一、活动目录概述
目录:存储以某种方式相关联的对象的信息集
目录服务:用户通过其提供的服务来使用目录中的信息
目录服务功能:组织网络中的资源,提供对资源的管理,对资源的控制
功能:组织,管理,控制
适用范围:便于用户查、管理和使用这些资源
小型网络:UNC路径(一般不使用AD)
大型网络:难以确定资源位置、名称
所以需要目录服务快速定位资源
对用户透明、高效
不需要知道资源的物理位置,如何连接、
目录服务的逻辑结构:        域(domain)
域树(domain tree)
森林(forest)
组织单元(OU)
      目录服务的物理结构:  站点(site)
域控制器(domain controller)
操作主机(operation master)
域:
域是活动目录中逻辑结构的核心单元,是一个有安全边界的计算机集合。一个域包含许多计算机,它们由管理员设定,共用一个目录数据库,一个域有一个唯一的名字。
容器与OU:
容器与对象相似,有自己的名称,也是一些属性的集合。容器可以包含其它的对象,也可以包含其它的容器。OU是AD中的一个特殊的容器,他可以包含对象、OU和组策略。
OU 可以把对象组织到一个逻辑结构中,使其能最佳适应组织的需要。
委派 OU 的管理控制权,必须把 OU 及 OU 包含对象的具体的权限指定给一个或几个用户和组。
看图写DN
Administrator@yinheedu  UPN的认识。
二、快照准备(无内容)
三、管理域账户和组
账户类型:计算机账户,用户账户,组账户
用户账户UPN理解
建立UPN好处:
由于UPN的格式与帐户相同,所以可以让用户不论是登录域或收发,都可以使用一致的名称。
如果域内有很多子域,则域名很长,如h.abc,所以当用户登录域的时候名字就会太长,所以可以通过创建UPN后缀来减少长度,便于记忆
管理域账户的几种方式:ad管理中心,ad用户和组,目录服务工具,csvde,ldifde
域组的类型:通讯组(仅作组,么有启用安全特性),安全组
域组作用域的分类:域本地组,全局组,通用组(三个域组的理解)
域组的嵌套:A,G,DL,P为主理解各种嵌套   
四、管理信任关系
访问令牌:
当用户登录到某台计算机,在验证用户帐号和密码无误外系统会为该用户建立一个“访问令牌”(access token),其包含该用户的SID和用户所属组的SID。用户拿到“访问令牌”后系统会根据令牌中的SID去决定用户对特定资源拥有哪些访问权限。
  信任关系理解:
信任种类:
安全设置
五、组策略之桌面管理
组策略作用:
方便地管理AD中的计算机和用户
账户策略的设定
本地策略的设定
脚本的设定
用户桌面环境
计算机启动/关机与用户登录/注销时所执行的脚本文件
文件夹重定向
软件分发
应用组策略的前提条件
组策略只能管理AD中的计算机和用户
只能针对整个站点、域或组织单位来设置组策略
要使用组策略,必须有相应的管理权限
组策略只适用于Windows 2000以上操作系统的计算机
组策略结构:
组策略的设置数据皆保存在GPO中
GPO链接至SDOU(Site、Domain、Organized Unit)
GPO管理SDOU中的计算机和用户
  GPO与SDOU间的链接关系
手动强制刷新组策略
gpupdate /force
组策略间的冲突
组策略的配置具有累加性
如果发生冲突,默认的状态下,实施最后的设置
来自父容器的GPO设置和来自子容器的GPO设置发生冲突。子容器的设置后执行并发挥作用
当站点、域、OU的GPO策略发生冲突时,则以处理顺序在后的GPO优先。
处理优先顺序为:站点的GPO、域的GPO、OU的GPO
当用户设置和计算机设置发生冲突时,忽略用户设置而执行计算机设置
如果多个GPO链接到同一个OU,那么所有GPO的配置将被累加作为最后的有效配置。如果这些GPO配置有冲突,则以排在GPO列表最上面的GPO配置为优先。
“本地计算机策略”的优先权最低,也就是在其策略配置与站点、域、OU的策略配置发生冲突时,本地计算机策略无效。
六、组策略之软件分发
软件分发的好处
a)自动安装
b)自动修复
c)自动升级
d)远程删除
软件分发的方式
e)发布给用户
f)指派给用户
g)指派给计算机
指派给计算机
h)计算机启动时将自动安装在计算机里
i)安装到C:\Documents and Settings\All Users
指派给用户
j)不会自动安装软件
k)只安装软件相关的部分信息,如快捷方式
l)何时自动安装?
m)开始运行此软件
n)利用“文件启动功能”(可识别图标)
发布软件:
不能将软件发布给计算机
将软件发布到用户
不会自动安装软件
何时自动安装
“控制面版”->“添加删除程序”->“添加程序”
利用“文件启动功能”(未知图标)
七、管理站点复制
“站点”是由一个或数个IP子网络所组成windowsserver2012四个版本,这些子网之间是通过“高速且可靠的链接”串接起来,也就是这些子网络之间的链接速度要够快且稳定、符合需要,否则就应将它们分别规划为不同的站点。
AD内的大部分数据是利用“多主机复制模式”来复制
站点与AD的复制有着重要的关系,因为这些域控制器是否在同一个站点内,会影响到域控制器之间AD的复制行为。
复制协议
RPC(远程过程调用) 用作站点间或站点内复制
SMTP(简单邮件传输协议) 用作站点间复制
复制时间
缺省复制延迟 = 15秒
没有改变, 常规复制 = 1小时
紧急复制 = 立即发布变化通告
站点内复制:
网络连接既可靠同时具有足够的可用带宽
复制流量不进行压缩
更改通知进程启动站点内复制
站点间复制:
可用带宽有限且可能不可靠
所有站点间的流量都经过压缩
更改的复制将按照手动定义的计划执行
解决复制冲突:属性戳
冲突类型:
属性值
在删除的容器对象上添加/移动或删除容器对象
名称相同 :物件的GUID
    查询账户的属性:Repadmin  /showmeta cn=  ,ou=  ,dc=  ,dc= 
目录分区:
Schema Directory Partition 它存储着整个林中所有对象与属性的定义数据,也存储着如何建立这些对象与属性的规则。整个林共享一份相同的架构目录分区,它会被复制到整个林中的所有域控制器。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。