域AD的相关知识

AD 环境配置
1在2003上安装AD的DC之前先在本地计算机上创建一个old帐户，在查看本机DNS区域内容，管理工具中的工具内容，计算机名。
2安装的方法有两种：通过管理工具中的“管理您的服务器”或者通过命令dcpromo也可以将一台独立服务器提升成为DC，但是操作之前所有加密（EFS）的数据都要完成解密或将密钥备份,NETBIOS是早期版本的Windows 识别新域的名字，还原模式密码是当AD出现错误需要进行修复时，开机按F8 进入的安全模式修复的密码，而并非正常登陆时管理员的密码
3安装重新启动之后可以看到域控制器只能登陆到域中，而且采用的是域帐户，当前的administrator为域管理员，为了方便登陆可以采用UPN（用户主名）登陆方法administrator@yjb.com;登陆之后在“计算机管理控制台”中没有了“用户管理”，在域控制器上不存在本地帐户，所有帐户均为域帐户，帐户的管理在“活动目录用户和计算机”的管理控制台中；DNS服务器的区域中有很多的记录，如果无意误删，可以通过重新启动DNS服务器或者重新启动“NETLogon”服务进行加载
4将其他计算机添加到域中作为成员服务器，弹出的用户名和密码一定要是域帐户，administrator可以将无限量的计算机添加到域，普通的域帐户只能将10台计算机添加到域中
5在域成员登陆的时候，可以看到登陆的可选项为两个“本地计算机”和“yjb域”，因为在域成员计算机上存在本地帐户，所以可以通过本地帐户登陆到本地计算机上，同时也可以使用域帐户登陆到域中
6当管理员使用administrator这个域帐户登陆到域的时候，不能使用到“活动目录用户和计算机”的管理工具时，可以通过打开mmc管理控制台进行对域控制器的控制
7默认情况下所有的域帐户除了不能登陆到域控制器之外，普通帐户都可以登陆到域中的其他计算机上，为了保证每个人只使用自己的计算机所以需要进行设定，只使用自己计算机
8可以限定用户在使用计算机时的时间范围
9通过进行域中计算机的管理控制台打开，可以对域中计算机进行配置，一般的配置最好是将本地的管理员administrator禁用掉，或创建一个不允许别人知道的本地管理员密码，再创建一个给普通用户使用的本地帐户以便能够登陆本地计算机
10 2003域之间信任关系的创建
1）创建信任之前必须将备用DNS的IP地址指向对方域的DNS服务器的IP地址，以方便进行名称查询
2）统一双方域的管理员密码，创建完信任关系之后两个域就在一个林中了，森林中需要企业管理员，企业管理员密码就是当前统一后的双方域的密码

AD中的分布式文件系统应用：
AD中的分布式文件系统应用：
早期使用网络中的文件共享往往都是建立一个文件服务器，将网络中的所有文件都共享在这个文件服务器上，这样就给此服务器带来了比较大的磁盘容量负荷和网络带宽的负荷，所以在早期的文件访问采用此方式；随着网络技术的发展，Windows操作系统就提供了网上邻居的使用，就是把一些需要的文件都分散的放置在局域网中的每个计算机上，通过网上邻居的浏览来访问需要的文件，这种方法也有弊端，就是在访问的时候局域网中计算机数量比较多的时候，用户需要在网上邻居中查找文件存在的计算机，比较麻烦；现在在Windows系统上可以提供一种最好的文件服务器DFS（分布式文件系统），它有三大的优点：
1）易于文件访问：文件仍然是分散的放置在网络中的很多计算机上，但是通过分布式文件系统的链接将这些文件的透明的链接在了分布式文件系统的服务器上，客户只要知道分布式文件系统的服务器所在的位置就可以访问到整个网络中的所有链接的文件资源
2）增加了文件的可访性：一般情况，文件存在的计算机如果被关闭或宕机后，该文件就无法进行访问了，但是由于分布式文件系统中提供了一种“目标”或“副本”的功能就可以在文件存在的计算机被关闭的情况下仍然作到有效的文件访问，而且原文件和目标文件是进行同步的（自动同步或手动同步），作到了文件的可访性
3）减轻了文件服务器的负荷：在分布式文件系统中，文件都是分别存在于网络中不同的计算机上，客户机在访问分布式文件系统服务器中其他的链接文件时，其实是脱离了与分布式文件系统服务器的访问而到真实存在文件的计算机上进行访问，这样就减轻了对分布式文件系统的服务器的负荷
分布式文件系统的组成：
1）分布式文件系统基于共享，所以用到的文件都要进行共享
2）分布式文件系统需要分布式文件系统的“根”，一个服务器只能创建一个分布式文件系统的“根”，根在分布式文件系统的服务器上，根有两种，一种是“独立根”（创建在独立服务器上的根，这种分布式文件系统不能进行副本的自动复制，只能通过手动复制）另一种是“基于域的根”（基于域的根可以进行文件的自动复制，所以应用灵活方便）
3）分布式文件系统还需要创建链接，链接就是网络中所有计算机上的共享文件存在的计算机的共享资源，在独立根下的链接不要设置共享权限，因为在使用时不同计算机的用户名和密码不同，再设置权限后，Windows系统就不能有效的访问了，而基于域的根可以随便设置权限，因为在域中帐户都是统一进行管理的，所以在实际应用中一般不使用独立服务器（工作组中的服务器）上的独立根，链接可以是Windows系统的文件也可以是Linux下的文件，都可以。
在2003上创建DFS时需要NTFS文件系统的支持，如果不是NTFS文件系统就无法完成“副本”创建，因为在复制时需要使用到NTFS文件系统的卷影副本功能

AD AGDLP 活动目录
活动目录Active Directory（AD）是目录服务中的一种，在很多的操作系统上都支持目录服务，比如NT4.0的目录服务、Unix的目录服务NETWare的目录服务，微软的早期操作系统目录服务使用的协议为X.500,但是在Windows 2000和Windows 2003上使用LDAP（轻量级目录服务访问协议），作为目录服务的协议，由于该协议存取速度快，效率高，所以从此把2000和2003的目录服务称为活动目录。
活动目录包含两个方面的内容：目录和目录服务，目录是表示在目录中放置什么样的内容（计算机帐户，用户帐户、共享文件夹、打印机等等），目录服务表示如何存取目录中存放的资源，使它们有效的发挥作用
活动目录的逻辑结构：
1域（domain）:活动目录中最小的复制（信息复制）单位，有父子域、兄弟域等，每一个域都是单一的管理和安全边界，在环境中安全的特权和管理特权都不会延伸到其他的域，根域是在整个域树中创建的第一个域，一般域的名字和DNS区域的名字要一致
域的功能级别：在2003的域中域的功能级别有：.NET模式（在域中域控制器的操作系统都是2003，功能最多的域的模式）；纯模式（在域中域控制器的操作系统有2003的也有2000的，在功能上受到了一定的限制，安全性也比.NET模式差）；混合模式（在域中域控制器操作系统有NT4.0的也有2003和2000的，安全性非常差）；临时模式（已经很少用了，将NT4的域提升到2003域的一种临时的模式）
2组织单元(OU)：人为创建的合理有效的管理方法，是可以包含很多资源的容器，特点是可以在组织单元上使用组策略
3域树(Tree)：和根域有信任关系的域构成了域树，一个单域也是单域的树。
4森林(Forest)：由多个域树构成了森林
林的功能级别：.NET模式（在林中域控制器操作系统为2003）和纯模式（在林中域控制器操作系统为2003和2000混合）
信任关系在活动目录中有两种特性：
1方向性：A–>B（A信任B，表示B域可以访问A域），单向信任；A<-->B（A和B两个域相互信任，可以相互访问），双向信任
2传递性：A–>B ,B–>C 如果可以推出A–>C就是可以传递的信任关系，如果不能得出就是不可信任关系
通过方向性和传递性得到常用的两种信任关系为“单向不可信任”和“双向可信任”，Windows 2003系统父子域默认是双向可传递信任关系
信任关系在2003上有以下四种：
快捷方式信任：如果两个域本身存在信任关系，但是需要经过很多域进行关系的传递，所以需要手动的创建关系（就象创建快捷方式）
外部信任：属于不同的两个树的域本身没有信任关系，为了能够相互访问，创建的信任关系
林信任：两个森林在林的根域上创建信任关系
非Kerberos领域信任：Windows操作系统的域使用Kerberos身份验证，而其他的目录服务不采用Kerberos身份验证，相互信任关系就是非Kerberos领域的信任
AD物理结构：
1）域控制器DC：在域中的核心服务器，存储活动目录数据的服务器，一个域中可以有多个DC,用户登陆和计算机帐户登陆身份审核,存储域中的计算机帐户和用户帐户
2)全局编目服务器GC:存储本域完整目录信息同时又存储其他域的目录信息副本
3）站点：高带宽连接的区域，站点决定了目录复制的效率
帐户:
1)计算机帐户:构成域的主体,一个域中包含多少计算机,就有多少计算机帐户
2)用户帐户:使用计算机的用户帐户,使用计算机的用户拥有的登陆计算机帐户的用户名和密码
AD中的组帐户:
组在活动目录中可以按照类型分为安全组和分布式组,也可以按照作用范围分为全局组、域本地组和通用组
按照类型考虑安全组可以设置权限，而分布式组不能设置权限只能做分配列表使用
按照作用范围考虑全局组是来自整个森林的用户，可以访问整个森林资源，而域本地组来自于本地域只能够访问本地域，通用组只能在选择类型为分布式组的时候才能使用，所以一般不用
微软推荐我们在使用多域环境时，采用AGDLP策略进行权限的设置，就是首先将帐户A（account）添加到一个全局组G(global group)中，然后将这个全局组G添加到另一个DL域本地组(domain local group)中，最后再设置域本地组的权限P(permission)，实现资源的有效权限设置

AD中的FSMO角色
AD中的FSMO角色：
2000的AD2003的AD都不同于NT4.0的目录服务，NT4.0的目录服务中存在主域控制器和备份域控制器，俗称为PDC和BDC,PDC主要完成用户帐户和计算机帐户的登陆问题，而BDC只是做备份，在2003的AD中没有PDC和BDC的概念，取而代之的是在活动目录中使用多个DC，但是不份主次，DC的作用由FSMO角色去确定，默认在AD中第一个创建的DC它有五种角色
1域命名主机：domain naming master,负责在整个森林的结构，与环境，在一个森林只有一个域命名主机，而不管有多少个域
2架构主机：infrastructure master,在整个森林中只有一个架构主机，森林的结构和环境
3 PDC模拟器：主域控制器模拟器，负责帐号的登陆和身份的审核，在一个域中只有一个PDC模拟器，通过此也可以看出每个域是独立进行身份审核的
4RID主机：相对标识主机，在域中每个对象都是有唯一ID号的，这个ID号是由RID主机进行颁发的，在一个域中只有一个RID主机
5基础结构主机：在每个域中只有一个，来确定当前域的环境
五种主机每一个都负责一定的功能，如果在DC损坏的时候，那么当前这个域就不能正常工作了，如果出现了这样的问题该如何解决？
首先应该在域中创建至少两个DC，默认DC会将刚才提到的五种操作主机集于一身，如果损坏或者重新安装操作系统的话，那么就需要操作主机的角色转移或抓取了。
转移：transfer ,旧的DC如果还能正常工作或还能启动的情况下，我们的操作可以用转移，转移可以在图形化和命令行下完成，转移后，旧的DC就可以重新安装操作系统了。
抓取：seize,抓取是指旧的DC已经不能正常工作，或已经不能启动，那么带给网络管理员的麻烦是，域中的某些计算机已经不能正常登陆到域中，此时需要使用强迫抓取，将五种操作主机都强制到可用的DC上
使用命令完成操作：
ntdsutil 进入ntds工具提示符
roles 调整操作主机角色
connections 进入连接模式
connect to server "DC名" 连接到可用DC上
quit 返回上层菜单
transfer pdc （或其他） 进行转移或抓取
quit 退出
在企业中会遇到DC损坏时，往往DC也是DNS服务器，那么意味着DNS服务器也损坏了，需要在创建额外DC时同时再创建一个额外的DNS（不是辅助的），在DNS创建时一定要选择“与AD集成的区域”，少等片刻DNS的数据就自动的复制到额外的DNS中了，这样DNS损坏时，也不用担心了