ADDS概述.docxVIP

ADDS概述统一管理用户、计算机、网络资源授权（Authorization）ADDS由物理组件和逻辑组件物理组件：数据存储：NTDS.DITA、AD数据库：AD对象B、日志文件：ADDB改变数据C、S/SVOL文件夹：组策略相关的数据2、域控制器3、全局编录服务器（GC）：提供信息资源的查找，GC数据库存储在DC中4、只读域控制器（RODC）：DC不一定是GC，但是GC一定是DCExchange中的通讯簿是从GC中来只读不可写只做入站复制，不做出战复制只能在2008和2008 R2中实现域功能级别必须在2003或者以上才能实施RODC认证缓存RODC不做任何用户名和密码的身份验证但是通过认证缓存保存用户信息到RODC中角色分离逻辑组件：分区架构：ADSI编辑器域域树由一个或多个域组成林站点进行数据库的复制组织单元（OUS）应用组策略AD架构：在一个林中架构是唯一的AD是一种网络架构，来进行统一管理，和工作组对立A域信任B域B可以访问A资源A是信任域，B是受信任域A是资源域，B是账户域A传出信任，B传入信任A外传，B内传信任的传递性（只能从上到下）信任的类型：1、父子信任2、林信任3、根域信任4、快捷方式信任5、外部信任6、领域信任（和非Windows系统之间的信任）UPN就是电子邮件账户在林中是唯一的站点：一、域控制器安装方法：在服务器管理器上面添加角色 ADDS————〉运行dcpromo直接在开始运行里面输入dcpromo有标准模式和高级模式（创建子域、额外域控、第二个域树时使用 dcpromo /adv）两种模式二、应答文件Cmd——〉dcpromo /unattend：”C:\应答文件”三、验证安装1、services2、检查DNS3、事件查看器4、DCdiag /v5、net share查看netlogon和sysvol有没有共享备份ADDS数据库信息netsutilactivate instance ntdsifmcreate full（RODC） C：\NDTS离线加域命令：DJOIN条件：1、必须是ws2008R2的DC+win7的Client创建的计算机名称和即将要加域的计算机名称必须一致修改域控的计算机名称Netdom来实现修改域控制器的计算机名称Netdom computername （oldname） /add：newnameNetdom computername （oldname） /makeprimary：newname重启域控Netdom computername （newname） /remove：oldname做相关DNS名称的修改RODC的安装方式有2种委派安装----创建预安装RODC，然后再server执行安装在cmd中运行dcpromo.Exe /UseExistingAccount：attach直接在server上安装创建子域创建林中第二个域树为这个域树选择适当的DNS架构能够通过DNS找到林中的域命名主机不同的DNSA、使用条件转发B、辅助区域作用：保证让一个域内的用户和计算机能够找到另外一个域内的用户和计算机（包括DC）创建林中的第二个域树，一定得是用高级安装创建模式Dcpromo /adv修改GC是在ADDS的站点和服务中修改2008 R2中有活动目录管理中心Client来管理ADUC操作主机一共有五种：林级别：架构主机域命名主机架构主机和域命名主机每个林内只有一台域级别：PDC模拟器RID主机基础结构主机PDC主DCBDC辅DCFSMO操作主机操作主机Netdom query fsmo架构主机（Schema）Regsvr32 schmmgmt.dll——〉MMC——〉添加删除管理单元——〉添加AD架构、域命名主机作用：添加删除域查找域命名主机：右键AD域和信任关系——〉域命名主机RID主机颁发RID主机给域内所有DC查找RID主机：管理工具——〉活动目录——〉ADUC——〉右键域名操作主机——〉RID主机PDC仿真器主机为2000之前的旧客户机更新密码最小化用户的密码跟新延迟同步域中域控制器的时间基础结构主机角色查找：管理工具——〉活动目录——〉ADUC——〉右键域名操作主机——〉基础结构主机转移DC角色有两种方式：1、图形化界面2、命令行界面传送角色Ntdsutil——〉roles——〉connections——〉connections to server ——〉quit——〉transfer夺取角色：命令行：Ntdsutil——〉roles——〉connections——〉connections to server ——〉quit——〉Seize PDC如何将WS2003的DC迁移到WS2008R21、备份系统 NTbackup2、考虑应用服务3、功能级别要2003或