windows_learn 001 域(AD)

windows_learn 001 域(AD)

内容总览

活动目录的逻辑结构

域

容器 Container 与组织单元

全局编录GC(global cataloge)

活动目录的物理结构

目录分区

活动目录管理插件和工具

创建AD DS域前的准备工作

如何创建Windows 2008域

安装活动目录过程

个人学习感悟

活动目录的逻辑结构

域

组织单元

域目录树与目录林

全局目录

域

安全边界

安全边界的作用是保证域的管理者只能在该域内有必要的管理权限，除非管理者得到其它域

的明确授权

复制单元

在域中，作为域控制器的计算机包含活动目录的副本。在一个特定的域中，所有域控制都能

够得到活动目录的变化信息，并把变化信息复制给该域中的其它域控制器。

容器 Container 与组织单元

利用OU可以把对象组织到一个逻辑结构中使其最适应你的组织需求。

可以把管理控制权委派给OU中的对象。要委派的管理控制权，必须把OU及OU包含的对象的具体的

权限指给一个或几个用户和组。

目录树和目录林

双向可传递的信任，树与树之间可建立信任关系，使其之间的资源共享等

全局编录GC(global cataloge)

所有对象的部分属性（索引）

全局目录的功能

查找目录林中任意位置的信息，不管数据在什么位置

当用户登录到网络时，确定用户的通用组的成员资格

当用户使用登录组主登录到网络时，将使用全局目录服务器确定用户所在的域

活动目录的物理结构

域控制器 (Domain Controllers) 物理设备

参与活动目录的复制

单主机复制模式

多主机复制模式

站点 Sites

优化复制流量

使用户能够使用可靠、高速的连接登录到域控制器上

目录分区

架构目录分区

它存储着整个林中所有对象与属性的定义数据，也存储着如何创建新对象与属性的规则。

配置目录分区

存储着整个AD DS（Active Directory Domain Server) 的结构

域目录分区

存储着与该域有关的对象

应用程序目录分区

是由应用程序创建的，其内存储着与该应用程序有关的数据

活动目录管理插件和工具

管理插件

Active Directory 用户和计算机

Active Directory 域和信任关系

Active Directory 站点和服务

Active Directory 架构

管理Windows2008网络的方法

利用活动目录来实行集中式管理

集中式管理域用户的访问资源和权限管理

管理用户环境

管理域用户的权限，限制其作用范围和可访问的域资源

委派管理控制权

将权限下发到某个用户，使其来管理域中的特定用户组或用户

Windows 2008 域控制器的新功能

只读域控制器(RODC)

可重启的活动目录域服务(ADDS)

域如何删除

在开始运行里输入dcpromo

创建AD DS域前的准备工作

计算机是运行Windows 2008 standerd Server

Windows 2008 Enterprise Server, or Windows 2008 Datacenter Server

活动目录的分区要求磁盘200MB， 日志文件要求50MB

用NTFS格式化分区或卷，这是(SYSVOL)文件夹必须的

配置DNS和TCP/IP

如果在已存在的网络上创建域，必须有相应的权限

如何创建Windows 2008域

添加ADDS角色

运行dcpromo

安装活动目录过程

启用kerberos v5.0 身份验证协议

设置本地安全策略：用默认的域控制器安全模板

配置本地安全

创建目录分区

创建活动目录数据库文件和日志文件

创建目录林的根域

创建共享的系统卷文件夹

共享的sysvol 文件夹

网络登录共享文件夹

在适当的站点配置域控制器的成员资格

使用应用文件安装DC

此文件是在安装第一台DC时所导出的配置文件，即当需要再安装其它DC时，修改此配置文件

即可实现自动化安装DC，而不需要再进行人机交互式安装DC。简化了安装过程。

活动目录的默认结构（Active Directory Users and computers)

Builtin (windows 2008默认的安全组)

computers (默认的计算机账户的位置)

Domain Controllers (默认的域控制器计算机账号)

ForeignSecurityPrincipals (外部有信任关系的域的安全标识符)

LostAndFound (保存孤立对象的位置)

System (保存系统设置)

Users (用户和组账户的默认位置)

验证活动目录的安装(Verifying the Active Directory Installation)

验证SRV资源记录 (DNS里查询)

验证SYSVOL已成功创建并已正常共享

验证活动目录数据库和日志文件已成功创建

检查日志文件看安装过程中有没有出现错误

提升目录林和域的功能级别

提升林功能级别

Active Directory 域和信任关系

提升域功能级别（注意要先提升林才可提升域）

Active Directory 用户和计算机

添加辅助DC与RODC

方法1

在辅助DC上运行dcpromo升级

方法2

在一台可写DC上制作安装媒体

在辅助DC上运行dcpromo /adv 也可以使用应答文件，实现无人值守安装

个人学习感悟

各位对不住呵呵，，由于现在工作需要，所以需要暂时学习一下Windows server的知识，等工作完全

hold住的时候，继续再进行Linux的研究，个人感觉Linux的开源实在是非常强大，哈哈。学完我之后

感觉我个人都“开源”了哈哈，，你懂得

本文转自Winthcloud博客51CTO博客，原文链接http://blog.51cto.com/winthcloud/1910904如需转载请自行联系原作者

Winthcloud