域和活动目录win2003支持的网络结构1、工作组结构图的网络（对等式网络）网络上没有专门的服务器，没有集中的数据库所有的资源分散在不同的网络上的计算机都由本机的本地用户安全数据库审核。

2、域结构的网络域是管理员定义的一组对象的集合（计算机、用户和组），域是一个安全边界，是由网络上的计算机组成，域中的资源存放在集中数据库内，便于用户的查找和使用，便于管理员的管理。

●域中计算机的角色域控制器在win2000域内，只有win2000 server 才可做域控制器；win2003内只有WEB版不可以做DC；DC内存储了该域的AD数据库，它负责审核域用户的登录、域中资源的管理等；域内可以有多台域控制器，它们的地位是平等的；多台DC之间按照一定的频率相互复制数据库保持同步（即保持地位平等）；NT域内也有多台域控制器，但只能有一台PDC管理域，其余为BDC注：额外域控制器的辅助功能：）容错功能；）相互减轻负担；）提高用户的访问效率。

成员服务器1）具有服务器版本的操作系统；2）属于某个域中；3）没有存储AD数据库的称为成员服务器。

注：服务器级的操作系统:windows NT服务器操作系统win2000server以上版本win2003所有版本其它成员）本身加入某个域中）是非服务器版本的操作系统例如：win2000 pro、win99、winNT workstation 等注：独立服务器1）本身是服务器版本操作系统；2）不属于任何域的计算机。

活动目录地相关概念（一）活动目录是微软目录服务的一种机制，它是用来存储网络上的用户账户、计算机、打印机等资源信息，方便用户的查找和使用。

活动目录指的是用户在使用资源时不需要了解该资源存放在哪台计算机上和哪台计算机上有哪些资源！、名称空间所谓的名称空间，实际是划分好的区域，在该区域可以通过名称查找到与该名称相关的信息。

win2000/2003的AD与DNS紧密地整合在一起，其名称空间采用的是DNS架构，其域名也采用DNS格式，如:,等！、对象及其属性Win2003 的AD数据库将所有资源都当作对象来处理，如用户、计算机、打印机等都是对象，属性是用于描述对象信息提，如用户对象的电话号码，电子邮件等。

、OU|组织单元OU是一种比较特殊的容器，类似于文件夹，用于存放对象和其他OU，还具有“组策略”的功能。

、域域是管理员定义的一组对象的集合（计算机、用户和组），域是一个安全边界，是由网络上的计算机组成，域中的资源存放在集中数据库内，便于用户的查找和使用，便于管理员的管理。

、域树是多个域按照一定的层次排列，构成倒置的树状结构，且共享一个连续的名称空间。

其中最上层的是这棵域树的根域，下一层称为它的子域。

域树内的所有域共享一个AD，此AD内的数据分散地存储在各个域内，且每一个域内只存储该域内的数据。

、信任关系两个域之间必须建立了“信任关系”之后，才可以访问对方的资源。

）单向信任：如果A域的用户可以访问B域的资源，但B域的用户不可以访问A域的资源，称为单向信任；）双向信任：如果A域的用户可以访问B域的资源，B域的用户也可以访问A域的资源，称双向信任；）可传递信任：如果A域信任B域，B域信任C域，则A域也信任C域，则称此信任具有可传递性。

而因传递得到的信任关系称为隐性的信任关系。

注：win2003的域树上，父域和子域之间具备双向的、可传递的信任关系。

实际上，同一棵域树上的任意两个域之间都是双向的信任关系。

这个信任的功能是通过Kerberos安全协议来实现的，因此也被称为Kerberos信任。

、域林由一个域树或多个域树组成，它们各自有着独立的名称空间。

第一个域树的根域就是整个树林的根域，同时其名称也是这个树林的名称。

注：Win2003的域树林中，同一个树林内的域树的根域之间具有双向的、可传递的信任关系。

实际上，同一个域林上的任意两个域之间都是双向的信任关系。

实践：1、创建一个新域的域控制器创建一个新域DC时应注意的几个问题；1）选定要创建域的计算机，管理员身份登录；2）设置静态IP地址；3）设置DNS服务器；4）至少要有一个NTFS分区；5）适当的空间大小，至少300M；6）取一个符合DNS结构的域名。

步骤：1）开始——运行——输入dcpromo，启动AD安装向导；1）在“域控制器类型”窗口中，选择“新域的域控制器”；2）在“创建一个新域”窗口中，选择“新林中的域”；3）在新的域名页面中，输入域的完整合法域名；4）在“NETBIOS”域名窗口中确认Netbios；5）在“数据库和日志文件文件夹”窗口，接受数据库和日志文件夹的默认位置，或者单击“浏览”选择另一个位置；6）在“共享的系统卷”窗口中，接受Sysvol文件夹的位置，或者单击“浏览”选择另外一个位置；7）在“DNS注册诊断”窗口，确认是否一个现有的DNS服务器负责该林，或者如果不存在DNS服务器，选择在这台计算机上安装并配置DNS服务器；9）在“权限”窗口中，选择一个权限选项（取决于将要访问该域控制器的客户端的windows 版本）；9）检查“总结”窗口，如果需要修改某些地方，单击“上一步”重新配置。

如果一切正常，单击“下一步”开始安装。

所有文件复制到硬盘驱动器之中，重新启动计算机。

、创建额外DC、成员服务器、成员、子域、加入域树林的准备工作） PING DC、DNS的IP地址；） PING 域名能通，可以进一步操作；不能通，则按以下步骤操作：C：>net stop netlogonC：>net start netlogonC．释放缓存：C:>ipconfig /flushdns显示缓存：C:>ipconfig /displaydns3、创建额外DC、成员服务器、成员、子域、加入域树林活动目录地相关概念（二）7.架构AD内的对象和属性是定义在架构内的，架构定义了对于某种对象，用那些属性来描述它及这些属性对应的数据类型，取值范围等信息。

一个林内的所有域外树使用相同的架构，且Schema Admins组的用户与应用程序可以在架构内新增对象类或属性。

8．DC与AD复制AD存储在DC内，当一台DC内的AD数据发生变动后，这些变动的数据会被自动复制到其他DC内。

AD数据复制有以下两种模式：多主机复制：在这种模式中可以直接更新任何一台DC内的AD对象，更新后该对象会被复制到其它DC中。

AD的大部分数据都使用多主机复制模式。

单主机复制：在这种模式中，由其中一台DC（称为“操作主机”）负责处理和接收对象的变更，再由它复制到其他所有的主机中。

9、全局编录“全局编录”由DC来实现，该DC不但存储了自身所有对象的详细信息，而且存储了所在域林中其他所有域的所有对象的部分主要信息。

默认情况下为域林的第一台域控制器，也可以另外指定其他DC作为“全局编录”。

10、轻型目录访问协议（LDAP）是一种用来查询和更新AD目录服务通信协议。

Win2003域利用“LDAP命名路径”来表示对象在AD内的位置，以便访问AD内的对象。

LDAP名称路径包含以下内容：1）可分辨名称（DN）：它是对象在AD内的完整路径。

如：CN=bigshi,OU=清网组，OU=南区，DC=2) 相对可分辨名称（RDN）：在DN的完整路径中，用来代表某个对象的部分路径。

如CN=bigshi3）全局惟一标识符（GUID）：是一个128bit的数值，对于任何一个对象，系统在建立时都会指定一个惟一的GUID给这个对象。

对象名称可以改变，但其GUID永远不会改变；4）用户规则名（UPN）：它的格式类似于电子邮件账户。

如：bigshi@.11．站点：是由一个或多个IP子网组成的。

一般若子网之间是通过高速且可靠的链路串接起来，网络之间速度足够快且足够稳定，则可将这些子网放在同一站点。

反之，应将这些子网规划为不同站点。

注：站点和域之间没有必然的联系。

域是网络的逻辑分组，而站点是网络的物理分组。

一个站点可以包含多个域，一个域也可以包含多个站点。

站点和AD复制关系紧密，它通常用于规划AD复制的拓扑：1、站内复制：同一站点内的DC的复制是采用“改变通知”的方式，也即当某台DC的AD内有数据变动时，默认它会在15秒后通知同一站点内的其他DC，后者若需要，则会请求复制。

注： 1）站内复制数据不会被压缩；2）站内复制会自动产生复制拓扑；3）默认情况下同一树林内的所有DC均属同一站点，该站点在安装域林中第一台DC时被自动创建。

2、站间复制：默认情况下不同站点内的DC之间不进行AD复制，但可手工设置。

该复制采用“排定计划”的方式，即在排定的时间内才会进行复制的工作。

注：1）站间复制的数据不被压缩；2）站间复制通过桥头服务器来实现；3）站间复制要事先建立站点链接。

域功能与林功能●域功能级别域功能只会影响到域，会影响到其他的域。

分为以下3种级别：1、Windows 2000混合模式这个级别内的DC可以是win2003、win2000 server与WinNTserver. 默认为混合模式；2、Windows 2000原始模式这个级别内的DC可以是Win2003与Win2000；3、Windows server 2003这个级别内的DC只能是win2003●林功能级别林功能会影响到该林内所有域。

分为3个级别：1、Windows 2000 这个级别内的DC可以是win2003、win2000 serv与WinNT server. 默认为该模式；2、Windows server2003过渡版这个级别内的DC可以是win2003和winNT server，但不可是win2000 server.3、Windows server 2003 这个级别内的DC只能是win2003.AD数据库被逻辑地分为多个目录分区，它们分别是：1、架构目录分区它存储着整个林中所有对象与属性的定义数据，也存储着如何建立这些对象与属性的规则。

整个林共享一份相同的架构分区，它会被复制到整个林中的所有DC；2、配置目录分区其内存储着整个AD的结构，如有哪些域、站点、DC等数据。

整个林共享一份相同的配置分区，它会被复制到整个林中的所有DC中；3、域目录分区每一个域各有一个域目录分区，其中存储着该域内的对象，如用户、组、计算机等对象。

每一个域各自拥有一份域目录分区，它只会被复制到同一个域内的所有DC中，并不会被复制到其他域的DC 中；4、应用程序目录分区一般，该目录分区是由应用程序建立的，其内存储着与此应用程序有关的数据。

如：DNS服务器会在AD中建立应用程序分区。

操作主机AD内的大部分数据都是利用“多主机复制模式”，但也有少部分数据是采用“单主机操作模式”来复制。

此时，就需借助操作主机。

AD内共定义了五个操作主机角色：1. 架构主机2. 域命名主机3. RID主机4. PDC主机5. 基础结构主机注：1）整个林中只有一台“架构主机”与“域命名主机”，默认由林根域内的第一台DC扮演；2）每一个域拥有自己的“RID主机”、“PDC主机”、“基础结构主机”。