1.1　理論基礎(chǔ)

Active Directory又稱活動目錄，是Windows Server系統(tǒng)中非常重要的目錄服務(wù)。Active Directory用于存儲網(wǎng)絡(luò)上各種對象的有關(guān)信息，包括用戶賬戶、組、打印機(jī)、共享文件夾等，并把這些信息存儲在目錄服務(wù)數(shù)據(jù)庫中，便于管理員和用戶查詢及使用。活動目錄具有安全、可擴(kuò)展、可伸縮的特點，與DNS集成在一起，可基于策略進(jìn)行管理。

AD DS域服務(wù)相關(guān)知識

1.1.1　認(rèn)識活動目錄及意義

什么是活動目錄呢？活動目錄就是Windows網(wǎng)絡(luò)中的目錄服務(wù)（Directory Service），即（Active Directory Domain Service，AD DS）活動目錄域服務(wù)。目錄服務(wù)包含兩方面內(nèi)容：目錄及與目錄相關(guān)的服務(wù)。

活動目錄負(fù)責(zé)目錄數(shù)據(jù)庫的保存、新建、刪除、修改與查詢等服務(wù)，用戶能很容易地在目錄內(nèi)尋找所需要的數(shù)據(jù)。

AD DS的適用范圍非常廣泛，它可以用在一臺計算機(jī)、一個小型局域網(wǎng)絡(luò)（LAN）或數(shù)個廣域網(wǎng)（WAN）結(jié)合的環(huán)境中。它包含此范圍中的所有對象，例如文件、打印機(jī)、應(yīng)用程序、服務(wù)器、域控制器和用戶賬戶等。活動目錄具有以下意義。

1.簡化管理

活動目錄和域密切相關(guān)。域是指網(wǎng)絡(luò)服務(wù)器和其他計算機(jī)的一種邏輯分組，凡是在共享域邏輯范圍內(nèi)的用戶都使用公共的安全機(jī)制和用戶賬戶信息，每個使用者在域中只擁有一個賬戶，每次登錄的是整個域。

活動目錄用于將域中的資源分層次地組織在一起，每個域都包含一個或多個域控制器（Directory Controler，DC）。域控制器就是安裝活動目錄的Windows Server 2012（R2）的計算機(jī)，它存儲域目錄完整的副本。為了簡化管理，域中的所有域控制器都是對等的，可以在任意一臺域控制器上做修改，更新的內(nèi)容將被復(fù)制到該域中所有其他域控制器。活動目錄為管理網(wǎng)絡(luò)上的所有資源提供單一入口，進(jìn)一步簡化了管理，管理員可以登錄任意一臺計算機(jī)管理網(wǎng)絡(luò)。

2.安全性

安全性通過登錄身份驗證及目錄對象的訪問控制集成在活動目錄之中。通過單點網(wǎng)絡(luò)登錄，管理員可以管理分散在網(wǎng)絡(luò)各處的目錄數(shù)據(jù)和組織單位，經(jīng)過授權(quán)的網(wǎng)絡(luò)用戶可以訪問網(wǎng)絡(luò)任意位置的資源，基于策略的管理簡化了網(wǎng)絡(luò)的管理。

活動目錄通過對象訪問控制列表及用戶憑據(jù)保護(hù)用戶賬戶和組信息。因為活動目錄不但可以保存用戶憑據(jù)，而且可以保存訪問控制信息，所以登錄到網(wǎng)絡(luò)上的用戶既能夠獲得身份驗證，也可以獲得訪問系統(tǒng)資源所需的權(quán)限。例如，在用戶登錄到網(wǎng)絡(luò)時，安全系統(tǒng)會利用存儲在活動目錄中的信息驗證用戶的身份，在用戶試圖訪問網(wǎng)絡(luò)服務(wù)時，系統(tǒng)會檢查在服務(wù)的自由訪問控制列表（DCAL）中定義的屬性。

活動目錄允許管理員創(chuàng)建組賬戶，管理員可以更加有效地管理系統(tǒng)的安全性，通過控制組權(quán)限即可控制組成員的訪問操作。

3.改進(jìn)的性能與可靠性

Windows Server 2012能夠更加有效地管理活動目錄的復(fù)制與同步，不管是在域內(nèi)還是在域間，管理員都可以更好地控制要在域控制器間進(jìn)行同步的信息類型。活動目錄還提供了許多技術(shù)，可以智能地選擇只復(fù)制發(fā)生更改的信息，而不是機(jī)械地復(fù)制整個目錄的數(shù)據(jù)庫。

1.1.2　名稱空間

名稱空間（Namespace）是一個界定好的區(qū)域（bounded area），在此區(qū)域內(nèi)，我們可以利用某個名稱找到與此名稱有關(guān)的信息。例如一本電話簿就是一個名稱空間，在這本電話簿內(nèi)（界定好的區(qū)域內(nèi)），我們可以利用姓名來找到此人的電話、地址與生日等數(shù)據(jù)。再如Windows操作系統(tǒng)的NTFS文件系統(tǒng)也是一個名稱空間，在這個文件系統(tǒng)內(nèi)，我們可以利用文件名來找到此文件的大小、修改日期與文件內(nèi)容等數(shù)據(jù)。

AD DS也是一個名稱空間。利用AD DS，我們可以通過對象名稱來找到與此對象有關(guān)的所有信息。

在TCP/IP網(wǎng)絡(luò)環(huán)境下利用Domain Name System（DNS）來解析主機(jī)名與IP地址的對應(yīng)關(guān)系，例如利用DNS來得知主機(jī)的IP地址。AD DS也與DNS緊密地集成在一起，它的域名空間也是采用DNS架構(gòu)，因此域名是采用DNS格式來命名的，例如可以將AD DS的域名命名為long.com。

1.1.3　對象和屬性

AD DS內(nèi)的資源以對象（Objects）的形式存在，例如用戶、計算機(jī)等都是對象，而對象是通過屬性（Atributes）來描述其特征的，也就是對象本身是一些屬性的集合。例如若要為使用者張三建立一個賬戶，則需新建一個對象類型（object class）為用戶的對象（也就是用戶賬戶），然后在此對象內(nèi)輸入張三的姓、名、登錄名與地址等，其中的用戶賬戶就是對象，而姓、名與登錄名等就是該對象的屬性。

1.1.4　容器

容器（Container）與對象類似，它也有自己的名稱，也是一些屬性的集合，不過容器內(nèi)可以包含其他對象（例如用戶、計算機(jī)等），也可以包含其他容器。

組織單位是一個比較特殊的容器，其內(nèi)可以包含其他對象與組織單位。組織單位也是應(yīng)用組策略（group policy）和委派責(zé)任的最小單位。

AD DS以層次式架構(gòu)（hierarchical）將對象、容器與組織單位等組合在一起，并將其存儲到AD DS數(shù)據(jù)庫內(nèi)。

1.1.5　可重新啟動的AD DS

在舊版Windows域控制器內(nèi)，若要進(jìn)行AD DS數(shù)據(jù)庫維護(hù)工作（例如數(shù)據(jù)庫脫機(jī)重整），就需要重新啟動計算機(jī)、進(jìn)入目錄服務(wù)還原模式（Directory Service Restore Mode）來執(zhí)行維護(hù)工作。若這臺域控制器也同時提供其他網(wǎng)絡(luò)服務(wù)，例如它同時也是DHCP服務(wù)器，則重新啟動計算機(jī)將造成這些服務(wù)暫時中斷。

除了進(jìn)入目錄服務(wù)還原模式之外，Windows Server 2012（R2）等域控制器還提供可重新啟動的AD DS（Restartable AD DS）功能，也就是說若要執(zhí)行AD DS數(shù)據(jù)庫維護(hù)工作，只需要將AD DS服務(wù)停止即可，不需要重新啟動計算機(jī)來進(jìn)入目錄服務(wù)還原模式。這樣不但可以讓AD DS數(shù)據(jù)庫的維護(hù)工作更容易、更快速地完成，而且其他服務(wù)也不會被中斷。完成維護(hù)工作后再重新啟動AD DS服務(wù)即可。

在AD DS服務(wù)停止的情況下，只要還有其他域控制器在線，則仍然可以在這臺AD DS服務(wù)停止的域控制器上利用域用戶賬戶登錄。若沒有其他域控制器在線，則在這臺AD DS服務(wù)已停止的域控制器上，默認(rèn)只能夠利用目錄服務(wù)還原模式的系統(tǒng)管理員賬戶來進(jìn)入目錄服務(wù)還原模式。

1.1.6　Active Directory回收站

在舊版Windows系統(tǒng)中，系統(tǒng)管理員若不小心將AD DS對象刪除，其恢復(fù)過程耗時耗力，例如誤刪組織單位，其內(nèi)所有對象都會丟失，此時雖然系統(tǒng)管理員可以進(jìn)入目錄服務(wù)還原模式來恢復(fù)被誤刪的對象，不過比較耗費時間，而且在進(jìn)入目錄服務(wù)還原模式這段時間內(nèi)，域控制器會暫時停止對客戶端提供服務(wù)。Windows Server 2012（R2）具備Active Directory回收站功能，它讓系統(tǒng)管理員不需要進(jìn)入目錄服務(wù)還原模式，就可以快速恢復(fù)被刪除的對象。

1.1.7　AD DS的復(fù)制模式

AD DS域服務(wù)相關(guān)知識

域控制器之間在復(fù)制AD DS數(shù)據(jù)庫時，分為下面兩種復(fù)制模式。

·多主機(jī)復(fù)制模式（multi-master replication model）：AD DS數(shù)據(jù)庫內(nèi)的大部分?jǐn)?shù)據(jù)是利用此模式進(jìn)行復(fù)制操作的。在此模式下，您可以直接更新任何一臺域控制器內(nèi)的AD DS對象，之后這個更新過的對象會被自動復(fù)制到其他域控制器。例如，在任何一臺域控制器的AD DS數(shù)據(jù)庫內(nèi)添加一個用戶賬戶后，此賬戶會自動被復(fù)制到域內(nèi)的其他域控制器。

·單主機(jī)復(fù)制模式（single-master replication model）：AD DS數(shù)據(jù)庫內(nèi)少部分?jǐn)?shù)據(jù)是采用單主機(jī)復(fù)制模式進(jìn)行復(fù)制的。在此模式下，當(dāng)您提出修改對象數(shù)據(jù)的請求時，會由其中一臺域控制器（被稱為操作主機(jī)）負(fù)責(zé)接收與處理此請求，也就是說該對象是先在操作主機(jī)中被更新，再由操作主機(jī)將它復(fù)制給其他域控制器。例如添加或刪除一個域時，此變動數(shù)據(jù)會先被寫入到扮演域命名操作主機(jī)角色的域控制器內(nèi)，再由它復(fù)制給其他域控制器（詳見第10章）。

1.1.8　認(rèn)識活動目錄的邏輯結(jié)構(gòu)

活動目錄的結(jié)構(gòu)是指網(wǎng)絡(luò)中所有用戶、計算機(jī)以及其他網(wǎng)絡(luò)資源的層次關(guān)系，就像一個大型倉庫中分出若干個小儲藏間，每個小儲藏間又分別用來存放東西。通常活動目錄的結(jié)構(gòu)可分為邏輯結(jié)構(gòu)和物理結(jié)構(gòu)，分別包含不同的對象。

活動目錄的邏輯結(jié)構(gòu)非常靈活，目錄中的邏輯單元通常包括架構(gòu)、域、組織單位、域樹、域林、站點和目錄分區(qū)。

1.架構(gòu)

AD DS對象類型與屬性數(shù)據(jù)是定義在架構(gòu)（Schema）內(nèi)的，例如它定義了用戶對象類型內(nèi)包含哪些屬性（姓、名、電話等）、每一個屬性的數(shù)據(jù)類型等信息。

隸屬于Schema Admins組的用戶可以修改架構(gòu)內(nèi)的數(shù)據(jù)，應(yīng)用程序也可以自行在架構(gòu)內(nèi)添加其所需的對象類型或?qū)傩浴Ｔ谝粋€林內(nèi)的所有域樹共享相同的架構(gòu)。

2.域

域是在Windows NT/2000/2003/2008/2012網(wǎng)絡(luò)環(huán)境中組建客戶機(jī)/服務(wù)器網(wǎng)絡(luò)的實現(xiàn)方式。所謂域，是由網(wǎng)絡(luò)管理員定義的一組計算機(jī)集合，實際上就是一個網(wǎng)絡(luò)。在這個網(wǎng)絡(luò)中，至少有一臺稱為域控制器的計算機(jī)，充當(dāng)服務(wù)器角色。在域控制器中保存著整個網(wǎng)絡(luò)的用戶賬號及目錄數(shù)據(jù)庫，即活動目錄。管理員可以通過修改活動目錄的配置來實現(xiàn)對網(wǎng)絡(luò)的管理和控制，如管理員可以在活動目錄中為每個用戶創(chuàng)建域用戶賬號，使他們可登錄域并訪問域的資源。同時，管理員也可以控制所有網(wǎng)絡(luò)用戶的行為，如控制用戶能否登錄、在什么時間登錄、登錄后能執(zhí)行哪些操作等。而域中的客戶計算機(jī)要訪問域的資源，則必須先加入域，并通過管理員為其創(chuàng)建的域用戶賬號登錄域，才能訪問域資源，同時，也必須接受管理員的控制和管理。構(gòu)建域后，管理員可以對整個網(wǎng)絡(luò)實施集中控制和管理。

3.組織單位

組織單位（Organizational Unit，OU）在活動目錄（Active Directory，AD）中扮演特殊的角色，它是一個當(dāng)普通邊界不能滿足要求時創(chuàng)建的邊界。OU把域中的對象組織成邏輯管理組，而不是安全組或代表地理實體的組。OU是應(yīng)用組策略和委派責(zé)任的最小單位。

組織單位是包含在活動目錄中的容器對象。創(chuàng)建組織單位的目的是對活動目錄對象進(jìn)行分類。比如，由于一個域中的計算機(jī)和用戶較多，會使活動中的對象非常多。這時，管理員如果想查找某一個用戶賬號并進(jìn)行修改是非常困難的。另外，如果管理員只想對某一部門的用戶賬號進(jìn)行操作，實現(xiàn)起來不太方便。但如果管理員在活動目錄中創(chuàng)建了組織單位，所有操作就會變得非常簡單。比如管理員可以按照公司的部門創(chuàng)建不同的組織單位，如財務(wù)部組織單位、市場部組織單位、策劃部組織單位等，并將不同部門的用戶賬號建立在相應(yīng)的組織單位中，更便于管理。除此之外，管理員還可以針對某個組織單位設(shè)置組策略，實現(xiàn)對該組織單位內(nèi)所有對象的管理和控制。

總之，創(chuàng)建組織單位有如下好處。

①可以分類組織對象，使所有對象結(jié)構(gòu)更清晰。

②可以對某些對象配置組策略，實現(xiàn)對這些對象的管理和控制。

③可以委派管理控制權(quán)，如管理員可以給不同部門的網(wǎng)絡(luò)主管授權(quán)，讓他們管理本部門的賬號。

因此組織單位是可將用戶、組、計算機(jī)和其他單元放入活動目錄的容器，組織單位不能包括來自其他域的對象。組織單位是可以指派組策略設(shè)置或委派管理權(quán)限的最小作用單位。使用組織單位，用戶可在組織單位中代表邏輯層次結(jié)構(gòu)的域中創(chuàng)建容器，這樣就可以根據(jù)組織模型管理網(wǎng)絡(luò)資源的配置和使用。可授予用戶對域中某個組織單位的管理權(quán)限，組織單位的管理員不需要具有域中任何其他組織單位的管理權(quán)。

4.域目錄樹

當(dāng)要配置一個包含多個域的網(wǎng)絡(luò)時，應(yīng)該將網(wǎng)絡(luò)配置成域目錄樹結(jié)構(gòu)，如圖1-1所示。

在圖1-1所示的域目錄樹中，最上層的域名為China.com，是這個域目錄樹的根域，也稱為父域。下面兩個域Jinan.China.com和Beijing.China.com是China.com域的子域。3個域共同構(gòu)成了這個域目錄樹。

活動目錄的域名仍然采用DNS域名的命名規(guī)則。如圖1-1所示的域目錄樹中，兩個子域的域名Jinan.China.com和Beijing.China.com中仍包含父域的域名China.com，因此，它們的名稱空間是連續(xù)的。這也是判斷兩個域是否屬于同一個域目錄樹的重要條件。

圖1-1　域目錄樹

在整個域目錄樹中，所有域共享同一個活動目錄，即整個域目錄樹中只有一個活動目錄。只不過這個活動目錄分散地存儲在不同的域中（每個域只負(fù)責(zé)存儲和本域有關(guān)的數(shù)據(jù)），整體上形成一個大的分布式的活動目錄數(shù)據(jù)庫。在配置一個較大規(guī)模的企業(yè)網(wǎng)絡(luò)時，可以配置為域目錄樹結(jié)構(gòu)，比如將企業(yè)總部的網(wǎng)絡(luò)配置為根域，各分支機(jī)構(gòu)的網(wǎng)絡(luò)配置為子域，整體上形成一個域目錄樹，以實現(xiàn)集中管理。

5.域目錄林

如果網(wǎng)絡(luò)的規(guī)模比前面提到的域目錄樹還要大，甚至包含了多個域目錄樹，這時可以將網(wǎng)絡(luò)配置為域目錄林（也稱森林）結(jié)構(gòu)。域目錄林由一個或多個域目錄樹組成，如圖1-2所示。域目錄林中的每個域目錄樹都有唯一的命名空間，它們之間并不是連續(xù)的，這一點從圖1-2中的兩個目錄樹中可以看到。

整個域目錄林中也存在一個根域，這個根域是域目錄林中最先安裝的域。在圖1-2所示的域目錄林中，China.com是最先安裝的，則這個域是域目錄林的根域。

圖1-2　域目錄林

注意：在創(chuàng)建域目錄林時，組成域目錄林的兩個域目錄樹的樹根之間會自動創(chuàng)建相互的、可傳遞的信任關(guān)系。由于有了雙向的信任關(guān)系，域目錄林中的每個域中的用戶都可以訪問其他域的資源，也可以從其他域登錄到本域中。

6.站點

站點由一個或多個IP子網(wǎng)組成，這些子網(wǎng)通過高速網(wǎng)絡(luò)設(shè)備連接在一起。站點往往由企業(yè)的物理位置分布情況決定，可以依據(jù)站點結(jié)構(gòu)配置活動目錄的訪問和復(fù)制拓?fù)潢P(guān)系，使得網(wǎng)絡(luò)更有效地連接，復(fù)制策略更合理，用戶登錄更快速。活動目錄中的站點與域是兩個完全獨立的概念，一個站點中可以有多個域，多個站點也可以位于同一個域中。

AD DS域服務(wù)相關(guān)知識

活動目錄站點和服務(wù)可以通過使用站點提高大多數(shù)配置目錄服務(wù)的效率。通過使用活動目錄站點和服務(wù)來發(fā)布站點，并提供有關(guān)網(wǎng)絡(luò)物理結(jié)構(gòu)的信息，從而確定如何復(fù)制目錄信息和處理服務(wù)的請求。計算機(jī)站點是根據(jù)其在子網(wǎng)或組已連接好子網(wǎng)中的位置指定的，子網(wǎng)用來為網(wǎng)絡(luò)分組，類似于生活中使用郵政編碼劃分地址。劃分子網(wǎng)可方便發(fā)送有關(guān)網(wǎng)絡(luò)與目錄連接的物理信息，而且同一子網(wǎng)中計算機(jī)的連接情況通常優(yōu)于不同網(wǎng)絡(luò)。

使用站點的意義主要有如下3點。

①提高了驗證過程的效率。當(dāng)客戶使用域賬戶登錄時，登錄機(jī)制首先搜索與客戶處于同一站點內(nèi)的域控制器，使用客戶站點內(nèi)的域控制器可以使網(wǎng)絡(luò)傳輸本地化，從而加快了身份驗證的速度，提高了驗證過程的效率。

②平衡了復(fù)制頻率。活動目錄信息可在站點內(nèi)部或站點之間進(jìn)行信息復(fù)制，但由于網(wǎng)絡(luò)的原因，活動目錄在站點內(nèi)部復(fù)制信息的頻率高于站點間的復(fù)制頻率，這樣做可以平衡對最新目錄的信息需求和可用網(wǎng)絡(luò)帶寬帶來的限制，可以通過站點鏈接來定制活動目錄如何復(fù)制信息以指定站點的連接方法，活動目錄使用有關(guān)站點如何連接的信息生成連接對象，以便提供有效的復(fù)制和容錯。

③可提供有關(guān)站點鏈接信息。活動目錄可使用站點鏈接信息費用、鏈接使用次數(shù)、鏈接何時可用以及鏈接使用頻度等信息確定應(yīng)使用哪個站點來復(fù)制信息以及何時使用該站點。定制復(fù)制計劃使復(fù)制在特定時間（諸如網(wǎng)絡(luò)傳輸空閑時）進(jìn)行，會使復(fù)制更為有效。通常所有域控制器都可用于站點間信息的變換，也可以通過指定橋頭堡服務(wù)器優(yōu)先發(fā)送和接收站間復(fù)制信息的方法進(jìn)一步控制復(fù)制行為。當(dāng)擁有希望用于站間復(fù)制的特定服務(wù)器時，我們寧愿建立一個橋頭堡服務(wù)器而不使用其他可用服務(wù)器。或在配置代理服務(wù)器時建立一個橋頭堡服務(wù)器，用于通過防火墻發(fā)送和接收信息。

7.目錄分區(qū)（Directory Partition）

AD DS數(shù)據(jù)庫被邏輯地分為下面4個目錄分區(qū)。

①架構(gòu)目錄分區(qū)（Schema DireCtory Partition）：它存儲著整個林中所有對象與屬性的定義數(shù)據(jù)，也存儲著如何建立新對象與屬性的規(guī)則。整個林內(nèi)所有域共享一份相同的架構(gòu)目錄分區(qū)，它會被復(fù)制到林中所有域的所有域控制器。

②配置目錄分區(qū)（Configuration Directory Partition）：其內(nèi)存儲著整個AD DS的結(jié)構(gòu)，例如有哪些域、哪些站點、哪些域控制器等數(shù)據(jù)。整個林共享一份相同的配置目錄分區(qū)，它會被復(fù)制到林中所有域的所有域控制器。

③域目錄分區(qū)（Domain Directory Partition）：每一個域各有一個域目錄分區(qū)，其內(nèi)存儲著與該域有關(guān)的對象，例如用戶、組與計算機(jī)等對象。每一個域各自擁有一份域目錄分區(qū)，它只會被復(fù)制到該域內(nèi)的所有域控制器，但并不會被復(fù)制到其他域的域控制器。

④應(yīng)用程序目錄分區(qū)（Application Directory Partition）：一般來說，應(yīng)用程序目錄分區(qū)是由應(yīng)用程序所建立的，其內(nèi)存儲著與該應(yīng)用程序有關(guān)的數(shù)據(jù)，例如由Windows Server 2012 R2扮演的DNS服務(wù)器，若所建立的DNS區(qū)域為Active Directory集成區(qū)域的話，則它會在AD DS數(shù)據(jù)庫內(nèi)建立應(yīng)用程序目錄分區(qū)，以便存儲該區(qū)域的數(shù)據(jù)。應(yīng)用程序目錄分區(qū)會被復(fù)制到林中特定的域控制器中，而不是所有的域控制器。

1.1.9　認(rèn)識活動目錄的物理結(jié)構(gòu)

活動目錄的物理結(jié)構(gòu)與邏輯結(jié)構(gòu)是彼此獨立的兩個概念。邏輯結(jié)構(gòu)側(cè)重于網(wǎng)絡(luò)資源的管理，而物理結(jié)構(gòu)則側(cè)重于網(wǎng)絡(luò)的配置和優(yōu)化。物理結(jié)構(gòu)的3個重要概念是域控制器、只讀域控制器（RODC）和全局編錄服務(wù)器。

1.域控制器

域控制器是指安裝了活動目錄的Windows Server 2012的服務(wù)器，它保存了活動目錄信息的副本。域控制器管理目錄信息的變化，并把這些變化復(fù)制到同一個域中的其他域控制器上，使各域控制器上的目錄信息同步。域控制器負(fù)責(zé)用戶的登錄過程以及其他與域有關(guān)的操作，如身份鑒定、目錄信息查找等。一個域可以有多個域控制器，規(guī)模較小的域可以只有2個域控制器，一個實際應(yīng)用，另一個用于容錯性檢查；規(guī)模較大的域則使用多個域控制器。

域控制器沒有主次之分，采用多主機(jī)復(fù)制方案，每一個域控制器都有一個可寫入的目錄副本，這為目錄信息容錯帶來了無盡的好處。盡管在某個時刻，不同的域控制器中的目錄信息可能有所不同，但一旦活動目錄中的所有域控制器執(zhí)行同步操作之后，最新的變化信息就會一致。

2.只讀域控制器（RODC）

只讀域控制器（Read-Only Domain Controller，RODC）的AD DS數(shù)據(jù)庫只可以被讀取、不可以被修改，也就是說用戶或應(yīng)用程序無法直接修改RODC的AD DS數(shù)據(jù)庫。RODC的AD DS數(shù)據(jù)庫內(nèi)容只能夠從其他可讀寫的域控制器復(fù)制過來。RODC主要是為遠(yuǎn)程分公司網(wǎng)絡(luò)設(shè)計、使用的。因為一般來說遠(yuǎn)程分公司的網(wǎng)絡(luò)規(guī)模比較小、用戶人數(shù)比較少，此網(wǎng)絡(luò)的安全措施或許并不如總公司完備，也可能缺乏IT技術(shù)人員，因此采用RODC可避免因其AD DS數(shù)據(jù)庫被破壞而影響到整個AD DS環(huán)境的問題。

（1）RODC的AD DS數(shù)據(jù)庫內(nèi)容

除了賬戶的密碼之外，RODC的AD DS數(shù)據(jù)庫內(nèi)會存儲AD DS域內(nèi)的所有對象與屬性。遠(yuǎn)程分公司內(nèi)的應(yīng)用程序要讀取AD DS數(shù)據(jù)庫內(nèi)的對象時，可以通過RODC來快速獲取。不過因為RODC并不存儲用戶賬戶的密碼，因此它在驗證用戶名稱與密碼時，仍然需將它們送到總公司的可寫域控制器來驗證。

由于RODC的AD DS數(shù)據(jù)庫是只讀的，因此遠(yuǎn)程分公司的應(yīng)用程序如果要修改AD DS數(shù)據(jù)庫的對象或用戶要修改密碼，這些變更請求都會被轉(zhuǎn)發(fā)到總公司的可寫域控制器來處理，總公司的可寫域控制器再通過AD DS數(shù)據(jù)庫的復(fù)制程序?qū)⑦@些變動數(shù)據(jù)復(fù)制到RODC。

（2）單向復(fù)制（Unidirectional Replication）

總公司的可寫域控制器的AD DS數(shù)據(jù)庫有變動時，此變動數(shù)據(jù)會被復(fù)制到RODC。然而因為用戶或應(yīng)用程序無法直接修改RODC的AD DS數(shù)據(jù)庫，故總公司的可寫域控制器不會向RODC索取變動數(shù)據(jù)，因而可以降低網(wǎng)絡(luò)的負(fù)擔(dān)。

除此之外，可寫域控制器通過DFS分布式文件系統(tǒng)將SYSVOL文件夾（用來存儲與組策略有關(guān)的設(shè)置）復(fù)制給RODC時，也采用單向復(fù)制。

（3）認(rèn)證緩存（Credential Caching）

RODC在驗證用戶的密碼時，仍然需要將它們送到總公司的可寫域控制器來驗證，若希望提高驗證速度，可以選擇將用戶的密碼存儲到RODC的認(rèn)證緩存區(qū)。您需要通過密碼復(fù)制策略（Password Replication Policy）來選擇可以被RODC緩存的賬戶。建議不要緩存太多賬戶，因為分公司的安全措施可能比較差，若RODC被入侵則存儲在緩存區(qū)內(nèi)的認(rèn)證信息可能會外泄。

（4）系統(tǒng)管理員角色隔離（Administrator Role Separation）

您可以通過系統(tǒng)管理員角色隔離功能來將任何一位域用戶指定為RODC的本機(jī)系統(tǒng)管理員。RODC（本機(jī)系統(tǒng)管理員）可以在RODC這臺域控制器上登錄并執(zhí)行管理工作，例如更新驅(qū)動程序等，但卻無法登錄其他域控制器，也無法執(zhí)行其他域管理工作。此功能讓您可以將RODC的一般管理工作分配給用戶，但卻不會危害到域安全。

（5）只讀域名系統(tǒng)（Read-Only Domain Name System）

您可以在RODC上架設(shè)DNS服務(wù)器，RODC會復(fù)制DNS服務(wù)器的所有應(yīng)用程序目錄分區(qū)。客戶端可向該臺扮演RODC角色的DNS服務(wù)器提出DNS查詢要求。

不過RODC的DNS服務(wù)器不支持客戶端動態(tài)更新，因此客戶端的更新記錄請求會被該DNS服務(wù)器轉(zhuǎn)發(fā)到其他DNS服務(wù)器，讓客戶端轉(zhuǎn)向該DNS服務(wù)器進(jìn)行更新，而RODC的DNS服務(wù)器也會自動從這臺DNS服務(wù)器復(fù)制該更新記錄。

3.全局編錄服務(wù)器

盡管活動目錄支持多主機(jī)復(fù)制方案，然而由于復(fù)制引起通信流量以及網(wǎng)絡(luò)潛在的沖突，變化的傳播并不一定能夠順利進(jìn)行，因此有必要在域控制器中指定全局編錄（Global Catalog，GC）服務(wù)器以及操作主機(jī)。全局編錄是一個信息倉庫，包含活動目錄中所有對象的部分屬性，是在查詢過程中訪問最為頻繁的屬性。利用這些信息，可以定位任何一個對象實際所在的位置。全局編錄服務(wù)器是一個域控制器，它保存了全局編錄的一份副本，并執(zhí)行對全局編錄的查詢操作。全局編錄服務(wù)器可以提高活動目錄中大范圍內(nèi)對象檢索的性能，比如在域林中查詢所有的打印機(jī)操作。如果沒有全局編錄服務(wù)器，那么必須調(diào)動域林中每一個域的查詢過程。如果域中只有一個域控制器，那么它就是全局編錄服務(wù)器；如果域中有多個域控制器，那么管理員必須把其中一個域控制器配置為全局編錄控制器。