windows server 2012活动目录知识点总结.docx

活动目录概述目录：存储以某种方式相关联的对象的信息集目录服务：用户通过其提供的服务来使用目录中的信息目录服务功能：组织网络中的资源，提供对资源的管理，对资源的控制功能：组织，管理，控制适用范围：便于用户查找、管理和使用这些资源小型网络：UNC路径(一般不使用AD)大型网络：难以确定资源位置、名称所以需要目录服务快速定位资源对用户透明、高效不需要知道资源的物理位置，如何连接、目录服务的逻辑结构：域（domain）域树(domain tree)森林(forest)组织单元(OU)目录服务的物理结构：站点(site)域控制器(domain controller) 操作主机(operation master)域：域是活动目录中逻辑结构的核心单元，是一个有安全边界的计算机集合。一个域包含许多计算机，它们由管理员设定，共用一个目录数据库，一个域有一个唯一的名字。容器与OU:容器与对象相似，有自己的名称，也是一些属性的集合。容器可以包含其它的对象，也可以包含其它的容器。OU是AD中的一个特殊的容器，他可以包含对象、OU和组策略。OU 可以把对象组织到一个逻辑结构中，使其能最佳适应组织的需要。委派OU 的管理控制权，必须把OU 及OU 包含对象的具体的权限指定给一个或几个用户和组。看图写DNAdministrator@UPN的认识。快照准备（无内容）管理域账户和组账户类型：计算机账户，用户账户，组账户用户账户UPN理解建立UPN好处：由于UPN的格式与电子邮件帐户相同，所以可以让用户不论是登录域或收发电子邮件，都可以使用一致的名称。如果域内有很多子域，则域名很长，如,所以当用户登录域的时候名字就会太长，所以可以通过创建UPN后缀来减少长度，便于记忆管理域账户的几种方式：ad管理中心，ad用户和组，目录服务工具，csvde，ldifde域组的类型：通讯组（仅作电子邮件组，么有启用安全特性），安全组域组作用域的分类：域本地组，全局组，通用组（三个域组的理解）域组的嵌套：A,G,DL,P为主理解各种嵌套管理信任关系访问令牌:当用户登录到某台计算机，在验证用户帐号和密码无误外系统会为该用户建立一个“访问令牌”(access token)，其包含该用户的SID和用户所属组的SID。用户拿到“访问令牌”后系统会根据令牌中的SID去决定用户对特定资源拥有哪些访问权限。信任关系理解：信任种类：安全设置组策略之桌面管理组策略作用：方便地管理AD中的计算机和用户账户策略的设定本地策略的设定脚本的设定用户桌面环境计算机启动/关机与用户登录/注销时所执行的脚本文件文件夹重定向软件分发应用组策略的前提条件组策略只能管理AD中的计算机和用户只能针对整个站点、域或组织单位来设置组策略要使用组策略，必须有相应的管理权限组策略只适用于Windows 2000以上操作系统的计算机组策略结构:组策略的设置数据皆保存在GPO中GPO链接至SDOU（Site、Domain、Organized Unit）GPO管理SDOU中的计算机和用户GPO与SDOU间的链接关系手动强制刷新组策略gpupdate /force组策略间的冲突组策略的配置具有累加性如果发生冲突，默认的状态下，实施最后的设置来自父容器的GPO设置和来自子容器的GPO设置发生冲突。子容器的设置后执行并发挥作用当站点、域、OU的GPO策略发生冲突时，则以处理顺序在后的GPO优先。处理优先顺序为：站点的GPO、域的GPO、OU的GPO当用户设置和计算机设置发生冲突时，忽略用户设置而执行计算机设置如果多个GPO链接到同一个OU，那么所有GPO的配置将被累加作为最后的有效配置。如果这些GPO配置有冲突，则以排在GPO列表最上面的GPO配置为优先。“本地计算机策略”的优先权最低，也就是在其策略配置与站点、域、OU的策略配置发生冲突时，本地计算机策略无效。组策略之软件分发软件分发的好处自动安装自动修复自动升级远程删除软件分发的方式发布给用户指派给用户指派给计算机指派给计算机计算机启动时将自动安装在计算机里安装到C:\Documents and Settings\All Users指派给用户不会自动安装软件只安装软件相关的部分信息，如快捷方式何时自动安装？开始运行此软件利用“文件启动功能”(可识别图标)发布软件：不能将软件发布给计算机将软件发布到用户不会自动安装软件何时自动安装“控制面版”-“添加删除程序”-“添加程序”利用“文件启动功能”（未知图标）管理站点复制“站点”是由一个或数个IP子网络所组成，这些子网之间是通过“高速且可靠的链接”串接起来，也就是这些子网络之间的链接速度要够快且稳定、符合需要，否则就应将它们分别规划为不同的站点。AD内的大部分数据是利用“多主机复制模式”来复制站点与AD的复制有着重要的关系，因为这些域控制器是否