微软商业服务器部署系列4-windows serevr 2008 活动目录介绍（二）

 

一、利用上次环境，已经有一台计算机加入到域了

二、拿08server2 这台机器部署成我们这个环境的子域

1）子域和根域网络要通

可能是一个网段也可能不是同一个网段，实验环境下放在同一网段

2）做子域它的dns一定要指向根域

 

发现都可以解析。

3）最标准做法，首先先把这台计算机加入到父域

验证：

已经看到子域域控

 4）然后把dcpromo升级为子域的域控

下图表面已经历属于父域

注：创建新的子域这个沟不需要沟，如果创建新的域树这个勾要勾

这个身份验证账号必须要属于企业管理员的组。

 

 

本质上和先没加域和dcpromo直接没什么区别，只是这个方式是微软推荐的

发现08server2已经独立成家了，下面多了一个箭头。

明显的父子域架构。

当你在查找的时候你可以父域查，也可以子域查，你这两个域是有血缘关系的

看到子域了

在win7 上登录验证查看

windows7上怎么远程管理DC

创建账号

我肯定是管理员不然这些事情没办法做。

即使正版也需要买远程桌面购买不然默认2个。

装好之后就会看到活动目录的管理工具

而xp这个管理工具只能连2003，连2008会有问题。

做之前先在子域里面创建账号

现在就以王进账号去管理子域了

现在看有没有管理的权限

论证了域是安全管理的边界

虽然没法管理但是还能看到，因为父域和子域有连接线，表示信任，子域也可以看到父域的对象，默认相互信任

 

系统自建没办法删除的

父域和子域的本质区别：

这两个账号有很大权限，比如子域要装exchange，如果父域不同意那没办法装

在一个域当中，所有的域控制器数据库都是相互复制的

演示：为父域创建备份DC，08server1为ilync这个域的备份域控制器。

 

要成为域的备份域控是要经过当前域控的授权的。

选否。不需要

复制会复制域控里面的所有内容。

一个域内有4-5个DC如何知道哪个DC是主DC?

或者使用操作主机的方式，看谁掌握绝大多数权限

在备份域中查看帐号一定会同步过来

反过来也一样会同步

如：刚才创建的父域中的帐号会不会同步给子域，不会

链路频率默认15分钟至少。

怎么看三个分区，如上图所示

域分区：打开的活动目录用户和计算机，对应着当前域中的对象

scheme分区（配置分区）

架构分区

如果是父子域只负责配置和架构这两个分区的同步

OU

委派，让某个部门的管理员分配用户权限，可以新建用户

多少个域多少个林多少个树？

2个林，4个树，6个域

一个三角形一个域

树通过域名来辨别，像家族

GC

想知道下这个域中哪些是GC,有多少个GC

只有企业管理员可以改，不然就是灰色的。

因为最终用户找GC是通过SRV解析的，所以通过SRV记录是最好的方式

当用户搜索林时使用哪个GC是随机的。

每个物理区域至少要保证一个GC，比如上海，广州，不然会对公网链路消耗比较大。

GC只搜索常用属性，所以没有国家这个属性

调整这个字段就可以，那如何知道哪个文件是什么字段？

针对ienglish.cn这个域有什么区别？

第一个要接受父域管理，第二个自己独立管理，区别在于操作主机上。比如装exchange