MCP294认证课程-Part1.pptVIP

* * SYSVOL重定向： 创建文件夹； 查看共享位置； Dcdiag /test:replications 查看当前域的复制伙伴是否正常 Dcdiag /test:netlogons 查看当前域的netlogon服务是否正常 查看sysvol文件夹是否完整 Net stop ntfrs 将原目录下的所有对象都复制到新的文件夹 HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NETLOGON\PARAMETERS，修改sysvol的键值，输入新文件夹的绝对位置 用ADSI EDIT工具修改sysvol的存储位置。在cn=域服务器名称下的cn=ntfrs subscriptions，打开对象属性后将show optional attributes属性清除，找到frsrootpath，编辑 创建新挂接点。创建sysvol卷的staging area交换区域新的挂接点。进入sysvol\staging area目录下，执行linkd d:\sysvol 创建FRS文件复制服务的挂接点。进入sysvol，输入linkd d:\sysvol 设置FRS服务不可信。域控制器离线后，NTFRS服务停止工作，需要将其设置为不可信任的。在联机的时候需要马上从其他DC上复制SYSVOL文件夹中的内容，同步完成后DC上的SYSVOL才能正常工作。HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\ntfrs\PARAMETERS\BACKUP/RESTORE\PROCESS AT STARTUP键值修改。=d2； Net start ntfrs Net share 查看最后结果 * * 集成的优点： 任何权威DNS即运行DNS的DC都被指定为区域的主要来源。因为区域的主控副本保留在完全复制到所有DC的AD数据库中，所以该区域可由在该域的任何DC上运行的DNS服务器更新。可以编辑访问控制列表以保证目录树中dnsZONE对象容器的安全性。该功能提供了至区域活区域中指定资源记录的分散访问； 尽管DNS服务可以有选择性地从域控制器中删除，但与目录集成的区域已存储在每个DC中，因此，区域存储和管理不是附加的资源。同时，与可能需要传送整个区域的标准区域更新方法相比，用于同步化目录存储信息的方法提高了性能； 简化对网络的数据库复制规划 AD的复制处理是在每个属性的基础上进行的，所以只传播相应的更改，它允许在目录存储区域的更新是使用和提交很少的数据； AD集成只存在于主要区域，DNS服务器不能在目录中存储辅助区域。必须在标准文本文件中村上这些数据。当所有区域都存储在AD时，AD的多主机复制模型讲不再需要辅助区域。 * * Nslookup查询 set type=srv _ldap._ * * whd1972@ 吴海东 微软最有价值专家MVP 微软认证讲师MCT 微软教学研究会顾问 whd1972@ MCP 294认证课程 涉及教材 第 3 章 实现组织单位结构 第 4 章 实现用户、组及计算机账户 第 5 章 组策略的实现 第 6 章 使用组策略部署和管理软件 第 7 章 使用组策略管理安全 Q1 如何做好AD课程的教、学准备 实验平台 硬件准备 软件准备 VPC的内存和网络配置 内存：服务器 256MB以上，客户端128MB以上 网络：在同一网络接口上 服务器：Windows Server 2003以上 客户端：Windows XP以上 浏览器：IE 6.0以上 差分的机器要保证有不通的SID 从一开始 不“有一说一” Q2 如何高效管理域用户？ 域用户的快速创建 Ds*命令 模板复制 csvde/ldifde 脚本 用户组策略 组的类型和作用域理解 安全和通讯组 域本地，全局，通用 A G P ? A G DL P 组嵌套 组移动 Q2 如何高效管理域用户？（续） 组的设计原则 保护只有一个域中的用户访问AD对象，用域本地组或全局组 保护来自其他域中的用户访问AD对象，用通用组或含有通用组的域本地组 确保用户在登录的时能访问到一个GC服务器。若无，则启动通用组缓存功能 对于通用组，尽量减少组成员身份的变动，以限制林内范围的复制流量 在跨域查询时，在用户属性中，看到的组成员身份可能不同，建议不要使用此操作 Q3 如何实现个性化域用户？ 直接添加或修改UPN DSMOD /DSADD 域和信任关系 UPN后缀管理 漫游用户管理 用户配置文件：本地，漫游，强制，临时； 默认用户，所有用户，网络服务和本地服务 主文件夹设置 △ Schema的扩展 添加 删除 Q4 什么是用户的权限和权力？ 权限 与资源相关 直接生效 权力 与用户相关