活動目錄在企業(yè)中的應(yīng)用

它在用戶權(quán)限管理，桌面 配置管理，安全設(shè)置管理，拓?fù)浣Y(jié)構(gòu)以及冗余備份機(jī)制上的應(yīng)用是否真正的解決了你在企業(yè)IT運(yùn)維和管理中遇到的實(shí)際問題。

 

本期特邀微軟最有價值專家（MVP）——董君先生，擅長活動目錄以及Exchange產(chǎn)品，作為講師曾主講過涉及活動目錄、Windows Server 2008、以及Exchange等課程的公開培訓(xùn)、企業(yè)培訓(xùn)以及微軟官方動手實(shí)驗(yàn)營活動，并在TechED2009大會上對Exchange2010進(jìn)行講解。相信能為學(xué)習(xí)活動目錄的用戶在學(xué)習(xí)過程中遇到的實(shí)際問題，給予解答。歡迎午飯積極提問，與專家一起討論!

 

專家博客地址：http://dong8745.blog.51cto.com/

 

專家家園地址：http://home.51cto.com/index.php?s=/space/43588

 

本期門診鏈接：http://doctor.51cto.com/develop-186.html

 

精選本期網(wǎng)友提問與專家解答，以供網(wǎng)友學(xué)習(xí)參考。

 

Q：AD中用戶基于漫游，要注意那些方面? 在基于漫游的基礎(chǔ)上的用戶，如果要進(jìn)行更改登陸名稱，要注意那些方面?

A：你好，在AD中用戶漫游配置文件是個很有用的功能，通過它可以實(shí)現(xiàn)用戶在域內(nèi)不同計算機(jī)登陸加載相同配置配置文件的功能，提供了桌面環(huán)境的一致性，下面是幾個注意點(diǎn)：

 

1.漫游配置文件是把配置文件保存在網(wǎng)絡(luò)的共享空間中，因此對此共享空間用戶需要有適當(dāng)?shù)脑L問權(quán)限，即應(yīng)該有更改的權(quán)限

 

2.用戶每次登陸和注銷時會從網(wǎng)絡(luò)上加載和上傳自己的配置文件，并且隨著使用會占用一部分空間因此建議在部署前針對用戶數(shù)量和使用保留出適當(dāng)?shù)拇疟P空間

 

3.為了保證配置文件的一致性，應(yīng)該確保網(wǎng)絡(luò)暢通，也就是每次注銷時都可以將保存復(fù)制到漫游配置文件中，所以建議對共享服務(wù)器的網(wǎng)絡(luò)配置冗余

 

4.在設(shè)置時可以使用環(huán)境變量%username%

 

5.可以配合使用文件夾重定向，將部分?jǐn)?shù)據(jù)量大的文件夾如“我的文檔”重定向到網(wǎng)絡(luò)服務(wù)器

 

6.你好，問題2中的用戶名稱我理解的是用戶的顯示名不知是否有誤，更改此名稱不會有影響

 

Q：董老師：

 

1。可以通過活動目錄自動添加打印機(jī)嗎？要怎么添加？

 

2。在使用軟件限制策略的時候，如果通過路徑規(guī)則進(jìn)行限制則用戶修改文件名限制就會不起作用，而通過散列規(guī)則又需要對每個版本的軟件都進(jìn)行限制。有什么好的方法嗎？

 

3。現(xiàn)在有許多網(wǎng)管產(chǎn)品也都擁有網(wǎng)絡(luò)管理的功能，比如IPGuard等，而且使用起來更加方便，您覺得活動目錄的優(yōu)點(diǎn)在哪里？

 

A：.默認(rèn)情況我已將打印設(shè)備在AD中發(fā)布，然后域用戶根據(jù)設(shè)備描述信息搜索使用；如果需要自動添加打印機(jī)必須借助組策略腳本進(jìn)行推發(fā)，可測試后使用。（可根據(jù)不同OU的地理位置添加位置最近的打印機(jī)）

2.Windows Server 2008 R2的組策略中提供了APPLocker（應(yīng)用程序限制策略）功能，可以實(shí)現(xiàn)基于軟件執(zhí)行的細(xì)化規(guī)則并且提供現(xiàn)有軟件版本的向上以及向下版本的限制，限制是客戶端需要配合WIN7使用

 

3.你好，對這個軟件不了解，不能為你提供橫向的比較。在2008及以后版本中，AD已不再特指活動目錄域服務(wù)，而是由5大部分組成：ADDS、ADRMS、ADCS、ADLCS、ADFS，。其實(shí)我們不應(yīng)該將AD作為一個網(wǎng)絡(luò)管理軟件去理解。

 

信息共享。首先AD可以將你組織內(nèi)的信息整合起來并共享，如員工的電話、部門、直屬關(guān)系等，這個優(yōu)勢在整合其他應(yīng)用如MOSS、OCS后會更加明顯

 

權(quán)限集中管理。將分散在每個客戶端的權(quán)限整合活動目錄域控制器上，在客戶端上對于每個用戶做到嚴(yán)格的權(quán)限限制，在共享資源上對每個用戶劃分不同的訪問權(quán)限等。

 

設(shè)置集中管理。按組織信息進(jìn)行層次化的管理，通過域策略可以統(tǒng)一企業(yè)整體或者單個部門客戶端設(shè)置，如統(tǒng)一IE設(shè)置，統(tǒng)一桌面環(huán)境等。大多數(shù)組策略條目實(shí)質(zhì)上是修改客戶端的注冊表文件，因此可以很輕松的實(shí)現(xiàn)上述管理設(shè)置，并且在每一個新SERVER發(fā)布后都會對域策略進(jìn)行擴(kuò)展增加更多的功能，如2008中的 QOS、USB設(shè)備限制R2中的APPLocker等。并且通過Powershell和腳本可以實(shí)現(xiàn)更多的擴(kuò)展。

 

其實(shí)AD只是微軟服務(wù)領(lǐng)域的一個應(yīng)用，只是處于核心基礎(chǔ)架構(gòu)的地位。結(jié)合Server系統(tǒng)自身的服務(wù)，如WSUS實(shí)現(xiàn)補(bǔ)丁自動分發(fā)，WDS實(shí)現(xiàn)操作系統(tǒng)網(wǎng)絡(luò)部署等。并且結(jié)合微軟其他產(chǎn)品，如虛擬化架構(gòu)、Exchange、OCS、MOSS、ISA等選擇更成熟的解決方案，解決更多的應(yīng)用問題。所以如果將微軟產(chǎn)品比作許多同心圓的話，AD是最中間的圓心，外部還會嵌套很多層每一層都能解決更多的問題。

 

Q：董老師，我向你問個故障現(xiàn)象。今天早晨我司有臺電腦系統(tǒng)壞了，用戶名為A。我給他重裝系統(tǒng)后，用戶名改為B。當(dāng)我刪除A賬戶時B賬戶也沒有了請問是怎么回事？

 

A：你好，我的理解是現(xiàn)有域環(huán)境中一臺客戶端A系統(tǒng)當(dāng)?shù)袅酥苯又匮b系統(tǒng)沒有進(jìn)行退域，所以AD中還殘留計算機(jī)賬戶。而后，在原計算機(jī)上重裝系統(tǒng)更改計算機(jī)名為B后加域，最后在ADUC中刪除A賬戶同時B賬戶也刪除掉了。不知是否有誤。

 

默認(rèn)情況下是不會出現(xiàn)此問題的，建議在企業(yè)環(huán)境中操作系統(tǒng)使用完全安裝方式部署，如果必須使用克隆版請用NEWSID重置。

 

Q：請問董老師在一個全新的環(huán)境安裝活動目錄需要注意什么？如何能夠快速的創(chuàng)建較多的賬戶？

 

A：部署AD是一個系統(tǒng)化的工程，不同的環(huán)境規(guī)劃的流程也會不盡相同，下面只是簡單的介紹一下：

 

1.規(guī)劃部署架構(gòu)。邏輯拓?fù)渖鲜遣渴饐为?dú)的林根域、多域樹還是父子域。物理拓?fù)渖鲜菃握军c(diǎn)還是多站點(diǎn)。是否有分支，分支的規(guī)模，部署DC還是RODC等。

 

2.規(guī)劃網(wǎng)絡(luò)環(huán)境。如名稱空間、保留的IP、主機(jī)信息等，如果有防火墻需要確認(rèn)AD所需的端口已打開。如53 88 389 445等。

 

3.規(guī)劃DC。根據(jù)用戶的數(shù)量選擇域控制器硬件，建議DC最少2臺以提供冗余和負(fù)載，在人員較少的分支可以部署RODC。選擇AD的功能級別，如果沒有特殊需求建議使用較低的級別，如使用Windows Server 2008中顆?；艽a策略需要將功能級別進(jìn)行提升。

 

4.了解環(huán)境組織信息以及客戶需求，便于后面ADUC中創(chuàng)建組織架構(gòu)和設(shè)置策略

 

5.做好備份策略并定期執(zhí)行健康檢查。

 

6.成批創(chuàng)建用戶，系統(tǒng)提供了2個命令：CSVDE和LDIFDE，通過編寫規(guī)定格式的文件實(shí)現(xiàn)用戶的成批導(dǎo)入。當(dāng)然也可以使用一些工具或者自己編腳本文件,關(guān)于腳本文件我曾寫過一篇博文，鏈接如下：http://dong8745.blog.51cto.com/43588/126487

 

Q：您好，董老師！希望您可以分享如何更好地保障AD安全性的一些工作經(jīng)驗(yàn)，謝謝！

 

A：1.物理安全。有些地方?jīng)]有機(jī)房DC之類的設(shè)備甚至放在辦公間里，所有人都可以接觸到也談不上安全。所以擁有專門的機(jī)房，并對機(jī)房進(jìn)出進(jìn)行嚴(yán)格控制是必須的。

 

2.DC拓?fù)洹１热缫?guī)模比較大擁有自己IT團(tuán)隊的分支機(jī)構(gòu)可以部署附加域控制器然后委派一些日常權(quán)限，規(guī)模比較小IT能力有限的分支機(jī)構(gòu)可以部署只讀域控制器。處于冗余和負(fù)載目的應(yīng)該至少部署一臺主域控制器和一臺附加域控制器。

 

3.權(quán)限控制。AD中的集中管理的權(quán)限可以作用到企業(yè)全局，不必要的權(quán)限會造成更加嚴(yán)重的威脅。比如在給用戶不必要的權(quán)限如Domain Admins組權(quán)限或者本地Adsministrators組的權(quán)限后其實(shí)也就談不上什么管理和限制了。建議普通用戶隸屬于Domain Users組，對初始Administrator賬戶進(jìn)行更名并對每個管理員創(chuàng)建唯一的賬戶便于后期配置審核。

 

4.DC服務(wù)器上盡量不要安裝其他軟件。有些軟件會造成DC服務(wù)器癱瘓并且不利于后期故障排除。

 

5.選擇服務(wù)器版殺毒軟件，有的軟件殺毒能力很強(qiáng)但是可能會把系統(tǒng)一起干掉，這個用在DC上就不合適了。

 

6.做好備份。備份是AD安全的最后一道防線，所以日常對DC執(zhí)行備份計劃是必須的，并保證在其他服務(wù)器或異地保留一份備份副本，在墓碑期的對象可以通過adrestore工具恢復(fù)，超出墓碑期的用戶可以通過備份執(zhí)行授權(quán)和非授權(quán)還原恢復(fù)。

 

7.還有很多，安其實(shí)全本身就有一個宏命題涉及到IT的各個方面，這里也只是介紹了一些基本的原則。

 

Q：董老師： 你好，我看過一些關(guān)于AD方面的東西，，不過感覺很難理解，，您可以用比較通俗易懂的語言稍微解釋一下AD么？它都有哪些有點(diǎn)？

 

A：目錄服務(wù)的產(chǎn)品其實(shí)有很多,AD特指微軟開發(fā)的目錄產(chǎn)品-活動目錄。其實(shí)說到AD我們可以將它理解成為一個“電話黃頁”，這個企業(yè)內(nèi)的”電話黃頁”集中保存了企業(yè)內(nèi)部的的IT信息，如用戶、計算機(jī)、組、電話號碼、部門等等信息。所謂的林和域就是這個“電話黃頁'包含信息的范圍以及所能查詢到的范圍，基于這些組織起來的信息IT管理員可以完成訪問權(quán)限的設(shè)置和桌面環(huán)境管理的工作。優(yōu)點(diǎn)可參考2樓回復(fù)。#p#

 

Q：董老師： 我用Windows 2003搭建的AD域，然后使用組策略將我的文檔指定到共享出來的驅(qū)動器上面，但為什么我在服務(wù)器上無法查看User的我的文檔的內(nèi)容，顯示存取受限，而我是用administrator操作服務(wù)器的。請問是哪地方的設(shè)置不對? 因?yàn)檫@樣的話我就沒辦法在服務(wù)器端為User做文件備份。 謝謝！

 

A：你好，出于安全考慮使用重定向后的“我的文檔”只有文檔的所有者即域用戶擁有權(quán)限并默認(rèn)成為創(chuàng)建文檔所有者，管理員需要查看內(nèi)容必須授予所有者和適合當(dāng)?shù)脑L問權(quán)限。使用備份整個服務(wù)器的方式可以備份這部分文檔。

 

Q：請問

 

1.活動目錄在企業(yè)中主要應(yīng)用在哪里？什么地方的應(yīng)用最多？比如說gpo？ou？還是？能舉例說明嗎？

 

2.企業(yè)中部署AD域，在部署之前規(guī)劃原則大概是怎樣的？能大概談下嗎？如何有效的正確的最簡單化部署AD域環(huán)境？

 

3.您認(rèn)為AD域中通過ou實(shí)施實(shí)施組策略管理比好有效一些還是通過組管理更有效一些？為什么？能舉例說明嗎？

 

謝謝老師的回答~~~期待詳細(xì)的答案~~~

 

A：

 

1.請參見2樓回復(fù)。

 

2.請參見4樓回復(fù)。

 

3.你好，在AD中組織單元(OU)和組是2個不同的對象，用來完成不同的管理任務(wù)，因此不存在誰哪個更有效的問題。OU一般根據(jù)你的組織架構(gòu)創(chuàng)建并且是鏈接組策略對象（GPO）的最小單位（默認(rèn)執(zhí)行的優(yōu)先級最高）便于IT管理員維護(hù)客戶端桌面設(shè)置；而組一般時一組相似用戶的集合，用來控制訪問權(quán)限和登錄訪問等。更多關(guān)于AD的知識可以參考9樓的回復(fù)。

 

Q：你好，董老師。剛好這幾天我正在AD呢，是在虛擬機(jī)上弄的。弄了好幾次，都是發(fā)現(xiàn)自己真的是不懂呢，盡管也在網(wǎng)上剛看了很多這方面的文章，自己也發(fā)現(xiàn)我對 server 2003 不是很了解?，F(xiàn)在我想把server 2003最基本的功能弄熟悉了，然后在攻讀AD和Exchange。

 

A： 你好，可以說活動目錄是微軟服務(wù)器領(lǐng)域最核心的平臺，首先掌握好AD也是學(xué)習(xí)微軟產(chǎn)品的最佳入門途徑。就Exchange來說，它的安裝依賴于AD，并且它的架構(gòu)信息、配置信息以及聯(lián)系人信息也都保存在活動目錄數(shù)據(jù)庫中。

 

關(guān)于學(xué)習(xí)AD如果條件允許還是建議參加培訓(xùn)機(jī)構(gòu)課程系統(tǒng)學(xué)習(xí)。如自學(xué)后后面深入學(xué)習(xí)下面這些資料推薦你看一下：

 

1.戴有煒編著的《Windows Server 2003 ActiveDirectory 配置指南》《Windows Server 2003網(wǎng)絡(luò)專業(yè)指南》《Windows Server2003用戶管理指南》三本書，最新的應(yīng)該是2008版本，很系統(tǒng)的入門教材

 

2.3本進(jìn)階讀物 《Windows Server 2008 Unleashed》《 Windows Server 2008 R2 Unleashed》《Windows Server 2008 Active Directory Resource Kit》

 

3.1本大部頭《WindowsInternals4thEdition》最新是第五版，第四版目前有翻譯成中文的版本

 

4.視頻資源 Technet Webcast，可以搜索一下早期的視頻資源：http://technet.microsoft.com/zh-cn/dd547417.aspx

 

5.岳老師的博客，里面有很系統(tǒng)很深入淺出的系列文章： http://yuelei.blog.51cto.com/

 

Q：你好，如下問題不解，幫解決下，謝謝！

 

1、DNS服務(wù)器日志信息：“DNS 服務(wù)器遇到很多運(yùn)行時間事件。要確定這些運(yùn)行時間事件的初始原因，請檢查此事件之前的 DNS 服務(wù)器事件日志 項。為防止DNS 服務(wù)器添加事件日志過快，將取消事件 ID 高于3000 的后續(xù) 事件，除非事件不再高速產(chǎn)生。”并且過一段時間會生產(chǎn)這樣一個日志。上一個和下一個有很多這樣的日志：“DNS 服務(wù)器在來自 （ISP供應(yīng)商DNS）的包內(nèi)遇到無效域名。 包將被拒絕。 事件數(shù)據(jù)包含此 DNS 包。”

 

2、限制用戶安裝軟件：目前公司已部署AD集成ISA，現(xiàn)在想限制某些用戶不能安裝與工作無關(guān)的軟件，請問如何通過組策略實(shí)現(xiàn)？說明：客戶端都是加入本地域管理員組，不然客戶端無權(quán)限打開ERP客戶端軟件。

 

3、在DC上能否查看組策略是否被應(yīng)用到客戶端？也就是說想查看部署的組策略哪些用戶被應(yīng)用了？哪些沒有應(yīng)用？另外：能否查看客戶端是否登錄到域中？有些員工經(jīng)常登錄到本機(jī)，這樣不好限制、管理，有什么好的辦法解決。

 

4、致謝！

 

A：1.你好 本次門診主要討論的是應(yīng)用，具體排錯的問題請將現(xiàn)有網(wǎng)絡(luò)狀態(tài)，系統(tǒng)環(huán)境，具體日志信息，發(fā)生錯誤時間以及在那段時間進(jìn)行的操作和更改情況發(fā)至郵箱：dong8745@hotmail.com, 我可以給你提供一些建議

 

2.2008中提供了APPlocker功能可以和軟件限制策略結(jié)合使用， 當(dāng)然域中限制用戶安裝軟件最簡介的方法是指給予普通域用戶domain users權(quán)限，對于某些Domain users用戶不能運(yùn)行的軟件，可以在域策略的如下位置計算機(jī)配置—策略—Windows 設(shè)置—安全設(shè)置—文件系統(tǒng)/注冊表賦予domain users權(quán)限。

 

3.在DC上面可以使用組策略結(jié)果工具查看組策略設(shè)置，默認(rèn)情況下策略應(yīng)該是都被應(yīng)用的，如果策略設(shè)置應(yīng)用失敗可以確定是單一問題還是普遍問題，排錯可以從網(wǎng)絡(luò)鏈接質(zhì)量、本地緩存登陸、DC復(fù)制不一致入手。限制員工本地登陸域基于AD本身功能可以使用受限制的組功能，推送腳本更改本地管理員密碼以及可以使用IPsec域隔離等技術(shù)。

 

Q：董老師您好：

 

請教你幾個問題

 

1、在主域控中刪除了輔助域控的計算機(jī)名，還有什麼影響？有什麼辦法恢復(fù)（不使用備份還原），使用通出域再進(jìn)入域之類的可以恢復(fù)嗎？

 

2、在AD日志中出現(xiàn)1030（Windows無法查詢?nèi)航M原則物件的清單......）、1058(Windows無法存取GPO CN={8CF56A24-BA04-4F64-B890-24ACFE52E75A....的群組原則範(fàn)本檔案。檔案必須存在位置.....群組原則處 理已中止})錯誤怎麼解決？

 

3、在EXCHANGE2007日誌中有8207（以虛擬機(jī)器ABC上的空間/慷資訊更新公用資料夾時發(fā)生錯誤。錯誤碼為0X80004005）

 

4' 發(fā)郵件給外網(wǎng)使用OUTLOOK2007的同事，如果包含了已刪除了的賬號時，外網(wǎng)同事收到就變成亂碼，但是使用OE不會亂碼，有什麼好的辦法解決嗎？

 

以上問題比較多，煩請專家一一解答，謝謝！

 

A：1.可以使用備份來恢復(fù)活動目錄中的對象，如果在墓碑期內(nèi)可以使用adrestore恢復(fù)，如果是輔助域控建議盡快解決。

 

2.3.4.你好 本次門診主要討論的是應(yīng)用，具體排錯的問題請將現(xiàn)有網(wǎng)絡(luò)狀態(tài)，系統(tǒng)環(huán)境，具體日志信息，發(fā)生錯誤時間以及在那段時間進(jìn)行的操作和更改情況發(fā)至郵箱：dong8745@hotmail.com, 我可以給你提供一些建議

 

Q：您好，我想請教下。我們公司因?yàn)槔]件的，目前想上EXCHANGE2010。垃圾郵件很頭疼，最近在看關(guān)于EXCHANGE 的書籍，書上說了分5個服務(wù)器角色，其中邊緣傳輸這個角色。我不是很清楚，它的邏輯結(jié)構(gòu)是存在與內(nèi)部網(wǎng)絡(luò)之外，那么我應(yīng)該把他放在我們物理結(jié)構(gòu)的那個位置上。

 

我們的結(jié)構(gòu)是路由器（用服務(wù)器做的）----核心交換---交換下面分別是服務(wù)器跟PC

 

A：你好，邊緣傳輸服務(wù)器一般放在DMZ區(qū)域，外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，用來隔離企業(yè)對外提供服務(wù)的服務(wù)器。如果只有1道墻，應(yīng)該放在防火墻內(nèi)。#p#

 

Q：老師你好,2008R2中AD有哪些新功能?是否可以直接從2000的域中升級?

 

A：你好2008不支持從2000的直接升級，可以先將環(huán)境升級至2003并卸載環(huán)境中的2000域控制器后再升級至2008。

 

Q：你好！董老師：

 

我工作1年了，在研發(fā)公司做了一年的公司網(wǎng)管，感覺自己就是個民工，待遇就別提了。

 

說正題，我現(xiàn)在想從事一個行業(yè)，都不知道走那個行業(yè)，每個行業(yè)的人才都很多，我在網(wǎng)絡(luò)行業(yè)里邊自認(rèn)為基礎(chǔ)不錯，從交換路由，再到搭建服務(wù)器，linux、 windows都能搞定，部署防毒系統(tǒng)等。都不錯，感覺現(xiàn)在真不知道走那條道，處于迷茫中。現(xiàn)在很想走一個門道，不想走這么寬的路了，以前對郵件系統(tǒng)比較感興趣，但是現(xiàn)在招聘不怎么多，我選擇行業(yè)時候總喜歡看看招聘形式，不知道我這些是不是可以采取，不然工作幾年后還是個網(wǎng)管，那我真是有點(diǎn)不甘心！很想走一條路走下去，就是不知道把腳放到那條路上。麻煩前輩指點(diǎn)下，我計算機(jī)英語還不錯！

 

A： 我入行時也是在一家集成類公司，在“面”這個方向上做了幾年時間，在以后深入“點(diǎn)”的時候受益良多。其實(shí)在深入“點(diǎn)”的同時也應(yīng)該繼續(xù)擴(kuò)大自己的“面”，不要讓自己局限在某個點(diǎn)上。“面"的范圍應(yīng)該很寬泛比如你說的英語，其他如溝通能力、演講能力都應(yīng)該算在面上，這樣你后面的路才會更寬。

 

Q：AD在實(shí)際應(yīng)用中如何容災(zāi) 謝謝

 

A：主要包含如下幾個內(nèi)容：

 

1.服務(wù)冗余。部署至少2臺域控制器，有條件異地應(yīng)該至少保留一臺

 

2.數(shù)據(jù)備份。使用系統(tǒng)自帶或者第三方工具執(zhí)行備份計劃

 

3.健康狀態(tài)。運(yùn)行DCDIAG定期執(zhí)行健康檢查。使用BPA工具進(jìn)行系統(tǒng)健康檢查，2003系統(tǒng)需要單獨(dú)下載，2008系統(tǒng)已集成

 

Q：能否共享寫windwos 服務(wù)器安全加固的一寫項目案例，如exchange 的，微軟的安全加固向?qū)贿m用了

 

A：你好，微軟提供的BPA工具都是成百上千條最佳實(shí)踐建議的集合，在實(shí)際環(huán)境中效果還是不錯的。某些時候不適用是因?yàn)槊總€環(huán)境中的情況不一致，而泛用性的東西針對性不強(qiáng)。針對性強(qiáng)的方案一般是咨詢公司根據(jù)你的環(huán)境情況給出，我見過一些都屬于企業(yè)高度機(jī)密的資料。

 

Q：怎么把2000域升級到2003域，并且把用戶和密碼都導(dǎo)入到新的2003域控中？怎么遷移呀

 

A：你好，首先為2003域控制器（DC）準(zhǔn)備域和林德架構(gòu)，然后將一臺2003的DC加入域中并將原2000DC上駐留的5大操作主機(jī)角色遷移至 2003DC，最后在2000DC上重新執(zhí)行DCPROMO進(jìn)行降級。原域中的用戶和密碼不需要手動遷移，通過DC間的復(fù)制會拷貝到2003DC的數(shù)據(jù)庫中。

 

Q：你好: 有一個基于漫游安全的問題,請教一下.環(huán)境是2008的AD,客戶端是:XP SP2 ,WIN7等.在基于漫游的前提,怎么控制一臺機(jī)器的硬盤相關(guān)的數(shù)據(jù)只能被本機(jī)管理員與域中某一個用戶讀寫操作,其它漫游的用戶登陸后實(shí)現(xiàn)無法讀取.除了用NTFS格式,手動添加控制相關(guān)的用戶的權(quán)限外,有沒有什么策略,從而不需要一臺一臺的機(jī)器手動添加相關(guān)的權(quán)限,謝謝解答

 

A：你好，默認(rèn)配置后的漫游文件夾只有所有者（即漫游的用戶）擁有完全控制權(quán)限，管理員也沒有權(quán)限，賦權(quán)需要手動添加。你的應(yīng)用可以考慮使用FTP或者M(jìn)OSS文檔庫功能，這樣實(shí)現(xiàn)起來更好些。

 

Q：董老師，我現(xiàn)在有兩個域，一個是2003的一個是2008的，現(xiàn)在要把兩個域合并成為一個域，那域功能你級別該怎么辦是2003還是2008呢！對客戶端XP有影響嗎？

 

A：你好，功能級別可以使用較低的級別（舉例來說，在你將功能級別升級至2008以前，域中所有2003的DC必須進(jìn)行降級，而升級至2008功能級別以后新 2003DC也不能再加入到域中）。但是如果需要某些特殊功能如顆?；艽a策略那你需要將功能級別提升至2008，如DirectAccess、 BranchCache需要將功能級別提升至2008 R2.

 

提升功能級別本身對客戶端不會有影響，但是策略中的某些設(shè)置XP客戶端會無法應(yīng)用，如DirectAccess、BranchCache等。其實(shí)我們在推 送策略時大多數(shù)是修改域成員計算機(jī)的配置文件和注冊表鍵值，如果客戶端系統(tǒng)較舊沒有這部分功能和設(shè)置項自然也就沒辦法應(yīng)用了。#p#

 

Q：怎樣實(shí)現(xiàn)主域控制器掛掉，額外域控制器接管任務(wù)！額外域接管5個角色才能替代主域！采用的是windows2008 系統(tǒng)

 

A：你好,其實(shí)在2008中AD已經(jīng)是一個多主復(fù)制的架構(gòu)，不再有NT中BDC和PDC的概念，主域控和附加域控實(shí)際上并沒有主從的分別，所不同的只是是否駐留操作主機(jī)角色。因此在一臺域控癱瘓后并不會立即造成ADDS的癱瘓，用戶登錄和驗(yàn)證的任務(wù)此時已由額外域控器接管，后續(xù)管理員只需盡快將5大角色搶奪到現(xiàn)有 DC并將原DC信息在AD中清除即可。

 

5大角色駐留關(guān)系如下：

 

林級別唯一的如下：

 

域命名:從林中添加或移除域

 

架構(gòu):更改架構(gòu)

 

域級別唯一的如下：

 

RID: 為DC提供RID池以及SID

 

基礎(chǔ)結(jié)構(gòu): 跟蹤域中組成員在其他域中的更改

 

lPDC:

 

以上面為例，如果當(dāng)?shù)舻氖橇旨墑eDC那你需要搶奪上述5大角色，如果是子域中的DC當(dāng)?shù)魮寠Z域級別的3大角色即可。環(huán)境比較大的地方可以把上述角色進(jìn)行分布，并部署最佳實(shí)踐，如GC和基礎(chǔ)結(jié)構(gòu)主控就不應(yīng)該放在一臺服務(wù)器上。域控發(fā)生問題是一些非常規(guī)的情況，如果需要快速遷移角色，可以提前編寫一些批處理命令。

 

Q：懂老師能說下額外域接替主域的設(shè)置步驟嘛?。╳indows 2008）謝謝

 

A：主DC非正常離線可以執(zhí)行的步驟如下：

 

1.使用Ntdsutil工具，搶奪駐留在主域控上的角色

 

2.使用Ntdsutil工具刪除非正常離線的DC信息

 

3.在ADUC工具中確認(rèn)現(xiàn)DC為GC

 

3.刪除DNS中關(guān)于離線DC的所有信息

 

4.刪除Active Directory 站點(diǎn)和復(fù)制工具中殘留的離線DC復(fù)制關(guān)系

 

5.如果現(xiàn)在域中只有一臺DC可以將另外一臺DC加入到域中

 

主DC正常離線可以執(zhí)行的步驟如下：

 

1.通過圖形工具轉(zhuǎn)移（不是搶奪）5大角色

 

2.在ADUC工具中確認(rèn)現(xiàn)DC為GC

 

3.對主DC進(jìn)行降級

 

【編輯推薦】

1. 中小型企業(yè)的網(wǎng)絡(luò)應(yīng)用研討會
2. 白領(lǐng)躍躍欲跳 企業(yè)培訓(xùn)留人
3. 企業(yè)培訓(xùn)行業(yè)“導(dǎo)師制”推行遇尷尬