05.02.2006
域控制器:存有AD的服务器,主要用于身份验证
必须安装Win2k ser 至少200M(数据库)+50M(日志 5M一个)
Sysvol共享目录,必须在NTFS分区上
必须使用TCP/IP 是DNS客户端
多台DC需要统一的时钟
创建DC:
1 创建Root Domain(森林中第一个根域)
Dcpromo
需要先创建Zone并且打开动态更新
建议:数据库放在Raid5上,log放在Raid1上
2 创建一个域中其他域控制器: 域管理员,森林管理员有权
3 创建域树中的子域:只有森林管理员有权限
在森林中创建一棵树:只有森林管理员有权限,名字不能和已有的树关联
AD校验:netlogon.dns DNS管理中有带下划线的纪录 在Defualt-first-site-name中 GC(全局编录)
每台计算机的sysvol目录内同自动同步
OU:容器,包容其他对象
域和OU从包容对象上没区别,,,
委派控制: 可以指定OU管理员,分散管理
使用单域模型:组织性,逻辑的组织,单域多OU OU无安全性设计
在OU上可以实现组策略
User:
UPN: Usernmae@domainname 用类似邮箱名登陆Win2k域
自定义UPN后缀(丛GC获得,不通过DNS)
创建计算机账户,,,不等于把计算机加入域
对象的移动:继承来的权限会被取消
关于安全性的对象:用户 安全组 服务 计算机(拥有唯一的ID)
SID 安全的唯一的
访问控制Securtiy Descriptors:DACL控制访问列表 SACL如何控制对于对象的审核 (SACL&DACL有ACE组成)
SACL 安全性比较高,访问速度较慢
ACE:包括用户SID,组SID,Access Option(allow&Deny)
对象权限全部删除后,将无法再对对象进行管理!
访问令牌(包含用户SID及组SID):1 申请"读" 2在DACL中检查Access Token中SID,找到是否允许"读" 3 查找SACL审核
否优先
权限委派,许可的自动分配 大多数情况,在OU上 或者在对象上,进行权限设置(方便快捷)
所有者:默认(创建者即所有者)