Windows Server 2008 R2 Active Directory

Active Directory 域服务（AD DS）

Directory 目录就像电话簿 （数据库一样）记录这每个人的信息

Active Directory适用于在公司、学生机房等统一方便管理的场所

Active Directory是由名称空间组成，就相当于电话簿（林）

在Active Directory域服务中Active Directory就是一个名称空间

Active Directory域服务于DNS紧密联系起来

DNS就相当于人，用人去翻电话簿，再找信息

AD DS域内的资源是以对象形式存在的，例如用户、计算机与打印机都是对象

对象里包含属性来描述对象特征

容器与组织单元是用来存在一类相关对象的

Active Directory域服务是由林（电话簿）、域树、域、子域组成的

林中包含域树和域

域树中包含子域

子域是在继承父域的（域树）

子域中必须包含父域的域名

域信任（Trust）

两个域之间必须创建信任关系才能访问对方域内的资源。

任何一个AD DS域（子域）加入到域树（父域）后，这个域会自动的信任前一个域（父域），同时父域也会自动的信任子域，这个信任关系具备双向传递性

域控制器

Active Directory域服务的目录（电话簿）是存储在域控制器上的，一个域内可以有多个域控制器，他们各自存储着一份（几乎）完全相同的Active Directory数据库。任何一台域控制发生改变时，会自动同步到其他的域控制器上。

域控制器有只读和可写可读两种。

只读控制器能接受别的控制器的内容进行同步，若用户需要修改信息，会把信息发送到可写可读的控制器上，可写可读的控制器在同步到只读控制器。

只读控制器的好处的比如总公司的分部到小公司上时，由于小公司的设别没有总公司的设别先进，安全专家缺乏，应为域控制器是同步的，使用只读控制器可以防止小公司别入侵后整个公司都掌握在黑客的手中。

Active Directory的复制模式有多主机复制和单主机复制

全局编录就是域目录的存储，一个域中必须有一台全局编录的域服务器

Active Directory回收站，当用户不小心被删除时，可以恢复

域的策略组

域策略组有由对象组成的