第二章 第三節Windows Active Directory 域故障排錯本節介紹Windows 2000/03 AD域故障的排錯。首先我們會介紹活動目錄（Active Directory）及其相關概

第二章 第三節

Windows Active Directory 域故障排錯

本節介紹Windows 2000/03 AD域故障的排錯。首先我們會介紹活動目錄（Active Directory）及其相關概念，然后介紹和域故障排錯相關的知識、工具軟件的使用，最后以實例的形式講解針對具體的各種域故障如何進行排錯，如何有效地利用組策略來管理AD 域、管理網絡。

通過本節的學習，讀者可以掌握活動目錄（Active Directory）及其相關概念，活動目錄的功能、邏輯結構、物理結構；管理Windows 2000/03網絡的方法，相關工具的使用；提高域故障排錯能力，掌握活動目錄上的最大應用：組策略。

2-3-1活動目錄（Active Directory）及其相關概念

要掌握Windows 2000/03 AD域故障排錯，首先就得知道什么是域，什么是活動目錄，活動目錄的工作原理如何。以下內容作為后面域排錯的基礎理論知識至關重要。

2-3-1-1為什么要使用活動目錄？

為什么要使用活動目錄？首先我們來看兩個例子：

如果我們要記住10個、20個電話號碼還可以，但更多的就無能為力了。這時我們就會想到把電話號碼記錄到電話簿上，需要時去查詢。

如果我們家中只有10本、20本的書，我們會比較容易找到我們想要的那一本，但如果我們家中的書像圖書館那么多，這時我們就會想到把書分門別類地放好，并根據書的書名、作者、出版社、類別等屬性信息做好索引，以利于查找。

有效地管理網絡，也象管理電話號碼、管理圖書一樣。我們會把網絡中眾多的對象：計算機、用戶、用戶組、打印機、共享夾……，分門別類、井然有序地放在活動目錄這個大倉庫中。使用活動目錄對你公司的網絡進行管理，才是積極有效的管理方法，而且網絡規模越大，越能體現出活動目錄在管理網絡上的高效性。

2-3-1-2工作組（Workgroup ）

Windows 工作組模式來進行管理，但其管理功能極其有限。

對于一臺Windows 計算機來講，它要么隸屬于工作組，要么隸屬于域。工作組是微軟的概念，一般的普遍稱謂是對等網。

工作組通常是一個由不多于10臺計算機組成的邏輯集合，如果要管理更多的計算機，微軟推薦你使用域的模式進行集中管理，這樣的管理更有效。你可以使用域、活動目錄、組策略等等各種功能，使你網絡管理的工作量達到最小。當然這里的10臺只是一個參考值，11臺甚至20臺，如果你不想進行集中的管理，那么你仍然可以使用工作組模式。

工作組的特點就是實現簡單，不需要域控制器DC ，每臺計算機自己管理自己，適用于距離很近的 當然如果網絡規模很小，也可以使用

有限數目的計算機。順便說明一下，工作組名并沒有太多的實際意義，只是在網上鄰居的列表中實現一個分組而已；再就是對于“計算機瀏覽服務”，每一個工作組中，會自動推選出一個主瀏覽器，負責維護本工作組所有計算機的NetBIOS 名稱列表。用戶可以使用默認的工作組名workgroup ，也可以任意起個名字（不必擔心重名），同一工作組或不同工作組間在訪問時也沒有什么分別，都需要輸入目標計算機上的用戶名、口令進行驗證。

在工作組模式下，用戶要訪問10臺計算機上的資源，就需要記住至少10個用戶名和口令，工作組的這種分散管理性是它和域的集中式管理相比最大的缺點。AD 域提供了對網絡資源的集中控制，用戶只需登錄一次就可以訪問整個活動目錄的資源。

2-3-1-3活動目錄（Active Directory）和域控制器（Domain Controller）

如果網絡規模較大，這時我們就會考慮把網絡中眾多的對象（被稱之為AD 對象）：計算機、用戶、用戶組、打印機、共享夾……分門別類、井然有序地放在一個大倉庫中，并做好檢索信息，以利于查找、管理和使用這些對象（資源）。這個有層次結構的數據庫，就是活動目錄數據庫，簡稱AD 庫。

接下來，我們應該把這個數據庫放在哪臺計算機上呢？是這樣的，我們把存放有活動目錄數據庫的計算機就稱之為域控制器（Domain Controller），簡稱DC 。

2-3-1-4活動目錄架構（Active Directory Schema）

架構是關于AD 對象類型屬性的定義。一種類型AD 對象應該有哪些屬性是由架構來定義的，比如它定義了用戶對象有姓、名、登錄名、口令等一系列的屬性。如果你想增加一個“性別”屬性，這就要修改架構，一般稱之為擴展AD 架構，這要求你必須是林根域上的Schema Admins組成員才行。

整個活動目錄的林中只有一個架構，因此在活動目錄中創建的所有對象都遵從同樣的規則。也就是說你對架構的修改將影響到林中的所有域，你沒辦法實現同一林中的一個域用戶對象有“性別”屬性，而另一個域沒有。

2-3-1-5目錄訪問協議（DAP ）和輕量級目錄訪問協議（LDAP ）

AD 對象存儲在活動目錄中，客戶和應用程序就通過訪問活動目錄，來查找這些存放于活動目錄中的對象。用戶訪問這些AD 對象，當然要遵照一定的規則和約定，這就是協議?？蛻粼L問目錄所用的協議被稱之為目錄訪問協議（DAP ），DAP 是在X.500中定義的一個復雜協議，它的簡化版本被稱之為輕量級目錄訪問協議（LDAP ），被微軟的活動目錄AD 所采用。LDAP 是用于查詢和更新活動目錄的目錄服務協議。

2-3-1-6目錄服務

回過頭來，我們再來看一下目錄服務的定義。目錄服務由X.500標準定義，目錄是指一個組織中關于人和資源信息的結構化、層次化的庫。在微軟的Windows 2000/03網絡中，這個目錄服務就是指活動目錄（Active Directory）服務，又比如在Novell 公司的NetWare 上使用的目錄服務叫NDS （Novell 目錄服務），目錄服務的實質就是一種網絡服務。

活動目錄（Active Directory）作為網絡目錄服務，提供了用于組織、管理和控制網絡資源的結構和功能，使我們有了集中管理Windows 2000/03網絡的能力，管理員可以在一個地點管理整個

網絡。當然也可以利用OU 進行委派控制，把一部分管理工作分派給OU 管理員。

2-3-1-7活動目錄的邏輯結構

活動目錄的邏輯結構具有伸縮性，?。嚎梢灾皇且慌_計算機，大：可以應用到大型跨國公司的網絡?；顒幽夸浀倪壿嫿M件包括：

???????? 活動目錄林（Active Directory Forest）

???????? 活動目錄樹（Active Directory Tree）

???????? 活動目錄域（Active Directory Domain）

???????? 組織單元（OU ，Organizational Units）

???????? 全局目錄（GC ，Global Catalog）

mcse.com

sub.mcse.com

my.com

接下來，以上圖為例，進行相關討論。這整個是一個林，mcse.com 為林根域，有兩個樹，一個由mcse.com 和它的子域sub.mcse.com 組成，另一個由my.com 單獨組成，林中有mcse.com ，sub.mcse.com ，my.com 三個域。相關概念如下：

林根域：在林中建立的第一個域，如：mcse.com

樹：共用連續的命名空間的多層域，如mcse.com （父域）和sub. mcse.com （子域） 樹根域：樹最高層的域，名最短。如：mcse.com 和my.com

Windows 2000/03可采用多層域結構，但最有效、最簡便的管理方法仍是單域，所以大家在實際工作中要記住一個原則“能用單域解決，就不用多域”。

一、域（Domain ）

域是活動目錄中邏輯結構的核心單元。一個域包含許多計算機，它們由管理員設定，共用一個目錄數據庫，一個域有一個唯一的名字。

域是安全邊界，保證域的管理員只能在該域內有必要的管理權限，除非得到其它域的明確授權。每個域都有自己的安全策略和與其它域的安全聯系方式。注意：1、無法在一個域內實現不同的帳號策略。2、父域對子域并沒有任何管理特權，但要注意林根域下有企業管理員組Enterprise Admins，它默認對林中的其它域是有特權的。

父域和子域間默認就有雙向可傳遞的信任關系，也就是說用戶可以使用林中任意一個域內的計算機，登錄到林內的任何一個域上（操作上就是使用欲要登錄的那個域的用戶帳號）；還可以，以自己本域的帳號登錄，訪問林內任何資源而不需要重新輸入口令，當然要想能真正訪問某一具體資源，在該資源上必須得有相應權限才行。

二、組織單元（OU ，Organizational Units）

在域下面，我們可以規劃OU ，放入計算機、用戶、用戶組等對象。也就是說通過OU ，我們可以把對象組織起來，并形成一個有層次的邏輯結構。OU 下面可以再建小OU ，微軟建議嵌套層次不要超過3層，我們平常一般1到2層就夠用了。

在規劃OU 時，要考慮到將來的管理和組策略的應用，一般應把有相同需求的計算機、用戶等放在同一OU 下。可以基于部門、基于管理責任，也可以基于地理位置來規劃，使其最佳地適應你的公司的需求。

在域下面規劃OU ，不是僅僅為得到一個層次結構，我們主要目的是要基于OU 實現委派控制和將來鏈接相應的組策略來實現管理控制。委派的權限可以是完全控制，也可以是僅指定有限的權限（如：修改OU 內的用戶口令）給一個或幾個用戶和組。

三、活動目錄林（Active Directory Forest）

在林中建立的第一個域，被稱為林根域，如前面提到的mcse.com 。在剛開始時候，我們這個林中只有一個樹，樹內只有一個域，域內只有一臺計算機作為域控制器。也就是說此時我們整個林就只有一臺計算機。

接下我們也可以為它添加子域，如sub.mcse.com. ，再添加了一個新樹下的域my.com 。這樣我們的這個林下就有了兩個樹：一個樹由mcse.com 域、和它的子域sub.mcse.com 構成，一個樹僅由my.com 域構成。

四、活動目錄樹（Active Directory Tree）

活動目錄樹是Windows 2000/03網絡中的層次組織，同一樹下的域共用連續的名字空間。如父域mcse.com （它同時也是樹根域、林根域），樹根域的名字一定是最短的。父域mcse.com 和子域sub.mcse.com 之間默認就有一個雙向的、可傳遞的信任關系。也正由于這種信任關系的可傳遞性，使得sub.mcse.com 和my.com 間也有了雙向信任關系。

五、全局目錄（GC ，Global Catalog）

全局目錄GC 包含了AD 對象屬性的子集，換句話說就是GC 中包含了林中所有對象的摘要信息，也就是相對重要一些的屬性，如用戶對象的姓、名和登錄名。全局目錄GC 本身必須首先是域控制器DC ，GC 不具有唯一性，可以有多個。

全局目錄GC 使用戶能夠：1、查詢整個林中的AD 信息，無論數據在林中什么位置。以利于林中的跨域訪問。2、使用通用組，即利用通用組成員身份的信息登錄網絡。

2-3-1-8活動目錄的物理結構

在活動目錄中，物理結構與邏輯結構是相互獨立的。域控制器DC 和站點（Site ）組成了活動目錄的物理結構。

利用站點，我們可規劃域控制器DC 放置，優化AD 復制，使用戶就近查找DC 登錄。同時，知道物理結構將有助于排除復制和登錄過程中出現的問題。

一、域控制器（Domain Controllers）

Windows 2000/03域控制器上存儲有活動目錄的副本，管理目錄信息的變化，并把這些變化復制給該域上的其它域控制器。域控制器存儲目錄數據，管理用戶登錄、驗證和目錄搜索。

一個域至少得有一臺域控制器，為了容錯就應該有兩臺，甚至多臺。這主要要看網絡的規模及分布。

二、活動目錄復制

同一域內的DC 之間要復制域信息，同一林內的DC 間要復制林信息?；顒幽夸洀椭拼_保AD 信息對整個網絡上的所有DC 和客戶機都是可用的。而活動目錄的物理結構決定了復制發生的時間和地點。

AD 復制采用多主控復制模型，也就是說每個DC 都存儲有AD 的可寫副本，彼此間的復制是雙向的。這點與NT4域的PDC 到BDC （目錄服務的只讀副本）的單主控復制不同。

在所有的DC 把它們的變化都同步到活動目錄中以前，DC 在短時間內可能有不同的信息。按照默認，這一時間，同一站點內不越過3x5=15分鐘。

三、站點（Site ）

站點就是一個或幾個高速帶寬連接的IP 子網的集合。管理員規劃的站點，必須真實反映網絡的物理結構和連接情況，把高速連接的部分規劃為一個站點。也就是說，站點內一定是高速連接，站點間是低速連接。

管理員利用規劃站點，可以為活動目錄配置訪問和復制拓撲。使用Windows 2000/03網絡可以使用最有效的鏈接和時間安排來復制和登錄。創建站點，我們可以：1、優化AD 復制，如：讓其半夜進行，一天一次。2、優化用戶登錄，如：使用戶就近查找本站點內高速連接的DC 進行登錄。

在活動目錄中，物理結構與邏輯結構是相互獨立的，沒有什么必然的聯系。一個站點可以有幾個域，一個域也可以有幾個站點。給站點起名字也是任意的，不必考慮和域名字間的聯系。

2-3-1-9操作主機（或叫主控、FSMO ）

前面我們介紹了AD 復制采用多主控復制模型，但在有些特殊情況下，我們需要目錄林進行單主控更新以避免沖突的發生。簡單地說就是，這時我們就讓一臺DC 說了算，來執行相關的AD 改變，然后由它把變化復制到其它的DC 上去，這臺DC 就是操作主機。共有五種操作主機，它們是： ? 架構主控 Schema master 林內唯一

? 域命名主控 Domain Naming master 林內唯一

? PDC 仿真器 PDC Emulator master 域內唯一

? RID 主控 RID master 域內唯一

? 基礎結構主控 Infrastructure master 域內唯一

默認林根域的第一臺DC 就是這五種操作主機，同時還是GC 。林內其它域的第一臺DC 是該域內的域唯一的那三種操作主機，即PDC 仿真、RID 、基礎結構。。

操作主機具有唯一性，但我們可以把操作主機移動到其它DC 上，只要保證原來的不再是操作主機，也就是說保證這種唯一性即可。

任何一臺DC 都可以是一操作主機（注意也只有DC 才可以是操作主機），一臺DC 可以同時擔當多種操作主機角色。

對于操作主機的管理，我們可以查看、傳送、查封。傳送（Transfer ）和查封（Seizing ）的區別在于：傳送是在原操作主機聯機的情況下進行的，傳送后得到了新的操作主機，原來的操作主機就不再是操作主機了，傳送保證操作主機的唯一性。查封是在原操作主機有故障或失效，脫機的情況下的強行傳輸，也就是重新推選一個新的操作主機，會有數據的丟失。查封不保證操作主機唯一性，原操作主機必須格式化后再接入網絡。

對操作主機的管理，可以使用圖形化界面（管理的位置，將在下面逐個介紹說明），也可以使用Ntdsutil 命令。下面我們簡單介紹一下各種操作主機的作用。

一、架構主控（Schema master）

操作：AD 架構/AD架構上右鍵/操作主機

說明：默認情況下，架構的MMC 管理工具不被安裝。需要：

1、運行adminpak.msi 安裝AD 管理工具。Adminpak.msi 可在03光盤I386目錄下找到，或在03的windowssystem32下找到。或者手動，開始/運行：regsvr32 schmmgmt.dll

2、開始/運行：MMC ，文件/添加刪除管理單元/添加/AD架構

關于架構，我們前面介紹過：架構是關于AD 對象類型屬性的定義。架構主控控制對架構的所有原始更新，也就是說對架構的修改、擴展，必須連接到林內唯一的這臺架構主機上進行，然后由它復制到到林內所有的DC 上。

注意：只有架構管理員組（Schema Admins）可以對架構進行修改，例如安裝Exchange Server、ISA 陣列，就需要擴展架構，你應該以架構管理員身份進行。

二、域命名（Domain Naming master）

操作：AD 域和信任關系/AD域和信任關系上右鍵/操作主機

只有域命名主機可以向目錄林中添加域或者刪除域，保證域的名字在林中唯一。若域命名主機不可用，則無法在目錄林中添加或刪除域。

為保證域的名字在林中唯一，域命名主機需要查詢GC 。若林功能級別為Windows 2000林模式，GC 必須和域命名主機在同一臺計算機上才行。若林功能級別為Windows Server 2003林模式，不要求GC 必須和域命名主機非得在同一臺計算機上。

三、PDC 仿真器（PDC Emulator master）

操作：AD 用戶和計算機/域上右鍵/操作主機/PDC標簽

PDC 仿真主機在五種操作主機中是最重要的，它的利用率很高。如果PDC 仿真主機失效，必須盡快解決。它主要負責：

1、如果Windows 2000/03域中還有NT4的BDC ，它充當NT BDC的PDC ，并為早期版本客戶機提供服務。順便說一下，NT4的域控制器在2000/03域中只能是BDC ，不可能是PDC 。

2、管理運行NT 、95/98計算機的密碼變化，寫入活動目錄AD

3、最小化密碼變化的復制等待時間。若一臺DC 接受到密碼變化的請求，它必須通知PDC 仿真主控。用戶登錄時，如密碼錯誤，進行驗證的DC 必先送至PDC 仿真主控。因為普通DC 不能確認到底是密碼錯誤，還是它沒有及時與PDC 仿真主控同步。

4、同步全域中的域控制器、成員計算機的時間。加入域的計算機，沒有自己的時間。這是因為時間參數，在AD 復制中是一個極為重要的因素，決定多主控復制時，誰的修改最終生效。所以整個域的

時間，都由PDC 仿真主機來控制。你可以手動修改域成員計算機上的時間，但當AD 復制過后，又會被改回成PDC 仿真主機上的時間。如果目錄林是多層域結構，最終以林根域上的PDC 仿真主機的時間為準。

5、防止重寫GPO 的可能，修改組策略設置，默認也是要連接到PDC 仿真主控上才行。當然這個默認值是可以修改的，或者找不到PDC 仿真主控時，系統會提示你連到其它DC 。

四、相關標識符RID 主控（RID master）

操作：AD 用戶和計算機/域上右鍵/操作主機/RID標簽

在AD 對象中的用戶、組或計算機等對象，我們是可以為其分配權利權限的，被稱為安全主體。安全主體與其它非安全主體對象的最主要的區別就在于：安全主體對象有安全標識符（SID ），可以為其分配權利權限。大家要明確：在活動目錄中，所有對象都有GUID （全局唯一標識符），只有安全主體對象才有SID 。

當我們在域內創建安全主體（例如用戶、組或計算機）對象時，域控制器將域的SID 與安全主體對象RID 標識符相結合，以創建唯一的安全標識符 (SID)。形如：

S-1-5-21-1553226038-2352558368-427082893-500

其中S-1-5表示NT Authority（標識符頒發機構）；上例中的21-1553226038-2352558368- 427082893為這個域的SID （每個域不同），在這個位置還可能是32（表示本地/域內置的本地組，都只能在DC/本機上使用，重復無妨，所以都是32），也可能是本機的SID （每臺機不同）；后面跟的500表示administrator 用戶。

都會收到用于創建對象的 RID 池（默認為 512個）。RID 操作主機通過分配不同的池來確保這些 ID 在每一個 DC 上都是唯一的。若DC 分到的RID 池被用盡，可以向RID 操作主機自動再次申請。

通過 RID 主機，還可以在同一目錄林中的不同域之間移動所有對象。當對象從一個域移動到另一個域上時，RID 主控將該對象從域中刪除。

五、基礎結構主控（Infrastructure master）

操作：AD 用戶和計算機/域上右鍵/操作主機/結構 標簽

基礎結構主機確保所有域間操作對象的一致性。當引用另一個域中的對象時（如域本地組中包括另一域的一個全局組），此引用包含該對象的全局唯一標識符 (GUID)、安全標識符 (SID) 和可分辨的名稱 (DN)。

如果被引用的對象移動，則在域中擔當結構主機角色的 DC 會負責更新該域中跨域對象引用中的 SID 和 DN 。也就是說，基礎結構主機負責更新外部對象的索引（組成員資格），顯然，單域不需要基礎結構主機。

基礎結構主機是基于域的，目錄林中的每個域都有自己的基礎結構主機。基礎結構主機不應該和GC 在同一個DC 上，應手動移走，否則將不起作用。前面我們提到過，默認林根域的第一臺DC 就是這五種操作主機，同時還是GC 。也就是說，這時基礎結構主機實際上是失效的，不起作用。但這時只有一個林根域，基礎結構主機不起作用也沒關系，若以后構建多層域，需要手動將其與GC 分開。

2-3-1-10域功能級別和林功能級別

2-3-1-11標識名（DN ）和相對標識名（RDN ）

前面我們提到了客戶使用LDAP 協議來訪問活動目錄中的對象，那么LDAP 是如何來標識一個在活動目錄中的對象的呢？換句話說，LDAP 是如何在活動目錄找到對象A ，而不會錯找成對象B 的呢？這就要用到一個命名路徑，即標識名（DN ）和相對標識名（RDN ）。DN 為活動目錄中的對象標識出LDAP 命名的完整路徑；RDN 用來標識容器中的一個對象，即它總是DN 中的最前面一項。

如：在Active Directory用戶和計算機中，在mcse.com 域下有個OU ：Finance （財務），在Finance 下又有個小OU ：Sales （銷售），在其下有個用戶，名叫Suzan Fine。則此用戶對象的DN 為：CN=Suzan Fine, OU=Sales, OU=Finance, DC=mcse DC=com。RDN 為：CN=Suzan Fine。

說明：

1、其中DC 表示DNS 名字的域組件，OU 表示組織單元，CN 表示普通名字，CN 可用于除了前兩種以外的所有對象。比如：如果用戶帳號不在OU 中而是在默認容器Users 中，為表示Users 容器應使用CN 。即：CN=Suzan Fine, CN=Users, DC=mcse, DC=com。

2、如果在命令中引用DN ，且DN 中有空格，如CN=Suzan Fine。應使用引號將整個DN 括起來。如“CN=Suzan Fine, CN=Users, DC=mcse, DC=com”。

2-3-1-12 域名服務系統（DNS ）

Windows 2000/03的活動目錄服務與域名服務系統（DNS ）緊密結合、集成一起，所以DNS 故障是導致AD 故障非常主要的因素之一，有統計數據顯示AD 故障的60來自于DNS 。

使用活動目錄、構建Windows 2000/03的域，網絡上必須有可用的DNS 服務器，并且必須支持SRV 記錄（Service Location Resource Record）和動態更新功能。如：MS Win2000/03 DNS，UNIX 的DNS BIND 8.12及以上版本，使用已有的NT4 DNS是不行的。

構建NT4域并不需要DNS 的支持，但2000/03域必須有DNS ，且滿足上述要求。

SRV 記錄的作用是指明域和站點（site ）的DC 、PDC 仿真、GC 是誰。動態更新也是2000/03DNS的新特色，管理員不必再象NT4 DNS那樣手動為計算機創建或修改相應記錄，在域成員計算機重啟，或改名、改IP 時依賴周期性更新，自動動態注冊或更新相應DNS 記錄。

如果沒有DNS 服務器的話，也不一定非得預裝DNS ，可以在安裝AD 過程中，選擇在本機上安裝2000 DNS。而且推薦初學者使用這種方法，因為系統會根據你提供的FQDN 域名，自動創建好DNS 區域（zone ），并配置成AD 集成區域，僅安全動態更新。如果需要向外連或反向解析，用戶只需配置上轉發器和反向區域即可，不需要的話，直接就可以用了。

如果決定在安裝AD 過程中在本機安裝DNS ，應在安裝前，將本機TCP/IP配置/DNS服務器指向自己，這樣在安裝AD 完成后重啟時，SRV 記錄將被自動注冊到DNS 服務器的區域當中去的，生成四個以下劃線開頭的文件夾，如_msdcs，03DNS 在這里夾的層次結構有所變化，但本質沒變。當然如果忘了指，也可以后補上，只不過需要多重啟一次。

03DNS 新特色：

1、條件轉發。

轉發器的作用是，如果本機無法解析DNS 客戶所發的查詢請求，轉發給轉發器所指定的DNS 服務器。在03DNS 中新增了條件轉發，即不同的DNS 區域，可指定不同的轉發器。

利用條件轉發，不僅可改善DNS 查詢，更重要的是有其實際意義。例如兩個公司合并時，可將利用條件轉發，基于對方域名將轉發器配置為指向對方的DNS 服務器。這樣DNS 服務器就能解析對方網絡中的DNS 名稱，并對其他網絡信息建立巨大的緩存。又由于不必查詢 Internet 上的 DNS

服務器，將大大減少DNS 查詢所用的時間。

2、存根（stub ）區域

上面的場景也可用存根區域來解決，在03DNS 中創建對方的存根區域，并指明對方的權威DNS 服務器。注意在存根區域下只有對方域的SOA 、NS 及與NS 相關的A 記錄，不會有對方其它的具體資源的記錄。在有些情況下，與條件轉發的作用還是有所不同的。

2-3-1-13 組策略（Group Policy）

組策略是活動目錄上的最大應用，可以應用于2000/XP/03。組策略使許多重復的管理工作自動化、簡單化，所以說組策略的應用程度是衡量2000/03管理員的重要尺度。

組策略對象（GPO ）也是一種AD 對象，并且可設置權限。在域內創建，可鏈接到站點（Site ）、域（Domain ）、組織單元（OU ），使組策略的設置對一定范圍的計算機/用戶生效。本地（Local ）策略可理解為一個特殊的組策略：在工作組下也可使用，只對本地用戶和該計算機生效。使用gpedit.msc 進行管理，設置后立即生效，不需刷新。

組策略設置的默認優先級是：LSDOU 原則，本地策略優先級最低。可通過阻止繼承（將阻止所有策略繼承）、禁止替代（也就是必須繼承，針對某個具體的GPO 來設置）、組策略篩選器（實質為GPO 權限）改變默認的優先級。

組策略對象（GPO ）包括組策略容器（GPC ）和組策略模板（GPT ）兩部分。GPC 位于AD 用戶和計算機/System/Policies（需要選中查看下的高級功能），僅是GPO 的屬性和版本信息，計算機通過GPC 來查找GPT 。具體的策略設置值存儲在GPT 中，位于DC 的windowssysvolsysvol下，以GUID 為文件夾名。注意安裝AD 系統自帶的兩個GPO ，使用固定的GUID ，分別是： ? ????? 默認域的策略的GUID 為31B2F340-016D-11D2-945F-00C04FB984F9

? ????? 默認域控制器的策略的GUID 為6AC1786C-016F-11D2-945F-00C04FB984F9。

組策略具體的設置內容2000到達600多條，03又新增200條左右。

組策略設置中的安全模板（計算機和用戶）部分，通過注冊表生效，但并不永久改變注冊表。若用戶手動修改注冊表中的組策略設置值，若策略未變，組策略不負責強制改回。

安全策略是組策略的子集（一部分），只不過其MMC 工具被單獨提出來，放到管理工具下了。