一．AD的一些基本概念　　1.命名空間(Namespace):就是一個界定好的區(qū)域，在這塊區(qū)域內我們可以利用某個名稱來找到與這個名稱有關的信息。一個電話本好象是一個“命名空間”?！　?.對象(obje

一．AD的一些基本概念
　　1.命名空間(Namespace):就是一個界定好的區(qū)域，在這塊區(qū)域內我們可以利用某個名稱來找到與這個名稱有關的信息。一個電話本好象是一個“命名空間”。

　　2.對象(object)：在windows server 2003 域內 用戶、計算機、打印機、應用程序等都是對象。

　　3.屬性(attribute):屬性就是用來描述對象特征的。對象本身就是一些“屬性”的集合。

　　4.容器(container)：它和對象相似，也是一些屬性的集合。容器內可以包含其他對象，比如“用戶” “計算機”等對象，還可以包含其他容器。

　　5.組織單元(OU):實際就是一個特殊點的容器，可以包含其他容器與OU，還有“組策略”的功能。

　　6.域樹(domain tree) :架設一個多域的網絡，則網絡可以設置成“域樹”的架構，這些域是以倒置樹狀結構存在。樹的最上層是這棵域樹的根域，根域之下會有很多會有很多子域。

　　7.信任(trust):要想讓兩個域可以訪問對方域內的資源，必須讓兩個域建立“信任關系”。任何一個windows server 2003 域被加入域樹后，這個域都會自動信任前一層的父域，同時父域也會自動信任此新域，這個信任的功能是通過Kerberos安全協議來完成的，也被稱做kerberos信任。如果A域和B域雙向信任，B域和C域也互相信任，那么A 域和C 域也會自動雙向信任，這也叫隱性信任。

　　8.全局編錄(global catalog):域樹內的所有域共享一個Active directory,但Active directory 的數據確是分散的存儲在各個域內，并且每個域內只存該域本身的對象。因此全局編錄它是為了讓每一個用戶、應用程序能夠快速的找到其他域內的對象而設計的。

二．windows server 2003 域的建立
　　按步驟安裝系統兼容性—>域控制器類型—>創(chuàng)建一個新域—>新域名—>NetBios域名—>數據庫和日志文件文件夾—>共享的系統卷—>DNS 注冊診斷—>權限—>目錄服務還原模式的管理員密碼—>摘要—>重啟

三．安裝額外域控制器
　　配置域的額外域控制器—>數據庫文件夾—>日志文件文件夾—>SYSVOL文件夾

四．Active directory 的組策略
　　組策略是一個管理用戶工作環(huán)境的技術，通過策略可以確保用戶擁有所需的工作環(huán)境，也可以限制用戶，這樣它不僅讓用戶擁有了適當的工作環(huán)境，也減輕了系統管理員的管理負擔。

　　組策略的繼承和處理的方法：

　　1.當父容器的某個策略被配置，但它的子容器的策略沒有被配置時，子容器的這個策略將繼承父容器的配置值。

　　2.當子容器內的某個策略被配置時，此策略值就會覆蓋由其父容器所傳遞下來的配置值。也就是系統處理GPO 的順序是站點GPO、域GPO、 OU 的