一,域和活动目录的概念:
1),活动目录ACTIVE DIRCETORY-------严格来说,它有2层含义:一是“目录熟路库”,存储着整个域的用户账户、组、打印机、共享文件夹等ac对象的相关数据。二是“服务”,
因为它能够对AD数据库中有结构有组织的信息执行添加、删除、修改、查询等操作。
域是逻辑上一组计算机的集合,也可以说是一个网络。
域树是具有连续的域名空间的多个域的一种树形结构;所有域共享同一个AD,即整个域树只有一个AD。
域林是多个域树的集合,林中最先安装的域成为整个林的根域。
AD具有的特点:集中管理; 便捷的网络资源访问; 可扩展性。
注:全局编录:存放其所在域的所有对象的资料副本和受信任域的部分副本。
2),安装AD的条件:a,必须有本地administrator权限;
B,OS条件(windows server2008除web版除外);
C,至少有一个NTFS文件系统,以便使域之间同步的数据都以“sysvol”传送;
D,有TCP/IP设置;
E,有相应的DNS支持;
二 ,,组策略概念
1,组策略的作用-------方便地管理AD中的用户和计算机的工作环境。
2,组策略结构
1),默认GPO.-----存放组策略的具体设置数据,包括默认的域策略和DC策略;
2),SDOU(site 、domain 、organization 、unit)-----即AD的容器;LSDOU---组策略的应用规则,当两两之间产生冲突时,后面的优先级高。
创建site的2个原因:优化域间的复制;在用户和DC之间建立可靠、高速的链接;
3,GPC(组策略容器) 与GPT(组策略模板)
GPC--------包含GPO属性和版本信息的AD对象;
GPT---------其名称是GPO的全局唯一标识;也就是说一个GPC对应一个GPT。
4,实施的注意点
1),对计算机执行的组策略,重启后生效;
2),对用户执行的责策略,注销后生效。
注:分发软件----对象是计算机时,勾选“分配”选项;对象是用户时,勾选“发布和分配”即可。
三,域间的信任关系
1,林中的信任关系特点-----自动建立、双向信任、可传递;
林间的信任关系(外部信任)特点------手动建立、单向(分为内传和外传)、不可传递。
四,操作主机的角色(每种~~只有一台host)
1),林中有2个操作主机角色:
A,架构主机------控制全林架构的全部更新。默认没安装,需手动安装(执行'regsvr32 schmmgmt.dll' );
B,域命名主机-----控制林中域的添加和删除,可以防止林中的域名重复。
注:如果运行windows server2000 的DC担当域命名主机角色时,必须启用为全局编录服务器。
2),域中有3个操作主机角色(域中的the first DC会拥有这三个角色):
A,PDC仿真主机(PDC Emulator MASTER)----作为windows2000以前的客户机模拟windows nt pdc(主域控制器)功能。
作用如下----管理来自客户机("windows 95/98/NT)的密码更改;
最小化密码变化的复制等待时间;
默认情况下,还负责同步整个域内所有域控上的时间。
B,RID主机(RID MASTER)-----将相对ID(RID)序列分配给域中每个域控。
SIDD=域"SID" (公)+ 私RID(域中唯一)
C,基础结构主机(infrastruture master)------负责更新从它所在的域中的对象到其他域中对象的引用;使用的注意事项如下------除非域中只有一个DC,否则不应将其角色和全局编录GC放在同一台主机DC,那样会使基础结构主机不会运行,不会将任何更改复制到域中的其他DC; 如果域中的所有DC都存有全局编录,即拥有最新数据,则基础结构主机角色显得就不重要了;
注:五个操作主机角色可以在多个DC间转移和占用,当主DC宕机时,应使辅Dc占用主DC的角色(其实只占用林中2个角色即可成为主DC)。
四,AD备份与还原:
注:2008不支持“ntbackup”,要安装windows server backup功能。
1),备份Ad数据库:内容有注册表、COM+类注册数据库、引导文件和系统文件、Ad域服务、SYSVOL目录。
2),还原:
A,非授权还原----适用于只有一个Dc的环境,对DC进行完整备份;
B,授权还原-----必须先执行非授权还原,需使用“ntdsutil authoritative restore”命令将需还原后依然保留的对象标记为授权对象。
