活动目录笔记
活动目录概述;
AD作用;将网络的资源,统一组织,集中保存到data base,实现集中化或分散式管理
活动目录的功能；（组织，管理，控制）资源
AD本身是一个数据库，是目录服务的一种，提供查询服务。
Dns它也是一个数据库，存储IP与FQDN(完全限定域名)的对应关系，
域;(domain)网络的范围,网络安全的过界,网络复制 的单元
域中的一切网络资源称为AD对象，对象（object）
一个对象的相关信息记录在它的属性中，属性（Attribute）
活动目录对象是通过其属性来描述的，
活动目录对象的属性通过活动目录架构来控制决定的。
schema架构；活动目录对象属性的类模块。
活动目录的优点；
1． 集中相信用户和密码列表；
2． 提供一组服务作为身份证服务器
3． 对域中的资源维护一个可供搜索的索引便于查找
4．  允许创建带有不同权限的用户，
5． 能更好的做分层管理
6． AD为多厂商提供身份验证平台，
活动目录对象代表域外中的网络资源。活动目录对象是通过其《属性》来描述的
架构（schema）
架构是活动目录基本结构，是组成活动目录的规则。
活动目录架构包括两个方面内容：对象类和对象属性，
当在活动目录中创建对象时，就必须遵守这个架构规则，只有在活动目录架构中定义了一个对象的属性才可以在活动目录中使用该属性。
活动目录的结构;
逻辑结构,和物理结构.
逻辑结构用来组织网络资源,
物理结构用来设置和管理网络流量的.
DC;存储有活动目录的数据库的计算机,
子域的后缀永远是父域的名称.
一棵树内共享一个连续的名称空间.
*当企业级跨广域网且行政管理体系不同的建议使用域树的形式来规化活动目录,
*当出现企业兼并或多元化企业集团时建议使用森林的形式来规化活动目录. 
OU组织单元;
OU是活动目录最小的管理单元,
OU的特点;它属于一种特殊的容器,也是活动目录最小的容器,
该容器可以委派给某个用户和组,进行管理可以实现活动目录 的分散式管理,
OU对应了现实企业模型中的部门,
林中第一个域就是该林的根域,根域的名称就是该林的名称.
域树是由多个域组成.
两个域之间只有建立信任关系后才可实现互相访问,就像两个国家之间要进行友好的往来需要建立外交关系一样,
森林的特点;
1. 森林中的树拥有相同的架构和全局编目,
2. 森林中的每一个域称为该目录林的根域,
3. 森林根域的名字就是森林的名字.
4. 森林的根域和该森林中的其他域树的根域之间存在双向可传递的信任关系,(域树信任)
复制要讲究的策略;复制时间\复制量,复制次数年
站点(Site):一组高速可靠的物理链路,一个和多个子网的集合.
GC全局编录服务器,
5. SPN;服务规则名,
GUID;全局唯一标识符,
6. UPN用户的主机名或用户的规则名,
7. DC等号后面只能放域组件,
8. CN等号后面放非域非组织单元组件,
9. OU等号后面只能放组织单元组件,
10. GC本身就是一台特殊的DC,储着整个活动目录林中所有对象的部分属性这些属性都是一些重要属性是只读的不可修改的它仅是一个副本而已,它默认的林中的第一台GC可以手动设置多台,
11. 架构分区;存储着整个林中所有活动目录对象属性的架构信息.
12. 配置分区;存储着整个活动目录林的规化,配置结构信息,
13. 域目录分区,存储着林域内的所有活动目录对象信息,`
14. 应用程序分区;只存储与应用程序相关的一些信息,
单主机复制模式；
1. 应用在NT时代,
2. 复制单向(PDC-BDC)
3. 没有复制冲突
4. 容错性较差,
多主机复制模式
1. 应用于win2000/2003
2. 复制双向(DC-DC)
3. 有复制冲突
4. 容错性较好
5.SRV记录作用是：告诉网络中的客户端哪台服务器提供的哪种服务。例如：告诉客户端，网络中哪台是DC，哪台负责身份验证，哪台是PDC，哪台是GC等等信息.该记录只会在DNS与DC集成的计算机上出现。如果该记录不完整，那么域将无法正常工作。
    如果SRV记录不完整:打开服务控制台(services.msc),重启net logon服务，然后再看是否完整。
安装额外域控制器,与主DC共用一台DNS服务器;
1. 在欲安装的额外的域外控制器上设置DNS地址(指向DNS)服务器
2. 运行安装向导(dcpromo)安装额外DC
3. 选择现有域的额外域外控制器,
安装额外域外控制器与主DC使用不同的DNS服务器
1. 建立DNS辅助区域
2. 设置DNS地址(指向自己的IP地址)
3. 运行安装向导(dcpromo)安装额外DC
4. 验证AD集成区域.

AD活动目录的安装方法有二种;
第一种,先装DNS后装域(dcpromo)
第二种,DNS和域一起安装,

安装额外DC;首先在第一台域控上备份(ntbackup)域控,然后在第二台计算机上恢复域控,然后在新建DNS,(辅助DNS,)安装额外DC(dcpromo/adv)
安装额外DC; 先安装DNS辅助区域,(首选DNS指向自己的IP地址)运行安装向导,安装额外DC,
 安装额外DC;只要求安装额\外DC,DNS和主域控共用一台DNS
信任关系可分为.父子信任,树根信任,林信任,快捷信任,外部信任,领域信任,
外部信任是不可传递的.
父子,树根,是双向信任,
凡是自动建立的信任是不可删除的,不可修改,
用户和组;
本地账户,创建在非DC上,存储在windows\system32\config\sam中
域用户账户创建在DC上,存储在AD数据库中控制着对域资源的访问.
组按照类型可分为,安全组,和通讯组,
安全组可参与权限的设置和群发邮件,
通讯组只是接收邮件.
组是权力与权限的集合      permission权限           right权力
在单域情况下建议使用,AGDLP规则;将多个用户账户加入全局组给域本地组设置权限,
Group policy组策略;对域中一组用户账号和计算机账号的各种设置的组合.
GPO组策略对象;
GPO只能在三种窗容器上设置;站点,域,OU
GPO包含两部分;GPT(组策略模板,存储在sysvol中提供组策略设置)GPO(组策略容器,存储在AD活动数据库中,提供版本信息)
GPO有两个生效的结点.计算机节点,和用户节点.
如果GPO有变化客户端生效有三种1.等待(非DC等待90-100分钟)DC等待5分钟)
2.重启/注销3.命令gpupdate 刷新
如果GPO没变化刷新时间为16小时同步一次.
 Gpupdate /targed;user 用户生效     gpupdate /targed;computer计算机生效
Gpupdate /force 刷新策略
组策略存储在域控制器里;   组策略在客户端那儿处理
文件夹的重定向
共享文件夹不要放在主域控的C”盘.
宿主文件夹只有本人能访问;
重定向的是:桌面,我的文档,开始菜单,APPLICATION DATA,
脚本(script)AD的脚本的类型,1.启动脚本,2.登陆脚本,3.注销脚本4.关机脚本,
Wscript.echo “”脚本的显示,
软件设置;证书规则,哈希规则,internet区域规则,路径规则,
策略的继承与冲突处理,
范围越小的优先级越高,
计算机与用户策略发生冲突继承计算机的策略,
软件布署,它只支持扩展名为*.MSI的软件,不支持*分发方式有两种,发布和指派,
软件的发布开始程序里是没有的只有添加删除程序里进行安装,
指派在开始程序菜单里放了一个快捷方式而已,用户指派,
计算机里的指派重启直接安装,
强制升级,可选升级,选择等级,
帐户;用户帐户,计算机帐户,组帐户,
操作主机角色FSMO
架构主机角色;schema master
域命名主机角色;domain naming master
 PDC角色;RID master
基础结构角色;infrastructure master
站点间复制可以优化复制流量可以优化网络登录
使网络中的客户端找到离自己最近的网络资源
直接复制伙伴与间接复制伙伴产生了复制拓扑结构所以也有人说,KCC是站点内的复制拓扑生成器.