活动目录(Active Directory)系列

1 Active Directory相关知识1.1Active Directory概述活动目录（Active Directory简称AD），是从win2000 开始引入的操作系统的重要组件。

AD可以认为是一个大的层次结构数据库，用来集中存储企业内部的用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种重要资源。

AD允许网络用户通过单一登录就可以访问网络中任何位置的许可资源。

从开发人员角度看AD，可以理解AD是一种存放了应用程序所需要的特定资源信息的“数据库”。

AD还对这些资源信息的读取和查询进行了优化，而且它允许通过大量的用户定义以满足特定的商业和组织需要。

1.2几个相关术语简介1.2.1容器和非容器AD中的资源信息被组织成一个层次结构。

这个层次结构中的每一个实体都被简称为对象。

换句话说，AD中创建对象时，是把它们创建在一个层次结构中的。

该结构由两种类型的对象组成：Container(容器)和非Container(非容器)。

容器可容纳非容器或下一级的容器。

而非容器则不再包含其他对象，因此也常被成为叶或叶子对象。

在安装完活动目录后，操作系统已经默认自动创建了很多的Container，如Users, Builtin1.2.2 OUOU是Organizational Unit(组织单元或部门)的缩写。

OU是容器对象，它主要从逻辑的角度来管理和组织活动目录域。

可在其中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他部门。

部门（在Active Directory 用户和计算机界面中用文件夹表示）允许按逻辑关系组织并存储域中的对象。

如果有多个域，则每个域均可实现各自独立的部门层次。

如下图所示，部门中也可包含其他部门。

1.2.3 Naming ContextAD被分成许多部分，称之为分区或者命名上下文（Naming Context，简称NC）。

在AD中包含了三个命名上下文（Naming Context，NC）：域命名上下文（Domain NC）、配置命名上下文（Configuration NC）和架构命名上下文（Schema NC）。

活动目录（ActiveDirectory）基础（图）网络服务器-电脑资料活动目录是Windows 2000 网络中目录服务的实现方式，。

目录服务是一种网络服务，它存储网络资源的信息并使得用户和应用程序能访问这些资源。

活动目录对象主要包括用户、组、计算机和打印机，然而网络中的所有服务器、域和站点等也可认为是活动目录中的对活动目录是Windows 2000网络中目录服务的实现方式。

目录服务是一种网络服务，它存储网络资源的信息并使得用户和应用程序能访问这些资源。

活动目录对象主要包括用户、组、计算机和打印机，然而网络中的所有服务器、域和站点等也可认为是活动目录中的对象。

活动目录架构◆ 含有活动目录中所有对象的定义；◆ 用对象类和对象属性来描述每个对象；◆ 在Windows 2000的网络中，整个森林只有一个架构；◆ 架构保存在活动目录中。

活动目录的逻辑结构活动目录的逻辑结构用来组织网络资源。

域（Domain）◆ 域是Windows 2000 活动目录的核心单元，是共享同一活动目录的一组计算机集合；◆ 域是安全的边界，在缺省的情况下，一个域的管理员只能管理他自己的域，一个域的管理员要管理其他的域，需要专门的授权；◆ 域是复制单位，一个域可包含多个域控制器，当某个域控制器的活动目录数据库修改以后，会将此修改复制到其他所有域控制器。

组织单元（Organizational Units，OU）◆ OU是域下面的容器对象，用于组织对活动目录对象的管理，是Windows 2000中最小的管理单元；◆ OU可用来匹配一个企业的实际组织结构，域的管理员可以指定某个用户去管理某个OU；◆ OU也可以像域一样做成树状的结构，即OU下面还可以有OU；◆ 使用OU可取代Windows NT4.0的多域网络，参见图1。

图1树和森林（Trees and Forests）树（Trees）：由一个或多个域构成。

Windows 2000中的树共享连续的名字空间；树具有双向、传递信任，即缺省情况下，Windows 2000中父域和子域、树和树之间的信任关系都是双向的，而且是可传递的。

ad域控林的概念-概述说明以及解释1.引言1.1 概述在AD域控林的概念中，"AD" 是Active Directory的缩写，它是微软公司开发的一种目录服务，用于中小型企业或大型企业管理网络用户、计算机和其他设备。

而"域控林"则是指将多个AD域（Domain）通过域间信任（Trusts）关系连接在一起，形成一个逻辑上的林（Forest），实现统一管理和集中控制的架构。

AD域控林的概念为企业提供了一种灵活而高效的管理网络资源的方式，能够实现跨域资源共享、集中权限管理、统一安全政策等功能。

通过建立AD域控林，企业可以实现资源的统一管理和集中化管理，提高了系统的可靠性和安全性。

总的来说，AD域控林为企业提供了一种强大的网络管理架构，能够满足复杂的管理需求，提高系统的可靠性和安全性，是现代企业网络管理的不可或缺的重要组成部分。

1.2 文章结构文章结构主要分为引言、正文和结论三部分。

在引言部分，将通过概述、文章结构和目的介绍ad域控林的基本概念和写作目的，引导读者对本文主题有一个整体的了解。

在正文部分，将主要从ad域控林的定义、组成和优势三个方面展开介绍，分别对ad域控林的概念进行详细解读，介绍其由哪些组成部分构成，以及ad域控林相比其他体系的优势所在。

在结论部分，将总结ad域控林的重要性，展望其未来发展方向，并通过结语对全文进行一个简要的总结，为读者留下深刻的印象。

1.3 目的目的部分主要介绍了本文讨论ad域控林的目的和意义。

在当今的信息化时代，企业和组织面临着日益复杂的信息技术环境和安全挑战，ad 域控林作为一种新型的网络架构解决方案，具有较强的应用前景和市场需求。

本文旨在深入探讨ad域控林的定义、组成和优势，帮助读者了解ad 域控林的基本概念和作用，推动其在实际应用中的推广和发展。

通过本文的阐述，读者将对ad域控林有更深入的了解，为其在企业和组织中的应用提供参考和指导。

active directory基本概念Active Directory（AD）是由Microsoft开发的一种目录服务，用于在网络中管理和组织用户、计算机、打印机等资源。

它提供了一个集中式数据库和认证服务，用于在组织内建立和维护网络中的对象的层次结构。

以下是一些关于Active Directory 的基本概念：1. 目录服务（Directory Service）：• Active Directory 是一个目录服务，其主要作用是存储和组织网络中的对象信息，如用户、计算机、打印机等。

这些对象按照层次结构进行组织，形成一个树状的目录。

2. 域（Domain）：•在Active Directory中，域是一个逻辑上的组，用于组织和管理网络中的对象。

每个域都有一个唯一的域名，域内的对象可以相互共享资源和认证信息。

3. 林（Forest）：•一个林（Forest）是一个包含一个或多个域的集合。

域与域之间可以建立信任关系，形成一个林。

每个林都有一个共享的林根（Forest Root），所有域都共享这个林根。

4. 域控制器（Domain Controller）：•域控制器是运行Active Directory服务的服务器。

每个域至少有一个域控制器，它存储了该域的目录信息，并提供认证和授权服务。

5. 组织单位（Organizational Unit，OU）：•组织单位是用于组织和管理域内对象的容器。

OU可以包含用户、组、计算机等，并可以在OU内应用特定的策略。

6. 组（Group）：•组是一种将用户、计算机等对象集合在一起的方式，以便更轻松地管理这些对象的权限和设置。

7. 用户和计算机账户：• Active Directory存储了用户和计算机的信息，包括登录名、密码、权限等。

用户和计算机账户可以被组织在域内的不同容器中。

8. 域名服务（DNS）：• Active Directory使用DNS来命名和定位域控制器。

AD域控及组策略管理目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。

1、工作组与域的区别...................... 错误!未指定书签。

2、公司采用域管理的好处.................. 错误!未指定书签。

3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。

二、AD域控（DC）基本操作 .............. 错误!未指定书签。

1、登陆AD域控........................... 错误!未指定书签。

2、新建组织单位（OU）.................... 错误!未指定书签。

3、新建用户.............................. 错误!未指定书签。

4、调整用户.............................. 错误!未指定书签。

5、调整计算机............................ 错误!未指定书签。

三、AD域控常用命令.................... 错误!未指定书签。

1、创建组织单位：(dsadd)................. 错误!未指定书签。

2、创建域用户帐户(dsadd)................. 错误!未指定书签。

3、创建计算机帐户(dsadd)................. 错误!未指定书签。

4、创建联系人(dsadd)..................... 错误!未指定书签。

5、修改活动目录对象（dsmod）............. 错误!未指定书签。

6、其他命令（dsquery、dsmove、dsrm）..... 错误!未指定书签。

四、组策略管理......................... 错误!未指定书签。

1、打开组策略管理器...................... 错误!未指定书签。

第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大，用户要了解如何实现这些功能，以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心：活动目录目录服务。

活动目录在实施组织的网络，进而实现组织的商业目标中占有重要地位。

通过本章学习,您将了解到以下一些主要内容：目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识，读者应重点熟悉以下内容：逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说，目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。

而在计算机网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构。

对象包括共享资源，如服务器、共享卷和打印机；网络用户和计算机帐户；域、应用程序、服务、安全策略，以及网络上的其他所有内容。

以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例：一般情况下，目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

用户通过目录服务来使用目录中的信息，如用户可能需要使用网络中的某样资源，如打印机，但不知道它在网络上确切位置，有了目录服务，用户只要了解该打印机的一项属性，就可以通过查询活动目录来使用它。

我们可以把目录服务看作既是一个管理工具，同时也是一个面向最终用户的工具。

系统管理员用它可以定义、安排和管理对象（如打印机、用户）及其特征，以使它们能被用户和应用程序使用；而用户可以用它来获得感兴趣的信息。

换一个角度，理解目录服务就是要理解它和目录的不同之处：它既是目录信息源，又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。

理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化；这样，即使用户不知道资源的物理连接位置和连接方法，也能够访问资源。

Active Directory教程Active Directory教程活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。

Microsoft Active Directory服务是Windows平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

在本期技术教程中，我们将介绍Active Directory在虚拟化方面的使用技巧。

使用Active Directory追踪VM随着很多企业部署越来越多的虚拟化平台，如何区分物理服务器和虚拟服务器也变得越来越难。

有一种标识服务器对象（无论是虚拟环境还是物理环境）的方法是使用每一台计算机对象Active Directory中的Description属性。

那么具体该如何操作呢？使用Active Directory标识和追踪虚拟机使用脚本进行Description查询添加自定义Active Directory计算对象属性定位虚拟机Active Directory快照Windows Server 2008允许管理员对Active Directory进行快照。

在作出任何主要的Active Directory修改之前创建快照，以便在需要的时候使用副本数据库恢复。

如何使用Windows Server 2008里的Active Directory快照？使用Windows Server 2008里的Active Directory快照Active Directory实用技巧如何创建一个Windows AD组？如何在vSpere中使用这个组控制虚拟基础架构的管理人员？在Active Directory环境里，如何诊断和解决登录性能缓慢的难题？taskpad是什么？对Active Directory数据库有何作用？使用Windows Active Directory组控制vSpere管理权限解决在Active Directory环境里Windows登录性能问题在Active Directory管理里创建taskpad view使用Active Directory标识和追踪虚拟机在本系列文章的第一篇文章中，TechTarget中国的虚拟化专家Chris Wolf将介绍如何使用Active Directory跟踪虚拟化资源。

二、DNS客户机所配的DNS是否指向DC所用的DNS服务器，讨论同前。

三、计算机帐号基于安全性的考虑，管理员会将暂时不用的计算机帐号禁用（如财务主管渡假去了），出错提示为“无法与域连接……，域控制器不可用……，找不到计算机帐户……”，而不是直接提示“计算机帐号已被禁用”。

可到AD用户和计算机中，将计算机帐号启用即可。

对于Windows2000/XP/03，默认计算机帐户密码的更换周期为30天。

如果由于某种原因该计算机帐户的密码与LSA机密不同步，登录时就会出现出错提示：“计算机帐户丢失……”或“此工作站和主域间的信任关系失败”。

解决办法：重设计算机帐户，或将该计算机重新加入到域。

四、默认普通域用户无权在DC上登录见下一小节的Q1。

五、跨域登录中的问题在2000及以上计算机上登录到域的过程是这样的：域成员计算机根据本机DNS配置去找DNS服务器，DNS根据SRV记录告诉它DC是谁，客户机联系DC，验证后登录。

如果是在林中跨域登录，是首先查询DNS服务器，问林的GC是谁。

所以要保证林内有可用的GC。

如果是要登录到其它有信任关系的域（不一定是本林的），要保证DNS能找到对方的域。

Q3、如何解决本地或域管理员密码丢失？本地管理员密码丢失，可通过删除sam文件（2000SP3以前）或通过NTpassword软件来解决。

但要解决域管理员密码丢失，它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander2002了，接下来我们将详细讨论使用此盘解决管理员密码丢失问题。

1、上网搜索“凤凰启动盘”或“凤凰万能启动盘”，大约178M；2、下载后解压缩，将其内容刻录成光盘；3、用此光盘启动计算机，显示XP安装界面，Start ERD Commander2002环境；4、出现选择菜单，选择第一项：ERD Commander2002；5、出现类似XP的启动界面6、进入选择系统安装的路径，一般会自动测出操作系统、版本及是否域控制器；7、出现类似的XP桌面：选择Start/Administrative Tools/Locksmith；8、进入ERD Commander2002locksmith向导界面，下一步；9、选择Administrator，重设其密码；（此时切不可手动重新启动计算机，否则此修改将无效）10、选择Start/Logoff，点OK；11、稍候片刻，点reboot后重新启动计算机凤凰启动盘中的ERD Commander2002功能强大，不仅可破解本地管理员密码，包括NT/2000/XP/03的各个版本。

普通目录及其面临的困难谈到计算机目录及其相关技术，总能让我们想到无时不在使用的文件系统目录、灵巧实用的专用工具集目录、海量存储的网络资源目录等等。

是的，这是一个异常熟悉的领域：在文件系统目录里，我们存储文件及其大小、创建日期、类型等信息；在诸如记事本类的专用工具集目录里，我们存放日程安排、联系方式、人员地点等信息；在网络资源目录里，我们以分层架构存放网络上所有对象的相关资料，这些对象包罗了网络里使用的各种资源：共享目录、共享打印机、应用程序、服务、服务器、用户帐号、组、域…可以这样说，从使用计算机的那一刻起，我们就从未离开过目录！曾经，这样的目录让我们随心所欲地处理我们的资源！然而，正是这样的目录，在Internet下却面临许多麻烦：种类繁多、数量日增的目录让我们很难准确定位想要的资源；系统目录、应用程序特定目录、网络资源目录中到底谁存储了我们需要的信息？如何能用一致的方式登录这些不同的资源？怎样能轻松地维护不同系统上的远程资源？能否通过可视化的程序界面在这些资源间交互？初识Active Directory活动目录要解决这些问题，你可以使用Micrsoft提供的活动目录Active Directory 对象，它提供一种构造复杂计算机网络的简单方法，用来存储公共文件夹、对象信息、打印机、服务等数据；Active Directory的适用范围很大，它可以用在小自一台计算机，一个计算机网络，大至数个广域网络(WAN)的结合。

它可以包含这个范围中所有的对象：文件、打印机、应用程序、服务器、域，以及用户等等。

与普通意义上的目录不同的是，Active Directory 活动目录以分层树状结构排列成节点树，每个节点表示网络上的一个资源或服务，并且包含一组可检索和操作的属性。

Active Directory 是提供复杂网络统一视图的Windows目录服务，它减少了开发人员必须处理的目录和命名空间的数量。

Directory Service目录服务同时，专门针对Active Directory活动目录的Directory Services目录服务则让目录中的信息可用，Directory Service(目录服务)是让用户很容易地在目录内寻找到所需要的对象的一种服务。

active directory系统管理员工作内容
Active Directory（活动目录）系统管理员的工作内容主要包括以下几个方面：
1. 服务器及客户端计算机管理：管理服务器及客户端计算机账户，确保所有服务器及客户端计算机加入域管理并实施组策略。

2. 用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，并按省实施组管理策略。

3. 资源管理：管理打印机、文件共享服务等网络资源。

4. 桌面配置：系统管理员可以集中地配置各种桌面配置策略，如：用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

5. 应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

6. 安全性管理：通过登录身份验证以及目录对象的访问控制集成在Active Directory之中，保证系统的安全。

7. 基于策略的管理：简化网络的管理，即便是那些最复杂的网络也是如此。

以上是Active Directory（活动目录）系统管理员的主要工作内容，具体的工作内容可能会根据实际需求有所调整。

Summary第一章：1、Active Directory概述，Active Directory提供组织、管理与控制网络资源的各种功能。

Windows Server 2003域内的目录是用来存储用户账户、组、打印机、共享文件夹等对象的-目录数据库。

在Windows Server 2003域内负责提供目录服务的组件式Active Directory,它负责目录数据库的保存、新建、删除、修改与查询等服务。

2、命名空间，TCP/IP网络环境里，Windows Server 2003 的Active Directory与DNS紧密整合在一起，它的命名空间就是采用DNS的架构。

Active Directory包括的内容（使用范围、命名空间、对象与属性、容器与组织单位、域树、信任、林、架构、域控制器与Active Diretory 的复制、轻型目录访问协议、全局编录、站点）。

容器与组织单位是对象集合。

Active Directory通过层次式的架构，将对象、容器、OU等组合在一起，并将它们存储在Active Directory的数据库中。

3、域树之间的信任关系建立之后才可以访问对方域内的资源。

双向传递性的信任关系。

这个关系式通过Kerberos安全协议完成的。

（Kerberos安全协议）手动建立Windows Server 2003域与Windows NT域之间的信任关系。

4、域控制器域Active Directory的复制，提供容错的功能，多台域控制器可以分担审核用户登录身份的工作。

多主机复制模式，一台被更改，自动扩展到其他域控制器，单主机操作模式。

5、轻型目录访问协议是用来查询与更新Active Directory的目录服务通信协议。

全局编录由域控制器实现，存储每一个对象的部分属性，而不是全部属性。

域是逻辑分组，站点是物理分组，在Active Directory内，一个站点内可能同时包含分属不同域的计算机，而一个域内的计算机也可能分属于不同的站点。

第一章 WINDOWS2000活动目录概述内容摘要本章简要介绍与Windows2000活动目录有关的最重要的基本概念。

内容包括：活动目录的物理结构活动目录的逻辑结构Windows2000网络的管理简介考点提示活动目录的站点、域、树、森林、组织单元。

活动目录中对象的命名。

1． 1 活动目录综述随着网络规模和复杂程度的不断增加，组织、规划和查找网络中的对象，为网络组建一个清楚的结构变得非常重要。

在分布式计算系统或公众计算机网（如Internet）中，有许多对象，如文件服务器、打印机、传真服务器、应用程序、数据库和用户。

用户必须能找到和使用这些对象。

管理员必须能管理这些对象。

目录是有效组织大量关联对象的最有效方法之一。

借助于目录的概念，很多网络系统提供了目录服务以管理大量的网络对象。

目录服务是一种组织和简化网络系统资源的方法。

用户和管理员可能不知道他们所需对象的确切名称，然而，他们可能知道该对象的一个或多个属性。

目录服务可以基于一个或多个属性，就可以查找到具有此属性的对象。

同样，如果管理员从目录服务中定位了一个对象，可以很方便地获得该对象的所有属性。

图1-1Windows2000活动目录是功能强大的一个目录服务，能够在一个集中地点存储使用和管理网络对象的全部信息，简化了查找和管理这些资源的过程。

WINDOWS2000将安全性与活动目录集成，安全信息集中放置在活动目录中，通过活动目录验证用户的登录过程和用户对不同网络资源的访问权限，实现WINDOWS2000的网络安全管理。

WINDOWS2000网络中引入活动目录提供了如下优点：网络资源的集中管理。

由于WINDOWS2000网络中的安全信息存储在活动目录数据库中，而活动目录数据不断复制到所有的域控制器中，管理员更改活动目录数据后很快就会在整个网络中生效。

网络资源的多点访问。

WINDOWS2000网络中的安全信息集中存储在活动目录数据库中，任何网络用户在使用任何计算机登录到网络时都可以得到设定给他的安全权限，并访问他有权限访问的资源。