1、工作组和域的理解

2、AD（活动目录）概述

3、AD域对象、属性、容器与组织单位

4、域、树、林之间的关系

5、信任与架构的理解

6、域控制器的理解

7、站点的理解

一、Active Directory域服务概述

1、理解工作组和域

a、工作组是一种平等身份环境，各个计算机之间各为一个独立体，不方便于管理和资源共享，在高端的一些应用中，其支持度不够，发挥不了高端应用的更多功能。

b、域环境一般情况下满足两类需求，一类是应用需求，比如微软的系列产品Exchange、Hyper-V、群集技术都需要域环境；第二类是管理需求，比如组策略的控制、集中控制用户和组身份、共享计算机资源，都可以在域环境中发挥极致的性能。

2、AD（活动目录）概述

a、AD域内的Directory Datebase(目录数据库)被用来存储用户账户、计算机账户、打印机、共享文件夹等对象，而提供目录服务的组件就是AD域服务（Active Directory Domain

Service,AD DS）,AD DS负责目录数据库的存储、创建、删除、修改与查询等工作。

3、名称空间的理解

4、对象（Object）与属性（Attribute）的理解

5、容器（Container）与组织单位（Organization Units，OU）的理解

a、容器内可包含：容器=对象（用户、计算机等）+其他容器

b、组织单位可包含：组织单位=对象+组织单位+策略

c、AD DS是以层次式架构将对象、容器与组织单位等组合在一起，并将其存储到AD DS数据库内

c、组织单位可以理解为一种特殊的容器

6、域、树、林之间的关系理解

a、数据是分散存储在各个域内，每一个域内只存储隶属于该域的数据，例如，该域内的用户账户、计算机（存储在该域的域控制器内）

7、信任的理解

a、当你在建立林时，每一个域树的根域与林根域之间是双向的、可传递的信任关系，这种信任关系是自动建立的。因此每个域树中的每一个域内的用户只要拥有权限就可以访问其他域内的资源，也可以到其他任何一个域树内的计算机进行登陆。

8、架构的理解

a、在同一个林内的所有域树共享相同的架构

9、域控制器的理解

a、AD域服务的目录数据是存储在域控制器内的

b、一个域内可以有多台域控制器，其身份几乎平等，它们各自存储着一份相同的AD DS数据库其数据同步可以自动同步，也可以手动同步。

c、两台或多台域控制器可以提供容错功能。

10、Lightweight Directory Access Protocol（LDAP）的理解

a、首先强调的是LDAP是一种通信协议，用来查询与更新AD DS数据的目录服务通信协议

b、AD DS利用LDAP名称路径来表示对象在AD DS数据内的位置，以便访问AD DS数据库内的对象

e、LDAP名称路径包含：

1、DN:Distinguished Name（专有名称；可辨别名称），其表示对象在AD DS数据库内的完整路径：CN=zhangsan,OU=Users,DC=birtop,DC=com

2、RDN:Relative Distinguished Name

3、GUID：Global Unique Identifier

4、UPN:User Principal Name:

11、全局编录概念理解

a、虽然在域树内的所有域能够共享一个AD DS数据库，但是其详细数据是分布在各个域内，而每个域只存储该域本身的数据。为了让用户以及应用程序能够快速的找到位于其他域内的资源，在AD DS内便设计了全局编录

b、一个林之内所有域树共享相同的全局编录

c、全局编录的数据是存储在域控制器之内的，这台域控制器被称为全局编录服务器，它存储着所有域的AD DS数据库内的每一个对象，不过只存储对象的部分关键属性。

12、站点理解

a、站点是由一个或多个IP子网组成，这些子网之间通过高速稳定的链路连接起来，如果两个网络之间的链路不够高速和稳定，可以规划为不同站点。

b、根据上述描述，一般情况下LAN可规划为一个站点，而WAN之中的各个LAN应该规划为不同的站点。

c、域是逻辑的分组，而站点则是物理的分组

d、若一个域的域控制器分布在不同的站点内，而站点之间是低速链接的话，由于不同站点的域控制器会互相复制AD DS数据库，因此需要谨慎规划执行复制的时间段。

e、不同站点之间在复制时所传递的数据会被压缩，以减少站点之间连接的带宽负载；但同同一个站点内的域控制器复制并不会进行压缩数据。

13、目录分区（Directory Partition）

a、架构目录分区（Schema Directory Partition）

它存储着整个林中所有对象与属性的关键数据，也存储着如何创建新的对象与属性的规则，整个林所有的域共享一份相同的架构目录分区，它会被复制到林中所有域内的所有域控制器。

b、配置目录分区（Configuration Directory Partition）

    它存储着整个AD DS的结构，例如林中有哪些域、有哪些站点、有哪些域控制器等数据。整个林所有的域共享一份相同的架构目录分区，它会被复制到林中所有域内的所有域控制器。

c、域目录分区（Domain Directory Partition）

每一个域各有一个域目录分区，其内存储着与该域有关的对象，比如用户、组、计算机、组织单位等。每一个域各自有一份域目录分区，它只会被复制到该域所有域控制器中，并不会被复制到其他域的域控制器中。

d、应用程序目录分区（Aplication Directory Partition）

一般来说，应用程序的目录分区主要是由应用程序创建的，其内存储着与该应用有关的数据。应用程序目录分区会被复制到林中特定的域控制器。