网络工程规划与设计项目二-任务二微软AD活动目录介绍课件

活动目录概述活动目录概述活动目录概述活动目录的基本概念活动目录的结构管理操作主机DNS与活动目录如何建立活动目录活动目录概述活动目录的基本概念活动目录概述管理用户和组在活动目录中发布资源组策略常用工具Windows2003新特性活动目录概述管理用户和组活动目录的基本概念什么是活动目录活动目录的对象活动目录的架构（Schema）活动目录与LDAP活动目录的基本概念什么是活动目录什么是活动目录Printer1用户?目录服务器名称:Server1 OS:Windows2000 Type:FileServer Location:1stFloor名称:Server2 OS:NovellNetware4.0 Type:FileServer Location:2ndFloor打印机名称:Printer1 Type:HP4Si Color:No Duplex:Yes

Location:3rdFloorServer1Server2活动目录服务基于X.500数据库结构，用于在一个层次结构中组织网络资源目录服务器名称:Server1 OS:Windows2000 Type:FileServer Location:1stFloor名称:Server2 OS:NovellNetware4.0 Type:FileServer Location:2ndFloor打印机名称:Printer1 Type:HP4Si Color:No Duplex:Yes

Location:3rdFloor什么是活动目录Printer1用户?目录Server1Ser为什么需要目录服务目录服务的功能性组织管理控制资源集中式的管理单入口的管理一次登陆，可访问域中所有资源

为什么需要目录服务目录服务的组织资源集中式的管理单入口的管理活动目录的对象对象代表网络资源属性存储对象的信息属性姓名登录名属性打印机名称打印机位置活动目录打印机Printer1Printer2SuzanFine用户DonHall属性值对象打印机用户Printer3活动目录的对象对象代表网络资源属性姓属性打印机名称活动目录活动目录架构Schema对象类实例打印机计算机用户用户属性可能包含:accountExpiresdepartmentdistinguishedNamemiddleName属性列表accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…属性实例活动目录Schema:随时可用的可动态更新的被DACLs保护活动目录架构Schema对象类打印机计算机用户用户属性可能轻量级目录访问协议(LDAP)LDAP提供通过制定唯一名字路径来访问活动目录的每一个对象LDAP名字路径包括:

DistinguishednamesLDAP例子LDAP://DC=Microsoft,DC=COMCN=SuzanFine,OU=Sales,DC=contoso,DC=msft

SuzanFine轻量级目录访问协议(LDAP)LDAP提供通过制定唯一名字活动目录的结构活动目录逻辑结构活动目录物理结构Sites及活动目录的复制活动目录的结构活动目录逻辑结构活动目录逻辑结构域 Domains组织单元 OrganizationalUnits树和森林 TreesandForests全局编录 GlobalCatalog活动目录逻辑结构域 DomainsDNS与活动目录DNS在活动目录中的角色DNS和活动目录的命名空间活动目录中的DNS名字解析SRV记录DNS与活动目录DNS在活动目录中的角色DNS在活动目录中的角色名称解析DNStranslatescomputernamestoIPaddressesComputersuseDNStolocateeachotheronthenetworkWindows2000/2003域的名称Windows2000/2003使用DNS命名标准DNS域和活动目录的域使用共同的名称层析结构定位活动目录的物理组件DNS根据域控制器提供的服务来确定它们域中计算机使用DNS来定位域控制器何全局编录DNS在活动目录中的角色名称解析DNS和活动目录的命名空间AmericamicrosoftDNSNamespaceActiveDirectoryNamespace=DNSnode(domainorcomputer)=ActiveDirectorydomainFareastcomputer1(DNSrootdomain)“.”com.InternetDNS和活动目录的命名空间far活动目录中的DNS名字解析SRV(Service)资源纪录SRVRecords由域控制器注册域中计算机用DNS来定位域控制器活动目录中的DNS名字解析SRV(Service)资源纪由域控制器注册的SRV记录Netlogon服务负责注册域控制器的所有DNS纪录SRVRecordLookupCriterialdap._tcp.DnsDomainName.LDAP服务器_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName.查找同Site的域控制器_gc._tcp.DnsForestName.GC_gc._tcp.SiteName._sites.DnsForestName.查找同Site的GC_kerberos._tcp.DnsDomainName.KDC_kerberos._tcp.SiteName._sites.DnsDomainName.查找同Site的KDC由域控制器注册的SRV记录Netlogon服务负责注册域活动目录中DNS的要求DNSRequirementstoSupportActiveDirectory支持SRV记录支持动态更新协议支持AD集成复制活动目录中DNS的要求DNSRequirementsto域Domains域是一个安全边界域管理员只能在本域中执行管理操作，除非他被明确地赋予其他域管理员身份一个域是一个复制单元域控制器包含域中信息的完整集合，并且参与域信息的复制Windows2000

DomainUser1User2User1User2复制域Domains域是一个安全边界Windows2000

能力复制单元大小命名管理委派NT4.0对象40,000对象NetBIOS建立新域Windows2003属性1,000,000+对象DNS在域内建立管理委派到OU域的性能能力NT4.0Windows2003域的性能..OrgcomeducnMicrosoftCompaqDigitalHPEMEAFareastGtec“Fareast.Microsoft.COM”“MICROSOFT.COM”“Gtec.Fareast.Microsoft.COM”域的层次结构..OrgcomeducnMicrosoftCompaqDi组织单元用OU来给对象进行分组管理委派到OU组织结构SalesVancouverRepairUsersSalesComputers网络管理型模型组织单元用OU来给对象进行分组组织结构SalesVancou组织单元用于结构化活动目录公司的组织结构公司的管理构架DomainParisSalesRepairUser1User2User3User4组织单元用于结构化活动目录DomainParisSal组织单元特性包含用户、组、打印机、计算机、联系人可应用组策略嵌套灵活–容易建立、删除、改变组织单元特性包含用户、组、打印机、计算机、联系人组织单元的划分原则基于部门OUs基于项目OUs基于业务功能OUs基于管理OUs基于对象OUs地理位置OUs组织单元的划分原则基于部门OUs树和森林contoso.msft(root)au.contoso.msftasia.contoso.msft树双向传递性信任au.nwtraders.msftasia.nwtraders.msftnwtraders.msft森林树双向传递性信任树和森林contoso.msft(root)au.asia全局编录GlobalCatalogGlobalCatalogServer全局编录所有对象的属性子集域域域域域域查询用户登陆时的组成员全局编录GlobalCatalogGlobalCatal子域OUOUOUOUOUOUOUOUOU子域子域域子域子域域ForestDomain

TreeDomainTreeDomainTreeGlobalCatalogENTERPRISE子域OUOUOUOUOUOUOUOUOU子域子域域子域子域域活动目录物理结构域控制器Sites活动目录的复制活动目录物理结构域控制器域控制器域控制器域控制器域复制User1User2User1User2=活动目录数据库的可写拷贝 域控制器:参与活动目录复制在域中作为单操作主机角色域控制器域控制器域控制器域复制User1User1=活动Sites Sites:优化复制通信量使用户可以通过可信赖的、高速的连接登录域控制器SiteIP子网IP子网LosAngelesSeattleChicagoNewYorkSites Sites:SiteIP子网IP子网Los相关概念SiteASiteBSiteCConnectionsSiteLinks(Schedule&Cost)BridgeheadServerSite一个或多个子网一个或多个域SiteLinkBridgesISTG相关概念SiteASiteBSiteCConnectiSite层次域结构物理网络SiteModelSite层次域结构物理网络SiteModel活动目录的复制多主机复制所有域控制器参预复制，对等的任何变化将从一台域控制器复制到所有域控制器任何变化可从不同的域控制器上产生Sites允许预定的复制ScheduleInterval活动目录的复制多主机复制DirectoryPartition复制DomainZDomainYDomainXConfigurationSchemaGlobalCatalogServerFullReplicaPartialReplicaForestDomainSchemaConfigurationDomainDomainControllerNTDS.DITDomainConfigurationSchemaDomainConfigurationSchemaDomainZDomainYDomainXConfigurationSchemaReplicaDCDCGCDirectoryPartition

也称为命名上下文NamingContextorNCDirectoryPartition复制DomainZ活动目录的复制用户DCDCDCDC2311被改编的信息送到DC2DC将变化复制到其他DC3其他DC将变化复制到更多地DC活动目录的复制用户DCDCDCDC2311被改编的信息送到DSchema/ConfigurationNCTopologydomainNCTopologyConnectionObjectReplicationTopologyGeneration

WithinaSiteDC1DC2DC3DC4DC1DC2DC3DC4Schema/ConfiguratReplicationTopologyGeneration

TwoDomains

WithinaSiteDC1DC2DC3DC4Schema/ConfigurationNCTopologydomainNCTopologydomainNCTopologyConnectionObjectsales.DCADCBDC2DC4DC3DC1DCADCBReplicationTopol复制协议Transport拓扑结构复制模型压缩RPCoverIPRingNotify/Pull

NoneRPCorSMTP*SpanningTreeRequest/PullFullIntra-Site

复制Inter-Site

复制SMTPoverIPisonlysupportedforDCofdifferentdomains(i.e.Schema,ConfigurationandGCreplication)复制协议TransportRPCoverIPRPCorBridgeheadServerConfigurationSite间复制只在桥头堡服务器之间DomainA.B.comDomainB.com域控制器SiteLink(Cost)(2)(1)(4)L.A.(1)CHIN.Y.ATL.桥头堡服务器可以不止一个BridgeheadServerBridgeheadServerConfiguratio操作主机森林范围内：SchemaMasterDomainNamingMaster域范围内：PDCEmulatorRIDMasterInfrastructureMaster操作主机森林范围内：操作主机介绍只有作为操作主机的域控制器才能对活动目录信息作相应改变在操作主机上作的改变将会复制到其他的域控制器任何域控制器可以作为操作主机操作主机角色可以转移复制单主机操作操作主机操作主机介绍只有作为操作主机的域控制器才能对活动目录信息作相操作主机的默认位置森林中的第一台域控制器森林范围你的角色：SchemamasterDomainnamingmaster域范围内角色：RIDmasterPDCemulatorInfrastructuremaster操作主机的默认位置森林中的第一台域控制器森林范围你的角色：域SchemaMaster控制所有的Schema更新复制Schema更新到森林中所有的域控制器只有在SchemaAdmin组中的成员才能更该SchemaSchemaMaster复制SchemaMaster控制所有的Schema更新ScheDomainNamingMaster控制在森林中添加和删除域New

DomainDomainNaming

MasterGlobalCatalog

ServerDomainNamingMaster控制在森林中添加和删PDCEmulator在NTBDC和基于Windows2000之前的客户端存在时作为PDC用于基于Windows2000之前的客户端更新密码对于基于Windows2000的客户端，最小化复制密码更改的延迟管理时间同步ClientComputerRunningPre-Windows2000VersionofWindowsPDCEmulatorWindowsNT

BDCPDCEmulator在NTBDC和基于WindowsRIDMasterMove给域中其他的域控制器分配RIDs块ObjectSID=DomainSID+RIDRIDMasterBlockofRIDsMoveRIDAllocationRIDMasterMove给域中其他的域控制器分配RIDInfrastructureMasterUpdatesReferencestoObjectsandGroupMembershipsfromOtherDomainsInfrastructureMasterGlobalGroup嵌套到DomainLocalGroupMoveGUIDSIDNewDN组成员列表InfrastructureMasterUpdatesR决定操作主机的位置

确认当前操作主机的位置用“ActiveDirectory用户和计算机”查找RIDmasterPDCemulatorInfrastructuremaster用“ActiveDirectory域和信任”查找Domainnamingmaster用“ActiveDirectorySchema”查找Schemamasterregsvr32schmmgmt.dll其他方法：netdomqueryFSMOdcdiag/test:KnowsOfRoleHolders/v决定操作主机的位置

确认当前操作主机的位置用“Active转移操作主机角色不丢失数据方法：NTDSUtil.exe图形界面FunctioningOperationsMasterTransferRoletoAnotherDomainController转移操作主机角色不丢失数据FunctioningTransf抓取操作主机角色当且仅当某个操作主机无法再使用可能丢失数据方法：NTDSUtilNonFunctioningOperationsMasterSeizeaRoleandReassigntoAnotherFunctioningDomainController抓取操作主机角色当且仅当某个操作主机无法再使用NonFunPDCEmulator和InfrastructureMaster不可用PDCEmulator不可用严重影响网络操作NTBDC同步基于Windows2000之前客户端无法更新密码时间无法同步InfrastructureMaster不可用并不会有严重影响，除非时间很长恢复确认哪一个域控制器是操作主机确定域控制器问题的严重程度抓取操作主机到其他域控制器上确定新的域控制器接受了操作主机角色PDCEmulator和InfrastructureMa优化FSMORID和PDC放在同一台域控制器Infrastructuremaster不要和GlobalCatalog放在一起SchemaMaster和DomainNamingMaster放在一起DomainNamingMaster放在GlobalCatalog上文档223346FSMOPlacementandOptimizationonWindows2000DomainControllers/?id=223346

优化FSMORID和PDC放在同一台域控制器建立一个新域运行dcpromo.exe建立rootdomain建立sub-domain建立额外的domaincontroller建立一个新域运行dcpromo.exe管理用户和组用户帐户和组的介绍ActiveDirectory用户和计算机建立大量用户帐户管理用户帐户使用组管理用户和组用户帐户和组的介绍用户帐户和组的介绍UsersSharedResourcesPermissionsGroup用户帐户和组的介绍UsersSharedResources使用CSVDE使用LDIFDE使用脚本(VBScript)建立大量用户帐户使用CSVDE建立大量用户帐户使用组活动目录的组使用GlobalGroups使用DomainLocalGroups使用组活动目录的组活动目录的组GroupsCanBeNestedInsideOtherGroupsUsersCanBeMembersofMultipleGroupsGroupGroupGroupsSimplifyAssigningPermissiontoResourcesGroupGroupGroupGroupGroupGroup活动目录的组GroupsCanBeNestedInsUsingGlobalandDomainLocalGroupsUserAccountsGlobalGroupsGlobalGroupDomainLocalGroupPermissionsAGDLPGDLGAddDomainUserAccountsintoGlobalGroups(Optional)AddGlobalGroupsintoAnotherGlobalGroupAddGlobalGroupintoDomainLocalGroupAssignResourcePermissionstotheDomainLocalGroupUsingGlobalandDomainLocal组策略组策略介绍组策略设置的类型组策略组策略介绍组策略介绍 组策略作用:设置集中或分散的策略确保用户有他们需要的环境通过控制用户和计算机环境来降低TCO强制全体策略SiteDomainOUWindows2000AppliesContinuallyUsersComputersAdministratorSetsGroupPolicyOnceGroupPolicy组策略介绍 组策略作用:SiteDomainOUWindow组策略设置的类型组策略设置的类型AdministrativeTemplates基于注册标的组策略设置Security本地、域、网络安全设置SoftwareInstallation软件安装的集中管理设置ScriptsStartup,shutdown,logon,andlogoff脚本RemoteInstallationServices有关远程安装服务的设置InternetExplorerMaintenance设置和管理定制的IEFolderRedirection将用户文件夹存贮到网络服务器上的设置组策略设置的类型组策略设置的类型Administrative针对计算机和用户的组策略GroupPolicySettingsforComputers:GroupPolicySettingsforUsers:UsersComputers针对计算机和用户的组策略GroupPolicySetti组策略对象和组策略容器GPO设置应用于连接在一个Site、域、和OU中的用户和计算机一个GPO可以连接在多个Site、域、和OU上一个Site、域、和OU上可以连接多个GPOSiteDomainOUOUOUOUGPOOUGPOSiteGPODomainGPO组策略对象和组策略容器GPO设置应用于连接在一个Site、组策略的继承

Windows2008以特定顺序应用GPO设置SiteDomainOU下一级容器结成上一级容器的GPO设置ComputersUsersPayrollDomainDomainGPO组策略的继承Windows2008以特定顺序应用一个组策略应用的顺序Computer-Scripts-StartupComputer-SoftwareInstallationUser-SoftwareInstallationUserProfileLogonScriptsUser-Scripts-LogonUser-Scripts-LogoffComputer-Scripts-Shutdown一个组策略应用的顺序Computer-Scripts-修改组策略继承阻止策略继承禁止替代过滤组策略设置修改组策略继承阻止策略继承阻止策略继承

阻止策略继承:不从所有上层的容器上继承GPO无法选择哪一个GPO不被阻止无法阻止NoOverride选项GPOs

SalesProductionDomainNoGPOsettings

apply阻止策略继承 阻止策略继承:GPOsSalesProduc禁止替代

禁止替代:不顾BlockInheritance和GPO冲突应该在更高级的容器上设置应用于连接，而不是GPO强制执行corporate-wide规则SalesProductionDomainDomainGPO

settingsapplyConflicting

GPOSettingsNoOverride

GPOSettings禁止替代 禁止替代:SalesProductionDomai过滤组策略设置DomainSalesMengphKimyoGroupDenyApplyGroupPolicyAllowReadandApplyGroupPolicy

过滤组策略设置:明确地拒绝应用组策略过滤组策略设置DomainSalesMengphKimyoG组策略脚本设置组策略脚本设置允许你：集中配置启动/关机脚本，用户登录/注销脚本管理和配置用户环境脚本ComputerConfigurationStartup/ShutdownUserConfigurationLogon/LogoffStartup/Shutdown计算机用户Logon/Logoff组策略脚本设置脚本ComputerConfiguratio设置组策略脚本LogonPropertiesScriptsLogonScriptsforLogOnScript[AUCKLAND.contoso.msft]NameParametersDevelopment.vbsInformationServices.vbsUpDownAdd...Edit...RemoveShowFiles...OKCancelApplyToviewthescriptfilesstoresinthisGroupPolicyObject,pressthebuttonbelow.Copythescriptto

theappropriateGPTAddthescriptto

theappropriateGPO推荐将脚本复制到这个文件夹设置组策略脚本LogonPropertiesScripts使用文件夹重定向什么是文件夹重定向?选择重定向的文件夹将文件夹重定向到服务器使用文件夹重定向什么是文件夹重定向?什么是文件夹重定向?文件夹重定向:不管用户在那台计算机上登录，数据总是可用的。数据因为是集中存贮的，便于管理和备份只当用户访问文件的时候才产生网络流量文件不存在本地文件夹RedirectedPersonalFoldersMy

DocumentsMy

Documents什么是文件夹重定向?文件夹重定向:RedirectedPe将文件夹重定向到服务器WhenRedirectingUserFolders:DesktopPropertiesTargetSettingsYoucanspecifythelocationoftheDesktopfolderNoadministrativepolicyspecifiedSetting:OKCancelApplyTheGroupPolicyObjectwillhavenoeffectonthelocationofthisfolder.DesktopPropertiesTargetSettingsYoucanspecifythelocationoftheDesktopfolderBasic–Redirecteveryone’sfoldertothedamelocSetting:OKCancelApplyThisfolderwillberedirectedtothespecifiedlocation.Anexampletargetpathis:\\server\share\%username%.Targetfolderlocation\\london\desktops\%username%BrowseDesktopPropertiesTargetSettingsYoucanspecifythelocationoftheDesktopfolderAdvanced–SpecifylocationsforvarioususergrouSetting:OKCancelApplyThisfolderwillberedirectedtodifferentlocationsbasedonthesecuritygroupmembershipoftheusers.Anexampletargetpathis\\server\share\%username%SecurityGroupMembershipGroupCONTOSO\acct \\london\acct\%username%CONTOSO\sales \\london\sales\%username%PathAddEditRemoveUsethe

%username%

variable将文件夹重定向到服务器WhenRedirectingUs常用工具常用管理工具AD用户和计算机站点和服务AD域信任DNS管理器ResourceKit/SupportTools工具排错工具事件察看器MPSReportNetworkMonitor常用工具常用管理工具活动目录概述活动目录概述活动目录概述活动目录的基本概念活动目录的结构管理操作主机DNS与活动目录如何建立活动目录活动目录概述活动目录的基本概念活动目录概述管理用户和组在活动目录中发布资源组策略常用工具Windows2003新特性活动目录概述管理用户和组活动目录的基本概念什么是活动目录活动目录的对象活动目录的架构（Schema）活动目录与LDAP活动目录的基本概念什么是活动目录什么是活动目录Printer1用户?目录服务器名称:Server1 OS:Windows2000 Type:FileServer Location:1stFloor名称:Server2 OS:NovellNetware4.0 Type:FileServer Location:2ndFloor打印机名称:Printer1 Type:HP4Si Color:No Duplex:Yes

Location:3rdFloorServer1Server2活动目录服务基于X.500数据库结构，用于在一个层次结构中组织网络资源目录服务器名称:Server1 OS:Windows2000 Type:FileServer Location:1stFloor名称:Server2 OS:NovellNetware4.0 Type:FileServer Location:2ndFloor打印机名称:Printer1 Type:HP4Si Color:No Duplex:Yes

Location:3rdFloor什么是活动目录Printer1用户?目录Server1Ser为什么需要目录服务目录服务的功能性组织管理控制资源集中式的管理单入口的管理一次登陆，可访问域中所有资源

为什么需要目录服务目录服务的组织资源集中式的管理单入口的管理活动目录的对象对象代表网络资源属性存储对象的信息属性姓名登录名属性打印机名称打印机位置活动目录打印机Printer1Printer2SuzanFine用户DonHall属性值对象打印机用户Printer3活动目录的对象对象代表网络资源属性姓属性打印机名称活动目录活动目录架构Schema对象类实例打印机计算机用户用户属性可能包含:accountExpiresdepartmentdistinguishedNamemiddleName属性列表accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTomiddleName…属性实例活动目录Schema:随时可用的可动态更新的被DACLs保护活动目录架构Schema对象类打印机计算机用户用户属性可能轻量级目录访问协议(LDAP)LDAP提供通过制定唯一名字路径来访问活动目录的每一个对象LDAP名字路径包括:

DistinguishednamesLDAP例子LDAP://DC=Microsoft,DC=COMCN=SuzanFine,OU=Sales,DC=contoso,DC=msft

SuzanFine轻量级目录访问协议(LDAP)LDAP提供通过制定唯一名字活动目录的结构活动目录逻辑结构活动目录物理结构Sites及活动目录的复制活动目录的结构活动目录逻辑结构活动目录逻辑结构域 Domains组织单元 OrganizationalUnits树和森林 TreesandForests全局编录 GlobalCatalog活动目录逻辑结构域 DomainsDNS与活动目录DNS在活动目录中的角色DNS和活动目录的命名空间活动目录中的DNS名字解析SRV记录DNS与活动目录DNS在活动目录中的角色DNS在活动目录中的角色名称解析DNStranslatescomputernamestoIPaddressesComputersuseDNStolocateeachotheronthenetworkWindows2000/2003域的名称Windows2000/2003使用DNS命名标准DNS域和活动目录的域使用共同的名称层析结构定位活动目录的物理组件DNS根据域控制器提供的服务来确定它们域中计算机使用DNS来定位域控制器何全局编录DNS在活动目录中的角色名称解析DNS和活动目录的命名空间AmericamicrosoftDNSNamespaceActiveDirectoryNamespace=DNSnode(domainorcomputer)=ActiveDirectorydomainFareastcomputer1(DNSrootdomain)“.”com.InternetDNS和活动目录的命名空间far活动目录中的DNS名字解析SRV(Service)资源纪录SRVRecords由域控制器注册域中计算机用DNS来定位域控制器活动目录中的DNS名字解析SRV(Service)资源纪由域控制器注册的SRV记录Netlogon服务负责注册域控制器的所有DNS纪录SRVRecordLookupCriterialdap._tcp.DnsDomainName.LDAP服务器_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName.查找同Site的域控制器_gc._tcp.DnsForestName.GC_gc._tcp.SiteName._sites.DnsForestName.查找同Site的GC_kerberos._tcp.DnsDomainName.KDC_kerberos._tcp.SiteName._sites.DnsDomainName.查找同Site的KDC由域控制器注册的SRV记录Netlogon服务负责注册域活动目录中DNS的要求DNSRequirementstoSupportActiveDirectory支持SRV记录支持动态更新协议支持AD集成复制活动目录中DNS的要求DNSRequirementsto域Domains域是一个安全边界域管理员只能在本域中执行管理操作，除非他被明确地赋予其他域管理员身份一个域是一个复制单元域控制器包含域中信息的完整集合，并且参与域信息的复制Windows2000

DomainUser1User2User1User2复制域Domains域是一个安全边界Windows2000

能力复制单元大小命名管理委派NT4.0对象40,000对象NetBIOS建立新域Windows2003属性1,000,000+对象DNS在域内建立管理委派到OU域的性能能力NT4.0Windows2003域的性能..OrgcomeducnMicrosoftCompaqDigitalHPEMEAFareastGtec“Fareast.Microsoft.COM”“MICROSOFT.COM”“Gtec.Fareast.Microsoft.COM”域的层次结构..OrgcomeducnMicrosoftCompaqDi组织单元用OU来给对象进行分组管理委派到OU组织结构SalesVancouverRepairUsersSalesComputers网络管理型模型组织单元用OU来给对象进行分组组织结构SalesVancou组织单元用于结构化活动目录公司的组织结构公司的管理构架DomainParisSalesRepairUser1User2User3User4组织单元用于结构化活动目录DomainParisSal组织单元特性包含用户、组、打印机、计算机、联系人可应用组策略嵌套灵活–容易建立、删除、改变组织单元特性包含用户、组、打印机、计算机、联系人组织单元的划分原则基于部门OUs基于项目OUs基于业务功能OUs基于管理OUs基于对象OUs地理位置OUs组织单元的划分原则基于部门OUs树和森林contoso.msft(root)au.contoso.msftasia.contoso.msft树双向传递性信任au.nwtraders.msftasia.nwtraders.msftnwtraders.msft森林树双向传递性信任树和森林contoso.msft(root)au.asia全局编录GlobalCatalogGlobalCatalogServer全局编录所有对象的属性子集域域域域域域查询用户登陆时的组成员全局编录GlobalCatalogGlobalCatal子域OUOUOUOUOUOUOUOUOU子域子域域子域子域域ForestDomain

TreeDomainTreeDomainTreeGlobalCatalogENTERPRISE子域OUOUOUOUOUOUOUOUOU子域子域域子域子域域活动目录物理结构域控制器Sites活动目录的复制活动目录物理结构域控制器域控制器域控制器域控制器域复制User1User2User1User2=活动目录数据库的可写拷贝 域控制器:参与活动目录复制在域中作为单操作主机角色域控制器域控制器域控制器域复制User1User1=活动Sites Sites:优化复制通信量使用户可以通过可信赖的、高速的连接登录域控制器SiteIP子网IP子网LosAngelesSeattleChicagoNewYorkSites Sites:SiteIP子网IP子网Los相关概念SiteASiteBSiteCConnectionsSiteLinks(Schedule&Cost)BridgeheadServerSite一个或多个子网一个或多个域SiteLinkBridgesISTG相关概念SiteASiteBSiteCConnectiSite层次域结构物理网络SiteModelSite层次域结构物理网络SiteModel活动目录的复制多主机复制所有域控制器参预复制，对等的任何变化将从一台域控制器复制到所有域控制器任何变化可从不同的域控制器上产生Sites允许预定的复制ScheduleInterval活动目录的复制多主机复制DirectoryPartition复制DomainZDomainYDomainXConfigurationSchemaGlobalCatalogServerFullReplicaPartialReplicaForestDomainSchemaConfigurationDomainDomainControllerNTDS.DITDomainConfigurationSchemaDomainConfigurationSchemaDomainZDomainYDomainXConfigurationSchemaReplicaDCDCGCDirectoryPartition

也称为命名上下文NamingContextorNCDirectoryPartition复制DomainZ活动目录的复制用户DCDCDCDC2311被改编的信息送到DC2DC将变化复制到其他DC3其他DC将变化复制到更多地DC活动目录的复制用户DCDCDCDC2311被改编的信息送到DSchema/ConfigurationNCTopologydomainNCTopologyConnectionObjectReplicationTopologyGeneration

WithinaSiteDC1DC2DC3DC4DC1DC2DC3DC4Schema/ConfiguratReplicationTopologyGeneration

TwoDomains

WithinaSiteDC1DC2DC3DC4Schema/ConfigurationNCTopologydomainNCTopologydomainNCTopologyConnectionObjectsales.DCADCBDC2DC4DC3DC1DCADCBReplicationTopol复制协议Transport拓扑结构复制模型压缩RPCoverIPRingNotify/Pull

NoneRPCorSMTP*SpanningTreeRequest/PullFullIntra-Site

复制Inter-Site

复制SMTPoverIPisonlysupportedforDCofdifferentdomains(i.e.Schema,ConfigurationandGCreplication)复制协议TransportRPCoverIPRPCorBridgeheadServerConfigurationSite间复制只在桥头堡服务器之间DomainA.B.comDomainB.com域控制器SiteLink(Cost)(2)(1)(4)L.A.(1)CHIN.Y.ATL.桥头堡服务器可以不止一个BridgeheadServerBridgeheadServerConfiguratio操作主机森林范围内：SchemaMasterDomainNamingMaster域范围内：PDCEmulatorRIDMasterInfrastructureMaster操作主机森林范围内：操作主机介绍只有作为操作主机的域控制器才能对活动目录信息作相应改变在操作主机上作的改变将会复制到其他的域控制器任何域控制器可以作为操作主机操作主机角色可以转移复制单主机操作操作主机操作主机介绍只有作为操作主机的域控制器才能对活动目录信息作相操作主机的默认位置森林中的第一台域控制器森林范围你的角色：SchemamasterDomainnamingmaster域范围内角色：RIDmasterPDCemulatorInfrastructuremaster操作主机的默认位置森林中的第一台域控制器森林范围你的角色：域SchemaMaster控制所有的Schema更新复制Schema更新到森林中所有的域控制器只有在SchemaAdmin组中的成员才能更该SchemaSchemaMaster复制SchemaMaster控制所有的Schema更新ScheDomainNamingMaster控制在森林中添加和删除域New

DomainDomainNaming

MasterGlobalCatalog

ServerDomainNamingMaster控制在森林中添加和删PDCEmulator在NTBDC和基于Windows2000之前的客户端存在时作为PDC用于基于Windows2000之前的客户端更新密码对于基于Windows2000的客户端，最小化复制密码更改的延迟管理时间同步ClientComputerRunningPre-Windows2000VersionofWindowsPDCEmulatorWindowsNT

BDCPDCEmulator在NTBDC和基于WindowsRIDMasterMove给域中其他的域控制器分配RIDs块ObjectSID=DomainSID+RIDRIDMasterBlockofRIDsMoveRIDAllocationRIDMasterMove给域中其他的域控制器分配RIDInfrastructureMasterUpdatesReferencestoObjectsandGroupMembershipsfromOtherDomainsInfrastructureMasterGlobalGroup嵌套到DomainLocalGroupMoveGUIDSIDNewDN组成员列表InfrastructureMasterUpdatesR决定操作主机的位置

确认当前操作主机的位置用“ActiveDirectory用户和计算机”查找RIDmasterPDCemulatorInfrastructuremaster用“ActiveDirectory域和信任”查找Domainnamingmaster用“ActiveDirectorySchema”查找Schemamasterregsvr32schmmgmt.dll其他方法：netdomqueryFSMOdcdiag/test:KnowsOfRoleHolders/v决定操作主机的位置

确认当前操作主机的位置用“Active转移操作主机角色不丢失数据方法：NTDSUtil.exe图形界面FunctioningOperationsMasterTransferRoletoAnotherDomainController转移操作主机角色不丢失数据FunctioningTransf抓取操作主机角色当且仅当某个操作主机无法再使用可能丢失数据方法：NTDSUtilNonFunctioningOperationsMasterSeizeaRoleandReassigntoAnotherFunctioningDomainController抓取操作主机角色当且仅当某个操作主机无法再使用NonFunPDCEmulator和InfrastructureMaster不可用PDCEmulator不可用严重影响网络操作NTBDC同步基于Windows2000之前客户端无法更新密码时间无法同步InfrastructureMaster不可用并不会有严重影响，除非时间很长恢复确认哪一个域控制器是操作主机确定域控制器问题的严重程度抓取操作主机到其他域控制器上确定新的域控制器接受了操作主机角色PDCEmulator和InfrastructureMa优化FSMORID和PDC放在同一台域控制器Infrastructuremaster不要和GlobalCatalog放在一起SchemaMaster和DomainNamingMaster放在一起DomainNamingMaster放在GlobalCatalog上文档223346FSMOPlacementandOptimizationonWindows2000DomainControllers/?id=223346

优化FSMORID和PDC放在同一台域控制器建立一个新域运行dcpromo.exe建立rootdomain建立sub-domain建立额外的domaincontroller建立一个新域运行dcpromo.exe管理用户和组用户帐户和组的介绍ActiveDirectory用户和计算机建立大量用户帐户管理用户帐户使用组管理用户和组用户帐户和组的介绍用户帐户和组的介绍UsersSharedResourcesPermissionsGroup用户帐户和组的介绍UsersSharedResources使用CSVDE使用LDIFDE使用脚本(VBScript)建立大量用户帐户使用CSVDE建立大量用户帐户使用组活动目录的组使用GlobalGroups使用DomainLocalGroups使用组活动目录的组活动目录的组GroupsCanBeNestedInsideOtherGroupsUsersCanBeMembersofMultipleGroupsGroupGroupGroupsSimplifyAssigningPermissiontoResourcesGroupGroupGroupGroupGroupGroup活动目录的组GroupsCanBeNestedInsUsingGlobalandDomainLocalGroupsUserAccountsGlobalGroupsGlobalGroupDomainLocalGroupPermissionsAGDLPGDLGAddDomainUserAccountsintoGlobalGroups(Optional)AddGlobalGroupsintoAnotherGlobalGroupAddGlobalGroupintoDomainLocalGroupAssignResourcePermissionstotheDomainLocalGroupUsingGlobalandDomainLocal组策略组策略介绍组策略设置的类型组策略组策略介绍组策略介绍 组策略作用:设置集中或分散的策略确保用户有他们需要的环境通过控制用户和计算机环境来降低TCO强制全体策略SiteDomainOUWindows2000AppliesContinuallyUsersComputersAdministratorSetsGroupPolicyOnceGroupPolicy组策略介绍 组策略作用:SiteDomainOUWindow组策略设置的类型组策略设置的类型AdministrativeTemplates基于注册标的组策略设置Security本地、域、网络安全设置SoftwareInstallation软件安装的集中管理设置ScriptsStartup,shutdown,logon,andlogoff脚本RemoteInstallationServices有关远程安装服务的设置InternetExplorerMaintenance设置和管理定制的IEFolderRedirection将用户文件夹存贮到网络服务器上的设置组策略设置的类型组策略设置的类型Administrative针对计算机和用户的组策略GroupPolicySettingsforComputers:GroupPolicySettingsforUsers:UsersComputers针对计算机和用户的组策略GroupPolicySetti组策略对象和组策略容器GPO设置应用于连接在一个Site、域、和OU中的用户和计算机一个GPO可以连接在多个Site、域、和OU上一个Site、域、和OU上可以连接多个GPOSiteDomainOUOUOUOUGPOOUGPOSiteGPODomainGPO组策略对象和组策略容器GPO设置应用于连接在一个Site、组策略的继承

Windows2008以特定顺序应用GPO设置SiteDomainOU下一级容器结成上一级容器的GPO设置ComputersUsersPayrollDomainDomainGPO组策略的继承Windows2008以特定顺序应用一个组策略应用的顺序Computer-Scripts-StartupComputer-SoftwareInstallationUser-SoftwareInstallationUserProfileLogonScriptsUser-Scripts-LogonUser-Scripts-LogoffComputer-Scripts-Shutdown一个组策略应用的顺序Computer-Scripts