Acitive Directory之—为什么我们需要域？

什么是域？⼀、什么是域(Domain)：Windows域，是计算机⽹络的⼀种形式，其中所有的⽤户账户、计算机、打印机和其它安全主体都在位于称为域控制器的⼀个或者多个中央计算机集群上的中央数据库中注册，⾝份验证在域控制器上进⾏。

在Windows⽹络操作系统中，域是安全边界，域管理员只能管理域的内部，除⾮其它的域显式地赋予它管理权限，才可以访问或者管理其它的域。

每个域都有⾃⼰的安全策略以及与其它域的安全信任关系，如果企业⽹络中计算机和⽤户数量较多时，要实现⾼效管理，就需要Windows域。

域中计算机的分类：域控制器、成员服务器、客户机、独⽴服务器⼆、什么是⼯作组(Work Group)：⼯作组是最常见最简单最普通的资源管理模式，就是将不同的电脑按功能分别列⼊不同的组中，以⽅便管理。

⼯作组可以是⼀个由许多在同⼀物理地点，⽽且被相同的局域⽹连接起来的⽤户组成的⼩组。

相应地，⼀个⼯作组也可以是遍布⼀个机构的，但却被同⼀⽹络连接的⽤户构成的逻辑⼩组。

域与⼯作组的区别：1、创建⽅式不同，"⼯作组"可以由任何⼀个计算机的主⼈来创建，⽽"域"只能由服务器来创建。

2、安全机制不同，在"域"中有可以登录该域的帐号，这些由域管理员来建⽴。

在"⼯作组"中不存在组帐号，只有本机上的帐号和密码。

3、登录⽅式不同，在⼯作组⽅式下，计算机启动后⾃动就在⼯作组中。

登录"域"是要提交"域⽤户名"和"密码"，⼀旦登录，便被赋予相应的权限。

三、域的⼏种环境：1、单域：在⼀个地理位置固定的⼩公司，建⽴⼀个域通常就可以满⾜需求。

在⼀个域内，⼀般⾄少需要两台域服务器，⼀台作为DC，⼀台作为备份DC。

2、⽗域和⼦域：出于管理及其它需求，需要在⽹络中划分多个域，第⼀个称为⽗域，各分部的域称为该域的⼦域。

3、域树：域树是多个域通过建⽴信任关系组成的集合。

active directory的概念Active Directory（AD）是由微软开发的一种目录服务。

它是用于在网络环境中管理和组织网络资源的一种基于域的层次结构。

AD的概念可以从以下几个方面进行阐述：1. 域的概念：域是AD中最基本的逻辑结构单元，它是一个安全边界，类似于一个边界防火墙。

域可以包含用户、计算机、组织单位等多种对象，并且提供了集中管理和控制这些对象的能力。

2. 目录服务的概念：目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了一种将网络资源分层和分类的方法，使得用户可以更方便地访问和管理这些资源。

3. 组织单位（OU）的概念：OU是AD中的一个组织单位，它用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以根据需要创建各种组织结构，方便地对其内部的对象进行管理和控制。

4. 权限和访问控制的概念：AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

管理员可以通过AD设置访问规则和策略，限制用户对资源的访问权限，确保安全性和合规性。

5. 多域环境的概念：AD支持多域环境，可以在一个AD林（forest）中创建多个域。

不同域之间可以建立信任关系，使得用户或计算机可以跨域访问资源。

接下来，我们来一步一步回答关于AD的一些常见问题。

Q1：什么是域？域是AD中最基本的逻辑单位，相当于一个边界防火墙。

它提供了集中管理和控制网络资源的能力。

域可以包含用户、组织单位、计算机等多种对象。

域之间可以建立信任关系，使得用户可以跨域访问资源。

Q2：什么是目录服务？目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了将资源分层和分类的方法，方便用户访问和管理这些资源。

Q3：什么是组织单位（OU）？组织单位是AD中的一个组织单元，用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以方便地对其内部的对象进行管理和控制。

Q4：AD如何实现权限和访问控制？AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

Active Directory的复制拓扑，Active Directory系列之八Active Directory的复制拓扑在前面的博文中我们在域中部署了额外域控制器，而且我们已经知道每个域控制器都有一个内容相同的Active Directory数据库，今天我们要讨论一下额外域控制器在进行Active Directory复制时所使用复制拓扑。

在NT4的时代，域控制器被分为两类，PDC和BDC。

PDC是主域控制器的缩写，BDC是备份域控制器的缩写。

每个域中只能有一个PDC，BDC可以有多个，BDC的目录数据是从PDC复制而来。

只有PDC才可以更改域中的用户账号，计算机账号等目录数据，BDC的内容是只读的！这种复制模型我们称为单主复制，这种模型我们并不陌生，类似于DNS服务器的辅助服务器和主服务器的关系。

单主复制模型比较简单，管理难度不大，但较容易构成单点故障。

从Win2000开始，Active Directory开始使用多主复制的模型，也就是说每个域控制器都可以自主地修改Active Directory的内容，域中不再有PDC和BDC的区别了。

Win2003使用了和Win2000同样的多主复制模型，而Win2008则在多主复制的基础上又增加了一个RODC，也就是只读域控制器，可以看出Win2008试图在多主复制模型中增加一些单主复制的元素，因为RODC的设计理念显然和BDC是有些关联的。

现在我们知道了Win2003的Active Directory中使用了多主复制的模型，也就是任何一个域控制器都可以修改Active Directory。

为了维护Active Directory的权威性，显然所有域控制器上的Active Directory内容应该都相同。

那么，如果一个域控制器修改了自己的Active Directory，修改的的内容是如何复制到其他域控制器上的呢？这就是我们今天要讨论的内容，Active Directory的复制拓扑！Active Directory的复制拓扑是一个比较复杂的问题，今天我们只讨论在同一域中域控制器之间的复制拓扑。

版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。

否则将追究法律责任。

/202879/113185为什么需要域？对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Direct ory系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Per th。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

Active Directory操作主机详解在前面的博文中，我们已经了解到每个域控制器都能自主修改Ac tive Directory，而且修改后的结果会被其他的域控制器所承认。

从这个角度讲，域控制器之间的地位是平等的，但我们决不能认为域控制器之间是没有区别的！事实上，域中的第一个域控制器往往比其他的域控制器承担了更多的任务。

有些企业中部署了多个域控制器之后，就开始忽略第一个域控制器的作用，有时甚至可能会一不经意间把第一个域控制器给处理掉了。

但这些企业的用户很快就会发现域中会出现一些异常现象，例如无法创建域用户账号，无法安装Exchange，无法部署子域等等。

原因很简单，第一个域控制器承担的任务并没有被转嫁到其他的域控制器上，而这些任务对一个域来说又是不可或缺的，因此我们才会面临如此多的问题。

那么，究竟第一个域控制器和其他的域控制器相比承担了哪些更多的任务呢？这就是我们今天要讨论的话题，操作主机！操作主机是由域控制器来扮演的一种角色，操作主机角色共有五种，分别是PDC主机，RID主机，结构主机，域命名主机和架构主机，今天的这篇博文将分别介绍五种操作主机的用途。

我们先来介绍PDC主机，PDC是主域控制器的缩写，在NT4时代，域控制器被分别PDC（主域控制器）和BDC（备份域控制器），只有PDC才可以修改目录数据库，BDC的数据库是从PDC复制而来的。

从Win2000开始，所有的域控制器都可以修改Active Directory了，那为什么Win2003的操作主机中还有PDC主机这个角色呢？原因是这样的，微软为了保护用户的前期投资，允许NT4服务器称为Win2003域中的额外域控制器，但NT4充当域控制器时一定要和域中的PDC联系，这种情况下PDC主机就要挺身而出，以主域控制器的身份和NT4的域控制器通讯。

这就是PDC主机的第一个用途，兼容NT4服务器。

PDC主机的第二个用途是可以优先成为主浏览器，这里说的浏览器可不是上网冲浪用的浏览器，而是网络中的一种计算机角色。

什么是域？域的相关概念1.什么是域域是由网络上的用户和计算机组成的一个逻辑组或逻辑集合。

域中所有的对象都存储在活动目录下。

一个网络可以建立一个或多个域，每个域都是一个安全界限，这意味着各种权限的设置不能跨越不同的域。

简单地说，一个域就是一系列的用户帐户、访问权限和其他各种资源的集合。

在Windows Server2003的每一个域中都至少有一台域控制器（Domain Controller，DC）充当域的管理者，维护属于本域的Active Directory对象。

域构成了Active Directory树状结构的主干。

Active Directory可以被看成是一个或多个域组成的集合体，是域中最基本也是最重要的部分。

当Active Directory是由一个域组成的时候，Active Directory和域的规模是一样的。

2.域与工作组的区别在工作组模式的网络中，各服务器都是独立的，而且各服务器中的帐户和资源也是各自进行管理的。

所以，管理员需要为每台服务器建立帐户，在管理时也需要分别登录各服务器完成管理工作。

授权用户访问不同的服务器时，也需要分别登录。

在域模式的网络中，服务器可以集中进行管理，域中的帐户和资源也是集中管理的。

所以，管理员登录到服务器后就可以管理整个域并可以访问所有共享资源。

在域模式的网络中，需要一个对帐户和资源进行统一管理的机制，这个机制就是活动目录（Active Directory）。

域中所有的帐户和共享资源都需要在活动目录中进行登记，用户可以利用活动目录查找和使用这些资源。

基于域模式的网络可大大减轻管理的复杂度和工作量，通常用于结构较复杂的网络。

3.域控制器域控制器（Domain Controller，DC）是一台安装并运行Active Directory的服务器，它包含Active Directory数据库的可写副本，参与Active Directory复制并控制对网络资源的访问。

Acitve Directory 域环境的搭建一、准备工作首先网络中需要有一台运行着Windows Server 2003的服务器，目前的主流硬件配置均可以满足安装AD域的需要，因此无需过多考虑。

不过有一点需要注意，那就是硬盘中必须有一个NTFS文件格式的分区以备后用。

二、建立AD域域控制器（DC）是AD域的核心，建立AD域的过程从一定意义上也可以说是将Windows Server 2003服务器升级为域控制器的过程。

Windows Server 2003中提供了AD安装向导，以方便用户的安装，具体的安装步骤如下所述：第1步依次单击“开始/管理工具/配置您的服务器向导”，在打开的“配置您的服务器”向导欢迎页中依次单击“下一步”按钮。

打开“服务器角色”向导页，在服务器角色列表中单击选中“域控制器（Active Directory）”选项，并依次单击“下一步”按钮打开“Active Directory安装向导”，单击“下一步”按钮，如图1。

图1 选择服务器角色第2步打开“操作系统兼容性”选项页，该选项页提示用户运行Windows 95的客户端将无法登录到基于Windows Server 2003的AD域中。

就目前的实际情况而言，Windows 95的身影基本上已经消失殆尽了，因此直接单击“下一步”按钮。

第3步在打开的“域控制器类型”选项页中需要指定该Windows Server 2003服务器担任的角色。

如果要创建一个全新的域，则保持“新域的域控制器”单选框的选中状态。

本文实例属于这种情况，直接单击“下一步”按钮即可，如图2。

图1 选择域控制器第4步打开“创建一个新域”向导页，AD（活动目录）可以把域组织成域树，然后再把域树组织成森林。

在本例中要创建的域是一个新域树中的第一个域，同时也是新森林中的第一个域树，因此保持“在新林中的域”单选框的选中状态，并单击“下一步”按钮。

首先打开 Windows 2003 服务器配置 ip 地址这里我们配置：192.168.1.111 子网掩码：255.255.255.0 DNS :192.168.1.111网关不用配置：下面安装 DNS 服务器：步骤：控制面板—添加或删除程序—网络服务— DNS 服务器装好后默认的 DNS 中还没有添加主机记录：如下图：接下来安装 AD 域环境：在运行中键入命令：dcpromo打开后创建：新域的域控制器—在新林中的域—为新域创建一个 DNS 全名（这里我们填写）： —下面是NetBIOS名：默认为大写的 BAIDU （这里我们不改动）—下面几步都默认—最后输入密码：123456 随便输入：以后记得就可以了！安装在 2 分钟内完成！安装截图如下：完成后系统会要求我们重启！否者 AD 域不生效！重启后开机会比较慢：我们耐心等待：下面进入登陆界面：选择 baidu 域登陆：见下图：进入后打开 DNS 服务器：看到 AD 已经帮我创建了 baidu 的域了！见下图：再打开 AD 看看：发现也创建了 baidu 的域环境了！见下图：然后点击 Users ：见下图：此时 Users 右边显示出如下图的界面：用户信息：下面在空白处右键—新建— user ：见下图：单击：下一步：要求输入密码：见下图：这里选择用户不能更改密码和密码永不过期：因为我们是管理员：不可以把密码设置成可更改：否则我们就不好控制员工了！单击完成后成功创建了一个 user 用户：见下图：下面右击创建的用户：点击属性：点击：拨入：点击 <允许访问> 然后点击应用就OK勒！：见下图：到这里 Windows 2003 中的 AD 域环境就配置完成了！下面到客户机中配置 ip 地址：见下图：其中的 ip 地址必须和域服务器在一个段：域服务器是192.168.1.111这里我们配置 1.222 下面的首选 DNS 服务器填域服务器的 ip 地址：下面到域服务器中打开 cmd 去 ping 192.168.1.222ping 通了说明线路没问题了！下面到客户机中把用户加入域环境！右击—我的电脑—属性—计算机名：点击更改：键入 baidu 的域：见下图：点击确定后！出现如下界面：这里我们输入刚才在 2003 中创建的用户名和密码：单击确定：单击确定后：等待 10 秒左右：显示欢迎加入 域：见下图：下面告诉我们要使配置生效必须重启计算机点击确定后重启电脑重启后进入下面界面：我们看见有 和本地的 CHAO-OKR3GGJGVK 这 2 个用户登录模式这里我们选择创建的 BAIDU 的域：然后输入用户名和密码：就是管理员分配的用户名和密码：见下图：进入系统后右击—我的电脑—计算机名：见下图：这里显示已经加入了域环境：且不可以更改了：更改变成了灰色好了：AD 域环境的基本配置完成！。

Active Directory管理之四:计算机管理一、创建计算机账号在使用AD账号登陆之前，电脑必须加入域。

计算机账号和用户账号类似，也有登录名(sAMAccountName)和密码(这个密码由服务器自动维护)及安全标示符(SID)。

有了这些凭据，计算机可以在AD中进行身份验证，并创建安全关系，AD用户才能登陆到一、创建计算机账号在使用AD账号登陆之前，电脑必须加入域。

计算机账号和用户账号类似，也有登录名(sAMAccountName)和密码(这个密码由服务器自动维护)及安全标示符(SID)。

有了这些凭据，计算机可以在AD中进行身份验证，并创建安全关系，AD用户才能登陆到这些计算机。

如果计算机和AD之间的凭据出现问题，用户在登录时则会提示“此工作站与主域之间的信任关系失败”。

1.创建计算机OU安装好AD后会有2个默认有2个地方可以计算机账号：一个为Computer，计算机及成员服务器加入域后都会默认在该容器，但是不建议使用这个默认容易，因为这个系统默认容器无法链接组策略。

另一个为DomainController，这个OU是放所有域控制器(DC)，这个建议保持默认不变。

一般建议大家至少为计算机账号创建至少两个OU：一个放客户端计算机账号，一个放服务器账号。

方便今后组策略的链接，因为客户端和服务器可能需要链接不同的GPO。

如果是使用基于站点的管理方式，并且台式机和笔记本分开管理，建议按站点的物理位置进行划分，具体如图：注：当计算机加入域时，如果AD中不存在该计算机账号时，会默认在Computer容器中自动创建计算机对象，如果需要改变这个目录，则可以使用redircmp这个命令进行重定向。

使用语法：redircmp“ou=xxx,dc=contoso,dc=com”2.创建计算机账号在“ActiveDirectory用户和计算机”中创建计算机账号，输入计算机名称即可。

使用dsadd创建计算机，语法示例：dsaddcomputer“cn=desktop002,ou=xxx,dc=contoso,dc=com”使用csvde批量创建计算机账号。

子域部署Exchange服务器完全攻略及故障剖析实验拓扑如下图所示，是父域，Florence是父域的域控制器。

是子域，Firenze是子域的域控制器，Berlin是子域的成员服务器，我们准备把Exchange2003部署在Berlin上。

域树中的三台计算机都使用192.168.11.1作为DNS服务器。

为了演示得更彻底，我们搭建这个实验环境从部署AD开始，因为我发现有不少朋友部署Exchange时出现的错误其实源于AD。

一创建DNS区域我部署AD的习惯是用单独的DNS服务器为AD提供解析服务，而不是将DNS安装在域控制器上。

这些做的好处是DNS非常容易维护，只要把引导文件，区域数据文件复制出来就完成了备份，重建DNS服务器只需要几分钟时间。

而且这种拓扑对初学者来说很容易把握，只要把所有的计算机都指向同一个DNS就可以了。

免得很多管理员在域树环境下很是困惑父域的计算机应该使用哪个DNS服务器，子域的计算机又该使用哪个DNS服务器。

如果你使用虚拟机搭建实验环境，可以考虑象我这样把DNS搭建在物理计算机上。

好了，我们不过多讨论DNS和AD的关系，现在开始具体的部署工作。

我们需要在创建AD之前先在DNS服务器中创建出相关区域，然后允许区域进行动态更新。

在DNS服务器上打开DNS管理器，如下图所示，右键点击正向查找区域，选择“新建区域”。

出现新建区域向导，点击下一步继续。

区域类型应该选择“主要区域”。

区域名称为，和AD使用的域名完全相同。

区域的数据存储在Windows\System32\DNS\.dns文件中，我们只要保存好这个文件就能轻松实现DNS服务器的重建。

注意，区域必须允许动态更新，因为在创建AD的过程中需要向这个区域写入A，Cname和SRV记录。

点击完成结束DNS区域的创建。

区域创建完毕之后，如下图所示，我们看到区域中已经有了一条NS记录和SOA 记录，从逻辑上来说，这两条记录对一个区域来说是不可或缺的。

实战子域部署域树是Active Directory针对NT4的传统域模型所进行的重要改进。

在NT4时代的域模型中，每个域都要使用没有层次结构的NETBIOS名称，而且域和域之间缺少关联，只能创建不能传递的域信任关系。

这会在企业管理方面造成诸多不利因素，首先域和域之间很难根据域名判断彼此间的隶属关系，例如beijing域和shanghai域；其次由于域之间的信任关系不可传递，在域数量较多时光是创建域之间的完全信任就要耗费大量时间。

假定有10个域，那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完全信任。

域树针对以上问题进行了很好的解决，域树的父域和子域之间由于使用了层次分明的DNS域名，只要根据域名我们就可以判断出两个域的隶属关系，例如有两个域和，我们可以很轻易地判断出后者是前者的子域。

域树在信任关系上也有很好的改进，域树内的各个域之间会自动建立起双向可传递的信任关系，显然这是一个效率上的重大改进。

既然域树如此重要，那我们将通过一个实例为大家介绍如何部署一个包括父域和子域的两层域树。

拓扑如下图所示，父域为，域控制器和DNS都是Florence。

子域是，域控制器和DNS都是Firenze。

父域已经创建完毕，我们将为大家介绍如何部署子域。

如果父域和子域都使用同一个DNS 服务器，部署起来会更容易。

但我们考虑到有可能子域希望能拥有独立的域名解析权，这样很多工作会更容易开展，因此我们决定在子域也设置一个独立的DN S服务器。

一DNS委派首先我们要考虑DNS的委派问题。

目前，的解析权归Florence，也就是说Florence可以解析所有以结尾的域名。

如果我们希望Firenze能够解析，那么我们必须在Florence上对Firenze进行委派，授权Firenze可以解析。

我们在Florence上打开DNS管理器，如下图所示，右键点击，选择“新建委派”。

如下图所示，我们准备对区域进行委派。

接下来要设置委派对象，如下图所示，点击“添加”按钮来设置被委派的DNS 服务器。

写给刚接触Active Directory的朋友2005-08-25 09:37作者：出处：天极论坛责任编辑：王玉涵域是微软网络中最重要的概念之一。

用比较简单的话说，域实际上就是指一组服务器与工作站，并且它们同意将用户和机器帐户的名称及密码集中放在一个共享数据库内。

这种做法非常有用，并且适合任何规模的网络，因为域使得用户只需要一个用户名和密码就可以访问企业的域系统中所有的电脑。

当系统管理员为一位新员工建立一个帐户后，他马上（有复制情况除外）就可以访问网络中允许他访问的任何资源。

而当需要修改密码时，只需要修改一次，整个域都能识别并接受新密码。

把用户与机器帐户及密码集中管理只是一个开始。

首先在NT3.51系统上出现了用户配置文件；在NT4上，域成了集中放置“系统策略”的地方；Windows2000的域可以集中存储DNS信息，并且还提供了“系统策略”的改良版本“组策略”，组策略可以说是整个网络中某种形式的“控制面板”。

当然，并不是一定要有域才能将一些运行Windows系统的电脑组成网络，但是如果在网络中有了域，那么很多事情都会变得非常容易。

Active Directory（AD）域的作用域可以做很多事情。

我只能介绍其中一部分的内容，但这不是一份清单。

这些内容包括：λ * 集中存储用户和密码* 提供一组服务器作为“身份认证”和“登录”服务器，也就是“域控制器”λλ * 对域中的资源维护一个可供搜索的索引，方便人们查找* 允许建立带有不同级别的用户；同时，域还允许创建子管理员λλ * 允许将域细分网络的首要任务是提供服务，它是集中存储文件或数据库、共享打印机以及其它服务的地方，使人们可以通过电子邮件或是其它技术彼此通信。

第二个任务是：安全。

那么在一些保护代措施下会发生两件事情：λ * 身份验证λ * 授权早期的NT系统，从3.1到4都只有一个文件，叫作SAM，也就是Security Accounts Manager 的缩写。

Active DirectoryActive Directory就是我们常说的活动目录，在很多的情况下我们会听到这个词，有人说Active Directory就是把一个局域网的所有资源都当成目录的一部分来管理的一种服务。

我整理一些资料希望对要研究Active Directory的人有点帮助。

Microsoft 的Active Directory 是一种目录服务，它提供用户信息、网络资源和服务等中心分层存储器。

还可以扩展这个目录服务中的信息，同时存储企业感兴趣的自定义数据。

例如，MicrosoftExchange Server 和Microsoft Dynamics 广泛使用Active Directory 来存储公共文件夹和其他项。

在Active Directory 发布之前，Exchange Server 使用它自己的私有存储器来存储对象。

系统管理员必须为一个人配置两个用户ID：Windows NT 域中的用户账户(启用登录)，和Exchange Directory中的用户账户。

这是必需的，因为需要用户的其他信息(如电子邮件地址，电话号码等)，NT 域的用户信息不能扩展，以添加需要的信息。

Active Directory 的功能Active Directory 的功能可以总结为：● Active Directory 中的数据以分层的方式组合。

对象可以存储在其他容器对象中。

用户并不是放在一个大型用户列表中，而是组合到组织单元中。

因为组织单元可以包含其他组织单元，所以以这种方式可以构建一个树型视图。

● Active Directory 使用多主机复制方式(multimaster replication)。

在Active Directory 中，每个域控制器(DC)都是主机。

在多主机模型中，更新可以应用于所有DC。

与单主机模型相比，这个模型的伸缩性比较高，因为可以同时在不同的服务器上进行更新。

该模型的缺点是复制起来比较复杂。

第二章1.服务器角色及其转换答：Active Directory环境有3种角色：域控制器、成员服务器和独立服务器2．Active Directory的中文名称是什么？其功能是什么？答：活动目录；用于组织、管理和定位网络资源的增强性目录服务，作为网络基础设施，以域为基础对网络资源实行集中管理和控制。

3. Active Directory结构为何种结构？按自上而下顺序，依次为哪几项？答：树结构；域，组织单元，域树，林。

4. Active Directory的基本单位和核心单元是什么？答：域是Active Directory的基本单位和核心单元5. 多个域可以组合成为什么？何为根域？何为子域？答：域树；域树中的第一个域称作根域；同一域树中的其他域为子域6. 何为组织单位？何为林？答：可将域再进一步划分成若干组织单位；林是一个或多个域树通过信任关系形成的集合7．简述安装域控制器的操作步骤。

答：首先要考虑有没有DNS服务器，安装向导安装活动目录域控制8. Active Directory管理工具有哪几种？答：Active Directory 用户和计算机，Active Directory 域和信任，Active Directory 站点和服务9. WindowsServer2003提供的内置域用户账户有哪两个？答：使用UPN用户名“用户名@域名”和密码登录到域；使用SAM账户名称和密码登录到域10. 组的基本特性有哪几点？组的作用域分为哪几类？答：组可跨越组织单位或域，组可作为安全主体，与用户、计算机一样被授予权限，组为非容器对象，组成员与组之间没有从属关系;通用组，全局组，，本地组11. 列出几种主要的Active Directory对象访问权限。

答：每个AD对象都有一个访问控制列表，记录安全主体（用户、组、计算机）对其读取、写入、审核等访问权限；在域中访问控制是通过为对象设置不同的访问级别或权限，在对象级别进行管理的12.组策略应用顺序答：本地组策略对象→AD站点→AD域→AD组织单位。

•••
•
在Windows 2003域内的资源已对象（object ）的形式存在，如：用户、计算机、打印机、应用程序等都是对象。

并且每个对象是通过“属性（attribute ）”来描述特征的，即对象就是一些“属性”的集合。

对象
属性用户（user ）姓名电话号码电子邮件城市
省
国家
.
.
.
Types of Trusts
Tree/Root
Trust
Forest
Trust
Shortcut Trust External
Trust
Realm
Trust
Parent/Child
Trust
•
•
•
•
•
•
•
•
域功能Windows2000
混合模式
Windows2000
原始模式
Windows Server
2003
改变域控
制的计算
机名称
不支持不支持支持
通用组不支持安全性
组
支持发布组
支持安全性组
支持发布组
支持安全性组
支持发布组
组嵌套有限制安全支持
安全支持
转换组不支持支持,安全性
组与发布组可
相互转换
支持,安全性组与发
布组可相互转换
SID 历史资料不支持支持,用户账户在不
同域之间转移进,仍
然拥有其原来的权
限与权利
支持,同左
•
林功能Windows 2000Windwos server 2003
全局编录的复制
最佳化
不支持支持林信任关系不支持支持域名变更不支持支持
链接值复制不支持支持，可大幅度提高复制的效率。

活动目录（AD）介绍及其意义--by tonyye1、什么是活动目录（Active Directory）活动目录（Active Directory）是微软公司的目录服务产品。

目录服务用来组织和存储网络上的资源，这样网络使用者或者应用程序就可以方便到查找网络中的资源并使用它。

114查号台就是一种目录服务，通过拨打114可以找到你想知道的组织或个人的电话号码。

AD 是局域网中的“查号台”，它管理着网络的用户、计算机、打印机等各种资源。

域内用户可以方便的查找到这些资源，比如搜索“6楼的彩色打印机”，连接上该打印机就可以使用了。

活动目录（AD）于1999年伴随Windows Server 2000操作系统首次发布。

因为有了AD，Windows操作系统才从只能管理计算机本地资源的单机操作系统演变成能够管理网络中各类资源的网络操作系统。

技术上，AD实现了业界通用的轻量级目录访问协议（LDAP）和X.500系列标准，采用多种身份认证技术，具备较高的安全性。

2、实施活动目录的意义采用活动目录管理网络的意义在于：加强网络管理、统一身份认证、增强安全性、组织间的相互身份认证。

2.1 加强网络管理在没有使用域模式管理的网络中，通常采用工作组模式。

这种模式下，网络中的各台终端地位是平等的，没有一个统一的网络管理的角色。

网络管理员无法对网络内的用户及用户使用的计算机进行管理。

域模式的应用使网络从“自由市场”变成了“商场”，域控制器就是“商场”的管理员。

域控制器知道网络中所有资源的信息，并且将他们组织起来。

通过组策略可以对网络中的计算机进行设置，例如可以统一设置IE选项、在开机和关机时自动运行脚本、远程安装软件等。

域让网络管理员有了管理网络的手段。

2.2统一身份认证企业一般有很多的信息系统，例如，协同办公系统、财务系统、人力资源系统、项目管理系统等等。

每个信息系统都要维护一套用户信息、实现一套身份认证程序，根据用户的权限对其开放相应的资源。