你对AD了解得是不是很透彻,我是提倡在理解完MCSE教程上面的每一个知识点之后再掌握这些使用和管理AD的特殊技巧。说来大家一起共勉吧!
1、出于某些原因,组中包含的成员一般不能超过5000个。如果组的最大容量为5000,那么域在建立时自动创建名为“Domain Users"的组中会包还所在域的每个用户帐户,如果建立了一个大于5000名用户的AD,那么“Domain Users”也不会崩溃的,why?答案在于“Domain Users”并不是一个真正的组,而只是看上去像一个组。他的容量根据用户的需要可以是任意大小的。
2、建立多域与使用OU的对比:
由于带宽有限:复制成为难题(这是使用多域结构最好的理由)。
不同的用户帐户策略:因为包含用户帐户策略的策略只能应用在域上,如果应用到一个OU或SITE上,则被忽略,所以这也是建立多域的原因。
不信任分支办公室:这个不用说了。
政治:父公司,子公司,这个也不用说了。
3、空根设计:
创建第一个域然后只在其中放入一两个帐户,别的什么也不做的想法称为空根AD设计。有些企业即使建立的是只有一个域的企业系统也创建了一个空根域,这是考虑到将来可能会收购其他公司时需要。缺点时你需要为这个空根设置一台DC,或者两台,并持续不断地运行,什么也不做,仅仅是为了支持根域。
4、在命令行使用以下命令查找客户计算机所在的站点名字。(域内的计算机就是根据这个位置来寻找距离自己最近的DC的,只有在2003的计算机上默认才有reg.exe这个命令的,2000下需要安装光盘上的support工具)
reg query hklm/System/CurrentControlSet/Services/Netlogon/Parameters /v dynamicsitename
5、在域的成员计算机上打开一个命令提示符界面并输入set命令,可以找出是哪台DC让自己登录进的。LogonServer=开始的一行就是。
6、在用户的登录过程中,如果找不到GC,那么用户将无法登录(如果在单域中,不需要GC也可以登录进入),管理员可以告诉自己的本地DC即使找不到GC也仍然接受登录(KB241789)。修改注册表即可,位置如下:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa/中创建一个名为IgnoreGCFailures的记录项,类型是REG_DWORD,并且把它设置为1就可以了。不过这么做意味这你的工作站将在登录过程中跳过一个安全步骤,避开队你的通用组成员关系的检查。