AD域之我的学习心得

第一课,活动目录概述(一),本课概述,简介理解什么是活动目录？什么是目录什么是活动目录了解活动目录的优点掌握活动目录的对象、属性、类掌握活动目录架构的作用,简介,教师简介课程简介,什么是活动目录,什么是目录什么是活动目录,什么是目录?,在一个组织中关于人和资源的信息的一个存储仓库特点：用一致的方式命名、描述、定位、管理和保证这些信息的安全,大家可以以书的目录为例来进行思考,什么是活动目录?,活动目录基于LDAP(LightDirectoryAccessProtocol，轻型目录访问协议)，有效集中地组织查找和管理网络中的资源(包括用户、计算机、共享文件夹和共享打印机等),活动目录的优点,集中存储用户和密码列表提供一组服务器作为身份验证服务器对域中的资源维护一个可供搜索的索引便于查找允许创建带有不同权限的用户能更好的做分层管理为多厂商提供身份验证平台,活动目录对象,活动目录对象代表域中的网络资源活动目录对象是通过其“属性”来描述的,什么是架构（Schema）?,架构是活动目录的基本结构，是组成活动目录的规则。活动目录架构包括两个方面内容：对象类和对象属性。当在活动目录中创建对象时，就必须遵守这个架构规则，只有在活动目录架构中定义了一个对象的属性才可以在活动目录中使用该属性。,总结,理解什么是活动目录了解活动目录的优点掌握活动目录的对象、属性、类掌握活动目录架构的作用,第二课,活动目录概述(二),本课概述,活动目录的逻辑结构林、树、域、OU活动目录的物理结构站点、DC、WAN链路,AD的逻辑结构,AD的逻辑结构,域域树和森林组织单元OU,域活动目录的核心逻辑单元,域是出于管理而定义的对象集合域是管理边界域管理员仅仅能管理自己的域，除非在其它域被特别指派管理权利，有其自己的安全策略（独立唯一）域是复制单元域中的DC参与复制，并且包含自己域的目录信息的一个完整拷贝,域树和森林,域树具有连续的名称空间，而森林没有林是活动目录实例的信息安全边界,组织单位OU,OU是活动目录中一个特殊容器，它可把用户、组、计算机和打印机等对象组织起来。OU是活动目录中最小的管理单元，它不仅可以包括对象，而且可进行组策略设置和委派管理，这是其他普通容器做不到的。,AD的物理结构,站点域控制器WAN连接,AD的物理结构,域控制器DC站点（Site）,域控制器,具有存储活动目录数据功能参与AD复制在域中执行单主控操作角色,站点,站点目的:优化复制流量使用户登录到DC，使用一个可靠的、高速的链接,总结,活动目录的逻辑结构林、树、域、OU活动目录的物理结构站点、DC、WAN链路,第三课,活动目录的概述(三),本课概述,活动目录的复制模式LDAP协议全局编录服务器活动目录数据库的目录分区,单操作主机和多操作主机,单操作主机：NT4环境PDCBDC（单向）无复制冲突容错性差多操作主机：2000/2003ADDCDC有复制冲突容错性好,LDAP轻型目录访问协议,活动目录访问使用LDAP协议(端口：TCP389)LDAP协议中制定了严格的命名规范，可唯一定位一个活动目录中的对象。下表是LADP中关于DC、OU和CN的定义,可辨别名（DN）和相对辨别名（RDN）,辨别名DN标识对象所在的域，及找到它的路径,CN=SuzanFine,OU=Sales,OU=Finance,DC=contoso,DC=msft,相对可辨识名,相对辨别名标识是指辨别名中唯一能标识这个对象的部分，通常为辨别名中最前面的一个。,什么是全局编录GC？,包含有：AD中所有对象属性子集的仓库（包括安全权限）作用：跨域访问、通用组信息、访问令牌（UPN）确定GC位置：AD站点和服务确定GC复制提升完成：注册表（延迟：5分钟）,HKLMsystemCurrentControlsetservicesntdsparametersDWORD:GlobalCatalogPromotionComplete=1,目录分区,总结,活动目录的复制模式LDAP协议全局编录服务器活动目录数据库的目录分区,第四课,创建Winserver2003的域,新建域简介安装ActiveDirectory检查ActiveDirectory默认结构删除ActiveDirectory,本课概述,Windows2003活动目录,在一台WIN2003SERVER上安装AD，则可创建域,ActiveDirectory的安装准备安装ActiveDirectory验证ActiveDirectory的安装验证”ActiveDirectory用户和计算机”的完整性将客户机或成员服务器加入现有的域,安装ActiveDirectory,计算机运行Windows2000Server/AdvancedServer/DatacenterServer,WindowsServer2003Standard/Enterprise/DatacenterNTFS分区,磁盘空间不少于250MBTCP/IP协议(静态的IP地址)及DNS(指向自己的IP地址)适当的权限(管理员的身份)确认计算机名称原安装光盘,要求,ActiveDirectory安装准备,启动AD安装向导(DCPROMO),安装ActiveDirectory的过程,验证SRV记录验证SYSVOL验证AD日志验证事件日志,验证ActiveDirectory安装,验证ActiveDirectory安装,检查ActiveDirectory默认结构,客户机加入域,前提条件步骤设置DNS地址将计算机加入域,LabA:建立Windowsserver2003域,先安装DNS再安装活动目录,安装DNS服务建立DNS辅助区域，实现区域复制安装活动目录验证DNS中的区域类型及动态更新,Labb:先安装DNS再安装域,ActiveDirectory安装向导要求有适当权限,删除ActiveDirectory,总结,新建域简介安装ActiveDirectory检查ActiveDirectory默认结构删除ActiveDirectory,第五课,安装额外域控制器,安装额外域控制器的简介安装额外域控制器-与主DC共用同一台DNS服务器安装额外域控制器-与主DC使用不同的DNS服务器,本课概述,容错责载均衡多个DC之间是平等的多个DC之间要实现复制,额外域控制器简介,安装额外域控制器,与主DC共用同一台DNS服务器在欲安装的额外的域控制器上设置DNS地址(指向DNS服务器)运行安装向导(Dcpromo)安装额外DC选择“现有域的额外域控制器”,LabA:额外域控制器,安装额外域控制器,与主DC使用不同的DNS服务器在欲安装的额外DC上安装DNS服务建立DNS辅助区域设置DNS地址(指向自己的IP)运行安装向导(Dcpromo)安装额外DC验证AD集成区域,验证DNS的区域是否为AD集成区域只有域内名称才会被注册,验证AD集成区域,Labb:安装额外域控制器,总结,安装额外域控制器的简介安装额外域控制器-与主DC共用同一台DNS服务器安装额外域控制器-与主DC使用不同的DNS服务器,第六课,安装额外域控制器(二),安装额外域控制器的简介实现异地跨广域网安装额外DC,本课概述,容错责载均衡多个DC之间是平等的多个DC之间要实现复制,安装附加DC,安装额外域控制器,实现异地跨广域网安装额外DC备份主DC的数据将备份文件传递到异地欲安装的DC上在异地DC上把备份文件还原到“备用位置”在异地DC上安装DNS服务，并设置辅助区域运行安装向导(DCpromo/adv)安装额外DC,备份活动目录数据库,运行NTbackup命令，根据备份向导进行备份。备份时选择：systemstate,传递备份文件至欲安装额外DC的服务器上,将主DC的备份文件夹共享在欲安装额外DC的服务器上进行下载备份文件,还原备份文件至备用位置,安装额外DC,运行DCPROMO/ADV根据安装向导安装额外DC,LabA:额外域控制器,总结,安装额外域控制器的简介实现异地跨广域网安装额外DC,第七课,创建域树,本课概述,多域的特征什么是目录树创建一个新的子域,简述：多域的特征,减少复制通信,保持不同域之间独立清晰的安全策略,保护WindowsNT早期版本的域结构,分散管理控制,什么是目录树?,父域,子域,连续的名称空间N,父,子,新域,树的根域,B,N,创建一个新的子域,活动目录安装向导:创建一个新的域控制器选择安装现有目录树的子域和父域形成相互的双向信任关系,例:安装的子域,在一台WindowsServer2003Standard/Enterprise上安装一个域,完毕后验证其是否正确(例)。在另一台WindowsServer2003Standard/Enterprise上设置静态IP地址，并设置DNS地址为主DC的IP地址。在该server上运行dcpromo命令,在安装过程中选择”现有域树中的子域”,输入林中根域管理员的名称与密码并选择父域,然后输入子域的名称,其它步骤根据向导操作。,安装的子域(续),实验：安装域目录树,总结,多域的特征什么是目录树创建一个新的子域,第八课,实现活动目录森林,本课概述,什么是目录林什么是目录林的根域创建新目录林创建新的目录树,什么是目录林?,有一棵或多棵树组成一个域目录林目录林中的目录树不共享连续的名称空间,所有目录林中的域共享一个公共的配置，架构和全局编录,什么是目录林的根域,目录林的根域是该目录林中创建的第一个域,创建新目录林的根域,创建新目录林的根域能够使计算机成为新域的域控制器配置成为全局编录服务器使用默认的架构和配置目录分区,创建新的目录树,创建新树的根域能够使计算机成为新域的域控制器和目录林的根域形成相互的双向信任关系复制架构和配置目录分区,例:安装的另一棵树,总结,什么是目录林什么是目录林的根域创建新目录林创建新的目录树,第九课,信任关系,本章概述,何为信任关系信任关系的类型什么是TDO?在森林内的信任关系如何工作在森林间的信任关系如何工作如何创建信任关系,信任关系简介,创建信任关系是为了实现不同域之间的资源互访问被信任对象(TDO)可以访问信任对象的资源信任关系可以是双向的，也可以是单向的。信任关系有些是自动建立的，有些需要手工建立信任关系有些是可传递的，有些是不可传递的,信任关系的类型（一）,Trusteddomainobjects(被信任对象),用来代表域之间信任关系的目录对象TDO维护了信任关系本身及其属性,TDO（TrustedDomainObjects）,TDO中表示了诸如信任传递性、类型以及互换的域名等属性。林信任TDO存储其他属性，以便从其伙伴林中识别所有受信任的名称空间。这些属性包括域树名称、用户主体名称(UPN)后缀、服务主体名称(SPN)后缀，以及安全ID(SID)名称空间。,在森林内的信任关系如何工作,树一,树二,Domain1,树的根域,森林根域,Domain2,DomainC,DomainA,DomainB,森林间的信任关系如何工作,如何建立信任关系,利用ActiveDirectory域和信任关系建立信任关系,实验：建立快捷信任,创建快捷信任创建信任之前两个域必须能够相互解析对方的名称创建快捷信任,总结,何为信任关系信任关系的类型什么是TDO?在森林内的信任关系如何工作在森林间的信任关系如何工作如何创建信任关系,第十课,创建用户和组,本课概述,帐户的类型创建和管理多个帐户实现和理解UPN的后缀创建和管理组组的嵌套,帐户的类型,创建和管理用户帐户,创建单用户帐户用户帐户的属性用户帐户模板哪些模板中属性会被继承?创建和管理多个帐户批量创建用户帐户,用户帐号,用户帐号可分为：域用户帐户和本地用户举例说明：(域帐号和本地帐号的区别)创建域用户帐号,安全标识符,SID是标识帐户的唯一数字，系统实际不是通过用户的名字而是通过用户的SID来识别用户的。SID表示方法：S-1-5-21-1659004503-19356597-854245398-1002SID可以分为几段，如下所示：S-1-5-21-d1-d2-d3-ridS-1-5只是标准的前缀，21是一个NT的前缀，d1，d2，d3只是专用与域的32位数字。RID代表相对标识。,用户帐户的属性,何为用户帐户模板?,网络中如果有很多相同属性的用户帐户需要建立你如何做呢？,用户帐户模板,哪些模板中属性会被继承?,创建和管理多个帐户,创建和管理组,何为组?组的类型什么是域本地组?什么是全局组?什么是通用组?组的嵌套,介绍活动目录中的组,何为组?,组用来简化网络管理和加快访问速度,组的区域：,本地组，域本地组，全局组，通用组,Group,组的类型,全局组,全局组规则,可加入,组成员,权限范围,混合模式:同一个域的用户帐号本机模式:同一个域的用户帐号和全局组,混合模式:域本地组本机模式:任何域的通用组和域本地组，同域全局组,目录林中所有的域,域本地组,域本地组规则,什么是通用组?,Group,Group,Group,Group,Group,组的嵌套,一个组作为一个成员可以被添加到其他的组,AGDLPAGGDLPAGGUDLPAGUDLP,总结,帐户的类型创建和管理多个帐户实现和理解UPN的后缀创建和管理组组的嵌套,第十一课,组织单元,本课概述,组织单元概述容器(Container)与组织单元(OU)创建组织单元委派管理控制在组织单元中发布资源组织单元与组的区别,组织单元概述,属于活动目录最小的管理容器活动目录最小的逻辑管理单元对应了现实企业模型中的部门,容器(Container)与组织单元(OU),使用OU对对象进行逻辑分组委派专人单独管理一个OU内的对象可实现AD分散式管理,创建组织单元,委派管理控制,指派权限:为OU委派其他管理员可以修改单个OU内对象的特定属性能够完成所有OU内相同的任务自定义管理工具:映射到委派的管理任务简化接口设计,LabA:组织单元的委派,在组织单元中发布资源,发布共享文件夹发布打印机,组织单元与组的区别,组织单元(OU),组(Group),总结,组织单元概述容器(Container)与组织单元(OU)创建组织单元委派管理控制在组织单元中发布资源组织单元与组的区别,第十二课,组策略(一),本课内容,组策略的介绍组策略的组成组策略对象的创建与编辑组策略对象的处理详解,一、组策略的介绍,什么是组策略？企业中网络管理的瓶颈组策略能实现的功能组策略的实现方式,什么是组策略,组策略是对域中一组用户账号和计算机账号的各种设置的组合。这些设置可以包括以下类型：桌面设置、软件设置、安全设置。桌面设置：我们可以对域中所有用户的桌面环境进行定制，比如隐藏桌面上的某些图标。软件设置：可以通过网络来实现应用程序的自动安装或升级，还可以限制用户对某些应用程序的访问。安装设置：可以实现用户账号、计算机账号以及网络的安装设置。,企业中网络管理的瓶劲,大规模的分布式网络个人用户薄弱的安全意识软件部署的难度软件管理的难度复杂的系统设置,组策略能实现的功能,一种Onetomany管理模式的实现强制性安全配置；灵活的软件部署方式强化企业中的软件管理；将复杂的系统设置简单化.,使用组策略可以做到：站点/域级别的集中管理，OU级别分散的管理控制用户的系统软件环境通过控制用户和计算机环境，降低管理成本,组策略的实现方式,操作系统中注册表控制着用户与计算机的工作如果注册表项的值写在策略文件中，通过网络将策略文件中的注册表项值下载给客户机，那么客户机本地的操作系统会强制其执行策略中的值。组策略源于注册表，高于注册表，它比注册表更为形象个别策略值与注册表无关,二、组策略对象的组成,组策略对象的组成部分组策略对象的应用与节点组策略节点的策略生效原则策略刷新命令,组策略对象的组成部分（GPC+GPT）,在相应的目录容器上链接组策略对象每个组策略对象分为两个节点：计算机节点用来控制计算机帐户，用户节点用来控制用户帐户用户组策略设置：桌面环境设置软件设置Windows设置安全设置计算机策略设置：桌面环境设置软件设置Windows设置安全设置,组策略对象的应用与节点,组策略节点的策略生效原则,策略刷新命令,语法：gpupdate/target:computer|user/force/target:computer|user只处理Computer设置或当前的User设置。默认情况下，将同时处理计算机设置和用户设置。/force忽略所有处理优化并重新应用所有设置。示例下面的示例说明了如何使用gpupdate命令：gpupdategpupdate/target:computer,三、组策略对象的创建与编辑,创建连接的组策略对象创建无连接的组策略对象连接一个现有的组策略对象编辑组策略对象,创建连接的组策略对象,当创建GPO时，他被连接到所创建的容器上通过使用活动目录用户和计算机来为域和OU创建GPO通过使用活动目录站点和服务来为站点创建GPO,创建一个GPO,GPO的连接名,创建无连接的组策略对象,连接一个现有的组策略对象,编辑组策略对象,用户配置windows设置InternetExplorer”与“用户配置管理模板windows组件,实验：创建与配置GPOs,本实验，您将:创建与配置GPOs,四、组策略对象的处理详解,组策略的处理详解慢速连接,组策略是在谁那儿存储的：域控制器组策略是在谁那儿处理的：客户端由谁来处理：七个DLL文件怎么处理：下载到客户端处理何时处理：开机及登录时，每当刷新周期到时进行处理（DC每五分钟刷新一次，普通机9030）处理机制是如何的：大多数同步处理，少数异步处理是不是一刷新所有的都处理：不是，采用增量处理机制，最新的才处理何时会关闭处理：客户端与DC间为慢速连接,组策略的处理详解,慢速连接,发出PING测试是否慢速连接500K,如果链路低于与500K就有些策略不会执行,总结,组策略的介绍组策略的组成组策略对象的创建与编辑组策略对象的处理详解,第十三课,组策略(二),本课重点,组策略对象的基本设置组策略脚本文件夹的重定向软件限制,组策略对象的基本设置,用户配置管理模板windows组件开始菜单与任务栏桌面控制面板网络系统,用组策略分配脚本,什么是组策略脚本设置?用组策略实现脚本设置脚本的处理顺序,什么是组策略脚本设置?,组策略脚本设置可以:集中配置脚本，在计算机启动、关闭、用户登录、退出的时候自动运行。管理和配置用户环境,用组策略实现脚本设置,脚本的处理顺序,实验:设置脚本,用户登录saleslogon.vbs用户退出saleslogoff.vbs,利用组策略重定向文件夹,什么是文件夹重定向?选择需要重定向的文件夹如何实现文件夹重定向,什么是文件夹重定向?,重定向文件夹的优点:不管用户从什么客户机上登录，都可以访问文件夹中的数据文件夹中的数据集中存储，更便于管理和备份减少网络通信。网络通信只在用户访问文件的时候出现文件不在用户登录的计算机上拷贝和保存,选择需要重定向的文件夹,如何实现文件夹重定向,WhenRedirectingUserFolders:,实验:重定向文件夹,重定向我的文档重定向桌面重定向开始菜单,软件限制,哈希规则证书规则路径规则Internet区域规则,总结,基本设置组策略脚本文件夹的重定向软件限制,第十四课,组策略(三),本课重点,多个组策略对象的处理规则GPMC的使用,多个组策略对象的处理规则,组策略对象的默认继承阻止策略继承禁止替代同一容器上多条策略的处理计算机配置与用户配置的处理使用权限过滤进行过滤特殊用户,组策略的默认继承,Windows2003采用特定的顺序应用组策略,子容器会继承父容器的组策略如果父容器设置的策略与子容器设置的策略发生冲突,子容器的GPO优先生效。,阻止策略继承,阻止策略继承：禁止从所有的父容器继承所有的GPO无法选择针对哪些GPO，全部都禁止继承针对的是某一层次不能阻挡“禁止替代”NoOverride,禁止替代,同一容器上多条策略的处理,容器设置多个GPO冲突时,GPO列表最高的GPO优先级最高,管理员在一个容器上设置多条组策略,优先级自上而下,计算机配置与用户配置的处理,计算机策略优于用户策略（特例）可以禁用计算机配置或禁用用户配置来提高处理速度,同一条组策略的计算机配置与用户配置,使用权限过滤进行过滤特殊用户,利用GPMC对GPO的管理,进行组策略对象的复制进行组策略对象的备份进行组策略对象的恢复进行组策略对象的导入,GPMC功能介绍,GPMC即组策略管理控制台，与Windows2000上传统的组策略编辑器截然不同，由一个全新的MMC管理单元及一整套脚本化的接口组成，提供了集中的组策略管理方案，可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题，解决组策略部署中的难点，减轻了IT管理员们在实施组策略时所承担的沉重包袱。GPMC除了实现一般的组策略管理任务，如创建、删除、修改外，还提供了复制、导入、备份、恢复功能。更值得一提的是，GPMC中的组策略报告功能对组策略在计算机上的生效状况提供了详细的说明。,进行组策略对象的复制/备份/导入,进行组策略对象的恢复,实验:管理GPOs,进行组策略对象的复制进行组策略对象的备份进行组策略对象的恢复进行组策略对象的导入,总结,多个组策略对象的处理规则GPMC的使用,第十五课,用组策略部署和管理软件,本章概述,对软件部署管理的介绍软件部署的基本配置软件部署的额外配置维护已部署的软件,一、对软件部署管理的介绍,软件安装与维护的过程什么是WindowsInstaller?,软件安装与维护的过程,什么是WindowsInstaller?,WindowsInstaller,WindowsInstaller服务自动化软件安装与配置的进程对当前安装的应用程序修改或修复,WindowsInstaller包有关安装与反安装的信息包含.msi主文件与支持文件有关应用程序的汇总信息比如版本信息等指向安装分发点物理位置的参照信息,第二节:软件部署的基本配置,软件部署过程概述指派vs.发布指定软件安装的默认值,软件部署过程概述,软件部署,计算机配置-开机时自动（Localsystem）用户配置-用户登陆后必须手工激活对于计算机而言部署方法只支持指派对于用户而言支持指派和发布指派VS发布指派,添加删除激活扩展名激活快捷激活,发布不支持快捷方式激活,指派vs.发布,软件分发点,如何创建一个软件分发点,演示:如何创建一个软件分发点,如何用GPO部署软件,演示:如何用GPO部署软件,指定软件安装的默认值,定义是否用缺省值或用户自定义的值,定义软件分发点MSI文件默认的保存位置,定义如何去部署这个软件,实验:部署软件,在这个实验,你将创建一个GPO去发布一个MSI包用来软件分发.,第三节:软件部署的额外配置,何为软件分类?何为软件关联?,何为软件分类,软件分类功能,如何创建软件分类,右击软件安装属性类别,何为软件关联?,如何去做软件关联,1：打开GPO2：用户配置-软件设置-软件安装-属性3：属性里找到-文件扩展名4：应用程序优先权-上下调节优先权,第四节:维护已部署的软件,软件升级的类型如何进行软件的重新部署删除已部署软件的方法,软件升级的类型,部署升级版本的应用程序,如何进行软件的重新部署,删除已部署软件的方法,实验:维护部署的软件,在这个实验,你将:升级部署文件移去部署文件,总结,对软件部署管理的介绍软件部署的基本配置软件部署的额外配置维护已部署的软件,第十六课,活动目录的综合应用,本课概述,以八维学校为例规化组织单位、规化组、规化用户账户在活动目录中发布共享文件夹在活动目录中发布打印机客户端在活动目录中实现快速查找资源组策略的综合应用,活动目录规划、设计,在活动目录中发布共享文件夹,管理员可以在域中规划OU,然后在OU中发布资源(包括:共享文件夹、打印机等),方便用户查询使用.,在活动目录中发布共享文件夹(方法),在活动目录相应的OU中发布共享文件夹,方法:打开相应的OU，右击空白处，选择“新建共享文件夹”,输入名称与网络路径.设置共享文件夹的关键字:右击相应的共享文件夹,选择“属性关键字”,输入相关的关键字即可.,在活动目录中发布打印机,在活动目录相应的OU中发布共享文件夹,方法:在打印服务器上选择“开始设置打印机和传真”,右击欲发布的打印机,选择“属性共享列入目录”即可.,客户端在活动目录中快速查找资源,客户端可以在网络邻居中快速查找域中的各种资源。,组策略的综合应用,组策略脚本设置文件夹重定向软件限制软件部署,组策略脚本设置,组策略脚本设置可以:集中配置脚本，在计算机启动、关闭、用户登录、退出的时候自动运行。管理和配置用户环境,文件夹重定向,软件限制,哈希规则路径规则Internet区域规则,软件部署,总结,以八维学校为例规化组织单位、规化组、规化用户账户在活动目录中发布共享文件夹在活动目录中发布打印机客户端在活动目录中实现快速查找资源组策略的综合应用,第十七课,管理操作主控(一),本课内容,对主控角色的介绍查找各种主机角色,多主控和单主控的复制对比,AD域及域控制器与NT4的最大的区别在于采用了多主复制技术代替了单主复制模式.注:只有AD域处于本机模式或2003的域功能级别时才能实现多主复制,混合模式以及WIN2003的临时模式都使用单主模式.AD在整个结构中都在努力的实现分布控制的思想,但有些工作必须被集中处理,因此我们使用FSMO(灵活性单主机操作),第一节：活动目录的操作主控,架构主控的作用,复制,架构主控,域命名主控的作用,它可以在森林范围向目录林添加/删除域,若其不可用，则无法添加/删除域查询GC，防止重名。其无法查询独立DC的GC，所以必须同时还是一个GC，要想更改域命名主机必须是Enterpriseadmin组成员,PDC仿真主控的作用,Bj.China.ds,时间服务器同步,China.ds林根域,PDC仿真器,PDC仿真器,RID主控的作用,在域内分配RID块给每一个DC防止在森林产生分身,RID主控,移动,RID分配,RID块,基础结构主控的作用,移动,全局组被嵌套在域本地组,基础结构主控,该主控不要和GC放在一起除非是单域,第二节:查找各种主机角色,查找架构主机：regsvr32schmmgmt.dllMMC添加/删除管理单元AD架构查找域命名主机：域与信任关系查找RID主机、PDC仿真主机、基础结构主机：ActiveDirectory用户和计算机Netdomqueryfsmo/domain:domain_name,总结,对主控角色的介绍查找各种主机角色,第十八课,管理操作主机(二),本课概述,主控角色的传递主控角色的索取规化主机角色,进行主控角色的传递,只有当域的基础结构发生主要的变化时，才传送角色,强夺操作主控角色,仅仅在不能传送时，才强夺角色当强夺一个角色时，数据可能丢失,如何传输角色,如何去传递角色,演示:如何去传递角色,如何去夺取角色,演示:如何去夺取角色,第四节：规划主控角色的放置,放置主控的指南捕捉主控角色的指南,放置操作主控的指导方针,捕捉主控角色的指南,确定打算夺取给哪个DC,快速的修理PDC仿真器的失败,宁可等待被修理的架构主控,域命名主控,或RID主控,夺取结构主控仅仅只在主控修复时间比较长时,总结,主控角色的传递主控角色的索取,第十九课,实现活动目录站点,本章概述,AD复制概述复制模式目录分区复制拓朴结构站点和子网站点链接站间复制与站内复制的特点,AD复制概述,为什么要发生复制?网络中的多台DC为用户提供一致信息复制什么?复制是有条件的,复制的是更新(添加,删除,修改,移动)复制何时发生?当在某个DC发生变动的时候,这个DC就会发出一个复制请求复制的边界是什么?森林复制是如何工作的?,复制模式,AD的复制模型,大多数对象的复制,只有AD运行与本机模式或win2003功能级别才是多主复制,在混合模式和WIN2003临时模式的域采用单主复制优点：解决了单点失败缺点：浪费资源并产生了大量的复制冲突,单主控复制,多主控复制,目录分区,ActiveDirectory数据库,复制配置,域,森林,包含可以在目录中建立的所有对象和属性的定义，以及建立和控制的规则,包含活动目录结构的信息