第二章 第三節(jié)Windows Active Directory 域故障排錯本節(jié)介紹Windows 2000/03 AD域故障的排錯。首先我們會介紹活動目錄（Active Directory）及其相關(guān)概

第二章 第三節(jié)

Windows Active Directory 域故障排錯

本節(jié)介紹Windows 2000/03 AD域故障的排錯。首先我們會介紹活動目錄（Active Directory）及其相關(guān)概念，然后介紹和域故障排錯相關(guān)的知識、工具軟件的使用，最后以實例的形式講解針對具體的各種域故障如何進行排錯，如何有效地利用組策略來管理AD 域、管理網(wǎng)絡(luò)。

通過本節(jié)的學(xué)習(xí)，讀者可以掌握活動目錄（Active Directory）及其相關(guān)概念，活動目錄的功能、邏輯結(jié)構(gòu)、物理結(jié)構(gòu)；管理Windows 2000/03網(wǎng)絡(luò)的方法，相關(guān)工具的使用；提高域故障排錯能力，掌握活動目錄上的最大應(yīng)用：組策略。

2-3-1活動目錄（Active Directory）及其相關(guān)概念

要掌握Windows 2000/03 AD域故障排錯，首先就得知道什么是域，什么是活動目錄，活動目錄的工作原理如何。以下內(nèi)容作為后面域排錯的基礎(chǔ)理論知識至關(guān)重要。

2-3-1-1為什么要使用活動目錄？

為什么要使用活動目錄？首先我們來看兩個例子：

如果我們要記住10個、20個電話號碼還可以，但更多的就無能為力了。這時我們就會想到把電話號碼記錄到電話簿上，需要時去查詢。

如果我們家中只有10本、20本的書，我們會比較容易找到我們想要的那一本，但如果我們家中的書像圖書館那么多，這時我們就會想到把書分門別類地放好，并根據(jù)書的書名、作者、出版社、類別等屬性信息做好索引，以利于查找。

有效地管理網(wǎng)絡(luò)，也象管理電話號碼、管理圖書一樣。我們會把網(wǎng)絡(luò)中眾多的對象：計算機、用戶、用戶組、打印機、共享夾……，分門別類、井然有序地放在活動目錄這個大倉庫中。使用活動目錄對你公司的網(wǎng)絡(luò)進行管理，才是積極有效的管理方法，而且網(wǎng)絡(luò)規(guī)模越大，越能體現(xiàn)出活動目錄在管理網(wǎng)絡(luò)上的高效性。

2-3-1-2工作組（Workgroup ）

Windows 工作組模式來進行管理，但其管理功能極其有限。

對于一臺Windows 計算機來講，它要么隸屬于工作組，要么隸屬于域。工作組是微軟的概念，一般的普遍稱謂是對等網(wǎng)。

工作組通常是一個由不多于10臺計算機組成的邏輯集合，如果要管理更多的計算機，微軟推薦你使用域的模式進行集中管理，這樣的管理更有效。你可以使用域、活動目錄、組策略等等各種功能，使你網(wǎng)絡(luò)管理的工作量達到最小。當(dāng)然這里的10臺只是一個參考值，11臺甚至20臺，如果你不想進行集中的管理，那么你仍然可以使用工作組模式。

工作組的特點就是實現(xiàn)簡單，不需要域控制器DC ，每臺計算機自己管理自己，適用于距離很近的 當(dāng)然如果網(wǎng)絡(luò)規(guī)模很小，也可以使用

有限數(shù)目的計算機。順便說明一下，工作組名并沒有太多的實際意義，只是在網(wǎng)上鄰居的列表中實現(xiàn)一個分組而已；再就是對于“計算機瀏覽服務(wù)”，每一個工作組中，會自動推選出一個主瀏覽器，負(fù)責(zé)維護本工作組所有計算機的NetBIOS 名稱列表。用戶可以使用默認(rèn)的工作組名workgroup ，也可以任意起個名字（不必?fù)?dān)心重名），同一工作組或不同工作組間在訪問時也沒有什么分別，都需要輸入目標(biāo)計算機上的用戶名、口令進行驗證。

在工作組模式下，用戶要訪問10臺計算機上的資源，就需要記住至少10個用戶名和口令，工作組的這種分散管理性是它和域的集中式管理相比最大的缺點。AD 域提供了對網(wǎng)絡(luò)資源的集中控制，用戶只需登錄一次就可以訪問整個活動目錄的資源。

2-3-1-3活動目錄（Active Directory）和域控制器（Domain Controller）

如果網(wǎng)絡(luò)規(guī)模較大，這時我們就會考慮把網(wǎng)絡(luò)中眾多的對象（被稱之為AD 對象）：計算機、用戶、用戶組、打印機、共享夾……分門別類、井然有序地放在一個大倉庫中，并做好檢索信息，以利于查找、管理和使用這些對象（資源）。這個有層次結(jié)構(gòu)的數(shù)據(jù)庫，就是活動目錄數(shù)據(jù)庫，簡稱AD 庫。

接下來，我們應(yīng)該把這個數(shù)據(jù)庫放在哪臺計算機上呢？是這樣的，我們把存放有活動目錄數(shù)據(jù)庫的計算機就稱之為域控制器（Domain Controller），簡稱DC 。

2-3-1-4活動目錄架構(gòu)（Active Directory Schema）

架構(gòu)是關(guān)于AD 對象類型屬性的定義。一種類型AD 對象應(yīng)該有哪些屬性是由架構(gòu)來定義的，比如它定義了用戶對象有姓、名、登錄名、口令等一系列的屬性。如果你想增加一個“性別”屬性，這就要修改架構(gòu)，一般稱之為擴展AD 架構(gòu)，這要求你必須是林根域上的Schema Admins組成員才行。

整個活動目錄的林中只有一個架構(gòu)，因此在活動目錄中創(chuàng)建的所有對象都遵從同樣的規(guī)則。也就是說你對架構(gòu)的修改將影響到林中的所有域，你沒辦法實現(xiàn)同一林中的一個域用戶對象有“性別”屬性，而另一個域沒有。

2-3-1-5目錄訪問協(xié)議（DAP ）和輕量級目錄訪問協(xié)議（LDAP ）

AD 對象存儲在活動目錄中，客戶和應(yīng)用程序就通過訪問活動目錄，來查找這些存放于活動目錄中的對象。用戶訪問這些AD 對象，當(dāng)然要遵照一定的規(guī)則和約定，這就是協(xié)議。客戶訪問目錄所用的協(xié)議被稱之為目錄訪問協(xié)議（DAP ），DAP 是在X.500中定義的一個復(fù)雜協(xié)議，它的簡化版本被稱之為輕量級目錄訪問協(xié)議（LDAP ），被微軟的活動目錄AD 所采用。LDAP 是用于查詢和更新活動目錄的目錄服務(wù)協(xié)議。

2-3-1-6目錄服務(wù)

回過頭來，我們再來看一下目錄服務(wù)的定義。目錄服務(wù)由X.500標(biāo)準(zhǔn)定義，目錄是指一個組織中關(guān)于人和資源信息的結(jié)構(gòu)化、層次化的庫。在微軟的Windows 2000/03網(wǎng)絡(luò)中，這個目錄服務(wù)就是指活動目錄（Active Directory）服務(wù)，又比如在Novell 公司的NetWare 上使用的目錄服務(wù)叫NDS （Novell 目錄服務(wù)），目錄服務(wù)的實質(zhì)就是一種網(wǎng)絡(luò)服務(wù)。

活動目錄（Active Directory）作為網(wǎng)絡(luò)目錄服務(wù)，提供了用于組織、管理和控制網(wǎng)絡(luò)資源的結(jié)構(gòu)和功能，使我們有了集中管理Windows 2000/03網(wǎng)絡(luò)的能力，管理員可以在一個地點管理整個

網(wǎng)絡(luò)。當(dāng)然也可以利用OU 進行委派控制，把一部分管理工作分派給OU 管理員。

2-3-1-7活動目錄的邏輯結(jié)構(gòu)

活動目錄的邏輯結(jié)構(gòu)具有伸縮性，?。嚎梢灾皇且慌_計算機，大：可以應(yīng)用到大型跨國公司的網(wǎng)絡(luò)。活動目錄的邏輯組件包括：

???????? 活動目錄林（Active Directory Forest）

???????? 活動目錄樹（Active Directory Tree）

???????? 活動目錄域（Active Directory Domain）

???????? 組織單元（OU ，Organizational Units）

???????? 全局目錄（GC ，Global Catalog）

mcse.com

sub.mcse.com

my.com

接下來，以上圖為例，進行相關(guān)討論。這整個是一個林，mcse.com 為林根域，有兩個樹，一個由mcse.com 和它的子域sub.mcse.com 組成，另一個由my.com 單獨組成，林中有mcse.com ，sub.mcse.com ，my.com 三個域。相關(guān)概念如下：

林根域：在林中建立的第一個域，如：mcse.com

樹：共用連續(xù)的命名空間的多層域，如mcse.com （父域）和sub. mcse.com （子域） 樹根域：樹最高層的域，名最短。如：mcse.com 和my.com

Windows 2000/03可采用多層域結(jié)構(gòu)，但最有效、最簡便的管理方法仍是單域，所以大家在實際工作中要記住一個原則“能用單域解決，就不用多域”。

一、域（Domain ）

域是活動目錄中邏輯結(jié)構(gòu)的核心單元。一個域包含許多計算機，它們由管理員設(shè)定，共用一個目錄數(shù)據(jù)庫，一個域有一個唯一的名字。

域是安全邊界，保證域的管理員只能在該域內(nèi)有必要的管理權(quán)限，除非得到其它域的明確授權(quán)。每個域都有自己的安全策略和與其它域的安全聯(lián)系方式。注意：1、無法在一個域內(nèi)實現(xiàn)不同的帳號策略。2、父域?qū)ψ佑虿]有任何管理特權(quán)，但要注意林根域下有企業(yè)管理員組Enterprise Admins，它默認(rèn)對林中的其它域是有特權(quán)的。

父域和子域間默認(rèn)就有雙向可傳遞的信任關(guān)系，也就是說用戶可以使用林中任意一個域內(nèi)的計算機，登錄到林內(nèi)的任何一個域上（操作上就是使用欲要登錄的那個域的用戶帳號）；還可以，以自己本域的帳號登錄，訪問林內(nèi)任何資源而不需要重新輸入口令，當(dāng)然要想能真正訪問某一具體資源，在該資源上必須得有相應(yīng)權(quán)限才行。

二、組織單元（OU ，Organizational Units）

在域下面，我們可以規(guī)劃OU ，放入計算機、用戶、用戶組等對象。也就是說通過OU ，我們可以把對象組織起來，并形成一個有層次的邏輯結(jié)構(gòu)。OU 下面可以再建小OU ，微軟建議嵌套層次不要超過3層，我們平常一般1到2層就夠用了。

在規(guī)劃OU 時，要考慮到將來的管理和組策略的應(yīng)用，一般應(yīng)把有相同需求的計算機、用戶等放在同一OU 下?？梢曰诓块T、基于管理責(zé)任，也可以基于地理位置來規(guī)劃，使其最佳地適應(yīng)你的公司的需求。

在域下面規(guī)劃OU ，不是僅僅為得到一個層次結(jié)構(gòu)，我們主要目的是要基于OU 實現(xiàn)委派控制和將來鏈接相應(yīng)的組策略來實現(xiàn)管理控制。委派的權(quán)限可以是完全控制，也可以是僅指定有限的權(quán)限（如：修改OU 內(nèi)的用戶口令）給一個或幾個用戶和組。

三、活動目錄林（Active Directory Forest）

在林中建立的第一個域，被稱為林根域，如前面提到的mcse.com 。在剛開始時候，我們這個林中只有一個樹，樹內(nèi)只有一個域，域內(nèi)只有一臺計算機作為域控制器。也就是說此時我們整個林就只有一臺計算機。

接下我們也可以為它添加子域，如sub.mcse.com. ，再添加了一個新樹下的域my.com 。這樣我們的這個林下就有了兩個樹：一個樹由mcse.com 域、和它的子域sub.mcse.com 構(gòu)成，一個樹僅由my.com 域構(gòu)成。

四、活動目錄樹（Active Directory Tree）

活動目錄樹是Windows 2000/03網(wǎng)絡(luò)中的層次組織，同一樹下的域共用連續(xù)的名字空間。如父域mcse.com （它同時也是樹根域、林根域），樹根域的名字一定是最短的。父域mcse.com 和子域sub.mcse.com 之間默認(rèn)就有一個雙向的、可傳遞的信任關(guān)系。也正由于這種信任關(guān)系的可傳遞性，使得sub.mcse.com 和my.com 間也有了雙向信任關(guān)系。

五、全局目錄（GC ，Global Catalog）

全局目錄GC 包含了AD 對象屬性的子集，換句話說就是GC 中包含了林中所有對象的摘要信息，也就是相對重要一些的屬性，如用戶對象的姓、名和登錄名。全局目錄GC 本身必須首先是域控制器DC ，GC 不具有唯一性，可以有多個。

全局目錄GC 使用戶能夠：1、查詢整個林中的AD 信息，無論數(shù)據(jù)在林中什么位置。以利于林中的跨域訪問。2、使用通用組，即利用通用組成員身份的信息登錄網(wǎng)絡(luò)。

2-3-1-8活動目錄的物理結(jié)構(gòu)

在活動目錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)是相互獨立的。域控制器DC 和站點（Site ）組成了活動目錄的物理結(jié)構(gòu)。

利用站點，我們可規(guī)劃域控制器DC 放置，優(yōu)化AD 復(fù)制，使用戶就近查找DC 登錄。同時，知道物理結(jié)構(gòu)將有助于排除復(fù)制和登錄過程中出現(xiàn)的問題。

一、域控制器（Domain Controllers）

Windows 2000/03域控制器上存儲有活動目錄的副本，管理目錄信息的變化，并把這些變化復(fù)制給該域上的其它域控制器。域控制器存儲目錄數(shù)據(jù)，管理用戶登錄、驗證和目錄搜索。

一個域至少得有一臺域控制器，為了容錯就應(yīng)該有兩臺，甚至多臺。這主要要看網(wǎng)絡(luò)的規(guī)模及分布。

二、活動目錄復(fù)制

同一域內(nèi)的DC 之間要復(fù)制域信息，同一林內(nèi)的DC 間要復(fù)制林信息?；顒幽夸洀?fù)制確保AD 信息對整個網(wǎng)絡(luò)上的所有DC 和客戶機都是可用的。而活動目錄的物理結(jié)構(gòu)決定了復(fù)制發(fā)生的時間和地點。

AD 復(fù)制采用多主控復(fù)制模型，也就是說每個DC 都存儲有AD 的可寫副本，彼此間的復(fù)制是雙向的。這點與NT4域的PDC 到BDC （目錄服務(wù)的只讀副本）的單主控復(fù)制不同。

在所有的DC 把它們的變化都同步到活動目錄中以前，DC 在短時間內(nèi)可能有不同的信息。按照默認(rèn)，這一時間，同一站點內(nèi)不越過3x5=15分鐘。

三、站點（Site ）

站點就是一個或幾個高速帶寬連接的IP 子網(wǎng)的集合。管理員規(guī)劃的站點，必須真實反映網(wǎng)絡(luò)的物理結(jié)構(gòu)和連接情況，把高速連接的部分規(guī)劃為一個站點。也就是說，站點內(nèi)一定是高速連接，站點間是低速連接。

管理員利用規(guī)劃站點，可以為活動目錄配置訪問和復(fù)制拓?fù)洹Ｊ褂肳indows 2000/03網(wǎng)絡(luò)可以使用最有效的鏈接和時間安排來復(fù)制和登錄。創(chuàng)建站點，我們可以：1、優(yōu)化AD 復(fù)制，如：讓其半夜進行，一天一次。2、優(yōu)化用戶登錄，如：使用戶就近查找本站點內(nèi)高速連接的DC 進行登錄。

在活動目錄中，物理結(jié)構(gòu)與邏輯結(jié)構(gòu)是相互獨立的，沒有什么必然的聯(lián)系。一個站點可以有幾個域，一個域也可以有幾個站點。給站點起名字也是任意的，不必考慮和域名字間的聯(lián)系。

2-3-1-9操作主機（或叫主控、FSMO ）

前面我們介紹了AD 復(fù)制采用多主控復(fù)制模型，但在有些特殊情況下，我們需要目錄林進行單主控更新以避免沖突的發(fā)生。簡單地說就是，這時我們就讓一臺DC 說了算，來執(zhí)行相關(guān)的AD 改變，然后由它把變化復(fù)制到其它的DC 上去，這臺DC 就是操作主機。共有五種操作主機，它們是： ? 架構(gòu)主控 Schema master 林內(nèi)唯一

? 域命名主控 Domain Naming master 林內(nèi)唯一

? PDC 仿真器 PDC Emulator master 域內(nèi)唯一

? RID 主控 RID master 域內(nèi)唯一

? 基礎(chǔ)結(jié)構(gòu)主控 Infrastructure master 域內(nèi)唯一

默認(rèn)林根域的第一臺DC 就是這五種操作主機，同時還是GC 。林內(nèi)其它域的第一臺DC 是該域內(nèi)的域唯一的那三種操作主機，即PDC 仿真、RID 、基礎(chǔ)結(jié)構(gòu)。。

操作主機具有唯一性，但我們可以把操作主機移動到其它DC 上，只要保證原來的不再是操作主機，也就是說保證這種唯一性即可。

任何一臺DC 都可以是一操作主機（注意也只有DC 才可以是操作主機），一臺DC 可以同時擔(dān)當(dāng)多種操作主機角色。

對于操作主機的管理，我們可以查看、傳送、查封。傳送（Transfer ）和查封（Seizing ）的區(qū)別在于：傳送是在原操作主機聯(lián)機的情況下進行的，傳送后得到了新的操作主機，原來的操作主機就不再是操作主機了，傳送保證操作主機的唯一性。查封是在原操作主機有故障或失效，脫機的情況下的強行傳輸，也就是重新推選一個新的操作主機，會有數(shù)據(jù)的丟失。查封不保證操作主機唯一性，原操作主機必須格式化后再接入網(wǎng)絡(luò)。

對操作主機的管理，可以使用圖形化界面（管理的位置，將在下面逐個介紹說明），也可以使用Ntdsutil 命令。下面我們簡單介紹一下各種操作主機的作用。

一、架構(gòu)主控（Schema master）

操作：AD 架構(gòu)/AD架構(gòu)上右鍵/操作主機

說明：默認(rèn)情況下，架構(gòu)的MMC 管理工具不被安裝。需要：

1、運行adminpak.msi 安裝AD 管理工具。Adminpak.msi 可在03光盤I386目錄下找到，或在03的windowssystem32下找到?；蛘呤謩?，開始/運行：regsvr32 schmmgmt.dll

2、開始/運行：MMC ，文件/添加刪除管理單元/添加/AD架構(gòu)

關(guān)于架構(gòu)，我們前面介紹過：架構(gòu)是關(guān)于AD 對象類型屬性的定義。架構(gòu)主控控制對架構(gòu)的所有原始更新，也就是說對架構(gòu)的修改、擴展，必須連接到林內(nèi)唯一的這臺架構(gòu)主機上進行，然后由它復(fù)制到到林內(nèi)所有的DC 上。

注意：只有架構(gòu)管理員組（Schema Admins）可以對架構(gòu)進行修改，例如安裝Exchange Server、ISA 陣列，就需要擴展架構(gòu)，你應(yīng)該以架構(gòu)管理員身份進行。

二、域命名（Domain Naming master）

操作：AD 域和信任關(guān)系/AD域和信任關(guān)系上右鍵/操作主機

只有域命名主機可以向目錄林中添加域或者刪除域，保證域的名字在林中唯一。若域命名主機不可用，則無法在目錄林中添加或刪除域。

為保證域的名字在林中唯一，域命名主機需要查詢GC 。若林功能級別為Windows 2000林模式，GC 必須和域命名主機在同一臺計算機上才行。若林功能級別為Windows Server 2003林模式，不要求GC 必須和域命名主機非得在同一臺計算機上。

三、PDC 仿真器（PDC Emulator master）

操作：AD 用戶和計算機/域上右鍵/操作主機/PDC標(biāo)簽

PDC 仿真主機在五種操作主機中是最重要的，它的利用率很高。如果PDC 仿真主機失效，必須盡快解決。它主要負(fù)責(zé)：

1、如果Windows 2000/03域中還有NT4的BDC ，它充當(dāng)NT BDC的PDC ，并為早期版本客戶機提供服務(wù)。順便說一下，NT4的域控制器在2000/03域中只能是BDC ，不可能是PDC 。

2、管理運行NT 、95/98計算機的密碼變化，寫入活動目錄AD

3、最小化密碼變化的復(fù)制等待時間。若一臺DC 接受到密碼變化的請求，它必須通知PDC 仿真主控。用戶登錄時，如密碼錯誤，進行驗證的DC 必先送至PDC 仿真主控。因為普通DC 不能確認(rèn)到底是密碼錯誤，還是它沒有及時與PDC 仿真主控同步。

4、同步全域中的域控制器、成員計算機的時間。加入域的計算機，沒有自己的時間。這是因為時間參數(shù)，在AD 復(fù)制中是一個極為重要的因素，決定多主控復(fù)制時，誰的修改最終生效。所以整個域的

時間，都由PDC 仿真主機來控制。你可以手動修改域成員計算機上的時間，但當(dāng)AD 復(fù)制過后，又會被改回成PDC 仿真主機上的時間。如果目錄林是多層域結(jié)構(gòu)，最終以林根域上的PDC 仿真主機的時間為準(zhǔn)。

5、防止重寫GPO 的可能，修改組策略設(shè)置，默認(rèn)也是要連接到PDC 仿真主控上才行。當(dāng)然這個默認(rèn)值是可以修改的，或者找不到PDC 仿真主控時，系統(tǒng)會提示你連到其它DC 。

四、相關(guān)標(biāo)識符RID 主控（RID master）

操作：AD 用戶和計算機/域上右鍵/操作主機/RID標(biāo)簽

在AD 對象中的用戶、組或計算機等對象，我們是可以為其分配權(quán)利權(quán)限的，被稱為安全主體。安全主體與其它非安全主體對象的最主要的區(qū)別就在于：安全主體對象有安全標(biāo)識符（SID ），可以為其分配權(quán)利權(quán)限。大家要明確：在活動目錄中，所有對象都有GUID （全局唯一標(biāo)識符），只有安全主體對象才有SID 。

當(dāng)我們在域內(nèi)創(chuàng)建安全主體（例如用戶、組或計算機）對象時，域控制器將域的SID 與安全主體對象RID 標(biāo)識符相結(jié)合，以創(chuàng)建唯一的安全標(biāo)識符 (SID)。形如：

S-1-5-21-1553226038-2352558368-427082893-500

其中S-1-5表示NT Authority（標(biāo)識符頒發(fā)機構(gòu)）；上例中的21-1553226038-2352558368- 427082893為這個域的SID （每個域不同），在這個位置還可能是32（表示本地/域內(nèi)置的本地組，都只能在DC/本機上使用，重復(fù)無妨，所以都是32），也可能是本機的SID （每臺機不同）；后面跟的500表示administrator 用戶。

都會收到用于創(chuàng)建對象的 RID 池（默認(rèn)為 512個）。RID 操作主機通過分配不同的池來確保這些 ID 在每一個 DC 上都是唯一的。若DC 分到的RID 池被用盡，可以向RID 操作主機自動再次申請。

通過 RID 主機，還可以在同一目錄林中的不同域之間移動所有對象。當(dāng)對象從一個域移動到另一個域上時，RID 主控將該對象從域中刪除。

五、基礎(chǔ)結(jié)構(gòu)主控（Infrastructure master）

操作：AD 用戶和計算機/域上右鍵/操作主機/結(jié)構(gòu) 標(biāo)簽

基礎(chǔ)結(jié)構(gòu)主機確保所有域間操作對象的一致性。當(dāng)引用另一個域中的對象時（如域本地組中包括另一域的一個全局組），此引用包含該對象的全局唯一標(biāo)識符 (GUID)、安全標(biāo)識符 (SID) 和可分辨的名稱 (DN)。

如果被引用的對象移動，則在域中擔(dān)當(dāng)結(jié)構(gòu)主機角色的 DC 會負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN 。也就是說，基礎(chǔ)結(jié)構(gòu)主機負(fù)責(zé)更新外部對象的索引（組成員資格），顯然，單域不需要基礎(chǔ)結(jié)構(gòu)主機。

基礎(chǔ)結(jié)構(gòu)主機是基于域的，目錄林中的每個域都有自己的基礎(chǔ)結(jié)構(gòu)主機?；A(chǔ)結(jié)構(gòu)主機不應(yīng)該和GC 在同一個DC 上，應(yīng)手動移走，否則將不起作用。前面我們提到過，默認(rèn)林根域的第一臺DC 就是這五種操作主機，同時還是GC 。也就是說，這時基礎(chǔ)結(jié)構(gòu)主機實際上是失效的，不起作用。但這時只有一個林根域，基礎(chǔ)結(jié)構(gòu)主機不起作用也沒關(guān)系，若以后構(gòu)建多層域，需要手動將其與GC 分開。

2-3-1-10域功能級別和林功能級別

2-3-1-11標(biāo)識名（DN ）和相對標(biāo)識名（RDN ）

前面我們提到了客戶使用LDAP 協(xié)議來訪問活動目錄中的對象，那么LDAP 是如何來標(biāo)識一個在活動目錄中的對象的呢？換句話說，LDAP 是如何在活動目錄找到對象A ，而不會錯找成對象B 的呢？這就要用到一個命名路徑，即標(biāo)識名（DN ）和相對標(biāo)識名（RDN ）。DN 為活動目錄中的對象標(biāo)識出LDAP 命名的完整路徑；RDN 用來標(biāo)識容器中的一個對象，即它總是DN 中的最前面一項。

如：在Active Directory用戶和計算機中，在mcse.com 域下有個OU ：Finance （財務(wù)），在Finance 下又有個小OU ：Sales （銷售），在其下有個用戶，名叫Suzan Fine。則此用戶對象的DN 為：CN=Suzan Fine, OU=Sales, OU=Finance, DC=mcse DC=com。RDN 為：CN=Suzan Fine。

說明：

1、其中DC 表示DNS 名字的域組件，OU 表示組織單元，CN 表示普通名字，CN 可用于除了前兩種以外的所有對象。比如：如果用戶帳號不在OU 中而是在默認(rèn)容器Users 中，為表示Users 容器應(yīng)使用CN 。即：CN=Suzan Fine, CN=Users, DC=mcse, DC=com。

2、如果在命令中引用DN ，且DN 中有空格，如CN=Suzan Fine。應(yīng)使用引號將整個DN 括起來。如“CN=Suzan Fine, CN=Users, DC=mcse, DC=com”。

2-3-1-12 域名服務(wù)系統(tǒng)（DNS ）

Windows 2000/03的活動目錄服務(wù)與域名服務(wù)系統(tǒng)（DNS ）緊密結(jié)合、集成一起，所以DNS 故障是導(dǎo)致AD 故障非常主要的因素之一，有統(tǒng)計數(shù)據(jù)顯示AD 故障的60來自于DNS 。

使用活動目錄、構(gòu)建Windows 2000/03的域，網(wǎng)絡(luò)上必須有可用的DNS 服務(wù)器，并且必須支持SRV 記錄（Service Location Resource Record）和動態(tài)更新功能。如：MS Win2000/03 DNS，UNIX 的DNS BIND 8.12及以上版本，使用已有的NT4 DNS是不行的。

構(gòu)建NT4域并不需要DNS 的支持，但2000/03域必須有DNS ，且滿足上述要求。

SRV 記錄的作用是指明域和站點（site ）的DC 、PDC 仿真、GC 是誰。動態(tài)更新也是2000/03DNS的新特色，管理員不必再象NT4 DNS那樣手動為計算機創(chuàng)建或修改相應(yīng)記錄，在域成員計算機重啟，或改名、改IP 時依賴周期性更新，自動動態(tài)注冊或更新相應(yīng)DNS 記錄。

如果沒有DNS 服務(wù)器的話，也不一定非得預(yù)裝DNS ，可以在安裝AD 過程中，選擇在本機上安裝2000 DNS。而且推薦初學(xué)者使用這種方法，因為系統(tǒng)會根據(jù)你提供的FQDN 域名，自動創(chuàng)建好DNS 區(qū)域（zone ），并配置成AD 集成區(qū)域，僅安全動態(tài)更新。如果需要向外連或反向解析，用戶只需配置上轉(zhuǎn)發(fā)器和反向區(qū)域即可，不需要的話，直接就可以用了。

如果決定在安裝AD 過程中在本機安裝DNS ，應(yīng)在安裝前，將本機TCP/IP配置/DNS服務(wù)器指向自己，這樣在安裝AD 完成后重啟時，SRV 記錄將被自動注冊到DNS 服務(wù)器的區(qū)域當(dāng)中去的，生成四個以下劃線開頭的文件夾，如_msdcs，03DNS 在這里夾的層次結(jié)構(gòu)有所變化，但本質(zhì)沒變。當(dāng)然如果忘了指，也可以后補上，只不過需要多重啟一次。

03DNS 新特色：

1、條件轉(zhuǎn)發(fā)。

轉(zhuǎn)發(fā)器的作用是，如果本機無法解析DNS 客戶所發(fā)的查詢請求，轉(zhuǎn)發(fā)給轉(zhuǎn)發(fā)器所指定的DNS 服務(wù)器。在03DNS 中新增了條件轉(zhuǎn)發(fā)，即不同的DNS 區(qū)域，可指定不同的轉(zhuǎn)發(fā)器。

利用條件轉(zhuǎn)發(fā)，不僅可改善DNS 查詢，更重要的是有其實際意義。例如兩個公司合并時，可將利用條件轉(zhuǎn)發(fā)，基于對方域名將轉(zhuǎn)發(fā)器配置為指向?qū)Ψ降腄NS 服務(wù)器。這樣DNS 服務(wù)器就能解析對方網(wǎng)絡(luò)中的DNS 名稱，并對其他網(wǎng)絡(luò)信息建立巨大的緩存。又由于不必查詢 Internet 上的 DNS

服務(wù)器，將大大減少DNS 查詢所用的時間。

2、存根（stub ）區(qū)域

上面的場景也可用存根區(qū)域來解決，在03DNS 中創(chuàng)建對方的存根區(qū)域，并指明對方的權(quán)威DNS 服務(wù)器。注意在存根區(qū)域下只有對方域的SOA 、NS 及與NS 相關(guān)的A 記錄，不會有對方其它的具體資源的記錄。在有些情況下，與條件轉(zhuǎn)發(fā)的作用還是有所不同的。

2-3-1-13 組策略（Group Policy）

組策略是活動目錄上的最大應(yīng)用，可以應(yīng)用于2000/XP/03。組策略使許多重復(fù)的管理工作自動化、簡單化，所以說組策略的應(yīng)用程度是衡量2000/03管理員的重要尺度。

組策略對象（GPO ）也是一種AD 對象，并且可設(shè)置權(quán)限。在域內(nèi)創(chuàng)建，可鏈接到站點（Site ）、域（Domain ）、組織單元（OU ），使組策略的設(shè)置對一定范圍的計算機/用戶生效。本地（Local ）策略可理解為一個特殊的組策略：在工作組下也可使用，只對本地用戶和該計算機生效。使用gpedit.msc 進行管理，設(shè)置后立即生效，不需刷新。

組策略設(shè)置的默認(rèn)優(yōu)先級是：LSDOU 原則，本地策略優(yōu)先級最低。可通過阻止繼承（將阻止所有策略繼承）、禁止替代（也就是必須繼承，針對某個具體的GPO 來設(shè)置）、組策略篩選器（實質(zhì)為GPO 權(quán)限）改變默認(rèn)的優(yōu)先級。

組策略對象（GPO ）包括組策略容器（GPC ）和組策略模板（GPT ）兩部分。GPC 位于AD 用戶和計算機/System/Policies（需要選中查看下的高級功能），僅是GPO 的屬性和版本信息，計算機通過GPC 來查找GPT 。具體的策略設(shè)置值存儲在GPT 中，位于DC 的windowssysvolsysvol下，以GUID 為文件夾名。注意安裝AD 系統(tǒng)自帶的兩個GPO ，使用固定的GUID ，分別是： ? ????? 默認(rèn)域的策略的GUID 為31B2F340-016D-11D2-945F-00C04FB984F9

? ????? 默認(rèn)域控制器的策略的GUID 為6AC1786C-016F-11D2-945F-00C04FB984F9。

組策略具體的設(shè)置內(nèi)容2000到達600多條，03又新增200條左右。

組策略設(shè)置中的安全模板（計算機和用戶）部分，通過注冊表生效，但并不永久改變注冊表。若用戶手動修改注冊表中的組策略設(shè)置值，若策略未變，組策略不負(fù)責(zé)強制改回。

安全策略是組策略的子集（一部分），只不過其MMC 工具被單獨提出來，放到管理工具下了。