ADDS概述

ADDS概述

统一管理用户、计算机、网络资源

授权（Authorization）

ADDS由物理组件和逻辑组件

物理组件：

1、数据存储：

A、AD数据库：AD对象

B、日志文件：ADDB改变数据

C、S/SVOL文件夹：组策略相关的数据

2、域控制器

3、全局编录服务器（GC）：提供信息资源的查找，GC数据库存储在DC中

4、只读域控制器（RODC）：DC不一定是GC，但是GC一定是DC

Exchange中的通讯簿是从GC中来

a)只读不可写

b)只做入站复制，不做出战复制

c)只能在2008和2008R2中实现

d)域功能级别必须在2003或者以上才能实施RODC

e)认证缓存

f)RODC不做任何用户名和密码的身份验证但是通过认证缓存保存用户信息到RODC

中

g)角色分离

逻辑组件：

1、分区

2、架构：ADSI编辑器

3、域

4、域树由一个或多个域组成

5、林

6、站点进行数据库的复制

7、组织单元（OUS）应用组策略

AD架构：

在一个林中架构是唯一的

AD是一种网络架构项羽与刘邦，来进行统一管理起承转合的意思，和工作组对立

A域信任B域

1办公室风水摆设.B可以访问A资源

2义气.A是信任域，B是受信任域

3双胞胎妹妹陪做错事的姐姐罚站.A是资源域counter星座什么意思，B是账户域

4食品经营许可证.A传出信任三仙台，B传入信任

5牢固的反义词.A外传，B内传

信任的传递性（只能从上到下）

信任的类型：1、父子信任2、林信任3、根域信任4、快捷方式信任5、外部信任6、领域

信任（和非Windows系统之间的信任）

UPN就是电子邮件账户在林中是唯一的

站点：

一、域控制器安装方法：

1我美丽 因为我.在服务器管理器上面添加角色ADDS————〉运行dcpromo

2快乐是什么.直接在开始运行里面输入dcpromo

有标准模式和高级模式（创建子域、额外域控、第二个域树时使用dcpromo/adv）两种模

式

二、应答文件

Cmd——〉dcpromo/unattend：”C:应答文件”

三、验证安装

1、rvices

2、检查DNS

3、事件查看器

4、DCdiag/v

5、netshare查看netlogon和sysvol有没有共享

备份ADDS数据库信息

1、netsutil

2、activateinstancentds

3、ifm

4、createfull（RODC）C：NDTS

离线加域命令：DJOIN

条件：1、必须是ws2008R2的DC+win7的Client

2、创建的计算机名称和即将要加域的计算机名称必须一致

修改域控的计算机名称

Netdom来实现修改域控制器的计算机名称

1.

2竞选卫生委员演讲稿.

3中央财经大学mba.

4.

5梅花魂写了外祖父的哪几件事.

Netdomcomputername（oldname）/add：newname

Netdomcomputername（oldname）/makeprimary：newname

重启域控

Netdomcomputername（newname）/remove：oldname

做相关DNS名称的修改

RODC的安装方式有2种

1、委派安装----创建预安装RODC关于取长补短的成语，然后再rver执行安装

在cmd中运行/UExistingAccount：attach

2、直接在rver上安装

创建子域

创建林中第二个域树

为这个域树选择适当的DNS架构

1、能够通过DNS找到林中的域命名主机

2、不同的DNS

A、使用条件转发

B、辅助区域

作用：保证让一个域内的用户和计算机能够找到另外一个域内的用户和计算机（包括DC）

创建林中的第二个域树陈情表读后感，一定得是用高级安装创建模式

Dcpromo/adv

修改GC是在ADDS的站点和服务中修改

2008R2中有活动目录管理中心

Client来管理ADUC

操作主机

一共有五种：

林级别：

架构主机

域命名主机

架构主机和域命名主机每个林内只有一台

域级别：

PDC模拟器

RID主机

基础结构主机

PDC主DC

BDC辅DC

FSMO操作主机

操作主机

Netdomqueryfsmo

架构主机（Schema）

——〉MMC——〉添加删除管理单元——〉添加AD架构、

域命名主机

作用：添加删除域

查找域命名主机：右键AD域和信任关系——〉域命名主机

RID主机

颁发RID主机给域内所有DC

查找RID主机：管理工具——〉活动目录——〉ADUC——〉右键域名操作主机——〉RID主

机

PDC仿真器主机

为2000之前的旧客户机更新密码

最小化用户的密码跟新延迟

同步域中域控制器的时间

基础结构主机角色

查找：管理工具——〉活动目录——〉ADUC——〉右键域名操作主机——〉基础结构主机

转移DC角色有两种方式：

1、图形化界面

2、命令行界面

传送角色

Ntdsutil——〉roles——〉connections——〉——〉quit

——〉transfer

夺取角色：

命令行：

Ntdsutil——〉roles——〉connections——〉——〉quit

——〉SeizePDC

如何将WS2003的DC迁移到WS2008R2

1、备份系统NTbackup

2、考虑应用服务

3、功能级别要2003或者以上

4、扩展AD架构成为2008R2（需要插入WS2008R2的光盘）

5、扩展步骤：

1）cmd命令进入光盘的盘符然后cdsupportadprep然后运行adprep/forestprep（准备林）

如果win2003是32位系统运行adprep32/forestprep

2）之后按C+Enter继续

3）adprep/domainprep（准备域）《如果2003是32位系统则adprep后都要加32》

4）adprep/rodcprep（准备RODC）

6、将WS2008R2的工作组计算机变成额外域控

运行dcpromo

7、等待2台DC的所有信息都同步

8、角色转移（将2003DC的角色转移到2008R2上）——〉将2008R2的域控变成主域控

9、微软建议最好保证03DC和08R2DC一起运行一个月左右的时间

10、将2003DC降级—dcpromo

Dcpromo/forceremoval强制降级

11、修改DNS

1）DNS地址保留原有的

2）DNS地址使用最新的

配置域名服务支持活动目录服务

LADP是对象信息查找

ADDS对象的类型

1、用户账户

2、计算机账户

3、组账户

4、InetOrgPerson

5、组织单位

6、打印机

7、共享文件夹

用户登录域计算机的方式：

1、UPN登录西元3000后，整个林内这个名称是唯一的。UPN名是不会随着用户转移到其他域而改变。

它也是一种电子邮件格式登录

2、旧版登录——在同一个域内这个名称是唯一的

组：

1、分发组：仅仅用来发动电子邮件

2、安全组：为用户和计算机分配权限和权利、当嵌套时最有效、发送电子邮件（具有分发

组的全部功能）

批量创建用户

Csvde可以创建用户君子博学而日参省乎己，但是不能修改和删除用户

Ldifde可以创建用户念你，修改用户

Dsadd只是添加用户

Dsmod用来修改用户信息

Dsrm删除用户

配置ADDS信任关系

信任

父子信任自动创建且双向可传递

根域信任自动创建且双向可传递

需要手动创建的信任：

1.快捷方式信任

2.林信任

林信任如何创建

两个林之间必须通过DNS找到对方的域控制器

1）两个林使用同一台DNS服务器

2）两个林使用不同的DNS服务器——辅助区域

3）两个林使用不同的DNS服务器——条件转发

注意：两台机器的林功能级别必须为2003或以上

ADDS复制

使用多主机复制模式：

1.数据不会压缩

2.一个DC会改动，15S后自动复制到其他DC上面去

引发复制的变化

1走过幸福.添加对象

2爱爱大全.修改对象属性

3钢结构工程施工合同.删除对象

4爱的时间.和安全有关的更新会立即发生复制通告（密码策略、用户账户锁定、账户锁定策略有变）

多主机复制冲突时：

根据

1.版本号2婴儿睡眠不好.时间戳

不同站点之间的ADDB的复制

1.数据会被压缩

2.在计划的时间内进行复制

3.使用ROI（RPCOverIP）协议进行复制

无论是同一站点还是不同站点都可以使用ROI协议进行复制

如果两个站点之间需要复制，就必须有站点链接

开销值越小，越优先复制

每个站点内部各有一台站点间拓扑生成器负责新建站点间的复制拓扑，并在站点内挑选一台

DC作为桥头服务器

桥头服务器：负责接收和发送复制数据

通用组成员缓存：

GC可以提供通用组成员缓存：使得没有GC的AD站点中的域控制器上可以缓存通用组的成

员信息（默认8小时更新一次缓存）

通用组成员缓存的优点：

1七子之歌澳门.加快用户登录速度

2推迟月经.现有DC的硬件不需要提升

3.减轻对网络带块的负担

需要启用缓存