域的基础知识
1:域的三个概念
2:域是相对于工作组来说的,如下图
3:域架构的创建条件
4:不同域,子域,域树,林之间的关系
5:域的安全,及恢复还原
修改域还原密码:
Ntdsutil-?set dsrm password--?reset password on server+需要重置密码的DC主机名
6:一个小的注意点
如果发现一台电脑的电脑名称无法修改,很大可能是该机器是公司的CA证书服务器。 证书服务器是无法修改电脑名称的。
7:普通USER加入域
1:默认情况下,普通USER是可以给电脑加入域的,可以加10次。
修改此设置是在Adsiedit.msc进入domain name组件中,选择域的名称,右键“属性”找到“ms-ds-machineaccountquota”这个值,修改这个值的大小,可以修改一 般USER对电脑加入域的次数。
2:如果DC中的SRV记录有问题,会造成域的计算机无法加入到域中, 可以通过重启DC的NETLOGON服务来重新生成SRV记录。
7:域是一个安全边界,也就是说,每个域的Domain admins 账号只能 管理自己的域的账号,哪怕是你的子域,也没有管理权限。
8:在域控制器中,默认情况下,一般USER是无法远程桌面登陆到域控制器中的 如果需要登陆,则需要修改默认的的域控制器的组策略,GPMC.MSC打开组策略 --?选择domain controls-?点击编辑--?选择计算机配置-?策略---?windows设置 -?安全设置--?本地策略---?用户权限分配--?允许通过远程桌面服务登陆。 把需要授权登陆的账号加入,才可以登陆域控制器。
9:为了管理方便,通常情况下,我们的做法是对AD的OU进行权限委派,以方便 管理域,设定权限委派的方法是选择一个ou-?右键委派权限,用此方法即可。 但是如果需要对这个权限委派进行删除,则需要打开ADUS的高级属性选项,之后 选择该OU的属性,在里面有“安全”选项,把这个USER从安全选项里面拿掉即可。
10:此架构有2个林,4棵树,6个域。
11:GC的概念
GC是一个特殊的DC,GC会复制整个林中的所有数据。默认情况下,GC为了保证 数据库的大小,并不是对所有属性都进行复制,如果需要,可以根据实际需求进行 修改
首先:注册架构属性,regsvr32 schmmgmt之后MMC打开架构主机,查找属性,如下图,只要
把将此属性复制到GC勾选上,则此属性即可后续查询到。