AD學習-基本概念

目錄服務能夠集中實現組織、管理、控制各類用戶、組、計算機、共享文件夾、 打印機各類資源等。使用LDAP（端口389）輕量級目錄訪問協議工做，在域環境下全部用戶及計算機等賬戶信息均保存在一個數據庫中，這個數據庫位 置%systemroot%\ntds\ntds.dit。
    AD（活動目錄）的邏輯結構包含以下組件：域/子域/樹/森林/OU等。主要側重於對網絡資源的組織。
    AD的物理結構包含以下組件：DC（域控制器）/site（站點）/OM（操做主機）。主要側重於對網絡資源的配置和優化。
下面介紹有關幾個重要的概念：
1.DN：(可辨別名稱）--用來表示一個對象在AD中具體存儲位置，相似於文件的絕對路徑。
如：cn=user1,ou=sails, dc=blog,dc=com 該用戶存在blog.com域的sails OU下，用戶名爲user1.
cn=users (默認的容器users也以cn表示)
dsadd user cn=test,ou=sails,dc=blog,dc=com  利用DN來建立用戶的例子。
2.UPN（用戶主名）用戶名@域名，即用戶登陸時能夠採用，如jack@net.com，也能夠更改此後綴。
修改：domain.msc後，在根右擊--屬性--更改UPN後綴，而後在用戶屬性-賬號中選擇其後綴。用戶登陸能夠使用此UPN.但必須在用戶屬性裏進行相應的更改（即啓用此Upn後綴）
3.SID (安全標識符）用戶/組都有惟一
whoami /user 當前用戶的SID
whoami /all 當前用戶的詳細信息（包含所屬組的SID）
getsid \\dc1 test \\dc1 test (安裝suptools)
psgetsid \\dc1 test 下載工具包。
4.AD數據庫的目錄分區：（AD數據庫雖然是一個文件，但倒是以目錄分區的形式組成的）
schema 架構分區 ---森林的對象類和屬性，在森林級別複製。
configuration 配置分區--全部DC的位置、site，在森林級別複製。
domain 域分區--每一個域的各類對象等信息，在域級別複製。
application 應用程序分區—DNS，能夠自定義。
經過adsiedit.msc來查看前三個目錄（事先裝支持工具）
5.site:在物理位置上區分，一組高速可靠的一個子網或多個子網。（管理AD複製）
優勢：
a. 優化登陸
b. 優化複製
6.域：安全的邊界，複製的單元。
7.操做主機：（OM）--FSMO
森林範圍內惟一的有兩種：
架構主機：負責森林內架構的統一 regsvr32 schmmgmt.dll
域命名主機：負責森林範圍內域的添加和刪除。
域範圍內惟一的有三種：
RID主機：建用戶時用於分發ID號。
PDC主機：時間同步，密碼最小化週期、密碼鎖定、組策略維護等。
基礎結構主機：負責跨域對象的引用和更新。
森林範圍內惟一兩種OM默認由林根域的第一臺DC承擔。
域範圍內惟一的三種OM默認由域內的第一臺DC承擔。