国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

Windows Active Directory 域故障排錯(cuò)大慶油田高級(jí)人才培訓(xùn)中心 張東輝本節(jié)介紹Windows 2000/03 AD域故障的排錯(cuò)。首先我們會(huì)介紹活動(dòng)目錄（Active Directory）及其相關(guān)概念，然后介紹和域故障排錯(cuò)相關(guān)的知識(shí)、工具軟件的使用，最后以實(shí)例的形式講解針對(duì)具體的各種域故障如何進(jìn)行排錯(cuò)，如何有效地利用組策略來(lái)管理AD域、管理網(wǎng)絡(luò)。通過(guò)本節(jié)的學(xué)習(xí)，讀者可以掌握活動(dòng)目錄（Active Directory）及其相關(guān)概念，活動(dòng)目錄的功能、邏輯結(jié)構(gòu)、物理結(jié)構(gòu)；管理Windows 2000/03網(wǎng)絡(luò)的方法，相關(guān)工具的使用；提高域故障排錯(cuò)能力，掌握活動(dòng)目錄上的最大應(yīng)用：組策略。2-3-1活動(dòng)目錄（Active Directory）及其相關(guān)概念要掌握Windows 2000/03 AD域故障排錯(cuò)，首先就得知道什么是域，什么是活動(dòng)目錄，活動(dòng)目錄的工作原理如何。以下內(nèi)容作為后面域排錯(cuò)的基礎(chǔ)理論知識(shí)至關(guān)重要。2-3-1-1為什么要使用活動(dòng)目錄？為什么要使用活動(dòng)目錄？首先我們來(lái)看兩個(gè)例子：如果我們要記住10個(gè)、20個(gè)電話號(hào)碼還可以，但更多的就無(wú)能為力了。這時(shí)我們就會(huì)想到把電話號(hào)碼記錄到電話簿上，需要時(shí)去查詢。如果我們家中只有10本、20本的書(shū)，我們會(huì)比較容易找到我們想要的那一本，但如果我們家中的書(shū)像圖書(shū)館那么多，這時(shí)我們就會(huì)想到把書(shū)分門別類地放好，并根據(jù)書(shū)的書(shū)名、作者、出版社、類別等屬性信息做好索引，以利于查找。有效地管理網(wǎng)絡(luò)，也象管理電話號(hào)碼、管理圖書(shū)一樣。我們會(huì)把網(wǎng)絡(luò)中眾多的對(duì)象：計(jì)算機(jī)、用戶、用戶組、打印機(jī)、共享夾……，分門別類、井然有序地放在活動(dòng)目錄這個(gè)大倉(cāng)庫(kù)中。使用活動(dòng)目錄對(duì)你公司的網(wǎng)絡(luò)進(jìn)行管理，才是積極有效的管理方法，而且網(wǎng)絡(luò)規(guī)模越大，越能體現(xiàn)出活動(dòng)目錄在管理網(wǎng)絡(luò)上的高效性。2-3-1-2工作組（Workgroup）當(dāng)然如果網(wǎng)絡(luò)規(guī)模很小，也可以使用Windows工作組模式來(lái)進(jìn)行管理，但其管理功能極其有限。對(duì)于一臺(tái)Windows計(jì)算機(jī)來(lái)講，它要么隸屬于工作組，要么隸屬于域。工作組是微軟的概念，一般的普遍稱謂是對(duì)等網(wǎng)。工作組通常是一個(gè)由不多于10臺(tái)計(jì)算機(jī)組成的邏輯集合，如果要管理更多的計(jì)算機(jī)，微軟推薦你使用域的模式進(jìn)行集中管理，這樣的管理更有效。你可以使用域、活動(dòng)目錄、組策略等等各種功能，使你網(wǎng)絡(luò)管理的工作量達(dá)到最小。當(dāng)然這里的10臺(tái)只是一個(gè)參考值，11臺(tái)甚至20臺(tái)，如果你不想進(jìn)行集中的管理，那么你仍然可以使用工作組模式。工作組的特點(diǎn)就是實(shí)現(xiàn)簡(jiǎn)單，不需要域控制器DC，每臺(tái)計(jì)算機(jī)自己管理自己，適用于距離很近的有限數(shù)目的計(jì)算機(jī)。順便說(shuō)明一下，工作組名并沒(méi)有太多的實(shí)際意義，只是在網(wǎng)上鄰居的列表中實(shí)現(xiàn)一個(gè)分組而已；再就是對(duì)于“計(jì)算機(jī)瀏覽服務(wù)”，每一個(gè)工作組中，會(huì)自動(dòng)推選出一個(gè)主瀏覽器，負(fù)責(zé)維護(hù)本工作組所有計(jì)算機(jī)的NetBIOS名稱列表。用戶可以使用默認(rèn)的工作組名workgroup，也可以任意起個(gè)名字（不必?fù)?dān)心重名），同一工作組或不同工作組間在訪問(wèn)時(shí)也沒(méi)有什么分別，都需要輸入目標(biāo)計(jì)算機(jī)上的用戶名、口令進(jìn)行驗(yàn)證。在工作組模式下，用戶要訪問(wèn)10臺(tái)計(jì)算機(jī)上的資源，就需要記住至少10個(gè)用戶名和口令，工作組的這種分散管理性是它和域的集中式管理相比最大的缺點(diǎn)。AD域提供了對(duì)網(wǎng)絡(luò)資源的集中控制，用戶只需登錄一次就可以訪問(wèn)整個(gè)活動(dòng)目錄的資源。2-3-1-3活動(dòng)目錄（Active Directory）和域控制器（Domain Controller）如果網(wǎng)絡(luò)規(guī)模較大，這時(shí)我們就會(huì)考慮把網(wǎng)絡(luò)中眾多的對(duì)象（被稱之為AD對(duì)象）：計(jì)算機(jī)、用戶、用戶組、打印機(jī)、共享夾……分門別類、井然有序地放在一個(gè)大倉(cāng)庫(kù)中，并做好檢索信息，以利于查找、管理和使用這些對(duì)象（資源）。這個(gè)有層次結(jié)構(gòu)的數(shù)據(jù)庫(kù)，就是活動(dòng)目錄數(shù)據(jù)庫(kù)，簡(jiǎn)稱AD庫(kù)。接下來(lái)，我們應(yīng)該把這個(gè)數(shù)據(jù)庫(kù)放在哪臺(tái)計(jì)算機(jī)上呢？是這樣的，我們把存放有活動(dòng)目錄數(shù)據(jù)庫(kù)的計(jì)算機(jī)就稱之為域控制器（Domain Controller），簡(jiǎn)稱DC。2-3-1-4活動(dòng)目錄架構(gòu)（Active Directory Schema）架構(gòu)是關(guān)于AD對(duì)象類型屬性的定義。一種類型AD對(duì)象應(yīng)該有哪些屬性是由架構(gòu)來(lái)定義的，比如它定義了用戶對(duì)象有姓、名、登錄名、口令等一系列的屬性。如果你想增加一個(gè)“性別”屬性，這就要修改架構(gòu)，一般稱之為擴(kuò)展AD架構(gòu)，這要求你必須是林根域上的Schema Admins組成員才行。整個(gè)活動(dòng)目錄的林中只有一個(gè)架構(gòu)，因此在活動(dòng)目錄中創(chuàng)建的所有對(duì)象都遵從同樣的規(guī)則。也就是說(shuō)你對(duì)架構(gòu)的修改將影響到林中的所有域，你沒(méi)辦法實(shí)現(xiàn)同一林中的一個(gè)域用戶對(duì)象有“性別”屬性，而另一個(gè)域沒(méi)有。2-3-1-5目錄訪問(wèn)協(xié)議（DAP）和輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP）AD對(duì)象存儲(chǔ)在活動(dòng)目錄中，客戶和應(yīng)用程序就通過(guò)訪問(wèn)活動(dòng)目錄，來(lái)查找這些存放于活動(dòng)目錄中的對(duì)象。用戶訪問(wèn)這些AD對(duì)象，當(dāng)然要遵照一定的規(guī)則和約定，這就是協(xié)議?？蛻粼L問(wèn)目錄所用的協(xié)議被稱之為目錄訪問(wèn)協(xié)議（DAP），DAP是在X.500中定義的一個(gè)復(fù)雜協(xié)議，它的簡(jiǎn)化版本被稱之為輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP），被微軟的活動(dòng)目錄AD所采用。LDAP是用于查詢和更新活動(dòng)目錄的目錄服務(wù)協(xié)議。2-3-1-6目錄服務(wù)回過(guò)頭來(lái)，我們?cè)賮?lái)看一下目錄服務(wù)的定義。目錄服務(wù)由X.500標(biāo)準(zhǔn)定義，目錄是指一個(gè)組織中關(guān)于人和資源信息的結(jié)構(gòu)化、層次化的庫(kù)。在微軟的Windows 2000/03網(wǎng)絡(luò)中，這個(gè)目錄服務(wù)就是指活動(dòng)目錄（Active Directory）服務(wù)，又比如在Novell公司的NetWare上使用的目錄服務(wù)叫NDS（Novell目錄服務(wù)），目錄服務(wù)的實(shí)質(zhì)就是一種網(wǎng)絡(luò)服務(wù)。活動(dòng)目錄（Active Directory）作為網(wǎng)絡(luò)目錄服務(wù)，提供了用于組織、管理和控制網(wǎng)絡(luò)資源的結(jié)構(gòu)和功能，使我們有了集中管理Windows 2000/03網(wǎng)絡(luò)的能力，管理員可以在一個(gè)地點(diǎn)管理整個(gè)網(wǎng)絡(luò)。當(dāng)然也可以利用OU進(jìn)行委派控制，把一部分管理工作分派給OU管理員。2-3-1-7活動(dòng)目錄的邏輯結(jié)構(gòu)活動(dòng)目錄的邏輯結(jié)構(gòu)具有伸縮性，?。嚎梢灾皇且慌_(tái)計(jì)算機(jī)，大：可以應(yīng)用到大型跨國(guó)公司的網(wǎng)絡(luò)。活動(dòng)目錄的邏輯組件包括：l         活動(dòng)目錄林（Active Directory Forest）l         活動(dòng)目錄樹(shù)（Active Directory Tree）l         活動(dòng)目錄域（Active Directory Domain）l         組織單元（OU，Organizational Units）l         全局目錄（GC，Global Catalog）mcse.comsub.mcse.commy.com接下來(lái)，以上圖為例，進(jìn)行相關(guān)討論。這整個(gè)是一個(gè)林，mcse.com為林根域，有兩個(gè)樹(shù)，一個(gè)由mcse.com和它的子域sub.mcse.com組成，另一個(gè)由my.com單獨(dú)組成，林中有mcse.com，sub.mcse.com，my.com三個(gè)域。相關(guān)概念如下：林根域：在林中建立的第一個(gè)域，如：mcse.com樹(shù)：共用連續(xù)的命名空間的多層域，如mcse.com（父域）和sub.mcse.com（子域）樹(shù)根域：樹(shù)最高層的域，名最短。如：mcse.com和my.comWindows 2000/03可采用多層域結(jié)構(gòu)，但最有效、最簡(jiǎn)便的管理方法仍是單域，所以大家在實(shí)際工作中要記住一個(gè)原則“能用單域解決，就不用多域”。一、域（Domain）域是活動(dòng)目錄中邏輯結(jié)構(gòu)的核心單元。一個(gè)域包含許多計(jì)算機(jī)，它們由管理員設(shè)定，共用一個(gè)目錄數(shù)據(jù)庫(kù)，一個(gè)域有一個(gè)唯一的名字。域是安全邊界，保證域的管理員只能在該域內(nèi)有必要的管理權(quán)限，除非得到其它域的明確授權(quán)。每個(gè)域都有自己的安全策略和與其它域的安全聯(lián)系方式。注意：1、無(wú)法在一個(gè)域內(nèi)實(shí)現(xiàn)不同的賬號(hào)策略。2、父域?qū)ψ佑虿](méi)有任何管理特權(quán)，但要注意林根域下有企業(yè)管理員組Enterprise Admins，它默認(rèn)對(duì)林中的其它域是有特權(quán)的。父域和子域間默認(rèn)就有雙向可傳遞的信任關(guān)系，也就是說(shuō)用戶可以使用林中任意一個(gè)域內(nèi)的計(jì)算機(jī)，登錄到林內(nèi)的任何一個(gè)域上（操作上就是使用欲要登錄的那個(gè)域的用戶賬號(hào)）；還可以，以自己本域的賬號(hào)登錄，訪問(wèn)林內(nèi)任何資源而不需要重新輸入口令，當(dāng)然要想能真正訪問(wèn)某一具體資源，在該資源上必須得有相應(yīng)權(quán)限才行。二、組織單元（OU，Organizational Units）在域下面，我們可以規(guī)劃OU，放入計(jì)算機(jī)、用戶、用戶組等對(duì)象。也就是說(shuō)通過(guò)OU，我們可以把對(duì)象組織起來(lái)，并形成一個(gè)有層次的邏輯結(jié)構(gòu)。OU下面可以再建小OU，微軟建議嵌套層次不要超過(guò)3層，我們平常一般1到2層就夠用了。在規(guī)劃OU時(shí)，要考慮到將來(lái)的管理和組策略的應(yīng)用，一般應(yīng)把有相同需求的計(jì)算機(jī)、用戶等放在同一OU下。可以基于部門、基于管理責(zé)任，也可以基于地理位置來(lái)規(guī)劃，使其最佳地適應(yīng)你的公司的需求。在域下面規(guī)劃OU，不是僅僅為得到一個(gè)層次結(jié)構(gòu)，我們主要目的是要基于OU實(shí)現(xiàn)委派控制和將來(lái)鏈接相應(yīng)的組策略來(lái)實(shí)現(xiàn)管理控制。委派的權(quán)限可以是完全控制，也可以是僅指定有限的權(quán)限（如：修改OU內(nèi)的用戶口令）給一個(gè)或幾個(gè)用戶和組。三、活動(dòng)目錄林（Active Directory Forest）在林中建立的第一個(gè)域，被稱為林根域，如前面提到的mcse.com。在剛開(kāi)始時(shí)候，我們這個(gè)林中只有一個(gè)樹(shù)，樹(shù)內(nèi)只有一個(gè)域，域內(nèi)只有一臺(tái)計(jì)算機(jī)作為域控制器。也就是說(shuō)此時(shí)我們整個(gè)林就只有一臺(tái)計(jì)算機(jī)。接下我們也可以為它添加子域，如sub.mcse.com.，再添加了一個(gè)新樹(shù)下的域my.com。這樣我們的這個(gè)林下就有了兩個(gè)樹(shù)：一個(gè)樹(shù)由mcse.com域、和它的子域sub.mcse.com構(gòu)成，一個(gè)樹(shù)僅由my.com域構(gòu)成。四、活動(dòng)目錄樹(shù)（Active Directory Tree）活動(dòng)目錄樹(shù)是Windows 2000/03網(wǎng)絡(luò)中的層次組織，同一樹(shù)下的域共用連續(xù)的名字空間。如父域mcse.com（它同時(shí)也是樹(shù)根域、林根域），樹(shù)根域的名字一定是最短的。父域mcse.com和子域sub.mcse.com之間默認(rèn)就有一個(gè)雙向的、可傳遞的信任關(guān)系。也正由于這種信任關(guān)系的可傳遞性，使得sub.mcse.com和my.com間也有了雙向信任關(guān)系。五、全局目錄（GC，Global Catalog）全局目錄GC包含了AD對(duì)象屬性的子集，換句話說(shuō)就是GC中包含了林中所有對(duì)象的摘要信息，也就是相對(duì)重要一些的屬性，如用戶對(duì)象的姓、名和登錄名。全局目錄GC本身必須首先是域控制器DC，GC不具有唯一性，可以有多個(gè)。全局目錄GC使用戶能夠：1、查詢整個(gè)林中的AD信息，無(wú)論數(shù)據(jù)在林中什么位置。以利于林中的跨域訪問(wèn)。2、使用通用組，即利用通用組成員身份的信息登錄網(wǎng)絡(luò)。2-3-1-8活動(dòng)目錄的物理結(jié)構(gòu)在活動(dòng)目錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)是相互獨(dú)立的。域控制器DC和站點(diǎn)（Site）組成了活動(dòng)目錄的物理結(jié)構(gòu)。利用站點(diǎn)，我們可規(guī)劃域控制器DC放置，優(yōu)化AD復(fù)制，使用戶就近查找DC登錄。同時(shí)，知道物理結(jié)構(gòu)將有助于排除復(fù)制和登錄過(guò)程中出現(xiàn)的問(wèn)題。一、域控制器（Domain Controllers）Windows 2000/03域控制器上存儲(chǔ)有活動(dòng)目錄的副本，管理目錄信息的變化，并把這些變化復(fù)制給該域上的其它域控制器。域控制器存儲(chǔ)目錄數(shù)據(jù)，管理用戶登錄、驗(yàn)證和目錄搜索。一個(gè)域至少得有一臺(tái)域控制器，為了容錯(cuò)就應(yīng)該有兩臺(tái)，甚至多臺(tái)。這主要要看網(wǎng)絡(luò)的規(guī)模及分布。二、活動(dòng)目錄復(fù)制同一域內(nèi)的DC之間要復(fù)制域信息，同一林內(nèi)的DC間要復(fù)制林信息?；顒?dòng)目錄復(fù)制確保AD信息對(duì)整個(gè)網(wǎng)絡(luò)上的所有DC和客戶機(jī)都是可用的。而活動(dòng)目錄的物理結(jié)構(gòu)決定了復(fù)制發(fā)生的時(shí)間和地點(diǎn)。AD復(fù)制采用多主控復(fù)制模型，也就是說(shuō)每個(gè)DC都存儲(chǔ)有AD的可寫副本，彼此間的復(fù)制是雙向的。這點(diǎn)與NT4域的PDC到BDC（目錄服務(wù)的只讀副本）的單主控復(fù)制不同。在所有的DC把它們的變化都同步到活動(dòng)目錄中以前，DC在短時(shí)間內(nèi)可能有不同的信息。按照默認(rèn)，這一時(shí)間，同一站點(diǎn)內(nèi)不越過(guò)3x5=15分鐘。三、站點(diǎn)（Site）站點(diǎn)就是一個(gè)或幾個(gè)高速帶寬連接的IP子網(wǎng)的集合。管理員規(guī)劃的站點(diǎn)，必須真實(shí)反映網(wǎng)絡(luò)的物理結(jié)構(gòu)和連接情況，把高速連接的部分規(guī)劃為一個(gè)站點(diǎn)。也就是說(shuō)，站點(diǎn)內(nèi)一定是高速連接，站點(diǎn)間是低速連接。管理員利用規(guī)劃站點(diǎn)，可以為活動(dòng)目錄配置訪問(wèn)和復(fù)制拓?fù)?。使用Windows 2000/03網(wǎng)絡(luò)可以使用最有效的鏈接和時(shí)間安排來(lái)復(fù)制和登錄。創(chuàng)建站點(diǎn)，我們可以：1、優(yōu)化AD復(fù)制，如：讓其半夜進(jìn)行，一天一次。2、優(yōu)化用戶登錄，如：使用戶就近查找本站點(diǎn)內(nèi)高速連接的DC進(jìn)行登錄。在活動(dòng)目錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)是相互獨(dú)立的，沒(méi)有什么必然的聯(lián)系。一個(gè)站點(diǎn)可以有幾個(gè)域，一個(gè)域也可以有幾個(gè)站點(diǎn)。給站點(diǎn)起名字也是任意的，不必考慮和域名字間的聯(lián)系。2-3-1-9操作主機(jī)（或叫主控、FSMO）前面我們介紹了AD復(fù)制采用多主控復(fù)制模型，但在有些特殊情況下，我們需要目錄林進(jìn)行單主控更新以避免沖突的發(fā)生。簡(jiǎn)單地說(shuō)就是，這時(shí)我們就讓一臺(tái)DC說(shuō)了算，來(lái)執(zhí)行相關(guān)的AD改變，然后由它把變化復(fù)制到其它的DC上去，這臺(tái)DC就是操作主機(jī)。共有五種操作主機(jī)，它們是：•         架構(gòu)主控               Schema master                    林內(nèi)唯一•         域命名主控            Domain Naming master         林內(nèi)唯一•         PDC仿真器          PDC Emulator master           域內(nèi)唯一•         RID主控               RID master                          域內(nèi)唯一•         基礎(chǔ)結(jié)構(gòu)主控        Infrastructure master            域內(nèi)唯一默認(rèn)林根域的第一臺(tái)DC就是這五種操作主機(jī)，同時(shí)還是GC。林內(nèi)其它域的第一臺(tái)DC是該域內(nèi)的域唯一的那三種操作主機(jī)，即PDC仿真、RID、基礎(chǔ)結(jié)構(gòu)。。操作主機(jī)具有唯一性，但我們可以把操作主機(jī)移動(dòng)到其它DC上，只要保證原來(lái)的不再是操作主機(jī)，也就是說(shuō)保證這種唯一性即可。任何一臺(tái)DC都可以是一操作主機(jī)（注意也只有DC才可以是操作主機(jī)），一臺(tái)DC可以同時(shí)擔(dān)當(dāng)多種操作主機(jī)角色。對(duì)于操作主機(jī)的管理，我們可以查看、傳送、查封。傳送（Transfer）和查封（Seizing）的區(qū)別在于：傳送是在原操作主機(jī)聯(lián)機(jī)的情況下進(jìn)行的，傳送后得到了新的操作主機(jī)，原來(lái)的操作主機(jī)就不再是操作主機(jī)了，傳送保證操作主機(jī)的唯一性。查封是在原操作主機(jī)有故障或失效，脫機(jī)的情況下的強(qiáng)行傳輸，也就是重新推選一個(gè)新的操作主機(jī)，會(huì)有數(shù)據(jù)的丟失。查封不保證操作主機(jī)唯一性，原操作主機(jī)必須格式化后再接入網(wǎng)絡(luò)。對(duì)操作主機(jī)的管理，可以使用圖形化界面（管理的位置，將在下面逐個(gè)介紹說(shuō)明），也可以使用Ntdsutil命令。下面我們簡(jiǎn)單介紹一下各種操作主機(jī)的作用。一、架構(gòu)主控（Schema master）操作：AD架構(gòu)/AD架構(gòu)上右鍵/操作主機(jī)說(shuō)明：默認(rèn)情況下，架構(gòu)的MMC管理工具不被安裝。需要：1、運(yùn)行adminpak.msi安裝AD管理工具。Adminpak.msi可在03光盤I386目錄下找到，或在03的windows\system32下找到。或者手動(dòng)，開(kāi)始/運(yùn)行：regsvr32 schmmgmt.dll2、開(kāi)始/運(yùn)行：MMC，文件/添加刪除管理單元/添加/AD架構(gòu)關(guān)于架構(gòu)，我們前面介紹過(guò)：架構(gòu)是關(guān)于AD對(duì)象類型屬性的定義。架構(gòu)主控控制對(duì)架構(gòu)的所有原始更新，也就是說(shuō)對(duì)架構(gòu)的修改、擴(kuò)展，必須連接到林內(nèi)唯一的這臺(tái)架構(gòu)主機(jī)上進(jìn)行，然后由它復(fù)制到到林內(nèi)所有的DC上。注意：只有架構(gòu)管理員組（Schema Admins）可以對(duì)架構(gòu)進(jìn)行修改，例如安裝Exchange Server、ISA陣列，就需要擴(kuò)展架構(gòu)，你應(yīng)該以架構(gòu)管理員身份進(jìn)行。二、域命名（Domain Naming master）操作：AD域和信任關(guān)系/AD域和信任關(guān)系上右鍵/操作主機(jī)只有域命名主機(jī)可以向目錄林中添加域或者刪除域，保證域的名字在林中唯一。若域命名主機(jī)不可用，則無(wú)法在目錄林中添加或刪除域。為保證域的名字在林中唯一，域命名主機(jī)需要查詢GC。若林功能級(jí)別為Windows 2000林模式，GC必須和域命名主機(jī)在同一臺(tái)計(jì)算機(jī)上才行。若林功能級(jí)別為Windows Server 2003林模式，不要求GC必須和域命名主機(jī)非得在同一臺(tái)計(jì)算機(jī)上。三、PDC仿真器（PDC Emulator master）操作：AD用戶和計(jì)算機(jī)/域上右鍵/操作主機(jī)/PDC標(biāo)簽PDC仿真主機(jī)在五種操作主機(jī)中是最重要的，它的利用率很高。如果PDC仿真主機(jī)失效，必須盡快解決。它主要負(fù)責(zé)：1、如果Windows 2000/03域中還有NT4的BDC，它充當(dāng)NT BDC的PDC，并為早期版本客戶機(jī)提供服務(wù)。順便說(shuō)一下，NT4的域控制器在2000/03域中只能是BDC，不可能是PDC。2、管理運(yùn)行NT、95/98計(jì)算機(jī)的密碼變化，寫入活動(dòng)目錄AD3、最小化密碼變化的復(fù)制等待時(shí)間。若一臺(tái)DC接受到密碼變化的請(qǐng)求，它必須通知PDC仿真主控。用戶登錄時(shí)，如密碼錯(cuò)誤，進(jìn)行驗(yàn)證的DC必先送至PDC仿真主控。因?yàn)槠胀―C不能確認(rèn)到底是密碼錯(cuò)誤，還是它沒(méi)有及時(shí)與PDC仿真主控同步。4、同步全域中的域控制器、成員計(jì)算機(jī)的時(shí)間。加入域的計(jì)算機(jī)，沒(méi)有自己的時(shí)間。這是因?yàn)闀r(shí)間參數(shù)，在AD復(fù)制中是一個(gè)極為重要的因素，決定多主控復(fù)制時(shí)，誰(shuí)的修改最終生效。所以整個(gè)域的時(shí)間，都由PDC仿真主機(jī)來(lái)控制。你可以手動(dòng)修改域成員計(jì)算機(jī)上的時(shí)間，但當(dāng)AD復(fù)制過(guò)后，又會(huì)被改回成PDC仿真主機(jī)上的時(shí)間。如果目錄林是多層域結(jié)構(gòu)，最終以林根域上的PDC仿真主機(jī)的時(shí)間為準(zhǔn)。5、防止重寫GPO的可能，修改組策略設(shè)置，默認(rèn)也是要連接到PDC仿真主控上才行。當(dāng)然這個(gè)默認(rèn)值是可以修改的，或者找不到PDC仿真主控時(shí)，系統(tǒng)會(huì)提示你連到其它DC。四、相關(guān)標(biāo)識(shí)符RID主控（RID master）操作：AD用戶和計(jì)算機(jī)/域上右鍵/操作主機(jī)/RID標(biāo)簽在AD對(duì)象中的用戶、組或計(jì)算機(jī)等對(duì)象，我們是可以為其分配權(quán)利權(quán)限的，被稱為安全主體。安全主體與其它非安全主體對(duì)象的最主要的區(qū)別就在于：安全主體對(duì)象有安全標(biāo)識(shí)符（SID），可以為其分配權(quán)利權(quán)限。大家要明確：在活動(dòng)目錄中，所有對(duì)象都有GUID（全局唯一標(biāo)識(shí)符），只有安全主體對(duì)象才有SID。當(dāng)我們?cè)谟騼?nèi)創(chuàng)建安全主體（例如用戶、組或計(jì)算機(jī)）對(duì)象時(shí)，域控制器將域的SID與安全主體對(duì)象RID標(biāo)識(shí)符相結(jié)合，以創(chuàng)建唯一的安全標(biāo)識(shí)符 (SID)。形如：S-1-5-21-1553226038-2352558368-427082893-500其中S-1-5表示NT Authority（標(biāo)識(shí)符頒發(fā)機(jī)構(gòu)）；上例中的21-1553226038-2352558368- 427082893為這個(gè)域的SID（每個(gè)域不同），在這個(gè)位置還可能是32（表示本地/域內(nèi)置的本地組，都只能在DC/本機(jī)上使用，重復(fù)無(wú)妨，所以都是32），也可能是本機(jī)的SID（每臺(tái)機(jī)不同）；后面跟的500表示administrator用戶。為了結(jié)合后面的案例，在這里我們把SID多作些介紹：SID名稱描述S-1-5-域-500Administrator管理員帳戶S-1-5-域-501Guest供來(lái)賓訪問(wèn)計(jì)算機(jī)或訪問(wèn)域的內(nèi)置帳戶S-1-5-域-502krbtgt密鑰分發(fā)中心（KDC） 服務(wù)使用的服務(wù)帳戶其它還有：Domain Admins（512），Domain Users（513），Domain Guests（514）。用戶帳戶、全局組可在林內(nèi)或有信任關(guān)系的其它域使用，所以域間不可重復(fù)。S-1-5-域-515Domain Computers一個(gè)包括加入域的所有客戶端和服務(wù)器的全局組S-1-5-域-516Domain Controllers一個(gè)包括域中所有域控制器的全局組。默認(rèn)情況下，新的域控制器將添加到該組中。S-1-5-根域-518Schema Admins域?yàn)榛旌夏Ｊ綍r(shí)為全局組，純模式時(shí)為通用組。默認(rèn)成員林根域的 Administrator。被授權(quán)更改AD架構(gòu)。S-1-5-根域-519Enterprise Admins域?yàn)榛旌夏Ｊ綍r(shí)為全局組，純模式時(shí)為通用組。默認(rèn)成員林根域的 Administrator。被授權(quán)更改AD林結(jié)構(gòu)，例如添加子域，刪除域。S-1-5-32-544Administratrs域/本地管理員組，都只能在DC/本機(jī)使用，重復(fù)無(wú)妨。其它還有：Users（545），Guests（546），Power Users （547），Account Operators（548），Server Operators（549），Print Operators（550），Backup Operators （551），Replicators（552），Remote Desktop Users（555）。都只能在本域內(nèi)使用，域間重復(fù)無(wú)妨。S-1-1-0Everyone包括所有用戶（甚至匿名用戶和來(lái)賓）的組。成員身份由操作系統(tǒng)控制。在03中管理員可決定是否包括Guest。S-1-5-6Service一個(gè)包括所有作為服務(wù)登錄的安全主體的組。成員身份由操作系統(tǒng)控制。S-1-5-7Anonymous一個(gè)包括所有以匿名方式登錄的用戶的組。成員身份由操作系統(tǒng)控制。S-1-5-18Local System操作系統(tǒng)使用的服務(wù)帳戶。S-1-5-19Local Service本地服務(wù)S-1-5-20Network Service網(wǎng)絡(luò)服務(wù)RID操作主機(jī)就是負(fù)責(zé)向域內(nèi)的DC分配 RID 池，每一個(gè) Windows 2000/03 DC 都會(huì)收到用于創(chuàng)建對(duì)象的 RID 池（默認(rèn)為 512個(gè)）。RID 操作主機(jī)通過(guò)分配不同的池來(lái)確保這些 ID 在每一個(gè) DC 上都是唯一的。若DC分到的RID池被用盡，可以向RID操作主機(jī)自動(dòng)再次申請(qǐng)。通過(guò) RID 主機(jī)，還可以在同一目錄林中的不同域之間移動(dòng)所有對(duì)象。當(dāng)對(duì)象從一個(gè)域移動(dòng)到另一個(gè)域上時(shí)，RID主控將該對(duì)象從域中刪除。五、基礎(chǔ)結(jié)構(gòu)主控（Infrastructure master）操作：AD用戶和計(jì)算機(jī)/域上右鍵/操作主機(jī)/結(jié)構(gòu) 標(biāo)簽基礎(chǔ)結(jié)構(gòu)主機(jī)確保所有域間操作對(duì)象的一致性。當(dāng)引用另一個(gè)域中的對(duì)象時(shí)（如域本地組中包括另一域的一個(gè)全局組），此引用包含該對(duì)象的全局唯一標(biāo)識(shí)符 (GUID)、安全標(biāo)識(shí)符 (SID) 和可分辨的名稱 (DN)。如果被引用的對(duì)象移動(dòng)，則在域中擔(dān)當(dāng)結(jié)構(gòu)主機(jī)角色的 DC 會(huì)負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN。也就是說(shuō)，基礎(chǔ)結(jié)構(gòu)主機(jī)負(fù)責(zé)更新外部對(duì)象的索引（組成員資格），顯然，單域不需要基礎(chǔ)結(jié)構(gòu)主機(jī)。基礎(chǔ)結(jié)構(gòu)主機(jī)是基于域的，目錄林中的每個(gè)域都有自己的基礎(chǔ)結(jié)構(gòu)主機(jī)?；A(chǔ)結(jié)構(gòu)主機(jī)不應(yīng)該和GC在同一個(gè)DC上，應(yīng)手動(dòng)移走，否則將不起作用。前面我們提到過(guò)，默認(rèn)林根域的第一臺(tái)DC就是這五種操作主機(jī)，同時(shí)還是GC。也就是說(shuō)，這時(shí)基礎(chǔ)結(jié)構(gòu)主機(jī)實(shí)際上是失效的，不起作用。但這時(shí)只有一個(gè)林根域，基礎(chǔ)結(jié)構(gòu)主機(jī)不起作用也沒(méi)關(guān)系，若以后構(gòu)建多層域，需要手動(dòng)將其與GC分開(kāi)。2-3-1-10域功能級(jí)別和林功能級(jí)別域功能級(jí)別20002000混合模式DC：可包含NT4的BDC。2000本機(jī)模式所有DC均為2000，可以使用通用組、多主復(fù)制、SID歷史、通訊組與安全組的轉(zhuǎn)換、組的同名嵌套。032000混合域功能級(jí)級(jí)別只是DC中多了03，即DC：NT、2000、032000本機(jī)域功能級(jí)級(jí)別只是DC中多了03，即DC：2000、03，03臨時(shí)域功能級(jí)級(jí)別不常用，DC：03、NT。需要專門工具03域功能級(jí)級(jí)別所有DC均為03，可以重命名域林功能級(jí)別2000林功能級(jí)別默認(rèn)值，域命名主控必須是GC03林功能級(jí)別需要所有DC均為03，提升林時(shí)，會(huì)自動(dòng)提升所有域?yàn)?3域功能級(jí)級(jí)別?？蓚鬟f的林信任關(guān)系、更靈活的組成員復(fù)制（基于操作）、更好的站點(diǎn)間路由選擇、對(duì)GC的修復(fù)、架構(gòu)的重新定義。2-3-1-11標(biāo)識(shí)名（DN）和相對(duì)標(biāo)識(shí)名（RDN）前面我們提到了客戶使用LDAP協(xié)議來(lái)訪問(wèn)活動(dòng)目錄中的對(duì)象，那么LDAP是如何來(lái)標(biāo)識(shí)一個(gè)在活動(dòng)目錄中的對(duì)象的呢？換句話說(shuō)，LDAP是如何在活動(dòng)目錄找到對(duì)象A，而不會(huì)錯(cuò)找成對(duì)象B的呢？這就要用到一個(gè)命名路徑，即標(biāo)識(shí)名（DN）和相對(duì)標(biāo)識(shí)名（RDN）。DN為活動(dòng)目錄中的對(duì)象標(biāo)識(shí)出LDAP命名的完整路徑；RDN用來(lái)標(biāo)識(shí)容器中的一個(gè)對(duì)象，即它總是DN中的最前面一項(xiàng)。如：在Active Directory用戶和計(jì)算機(jī)中，在mcse.com域下有個(gè)OU：Finance（財(cái)務(wù)），在Finance下又有個(gè)小OU：Sales（銷售），在其下有個(gè)用戶，名叫Suzan Fine。則此用戶對(duì)象的DN為：CN=Suzan Fine, OU=Sales, OU=Finance, DC=mcse DC=com。RDN為：CN=Suzan Fine。說(shuō)明：1、其中DC表示DNS名字的域組件，OU表示組織單元，CN表示普通名字，CN可用于除了前兩種以外的所有對(duì)象。比如：如果用戶賬號(hào)不在OU中而是在默認(rèn)容器Users中，為表示Users容器應(yīng)使用CN。即：CN=Suzan Fine, CN=Users, DC=mcse, DC=com。2、如果在命令中引用DN，且DN中有空格，如CN=Suzan Fine。應(yīng)使用引號(hào)將整個(gè)DN括起來(lái)。如“CN=Suzan Fine, CN=Users, DC=mcse, DC=com”。2-3-1-12 域名服務(wù)系統(tǒng)（DNS）Windows 2000/03的活動(dòng)目錄服務(wù)與域名服務(wù)系統(tǒng)（DNS）緊密結(jié)合、集成一起，所以DNS故障是導(dǎo)致AD故障非常主要的因素之一，有統(tǒng)計(jì)數(shù)據(jù)顯示AD故障的60%來(lái)自于DNS。使用活動(dòng)目錄、構(gòu)建Windows 2000/03的域，網(wǎng)絡(luò)上必須有可用的DNS服務(wù)器，并且必須支持SRV記錄（Service Location Resource Record）和動(dòng)態(tài)更新功能。如：MS Win2000/03 DNS，UNIX的DNS BIND 8.12及以上版本，使用已有的NT4 DNS是不行的。構(gòu)建NT4域并不需要DNS的支持，但2000/03域必須有DNS，且滿足上述要求。SRV記錄的作用是指明域和站點(diǎn)（site）的DC、PDC仿真、GC是誰(shuí)。動(dòng)態(tài)更新也是2000/03DNS的新特色，管理員不必再象NT4 DNS那樣手動(dòng)為計(jì)算機(jī)創(chuàng)建或修改相應(yīng)記錄，在域成員計(jì)算機(jī)重啟，或改名、改IP時(shí)依賴周期性更新，自動(dòng)動(dòng)態(tài)注冊(cè)或更新相應(yīng)DNS記錄。如果沒(méi)有DNS服務(wù)器的話，也不一定非得預(yù)裝DNS，可以在安裝AD過(guò)程中，選擇在本機(jī)上安裝2000 DNS。而且推薦初學(xué)者使用這種方法，因?yàn)橄到y(tǒng)會(huì)根據(jù)你提供的FQDN域名，自動(dòng)創(chuàng)建好DNS區(qū)域（zone），并配置成AD集成區(qū)域，僅安全動(dòng)態(tài)更新。如果需要向外連或反向解析，用戶只需配置上轉(zhuǎn)發(fā)器和反向區(qū)域即可，不需要的話，直接就可以用了。如果決定在安裝AD過(guò)程中在本機(jī)安裝DNS，應(yīng)在安裝前，將本機(jī)TCP/IP配置/DNS服務(wù)器指向自己，這樣在安裝AD完成后重啟時(shí)，SRV記錄將被自動(dòng)注冊(cè)到DNS服務(wù)器的區(qū)域當(dāng)中去的，生成四個(gè)以下劃線開(kāi)頭的文件夾，如_msdcs，03DNS在這里夾的層次結(jié)構(gòu)有所變化，但本質(zhì)沒(méi)變。當(dāng)然如果忘了指，也可以后補(bǔ)上，只不過(guò)需要多重啟一次。03DNS新特色：1、條件轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā)器的作用是，如果本機(jī)無(wú)法解析DNS客戶所發(fā)的查詢請(qǐng)求，轉(zhuǎn)發(fā)給轉(zhuǎn)發(fā)器所指定的DNS服務(wù)器。在03DNS中新增了條件轉(zhuǎn)發(fā)，即不同的DNS區(qū)域，可指定不同的轉(zhuǎn)發(fā)器。利用條件轉(zhuǎn)發(fā)，不僅可改善DNS查詢，更重要的是有其實(shí)際意義。例如兩個(gè)公司合并時(shí)，可將利用條件轉(zhuǎn)發(fā)，基于對(duì)方域名將轉(zhuǎn)發(fā)器配置為指向?qū)Ψ降腄NS服務(wù)器。這樣DNS服務(wù)器就能解析對(duì)方網(wǎng)絡(luò)中的DNS名稱，并對(duì)其他網(wǎng)絡(luò)信息建立巨大的緩存。又由于不必查詢 Internet 上的 DNS 服務(wù)器，將大大減少DNS查詢所用的時(shí)間。2、存根（stub）區(qū)域上面的場(chǎng)景也可用存根區(qū)域來(lái)解決，在03DNS中創(chuàng)建對(duì)方的存根區(qū)域，并指明對(duì)方的權(quán)威DNS服務(wù)器。注意在存根區(qū)域下只有對(duì)方域的SOA、NS及與NS相關(guān)的A記錄，不會(huì)有對(duì)方其它的具體資源的記錄。在有些情況下，與條件轉(zhuǎn)發(fā)的作用還是有所不同的。2-3-1-13 組策略（Group Policy）組策略是活動(dòng)目錄上的最大應(yīng)用，可以應(yīng)用于2000/XP/03。組策略使許多重復(fù)的管理工作自動(dòng)化、簡(jiǎn)單化，所以說(shuō)組策略的應(yīng)用程度是衡量2000/03管理員的重要尺度。組策略對(duì)象（GPO）也是一種AD對(duì)象，并且可設(shè)置權(quán)限。在域內(nèi)創(chuàng)建，可鏈接到站點(diǎn)（Site）、域（Domain）、組織單元（OU），使組策略的設(shè)置對(duì)一定范圍的計(jì)算機(jī)/用戶生效。本地（Local）策略可理解為一個(gè)特殊的組策略：在工作組下也可使用，只對(duì)本地用戶和該計(jì)算機(jī)生效。使用gpedit.msc進(jìn)行管理，設(shè)置后立即生效，不需刷新。組策略設(shè)置的默認(rèn)優(yōu)先級(jí)是：LSDOU原則，本地策略優(yōu)先級(jí)最低?？赏ㄟ^(guò)阻止繼承（將阻止所有策略繼承）、禁止替代（也就是必須繼承，針對(duì)某個(gè)具體的GPO來(lái)設(shè)置）、組策略篩選器（實(shí)質(zhì)為GPO權(quán)限）改變默認(rèn)的優(yōu)先級(jí)。組策略對(duì)象（GPO）包括組策略容器（GPC）和組策略模板（GPT）兩部分。GPC位于AD用戶和計(jì)算機(jī)/System/Policies（需要選中查看下的高級(jí)功能），僅是GPO的屬性和版本信息，計(jì)算機(jī)通過(guò)GPC來(lái)查找GPT。具體的策略設(shè)置值存儲(chǔ)在GPT中，位于DC的windows\sysvol\sysvol下，以GUID為文件夾名。注意安裝AD系統(tǒng)自帶的兩個(gè)GPO，使用固定的GUID，分別是：¨       默認(rèn)域的策略的GUID為31B2F340-016D-11D2-945F-00C04FB984F9¨       默認(rèn)域控制器的策略的GUID為6AC1786C-016F-11D2-945F-00C04FB984F9。組策略具體的設(shè)置內(nèi)容2000到達(dá)600多條，03又新增200條左右。組策略設(shè)置中的安全模板（計(jì)算機(jī)和用戶）部分，通過(guò)注冊(cè)表生效，但并不永久改變注冊(cè)表。若用戶手動(dòng)修改注冊(cè)表中的組策略設(shè)置值，若策略未變，組策略不負(fù)責(zé)強(qiáng)制改回。安全策略是組策略的子集（一部分），只不過(guò)其MMC工具被單獨(dú)提出來(lái)，放到管理工具下了。本文出自 “張東輝的博客” 博客，請(qǐng)務(wù)必保留此出處http://zhangdonghui.blog.51cto.com/304753/62867