课件：windowsCHAV.ppt

* 实验案例2：执行活动目录授权还原 实现思路： 域中有两台DC，需要还原某一特定对象 授权还原 需要先执行系统状态备份 * 实验案例2：执行活动目录授权还原 学员练习： 执行系统状态备份 删除OU 执行授权还原 40分钟完成 * THANK YOU SUCCESS * * 可编辑 * 教员以提问的形式回顾上一章内容。 1.自动信任、双向信任、传递信任 2.父子信任、树根信任 3.手工建立、信任关系不可传递、信任方向有单向和双向 4.林功能级别为Windows Server 2003或更高才能创建、只有在林根域之间才能创建、建立林信任后，两个林中每个域之间的信任关系是可传递的、信任方向有单向和双向两种 * 教师介绍本章的技能目标。 * 教师介绍本章结构，介绍时强调重点内容。 * 首先介绍windows NT域复制的特点而引出操作主机的概念。 在NT4.0域的目录服务中，DC之间存在PDC与BDC，也就是主域控制器与备份域控制器，所有的域的修改都是在PDC上进行，再复制到BDC上，而在BDC上进行修改是无效的，这种复制机制称为“单主复制”。单主复制的优点是域的修改不会产生冲突，因为修改只能在PDC上进行。但同样缺点是，如果是一个跨城区的网络，如PDC在北京，而BDC在上海，那么网络的修改会比较麻烦。 微软从windows 2000域开始，不再在网络上区分PDC和BDC，所有的域控制器处于一种平等的地位，在任意一台域控制器上的修改，都会被复制到其它的域控制器上，这种复制机制称为“多主复制”，但是同时更改多个AD上的数据库后，在将数据复制到域中的其他DC时可能会引发数据冲突问题。为防止域中的更新冲突，AD以单主机方式对某些对象执行更新。所以少部分的数据仍然采用“单主复制”模式来进行复制，在这种模式中，当提出改变对象数据要求时，其中一台被称为“操作主机”的域控制器将负责接收并处理此要求，例如密码更改等。 * 接上一页讲解完操作主机的作用后，本页简单介绍有哪几种操作主机，不需要花太多时间 ，因后面会对每一种操作主机展开讲解。 强调操作主机并不是另外再用一台服务器来安装，而是由AD中某台DC同时担当操作主机的角色。 * 讲解架构主机的作用，然后演示怎样查看架构主机角色。默认情况下架构主机由森林的第一台域控制器担当。 架构主机控制整个林的架构的全部更新，学员可能不理解什么是AD架构，打开AD架构管理工具会发现，架构中有两个选项，类别与属性。类别就是经常所说的类、对象；属性就是对象的属性。比如user(用户)是一个类，而用户名称就是属性。可能原有的属性不够使用，如新建一用户希望用户的属性中有身份证号码，就需要更新架构。 * 首先讲解域命名主机的作用，然后演示怎样查看域命名主机。默认森林中第一台域控制器担当域命名主机角色。 如果域命名主机出现故障或离线，将无法在林内添加或删除域。 * 首先讲解PDC仿真主机的作用，然后演示PDC仿真主机的查看。默认域中的第一台域控制器同时担当PDC仿真主机角色。 PDC所负责的工作： 用户在域内的旧客户端如windows NT上更改了密码时，这个密码的数据会被更新到PDC上，如果域内有windows NT的备份域控（BDC），也需要PDC来扮演windows NT的PDC，BDC从PDC上复制数据。 当用户密码更改以后，需要一段时间才会复制到所有的域控制器，如果密码更新还没有复制到其它所有的域控制器之前，用户利用新的密码登录，则可能会因为负责检查用户密码的域控制器内还没有用户新密码，而造成无法登录，因此用户利用新密码登录时，负责验证用户身份的域控制器会将验证身份的工作转送到PDC。 Windows域内要求所有计算机都必须有正确的时间，否则会影响到验证用户身份的工作，造成用户无法登录，PDC负责来同步域内所有计算机的时间。 * 首先讲解RID主机的作用，然后演示RID主机的查看。默认域中的第一台域控制器同时担当RID主机角色。 RID主机负责发放RID给其域内的所有域控制器 RID用途：当域控制器内添加一个用户、组或计算机对象时，域控制器必须指派一个唯一的安全识别码（SID）给这个对象，此对象的SID由域的SID与RID所组成的，也就是说对象的SID=域的SID+RID，而RID并不是由每一台域控制器自己产生的，它是由RID操作主机来统一发放给其域内的所有域控制器的，如果每台域控制器自己产生RID，可能会出现不同的域控制产生相同的RID，这将导致对象的SID冲突情况发生。 RID主机所负责的另外一个工作： 移动对象 当要将某个对象传送到另外一个域时，系统会移动位于PDC主机内的对象，然后通知其它域控制器该对象已经被转移，从而可以避免位于不同域控制器的同一个对象被重复传送到不同域的情况发生。可以M