 child.corp.contoso.com)。组织单位是域内的容器,用于组织用户、计算机和其他对象,便于应用组策略和委派管理。
段落2:物理结构包括域控制器(DC)和只读域控制器(RODC)。域控制器是运行 AD 域服务的服务器,每个域至少应该有两台域控制器以提供冗余。域控制器之间通过 AD 复制同步数据。只读域控制器是域控制器的只读版本,部署在分支办公室等物理安全性较低的场所,RODC 包含 AD 数据库的只读副本,不能写入,只能读取。
段落3:AD 的核心功能包括:集中身份验证和授权,用户使用单一账户登录域内所有计算机;集中管理,通过组策略统一配置用户和计算机;资源查找,通过全局目录(Global Catalog)快速查找域内资源;信任关系,域之间建立信任关系后,用户可以访问其他域的资源。
2.2 安装第一台域控制器
将 Windows Server 提升为域控制器的过程称为”提升”(Promotion)。
flowchart TD subgraph 提升为域控制器流程 Step1[安装 AD DS 角色<br>使用 PowerShell 或<br>服务器管理器] Step2[配置域服务<br>选择添加新森林] Step3[指定域信息<br>根域名、NetBIOS 名称] Step4[选择域控制器功能<br>DNS 服务器、全局目录] Step5[设置密码<br>目录服务还原模式密码] Step6[路径选择<br>数据库、日志文件、SYSVOL] Step7[先决条件检查<br>验证配置正确性] Step8[自动重启<br>完成安装] end Step1 --> Step2 Step2 --> Step3 Step3 --> Step4 Step4 --> Step5 Step5 --> Step6 Step6 --> Step7 Step7 --> Step8 style Step1 fill:#ffcdd2 style Step3 fill:#fff9c4 style Step5 fill:#c8e6c9 style Step7 fill:#bbdefb
图表讲解:提升第一台域控制器的完整流程。
段落1:图中展示了将服务器提升为域控制器的八个步骤。第一步是安装 AD DS 角色,可以通过服务器管理器的”添加角色和功能”向导,或使用 PowerShell 命令Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools。
段落2:配置域服务阶段,选择”添加新森林”(因为这是第一台域控制器)。需要指定根域名(如 corp.contoso.com),建议使用企业注册的域名以避免冲突。NetBIOS 名称是旧版 Windows 系统使用的名称(如 CORP),通常自动生成但可以修改。
段落3:域控制器功能选择阶段,建议同时安装 DNS 服务器角色,因为 AD 依赖 DNS 进行服务定位。全局目录(GC)是必须的,第一台域控制器自动成为全局目录服务器。如果这是林中第一台域控制器,它还会成为架构操作主机和域命名主机的角色。
段落4:设置目录服务还原模式(DSRM)密码,这是在紧急情况下(如域控制器无法正常启动)恢复 AD 数据库时使用的密码,应该设置为强密码并妥善保管。
段落5:路径选择阶段,可以自定义 AD 数据库、日志文件和 SYSVOL 的存储位置。SYSVOL 存储组策略模板和登录脚本等文件,需要复制到所有域控制器。
段落6:先决条件检查会验证配置是否正确、IP 地址配置是否有效、DNS 配置是否正确等。如果检查通过,可以继续安装;如果检查失败,需要解决问题后重新检查。
2.3 域控制器管理
安装完域控制器后,需要进行一些重要的管理任务。
管理工具:
- Active Directory 用户和计算机:管理用户、组、计算机和组织单位
- Active Directory 管理中心:现代化的 AD 管理工具
- Active Directory 站点和服务:管理站点、子网和站点间复制
- DNS 管理器:管理 DNS 区域和记录
常用 PowerShell 命令:
# 查看域控制器信息
Get-ADDomainController -Filter *
# 查看域信息
Get-ADDomain
# 查看森林信息
Get-ADForest
# 查看 FSMO 角色拥有者
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator三、用户与组管理
3.1 用户账户管理
用户账户是 AD 中最基本的管理对象,代表一个可以登录域并访问资源的实体。
flowchart TD subgraph 用户账户生命周期 Create[创建用户<br>UserPrincipalName<br>SamAccountName<br>密码] Configure[配置属性<br>个人信息<br>账户选项<br>组成员身份] Organize[组织用户<br>移动到组织单位<br>应用组策略] Maintain[维护账户<br>密码重置<br>账户解锁<br>属性更新] Disable[禁用/删除<br>员工离职<br>账户过期] end Create --> Configure Configure --> Organize Organize --> Maintain Maintain --> Disable style Create fill:#c8e6c9 style Configure fill:#fff9c4 style Organize fill:#ffcdd2 style Maintain fill:#bbdefb style Disable fill:#ffab91
图表讲解:用户账户的完整生命周期管理。
段落1:图中展示了一个用户账户从创建到最终删除的完整生命周期。创建用户时需要设置几个关键属性:UserPrincipalName(UPN,如 [email protected]),这是现代 Windows 应用程序使用的登录名;SamAccountName(如 user),这是旧版系统使用的登录名;用户显示名称(如”张三”);初始密码,首次登录时需要更改密码。
段落2:配置用户属性包括个人信息(如部门、职位、办公室、电话、电子邮件)、账户选项(如账户是否启用、密码是否过期、是否允许交互式登录)、组成员身份(将用户添加到相应的组以获得权限和权限)。重要属性包括:登录时间(限制用户只能在特定时间登录)、登录到(限制用户只能从特定计算机登录)、账户过期日期(临时账户的过期时间)。
段落3:组织用户是通过组织单位(OU)实现的。将用户移动到相应的 OU(如”销售部”OU),可以应用特定的组策略和委派管理权限。OU 的结构应该反映企业的组织结构或管理结构,便于管理。
段落4:维护账户是日常工作,包括:密码重置(用户忘记密码时)、账户解锁(账户因多次错误登录被锁定时)、属性更新(用户信息变更时)、组成员身份调整(角色变更时)。这些操作可以通过 AD 用户和计算机工具或 PowerShell 完成。
段落5:禁用或删除账户通常发生在员工离职或合同到期时。建议先禁用账户,等待一段时间(如30天)确认无问题后再删除,以便在需要时可以恢复。删除账户是永久性的,无法恢复(除非从备份恢复)。
3.2 组管理
组是用户账户的集合,用于简化权限管理。
flowchart TD subgraph 组类型 Security[安全组<br>用于权限分配] Distribution[通讯组<br>用于电子邮件分发] end subgraph 组作用域 DomainLocal[域本地组<br>可以包含任何域的用户] Global[全局组<br>只能包含本域的用户] Universal[通用组<br>可以包含任何域的用户] end subgraph 内置组 Admins[Administrators<br>完全控制] Users[Users<br>有限权限] Guests[Guests<br>来宾权限] end Security --> Admins Security --> Users Distribution --> Users DomainLocal --> Users Global --> Users Universal --> Users style Security fill:#ff9800 style Distribution fill:#ffcc80 style DomainLocal fill:#4caf50 style Global fill:#8bc34a style Universal fill:#cddc39 style Admins fill:#f44336
图表讲解:AD 中组的分类和用途。
段落1:图中展示了 AD 中组的两种主要类型和三种作用域。安全组和通讯组的区别在于:安全组有安全标识符(SID),可以用于权限分配;通讯组没有 SID,只能用于电子邮件分发(在 Exchange 中使用)。大多数情况下使用安全组。
段落2:组作用域决定了组的成员范围和权限范围。域本地组主要用于资源访问控制,可以包含任何域的用户、全局组和通用组,但只能在域内授予权限。全局组主要用于组织用户,只能包含本域的用户,但可以在任何域授予权限。通用组可以包含任何域的用户和全局组,也可以在任何域授予权限,但只在域功能级别为 Windows Server 2003 或更高时可用。
段落3:内置组是 AD 预定义的组,具有特定的权限。Administrators 组的成员对域控制器/计算机有完全控制权。Users 组的成员有有限权限,可以运行应用程序、使用打印机等,但不能修改系统设置或安装大多数软件。Guests 组用于来宾账户,权限更受限。
段落4:组管理最佳实践:按功能或部门创建全局组(如 “Sales-Users”、“Admin-Users”);按资源创建域本地组(如 “FileShare-Read”、“FileShare-Modify”);将全局组添加到域本地组;向域本地组授予权限;遵循 AGDLP(Account → Global Group → Domain Local Group → Permission)原则。
四、文件服务器配置
4.1 文件共享概述
文件共享是 Windows Server 最基本也是最重要的服务之一。
flowchart TD subgraph 文件服务器架构 Client[客户端计算机] FileServer[文件服务器<br>Windows Server 2025] Share1[共享文件夹1<br>Dept-Documents] Share2[共享文件夹2<br>Company-Public] Share3[共享文件夹3<br>User-Home] end subgraph 权限模型 SharePerm[共享权限<br>Read/Change/Full Control] NTFSPerm[NTFS 权限<br>细粒度控制] end subgraph 访问控制 Auth[身份验证<br>用户/计算机] Authz[授权<br>权限检查] end Client -->|SMB 3.x| FileServer FileServer --> Share1 FileServer --> Share2 FileServer --> Share3 Share1 --> SharePerm Share2 --> SharePerm Share3 --> SharePerm SharePerm --> NTFSPerm Client --> Auth Auth --> Authz style FileServer fill:#4caf50 style SharePerm fill:#ff9800 style NTFSPerm fill:#2196f3
图表讲解:文件服务器的架构和权限模型。
段落1:图中展示了一个典型的文件服务器环境。客户端计算机通过 SMB 3.x(Server Message Block)协议连接到文件服务器,访问共享文件夹。SMB 3.x 提供了加密、多通道连接、SMB Direct(RDMA)等增强功能,提高了性能和安全性。
段落2:文件服务器的权限模型有两层:共享权限和 NTFS 权限。共享权限控制用户能否通过网络访问共享,权限级别包括读取(可以读取文件但不能修改)、更改(可以读取和修改文件)、完全控制(可以修改文件和权限)。共享权限是简单的访问控制,不能实现精细的权限管理。
段落3:NTFS 权限(NTFS 文件系统权限)提供细粒度的访问控制,可以针对每个文件和文件夹设置权限。权限包括读取、写入、修改、删除、更改权限、取得所有权等。NTFS 权限支持权限继承(子文件夹继承父文件夹的权限)和显式权限(直接设置在对象上的权限)。
段落4:用户访问共享文件时,系统会检查共享权限和 NTFS 权限,应用两者中更严格的权限。例如,如果共享权限是完全控制但 NTFS 权限是只读,用户只能只读访问;如果共享权限是读取但 NTFS 权限是完全控制,用户仍然只能读取。
4.2 创建和配置文件共享
创建共享的步骤:
- 创建文件夹:在本地磁盘上创建要共享的文件夹
- 设置 NTFS 权限:右键文件夹 → 属性 → 安全 → 编辑权限
- 创建共享:右键文件夹 → 给予访问 → 特定用户
- 设置共享权限:在共享对话框中设置用户权限
- 验证访问:从客户端访问
\\服务器名\共享名
PowerShell 创建共享:
# 创建共享文件夹
New-Item -Path "C:\Shares\Documents" -ItemType Directory -Force
# 设置 NTFS 权限
$Acl = Get-Acl "C:\Shares\Documents"
$AccessRule = New-Object System.Security.AccessControl.FileSystemAccessRule `
("CORP\Finance-Users","Modify","ContainerInherit,ObjectInherit","None","Allow")
$Acl.SetAccessRule($AccessRule)
Set-Acl "C:\Shares\Documents" $Acl
# 创建共享
New-SmbShare -Name "Documents" -Path "C:\Shares\Documents" `
-FullAccess "CORP\FileServer-Admins" -ChangeAccess "CORP\Finance-Users"51学通信提示:文件服务器规划时,建议按照部门或项目创建不同的共享,每个共享有明确的用途和权限策略。对于敏感数据,启用加密文件系统(EFS)或 BitLocker 驱动器加密。定期审查共享权限,删除不必要的访问。启用访问审核,记录谁访问了什么文件,便于审计和故障排查。
五、组策略
5.1 组策略概述
组策略(Group Policy)是 Windows 中用于集中配置用户和计算机设置的核心功能。
flowchart TD subgraph 组策略架构 GPO1[组策略对象1<br>密码策略] GPO2[组策略对象2<br>桌面配置] GPO3[组策略对象3<br>软件部署] GPML[GPM C<br>组策略管理] Domain[域<br>链接 GPO] OU[组织单位<br>继承 GPO] Site[站点<br>链接 GPO] end subgraph 应用顺序 Order1[1. 本地策略] Order2[2. 站点策略] Order3[3. 域策略] Order4[4. OU 策略] end subgraph 处理机制 Async[用户/计算机<br>异步后台处理<br>90-120分钟] Sync[同步后台处理<br>随机偏移<br>0-90分钟] Manual[手动刷新<br>gpupdate /force] end GPO1 --> Domain GPO2 --> OU GPO3 --> OU Domain --> Order3 Site --> Order2 OU --> Order4 Order4 --> Order1 Order4 --> Async Async --> Sync Sync --> Manual style GPO1 fill:#ffcdd2 style GPO2 fill:#fff9c4 style GPO3 fill:#c8e6c9 style Domain fill:#ff9800 style OU fill:#4caf50
图表讲解:组策略的架构、应用顺序和处理机制。
段落1:图中展示了组策略的核心概念。组策略对象(GPO)是策略设置的容器,包含计算机配置和用户配置两部分。GPO 可以链接到站点、域或组织单位(OU),链接后 GPO 中的设置会应用到该容器中的所有用户和计算机。GPMC(组策略管理控制台)是管理 GPO 的主要工具。
段落2:组策略的应用顺序决定了最终生效的策略。本地策略(本地计算机上的策略)首先应用,然后是站点策略,接着是域策略,最后是 OU 策略。如果多个 GPO 中有冲突的设置,后应用的 GPO 会覆盖先应用的 GPO(除非配置为”阻止继承”或”强制”)。因此,OU 级别的 GPO 通常会覆盖域级别的 GPO。
段落3:组策略的处理机制包括异步后台处理、同步后台处理和手动刷新。异步后台处理每90-120分钟自动进行一次,应用策略设置但不强制用户注销。同步后台处理在计算机启动时和用户登录时进行,应用强制策略。手动刷新使用gpupdate /force命令立即刷新策略,但在生产环境中要谨慎使用,因为可能影响用户体验。
段落4:组策略涵盖的设置非常广泛,包括:密码和账户锁定策略(账户策略)、用户权限分配(如谁可以登录本地、谁可以关机)、审计策略(记录登录、对象访问等事件)、软件安装(自动部署或分配软件)、脚本(启动/关机脚本、登录/注销脚本)、文件夹重定向(重定向用户文件夹到网络位置)、限制对可移动存储的访问等。
5.2 组策略配置示例
示例1:密码策略配置
# 在域级别设置密码策略
# 1. 打开 GPMC
# 2. 展开 域 → 右键 Default Domain Policy → 编辑
# 3. 导航到 计算机配置 → 策略 → Windows 设置 → 安全设置 → 账户策略 → 密码策略
# 4. 配置以下设置:
# - 密码最长使用期限:42天
# - 密码最短使用期限:1天
# - 最短密码长度:8个字符
# - 密码必须符合复杂性要求:已启用
# - 用可还原的加密存储密码:已禁用示例2:软件部署
# 使用组策略部署 MSI 软件包
# 1. 将 MSI 文件放到网络共享
# 2. 打开 GPMC,创建或编辑 GPO
# 3. 导航到 计算机配置 → 策略 → 软件安装
# 4. 右键 → 新建 → 数据包
# 5. 浏览到 MSI 文件,选择部署方法:
# - 已分配:软件自动安装在下次启动/登录时
# - 已发布:软件出现在"添加/删除程序"中,用户可以选择安装51学通信站长爱卫生的经验:“组策略是 Windows 网络管理的利器,但也可能是灾难的源头。一条配置错误的组策略可以影响整个域的计算机。建议遵循以下原则:在测试 OU 中验证 GPO 效果后再链接到生产 OU;使用 GPO 的’筛选’功能限制 GPO 只应用到特定用户/计算机;使用’组策略建模’和’组策略结果’工具诊断 GPO 问题;定期审查 GPO,删除不再使用的 GPO。“
六、总结
本文系统介绍了 Windows Server 2025 的核心管理功能,主要内容包括:
- Windows Server 安装:掌握安装准备、安装选项和初始配置
- Active Directory:理解 AD 的逻辑结构和物理结构,能够部署域控制器
- 用户与组管理:掌握用户账户生命周期管理和组管理最佳实践
- 文件服务器:能够创建和管理文件共享,理解共享权限和 NTFS 权限
- 组策略:理解组策略的架构、应用顺序,能够配置常用策略
Windows Server 是企业 IT 基础设施的核心组成部分。掌握 Windows Server 的管理技能,是 IT 专业人员的基本要求。无论是部署文件服务器、打印服务器,还是构建完整的 Active Directory 环境,Windows Server 都提供了完整的企业级功能。
下一篇将深入探讨 Microsoft 365 与企业协作,帮助你理解云时代的协作平台和生产力工具。
常见问题解答
Q1:应该选择 Server Core 还是 Desktop Experience 版本的 Windows Server?
答:这个选择取决于管理需求、应用兼容性和安全要求。Server Core 是无 GUI 的最小安装,只保留命令行界面和有限的 GUI 工具(如任务管理器、事件查看器)。Server Core 的优势包括:更小的攻击面(减少潜在的漏洞入口)、更低的资源占用(约少 2-3GB 磁盘空间、更少的内存和 CPU 使用)、更少的维护需求(更少的更新和重启)、更高的稳定性(更少的组件意味着更少的故障点)。Server Core 的劣势包括:无法运行需要 GUI 的应用程序(有些应用需要完整桌面环境)、管理需要使用远程工具或 PowerShell(学习曲线较陡)、某些服务器角色或功能不支持。
Desktop Experience 包含完整的图形界面,就像 Windows 10/11 的服务器版本。Desktop Experience 的优势包括:熟悉的管理界面(可以像管理工作站一样管理服务器)、可以运行基于 GUI 的应用程序、管理工具更完整。劣势包括:更大的攻击面、更高的资源占用、更多的更新和重启。
选择建议:对于新部署,优先考虑 Server Core,特别是域控制器、文件服务器、DNS/DHCP 服务器等角色;对于需要运行 GUI 应用的服务器(如 Remote Desktop Session Host),使用 Desktop Experience;对于管理经验较少的团队,可以先用 Desktop Experience,逐步学习 Server Core 管理;远程管理 Server Core 使用 Windows Admin Center(基于 Web)或 RSAT(远程服务器管理工具)。
Q2:Active Directory 林和域的区别是什么?什么时候需要多个域或多个林?
答:林是 AD 的最顶层安全边界,包含一个或多个域。域是林内的管理边界,域内的用户和计算机由域控制器集中管理。林内的域通过信任关系自动建立双向可传递信任,域内的用户可以访问其他域的资源(如果有权限)。林是 Kerberos 信任的边界,不同林之间的信任需要手动建立。林也是架构和模式的边界,每个林有自己的架构主控和全局目录。
大多数企业只需要一个林一个域。多个域的情况包括:地理或组织隔离(如子公司使用独立域名)、管理权限委派(如不同 IT 团队管理不同域)、密码策略差异(不同域可以有不同密码策略)、隔离管理(如开发环境、测试环境使用独立域)。多个林的情况包括:合并/收购(保留被收购公司的独立林)、安全隔离(如生产环境和开发环境完全分离)、自治需求(不同部门或地区需要完全独立的 IT 管理)。
51学通信建议:尽量保持简单的 AD 结构。一个林一个域是最简单、最易管理、成本最低的设计。只有在明确的业务需求(如收购合并)或组织结构(如跨国企业有完全独立的 IT 部门)时,才考虑多域或多林设计。多域或多林会显著增加管理复杂度、维护成本和故障排查难度。
Q3:共享权限和 NTFS 权限有什么区别?如何正确配置文件访问权限?
答:共享权限和 NTFS 权限是两层独立的权限检查,用户访问共享文件时需要同时通过这两层检查。共享权限控制通过网络访问共享的权限,权限级别包括读取(可以列出文件、读取文件内容但不能修改)、更改(可以读取和修改文件、创建新文件)、完全控制(可以修改文件、更改权限、删除文件)。共享权限是简单的访问控制,只针对整个共享,不能针对单个文件。
NTFS 权限是文件系统级别的权限,提供细粒度的访问控制。NTFS 权限可以针对每个文件和文件夹设置,包括读取、写入、修改、删除、更改权限、取得所有权、删除子文件夹和文件等。NTFS 权限支持继承(子对象继承父对象的权限)和显式权限(直接设置在对象上的权限)。
正确配置权限的方法是:使用 NTFS 权限进行精确的访问控制,共享权限只用于粗粒度控制。典型配置:共享权限设置为 Everyone 完全控制(或 Everyone 读取、特定组完全控制),NTFS 权限设置具体用户/组的访问权限。这样,实际的访问控制由 NTFS 权限决定,共享权限只是第一道关卡。遵循最小权限原则,只授予用户完成任务所需的最小权限。定期审查权限,删除不必要的访问。使用安全组而不是单个用户来简化管理(将用户添加到组,对组授予权限)。
Q4:组策略不生效怎么办?如何排查组策略问题?
答:组策略不生效的原因可能很多,需要系统化排查。首先确认 GPO 链接和筛选:使用 GPMC 检查 GPO 是否链接到正确的站点、域或 OU;检查 GPO 是否启用了”用户配置”或”计算机配置”;检查 GPO 的安全筛选,确认用户或计算机在”应用此 GPO”的安全组中;检查 WMI 过滤器是否排除了某些计算机。
然后检查策略设置:确认策略设置已启用且配置正确;某些策略需要特定的支持(如软件部署需要 Active Directory 中的 SYSVOL 共享正常);检查是否有冲突的 GPO(多个 GPO 设置同一选项,后应用的覆盖先应用的,除非”强制”)。
检查处理机制:确认计算机和用户的时间同步(Kerberos 认证需要时间同步,时间差超过5分钟会导致策略处理失败);检查网络连接,计算机需要能联系域控制器;检查事件查看器中的”系统”日志,寻找组策略相关事件(事件 ID 通常以 10 开头);使用 gpresult 命令或 GPMC 的”组策略结果”工具,查看哪些 GPO 应用到特定用户/计算机,哪些设置被过滤掉。
强制刷新策略:在客户端运行 gpupdate /force 命令立即刷新策略;如果提示需要重启或注销,照做;检查刷新后策略是否生效。如果仍不生效,检查域控制器之间的复制是否正常,确保 GPO 更改已复制到所有域控制器(通过 Active Directory 站和服务查看复制拓扑和状态)。最后考虑 GPO 损坏的可能性,创建新 GPO 并迁移设置。
Q5:如何规划企业级的 Active Directory 结构?应该按部门还是按地理位置划分 OU?
答:AD 结构规划应该遵循”反映管理需求而非组织结构”的原则。OU 结构应该反映管理边界,即谁需要管理什么对象,而不是企业的组织结构图。常见的 OU 设计模式包括:基于地理位置(按国家/地区/城市划分 OU,如”中国-北京”、“中国-上海”);基于组织结构(按部门划分 OU,如”销售部”、“技术部”、“财务部”);基于对象类型(按用户、计算机、组划分 OU,如”Users”、“Computers”、“Groups”);混合模式(结合多种方式)。
对于大多数中型企业,推荐基于地理位置的 OU 设计。这种设计的好处:地理分布的自然管理边界(不同地区有不同的 IT 团队)、易于应用组策略(不同地区可能有不同的策略,如时区、防火墙设置)、易于管理(管理员负责自己地区的 OU)。对于单一地点的企业,可以按对象类型组织 OU(顶层按 Users、Computers、Servers、Groups 分组),然后在 Users 下按部门划分子 OU。
规划 AD 结构的其他建议:避免创建过深的 OU 层次(最多3-4层),过深会增加管理复杂度;为服务器创建专门的 OU(如”Servers”),便于应用服务器特定的组策略(如安全基线、更新策略);为管理员创建专门的 OU(如”Admin-Workstations”),便于应用管理工具和策略;使用 GPO 而不是过多的 OU 来实现配置差异(GPO 的安全筛选和 WMI 过滤器可以实现更灵活的目标定位);定期审查和调整 OU 结构,随着组织变化而演进。
51学通信提示:AD 结构规划是长期决策,重建结构的成本极高。建议花时间做好初始规划,但也要认识到完美的结构是不存在的,随着企业发展和需求变化,AD 结构也需要相应调整。关键是保持结构简单、逻辑清晰、易于理解和维护。
本文由”51学通信”(公众号:51学通信,站长:爱卫生)原创分享。如需深入交流或获取更多通信技术资料,欢迎添加微信:gprshome201101。