二、活動目錄的邏輯架構概念

有這樣的域環境：ilync.cn、gz.ilync.cn、bj.ilync.cn，問在ilync.cn中創建一個用戶alice，把alice加入到ilync.cn的domain admins組中，問alice賬號可以管理子域嗎？

答：經過實驗，alice賬號只能查看子域（因為存在信任關系），不能進行子域管理。

1、域的兩個重要特性：

• 域是一個安全邊界：權限的定義範圍限制在本地域內。

• 域是一個復制單元：在一個域中無論有多少DC，所有DC的目錄服務都是相互復制的、相互同步的。之所以相互復制，是因為要保證在這個域中，目錄服務數據庫有多個副本，實現容錯。
  

關於復制：

在同一個域中，所有的DC數據庫都是相互同步的

如果在同一個域中的兩個DC在同一個站點中，默認15S復制一次，如果兩個DC不在同一站點中，復制的頻率取決於站點鏈路的頻率。

在域中復制的類型有兩種：多主復制和單主復制。多主復制每個DC都可能是復制的發起者，單主復制一般一個域中只有主機來發起，如架構改變時，先同步給架構主機，由架構主機去發起復制。

活動目錄數據庫有三個邏輯分區：domain（域分區）、configration（配置分區）、schema。在同一個域的DC，三個分區數據都同步：如果是同一個林但不是同一個域的DC，只同步configration和schema分區。若要查看這些分區，可通過ADSI編輯器(或者命令adsiedit.msc)來查看。

2、創建子域步驟：

• 先安裝好主域環境，並確保將要安裝的子域主機和主域主機是可以通信的。

• 再將需要成為的子域的主機加入主域環境，

• 然後用域賬號管理員登陸子域主機，再將子域主機提升為子域控制器。

• 創建過程和創建主域類似，需要註意的是在將主機提升為域控制器時“選擇部署操作”時，需要選擇第二項“將新域添加到現有林” 並選擇域類型為“子域”。netbios填寫域名的第一部分，然後一直下一步到完成。
  

3、驗證子域安裝正確性：

查看域的邏輯結構工具：active directory域和信任關系。

3.2、子域的作用

便於獨立管理，父域的配置不會推送到子域中。

4、創建備份域（輔助域）控制器：

• 先安裝好主域環境，並確保將要安裝的備份域主機和主域主機是可以通信的。

• 再將需要成為的備份域（即輔助域）的主機加入主域環境，

• 然後用域賬號管理員登陸備份域主機，再將備份域主機提升為輔助域控制器。

• 創建過程和創建主域類似，需要註意的是在將主機提升為域控制器時“選擇部署操作”時，需要選擇第一項“將域控制器添加到現有域” 指定此操作的域信息為：填寫主域域名。然後一直下一步到完成。註意：在指定復制選項可以選擇“從介質安裝”、也可以“從域控制器復制”。

5、創建林中的另一個域樹

• 先安裝好主域環境，並確保將要安裝的另一個域樹主機(A)和主域主機是可以通信的。

• 再將需要成為域樹的主機(A)加入主域環境，

• 然後用域賬號管理員登陸域樹主機(A)，再將域樹主機(A)提升為域控制器。

• 創建過程和創建主域類似，需要註意的是在將主機提升為域控制器時“選擇部署操作”時，需要選擇第二項“將新域添加到現有林”，並選擇域類型為“樹域”，填寫樹域新域名（和林域域名沒有關系）。填寫憑證的用戶必須具有ERNTERPRISE admins 權限。

• 然後一直下一步到完成。註意：netbios名稱一般為域名的第一部門。

註意：在林中新建的另一個域樹，如果不配置DNS轉發器，那麽兩個域之間是不能ping通的，在dns服務器中，創建條件轉發器。

條件轉發器有兩種，一個是總的轉發器，一個是分開。總的轉發器在服務器右鍵屬性中可以添加。

6、客戶端遠程管理域：

• 遠程桌面：默認情況下只能有兩個用戶進行同時連接、同時也不安全。

• 下載對應版本的遠程服務器管理工具，如“win8遠程服務器管理工具”

7、目錄樹、目錄林、ou(組織單元)

目錄樹：看末尾的域名

目錄林：域樹組成的一個森林。

OU（組織單元）：

• ou能有效的組織域中對象，使域組織更加有條理

• ou在公司中一般用來表示一個部門、一個區域。

• ou可以嵌套

• 可以針對ou進行權限的委派，實現分散式管理

• 在ou上可以捆綁組策略，這樣使組策略的管理更加細化。
  

GC（全局編錄）

• GC是一臺特殊的DC，記錄了整個林中的所有對象

• 在一個林中至少有一個GC，默認情況下林中第一臺DC就是GC。

• DC的數據庫記錄了當前域中所有對象的所有屬性；GC除了存儲當前域中所有的對象的所有屬性外，還存儲了整個林中的所有對象的部分屬性
  

但是有些對象的字段不一定會被GC收錄。

怎麽將對象的字段添加到GC收錄？

①運行命令：regsvr32.exe schmmgmt.dll

②上述命令添加了活動目錄架構。

③打開mmc管理單元，添加活動目錄架構

④打開活動目錄架構控制臺，點擊裏面的屬性，右擊相應的字段，勾選“將此屬性復制到全局編錄”

⑤確定字段的意思，可以通過ADSI中的域分區去查找。

怎麽確定哪臺是GC？

方法一：打開站點和服務，在站點下面的服務器右擊屬性，彈出的NTDS Settings裏如果“全局編錄”打鉤就是全局編錄服務器，否則不是。

方法二：打開用戶和計算機，在domain controllers 裏面可以看到DC類型是否為GC。

方法三：在DNS管理器中，正向查找區域-->gc-->tcp中可以一次看到所有的GC服務器。

三、活動目錄物理架構和案例

1、域的物理結構

• 域控制器：每隔15s同步一次
  

• 站點 ：解決分布的區域服務器實時同步數據庫占用帶寬的問題。通過配置站點間的同步時間。
  

2、只讀域控：更改只讀域控制器配置不會同步到其他服務器。

3、多域多站點配置

要給出物理拓撲和邏輯拓撲。

多域多站點的架構，建議建好相應的站點再去創建域。

註意：如果主域和輔助域不在同一個區域，當安裝輔助域同步數據庫時，可以通過讀取主域的快照來來實現，當然也可以通過網絡同步實現。

主域創建快照：在cmd鍵入如下命令：

ntdsutil

Activate Instance NTDS //激活實例

IFM //創建IFM媒體

Create Full c:\ADDB //創建完整快照

至此主域的快照創建完成，可以發送給其他地區的域管理員進行附加。

win2012活動目錄介紹