AD安装和常用域环境策略配置(收藏)

一．AD的一些基本概念
1.命名空间(Namespace):就是一个界定好的区域，在这块区域内我们可以利用某个名称来找到与这个名称有关的信息。一个电话本好象是一个“命名空间”。

2.对象(object)：在windows server 2003 域内 用户、计算机、打印机、应用程序等都是对象。

3.属性(attribute):属性就是用来描述对象特征的。对象本身就是一些“属性”的集合。

4.容器(container)：它和对象相似，也是一些属性的集合。容器内可以包含其他对象，比如“用户” “计算机”等对象，还可以包含其他容器。

5.组织单元(OU):实际就是一个特殊点的容器，可以包含其他容器与OU，还有“组策略”的功能。

6.域树(domain tree) :架设一个多域的网络，则网络可以设置成“域树”的架构，这些域是以倒置树状结构存在。树的最上层是这棵域树的根域，根域之下会有很多会有很多子域。

7.信任(trust):要想让两个域可以访问对方域内的资源，必须让两个域建立“信任关系”。任何一个windows server 2003 域被加入域树后，这个域都会自动信任前一层的父域，同时父域也会自动信任此新域，这个信任的功能是通过Kerberos安全协议来完成的，也被称做kerberos信任。如果A域和B域双向信任，B域和C域也互相信任，那么A 域和C 域也会自动双向信任，这也叫隐性信任。

8.全局编录(global catalog):域树内的所有域共享一个Active directory,但Active directory 的数据确是分散的存储在各个域内，并且每个域内只存该域本身的对象。因此全局编录它是为了让每一个用户、应用程序能够快速的找到其他域内的对象而设计的。

二．windows server 2003 域的建立
按步骤安装系统兼容性—>域控制器类型—>创建一个新域—>新域名—>NetBios域名—>数据库和日志文件文件夹—>共享的系统卷—>DNS 注册诊断—>权限—>目录服务还原模式的管理员密码—>摘要—>重启

三．安装额外域控制器
配置域的额外域控制器—>数据库文件夹—>日志文件文件夹—>SYSVOL文件夹

四．Active directory 的组策略
组策略是一个管理用户工作环境的技术，通过策略可以确保用户拥有所需的工作环境，也可以限制用户，这样它不仅让用户拥有了适当的工作环境，也减轻了系统管理员的管理负担。

组策略的继承和处理的方法：

1.当父容器的某个策略被配置，但它的子容器的策略没有被配置时，子容器的这个策略将继承父容器的配置值。

2.当子容器内的某个策略被配置时，此策略值就会覆盖由其父容器所传递下来的配置值。也就是系统处理GPO 的顺序是站点GPO、域GPO、 OU 的

GPO。

3.组策略的配置是累加的，如果在“技术部”OU 内建立了GPO，同时在https://www.sodocs.net/doc/3d15680024.html,域也有GPO，则域与OU 内的所有GPO 配置值都会被累加起来，作为“技术部”的最后GPO 有效配置。

4.当多个GPO 链接到同一个OU 时，所有GPO 的配置将被累加起来，当这些GPO 有冲突的时候，将以排在前面的GPO 配置为优先。

5.系统最先处理“计算机配置”，再处理“用户配置”，当两者的配置相冲突时，系统以“计算机配置”优先。

6.如果某个策略很重要，不想被子容器配置覆盖掉，我们可以通过父容器的GPO的“禁止替代”来强制必须继承。无论子容器是否设置了“阻止策略继承”。