一．AD的一些基本概念　　1.命名空間(Namespace):就是一個(gè)界定好的區(qū)域，在這塊區(qū)域內(nèi)我們可以利用某個(gè)名稱來(lái)找到與這個(gè)名稱有關(guān)的信息。一個(gè)電話本好象是一個(gè)“命名空間”?！　?.對(duì)象(obje

一．AD的一些基本概念
　　1.命名空間(Namespace):就是一個(gè)界定好的區(qū)域，在這塊區(qū)域內(nèi)我們可以利用某個(gè)名稱來(lái)找到與這個(gè)名稱有關(guān)的信息。一個(gè)電話本好象是一個(gè)“命名空間”。

　　2.對(duì)象(object)：在windows server 2003 域內(nèi) 用戶、計(jì)算機(jī)、打印機(jī)、應(yīng)用程序等都是對(duì)象。

　　3.屬性(attribute):屬性就是用來(lái)描述對(duì)象特征的。對(duì)象本身就是一些“屬性”的集合。

　　4.容器(container)：它和對(duì)象相似，也是一些屬性的集合。容器內(nèi)可以包含其他對(duì)象，比如“用戶” “計(jì)算機(jī)”等對(duì)象，還可以包含其他容器。

　　5.組織單元(OU):實(shí)際就是一個(gè)特殊點(diǎn)的容器，可以包含其他容器與OU，還有“組策略”的功能。

　　6.域樹(domain tree) :架設(shè)一個(gè)多域的網(wǎng)絡(luò)，則網(wǎng)絡(luò)可以設(shè)置成“域樹”的架構(gòu)，這些域是以倒置樹狀結(jié)構(gòu)存在。樹的最上層是這棵域樹的根域，根域之下會(huì)有很多會(huì)有很多子域。

　　7.信任(trust):要想讓兩個(gè)域可以訪問(wèn)對(duì)方域內(nèi)的資源，必須讓兩個(gè)域建立“信任關(guān)系”。任何一個(gè)windows server 2003 域被加入域樹后，這個(gè)域都會(huì)自動(dòng)信任前一層的父域，同時(shí)父域也會(huì)自動(dòng)信任此新域，這個(gè)信任的功能是通過(guò)Kerberos安全協(xié)議來(lái)完成的，也被稱做kerberos信任。如果A域和B域雙向信任，B域和C域也互相信任，那么A 域和C 域也會(huì)自動(dòng)雙向信任，這也叫隱性信任。

　　8.全局編錄(global catalog):域樹內(nèi)的所有域共享一個(gè)Active directory,但Active directory 的數(shù)據(jù)確是分散的存儲(chǔ)在各個(gè)域內(nèi)，并且每個(gè)域內(nèi)只存該域本身的對(duì)象。因此全局編錄它是為了讓每一個(gè)用戶、應(yīng)用程序能夠快速的找到其他域內(nèi)的對(duì)象而設(shè)計(jì)的。

二．windows server 2003 域的建立
　　按步驟安裝系統(tǒng)兼容性—>域控制器類型—>創(chuàng)建一個(gè)新域—>新域名—>NetBios域名—>數(shù)據(jù)庫(kù)和日志文件文件夾—>共享的系統(tǒng)卷—>DNS 注冊(cè)診斷—>權(quán)限—>目錄服務(wù)還原模式的管理員密碼—>摘要—>重啟

三．安裝額外域控制器
　　配置域的額外域控制器—>數(shù)據(jù)庫(kù)文件夾—>日志文件文件夾—>SYSVOL文件夾

四．Active directory 的組策略
　　組策略是一個(gè)管理用戶工作環(huán)境的技術(shù)，通過(guò)策略可以確保用戶擁有所需的工作環(huán)境，也可以限制用戶，這樣它不僅讓用戶擁有了適當(dāng)?shù)墓ぷ鳝h(huán)境，也減輕了系統(tǒng)管理員的管理負(fù)擔(dān)。

　　組策略的繼承和處理的方法：

　　1.當(dāng)父容器的某個(gè)策略被配置，但它的子容器的策略沒(méi)有被配置時(shí)，子容器的這個(gè)策略將繼承父容器的配置值。

　　2.當(dāng)子容器內(nèi)的某個(gè)策略被配置時(shí)，此策略值就會(huì)覆蓋由其父容器所傳遞下來(lái)的配置值。也就是系統(tǒng)處理GPO 的順序是站點(diǎn)GPO、域GPO、 OU 的