AD域之我的学习心得PPT课件

1 第一课 活动目录概述 一 2 本课概述 简介理解什么是活动目录 什么是目录什么是活动目录了解活动目录的优点掌握活动目录的对象 属性 类掌握活动目录架构的作用 3 简介 教师简介课程简介 4 什么是活动目录 什么是目录什么是活动目录 5 什么是目录 在一个组织中关于人和资源的信息的一个存储仓库特点 用一致的方式命名 描述 定位 管理和保证这些信息的安全 大家可以以书的目录为例来进行思考 6 什么是活动目录 活动目录基于LDAP LightDirectoryAccessProtocol 轻型目录访问协议 有效集中地组织查找和管理网络中的资源 包括用户 计算机 共享文件夹和共享打印机等 7 活动目录的优点 集中存储用户和密码列表提供一组服务器作为身份验证服务器对域中的资源维护一个可供搜索的索引便于查找允许创建带有不同权限的用户能更好的做分层管理 为多厂商提供身份验证平台 8 活动目录对象 活动目录对象代表域中的网络资源活动目录对象是通过其 属性 来描述的 9 什么是架构 Schema 架构是活动目录的基本结构 是组成活动目录的规则 活动目录架构包括两个方面内容 对象类和对象属性 当在活动目录中创建对象时 就必须遵守这个架构规则 只有在活动目录架构中定义了一个对象的属性才可以在活动目录中使用该属性 10 总结 理解什么是活动目录了解活动目录的优点掌握活动目录的对象 属性 类掌握活动目录架构的作用 11 第二课 活动目录概述 二 12 本课概述 活动目录的逻辑结构林 树 域 OU活动目录的物理结构站点 DC WAN链路 13 AD的逻辑结构 14 AD的逻辑结构 域域树和森林组织单元OU 15 域 活动目录的核心逻辑单元 域是出于管理而定义的对象集合域是管理边界域管理员仅仅能管理自己的域 除非在其它域被特别指派管理权利 有其自己的安全策略 独立唯一 域是复制单元域中的DC参与复制 并且包含自己域的目录信息的一个完整拷贝 16 域树和森林 域树具有连续的名称空间 而森林没有林是活动目录实例的信息安全边界 17 组织单位OU OU是活动目录中一个特殊容器 它可把用户 组 计算机和打印机等对象组织起来 OU是活动目录中最小的管理单元 它不仅可以包括对象 而且可进行组策略设置和委派管理 这是其他普通容器做不到的 18 AD的物理结构 站点域控制器WAN连接 19 AD的物理结构 域控制器DC站点 Site 20 域控制器 具有存储活动目录数据功能参与AD复制在域中执行单主控操作角色 21 站点 站点目的 优化复制流量使用户登录到DC 使用一个可靠的 高速的链接 22 总结 活动目录的逻辑结构林 树 域 OU活动目录的物理结构站点 DC WAN链路 23 第三课 活动目录的概述 三 24 本课概述 活动目录的复制模式LDAP协议全局编录服务器活动目录数据库的目录分区 25 单操作主机和多操作主机 单操作主机 NT4环境PDC BDC 单向 无复制冲突容错性差多操作主机 2000 2003ADDC DC有复制冲突容错性好 26 LDAP 轻型目录访问协议 活动目录访问使用LDAP协议 端口 TCP389 LDAP协议中制定了严格的命名规范 可唯一定位一个活动目录中的对象 下表是LADP中关于DC OU和CN的定义 27 可辨别名 DN 和相对辨别名 RDN 辨别名DN标识对象所在的域 及找到它的路径 CN SuzanFine OU Sales OU Finance DC contoso DC msft 相对可辨识名 相对辨别名标识是指辨别名中唯一能标识这个对象的部分 通常为辨别名中最前面的一个 28 什么是全局编录GC 包含有 AD中所有对象属性子集的仓库 包括安全权限 作用 跨域访问 通用组信息 访问令牌 UPN 确定GC位置 AD站点和服务确定GC复制提升完成 注册表 延迟 5分钟 HKLM system CurrentControlset services ntds parametersDWORD GlobalCatalogPromotionComplete 1 29 目录分区 30 总结 活动目录的复制模式LDAP协议全局编录服务器活动目录数据库的目录分区 31 第四课 创建Winserver2003的域 32 新建域简介安装ActiveDirectory检查ActiveDirectory默认结构删除ActiveDirectory 本课概述 33 Windows2003活动目录 在一台WIN2003SERVER上安装AD 则可创建域 34 ActiveDirectory的安装准备安装ActiveDirectory验证ActiveDirectory的安装验证 ActiveDirectory用户和计算机 的完整性将客户机或成员服务器加入现有的域 安装ActiveDirectory 35 计算机运行Windows2000Server AdvancedServer DatacenterServer WindowsServer2003Standard Enterprise DatacenterNTFS分区 磁盘空间不少于250MBTCP IP协议 静态的IP地址 及DNS 指向自己的IP地址 适当的权限 管理员的身份 确认计算机名称原安装光盘 要求 ActiveDirectory安装准备 36 启动AD安装向导 DCPROMO 安装ActiveDirectory的过程 37 验证SRV记录验证SYSVOL验证AD日志验证事件日志 验证ActiveDirectory安装 验证ActiveDirectory安装 38 检查ActiveDirectory默认结构 39 客户机加入域 前提条件步骤设置DNS地址将计算机加入域 40 LabA 建立Windowsserver2003域 41 先安装DNS再安装活动目录 安装DNS服务建立DNS辅助区域 实现区域复制安装活动目录验证DNS中的区域类型及动态更新 42 Labb 先安装DNS再安装域 43 ActiveDirectory安装向导要求有适当权限 删除ActiveDirectory 44 总结 新建域简介安装ActiveDirectory检查ActiveDirectory默认结构删除ActiveDirectory 45 第五课 安装额外域控制器 46 安装额外域控制器的简介安装额外域控制器 与主DC共用同一台DNS服务器安装额外域控制器 与主DC使用不同的DNS服务器 本课概述 47 容错责载均衡多个DC之间是平等的多个DC之间要实现复制 额外域控制器简介 48 安装额外域控制器 与主DC共用同一台DNS服务器在欲安装的额外的域控制器上设置DNS地址 指向DNS服务器 运行安装向导 Dcpromo 安装额外DC选择 现有域的额外域控制器 49 LabA 额外域控制器 50 安装额外域控制器 与主DC使用不同的DNS服务器在欲安装的额外DC上安装DNS服务建立DNS辅助区域设置DNS地址 指向自己的IP 运行安装向导 Dcpromo 安装额外DC验证AD集成区域 51 验证DNS的区域是否为AD集成区域只有域内名称才会被注册 验证AD集成区域 52 Labb 安装额外域控制器 53 总结 安装额外域控制器的简介安装额外域控制器 与主DC共用同一台DNS服务器安装额外域控制器 与主DC使用不同的DNS服务器 54 第六课 安装额外域控制器 二 55 安装额外域控制器的简介实现异地跨广域网安装额外DC 本课概述 56 容错责载均衡多个DC之间是平等的多个DC之间要实现复制 安装附加DC 57 安装额外域控制器 实现异地跨广域网安装额外DC备份主DC的数据将备份文件传递到异地欲安装的DC上在异地DC上把备份文件还原到 备用位置 在异地DC上安装DNS服务 并设置辅助区域运行安装向导 DCpromo adv 安装额外DC 58 备份活动目录数据库 运行NTbackup命令 根据备份向导进行备份 备份时选择 systemstate 59 传递备份文件至欲安装额外DC的服务器上 将主DC的备份文件夹共享在欲安装额外DC的服务器上进行下载备份文件 60 还原备份文件至备用位置 61 安装额外DC 运行DCPROMO ADV根据安装向导安装额外DC 62 LabA 额外域控制器 63 总结 安装额外域控制器的简介实现异地跨广域网安装额外DC 64 第七课 创建域树 65 本课概述 多域的特征什么是目录树创建一个新的子域 66 简述 多域的特征 减少复制通信 保持不同域之间独立清晰的安全策略 保护WindowsNT早期版本的域结构 分散管理控制 67 什么是目录树 父域 子域 连续的名称空间N 父 子 新域 树的根域 B N 68 创建一个新的子域 活动目录安装向导 创建一个新的域控制器选择安装现有目录树的子域和父域形成相互的双向信任关系 69 例 安装的子域 在一台WindowsServer2003Standard Enterprise上安装一个域 完毕后验证其是否正确 例 在另一台WindowsServer2003Standard Enterprise上设置静态IP地址 并设置DNS地址为主DC的IP地址 在该server上运行dcpromo命令 在安装过程中选择 现有域树中的子域 输入林中根域管理员的名称与密码并选择父域 然后输入子域的名称 其它步骤根据向导操作 70 安装的子域 续 71 实验 安装域目录树 72 总结 多域的特征什么是目录树创建一个新的子域 73 第八课 实现活动目录森林 74 本课概述 什么是目录林什么是目录林的根域创建新目录林创建新的目录树 75 什么是目录林 有一棵或多棵树组成一个域目录林目录林中的目录树不共享连续的名称空间 所有目录林中的域共享一个公共的配置 架构和全局编录 76 什么是目录林的根域 目录林的根域是该目录林中创建的第一个域 77 创建新目录林的根域 创建新目录林的根域能够使计算机成为新域的域控制器配置成为全局编录服务器使用默认的架构和配置目录分区 78 创建新的目录树 创建新树的根域能够使计算机成为新域的域控制器和目录林的根域形成相互的双向信任关系复制架构和配置目录分区 79 例 安装的另一棵树 80 总结 什么是目录林什么是目录林的根域创建新目录林创建新的目录树 81 第九课 信任关系 82 本章概述 何为信任关系信任关系的类型什么是TDO 在森林内的信任关系如何工作在森林间的信任关系如何工作如何创建信任关系 83 信任关系简介 创建信任关系是为了实现不同域之间的资源互访问被信任对象 TDO 可以访问信任对象的资源信任关系可以是双向的 也可以是单向的 信任关系有些是自动建立的 有些需要手工建立信任关系有些是可传递的 有些是不可传递的 84 信任关系的类型 一 85 Trusteddomainobjects 被信任对象 用来代表域之间信任关系的目录对象TDO维护了信任关系本身及其属性 TDO TrustedDomainObjects TDO中表示了诸如信任传递性 类型以及互换的域名等属性 林信任TDO存储其他属性 以便从其伙伴林中识别所有受信任的名称空间 这些属性包括域树名称 用户主体名称 UPN 后缀 服务主体名称 SPN 后缀 以及安全ID SID 名称空间 86 在森林内的信任关系如何工作 树一 树二 Domain1 树的根域 森林根域 Domain2 DomainC DomainA DomainB 87 森林间的信任关系如何工作 88 如何建立信任关系 利用ActiveDirectory域和信任关系建立信任关系 89 实验 建立快捷信任 创建快捷信任创建信任之前两个域必须能够相互解析对方的名称创建快捷信任 90 总结 何为信任关系信任关系的类型什么是TDO 在森林内的信任关系如何工作在森林间的信任关系如何工作如何创建信任关系 91 第十课 创建用户和组 92 本课概述 帐户的类型创建和管理多个帐户实现和理解UPN的后缀创建和管理组组的嵌套 93 帐户的类型 94 创建和管理用户帐户 创建单用户帐户用户帐户的属性用户帐户模板哪些模板中属性会被继承 创建和管理多个帐户批量创建用户帐户 95 用户帐号 用户帐号可分为 域用户帐户和本地用户举例说明 域帐号和本地帐号的区别 创建域用户帐号 96 安全标识符 SID是标识帐户的唯一数字 系统实际不是通过用户的名字而是通过用户的SID来识别用户的 SID表示方法 S 1 5 21 1659004503 19356597 854245398 1002SID可以分为几段 如下所示 S 1 5 21 d1 d2 d3 ridS 1 5只是标准的前缀 21是一个NT的前缀 d1 d2 d3只是专用与域的32位数字 RID代表相对标识 97 用户帐户的属性 98 何为用户帐户模板 网络中如果有很多相同属性的用户帐户需要建立你如何做呢 用户帐户模板 99 哪些模板中属性会被继承 100 创建和管理多个帐户 101 创建和管理组 何为组 组的类型什么是域本地组 什么是全局组 什么是通用组 组的嵌套 102 介绍活动目录中的组 103 何为组 组用来简化网络管理和加快访问速度 组的区域 本地组 域本地组 全局组 通用组 Group 104 组的类型 105 全局组 全局组规则 可加入 组成员 权限范围 混合模式 同一个域的用户帐号本机模式 同一个域的用户帐号和全局组 混合模式 域本地组本机模式 任何域的通用组和域本地组 同域全局组 目录林中所有的域 106 域本地组 域本地组规则 107 什么是通用组 108 Group Group Group Group Group 组的嵌套 一个组作为一个成员可以被添加到其他的组 AGDLPAGGDLPAGGUDLPAGUDLP 109 总结 帐户的类型创建和管理多个帐户实现和理解UPN的后缀创建和管理组组的嵌套 110 第十一课 组织单元 111 本课概述 组织单元概述容器 Container 与组织单元 OU 创建组织单元委派管理控制在组织单元中发布资源组织单元与组的区别 112 组织单元概述 属于活动目录最小的管理容器活动目录最小的逻辑管理单元对应了现实企业模型中的部门 113 容器 Container 与组织单元 OU 使用OU对对象进行逻辑分组委派专人单独管理一个OU内的对象可实现AD分散式管理 114 创建组织单元 115 委派管理控制 指派权限 为OU委派其他管理员可以修改单个OU内对象的特定属性能够完成所有OU内相同的任务自定义管理工具 映射到委派的管理任务简化接口设计 116 LabA 组织单元的委派 117 在组织单元中发布资源 发布共享文件夹发布打印机 118 组织单元与组的区别 组织单元 OU 组 Group 119 总结 组织单元概述容器 Container 与组织单元 OU 创建组织单元委派管理控制在组织单元中发布资源组织单元与组的区别 120 第十二课 组策略 一 121 本课内容 组策略的介绍组策略的组成组策略对象的创建与编辑组策略对象的处理详解 122 一 组策略的介绍 什么是组策略 企业中网络管理的瓶颈组策略能实现的功能组策略的实现方式 123 什么是组策略 组策略是对域中一组用户账号和计算机账号的各种设置的组合 这些设置可以包括以下类型 桌面设置 软件设置 安全设置 桌面设置 我们可以对域中所有用户的桌面环境进行定制 比如隐藏桌面上的某些图标 软件设置 可以通过网络来实现应用程序的自动安装或升级 还可以限制用户对某些应用程序的访问 安装设置 可以实现用户账号 计算机账号以及网络的安装设置 124 企业中网络管理的瓶劲 大规模的分布式网络个人用户薄弱的安全意识软件部署的难度软件管理的难度复杂的系统设置 125 组策略能实现的功能 一种Onetomany管理模式的实现强制性安全配置 灵活的软件部署方式强化企业中的软件管理 将复杂的系统设置简单化 使用组策略可以做到 站点 域级别的集中管理 OU级别分散的管理控制用户的系统软件环境通过控制用户和计算机环境 降低管理成本 126 组策略的实现方式 操作系统中注册表控制着用户与计算机的工作如果注册表项的值写在策略文件中 通过网络将策略文件中的注册表项值下载给客户机 那么客户机本地的操作系统会强制其执行策略中的值 组策略源于注册表 高于注册表 它比注册表更为形象个别策略值与注册表无关 127 二 组策略对象的组成 组策略对象的组成部分组策略对象的应用与节点组策略节点的策略生效原则策略刷新命令 128 组策略对象的组成部分 GPC GPT 129 在相应的目录容器上链接组策略对象每个组策略对象分为两个节点 计算机节点用来控制计算机帐户 用户节点用来控制用户帐户用户组策略设置 桌面环境设置软件设置Windows设置安全设置计算机策略设置 桌面环境设置软件设置Windows设置安全设置 组策略对象的应用与节点 130 组策略节点的策略生效原则 131 策略刷新命令 语法 gpupdate target computer user force target computer user 只处理Computer设置或当前的User设置 默认情况下 将同时处理计算机设置和用户设置 force忽略所有处理优化并重新应用所有设置 示例下面的示例说明了如何使用gpupdate命令 gpupdategpupdate target computer 132 三 组策略对象的创建与编辑 创建连接的组策略对象创建无连接的组策略对象连接一个现有的组策略对象编辑组策略对象 133 创建连接的组策略对象 当创建GPO时 他被连接到所创建的容器上通过使用活动目录用户和计算机来为域和OU创建GPO通过使用活动目录站点和服务来为站点创建GPO 创建一个GPO GPO的连接名 134 创建无连接的组策略对象 135 连接一个现有的组策略对象 136 编辑组策略对象 用户配置 windows设置 InternetExplorer 与 用户配置 管理模板 windows组件 137 实验 创建与配置GPOs 本实验 您将 创建与配置GPOs 138 四 组策略对象的处理详解 组策略的处理详解慢速连接 139 组策略是在谁那儿存储的 域控制器组策略是在谁那儿处理的 客户端由谁来处理 七个DLL文件怎么处理 下载到客户端处理何时处理 开机及登录时 每当刷新周期到时进行处理 DC每五分钟刷新一次 普通机90 30 处理机制是如何的 大多数同步处理 少数异步处理是不是一刷新所有的都处理 不是 采用增量处理机制 最新的才处理何时会关闭处理 客户端与DC间为慢速连接 组策略的处理详解 140 慢速连接 发出PING测试是否慢速连接 500K 如果链路低于与500K就有些策略不会执行 141 总结 组策略的介绍组策略的组成组策略对象的创建与编辑组策略对象的处理详解 142 第十三课 组策略 二 143 本课重点 组策略对象的基本设置组策略脚本文件夹的重定向软件限制 144 组策略对象的基本设置 用户配置 管理模板windows组件开始菜单与任务栏桌面控制面板网络系统 145 用组策略分配脚本 什么是组策略脚本设置 用组策略实现脚本设置脚本的处理顺序 146 什么是组策略脚本设置 组策略脚本设置可以 集中配置脚本 在计算机启动 关闭 用户登录 退出的时候自动运行 管理和配置用户环境 147 用组策略实现脚本设置 148 脚本的处理顺序 149 实验 设置脚本 用户登录saleslogon vbs用户退出saleslogoff vbs 150 利用组策略重定向文件夹 什么是文件夹重定向 选择需要重定向的文件夹如何实现文件夹重定向 151 什么是文件夹重定向 重定向文件夹的优点 不管用户从什么客户机上登录 都可以访问文件夹中的数据文件夹中的数据集中存储 更便于管理和备份减少网络通信 网络通信只在用户访问文件的时候出现文件不在用户登录的计算机上拷贝和保存 152 选择需要重定向的文件夹 153 如何实现文件夹重定向 WhenRedirectingUserFolders 154 实验 重定向文件夹 重定向我的文档重定向桌面重定向开始菜单 155 软件限制 哈希规则证书规则路径规则Internet区域规则 156 总结 基本设置组策略脚本文件夹的重定向软件限制 157 第十四课 组策略 三 158 本课重点 多个组策略对象的处理规则GPMC的使用 159 多个组策略对象的处理规则 组策略对象的默认继承阻止策略继承禁止替代同一容器上多条策略的处理计算机配置与用户配置的处理使用权限过滤进行过滤特殊用户 160 组策略的默认继承 Windows2003采用特定的顺序应用组策略 子容器会继承父容器的组策略如果父容器设置的策略与子容器设置的策略发生冲突 子容器的GPO优先生效 161 阻止策略继承 阻止策略继承 禁止从所有的父容器继承所有的GPO无法选择针对哪些GPO 全部都禁止继承针对的是某一层次不能阻挡 禁止替代 NoOverride 162 禁止替代 163 同一容器上多条策略的处理 容器设置多个GPO冲突时 GPO列表最高的GPO优先级最高 管理员在一个容器上设置多条组策略 优先级自上而下 164 计算机配置与用户配置的处理 计算机策略优于用户策略 特例 可以禁用计算机配置或禁用用户配置来提高处理速度 同一条组策略的计算机配置与用户配置 165 使用权限过滤进行过滤特殊用户 166 利用GPMC对GPO的管理 进行组策略对象的复制进行组策略对象的备份进行组策略对象的恢复进行组策略对象的导入 167 GPMC功能介绍 GPMC即组策略管理控制台 与Windows2000上传统的组策略编辑器截然不同 由一个全新的MMC管理单元及一整套脚本化的接口组成 提供了集中的组策略管理方案 可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题 解决组策略部署中的难点 减轻了IT管理员们在实施组策略时所承担的沉重包袱 GPMC除了实现一般的组策略管理任务 如创建 删除 修改外 还提供了复制 导入 备份 恢复功能 更值得一提的是 GPMC中的组策略报告功能对组策略在计算机上的生效状况提供了详细的说明 168 进行组策略对象的复制 备份 导入 169 进行组策略对象的恢复 170 实验 管理GPOs 进行组策略对象的复制进行组策略对象的备份进行组策略对象的恢复进行组策略对象的导入 171 总结 多个组策略对象的处理规则GPMC的使用 172 第十五课 用组策略部署和管理软件 173 本章概述 对软件部署管理的介绍软件部署的基本配置软件部署的额外配置维护已部署的软件 174 一 对软件部署管理的介绍 软件安装与维护的过程什么是WindowsInstaller 175 软件安装与维护的过程 176 什么是WindowsInstaller WindowsInstaller WindowsInstaller服务自动化软件安装与配置的进程对当前安装的应用程序修改或修复 WindowsInstaller包有关安装与反安装的信息包含 msi主文件与支持文件有关应用程序的汇总信息比如版本信息等指向安装分发点物理位置的参照信息 177 第二节 软件部署的基本配置 软件部署过程概述指派vs 发布指定软件安装的默认值 178 软件部署过程概述 179 软件部署 计算机配置 开机时自动 Localsystem 用户配置 用户登陆后必须手工激活对于计算机而言部署方法只支持指派对于用户而言支持指派和发布指派VS发布指派 添加删除激活扩展名激活快捷激活 发布不支持快捷方式激活 180 指派vs 发布 软件分发点 181 如何创建一个软件分发点 演示 如何创建一个软件分发点 182 如何用GPO部署软件 演示 如何用GPO部署软件 183 指定软件安装的默认值 定义是否用缺省值或用户自定义的值 定义软件分发点MSI文件默认的保存位置 定义如何去部署这个软件 184 实验 部署软件 在这个实验 你将创建一个GPO去发布一个MSI包用来软件分发 185 第三节 软件部署的额外配置 何为软件分类 何为软件关联 186 何为软件分类 软件分类功能 187 如何创建软件分类 右击软件安装 属性 类别 188 何为软件关联 189 如何去做软件关联 1 打开GPO2 用户配置 软件设置 软件安装 属性3 属性里找到 文件扩展名4 应用程序优先权 上下调节优先权 190 第四节 维护已部署的软件 软件升级的类型如何进行软件的重新部署删除已部署软件的方法 191 软件升级的类型 部署升级版本的应用程序 192 如何进行软件的重新部署 193 删除已部署软件的方法 194 实验 维护部署的软件 在这个实验 你将 升级部署文件移去部署文件 195 总结 对软件部署管理的介绍软件部署的基本配置软件部署的额外配置维护已部署的软件 196 第十六课 活动目录的综合应用 197 本课概述 以八维学校为例规化组织单位 规化组 规化用户账户在活动目录中发布共享文件夹在活动目录中发布打印机客户端在活动目录中实现快速查找资源组策略的综合应用 198 活动目录规划 设计 199 在活动目录中发布共享文件夹 管理员可以在域中规划OU 然后在OU中发布资源 包括 共享文件夹 打印机等 方便用户查询使用 200 在活动目录中发布共享文件夹 方法 在活动目录相应的OU中发布共享文件夹 方法 打开相应的OU 右击空白处 选择 新建 共享文件夹 输入名称与网络路径 设置共享文件夹的关键字 右击相应的共享文件夹 选择 属性 关键字 输入相关的关键字即可 201 在活动目录中发布打印机 在活动目录相应的OU中发布共享文件夹 方法 在打印服务器上选择 开始 设置 打印机和传真 右击欲发布的打印机 选择 属性 共享 列入目录 即可 202 客户端在活动目录中快速查找资源 客户端可以在网络邻居中快速查找域中的各种资源 203 组策略的综合应用 组策略脚本设置文件夹重定向软件限制软件部署 204 组策略脚本设置 组策略脚本设置可以 集中配置脚本 在计算机启动 关闭 用户登录 退出的时候自动运行 管理和配置用户环境 205 文件夹重定向 206 软件限制 哈希规则路径规则Internet区域规则 207 软件部署 208 总结 以八维学校为例规化组织单位 规化组 规化用户账户在活动目录中发布共享文件夹在活动目录中发布打印机客户端在活动目录中实现快速查找资源组策略的综合应用 209 第十七课 管理操作主控 一 210 本课内容 对主控角色的介绍查找各种主机角色 211 多主控和单主控的复制对比 AD域及域控制器与NT4的最大的区别在于采用了多主复制技术代替了单主复制模式 注 只有AD域处于本机模式或2003的域功能级别时才能实现多主复制 混合模式以及WIN2003的临时模式都使用单主模式 AD在整个结构中都在努力的实现分布控制的思想 但有些工作必须被集中处理 因此我们使用FSMO 灵活性单主机操作 212 第一节 活动目录的操作主控 213 架构主控的作用 复制 架构主控 214 域命名主控的作用 它可以在森林范围向目录林添加 删除域 若其不可用 则无法添加 删除域查询GC 防止重名 其无法查询独立DC的GC 所以必须同时还是一个GC 要想更改域命名主机必须是Enterpriseadmin组成员 215 PDC仿真主控的作用 216 Bj China ds 时间服务器同步 China ds林根域 PDC仿真器 PDC仿真器 217 RID主控的作用 在域内分配RID块给每一个DC防止在森林产生分身 RID主控 移动 RID分配 RID块 218 基础结构主控的作用 移动 全局组被嵌套在域本地组 基础结构主控 该主控不要和GC放在一起除非是单域 219 第二节 查找各种主机角色 查找架构主机 regsvr32schmmgmt dllMMC 添加 删除管理单元 AD架构查找域命名主机 域与信任关系查找RID主机 PDC仿真主机 基础结构主机 ActiveDirectory用户和计算机Netdomqueryfsmo domain domain name 220 总结 对主控角色的介绍查找各种主机角色 221 第十八课 管理操作主机 二 222 本课概述 主控角色的传递主控角色的索取规化主机角色 223 进行主控角色的传递 只有当域的基础结构发生主要的变化时 才传送角色 224 强夺操作主控角色 仅仅在不能传送时 才强夺角色当强夺一个角色时 数据可能丢失 225 如何传输角色 226 如何去传递角色 演示 如何去传递角色 227 如何去夺取角色 演示 如何去夺取角色 228 第四节 规划主控角色的放置 放置主控的指南捕捉主控角色的指南 229 放置操作主控的指导方针 230 捕捉主控角色的指南 确定打算夺取给哪个DC 快速的修理PDC仿真器的失败 宁可等待被修理的架构主控 域命名主控 或RID主控 夺取结构主控仅仅只在主控修复时间比较长时 231 总结 主控角色的传递主控角色的索取 232 第十九课 实现活动目录站点 233 本章概述 AD复制概述复制模式目录分区复制拓朴结构站点和子网站点链接站间复制与站内复制的特点 234 AD复制概述 为什么要发生复制 网络中的多台DC为用户提供一致信息复制什么 复制是有条件的 复制的是更新 添加 删除 修改 移动 复制何时发生 当在某个DC发生变动的时候 这个DC就会发出一个复制请求复制的边界是什么 森林复制是如何工作的 235 复制模式 AD的复制模型 大多数对象的复制 只有AD运行与本机模式或win2003功能级别才是多主复制 在混合模式和WIN2003临时模式的域采用单主复制优点 解决了单点失败缺点 浪费资源并产生了大量的复制冲突 单主控复制 多主控复制 236 目录分区 ActiveDirectory数据库 复制配置 域 森林 包含可以在目录中建立的所有对象和属性的定义 以及建立和控制的规则 包含活动目录结构的信息 包括关于活动目录中建立的所