Windows Active Directory 域故障排错（一）

第二章 第三节

Windows Active Directory 域故障排错

大庆油田高级人才培训中心 张东辉

 

       本节介绍 Windows 2000/03 AD 域故障的排错。首先我们会介绍活动目录（ Active Directory ）及其相关概念，然后介绍和域 故障排错相关的知识、工具软件的使用，最后以实例的形式讲解针对具体的各种域故障如何进行排错，如何有效地利用组策略来管理AD域、管理网络。

    通过本节的学习，读者可以掌握 活动目录（ Active Directory ）及其相关概念，活动目录的功能、逻辑结构、物理结构；管理 Windows 2000/03 网络的方法，相关工具的使用；提高域故障排错能力，掌握活动目录上的最大应用：组策略。

 

2-3-1 活动目录（Active Directory）及其相关概念

 

       要掌握 Windows 2000/03 AD 域故障排错，首先就得知道什么是域，什么是活动目录，活动目录的工作原理如何。以下内容作为后面域排错的基础理论知识至关重要。

 

2-3-1 -1 为什么要使用活动目录？

 

       为什么要使用活动目录？首先我们来看两个例子：

如果我们要记住 10 个、 20 个电话号码还可以，但更多的就无能为力了。这时我们就会想到把电话号码记录到电话簿上，需要时去查询。

如果我们家中只有 10 本、 20 本的书，我们会比较容易找到我们想要的那一本，但如果我们家中的书像图书馆那么多，这时我们就会想到把书分门别类地放好，并根据书的书名、作者、出版社、类别等属性信息做好索引，以利于查找。

       有效地管理网络，也象管理电话号码、管理图书一样。我们会把网络中众多的对象：计算机、用户、用户组、打印机、共享夹……，分门别类、井然有序地放在活动目录这个大仓库中。使用活动目录对你公司的网络进行管理，才是积极有效的管理方法，而且网络规模越大，越能体现出活动目录在管理网络上的高效性。

 

2-3-1 -2 工作组（Workgroup ）

 

当然如果网络规模很小，也可以使用 Windows 工作组模式来进行管理，但其管理功能极其有限。对于一台 Windows 计算机来讲，它要么隶属于工作组，要么隶属于域。工作组是微软的概念，一般的普遍称谓是对等网。

工作组通常是一个由不多于 10 台计算机组成的逻辑集合，如果要管理更多的计算机，微软推荐你使用域的模式进行集中管理，这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能，使你网络管理的工作量达到最小。当然这里的 10 台只是一个参考值， 11 台甚至 20 台，如果你不想进行集中的管理，那么你仍然可以使用工作组模式。

工作组的特点就是实现简单，不需要域控制器 DC ，每台计算机自己管理自己，适用于距离很近的有限数目的计算机。顺便说明一下，工作组名并没有太多的实际意义，只是在网上邻居的列表中实现一个分组而已；再就是对于“计算机浏览服务”，每一个工作组中，会自动推选出一个主浏览器，负责维护本工作组所有计算机的 NetBIOS 名称列表。用户可以使用默认的工作组名 workgroup ，也可以任意起个名字（不必担心重名），同一工作组或不同工作组间在访问时也没有什么分别，都需要输入目标计算机上的用户名、口令进行验证。

在工作组模式下，用户要访问 10 台计算机上的资源，就需要记住至少 10 个用户名和口令，工作组的这种分散管理性是它和域的集中式管理相比最大的缺点。 AD 域提供了对网络资源的集中控制，用户只需登录一次就可以访问整个活动目录的资源。

 

2-3-1 -3 活动目录（Active Directory ）和域控制器（Domain Controller ）

 

如果网络规模较大，这时我们就会考虑把网络中众多的对象（被称之为 AD 对象 ）：计算机、用户、用户组、打印机、共享夹……分门别类、井然有序地放在一个大仓库中，并做好检索信息，以利于查找、管理和使用这些对象（资源）。这个有层次结构的数据库，就是活动目录数据库，简称 AD 库。

接下来，我们应该把这个数据库放在哪台计算机上呢？是这样的，我们把存放有活动目录数据库的计算机就称之为域控制器（ Domain Controller ），简称 DC 。

 

2-3-1 -4 活动目录架构（Active Directory Schema ）

 

       架构是关于 AD 对象类型属性的定义。一种类型 AD 对象应该有哪些属性是由架构来定义的，比如它定义了用户对象有姓、名、登录名、口令等一系列的属性。如果你想增加一个“性别”属性，这就要修改架构，一般称之为扩展 AD 架构，这要求你必须是林根域上的 Schema Admins 组成员才行。

整个活动目录的林中只有一个架构，因此在活动目录中创建的所有对象都遵从同样的规则。也就是说你对架构的修改将影响到林中的所有域，你没办法实现同一林中的一个域用户对象有“性别”属性，而另一个域没有。

 

2-3-1 -5 目录访问协议（DAP ）和轻量级目录访问协议（LDAP ）

 

AD 对象存储在活动目录中，客户和应用程序就通过访问活动目录，来查找这些存放于活动目录中的对象。用户访问这些 AD 对象，当然要遵照一定的规则和约定，这就是协议。客户访问目录所用的协议被称之为目录访问协议（ DAP ）， DAP 是在 X.500 中定义的一个复杂协议，它的简化版本被称之为轻量级目录访问协议（ LDAP ），被微软的活动目录 AD 所采用。 LDAP 是用于查询和更新活动目录的目录服务协议。

 

2-3-1 -6 目录服务

 

回过头来，我们再来看一下目录服务的定义。目录服务由 X.500 标准定义，目录是指一个组织中关于人和资源信息的结构化、层次化的库。在微软的 Windows 2000/03 网络中，这个目录服务就是指活动目录（ Active Directory ）服务，又比如在 Novell 公司的 NetWare 上使用的目录服务叫 NDS （ Novell 目录服务），目录服务的实质就是一种网络服务。

活动目录（ Active Directory ）作为网络目录服务，提供了用于组织、管理和控制网络资源的结构和功能，使我们有了集中管理 Windows 2000/03 网络的能力，管理员可以在一个地点管理整个网络。当然也可以利用 OU 进行委派控制，把一部分管理工作分派给 OU 管理员。

 

2-3-1 -7 活动目录的逻辑结构

 

       活动目录的逻辑结构具有伸缩性，小：可以只是一台计算机，大：可以应用到大型跨国公司的网络。活动目录的逻辑组件包括：

l         活动目录林（ Active Directory Forest ）

l         活动目录树（ Active Directory Tree ）

l         活动目录域（ Active Directory Domain ）

l         组织单元（ OU ， Organizational Units ）

l         全局目录（ GC ， Global Catalog ）

mcse.com

sub.mcse.com

my.com

接下来，以上图为例，进行相关讨论。这整个是一个林， mcse.com 为林根域，有两个树，一个由 mcse.com 和它的子域 sub.mcse.com 组成，另一个由 my.com 单独组成，林中有 mcse.com ， sub.mcse.com ， my.com 三个域。相关概念如下：

       林根域：在林中建立的第一个域，如： mcse.com

       树：共用连续的命名空间的多层域，如 mcse.com （父域）和 sub.mcse.com （子域）

       树根域：树最高层的域，名最短。如： mcse.com 和 my.com

Windows 2000/03 可采用多层域结构，但最有效、最简便的管理方法仍是单域，所以大家在实际工作中要记住一个原则“能用单域解决，就不用多域”。

 

一、域（Domain ）

域是活动目录中逻辑结构的核心单元。一个域包含许多计算机，它们由管理员设定，共用一个目录数据库，一个域有一个唯一的名字。

域是安全边界，保证域的管理员只能在该域内有必要的管理权限，除非得到其它域的明确授权。每个域都有自己的安全策略和与其它域的安全联系方式。注意： 1 、无法在一个域内实现不同的帐号策略。 2 、父域对子域并没有任何管理特权，但要注意林根域下有企业管理员组 Enterprise Admins ，它默认对林中的其它域是有特权的。

父域和子域间默认就有双向可传递的信任关系，也就是说用户可以使用林中任意一个域内的计算机，登录到林内的任何一个域上（操作上就是使用欲要登录的那个域的用户帐号）；还可以，以自己本域的帐号登录，访问林内任何资源而不需要重新输入口令，当然要想能真正访问某一具体资源，在该资源上必须得有相应权限才行。

 

二、组织单元（OU ，Organizational Units ）

       在域下面，我们可以规划 OU ，放入计算机、用户、用户组等对象。也就是说通过 OU ，我们可以把对象组织起来，并形成一个有层次的逻辑结构。 OU 下面可以再建小 OU ，微软建议嵌套层次不要超过 3 层，我们平常一般 1 到 2 层就够用了。

       在规划 OU 时，要考虑到将来的管理和组策略的应用，一般应把有相同需求的计算机、用户等放在同一 OU 下。可以基于部门、基于管理责任，也可以基于地理位置来规划，使其最佳地适应你的公司的需求。

       在域下面规划 OU ，不是仅仅为得到一个层次结构，我们主要目的是要基于 OU 实现委派控制和将来链接相应的组策略来实现管理控制。委派的权限可以是完全控制，也可以是仅指定有限的权限（如：修改 OU 内的用户口令）给一个或几个用户和组。

 

三、活动目录林（Active Directory Forest ）

       在林中建立的第一个域，被称为林根域，如前面提到的 mcse.com 。在刚开始时候，我们这个林中只有一个树，树内只有一个域，域内只有一台计算机作为域控制器。也就是说此时我们整个林就只有一台计算机。

       接下我们也可以为它添加子域，如 sub.mcse.com. ，再添加了一个新树下的域 my.com 。这样我们的这个林下就有了两个树：一个树由 mcse.com 域、和它的子域 sub.mcse.com 构成，一个树仅由 my.com 域构成。

      

四、活动目录树（Active Directory Tree ）

       活动目录树是 Windows 2000/03 网络中的层次组织，同一树下的域共用连续的名字空间。如父域 mcse.com （它同时也是树根域、林根域），树根域的名字一定是最短的。父域 mcse.com 和子域 sub.mcse.com 之间默认就有一个双向的、可传递的信任关系。也正由于这种信任关系的可传递性，使得 sub.mcse.com 和 my.com 间也有了双向信任关系。

 

五、全局目录（GC ，Global Catalog ）

       全局目录 GC 包含了 AD 对象属性的子集，换句话说就是 GC 中包含了林中所有对象的摘要信息，也就是相对重要一些的属性，如用户对象的姓、名和登录名。全局目录 GC 本身必须首先是域控制器 DC ， GC 不具有唯一性，可以有多个。

       全局目录 GC 使用户能够： 1 、查询整个林中的 AD 信息，无论数据在林中什么位置。以利于林中的跨域访问。 2 、使用通用组，即利用通用组成员身份的信息登录网络。

 

2-3-1 -8 活动目录的物理结构

 

       在活动目录中，物理结构与逻辑结构是相互独立的。域控制器 DC 和站点（ Site ）组成了活动目录的物理结构。

       利用站点，我们可规划域控制器 DC 放置，优化 AD 复制，使用户就近查找 DC 登录。同时，知道物理结构将有助于排除复制和登录过程中出现的问题。

 

一、域控制器（Domain Controllers ）

       Windows 2000/03 域控制器上存储有活动目录的副本，管理目录信息的变化，并把这些变化复制给该域上的其它域控制器。域控制器存储目录数据，管理用户登录、验证和目录搜索。

       一个域至少得有一台域控制器，为了容错就应该有两台，甚至多台。这主要要看网络的规模及分布。

 

二、活动目录复制

       同一域内的 DC 之间要复制域信息，同一林内的 DC 间要复制林信息。活动目录复制确保 AD 信息对整个网络上的所有 DC 和客户机都是可用的。而活动目录的物理结构决定了复制发生的时间和地点。

       AD 复制采用多主控复制模型，也就是说每个 DC 都存储有 AD 的可写副本，彼此间的复制是双向的。这点与 NT4 域的 PDC 到 BDC （目录服务的只读副本）的单主控复制不同。

       在所有的 DC 把它们的变化都同步到活动目录中以前， DC 在短时间内可能有不同的信息。按照默认，这一时间，同一站点内不越过 3x5=15 分钟。

 

三、站点（Site ）

       站点就是一个或几个高速带宽连接的 IP 子网的集合。管理员规划的站点，必须真实反映网络的物理结构和连接情况，把高速连接的部分规划为一个站点。也就是说，站点内一定是高速连接，站点间是低速连接。

管理员利用规划站点，可以为活动目录配置访问和复制拓扑。使用 Windows 2000/03 网络可以使用最有效的链接和时间安排来复制和登录。创建站点，我们可以： 1 、优化 AD 复制，如：让其半夜进行，一天一次。 2 、优化用户登录，如：使用户就近查找本站点内高速连接的 DC 进行登录。

在活动目录中，物理结构与逻辑结构是相互独立的，没有什么必然的联系。一个站点可以有几个域，一个域也可以有几个站点。给站点起名字也是任意的，不必考虑和域名字间的联系。

 

2-3-1 -9 操作主机（或叫主控、FSMO ）

       前面我们介绍了 AD 复制采用多主控复制模型，但在有些特殊情况下，我们需要目录林进行单主控更新以避免冲突的发生。简单地说就是，这时我们就让一台 DC 说了算，来执行相关的 AD 改变，然后由它把变化复制到其它的 DC 上去， 这台 DC 就是操作主机。共有五种操作主机，它们是：

•         架构主控                Schema master                    林内唯一

•         域命名主控             Domain Naming master         林内唯一

•         PDC 仿真器          PDC Emulator master           域内唯一

•         RID 主控                RID master                          域内唯一

•         基础结构主控         Infrastructure master            域内唯一

默认林根域的第一台 DC 就是这五种操作主机，同时还是 GC 。林内其它域的第一台 DC 是该域内的域唯一的那三种操作主机，即 PDC 仿真、 RID 、基础结构。。

操作主机具有唯一性，但我们可以把操作主机移动到其它 DC 上，只要保证原来的不再是操作主机，也就是说保证这种唯一性即可。

任何一台 DC 都可以是一操作主机（注意也只有 DC 才可以是操作主机），一台 DC 可以同时担当多种操作主机角色。

对于操作主机的管理，我们可以查看、传送、查封。传送（ Transfer ）和查封（ Seizing ）的区别在于：传送是在原操作主机联机的情况下进行的，传送后得到了新的操作主机，原来的操作主机就不再是操作主机了，传送保证操作主机的唯一性。查封是在原操作主机有故障或失效，脱机的情况下的强行传输，也就是重新推选一个新的操作主机，会有数据的丢失。查封不保证操作主机唯一性，原操作主机必须格式化后再接入网络。

对操作主机的管理，可以使用图形化界面（管理的位置，将在下面逐个介绍说明），也可以使用 Ntdsutil 命令。下面我们简单介绍一下各种操作主机的作用。

 

一、架构主控（Schema master ）

操作： AD 架构 /AD 架构上右键 / 操作主机

说明：默认情况下，架构的 MMC 管理工具不被安装。需要：

1 、运行 adminpak.msi 安装 AD 管理工具。 Adminpak.msi 可在 03 光盘 I386 目录下找到，或在 03 的 windows\system32 下找到。或者手动，开始 / 运行： regsvr32 schmmgmt.dll

2 、开始 / 运行： MMC ，文件 / 添加删除管理单元 / 添加 /AD 架构

 

关于架构，我们前面介绍过：架构是关于 AD 对象类型属性的定义。架构主控控制对架构的所有原始更新，也就是说对架构的修改、扩展，必须连接到林内唯一的这台架构主机上进行，然后由它复制到到林内所有的 DC 上。

注意：只有架构管理员组（ Schema Admins ）可以对架构进行修改，例如安装 Exchange Server 、 ISA 阵列，就需要扩展架构，你应该以架构管理员身份进行。

 

二、域命名（Domain Naming master ）

操作： AD 域和信任关系 /AD 域和信任关系上右键 / 操作主机

只有域命名主机可以向目录林中添加域或者删除域，保证域的名字在林中唯一。若域命名主机不可用，则无法在目录林中添加或删除域。

为保证域的名字在林中唯一，域命名主机需要查询 GC 。若林功能级别为 Windows 2000 林模式， GC 必须和域命名主机在同一台计算机上才行。若林功能级别为 Windows Server 2003 林模式，不要求 GC 必须和域命名主机非得在同一台计算机上。

 

三、PDC 仿真器（PDC Emulator master ）

操作： AD 用户和计算机 / 域上右键 / 操作主机 /PDC 标签

       PDC 仿真主机在五种操作主机中是最重要的，它的利用率很高。如果 PDC 仿真主机失效，必须尽快解决。它主要负责：

1 、如果 Windows 2000/03 域中还有 NT4 的 BDC ，它充当 NT BDC 的 PDC ，并为早期版本客户机提供服务。顺便说一下， NT4 的域控制器在 2000/03 域中只能是 BDC ，不可能是 PDC 。

2 、管理运行 NT 、 95/98 计算机的密码变化，写入活动目录 AD

3 、最小化密码变化的复制等待时间。若一台 DC 接受到密码变化的请求，它必须通知 PDC 仿真主控。用户登录时，如密码错误，进行验证的 DC 必先送至 PDC 仿真主控。因为普通 DC 不能确认到底是密码错误，还是它没有及时与 PDC 仿真主控同步。

4 、同步全域中的域控制器、成员计算机的时间。加入域的计算机，没有自己的时间。这是因为时间参数，在 AD 复制中是一个极为重要的因素，决定多主控复制时，谁的修改最终生效。所以整个域的时间，都由 PDC 仿真主机来控制。你可以手动修改域成员计算机上的时间，但当 AD 复制过后，又会被改回成 PDC 仿真主机上的时间。如果目录林是多层域结构，最终以林根域上的 PDC 仿真主机的时间为准。

5 、防止重写 GPO 的可能，修改组策略设置，默认也是要连接到 PDC 仿真主控上才行。当然这个默认值是可以修改的，或者找不到 PDC 仿真主控时，系统会提示你连到其它 DC 。

 

四、相关标识符RID 主控（RID master ）

操作： AD 用户和计算机 / 域上右键 / 操作主机 /RID 标签

       在 AD 对象中的用户、组或计算机等对象，我们是可以为其分配权利权限的，被称为安全主体。安全主体与其它非安全主体对象的最主要的区别就在于：安全主体对象有安全标识符（ SID ），可以为其分配权利权限。大家要明确：在活动目录中，所有对象都有 GUID （全局唯一标识符），只有安全主体对象才有 SID 。

当我们在域内创建安全主体（例如用户、组或计算机）对象时，域控制器将域的 SID 与安全主体对象 RID 标识符相结合，以创建唯一的安全标识符 (SID) 。形如：

S- 1-5-21 -1553226038-2352558368-427082893-500

其中 S-1-5 表示 NT Authority （标识符颁发机构）；上例中的 21-1553226038-2352558368- 427082893 为这个域的 SID （每个域不同），在这个位置还可能是 32 （表示本地 / 域内置的本地组，都只能在 DC/ 本机上使用，重复无妨，所以都是 32 ），也可能是本机的 SID （每台机不同）；后面跟的 500 表示 administrator 用户。

为了结合后面的案例，在这里我们把 SID 多作些介绍：

SID	名称	描述
S-1-5- 域 -500	Administrator	管理员帐户
S-1-5- 域 -501	Guest	供来宾访问计算机或访问域的内置帐户
S-1-5- 域 -502	krbtgt	密钥分发中心（ KDC ）   服务使用的服务帐户
其它还有： Domain Admins （ 512 ）， Domain Users （ 513 ）， Domain Guests （ 514 ）。用户帐户、全局组可在林内或有信任关系的其它域使用，所以域间不可重复。
S-1-5- 域 -515	Domain Computers	一个包括加入域的所有客户端和服务器的全局组
S-1-5- 域 -516	Domain Controllers	一个包括域中所有域控制器的全局组。 默认情况下，新的域控制器将添加到该组中。
S-1-5- 根域 -518	Schema Admins	域为混合模式时为全局组，纯模式时为通用组。默认成员林根域的  Administrator 。被授权更改 AD 架构。
S-1-5- 根域 -519	Enterprise  Admins	域为混合模式时为全局组，纯模式时为通用组。 默认成员林根域的  Administrator 。 被授权更改 AD 林结构，例如添加子域，删除域。
S- 1-5-32 -544	Administratrs	域 / 本地管理员组，都只能在 DC/ 本机使用，重复无妨。
其它还有： Users （ 545 ）， Guests （ 546 ）， Power Users （ 547 ）， Account Operators （ 548 ）， Server Operators （ 549 ）， Print Operators （ 550 ）， Backup Operators （ 551 ）， Replicators （ 552 ）， Remote Desktop Users （ 555 ）。都只能在本域内使用，域间重复无妨。
S- 1-1-0	Everyone	包括所有用户（甚至匿名用户和来宾）的组。成员身份由操作系统控制。在 03 中管理员可决定是否包括 Guest 。
S- 1-5-6	Service	一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。
S- 1-5-7	Anonymous	一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。
S- 1-5-18	Local System	操作系统使用的服务帐户。
S- 1-5-19	Local Service	本地服务
S- 1-5-20	Network Service	网络服务

RID 操作主机就是负责向域内的 DC 分配 RID 池，每一个 Windows 2000/03 DC 都会收到用于创建对象的 RID 池（默认为 512 个）。 RID 操作主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。若 DC 分到的 RID 池被用尽，可以向 RID 操作主机自动再次申请。

通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。当对象从一个域移动到另一个域上时， RID 主控将该对象从域中删除。

 

五、基础结构主控（Infrastructure master ）

操作： AD 用户和计算机 / 域上右键 / 操作主机 / 结构 标签

基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时（如域本地组中包括另一域的一个全局组），此引用包含该对象的全局唯一标识符 (GUID) 、安全标识符 (SID) 和可分辨的名称 (DN) 。

如果被引用的对象移动，则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN 。也就是说，基础结构主机负责更新外部对象的索引（组成员资格），显然，单域不需要基础结构主机。

基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机。基础结构主机不应该和 GC 在同一个 DC 上，应手动移走，否则将不起作用。 前面我们提到过，默认林根域的第一台 DC 就是这五种操作主机，同时还是 GC 。也就是说，这时 基础结构主机实际上是失效的，不起作用。但这时只有一个林根域，基础结构主机不起作用也没关系，若以后构建多层域，需要手动将其与 GC 分开。

 

2-3-1 -10 域功能级别和林功能级别

 

域功能 级别	2000	2000 混合模式	DC ：可包含 NT4 的 BDC 。
		2000 本机模式	所有 DC 均为 2000 ，可以使用通用组、多主复制、 SID 历史、通讯组与安全组的转换、组的同名嵌套。
	03	2000 混合域功能级级别	只是 DC 中多了 03 ，即 DC ： NT 、 2000 、 03
		2000 本机域功能级级别	只是 DC 中多了 03 ，即 DC ： 2000 、 03 ，
		03 临时域功能级级别	不常用， DC ： 03 、 NT 。需要专门工具
		03 域功能级级别	所有 DC 均为 03 ，可以重命名域
林功能 级别	2000 林功能级别		默认值，域命名主控必须是 GC
	03 林功能级别		需要所有 DC 均为 03 ，提升林时，会自动提升所有域为 03 域功能级级别。可传递的林信任关系、更灵活的组成员复制（基于操作）、更好的站点间路由选择、对 GC 的修复、架构的重新定义。

 

2-3-1 -11 标识名（DN ）和相对标识名（RDN ）

 

       前面我们提到了客户使用 LDAP 协议来访问活动目录中的对象，那么 LDAP 是如何来标识一个在活动目录中的对象的呢？换句话说， LDAP 是如何在活动目录找到对象 A ，而不会错找成对象 B 的呢？这就要用到一个命名路径，即标识名（ DN ）和相对标识名（ RDN ）。 DN 为活动目录中的对象标识出 LDAP 命名的完整路径； RDN 用来标识容器中的一个对象，即它总是 DN 中的最前面一项。

如：在 Active Directory 用户和计算机中，在 mcse.com 域下有个 OU ： Finance （ 财务），在 Finance 下又有个小 OU ： Sales （销售），在其下有个用户，名叫 Suzan Fine 。则此用户对象的 DN 为： CN=Suzan Fine, OU=Sales, OU=Finance, DC=mcse DC=com 。 RDN 为： CN=Suzan Fine 。

说明：

       1 、其中 DC 表示 DNS 名字的域组件， OU 表示组织单元， CN 表示普通名字， CN 可用于除了前两种以外的所有对象。比如：如果用户帐号不在 OU 中而是在默认容器 Users 中，为表示 Users 容器应使用 CN 。即： CN=Suzan Fine, CN=Users, DC=mcse, DC=com 。

2 、如果在命令中引用 DN ，且 DN 中有空格，如 CN=Suzan Fine 。应使用引号将整个 DN 括起来。如“ CN=Suzan Fine, CN=Users, DC=mcse, DC=com ”。

 

2-3-1 -12 域名服务系统（DNS ）

       Windows 2000/03 的活动目录服务与域名服务系统（ DNS ）紧密结合、集成一起，所以 DNS 故障是导致 AD 故障非常主要的因素之一，有统计数据显示 AD 故障的 60% 来自于 DNS 。

使用活动目录、构建 Windows 2000/03 的域，网络上必须有可用的 DNS 服务器，并且必须支持 SRV 记录（ Service Location Resource Record ）和动态更新功能。如： MS Win2000/03 DNS ， UNIX 的 DNS BIND 8.12 及以上版本，使用已有的 NT4 DNS 是不行的。

       构建 NT4 域并不需要 DNS 的支持，但 2000/03 域必须有 DNS ，且满足上述要求。

SRV 记录的作用是指明域和站点（ site ）的 DC 、 PDC 仿真、 GC 是谁。动态更新也是 2000/03DNS 的新特色，管理员不必再象 NT4 DNS 那样手动为计算机创建或修改相应记录，在域成员计算机重启，或改名、改 IP 时依赖周期性更新，自动动态注册或更新相应 DNS 记录。

如果没有 DNS 服务器的话，也不一定非得预装 DNS ，可以在安装 AD 过程中，选择在本机上安装 2000 DNS 。而且推荐初学者使用这种方法，因为系统会根据你提供的 FQDN 域名，自动创建好 DNS 区域（ zone ），并配置成 AD 集成区域，仅安全动态更新。如果需要向外连或反向解析，用户只需配置上转发器和反向区域即可，不需要的话，直接就可以用了。

       如果决定在安装 AD 过程中在本机安装 DNS ，应在安装前，将本机 TCP/IP 配置 /DNS 服务器 指向自己，这样在安装 AD 完成后重启时， SRV 记录将被自动注册到 DNS 服务器的区域当中去的，生成四个以下划线开头的文件夹，如 _msdcs ， 03DNS 在这里夹的层次结构有所变化，但本质没变。当然如果忘了指，也可以后补上，只不过需要多重启一次。

       03DNS 新特色：

1 、条件转发。

转发器的作用是，如果本机无法解析 DNS 客户所发的查询请求，转发给转发器所指定的 DNS 服务器。在 03DNS 中新增了条件转发，即不同的 DNS 区域，可指定不同的转发器。

利用条件转发，不仅可改善 DNS 查询，更重要的是有其实际意义。 例如两个公司合并时，可将利用条件转发，基于对方域名将转发器配置为指向对方的 DNS 服务器。这样 DNS 服务器就能解析对方网络中的 DNS 名称，并对其他网络信息建立巨大的缓存。又由于不必查询 Internet 上的 DNS 服务器，将大大减少 DNS 查询所用的时间。

2 、存根（ stub ）区域

       上面的场景也可用存根区域来解决，在 03DNS 中创建对方的存根区域，并指明对方的权威 DNS 服务器。注意在存根区域下只有对方域的 SOA 、 NS 及与 NS 相关的 A 记录，不会有对方其它的具体资源的记录。在有些情况下，与条件转发的作用还是有所不同的。

 

2-3-1 -13 组策略（Group Policy ）

组策略是活动目录上的最大应用，可以应用于 2000/XP/03 。组策略使许多重复的管理工作自动化、简单化，所以说组策略的应用程度是衡量 2000/03 管理员的重要尺度。

组策略对象（ GPO ）也是一种 AD 对象，并且可设置权限。在域内创建，可链接到站点（ Site ）、域（ Domain ）、组织单元（ OU ），使组策略的设置对一定范围的计算机 / 用户生效。本地（ Local ）策略可理解为一个特殊的组策略：在工作组下也可使用，只对本地用户和该计算机生效。使用 gpedit.msc 进行管理，设置后立即生效，不需刷新。

组策略设置的默认优先级是： LSDOU 原则，本地策略优先级最低。可通过阻止继承（将阻止所有策略继承）、禁止替代（也就是必须继承，针对某个具体的 GPO 来设置）、组策略筛选器（实质为 GPO 权限）改变默认的优先级。

组策略对象（ GPO ）包括组策略容器（ GPC ）和组策略模板（ GPT ）两部分。 GPC 位于 AD 用户和计算机 /System/Policies （需要选中查看下的高级功能），仅是 GPO 的属性和版本信息，计算机通过 GPC 来查找 GPT 。具体的策略设置值存储在 GPT 中，位于 DC 的 windows\sysvol\sysvol 下，以 GUID 为文件夹名。注意安装 AD 系统自带的两个 GPO ，使用固定的 GUID ，分别是：

¨       默认域的策略的 GUID 为 31B 2F 340-016D-11D2 -945F -00C 04FB 984F 9

¨       默认域控制器的策略的 GUID 为 6AC 1786C -016F -11D2 -945F -00C 04FB 984F 9 。

 

组策略具体的设置内容 2000 到达 600 多条， 03 又新增 200 条左右。

       组策略设置中的安全模板（计算机和用户）部分，通过注册表生效，但并不永久改变注册表。若用户手动修改注册表中的组策略设置值，若策略未变，组策略不负责强制改回。

       安全策略是组策略的子集（一部分），只不过其 MMC 工具被单独提出来，放到管理工具下了。