一．AD的一些基本概念　　1.命名空間(Namespace):就是一個界定好的區(qū)域，在這塊區(qū)域內(nèi)我們可以利用某個名稱來找到與這個名稱有關(guān)的信息。一個電話本好象是一個“命名空間”。　　2.對象(obje

一．AD的一些基本概念
　　1.命名空間(Namespace):就是一個界定好的區(qū)域，在這塊區(qū)域內(nèi)我們可以利用某個名稱來找到與這個名稱有關(guān)的信息。一個電話本好象是一個“命名空間”。

　　2.對象(object)：在windows server 2003 域內(nèi) 用戶、計算機(jī)、打印機(jī)、應(yīng)用程序等都是對象。

　　3.屬性(attribute):屬性就是用來描述對象特征的。對象本身就是一些“屬性”的集合。

　　4.容器(container)：它和對象相似，也是一些屬性的集合。容器內(nèi)可以包含其他對象，比如“用戶” “計算機(jī)”等對象，還可以包含其他容器。

　　5.組織單元(OU):實際就是一個特殊點的容器，可以包含其他容器與OU，還有“組策略”的功能。

　　6.域樹(domain tree) :架設(shè)一個多域的網(wǎng)絡(luò)，則網(wǎng)絡(luò)可以設(shè)置成“域樹”的架構(gòu)，這些域是以倒置樹狀結(jié)構(gòu)存在。樹的最上層是這棵域樹的根域，根域之下會有很多會有很多子域。

　　7.信任(trust):要想讓兩個域可以訪問對方域內(nèi)的資源，必須讓兩個域建立“信任關(guān)系”。任何一個windows server 2003 域被加入域樹后，這個域都會自動信任前一層的父域，同時父域也會自動信任此新域，這個信任的功能是通過Kerberos安全協(xié)議來完成的，也被稱做kerberos信任。如果A域和B域雙向信任，B域和C域也互相信任，那么A 域和C 域也會自動雙向信任，這也叫隱性信任。

　　8.全局編錄(global catalog):域樹內(nèi)的所有域共享一個Active directory,但Active directory 的數(shù)據(jù)確是分散的存儲在各個域內(nèi)，并且每個域內(nèi)只存該域本身的對象。因此全局編錄它是為了讓每一個用戶、應(yīng)用程序能夠快速的找到其他域內(nèi)的對象而設(shè)計的。

二．windows server 2003 域的建立
　　按步驟安裝系統(tǒng)兼容性—>域控制器類型—>創(chuàng)建一個新域—>新域名—>NetBios域名—>數(shù)據(jù)庫和日志文件文件夾—>共享的系統(tǒng)卷—>DNS 注冊診斷—>權(quán)限—>目錄服務(wù)還原模式的管理員密碼—>摘要—>重啟

三．安裝額外域控制器
　　配置域的額外域控制器—>數(shù)據(jù)庫文件夾—>日志文件文件夾—>SYSVOL文件夾

四．Active directory 的組策略
　　組策略是一個管理用戶工作環(huán)境的技術(shù)，通過策略可以確保用戶擁有所需的工作環(huán)境，也可以限制用戶，這樣它不僅讓用戶擁有了適當(dāng)?shù)墓ぷ鳝h(huán)境，也減輕了系統(tǒng)管理員的管理負(fù)擔(dān)。

　　組策略的繼承和處理的方法：

　　1.當(dāng)父容器的某個策略被配置，但它的子容器的策略沒有被配置時，子容器的這個策略將繼承父容器的配置值。

　　2.當(dāng)子容器內(nèi)的某個策略被配置時，此策略值就會覆蓋由其父容器所傳遞下來的配置值。也就是系統(tǒng)處理GPO 的順序是站點GPO、域GPO、 OU 的