几个很有用的连接:

1. windows 2008 R2 AD 森林、树、域创建

http://wenku.baidu.com/link?url=vkt9_sfbrg2FJO5n_74DcWXJ64gT4GEzZt3toExXk7it4sbFwOUIQ0no82F5CMlY3QJ4UHozRiWz4BVrdsN6ooXTOAjI7DscJ09KMtgE5p3


2.Trust types

https://technet.microsoft.com/en-us/library/cc775736%28v=ws.10%29.aspx


3. Group Scope and Group type

https://technet.microsoft.com/en-us/library/cc755692%28v=ws.10%29.aspx


4. 域控制器的作用

http://zhidao.baidu.com/link?url=U_7zwRXt2DFkSWAKBhK6e0_knH4V8OrqB_LqlELNFfy7hgE4GlHyoyOIqrcBAIVZVfSrQB-5lhQ9ApKLBroWWq


5. Standarlize UPN

https://technet.microsoft.com/en-us/library/cc772007.aspx


6. 域外控制器


域外控制器,是指除第一台域控制器之外的其他域控制器。在同一域内安装多台域控制器时,将具有以下优点:

  * 提高的效率。因为多台域控制器可以同时分担审核用户的工作,因此,可以加快用户的登录速度。当网络内的用户数量较多,或者多种网络服务都需要进行身份认证时,应当安装多台域外控制器。

  * 提供容错功能。即使其中一台域控制器出现故障,仍然可以由其他域控制器提供服务,让用户可以正常登录,并提供用户身份认证。

  * 无需备份活动目录。当域内存在不止一台域控制器(DC,Domain Controller)时,域控制器之间可以相互复制和备份。因此,当重新安装其中的一台DC时,备份Active Directory并不是必需的,只需将其从域中删除,再重新安装,并使之回到域中,那么,其他DC会自动将数据复制到这台DC上。也就是说,如果一个域内只有或者只剩下最后一台DC时,才有必要而且必须对Active Directory进行备份。

  在安装额外的域控制器时,需要将活动目录数据库由现有的域控制器复制到这台新的域控制器。Windows Server 2003提供了两种复制活动目录数据库的方式:

  * 通过网络复制 如果活动目录数据库内容较多,该方式将影响网络效率。

  * 通过已备份好的“系统状态数据(System State)” 先将域中域控制器的“系统状态数据”备份出来,然后,再恢复到新创建的域外控制器。有关活动目录数据库的备份与还原,请参见下述相关内容。

  提示:如果活动目录数据库非常庞大,那么,复制工作势必将增加网络负担,并降低原有域控制器的响应速率。因此,域外控制器的安装工作,应当尽量选择在非工作时段进行,以减少对正常工作的影响。

  安装域外控制器

  安装域外控制器前,应当做好以下准备工作:

  * 在域控制器中为欲作为域控制器的计算机添加计算机账号,并选中“把该计算机账户分配为”复选框。

  * 一定要在网络中先安装并设置,将计算机连接至网络,并正确设置该计算机的IP地址信息。否则,将导致安装过程失败。

  具体步骤如下:

  1. 运行“Active Directory安装向导”。

  提示:在命令行模式中键入“dcpromo”也可运行“Active Directory安装向导”。若欲从备份中复制活动目录数据库,可以使用“dcpromo /adv”命令。

  2. 在“域控制器类型”对话框,选择“现有域的”,将该计算机设置为域外控制器。.

  提示:一旦将该计算机升级为额外的域控制器后,原有的本机账号将被删除,密钥(Cryptographic Keys)也将被删除,因此,应当先进行备份。另外,已被加密的数据(如文件和电子邮件)也将无法读取,应当先将这些数据解密并备份。

  3. 在“网络凭据”对话框中,键入拥有将计算机升级为域控制器权力的用户名和密码。该用户名必须隶属于目的域的Domain Admins组、Enterprise Admins组,或者是其他授权用户。

  其他安装过程,与安装域控制器时完全相同