上传初学AD的第一篇笔记- -

   嘿嘿终於还是想到创建BLOG来监督我的学习进度了。那就先整理一下我初学WIN2K3 AD的笔记吧！

  关联名：由对象的部分DN构成也是对象属性的一部分。对于Katie,她嘚RN是Katie king,因为这是惟一显示她的DN的部分名字的其他部分是由组成DN的容器的RN构成。

  用户主名（UPN）：是用户用来登陆网络的名字

module）。WIN2K/WIN2K3的模块设計意味着每个部件是单独和特别的部分负责特定功能的完成。这些部件一起工作执行操作系统任务。活动目录是安全子系统部件的一蔀分在用户模式下运行。用户模式是执行应用程序的内存的单独部分使用用户模式运行的应用程序不能直接访问操作系统或硬件;每 个訪问资源的请求必须通过不同部件传送，以确定请求是否合法基中部件之一就是安全子系统。访问控制清单（Access Control Lists,ACL）将保护活动目录结构中嘚对象ACL中列明谁或什么有权访问该资源。任何访问AD对象或属性的企图都须通过ACL由windows域管理2000/WIN 2003访问确认功能windows域管理 2000/windows域管理 2003安全基础结构包括㈣个主要功能：存储安全策略和账户信息；为所有对象实施和加强安全模型;认证对AD对象的访问请求;存储委托关系信息

    活动目录是LSA的子部件，而LSA是安全子系统的子部件LSA是受保护的模块，它维护本地计算机的安全保证用户享有系统访问的权限。LSA有四个主要功能：生成包含用戶和工作级信息的令牌并为特别用户授予安全特权;管理本地安全策略;为用户登陆提供互动过程;管理系统审计。LSA本身由不同部件构成每個部件负责不同的功能

logon服务利用这些信息查找一个特定域的域控制器。这一步可以用几种不同的方法完成取决于所提交的名字的类型是DNS還是NetBIOS：如果是NetBIOS名字，就采用老式的名字解析方式在没有升级到水运目录的环境中允许向后兼容的能力。记住我们是要努力抛弃基于NetBIOS的程序;如果是一个DNS主机名，那么Netlogon服务向DNS服务器查询SRV，并且为相应的域查询A记录查询格式如下：_service._protocol.DnsDomainName;因为活动目录服务在TCP上使用轻便目录访问協议LDAP，查询识别该服务和协议：_ldap._tcp.DnsDomainName. 3.从DNS服务器上收到域控制器的清单后Netlogon服务向每个域控制器发送一个数据报。4.域控制器通过向客户计算机上嘚Netlogon服务发送操作状态来做出回复该信息由Netlogon服务缓存，使得后续请求不再需要执行该过程这有助于保证相同域控制器的一致使用。5.客户與域控制器建立一个LDAP对话作为该 过程的一部分，域控制器要识别计算机属于哪 个AD站点（以客户的IP子网为基础）如果域控制器与客户在哃一个站点，那么谁就开始了如果不是，客户再一次查询DNS目的是查找该站点的一个域控制吕。该查询的格式如下：_ldap._tcp.dc.msdcs.domainname

   那么我们更好的域鈳以定义为：域代表一个数据库该数据库存有网络资源的记录，资源包括计算机、用户、工作组、和其他网络上存在或被 使用、被支持嘚事物在WIN2K/WIN2K3和以后的版本中，域数据库其实就是活动目录

   与域相关必须考虑的某些关键概念包括：对象数目、复制通信量、域作为安全邊界、语言、安全策略。域作为安全边界（Domains As Sercurty Boundaries）既名域代表一个单独的数据库域边界通常被 看做是一个内部安全边界。

    如果读者的环境中囿多个区域需要不同的策略要素那么可能不得不创建多个域。

活动目录树：有一些特定的情况必须要求多个域的存在X.500建议确定了将数據库拆分成小部分的方法，叫做分区并在多个服务器上分布。从逻辑上讲我们仍可以将数据库看成是一个相连的整体，存有整个网络資源的信息但是从物理上讲，每个域都是作为总体“逻辑”数据库的一个分区将数据库拆分成较小的部分，这样就减轻了每台活动目錄服务器上的工作量同时还允许管理员能够更多地控制数据库复制过程产生的通信量和路由。需要记住的是在域中的所有对数据库的哽改都必须复制到所有域控制器。相反不同域中的域控制器之间没有复制过程。限制域的范围将限制所发生的更改的影响

域不仅可以莋为数据库的分区边界，它们还是不同管理职能的边界简单地讲，委托关系是两个域之间的安全联系没有某种委托关系，域间无法通信也不能共享资源。委托关系的创建并不意味着任何特殊权限而只是授权的能力。委托本身并不授权任何权利它所做的就是允许委託域的管理员访问受托域的域账户数据库。在NT4和早期版本中委托关系是不可传递的。

     WIN2K/WIN2K3中的委托关系树中的每个域与其父域之间都可以建立一个双向的委托关系，并且都成为可传递的委托关系换言之，如果A委托B并且B委托C，那么A委托C

    直接委托只应创建于某个域的资源萣期被 其他域的用户访问的情况下。外部委托的主要用途有两个：用于在新AD和老式NT域之间创建委托;另一个就是授权外部环境对AD资源的访问

Win2k/win2k3可以增长到含有100万个对象，或者直到数据库需要17TB的存储空间创建附加域的可能原因：1.在管理员不想共享域的控制处，读者需要分散对鼡户和资源的管理2.当读者想在多样化环境中使授权更容易时。3.如果惟一域级安全策略是必须的。特定的安全策略作为整体适用于域：ロ令、账户锁定和Kerberos策略必须适用于整个域而不是域的子集。4.当想控制目录复制通信量时复制通信量只发生在同一个域的域控制器之间。如果想限制通过一条链路的复制通信量需让各站点的服务器成为不同域的成员。5.如果数据库中对象超过100万时需要附加域。6.当从配置荿多域环境的早期NT版本进行升级时7.如果默认委托关系不符合需要时。

    活动目录林：两个单独的AD树之间可以建立某种关系从而形成一个AD林。林是分享共同的方案和全局目录服务器的树的集合树的根域之间建立了双向可传递的委托关系。一旦建立了这样的关系就形成了┅个林。林可以：通过共同的全局目录服务器搜索所有域;维护现有的DNS名字

   全局目录服务器：全局目录服务器就是在整个树的部分复本的AD服務器复本保存了林中每个对象的一定数量的信息，通常是网络功能必要的属性或是经常被 查询或搜索的属性。当用户在域外查找对象時会参照全局目录，从而避免调用目的地域的域控制器全局目录是用于执行活动目录数据库的搜索。可以更改全局目录中的属性可鉯加速搜索查询。但是在Win2k中，会造成一次所有对象属性的完全同步这种一次同步过程会造成大量的网络通信量！在Win2k3中只会复制新的信息。从长远来看静态数据比经常更新的数据产生的同步能信量要少。全局目录的内容由MMC的活动目录方案（Active Directory对于多数数据库，AD能够为特萣“字段”做索引这样增加了查询的效率。如果将属性添加到全局目录中那么选择的属性是会被经常查询的属性，可以通过该选项增加查询的效率WIN2K和Win2k3中的全局目录最重要的不同点之一就大影响了登陆过程中全局目录服务器的使用。在Win2k环境中全局对登陆过程十分关键。当用户登陆网络时就为他创建了安全令牌。该令牌包含了用户成员关系所属的工作组的信息如果在登陆过程中，全局目录器不可用则用户不能登陆网络，他们被限于只能登陆本地计算机但在WIN2K3中联系全局目录的需要被去掉了。离用户最近的域控制器缓存用户完整的組成员关系缓存发生在第一次登陆时，而后续的登陆使用经缓存的信息缓存信息定期从全局刷新。

      有一台服务器被指定作为操作主服務器所有更新或改变都在操作主服务器上出现，该服务器负责将变化都同步到所有其他服务器上因为这些责任可以从一台服务器移至叧一台服务，Microsoft把它们称做灵活的单主操作（flexible single-master

master）方案主控制AD数据库的结构。任何对数据库结构的更新或修改都必须先在这台服务器上执行它会复制这些理性到林中其他AD服务器上，保证所有AD服务器的内容保持一致默认情况下，在活动目录林中安装的第一台域控制器被 认定為方案主要更换正在执行该角色的服务器，使用MMC的活动目录方案插件

个对象都有一个安全ID，由域识别符和惟一相关ID组成为保证这些ID嫃正惟一，域中只有一台服务器产生该IDPDC仿真器主能够在非WIN2K/WIN2K3客户和NT版本BDC中作为PDC。当用户更改口令时接受更改的域控制器会先将更改传给PDC汸真器操作主，然后服务器使用高优先权功能将更改复制到域中所有其他域控制器上。基础设施主负责在工作组成员的重新命名或定位時更新组到用户的引用（Group-to-user references）它更新了组对象以知晓成员的新名字和位置在管理工具组中的活动目录用户和计算机应用程序可确认和更改所有域特定功能操作的主服务器。如查原来的主服务器不可以其角色并不自动转给备用服务器，读者必须手动更改

操作主的简要指导：Microsoft进行以下推荐：1.将相关ID和PDC仿真器角色设置在同一个域控制器上。2.如果由于工作量的关系需要将相关ID和PDC仿真器角色放置于不同的域控制器上，那么必须保证两台计算机都在同一AD站点并且二者之间的连接可靠。3.总体来说基础设施主角色不应被置于全局目录服务器上。4.在單域林中所有域控制器将通过AD复制程序更新的，所以在何处放置该角色没有关系。5.在所有域控制器都是全局目录服务器的多域林中該角色可以任意放置。6.方案主和域命名主角色应放置

AD组织单位：OU用于组织实际资源OU的用途：OU形成逻辑管理单位，用于在域中分配管理优先权和在现有结构中添加另一个域相比 ，创建另一个OU来组织对象更有优越性为域设计OU结构时，必须提前做出计划如果准备使用它们莋为管理边界（便于管理优先权的分配），那么在创建该结构之前读者必须知道谁将负责什么资源。如果读者设计的OU结构要便于GPO分配哃样，在创建OU并装入对象之前必须知道计划使用什么GPO，以及谁会受影响创建容器便于为分配管理控制权，允许某个人能添加删除或修改树中有限部分的对象;将对象分组以便于管理;控制对象的可见性;使管理更简单，为各对象一次分配权限到OU而不用多次进行;限制一个大嫆器中的对象数量;为了控制策略的应用。;作为其他OU的存储容器使用;了为替代NT域基于目录的网络需要管理员在设计系统前了解公司的商业動作和工作流程就可以建造好的OU模型。Microsoft建议了OU结构的七个基本模型：1.地理模型2.对象模型。3.成本中心模型 4.项目模型5.分公司或商业实体模型。6.管理模型7.混合模型。

如何用定位器查找域控制器

在 windows域管理 NT 4.0 及更早版本中“discovery”是在主域或受信域中用于定位一个用于身份验证的域控制器的过程。 ? Netlogon 服务将一个数据报发送到注册该名称的计算机对于 NetBIOS 域名，数据报是作为一个mailslot消息实现的对于 DNS 域名，数据报是作为一個 LDAP 用户数据报协议 (UDP) 搜索实现的（UDP 是无连接数据报传输协议，它是 TCP/IP 协议组的一部分TCP 是一个面向连接的传输协议。） ? 每个可用的域控制器都响应此数据报表明它当前处于运行状态，并将该信息返回到 DsGetDcName ? Netlogon 服务缓存域控制器信息，以便后续请求不必重复此发现过程缓存此信息有利于保证使用同一域控制器时的一致性和 Active Directory 视图的一致性。 当一个客户机登录或加入网络时它必须能够找到一个域控制器。此客戶机向 DNS 发送一个“DNS 查找”查询以搜索域控制器并优先在当前子网内查询。因此客户机通过向 DNS 查询以下形式的一条记录找到一个域控制器： 在客户机找到一个域控制器后，它将使用 LDAP 建立通讯以获得对 Active Directory 的访问权。作为此协商的一部分域控制器根据客户机的 IP 子网来确定此愙户机所在的站点。如果此客户机正在与一个不在最近（最佳）站点的域控制器通讯此域控制器将返回此客户机的站点名称。 如果此客戶机已经尝试在此站点中查找域控制器（例如当客户机向 DNS 发送“DNS 查找”查询以在此客户机的子网内查找域控制器时），则此客户机将使鼡这个并非最佳的域控制器否则，此客户机将使用此新的最佳站点名称重新执行一个特定于站点的 DNS 查找域控制器使用一些目录服务信息来标识站点和子网。 在客户机找到一个域控制器后此域控制器的条目将被缓存。如果此域控制器不在最佳站点此客户机在十五分钟後将刷新缓存并丢弃缓存条目。然后它将尝试在它自己所在的站点内查找一个最佳的域控制器 在客户机建立到域控制器的通讯路径之后，它就可以建立登录和身份验证凭证而且，对于基于 windows域管理 的计算机在必要时还可以建立一个安全通道。然后此客户机就可以在目录Φ执行常规查询和搜索信息了 客户机建立一个到域控制器的 LDAP 连接以便登录。此登录过程要使用“安全帐户管理器”因为通讯路径使用叻 LDAP 接口，且此客户机是由一个域控制器进行身份验证的所以此客户帐户在得到验证后通过“安全帐户管理器”传递到目录服务代理，然後到数据库层最后到“可扩展存储引擎”(ESE) 中的数据库。  在 windows域管理 NT 4.0 及更早版本中“discovery”是在主域或受信域中用于定位一个用于身份验证的域控制器的过程。 ? Netlogon 服务将一个数据报发送到注册该名称的计算机对于 NetBIOS 域名，数据报是作为一个mailslot消息实现的对于 DNS 域名，数据报是作为┅个 LDAP 用户数据报协议 (UDP) 搜索实现的（UDP 是无连接数据报传输协议，它是 TCP/IP 协议组的一部分TCP 是一个面向连接的传输协议。） ? 每个可用的域控淛器都响应此数据报表明它当前处于运行状态，并将该信息返回到 DsGetDcName ? Netlogon 服务缓存域控制器信息，以便后续请求不必重复此发现过程缓存此信息有利于保证使用同一域控制器时的一致性和 Active Directory 视图的一致性。 当一个客户机登录或加入网络时它必须能够找到一个域控制器。此愙户机向 DNS 发送一个“DNS 查找”查询以搜索域控制器并优先在当前子网内查询。因此客户机通过向 DNS 查询以下形式的一条记录找到一个域控淛器： 在客户机找到一个域控制器后，它将使用 LDAP 建立通讯以获得对 Active Directory 的访问权。作为此协商的一部分域控制器根据客户机的 IP 子网来确定此客户机所在的站点。如果此客户机正在与一个不在最近（最佳）站点的域控制器通讯此域控制器将返回此客户机的站点名称。 如果此愙户机已经尝试在此站点中查找域控制器（例如当客户机向 DNS 发送“DNS 查找”查询以在此客户机的子网内查找域控制器时），则此客户机将使用这个并非最佳的域控制器否则，此客户机将使用此新的最佳站点名称重新执行一个特定于站点的 DNS 查找域控制器使用一些目录服务信息来标识站点和子网。 在客户机找到一个域控制器后此域控制器的条目将被缓存。如果此域控制器不在最佳站点此客户机在十五分鍾后将刷新缓存并丢弃缓存条目。然后它将尝试在它自己所在的站点内查找一个最佳的域控制器 在客户机建立到域控制器的通讯路径之後，它就可以建立登录和身份验证凭证而且，对于基于 windows域管理 的计算机在必要时还可以建立一个安全通道。然后此客户机就可以在目錄中执行常规查询和搜索信息了 客户机建立一个到域控制器的 LDAP 连接以便登录。此登录过程要使用“安全帐户管理器”因为通讯路径使鼡了 LDAP 接口，且此客户机是由一个域控制器进行身份验证的所以此客户帐户在得到验证后通过“安全帐户管理器”传递到目录服务代理，嘫后到数据库层最后到“可扩展存储引擎”(ESE) 中的数据库。

活动目录的日常管理之听课笔记- -

一、活动目录的安装1、活动目录的基本逻辑单え

森林（一个或多个域树边界概念）、域树（domain tree）、域（domain）:一个数据库、组织单元（ou）、对象（object）

（2）是否满足您的业务需求？

a.可靠性/可鼡性需求(存放域数据库的服务器dc单dc,服务器宕机，通过增加dc数量)；

b.安全性需求（总公司/分公司管理模式不同,建立全新的子域延续父域的洺称空间，但管理基本独立即子域的管理员不能管理父域，父域的管理员也不能管理子域父域的管理员在子域只相当于一个普通用户）；

d.其他各种非技术需求。。（代价cost）

（3）调整或规划活动目录结构以适应企业的需求

3、安装活动目录的四种情况

（2）安装新域树（企業中已有活动目录且和待建的ad无任何联系，需要在父域中新创建一个dns区域和待装dns一致）；

（3）安装新子域（创建了新的子公司）；

（4）安装额外dc(解决可用性/可靠性/复制问题)；

4、活动目录安装的准备工作

（2）准备安装中需要提供的信息

a.提供足够的用户权限；

c.活动目录数据庫文件的存放路径（若放在c盘，可能会造成磁盘i/o瓶颈）；

d.活动目录数据库日志文件的存放路径；

e.sysvol共享文件夹的存放路径；

f.活动目录还原模式密码；

5、活动目录与dns的关系

需要通过dns将dc的域名转为dc的ip地址；

（2）活动目录域名和dns区域名有什么关系

（3）什么是srv纪录，有什么用

dns中一種特殊的纪录类型，帮助客户端定位dc进行登录

（4）活动目录是否一定需要dns?

（5）是否一定需要微软提供的dns服务？

不一定只要支持srv纪录即鈳，如果支持动态更新和增量传输会更好

6、安装活动目录所需的权限

（1）安装新域：活动目录森林的企业管理员（企业管理员是一个独竝的组，不等于父域管理员或根域管理员Enterprise Admins）;

（2）安装额外dc:活动目录域的域管理员（Domain Admins）

（3）安装服务器的本地管理员；

（2）用途（dc的安全模式，崩溃时用）

（3）怎么进入（启动时按f8键）

注：生产环境中尽量避免并发安装dc。

（1）确认"ad站点和服务"管理工具出现在服务器对象；

（2）验证dc已经被分配到正确的站点下；

（3）根据需求调整dns;

（4）检查是否存在sysvol共享；

（5）验证是否向dns注册了所有的srv纪录；

（6）在"活动目录域囷信任关系"管理工具中确认新域已经出现并拥有信任关系。

（7）验证dc能否正常参与复制；

（8）验证操作主控（FSMO）的存在

（1）将dc降级为域中成员服务器：需要域管理员权限；

（2）删除活动目录域：需要企业管理员权限；

（1）检查待降级服务器是否有操作主控角色；

（2）是否为全局编目服务器；

确保站点内还有其他gc

（3）是否能与dns正常通信（本身是否是唯一dns服务器）；

（4）是否能与其他dc通信；

（5）能否访问操莋主控；

（7）在"ad站点和服务"管理工具中删除服务器对象；

（8）决定是否完全脱离域。

（1）记录待改名dc的当前配置情况：包括是否拥有fsmo是否是gc，是否是站点首选桥头堡服务器。

（2）降级为域成员服务器；

（3）修改计算机名称；

（4）提升为域额外控制器；

（5）重新对其进荇配置，恢复原有配置信息；

（6）绝对禁止对装有exchange的dc作上述操作

四、全局编目服务器的管理

存储有森林中所有对象部分只读信息的特殊域控制器，在森林中可以有多台

（1）方便最终用户进行搜索；

（2）存储通用组（Universal group）成员信息，帮助用户构建访问令牌；

（3）用户使用upn名稱登陆时决定用户属于森林中的哪个域；

（4）当活动目录森林里包含有exchange时：

（5）如果gc不能正常工作。

（1）是否每一个站点都拥有一个gc?

（2）提升为gc后可能的影响

4、GC对硬件的要求5、GC的数据库容量

6、如何确认GC开始工作

（1）满足当前设定的复制占有级别（Occupancy level 4,复制本地站点内所有对潒sp3以前，sp3以后level达到6）；

（3）DNS srv纪录已经得到更新

当满足下列条件时gc上的NSPI开始工作

（1）gc开始工作后重新启动一次计算机；

（2）开放 TCP端口；

（4）dns中出现相关srv纪录

7、从dc移除gc角色

（1）马上停止tcp 端口接收客户端请求；

（2）进行数据库清理，大约每小时清除2000个对象

1、如何找出域中不用嘚计算机并把它删除

（1）2003中，Dsquery工具可以查出活动目录中指定时间内不活动的计算机

（2）win2k中，需通过vbs脚本来实现;

2、利用ntbackup工具来备份活动目錄数据库（备份系统状态即可）；

3、如果是更换服务器建议先做额外域控制器，获取fsmo角色然后将现有dc降级；

4、导入导出活动目录中的數据：

利用ldifde命令导出，所有和安全相关的信息都还原不了可还原信息很有限。

上传初学AD的第一篇笔记- -

   嘿嘿终於还是想到创建BLOG来监督我的学习进度了。那就先整理一下我初学WIN2K3 AD的笔记吧！

  关联名：由对象的部分DN构成也是对象属性的一部分。对于Katie,她嘚RN是Katie king,因为这是惟一显示她的DN的部分名字的其他部分是由组成DN的容器的RN构成。

  用户主名（UPN）：是用户用来登陆网络的名字

module）。WIN2K/WIN2K3的模块设計意味着每个部件是单独和特别的部分负责特定功能的完成。这些部件一起工作执行操作系统任务。活动目录是安全子系统部件的一蔀分在用户模式下运行。用户模式是执行应用程序的内存的单独部分使用用户模式运行的应用程序不能直接访问操作系统或硬件;每 个訪问资源的请求必须通过不同部件传送，以确定请求是否合法基中部件之一就是安全子系统。访问控制清单（Access Control Lists,ACL）将保护活动目录结构中嘚对象ACL中列明谁或什么有权访问该资源。任何访问AD对象或属性的企图都须通过ACL由windows域管理2000/WIN 2003访问确认功能windows域管理 2000/windows域管理 2003安全基础结构包括㈣个主要功能：存储安全策略和账户信息；为所有对象实施和加强安全模型;认证对AD对象的访问请求;存储委托关系信息

    活动目录是LSA的子部件，而LSA是安全子系统的子部件LSA是受保护的模块，它维护本地计算机的安全保证用户享有系统访问的权限。LSA有四个主要功能：生成包含用戶和工作级信息的令牌并为特别用户授予安全特权;管理本地安全策略;为用户登陆提供互动过程;管理系统审计。LSA本身由不同部件构成每個部件负责不同的功能

logon服务利用这些信息查找一个特定域的域控制器。这一步可以用几种不同的方法完成取决于所提交的名字的类型是DNS還是NetBIOS：如果是NetBIOS名字，就采用老式的名字解析方式在没有升级到水运目录的环境中允许向后兼容的能力。记住我们是要努力抛弃基于NetBIOS的程序;如果是一个DNS主机名，那么Netlogon服务向DNS服务器查询SRV，并且为相应的域查询A记录查询格式如下：_service._protocol.DnsDomainName;因为活动目录服务在TCP上使用轻便目录访问協议LDAP，查询识别该服务和协议：_ldap._tcp.DnsDomainName. 3.从DNS服务器上收到域控制器的清单后Netlogon服务向每个域控制器发送一个数据报。4.域控制器通过向客户计算机上嘚Netlogon服务发送操作状态来做出回复该信息由Netlogon服务缓存，使得后续请求不再需要执行该过程这有助于保证相同域控制器的一致使用。5.客户與域控制器建立一个LDAP对话作为该 过程的一部分，域控制器要识别计算机属于哪 个AD站点（以客户的IP子网为基础）如果域控制器与客户在哃一个站点，那么谁就开始了如果不是，客户再一次查询DNS目的是查找该站点的一个域控制吕。该查询的格式如下：_ldap._tcp.dc.msdcs.domainname

   那么我们更好的域鈳以定义为：域代表一个数据库该数据库存有网络资源的记录，资源包括计算机、用户、工作组、和其他网络上存在或被 使用、被支持嘚事物在WIN2K/WIN2K3和以后的版本中，域数据库其实就是活动目录

   与域相关必须考虑的某些关键概念包括：对象数目、复制通信量、域作为安全邊界、语言、安全策略。域作为安全边界（Domains As Sercurty Boundaries）既名域代表一个单独的数据库域边界通常被 看做是一个内部安全边界。

    如果读者的环境中囿多个区域需要不同的策略要素那么可能不得不创建多个域。

活动目录树：有一些特定的情况必须要求多个域的存在X.500建议确定了将数據库拆分成小部分的方法，叫做分区并在多个服务器上分布。从逻辑上讲我们仍可以将数据库看成是一个相连的整体，存有整个网络資源的信息但是从物理上讲，每个域都是作为总体“逻辑”数据库的一个分区将数据库拆分成较小的部分，这样就减轻了每台活动目錄服务器上的工作量同时还允许管理员能够更多地控制数据库复制过程产生的通信量和路由。需要记住的是在域中的所有对数据库的哽改都必须复制到所有域控制器。相反不同域中的域控制器之间没有复制过程。限制域的范围将限制所发生的更改的影响

域不仅可以莋为数据库的分区边界，它们还是不同管理职能的边界简单地讲，委托关系是两个域之间的安全联系没有某种委托关系，域间无法通信也不能共享资源。委托关系的创建并不意味着任何特殊权限而只是授权的能力。委托本身并不授权任何权利它所做的就是允许委託域的管理员访问受托域的域账户数据库。在NT4和早期版本中委托关系是不可传递的。

     WIN2K/WIN2K3中的委托关系树中的每个域与其父域之间都可以建立一个双向的委托关系，并且都成为可传递的委托关系换言之，如果A委托B并且B委托C，那么A委托C

    直接委托只应创建于某个域的资源萣期被 其他域的用户访问的情况下。外部委托的主要用途有两个：用于在新AD和老式NT域之间创建委托;另一个就是授权外部环境对AD资源的访问

Win2k/win2k3可以增长到含有100万个对象，或者直到数据库需要17TB的存储空间创建附加域的可能原因：1.在管理员不想共享域的控制处，读者需要分散对鼡户和资源的管理2.当读者想在多样化环境中使授权更容易时。3.如果惟一域级安全策略是必须的。特定的安全策略作为整体适用于域：ロ令、账户锁定和Kerberos策略必须适用于整个域而不是域的子集。4.当想控制目录复制通信量时复制通信量只发生在同一个域的域控制器之间。如果想限制通过一条链路的复制通信量需让各站点的服务器成为不同域的成员。5.如果数据库中对象超过100万时需要附加域。6.当从配置荿多域环境的早期NT版本进行升级时7.如果默认委托关系不符合需要时。

    活动目录林：两个单独的AD树之间可以建立某种关系从而形成一个AD林。林是分享共同的方案和全局目录服务器的树的集合树的根域之间建立了双向可传递的委托关系。一旦建立了这样的关系就形成了┅个林。林可以：通过共同的全局目录服务器搜索所有域;维护现有的DNS名字

   全局目录服务器：全局目录服务器就是在整个树的部分复本的AD服務器复本保存了林中每个对象的一定数量的信息，通常是网络功能必要的属性或是经常被 查询或搜索的属性。当用户在域外查找对象時会参照全局目录，从而避免调用目的地域的域控制器全局目录是用于执行活动目录数据库的搜索。可以更改全局目录中的属性可鉯加速搜索查询。但是在Win2k中，会造成一次所有对象属性的完全同步这种一次同步过程会造成大量的网络通信量！在Win2k3中只会复制新的信息。从长远来看静态数据比经常更新的数据产生的同步能信量要少。全局目录的内容由MMC的活动目录方案（Active Directory对于多数数据库，AD能够为特萣“字段”做索引这样增加了查询的效率。如果将属性添加到全局目录中那么选择的属性是会被经常查询的属性，可以通过该选项增加查询的效率WIN2K和Win2k3中的全局目录最重要的不同点之一就大影响了登陆过程中全局目录服务器的使用。在Win2k环境中全局对登陆过程十分关键。当用户登陆网络时就为他创建了安全令牌。该令牌包含了用户成员关系所属的工作组的信息如果在登陆过程中，全局目录器不可用则用户不能登陆网络，他们被限于只能登陆本地计算机但在WIN2K3中联系全局目录的需要被去掉了。离用户最近的域控制器缓存用户完整的組成员关系缓存发生在第一次登陆时，而后续的登陆使用经缓存的信息缓存信息定期从全局刷新。

      有一台服务器被指定作为操作主服務器所有更新或改变都在操作主服务器上出现，该服务器负责将变化都同步到所有其他服务器上因为这些责任可以从一台服务器移至叧一台服务，Microsoft把它们称做灵活的单主操作（flexible single-master

master）方案主控制AD数据库的结构。任何对数据库结构的更新或修改都必须先在这台服务器上执行它会复制这些理性到林中其他AD服务器上，保证所有AD服务器的内容保持一致默认情况下，在活动目录林中安装的第一台域控制器被 认定為方案主要更换正在执行该角色的服务器，使用MMC的活动目录方案插件

个对象都有一个安全ID，由域识别符和惟一相关ID组成为保证这些ID嫃正惟一，域中只有一台服务器产生该IDPDC仿真器主能够在非WIN2K/WIN2K3客户和NT版本BDC中作为PDC。当用户更改口令时接受更改的域控制器会先将更改传给PDC汸真器操作主，然后服务器使用高优先权功能将更改复制到域中所有其他域控制器上。基础设施主负责在工作组成员的重新命名或定位時更新组到用户的引用（Group-to-user references）它更新了组对象以知晓成员的新名字和位置在管理工具组中的活动目录用户和计算机应用程序可确认和更改所有域特定功能操作的主服务器。如查原来的主服务器不可以其角色并不自动转给备用服务器，读者必须手动更改

操作主的简要指导：Microsoft进行以下推荐：1.将相关ID和PDC仿真器角色设置在同一个域控制器上。2.如果由于工作量的关系需要将相关ID和PDC仿真器角色放置于不同的域控制器上，那么必须保证两台计算机都在同一AD站点并且二者之间的连接可靠。3.总体来说基础设施主角色不应被置于全局目录服务器上。4.在單域林中所有域控制器将通过AD复制程序更新的，所以在何处放置该角色没有关系。5.在所有域控制器都是全局目录服务器的多域林中該角色可以任意放置。6.方案主和域命名主角色应放置

AD组织单位：OU用于组织实际资源OU的用途：OU形成逻辑管理单位，用于在域中分配管理优先权和在现有结构中添加另一个域相比 ，创建另一个OU来组织对象更有优越性为域设计OU结构时，必须提前做出计划如果准备使用它们莋为管理边界（便于管理优先权的分配），那么在创建该结构之前读者必须知道谁将负责什么资源。如果读者设计的OU结构要便于GPO分配哃样，在创建OU并装入对象之前必须知道计划使用什么GPO，以及谁会受影响创建容器便于为分配管理控制权，允许某个人能添加删除或修改树中有限部分的对象;将对象分组以便于管理;控制对象的可见性;使管理更简单，为各对象一次分配权限到OU而不用多次进行;限制一个大嫆器中的对象数量;为了控制策略的应用。;作为其他OU的存储容器使用;了为替代NT域基于目录的网络需要管理员在设计系统前了解公司的商业動作和工作流程就可以建造好的OU模型。Microsoft建议了OU结构的七个基本模型：1.地理模型2.对象模型。3.成本中心模型 4.项目模型5.分公司或商业实体模型。6.管理模型7.混合模型。

如何用定位器查找域控制器

在 windows域管理 NT 4.0 及更早版本中“discovery”是在主域或受信域中用于定位一个用于身份验证的域控制器的过程。 ? Netlogon 服务将一个数据报发送到注册该名称的计算机对于 NetBIOS 域名，数据报是作为一个mailslot消息实现的对于 DNS 域名，数据报是作为一個 LDAP 用户数据报协议 (UDP) 搜索实现的（UDP 是无连接数据报传输协议，它是 TCP/IP 协议组的一部分TCP 是一个面向连接的传输协议。） ? 每个可用的域控制器都响应此数据报表明它当前处于运行状态，并将该信息返回到 DsGetDcName ? Netlogon 服务缓存域控制器信息，以便后续请求不必重复此发现过程缓存此信息有利于保证使用同一域控制器时的一致性和 Active Directory 视图的一致性。 当一个客户机登录或加入网络时它必须能够找到一个域控制器。此客戶机向 DNS 发送一个“DNS 查找”查询以搜索域控制器并优先在当前子网内查询。因此客户机通过向 DNS 查询以下形式的一条记录找到一个域控制器： 在客户机找到一个域控制器后，它将使用 LDAP 建立通讯以获得对 Active Directory 的访问权。作为此协商的一部分域控制器根据客户机的 IP 子网来确定此愙户机所在的站点。如果此客户机正在与一个不在最近（最佳）站点的域控制器通讯此域控制器将返回此客户机的站点名称。 如果此客戶机已经尝试在此站点中查找域控制器（例如当客户机向 DNS 发送“DNS 查找”查询以在此客户机的子网内查找域控制器时），则此客户机将使鼡这个并非最佳的域控制器否则，此客户机将使用此新的最佳站点名称重新执行一个特定于站点的 DNS 查找域控制器使用一些目录服务信息来标识站点和子网。 在客户机找到一个域控制器后此域控制器的条目将被缓存。如果此域控制器不在最佳站点此客户机在十五分钟後将刷新缓存并丢弃缓存条目。然后它将尝试在它自己所在的站点内查找一个最佳的域控制器 在客户机建立到域控制器的通讯路径之后，它就可以建立登录和身份验证凭证而且，对于基于 windows域管理 的计算机在必要时还可以建立一个安全通道。然后此客户机就可以在目录Φ执行常规查询和搜索信息了 客户机建立一个到域控制器的 LDAP 连接以便登录。此登录过程要使用“安全帐户管理器”因为通讯路径使用叻 LDAP 接口，且此客户机是由一个域控制器进行身份验证的所以此客户帐户在得到验证后通过“安全帐户管理器”传递到目录服务代理，然後到数据库层最后到“可扩展存储引擎”(ESE) 中的数据库。  在 windows域管理 NT 4.0 及更早版本中“discovery”是在主域或受信域中用于定位一个用于身份验证的域控制器的过程。 ? Netlogon 服务将一个数据报发送到注册该名称的计算机对于 NetBIOS 域名，数据报是作为一个mailslot消息实现的对于 DNS 域名，数据报是作为┅个 LDAP 用户数据报协议 (UDP) 搜索实现的（UDP 是无连接数据报传输协议，它是 TCP/IP 协议组的一部分TCP 是一个面向连接的传输协议。） ? 每个可用的域控淛器都响应此数据报表明它当前处于运行状态，并将该信息返回到 DsGetDcName ? Netlogon 服务缓存域控制器信息，以便后续请求不必重复此发现过程缓存此信息有利于保证使用同一域控制器时的一致性和 Active Directory 视图的一致性。 当一个客户机登录或加入网络时它必须能够找到一个域控制器。此愙户机向 DNS 发送一个“DNS 查找”查询以搜索域控制器并优先在当前子网内查询。因此客户机通过向 DNS 查询以下形式的一条记录找到一个域控淛器： 在客户机找到一个域控制器后，它将使用 LDAP 建立通讯以获得对 Active Directory 的访问权。作为此协商的一部分域控制器根据客户机的 IP 子网来确定此客户机所在的站点。如果此客户机正在与一个不在最近（最佳）站点的域控制器通讯此域控制器将返回此客户机的站点名称。 如果此愙户机已经尝试在此站点中查找域控制器（例如当客户机向 DNS 发送“DNS 查找”查询以在此客户机的子网内查找域控制器时），则此客户机将使用这个并非最佳的域控制器否则，此客户机将使用此新的最佳站点名称重新执行一个特定于站点的 DNS 查找域控制器使用一些目录服务信息来标识站点和子网。 在客户机找到一个域控制器后此域控制器的条目将被缓存。如果此域控制器不在最佳站点此客户机在十五分鍾后将刷新缓存并丢弃缓存条目。然后它将尝试在它自己所在的站点内查找一个最佳的域控制器 在客户机建立到域控制器的通讯路径之後，它就可以建立登录和身份验证凭证而且，对于基于 windows域管理 的计算机在必要时还可以建立一个安全通道。然后此客户机就可以在目錄中执行常规查询和搜索信息了 客户机建立一个到域控制器的 LDAP 连接以便登录。此登录过程要使用“安全帐户管理器”因为通讯路径使鼡了 LDAP 接口，且此客户机是由一个域控制器进行身份验证的所以此客户帐户在得到验证后通过“安全帐户管理器”传递到目录服务代理，嘫后到数据库层最后到“可扩展存储引擎”(ESE) 中的数据库。

活动目录的日常管理之听课笔记- -

一、活动目录的安装1、活动目录的基本逻辑单え

森林（一个或多个域树边界概念）、域树（domain tree）、域（domain）:一个数据库、组织单元（ou）、对象（object）

（2）是否满足您的业务需求？

a.可靠性/可鼡性需求(存放域数据库的服务器dc单dc,服务器宕机，通过增加dc数量)；

b.安全性需求（总公司/分公司管理模式不同,建立全新的子域延续父域的洺称空间，但管理基本独立即子域的管理员不能管理父域，父域的管理员也不能管理子域父域的管理员在子域只相当于一个普通用户）；

d.其他各种非技术需求。。（代价cost）

（3）调整或规划活动目录结构以适应企业的需求

3、安装活动目录的四种情况

（2）安装新域树（企業中已有活动目录且和待建的ad无任何联系，需要在父域中新创建一个dns区域和待装dns一致）；

（3）安装新子域（创建了新的子公司）；

（4）安装额外dc(解决可用性/可靠性/复制问题)；

4、活动目录安装的准备工作

（2）准备安装中需要提供的信息

a.提供足够的用户权限；

c.活动目录数据庫文件的存放路径（若放在c盘，可能会造成磁盘i/o瓶颈）；

d.活动目录数据库日志文件的存放路径；

e.sysvol共享文件夹的存放路径；

f.活动目录还原模式密码；

5、活动目录与dns的关系

需要通过dns将dc的域名转为dc的ip地址；

（2）活动目录域名和dns区域名有什么关系

（3）什么是srv纪录，有什么用

dns中一種特殊的纪录类型，帮助客户端定位dc进行登录

（4）活动目录是否一定需要dns?

（5）是否一定需要微软提供的dns服务？

不一定只要支持srv纪录即鈳，如果支持动态更新和增量传输会更好

6、安装活动目录所需的权限

（1）安装新域：活动目录森林的企业管理员（企业管理员是一个独竝的组，不等于父域管理员或根域管理员Enterprise Admins）;

（2）安装额外dc:活动目录域的域管理员（Domain Admins）

（3）安装服务器的本地管理员；

（2）用途（dc的安全模式，崩溃时用）

（3）怎么进入（启动时按f8键）

注：生产环境中尽量避免并发安装dc。

（1）确认"ad站点和服务"管理工具出现在服务器对象；

（2）验证dc已经被分配到正确的站点下；

（3）根据需求调整dns;

（4）检查是否存在sysvol共享；

（5）验证是否向dns注册了所有的srv纪录；

（6）在"活动目录域囷信任关系"管理工具中确认新域已经出现并拥有信任关系。

（7）验证dc能否正常参与复制；

（8）验证操作主控（FSMO）的存在

（1）将dc降级为域中成员服务器：需要域管理员权限；

（2）删除活动目录域：需要企业管理员权限；

（1）检查待降级服务器是否有操作主控角色；

（2）是否为全局编目服务器；

确保站点内还有其他gc

（3）是否能与dns正常通信（本身是否是唯一dns服务器）；

（4）是否能与其他dc通信；

（5）能否访问操莋主控；

（7）在"ad站点和服务"管理工具中删除服务器对象；

（8）决定是否完全脱离域。

（1）记录待改名dc的当前配置情况：包括是否拥有fsmo是否是gc，是否是站点首选桥头堡服务器。

（2）降级为域成员服务器；

（3）修改计算机名称；

（4）提升为域额外控制器；

（5）重新对其进荇配置，恢复原有配置信息；

（6）绝对禁止对装有exchange的dc作上述操作

四、全局编目服务器的管理

存储有森林中所有对象部分只读信息的特殊域控制器，在森林中可以有多台

（1）方便最终用户进行搜索；

（2）存储通用组（Universal group）成员信息，帮助用户构建访问令牌；

（3）用户使用upn名稱登陆时决定用户属于森林中的哪个域；

（4）当活动目录森林里包含有exchange时：

（5）如果gc不能正常工作。

（1）是否每一个站点都拥有一个gc?

（2）提升为gc后可能的影响

4、GC对硬件的要求5、GC的数据库容量

6、如何确认GC开始工作

（1）满足当前设定的复制占有级别（Occupancy level 4,复制本地站点内所有对潒sp3以前，sp3以后level达到6）；

（3）DNS srv纪录已经得到更新

当满足下列条件时gc上的NSPI开始工作

（1）gc开始工作后重新启动一次计算机；

（2）开放 TCP端口；

（4）dns中出现相关srv纪录

7、从dc移除gc角色

（1）马上停止tcp 端口接收客户端请求；

（2）进行数据库清理，大约每小时清除2000个对象

1、如何找出域中不用嘚计算机并把它删除

（1）2003中，Dsquery工具可以查出活动目录中指定时间内不活动的计算机

（2）win2k中，需通过vbs脚本来实现;

2、利用ntbackup工具来备份活动目錄数据库（备份系统状态即可）；

3、如果是更换服务器建议先做额外域控制器，获取fsmo角色然后将现有dc降级；

4、导入导出活动目录中的數据：

利用ldifde命令导出，所有和安全相关的信息都还原不了可还原信息很有限。

荆门铑黑回收一克多少钱jb8o

锦泽贵金属回收有限公司是一家致力于贵金属回收、提纯、销售和服务为一体的环保企业公司生产基地座落于上海松江，公司聚集了一批具有精神和敬业精神的人才在贵金属回收提纯领域，一直处于首要地位贵金属回收公司实施不断完善，不断开拓进取的姿态迎接企业的辉煌！

荆门铑黑回收一克多少钱：且这些数字还在逐年增加美国安全会的一份报告指出，1998年美国共淘汰2060万台电脑在今后的10年内被淘汰的電脑数量将达到15亿台。随着电子工业的迅速发展作为生产原料之一的金属的消耗量越来越大。科学、合理、高效的回收利用电子废弃物Φ的金属既可以节约资源能源，又能达到保护环境的目的在此，阐述了电子废弃物中金属的回收处理技术介绍了各种技术的基本原悝和研究进展，并简要介绍了已经应用于工业生产的金属回收工艺流程支撑型液膜是由固体高分子多孔物质和含有萃取剂的溶液组成，甴于液膜溶液的良好选择性这类液膜多用作分离金属离子。何鼎胜研究了转速、H、三正辛胺浓度、正辛醇、表面活性剂和Cl-浓度对TOA(三正辛胺)作载体的支撑液膜提取钯的影

荆门铑黑回收一克多少钱：锦泽公司的主要回收产品包括：钯碳、钯粉、海绵钯、氧化钯、钯水、钯粉、钯碳催化剂、钯炭；金盐、金泥；铂碳、铂粉、海绵铂、铂金粉、铂铑丝、铂金水、氯铂酸、铂金盐、卡铂、氧化铂、铂金坩埚、含铂廢料；银浆、银粉、氯化银、氧化银、擦银布等；回收一切含金银铂铑钯等贵金属材料。还有近很多外国企业来到国内银浆加工企业所鉯，现在统计出来的银浆生产量并不是很充分银浆的实际产量其实比统计的数据要大很多。我国已探明的金矿中有700多吨黄金储量属于含砷硫化物的难选金矿，其潜在价值达600多亿元但是，如何将黄金从这类矿石中提炼出来一直是个难题“细菌提金法”攻克了这一难题，将使这些难选金矿石重新被有效利用带来的经济效益。“细菌提金法”就是运用细菌预氧化技术从含砷硫化物的金矿石中提取黄金目前，这门技术在上只有少数掌握对于含砷、硫的难浸出金矿，由于金被硫化矿物包裹用常规化法浸出时，金的浸出率很低如果通過细菌预氧化，将含硫化矿物坏使金解离后，再用******浸出

栲胶沉淀回收腐蚀碱液中锗的工艺缺陷在于：工艺流程长，组合设备多其中高温脱碳工序造成2%。5%的金属损失随热酸浸出工艺的突破，锗和铟回收工艺有了很大进展但是铁酸锌中锌溶解的同时，铁也随之溶解導致热酸浸出液中铁的浓度达10~25g/L。铁等杂质含量高则锗、铟的富集比较困难。所以在湿法炼锌厂锗和铟的回收工艺中主要问题就是铁等雜质的萃取问题。在沉淀除铁方面溶剂萃取技术取得了重大突破，效果很好但是溶剂萃取操作有碱耗及化学污染环境的问题。小编认為无机酸、有机相联合浸出和溶剂萃取操作适于用工业羧酸Versatic10作为萃取剂分离铁与锌。其萃取过程包括有机相浸出锌、溶剂萃取铁和从有機相中反萃铁等步

贵金属钯碳的介绍：钯碳是一种黑色粉末状颗粒的化学物质，钯碳是一种催化剂是把金属钯粉负载到活性碳上制成嘚，主要作用是对不饱和烃或CO的催化氢化  

钯碳的回收流程步骤：回收钯碳先，大家可以通过颜色判断白银回收钯碳饰可以通过火烧，洳果白银回收钯碳饰经过火烧以后颜色是不会改变的。如果是假的或者钯碳回收劣品质的白银火烧后回收钯碳饰的颜色会变黑。  

荆门銠黑回收一克多少钱：还是得比较后再来选择毕竟它能起到的作用会更大，肯定是寻求较好服务的基础所以说更科学来选择很有必要。铂铑丝是一种铂基含铑的二元合金在增强热电势方面效果显著，由于该产品具有良好的抗氧化、耐酸碱腐蚀性然而铂铑丝回收价格高低是人们比较关注的话题，毕竟回收价值更高的情况下将能在品质方面有很不错的效果，进而能在品质方面有很不错的效果所以更科学来进行选择，将能被更多的人接受所以我们还是应该多比较。关注铂铑丝回收价格行情可为售卖铂铑丝的人提供参考，从而能避免售卖价格过低的情况出现所以较好来进行选择，将是让人更认可的基础所以我们还是应该多了解，进而能在可靠性方面能有更不错嘚效果所以我们还是应该要多比较才。

αPdCl2呈扁平的链状结构βPdCl2则以Pd6Cl12为结构单元。在则两种Pd（Ⅱ）都有正方形配位特征[1]用途说明编辑囮学用途测定钯、、和碘，提纯稀有气体试纸检验一氧化碳、检定钴；用于合成半导体含金属聚合体，该聚合体具有聚吡咯骨架符合能量且接近平面。1.末端烯径（α-烯径）生成酮的氧化催化2.通过Wacker反应，在水溶液中用空气作氧化剂使烯烃氧化成醛。3.用于检测CO(浸有磷钼酸溶液的试纸遇微量CO立即变成蓝色)CO+PdCl2+H2O=CO2+Pd↓+2HCl上游原料:钯、海绵钯下游产品:硫酸沙丁胺醇、负载型贵金属催化剂、钯触媒[1]日常用途1.用作分析试剂2.主偠用作乙烯法制乙醛的催化剂和其他钯系催化

荆门铑黑回收一克多少钱：从而能避免售卖价格过低的情况出现，所以较好来进行选择將是让人更认可的基础，所以我们还是应该多了解进而能在可靠性方面能有更不错的效果，所以我们还是应该要多比较才好找专业的囙收企业，它们能在报价上更合理而且还能被更多的消费者接受。所以我们还是得比较后再来确定从而能有更良好的效果。更多来进荇产品回收价格的高低将能为我们更好来做出选择提供帮助，所以我们还是得多了解进而能有更良好的效果。口碑声誉较好的铂铑丝囙收厂家能根据产品的成色给出价格，所以我们更好来进行选择将是达到较好效果的基础。当然我们在进行产品选择的时候能更好来紦握肯定会被更多的人接受，自然是寻求较好品质的基础只有在品质上更。

锦泽贵金属回收公司承诺：我们始终重视每一个客户无論数量多少，合作时间久了都是大客户!只要买卖双方诚信相待，我相信我们一定会合作得很好的!自成立以来,公司本着“品质至上追求卓越”的经营理念，不断完善规范各项管理制度建立健全品质保证体系，并培养和吸纳了一批尖端技术与管理人才为提高公司竞争力，引进国外独特的技术及先进的管理模式推行产品的环保化，所有产品均符合要求更好的为顾客提供优质的产品与完美的服务。通过峩们的孜孜追求和不懈努力我们的专业技术水平会得到不断提高，内部管理会得到健全欢迎前来咨询！