一,域和活動目錄的概念:
1),活動目錄ACTIVE DIRCETORY-------嚴格來說,它有2層含義:一是“目錄熟路庫”,存儲着整個域的用戶賬戶、組、打印機、共享文件夾等ac對象的相關數據。二是“服務”,
因爲它能夠對AD數據庫中有結構有組織的信息執行添加、刪除、修改、查詢等操作。
域是邏輯上一組計算機的集合,也可以說是一個網絡。
域樹是具有連續的域名空間的多個域的一種樹形結構;所有域共享同一個AD,即整個域樹只有一個AD。
域林是多個域樹的集合,林中最先安裝的域成爲整個林的根域。
AD具有的特點:集中管理; 便捷的網絡資源訪問; 可擴展性。
注:全局編錄:存放其所在域的所有對象的資料副本和受信任域的部分副本。
2),安裝AD的條件:a,必須有本地administrator權限;
B,OS條件(windows server2008除web版除外);
C,至少有一個NTFS文件系統,以便使域之間同步的數據都以“sysvol”傳送;
D,有TCP/IP設置;
E,有相應的DNS支持;
二 ,,組策略概念
1,組策略的作用-------方便地管理AD中的用戶和計算機的工作環境。
2,組策略結構
1),默認GPO.-----存放組策略的具體設置數據,包括默認的域策略和DC策略;
2),SDOU(site 、domain 、organization 、unit)-----即AD的容器;LSDOU---組策略的應用規則,當兩兩之間產生衝突時,後面的優先級高。
創建site的2個原因:優化域間的複製;在用戶和DC之間建立可靠、高速的鏈接;
3,GPC(組策略容器) 與GPT(組策略模板)
GPC--------包含GPO屬性和版本信息的AD對象;
GPT---------其名稱是GPO的全局唯一標識;也就是說一個GPC對應一個GPT。
4,實施的注意點
1),對計算機執行的組策略,重啓後生效;
2),對用戶執行的責策略,註銷後生效。
注:分發軟件----對象是計算機時,勾選“分配”選項;對象是用戶時,勾選“發佈和分配”即可。
三,域間的信任關係
1,林中的信任關係特點-----自動建立、雙向信任、可傳遞;
林間的信任關係(外部信任)特點------手動建立、單向(分爲內傳和外傳)、不可傳遞。
四,操作主機的角色(每種~~只有一臺host)
1),林中有2個操作主機角色:
A,架構主機------控制全林架構的全部更新。默認沒安裝,需手動安裝(執行'regsvr32 schmmgmt.dll' );
B,域命名主機-----控制林中域的添加和刪除,可以防止林中的域名重複。
注:如果運行windows server2000 的DC擔當域命名主機角色時,必須啓用爲全局編錄服務器。
2),域中有3個操作主機角色(域中的the first DC會擁有這三個角色):
A,PDC仿真主機(PDC Emulator MASTER)----作爲windows2000以前的客戶機模擬windows nt pdc(主域控制器)功能。
作用如下----管理來自客戶機("windows 95/98/NT)的密碼更改;
最小化密碼變化的複製等待時間;
默認情況下,還負責同步整個域內所有域控上的時間。
B,RID主機(RID MASTER)-----將相對ID(RID)序列分配給域中每個域控。
SIDD=域"SID" (公)+ 私RID(域中唯一)
C,基礎結構主機(infrastruture master)------負責更新從它所在的域中的對象到其他域中對象的引用;使用的注意事項如下------除非域中只有一個DC,否則不應將其角色和全局編錄GC放在同一臺主機DC,那樣會使基礎結構主機不會運行,不會將任何更改複製到域中的其他DC; 如果域中的所有DC都存有全局編錄,即擁有最新數據,則基礎結構主機角色顯得就不重要了;
注:五個操作主機角色可以在多個DC間轉移和佔用,當主DC宕機時,應使輔Dc佔用主DC的角色(其實只佔用林中2個角色即可成爲主DC)。
四,AD備份與還原:
注:2008不支持“ntbackup”,要安裝windows server backup功能。
1),備份Ad數據庫:內容有註冊表、COM+類註冊數據庫、引導文件和系統文件、Ad域服務、SYSVOL目錄。
2),還原:
A,非授權還原----適用於只有一個Dc的環境,對DC進行完整備份;
B,授權還原-----必須先執行非授權還原,需使用“ntdsutil authoritative restore”命令將需還原後依然保留的對象標記爲授權對象。