记录所有成功的 Active Directory更改 跟踪对某个资源的访问 检测和记录失败的访问尝试
4.6.1 审核Active Directory访问的重要性
监视 Active Directory 更改的原则
4.6.2 监视Active Directory更改的原则
下列情况下启用：
启用账户管理事件 启用策略更改的成功审核 启用系统事件的失败审核 必要时才启用策略更改事件和账户管理事件的失 败审核
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
在 Active Directory 中移动对象
SID 历史记录 移动对象涉及的问题 在域中移动对象 在域间移动对象
创建和管理多个账户的工具 使用 Csvde 工具创建账户 使用 Ldifde 工具创建和管理账户
4.2 创建和管理多个账户
用 Windows 脚本宿主创建和管理账户 实验4-1：创建用户账户
创建和管理多个账户的工具
Active Directory Active Directory 用户和计算机 用户和计算机
多媒体：名称后缀路由的工作原理
contoso.msft 信任
adatum.msft
john@contoso.msft
检测和解决名称后缀冲突 4.3.2 检测和解决名称后缀冲突
冲突检测： 相同的域名系统（DNS，Domain Name System）名 称已经在使用 相同的 NetBIOS 名称已经在使用 域安全 ID（SID）与其他名称后缀 SID 冲突 名称后缀冲突时，将拒绝来自于林外对此域的访问
实验4-3：移动对象
目的： 使用 Ldp.exe 工具：
4.4.6 实验4-3：移动对象
检验用户对象的 SID、SID 历史和 GUID 移动用户对象到同一域中其他组织 修改用户对象的 SID、SID 历史和 GUID
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
使用 Ldifde 工具创建和管理账户
4.2.3 使用 Ldifde 工具创建和管理账户
演示： 使用 Ldifde 命令行工具演示账户管理
用 Windows 脚本宿主创建和管理账户
4.2.4 用 Windows 脚本宿主创建和管理账户
演示： 使用 Windows 脚本宿主创建和管理账户
实验4-1：创建用户账户
第4章 实现用户、组及计算 机账户
IT同路人在业余时间给大家授课了，一般上课人数安排在2－4人左右，人手一机,单独辅 导也可以！！ 培训内容包括MCSE、CCNA、Linux、Oracle、Sun Solaris、Exchange Server 2003 SQL Server 2000/2005、Sharepoint Server 2003、ISA Server 2004、SMS Server 2003、 Project server 2003、Lotus Domino、LCS 2003等课程。有需求的可以和我联系，我住在上 海。 QQ：369964068。 网站： E－mail:ittongluren@ 私人培训与培训学校相比有几大优势： 1、上课时间灵活，上课人数较少，一般安排在1－4人,也可以接收单独辅导 2、授课老师具有在IT公司工作多年的丰富的项目管理经验 3、授课老师具有在培训学校多年的相关课程的授课经验 4、上课内容有不懂的，可以随时与老师直接交流，解决你的问题。 5、培训价格与在学校培训相比，要便宜多了，还能学到比他们多的知识内容 6、可以得到授课老师很多的相关课程内容的讲义、电子书籍、视频资料等东西 7、有一个比较好的IT人员相互之间交流技术的平台 8、随到随学，滚动开班，非常灵活的学习方式
4.2.1 创建和管理多个账户的工具
目录服务工具 目录服务工具
Dsadd Dsmod Dsrm
Csvde 和 Ldifde 工具 Csvde 和 Ldifde 工具 Windows 脚本宿主 Windows 脚本宿主
使用 Csvde 工具创建账户
4.2.2 使用 Csvde 工具创建账户
演示： 使用 Csvde 命令行工具
目的：
4.2.5 实验4-1：创建用户账户
练习脚本文件创建和运行包含命令的脚 本文件来创建用户账户
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
是安全组或通讯组，成员可以是来自于自身林中任何域 的用户、组和计算机
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
创建和管理多个账户
实验4-4：规划账户策略
目的： 配置：
4.5.5 实验4ห้องสมุดไป่ตู้4：规划账户策略
账户命名策略 密码策略 身份验证、授权和管理策略 为林确定组的策略
第 4 章 实现用户、组及计算机账户
账户简介 创建和管理多个账户的工具 用户主体名称后缀的实现 在 Active Directory 中移动对象 用户、组和计算机账户策略 制定 Active Directory 审核策略
制定用户、组和计算机账户策略
命名账户的原则 设置密码策略的原则 身份认证、授权和管理账户的原则 制定组策略的原则 实验4-4：规划账户策略
4.5 制定用户、组和计算机账户策略
命名账户的原则
4.5.1 命名账户的原则
账户（用户、计算机、组）命名规则：
标识具体用户账户类型 需要标识计算机的所有者、位置和账户类型 标识组的类型、位置和组的用途
4.4.2 移动对象涉及的问题
在域中移动对象
4.4.3 在域中移动对象
演示： 掌握如何在域中移动对象
在域间移动对象
4.4.4 在域间移动对象
演示： 掌握如何在域间移动对象
使用 LDP 工具查看已移动对象的属性
4.4.5 使用LDP工具查看已移动对象的属性
演示： 掌握如何使用 LDP 工具查看已移动对象的属性
设置密码策略的原则
4.5.2 设置密码策略的原则
定义“强制密码历史”策略设置，记住至少 24 个先 前密码 定义“密码最长期限”策略设置为不超过 42 天 定义“密码最短存留期”至少为 2 天 定义“最短密码长度”策略设置，至少 8 个字符 启用“密码必须符合复杂性要求”策略设置
身份验证、授权和管理账户的原则
创建和删除 UPN 后缀
4.3.3 创建和删除UPN后缀
演示： 掌握如何创建和删除 UPN 后缀
在林信任中启用和禁用名称后缀路由
4.3.4 在林信任中启用和禁用名称后缀路由
演示： 掌握如何在林信任中启用和禁用名称后缀路由
实验4-2：创建UPN后缀
目的：
4.3.5 实验4-2：创建UPN后缀
为二级域创建名称后缀后，在两个林间 启用名称后缀路由
制定 Active Directory 审核策略
审核Active Directory访问的重要性 监视 Active Directory 更改的原则 实验4-5：规划审核策略 实验4-6：实现账户和审核策略
4.6 制定Active Directory 审核策略
审核Active Directory访问的重要性
用户主体名称后缀的实现
用户主体名称
4.3 用户主体名称后缀的实现
多媒体：名称后缀路由的工作原理 检测和解决名称后缀冲突 创建和删除 UPN 后缀 在林信任中启用和禁用名称后缀路由 实验4-2：创建UPN后缀
用户主体名称
4.3.1 用户主体名称
“用户主体名称”是仅用于登录到 Windows Server 2003 网络的登录名称A suzanf@contoso.msft 优点 在 Active Directory 林中是唯一的 与用户 E-mail 地址相同的名称
活动目录的规划、实现和管理 —— 以 Windows Server 2003 为例
第 1 章 Active Directory 结构简介 第 2 章 实现 Active Directory 林和域结构 第 3 章 实现组织单位结构 第 4 章 实现用户、组及计算机账户 第 5 章 组策略的实现 第 6 章 使用组策略部署和管理软件 第 7 章 使用组策略管理安全 第 8 章 实现站点以管理 Active Directory 复制 第 9 章 实现域控制器的布置 第 10 章 操作主机的管理 第 11 章 维护 Active Directory
4.5.3 身份认证、授权和管理账户的原则
将“账户锁定阈值”策略设置设定为较大的值 保护管理员账户 使用多因素身份验证 使用基于角色的安全模式来分配权限 禁用“Administrator”账户，向用户和管理员委派执 行其工作任务所需的最小特权
制定组策略的原则
4.5.4 制定组策略的原则
将负有常规工作职责的用户指派到全局组 为共享资源创建本地域组 添加需要访问资源的全局组到本地域组中 使用通用组来授予对多个域中资源的访问权限 当成员身份为静态时，使用通用组
实验4-5：规划审核策略
目的：
4.6.3 实验4-5：规划审核策略
决定启用哪些审核策略
实验4-6：实现账户和审核策略
4.6.4 实验4-6：实现账户和审核策略