2003域管理经验总结.docVIP

OU缺点是没有安全性设计。优点是有效地组织对象。使用UPN登陆公司的域某公司有多个域，可以使用UPN（User Principals Name）登陆公司的域，使用打开邮箱的命令就可以登陆到网络中，这样做的好处是：只需输入邮箱地址，不必知道登陆哪个域。如：admin@ = User Name + Server Name利用Internet 邮件地址登陆公司的域某公司员工出差到上海，他可以使用Internet 邮件地址如：admin@ 通过Internet 登陆到北京公司的域，但是必须在Active Directory Domain And Trusts （活动目录域和信任关系）添加记录。DC的复制由USN号大的DC向USN号小的方向复制。AD权限（Permission）继承的分类继承上来，继承下去。域、域树和森林域、域树：连续的命名空间。森林：不连续的命名空间，常用于公司合并。AD安装的校验验证netlogon.dns文件的存在，同时用命令nslookup来验证DNS的设置。Group Policy 的规则基于Windows的域是标准的AD对象依赖于SDOU组策略的实现必须Link到SDOU上GPO的功能GPO（Group Policy Object，组策略对象）设定访问许可建立用户对象GPO的生效级别在AD的不同层次上定义多个GPO，则使用LSDOU(Local Host-Site-Domain-OU )的优先顺序来执行策略，对计算机和用户的作用是这四个策略执行的“和”。有时，在一个GPO中的设置会被其他GPO中的设置抵消。在AD的同一个层次上的多个GPO，则自下而上执行，高级的覆盖低级的，所以高级应该放在上面。组策略冲突分析???? 通过组策略，可以对用户环境进行定义或者限制，如用户使用的软件、桌面环境、开始菜单里包含的程序等等，它能为你的管理带来很大的方便。但是初学者往往对组策略实施的一些具体细则感到迷惑，尤其是当组策略存在冲突的时候，到底哪个策略生效这一问题令很多人非常头疼。 ???? 现在我们就来给大家做一个清楚的解答。我们以配置用户桌面上有无“网上邻居”图标这一策略项为例来分析组策略冲突时的生效级别。 （1）、同一OU上多个组策略 ?? 我们先在“Active Directory用户和计算机”中新建一个OU(组织单元)“1”，并在其中新建一个用户“chen”。然后我们给“1”这个OU建立两个组策略：一个命名为“有‘网上邻居’”，并对其进行配置，停用“隐藏桌面上的‘网上邻居’图标”这一项目；另一个命名为“无‘网上邻居”’，并对其进行配置，启用“隐藏桌面上的‘网上邻居’图标”这一项目。 ???? 当这两个互相存在冲突的策略同时作用于 OU“1”时，以排在最上面策略为准(策略由下而上执行，以最后执行的为准)。即用户chen登录时桌面上还是有“网上邻居”图标的。???? 如果我们对排列在下的“无‘网上邻居”’策略设置了“禁止替代”，或者两者都设置了“禁止替代”，则以排在下面的“无‘网上邻居’”为准，即OU“1”中的用户chen登录时桌面上将没有“网上邻居”图标。其原因是“禁止替代”具有强行执行的效力，并且，依据“禁止替代的权限不可下降”的原则，先执行的“不可替代”项目将屏蔽掉其后执行的“禁止替代”项目。（2）、父OU和子OU ???? 在域上新建OU“2”，并建立它的子OU“2(1)”，同时在子OU“2(1)”中建立用户“zhang”。 ???? 在父OU“2”上新建一个组策略“无‘网上邻居’”，并对其进行相应配置；在子OU“2(1)”上新建组策略“有‘网上邻居’”，并对其进行相应配置。 ???? 大家知道一个OU上的组策略在默认情况下是要继承到其子OU上的。而这时子OU中的策略项目和其父OU上的项目存在冲突。在这种情况下，以子OU上的项目为准(先执行父OU上的策略，后执行子OU上的策略，以后执行的为准)，即子OU中的用户zhang登录时，桌面上仍然有“网上邻居”图标。 ???? 另外，与第一种情况相同，如果父OU“2”上的“无‘网上邻居’”策略设置了“禁止替代’，即便是子OU“2 (1)”上的“有‘网上邻居”’也设置了“不可替代”，其最终执行结果依旧以先执行的父OU为准，即桌面无“网上邻居”。 （3）、“阻止策略继承”与“禁止替代” ???? “阻止策略继承”将阻断子OU从父级OU乃至更高级 OU或域上继承组策略设置。而在父级OU的策略上设置“禁止替代”，将使设置在子OU上的“阻止策略继承”失效。即这时用户zhang登录时，产生效果的依旧是从父级OU上继承下来的，被设置为“禁止替代”的策略——“无‘网上邻居’”，这时桌面上将没有“网上邻居