活動目錄的邏輯結構

 
1.域 --- 對于微軟環境描述的統稱的概念
 域的高可用：創建多個DC
 
2.子域
 在什么情況下需要創建子域？ 一般在“管理獨立”的分支機構
 子域的命名：.父域的命名
 創建子域的前提條件：一定需要父域給你提供企業管理員組的權限！
 A: 要做子域控的服務器需要加入到父域
 B: 使用“Enterprise Admins" 組的權限完成域的向導！
 
3.分支機構到底建立備份域控，還是建立子域？
 總部和分支機構部署域控場景
 場景01：兩個獨立的林 --- 兩套獨立的架構 --- 非常撈
 場景02： 分支機構是總部的備份DC --- 多數
 場景03：分支機構是總部的子域 --- 少量
 
到底選用備份域控還是子域，和下列因素有關：
 A：分支機構是否需要獨立管理 --- 非常重要
 適用于無論行政，還是信息管理上，分支機構都是獨立管理
 如果需要獨立管理 --- 推薦使用子域；如果需要統一化管理，就使用備份域控
 B：分支機構是否有專門的域管理團隊
 如果分支機構只有Helpdesk，沒有服務器運維，建議創建備份域控！
 
4.父域的DC和子域的DC有數據同步嗎？
 ADSIEDIT --- ADSI編輯器 --- 用來編輯活動目錄數據庫底層的數據
 活動目錄數據庫主要有四個存儲分區：架構目錄分區，配置分區，域目錄分區，應用程序目錄分區
 A：域分區 --- 存儲著當前這個域中的所有的對象
 B：配置分區---存儲著針對當前林的配置信息
 C：構架分區--- 存儲著當前林的對象的構架
 D：應用程序目錄分區 --- 應用程序目錄分區是由應用程序所建立的, 其內儲存著與該應用程 序有關 的數據, 如DNS服務器. 應用程序分區會被復制到林中的特定域控制器,而不是所有 的域控制器,應用 程序目錄分區比較, 一般用不到
 
 重要：如果兩個DC在同一個域中，三個分區都相互同步；
 如果兩個DC在同一個林中，但不在一個域中，只有配置分區和構架分區同步
 
5.域樹
 新數域創建好后，必須要做一個配置，否則新樹域無法工作
 必須要在根域（林中的第一個域）上配置到新樹域的DNS轉發！！！
 
6.林
 兩個林之間如果希望能傳遞身份驗證，必須需要手工建立信任
 建立信任的條件：
 A：兩個林能相互轉發DNS解析
 B：必須要林功能級別在Windows Server 2003 以上
 
7.全局編錄服務器或者叫全局目錄服務器 --- 簡稱 GC
 微軟默認推薦：所有的DC都是全局編錄服務器
 在搜索活動目錄對象的時候，不是在某一個域，而是在林中所有的域上完成搜索---GC
 DC --- 包含當前域中所有的對象
 GC --- 包含整個林的所有的對象
 當在搜索時，選擇“整個目錄”，就是在GC上搜索
 
怎么找到GC呢？ DNS的SRV記錄里。 如下圖：
 

 
 
 GC --- 包含了林中所有的域對象 （假設林中有20個域，每個域的數據庫 10GB），
 那么：GC 的DB --- 200GB。那么搜索的速度…可想而知
 SO，微軟對此進行了優化：GC包含林中所有的對象，但只包含部分的屬性，主要使用的屬性！！！
 
例如當一個跨國性企業，想要搜索企業里有多少中國人的時候。因為GC里默認沒有包含國家的屬性
需要添加國家的屬性到GC ，那怎樣查看國家的屬性？
打開ADDS找到你填寫過國家值的用戶，根據填寫的值，反推出對應的屬性。如下圖：**
 

 
 
那怎樣把相應的屬性添加到GC的搜索中？ 在運行里輸入下圖命令:
 

 
 
然后運行，輸入mmc，添加管理單元Active Directory 構架，點擊屬性，在屬性里找到剛才反推出的屬性
然后右鍵點擊，選擇屬性，勾上將此屬性復制到全局編錄，點擊確定。如下圖：

 
一段時間后，GC里就可以按國家搜索了