久久精品国产99国产精品,农村大炕弄老女人,人马配速90分钟,香蕉成人伊视频在线观看

Windows Active Directory 域故障排錯(一)

第二章 第三節Windows Active Directory 域故障排錯本節介紹Windows 2000/03 AD域故障的排錯。首先我們會介紹活動目錄(Active Directory)及其相關概

第二章 第三節

Windows Active Directory 域故障排錯

本節介紹Windows 2000/03 AD域故障的排錯。首先我們會介紹活動目錄(Active Directory)及其相關概念,然后介紹和域故障排錯相關的知識、工具軟件的使用,最后以實例的形式講解針對具體的各種域故障如何進行排錯,如何有效地利用組策略來管理AD 域、管理網絡。

通過本節的學習,讀者可以掌握活動目錄(Active Directory)及其相關概念,活動目錄的功能、邏輯結構、物理結構;管理Windows 2000/03網絡的方法,相關工具的使用;提高域故障排錯能力,掌握活動目錄上的最大應用:組策略。

2-3-1活動目錄(Active Directory)及其相關概念

要掌握Windows 2000/03 AD域故障排錯,首先就得知道什么是域,什么是活動目錄,活動目錄的工作原理如何。以下內容作為后面域排錯的基礎理論知識至關重要。

2-3-1-1為什么要使用活動目錄?

為什么要使用活動目錄?首先我們來看兩個例子:

如果我們要記住10個、20個電話號碼還可以,但更多的就無能為力了。這時我們就會想到把電話號碼記錄到電話簿上,需要時去查詢。

如果我們家中只有10本、20本的書,我們會比較容易找到我們想要的那一本,但如果我們家中的書像圖書館那么多,這時我們就會想到把書分門別類地放好,并根據書的書名、作者、出版社、類別等屬性信息做好索引,以利于查找。

有效地管理網絡,也象管理電話號碼、管理圖書一樣。我們會把網絡中眾多的對象:計算機、用戶、用戶組、打印機、共享夾……,分門別類、井然有序地放在活動目錄這個大倉庫中。使用活動目錄對你公司的網絡進行管理,才是積極有效的管理方法,而且網絡規模越大,越能體現出活動目錄在管理網絡上的高效性。

2-3-1-2工作組(Workgroup )

Windows 工作組模式來進行管理,但其管理功能極其有限。

對于一臺Windows 計算機來講,它要么隸屬于工作組,要么隸屬于域。工作組是微軟的概念,一般的普遍稱謂是對等網。

工作組通常是一個由不多于10臺計算機組成的邏輯集合,如果要管理更多的計算機,微軟推薦你使用域的模式進行集中管理,這樣的管理更有效。你可以使用域、活動目錄、組策略等等各種功能,使你網絡管理的工作量達到最小。當然這里的10臺只是一個參考值,11臺甚至20臺,如果你不想進行集中的管理,那么你仍然可以使用工作組模式。

工作組的特點就是實現簡單,不需要域控制器DC ,每臺計算機自己管理自己,適用于距離很近的 當然如果網絡規模很小,也可以使用

,

有限數目的計算機。順便說明一下,工作組名并沒有太多的實際意義,只是在網上鄰居的列表中實現一個分組而已;再就是對于“計算機瀏覽服務”,每一個工作組中,會自動推選出一個主瀏覽器,負責維護本工作組所有計算機的NetBIOS 名稱列表。用戶可以使用默認的工作組名workgroup ,也可以任意起個名字(不必擔心重名),同一工作組或不同工作組間在訪問時也沒有什么分別,都需要輸入目標計算機上的用戶名、口令進行驗證。

在工作組模式下,用戶要訪問10臺計算機上的資源,就需要記住至少10個用戶名和口令,工作組的這種分散管理性是它和域的集中式管理相比最大的缺點。AD 域提供了對網絡資源的集中控制,用戶只需登錄一次就可以訪問整個活動目錄的資源。

2-3-1-3活動目錄(Active Directory)和域控制器(Domain Controller)

如果網絡規模較大,這時我們就會考慮把網絡中眾多的對象(被稱之為AD 對象):計算機、用戶、用戶組、打印機、共享夾……分門別類、井然有序地放在一個大倉庫中,并做好檢索信息,以利于查找、管理和使用這些對象(資源)。這個有層次結構的數據庫,就是活動目錄數據庫,簡稱AD 庫。

接下來,我們應該把這個數據庫放在哪臺計算機上呢?是這樣的,我們把存放有活動目錄數據庫的計算機就稱之為域控制器(Domain Controller),簡稱DC 。

2-3-1-4活動目錄架構(Active Directory Schema)

架構是關于AD 對象類型屬性的定義。一種類型AD 對象應該有哪些屬性是由架構來定義的,比如它定義了用戶對象有姓、名、登錄名、口令等一系列的屬性。如果你想增加一個“性別”屬性,這就要修改架構,一般稱之為擴展AD 架構,這要求你必須是林根域上的Schema Admins組成員才行。

整個活動目錄的林中只有一個架構,因此在活動目錄中創建的所有對象都遵從同樣的規則。也就是說你對架構的修改將影響到林中的所有域,你沒辦法實現同一林中的一個域用戶對象有“性別”屬性,而另一個域沒有。

2-3-1-5目錄訪問協議(DAP )和輕量級目錄訪問協議(LDAP )

AD 對象存儲在活動目錄中,客戶和應用程序就通過訪問活動目錄,來查找這些存放于活動目錄中的對象。用戶訪問這些AD 對象,當然要遵照一定的規則和約定,這就是協議??蛻粼L問目錄所用的協議被稱之為目錄訪問協議(DAP ),DAP 是在X.500中定義的一個復雜協議,它的簡化版本被稱之為輕量級目錄訪問協議(LDAP ),被微軟的活動目錄AD 所采用。LDAP 是用于查詢和更新活動目錄的目錄服務協議。

2-3-1-6目錄服務

回過頭來,我們再來看一下目錄服務的定義。目錄服務由X.500標準定義,目錄是指一個組織中關于人和資源信息的結構化、層次化的庫。在微軟的Windows 2000/03網絡中,這個目錄服務就是指活動目錄(Active Directory)服務,又比如在Novell 公司的NetWare 上使用的目錄服務叫NDS (Novell 目錄服務),目錄服務的實質就是一種網絡服務。

活動目錄(Active Directory)作為網絡目錄服務,提供了用于組織、管理和控制網絡資源的結構和功能,使我們有了集中管理Windows 2000/03網絡的能力,管理員可以在一個地點管理整個

,

網絡。當然也可以利用OU 進行委派控制,把一部分管理工作分派給OU 管理員。

2-3-1-7活動目錄的邏輯結構

活動目錄的邏輯結構具有伸縮性,?。嚎梢灾皇且慌_計算機,大:可以應用到大型跨國公司的網絡?;顒幽夸浀倪壿嫿M件包括:

???????? 活動目錄林(Active Directory Forest)

???????? 活動目錄樹(Active Directory Tree)

???????? 活動目錄域(Active Directory Domain)

???????? 組織單元(OU ,Organizational Units)

???????? 全局目錄(GC ,Global Catalog)

mcse.com

sub.mcse.com

my.com

接下來,以上圖為例,進行相關討論。這整個是一個林,mcse.com 為林根域,有兩個樹,一個由mcse.com 和它的子域sub.mcse.com 組成,另一個由my.com 單獨組成,林中有mcse.com ,sub.mcse.com ,my.com 三個域。相關概念如下:

林根域:在林中建立的第一個域,如:mcse.com

樹:共用連續的命名空間的多層域,如mcse.com (父域)和sub. mcse.com (子域) 樹根域:樹最高層的域,名最短。如:mcse.com 和my.com

Windows 2000/03可采用多層域結構,但最有效、最簡便的管理方法仍是單域,所以大家在實際工作中要記住一個原則“能用單域解決,就不用多域”。

一、域(Domain )

域是活動目錄中邏輯結構的核心單元。一個域包含許多計算機,它們由管理員設定,共用一個目錄數據庫,一個域有一個唯一的名字。

,

域是安全邊界,保證域的管理員只能在該域內有必要的管理權限,除非得到其它域的明確授權。每個域都有自己的安全策略和與其它域的安全聯系方式。注意:1、無法在一個域內實現不同的帳號策略。2、父域對子域并沒有任何管理特權,但要注意林根域下有企業管理員組Enterprise Admins,它默認對林中的其它域是有特權的。

父域和子域間默認就有雙向可傳遞的信任關系,也就是說用戶可以使用林中任意一個域內的計算機,登錄到林內的任何一個域上(操作上就是使用欲要登錄的那個域的用戶帳號);還可以,以自己本域的帳號登錄,訪問林內任何資源而不需要重新輸入口令,當然要想能真正訪問某一具體資源,在該資源上必須得有相應權限才行。

二、組織單元(OU ,Organizational Units)

在域下面,我們可以規劃OU ,放入計算機、用戶、用戶組等對象。也就是說通過OU ,我們可以把對象組織起來,并形成一個有層次的邏輯結構。OU 下面可以再建小OU ,微軟建議嵌套層次不要超過3層,我們平常一般1到2層就夠用了。

在規劃OU 時,要考慮到將來的管理和組策略的應用,一般應把有相同需求的計算機、用戶等放在同一OU 下。可以基于部門、基于管理責任,也可以基于地理位置來規劃,使其最佳地適應你的公司的需求。

在域下面規劃OU ,不是僅僅為得到一個層次結構,我們主要目的是要基于OU 實現委派控制和將來鏈接相應的組策略來實現管理控制。委派的權限可以是完全控制,也可以是僅指定有限的權限(如:修改OU 內的用戶口令)給一個或幾個用戶和組。

三、活動目錄林(Active Directory Forest)

在林中建立的第一個域,被稱為林根域,如前面提到的mcse.com 。在剛開始時候,我們這個林中只有一個樹,樹內只有一個域,域內只有一臺計算機作為域控制器。也就是說此時我們整個林就只有一臺計算機。

接下我們也可以為它添加子域,如sub.mcse.com. ,再添加了一個新樹下的域my.com 。這樣我們的這個林下就有了兩個樹:一個樹由mcse.com 域、和它的子域sub.mcse.com 構成,一個樹僅由my.com 域構成。

四、活動目錄樹(Active Directory Tree)

活動目錄樹是Windows 2000/03網絡中的層次組織,同一樹下的域共用連續的名字空間。如父域mcse.com (它同時也是樹根域、林根域),樹根域的名字一定是最短的。父域mcse.com 和子域sub.mcse.com 之間默認就有一個雙向的、可傳遞的信任關系。也正由于這種信任關系的可傳遞性,使得sub.mcse.com 和my.com 間也有了雙向信任關系。

五、全局目錄(GC ,Global Catalog)

全局目錄GC 包含了AD 對象屬性的子集,換句話說就是GC 中包含了林中所有對象的摘要信息,也就是相對重要一些的屬性,如用戶對象的姓、名和登錄名。全局目錄GC 本身必須首先是域控制器DC ,GC 不具有唯一性,可以有多個。

全局目錄GC 使用戶能夠:1、查詢整個林中的AD 信息,無論數據在林中什么位置。以利于林中的跨域訪問。2、使用通用組,即利用通用組成員身份的信息登錄網絡。

2-3-1-8活動目錄的物理結構

,

在活動目錄中,物理結構與邏輯結構是相互獨立的。域控制器DC 和站點(Site )組成了活動目錄的物理結構。

利用站點,我們可規劃域控制器DC 放置,優化AD 復制,使用戶就近查找DC 登錄。同時,知道物理結構將有助于排除復制和登錄過程中出現的問題。

一、域控制器(Domain Controllers)

Windows 2000/03域控制器上存儲有活動目錄的副本,管理目錄信息的變化,并把這些變化復制給該域上的其它域控制器。域控制器存儲目錄數據,管理用戶登錄、驗證和目錄搜索。

一個域至少得有一臺域控制器,為了容錯就應該有兩臺,甚至多臺。這主要要看網絡的規模及分布。

二、活動目錄復制

同一域內的DC 之間要復制域信息,同一林內的DC 間要復制林信息?;顒幽夸洀椭拼_保AD 信息對整個網絡上的所有DC 和客戶機都是可用的。而活動目錄的物理結構決定了復制發生的時間和地點。

AD 復制采用多主控復制模型,也就是說每個DC 都存儲有AD 的可寫副本,彼此間的復制是雙向的。這點與NT4域的PDC 到BDC (目錄服務的只讀副本)的單主控復制不同。

在所有的DC 把它們的變化都同步到活動目錄中以前,DC 在短時間內可能有不同的信息。按照默認,這一時間,同一站點內不越過3x5=15分鐘。

三、站點(Site )

站點就是一個或幾個高速帶寬連接的IP 子網的集合。管理員規劃的站點,必須真實反映網絡的物理結構和連接情況,把高速連接的部分規劃為一個站點。也就是說,站點內一定是高速連接,站點間是低速連接。

管理員利用規劃站點,可以為活動目錄配置訪問和復制拓撲。使用Windows 2000/03網絡可以使用最有效的鏈接和時間安排來復制和登錄。創建站點,我們可以:1、優化AD 復制,如:讓其半夜進行,一天一次。2、優化用戶登錄,如:使用戶就近查找本站點內高速連接的DC 進行登錄。

在活動目錄中,物理結構與邏輯結構是相互獨立的,沒有什么必然的聯系。一個站點可以有幾個域,一個域也可以有幾個站點。給站點起名字也是任意的,不必考慮和域名字間的聯系。

2-3-1-9操作主機(或叫主控、FSMO )

前面我們介紹了AD 復制采用多主控復制模型,但在有些特殊情況下,我們需要目錄林進行單主控更新以避免沖突的發生。簡單地說就是,這時我們就讓一臺DC 說了算,來執行相關的AD 改變,然后由它把變化復制到其它的DC 上去,這臺DC 就是操作主機。共有五種操作主機,它們是: ? 架構主控 Schema master 林內唯一

? 域命名主控 Domain Naming master 林內唯一

? PDC 仿真器 PDC Emulator master 域內唯一

? RID 主控 RID master 域內唯一

? 基礎結構主控 Infrastructure master 域內唯一

默認林根域的第一臺DC 就是這五種操作主機,同時還是GC 。林內其它域的第一臺DC 是該域內的域唯一的那三種操作主機,即PDC 仿真、RID 、基礎結構。。

操作主機具有唯一性,但我們可以把操作主機移動到其它DC 上,只要保證原來的不再是操作主機,也就是說保證這種唯一性即可。

,

任何一臺DC 都可以是一操作主機(注意也只有DC 才可以是操作主機),一臺DC 可以同時擔當多種操作主機角色。

對于操作主機的管理,我們可以查看、傳送、查封。傳送(Transfer )和查封(Seizing )的區別在于:傳送是在原操作主機聯機的情況下進行的,傳送后得到了新的操作主機,原來的操作主機就不再是操作主機了,傳送保證操作主機的唯一性。查封是在原操作主機有故障或失效,脫機的情況下的強行傳輸,也就是重新推選一個新的操作主機,會有數據的丟失。查封不保證操作主機唯一性,原操作主機必須格式化后再接入網絡。

對操作主機的管理,可以使用圖形化界面(管理的位置,將在下面逐個介紹說明),也可以使用Ntdsutil 命令。下面我們簡單介紹一下各種操作主機的作用。

一、架構主控(Schema master)

操作:AD 架構/AD架構上右鍵/操作主機

說明:默認情況下,架構的MMC 管理工具不被安裝。需要:

1、運行adminpak.msi 安裝AD 管理工具。Adminpak.msi 可在03光盤I386目錄下找到,或在03的windowssystem32下找到。或者手動,開始/運行:regsvr32 schmmgmt.dll

2、開始/運行:MMC ,文件/添加刪除管理單元/添加/AD架構

關于架構,我們前面介紹過:架構是關于AD 對象類型屬性的定義。架構主控控制對架構的所有原始更新,也就是說對架構的修改、擴展,必須連接到林內唯一的這臺架構主機上進行,然后由它復制到到林內所有的DC 上。

注意:只有架構管理員組(Schema Admins)可以對架構進行修改,例如安裝Exchange Server、ISA 陣列,就需要擴展架構,你應該以架構管理員身份進行。

二、域命名(Domain Naming master)

操作:AD 域和信任關系/AD域和信任關系上右鍵/操作主機

只有域命名主機可以向目錄林中添加域或者刪除域,保證域的名字在林中唯一。若域命名主機不可用,則無法在目錄林中添加或刪除域。

為保證域的名字在林中唯一,域命名主機需要查詢GC 。若林功能級別為Windows 2000林模式,GC 必須和域命名主機在同一臺計算機上才行。若林功能級別為Windows Server 2003林模式,不要求GC 必須和域命名主機非得在同一臺計算機上。

三、PDC 仿真器(PDC Emulator master)

操作:AD 用戶和計算機/域上右鍵/操作主機/PDC標簽

PDC 仿真主機在五種操作主機中是最重要的,它的利用率很高。如果PDC 仿真主機失效,必須盡快解決。它主要負責:

1、如果Windows 2000/03域中還有NT4的BDC ,它充當NT BDC的PDC ,并為早期版本客戶機提供服務。順便說一下,NT4的域控制器在2000/03域中只能是BDC ,不可能是PDC 。

2、管理運行NT 、95/98計算機的密碼變化,寫入活動目錄AD

3、最小化密碼變化的復制等待時間。若一臺DC 接受到密碼變化的請求,它必須通知PDC 仿真主控。用戶登錄時,如密碼錯誤,進行驗證的DC 必先送至PDC 仿真主控。因為普通DC 不能確認到底是密碼錯誤,還是它沒有及時與PDC 仿真主控同步。

4、同步全域中的域控制器、成員計算機的時間。加入域的計算機,沒有自己的時間。這是因為時間參數,在AD 復制中是一個極為重要的因素,決定多主控復制時,誰的修改最終生效。所以整個域的

,

時間,都由PDC 仿真主機來控制。你可以手動修改域成員計算機上的時間,但當AD 復制過后,又會被改回成PDC 仿真主機上的時間。如果目錄林是多層域結構,最終以林根域上的PDC 仿真主機的時間為準。

5、防止重寫GPO 的可能,修改組策略設置,默認也是要連接到PDC 仿真主控上才行。當然這個默認值是可以修改的,或者找不到PDC 仿真主控時,系統會提示你連到其它DC 。

四、相關標識符RID 主控(RID master)

操作:AD 用戶和計算機/域上右鍵/操作主機/RID標簽

在AD 對象中的用戶、組或計算機等對象,我們是可以為其分配權利權限的,被稱為安全主體。安全主體與其它非安全主體對象的最主要的區別就在于:安全主體對象有安全標識符(SID ),可以為其分配權利權限。大家要明確:在活動目錄中,所有對象都有GUID (全局唯一標識符),只有安全主體對象才有SID 。

當我們在域內創建安全主體(例如用戶、組或計算機)對象時,域控制器將域的SID 與安全主體對象RID 標識符相結合,以創建唯一的安全標識符 (SID)。形如:

S-1-5-21-1553226038-2352558368-427082893-500

其中S-1-5表示NT Authority(標識符頒發機構);上例中的21-1553226038-2352558368- 427082893為這個域的SID (每個域不同),在這個位置還可能是32(表示本地/域內置的本地組,都只能在DC/本機上使用,重復無妨,所以都是32),也可能是本機的SID (每臺機不同);后面跟的500表示administrator 用戶。

,

都會收到用于創建對象的 RID 池(默認為 512個)。RID 操作主機通過分配不同的池來確保這些 ID 在每一個 DC 上都是唯一的。若DC 分到的RID 池被用盡,可以向RID 操作主機自動再次申請。

通過 RID 主機,還可以在同一目錄林中的不同域之間移動所有對象。當對象從一個域移動到另一個域上時,RID 主控將該對象從域中刪除。

五、基礎結構主控(Infrastructure master)

操作:AD 用戶和計算機/域上右鍵/操作主機/結構 標簽

基礎結構主機確保所有域間操作對象的一致性。當引用另一個域中的對象時(如域本地組中包括另一域的一個全局組),此引用包含該對象的全局唯一標識符 (GUID)、安全標識符 (SID) 和可分辨的名稱 (DN)。

如果被引用的對象移動,則在域中擔當結構主機角色的 DC 會負責更新該域中跨域對象引用中的 SID 和 DN 。也就是說,基礎結構主機負責更新外部對象的索引(組成員資格),顯然,單域不需要基礎結構主機。

基礎結構主機是基于域的,目錄林中的每個域都有自己的基礎結構主機。基礎結構主機不應該和GC 在同一個DC 上,應手動移走,否則將不起作用。前面我們提到過,默認林根域的第一臺DC 就是這五種操作主機,同時還是GC 。也就是說,這時基礎結構主機實際上是失效的,不起作用。但這時只有一個林根域,基礎結構主機不起作用也沒關系,若以后構建多層域,需要手動將其與GC 分開。

2-3-1-10域功能級別和林功能級別

,

2-3-1-11標識名(DN )和相對標識名(RDN )

前面我們提到了客戶使用LDAP 協議來訪問活動目錄中的對象,那么LDAP 是如何來標識一個在活動目錄中的對象的呢?換句話說,LDAP 是如何在活動目錄找到對象A ,而不會錯找成對象B 的呢?這就要用到一個命名路徑,即標識名(DN )和相對標識名(RDN )。DN 為活動目錄中的對象標識出LDAP 命名的完整路徑;RDN 用來標識容器中的一個對象,即它總是DN 中的最前面一項。

如:在Active Directory用戶和計算機中,在mcse.com 域下有個OU :Finance (財務),在Finance 下又有個小OU :Sales (銷售),在其下有個用戶,名叫Suzan Fine。則此用戶對象的DN 為:CN=Suzan Fine, OU=Sales, OU=Finance, DC=mcse DC=com。RDN 為:CN=Suzan Fine。

說明:

1、其中DC 表示DNS 名字的域組件,OU 表示組織單元,CN 表示普通名字,CN 可用于除了前兩種以外的所有對象。比如:如果用戶帳號不在OU 中而是在默認容器Users 中,為表示Users 容器應使用CN 。即:CN=Suzan Fine, CN=Users, DC=mcse, DC=com。

2、如果在命令中引用DN ,且DN 中有空格,如CN=Suzan Fine。應使用引號將整個DN 括起來。如“CN=Suzan Fine, CN=Users, DC=mcse, DC=com”。

2-3-1-12 域名服務系統(DNS )

Windows 2000/03的活動目錄服務與域名服務系統(DNS )緊密結合、集成一起,所以DNS 故障是導致AD 故障非常主要的因素之一,有統計數據顯示AD 故障的60來自于DNS 。

使用活動目錄、構建Windows 2000/03的域,網絡上必須有可用的DNS 服務器,并且必須支持SRV 記錄(Service Location Resource Record)和動態更新功能。如:MS Win2000/03 DNS,UNIX 的DNS BIND 8.12及以上版本,使用已有的NT4 DNS是不行的。

構建NT4域并不需要DNS 的支持,但2000/03域必須有DNS ,且滿足上述要求。

SRV 記錄的作用是指明域和站點(site )的DC 、PDC 仿真、GC 是誰。動態更新也是2000/03DNS的新特色,管理員不必再象NT4 DNS那樣手動為計算機創建或修改相應記錄,在域成員計算機重啟,或改名、改IP 時依賴周期性更新,自動動態注冊或更新相應DNS 記錄。

如果沒有DNS 服務器的話,也不一定非得預裝DNS ,可以在安裝AD 過程中,選擇在本機上安裝2000 DNS。而且推薦初學者使用這種方法,因為系統會根據你提供的FQDN 域名,自動創建好DNS 區域(zone ),并配置成AD 集成區域,僅安全動態更新。如果需要向外連或反向解析,用戶只需配置上轉發器和反向區域即可,不需要的話,直接就可以用了。

如果決定在安裝AD 過程中在本機安裝DNS ,應在安裝前,將本機TCP/IP配置/DNS服務器指向自己,這樣在安裝AD 完成后重啟時,SRV 記錄將被自動注冊到DNS 服務器的區域當中去的,生成四個以下劃線開頭的文件夾,如_msdcs,03DNS 在這里夾的層次結構有所變化,但本質沒變。當然如果忘了指,也可以后補上,只不過需要多重啟一次。

03DNS 新特色:

1、條件轉發。

轉發器的作用是,如果本機無法解析DNS 客戶所發的查詢請求,轉發給轉發器所指定的DNS 服務器。在03DNS 中新增了條件轉發,即不同的DNS 區域,可指定不同的轉發器。

利用條件轉發,不僅可改善DNS 查詢,更重要的是有其實際意義。例如兩個公司合并時,可將利用條件轉發,基于對方域名將轉發器配置為指向對方的DNS 服務器。這樣DNS 服務器就能解析對方網絡中的DNS 名稱,并對其他網絡信息建立巨大的緩存。又由于不必查詢 Internet 上的 DNS

,

服務器,將大大減少DNS 查詢所用的時間。

2、存根(stub )區域

上面的場景也可用存根區域來解決,在03DNS 中創建對方的存根區域,并指明對方的權威DNS 服務器。注意在存根區域下只有對方域的SOA 、NS 及與NS 相關的A 記錄,不會有對方其它的具體資源的記錄。在有些情況下,與條件轉發的作用還是有所不同的。

2-3-1-13 組策略(Group Policy)

組策略是活動目錄上的最大應用,可以應用于2000/XP/03。組策略使許多重復的管理工作自動化、簡單化,所以說組策略的應用程度是衡量2000/03管理員的重要尺度。

組策略對象(GPO )也是一種AD 對象,并且可設置權限。在域內創建,可鏈接到站點(Site )、域(Domain )、組織單元(OU ),使組策略的設置對一定范圍的計算機/用戶生效。本地(Local )策略可理解為一個特殊的組策略:在工作組下也可使用,只對本地用戶和該計算機生效。使用gpedit.msc 進行管理,設置后立即生效,不需刷新。

組策略設置的默認優先級是:LSDOU 原則,本地策略優先級最低。可通過阻止繼承(將阻止所有策略繼承)、禁止替代(也就是必須繼承,針對某個具體的GPO 來設置)、組策略篩選器(實質為GPO 權限)改變默認的優先級。

組策略對象(GPO )包括組策略容器(GPC )和組策略模板(GPT )兩部分。GPC 位于AD 用戶和計算機/System/Policies(需要選中查看下的高級功能),僅是GPO 的屬性和版本信息,計算機通過GPC 來查找GPT 。具體的策略設置值存儲在GPT 中,位于DC 的windowssysvolsysvol下,以GUID 為文件夾名。注意安裝AD 系統自帶的兩個GPO ,使用固定的GUID ,分別是: ? ????? 默認域的策略的GUID 為31B2F340-016D-11D2-945F-00C04FB984F9

? ????? 默認域控制器的策略的GUID 為6AC1786C-016F-11D2-945F-00C04FB984F9。

組策略具體的設置內容2000到達600多條,03又新增200條左右。

組策略設置中的安全模板(計算機和用戶)部分,通過注冊表生效,但并不永久改變注冊表。若用戶手動修改注冊表中的組策略設置值,若策略未變,組策略不負責強制改回。

安全策略是組策略的子集(一部分),只不過其MMC 工具被單獨提出來,放到管理工具下了。

標簽:
主站蜘蛛池模板: 乐亭县| 宁化县| 图木舒克市| 小金县| 佛冈县| 博湖县| 台湾省| 南宫市| 读书| 蒙阴县| 福安市| 大足县| 嘉定区| 揭东县| 湘西| 吴忠市| 辽源市| 绍兴市| 靖边县| 孝感市| 漾濞| 东乡| 翁源县| 淄博市| 安吉县| 瑞丽市| 襄城县| 陈巴尔虎旗| 广东省| 丰县| 彩票| 汽车| 呼玛县| 南开区| 贵德县| 措勤县| 若尔盖县| 舟山市| 洛隆县| 监利县| 油尖旺区|