2154AWindows2000目錄服務(wù)基礎(chǔ)結(jié)構(gòu)設(shè)計(jì)與管理

下次課開(kāi)始于2023/1/13

MICROSOFT

EDUCATIONANDCERTIFICATION目錄服務(wù)基礎(chǔ)結(jié)構(gòu)設(shè)計(jì)與管理MicrosoftWindows2000課程號(hào)2154A，考試號(hào)70-217

2023/1/13MCSE:Windows2000張東輝高培信息辦TEL:5988204Email:zhangdh@個(gè)人信息SystemsEngineerMicrosoftCertifiedProfessional2023/1/13利用組策略管理用戶環(huán)境82023/1/138-1概述利用組策略配置和管理用戶桌面約618條組策略設(shè)置管理模板它下面的設(shè)置都是基于注冊(cè)表的存于sysvol\……\registry.pol中但這些設(shè)置并不永久地改變注冊(cè)表2023/1/138-2管理用戶環(huán)境簡(jiǎn)介控制用戶在他們的環(huán)境下所能做的事情使用組策略設(shè)置來(lái)控制用戶的環(huán)境應(yīng)用組策略到一個(gè)容器，使定義的用戶環(huán)境對(duì)新用戶或計(jì)算機(jī)立即生效配置和集中管理用戶環(huán)境強(qiáng)制標(biāo)準(zhǔn)配置

限制用戶在操作系統(tǒng)中可訪問(wèn)的部分保證用戶總是有他們自己的桌面和個(gè)人數(shù)據(jù)限制2000工具和組件的使用組裝用戶桌面

確保用戶環(huán)境安全管理用戶環(huán)境管理模板設(shè)置腳本設(shè)置重定向用戶文件夾安生設(shè)置My

DocumentsHKEY_LOCAL_MACHINEHKEY_CURRENT_USER基于注冊(cè)表的2023/1/13有效配置和管理用戶環(huán)境簡(jiǎn)化用戶環(huán)境，防止用戶破壞環(huán)境它下面的設(shè)置都是基于注冊(cè)表的相當(dāng)于注冊(cè)表5個(gè)子樹(shù)中的機(jī)器和用戶存于registry.pol中但這些設(shè)置并不永久地改變注冊(cè)表8-3管理模板介紹2023/1/13什么是管理模板管理模板設(shè)置修改控制用戶環(huán)境的注冊(cè)設(shè)置設(shè)置在注冊(cè)子目錄樹(shù)下修改注冊(cè)設(shè)置計(jì)算機(jī)設(shè)置HKEY_LOCAL_MACHINE軟件\MS\Windows\當(dāng)前版本\策略\系統(tǒng)\……：0X258演示：計(jì)—管—系—登錄：組策略腳本的最長(zhǎng)等待時(shí)間：600，再看注冊(cè)表用戶設(shè)置HKEY_CURRENT_USER軟件\MS\Windows\當(dāng)前版本\策略演示：用—管—系—登錄：禁用任務(wù)管理器，再看注冊(cè)表2023/1/13什么是管理模板如果GPO不再使用，將刪除組策略將只有本地注冊(cè)設(shè)置在使用（有效）Windows2000將同時(shí)實(shí)現(xiàn)組策略和本地預(yù)設(shè)注冊(cè)設(shè)置，除非兩者之間存在著沖突沖突時(shí)，組策略設(shè)置有效2023/1/13計(jì)算機(jī)如何實(shí)現(xiàn)管理模板設(shè)置Registry.pol文件包含管理模板注冊(cè)設(shè)置和設(shè)置值GPO列表1客戶機(jī)啟動(dòng)/用戶登錄，重新獲得GPO應(yīng)用列表客戶機(jī)連接到驗(yàn)證DC的SYSVOL，找到Registry.pol文件P277SysvolRegistry

.polRegistry

.polGPT2客戶機(jī)將Registry.pol文件中的注冊(cè)設(shè)置和設(shè)置值寫到相應(yīng)的注冊(cè)表子樹(shù)(HKLM/HKCU)Registry

.polHKCURegistry

.polHKLM3出現(xiàn)登錄對(duì)話框/出現(xiàn)桌面

42023/1/13管理模板計(jì)算機(jī)（重啟機(jī)時(shí)應(yīng)用）用戶（重新登錄時(shí)應(yīng)用）控制桌面的外觀和行為—用戶環(huán)境包括操作系統(tǒng)、組件和應(yīng)用……8-4使用組策略中的管理模板2023/1/13管理模板設(shè)置的類型設(shè)置類型控制可用于Windows組件2000工具和組件，包括MMC（用戶）系統(tǒng)登錄/注銷，組策略、磁盤限額、回環(huán)處理網(wǎng)絡(luò)網(wǎng)絡(luò)連接和撥號(hào)連接的屬性，包括共用網(wǎng)絡(luò)訪問(wèn)打印機(jī)打印機(jī)設(shè)置，自動(dòng)公布在AD中，禁用基于WEB的打印等開(kāi)始菜單和任務(wù)欄用戶可以從開(kāi)始菜單中訪問(wèn)的功能部件。只讀，來(lái)防止用戶修改。？？文件夾的NTFS權(quán)限桌面活動(dòng)桌面，我的文檔、網(wǎng)上鄰居等控制面板添加/刪除程序，打印機(jī)，顯示，整個(gè)控制面板2023/1/13禁閉桌面的設(shè)置（一）隱藏桌面上的所有圖標(biāo)（用/管/桌）不能阻止用戶用其它方式打開(kāi)程序、項(xiàng)目退出時(shí)不保存設(shè)置（用/管/桌）圖標(biāo)、窗口大小位置。快捷方式仍可保存隱藏“我的電腦”中的這些指定的驅(qū)動(dòng)器（用/管/W/資）ABCD所有從開(kāi)始菜單中刪除“運(yùn)行”菜單（用/管/任）P280可利用任務(wù)管理中的“新任務(wù)”禁用“控制面板”中的“顯示”（用/管/控/顯）用于禁閉桌面的組策略設(shè)置（一）2023/1/13禁閉桌面的設(shè)置（二）禁用并刪除“WindowsUpdate”的鏈接（用/管/任）可用IE的“工具”菜單禁止更改“任務(wù)欄和[開(kāi)始]菜單”設(shè)置（用/管/任）指的是開(kāi)始—設(shè)置—任務(wù)欄和開(kāi)始菜單……含任務(wù)欄—右鍵—屬性禁用和刪除“關(guān)機(jī)”命令（用/管/任）開(kāi)始菜單下的和CTRL+ALT+DEL

擋不住用程序關(guān)機(jī)，如任務(wù)計(jì)劃rundll32.exe也擋不住計(jì)算機(jī)管理—關(guān)機(jī)用于禁閉桌面的組策略設(shè)置（二）2023/1/13禁閉用戶訪問(wèn)網(wǎng)絡(luò)資源的設(shè)置隱藏桌面上的“網(wǎng)上鄰居”圖標(biāo)（用/管/桌）但可利用登錄腳本給用戶映射網(wǎng)絡(luò)驅(qū)動(dòng)器也擋不住運(yùn)行和netuse,netview刪除“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”和“斷開(kāi)網(wǎng)絡(luò)驅(qū)動(dòng)器”（用/管/W/資），但可利用開(kāi)始—運(yùn)行，連到計(jì)算機(jī)“工具”菜單：禁用“Internet選項(xiàng)…”（用/管/W/IE/瀏）Internet控制面板：禁用常規(guī)頁(yè)等去標(biāo)簽利用組策略設(shè)置禁閉用戶訪問(wèn)網(wǎng)絡(luò)資源2023/1/13禁閉用戶訪問(wèn)管理工具和應(yīng)用程序的設(shè)置（一）從[開(kāi)始]菜單中刪除“搜索”菜單（用/管/任）仍可使用資源管理器和IE中的搜索實(shí)質(zhì)：資源管理器==IE

從[開(kāi)始]菜單中刪除“運(yùn)行”菜單（用/管/任）運(yùn)行==任務(wù)管理器—新任務(wù)禁用任務(wù)管理器（用/管/系/登錄/注銷）只運(yùn)行許可的Windows應(yīng)用程序

（用/管/系）

見(jiàn)后，實(shí)驗(yàn)心得

利用組策略禁閉用戶訪問(wèn)管理工具和應(yīng)用程序（一）2023/1/13禁閉用戶訪問(wèn)管理工具和應(yīng)用程序的設(shè)置（二）從[開(kāi)始]菜單刪除“文檔”菜單

（用/管/任），相關(guān)還有不要保留最近打開(kāi)的文檔記錄退出時(shí)清除最近打開(kāi)的文檔記錄最近文檔的最大數(shù)目（用/管/W/資）禁止更改“任務(wù)欄和[開(kāi)始]菜單”設(shè)置（用/管/任）（已講）指的是開(kāi)始—設(shè)置—任務(wù)欄和開(kāi)始菜單……含任務(wù)欄—右鍵—屬性

從[開(kāi)始]菜單刪除公用程序組（用/管/任）只有自己配置文件中的（正常：公+自己）利用組策略禁閉用戶訪問(wèn)管理工具和應(yīng)用程序（二）2023/1/13組策略中的回送處理模式SalsOU的用戶，登錄到ServerOU的計(jì)算機(jī)一般：組策略應(yīng)用依賴于SalesOu的用戶組策略設(shè)置一般為：Server的計(jì)算機(jī)Sals的用戶但有時(shí)對(duì)于特殊計(jì)算機(jī)，需要依賴于ServerOU的組策略設(shè)置SalsOU（用戶所在）計(jì)算機(jī)(不執(zhí)行)用戶(2)ServerOU（計(jì)算機(jī)所在）計(jì)算機(jī)(1)用戶(不執(zhí)行)登錄GPOGPO2023/1/13組策略中的回送處理模式對(duì)于指定了具體任務(wù)的計(jì)算機(jī)或安裝了特殊軟件的計(jì)算機(jī)，回送處理模式就非常有用了有兩種模式（接上例）替換模式：只處理ServerOU上的關(guān)于“用戶”的組策略設(shè)置合并模式：先處理SalesOU上的關(guān)于“用戶”的組策略設(shè)置再處理ServerOU上的關(guān)于“用戶”的組策略設(shè)置沖突時(shí)，計(jì)算機(jī)的生效回送處理模式設(shè)置:2023/1/13

默認(rèn) 替換 合并42ServersOU—S39—GPO計(jì)算機(jī)11 √ √√用戶22√√（后）SalesOU—user1—GPO計(jì)算機(jī)33用戶44√√（先）深入討論：設(shè)為替換，不重啟，以u(píng)ser1登錄，哪個(gè)生效？44，因?yàn)樘鎿Q策略未生效啟用回環(huán)處理（替換/合并），以非SALES用戶，如Administrator登錄，哪個(gè)生效？？22，回環(huán)就是針對(duì)使用這臺(tái)計(jì)算機(jī)的所有用戶Secedit/refreshpolicymachine_policy/enforce2023/1/13

啟用回環(huán)處理模式組策略—計(jì)算機(jī)配置—管理模板—系統(tǒng)—組策略：“用戶組策略反向?qū)?yīng)處理方式”替換合并2023/1/13設(shè)計(jì)管理模板選擇三個(gè)狀態(tài)之一來(lái)配置設(shè)置在不同的GPO中配置同一個(gè)設(shè)置為不同值，會(huì)引起沖突，最后實(shí)現(xiàn)的設(shè)置將有效，除非修改了組策略繼承HideMyNetworkPlacesiconondesktopPropertiesPolicyExplainHideMyNetworkPlacesiconondesktop未配置啟用禁用或或包含關(guān)于組策略如何應(yīng)用的信息應(yīng)用設(shè)置禁用設(shè)置忽略設(shè)置（默認(rèn)）2023/1/13

為了提高性能，可禁用組策略中不用的部分禁用計(jì)算機(jī)配置設(shè)置禁用用戶配置設(shè)置操作：組策略名—右鍵—屬性一般為二選一，但可同時(shí)選中2023/1/138-5實(shí)驗(yàn)A：利用管理模板分配基于注冊(cè)的組策略

2023/1/13可利用組策略自動(dòng)運(yùn)行腳本計(jì)算機(jī)/W/腳本（啟動(dòng)/關(guān)閉）用戶/W/腳本（登錄/注銷）用于：當(dāng)組策略設(shè)置無(wú)法實(shí)現(xiàn)的時(shí)候可為每個(gè)用戶帳號(hào)分配登錄腳本僅登錄指在用戶帳號(hào)—屬性—配置文件—登錄腳本但不能集中管理，和指定啟動(dòng)/關(guān)閉，退出8-6用組策略分配腳本（Script）2023/1/13什么是組策略腳本設(shè)置組策略腳本設(shè)置允許你：集中配置腳本，在啟動(dòng)/關(guān)閉、登錄/注銷的時(shí)候，自動(dòng)運(yùn)行

管理和配置用戶環(huán)境腳本Scripts計(jì)算機(jī)配置啟動(dòng)/關(guān)閉用戶配置登錄/注銷啟動(dòng)/關(guān)閉計(jì)算機(jī)用戶登錄/注銷2023/1/13處理順序當(dāng)用戶啟動(dòng)計(jì)算機(jī)并登錄的時(shí)候:a.

啟動(dòng)腳本運(yùn)行（隱藏同步，逐個(gè)運(yùn)行完后，再開(kāi)始登錄）登錄腳本運(yùn)行（隱藏異步，多腳本可同時(shí)運(yùn)行）結(jié)束或超時(shí)，默認(rèn)10分鐘，可改P293計(jì)算機(jī)/管理/系統(tǒng)/登錄/組策略腳本的最長(zhǎng)等待時(shí)間影響所有腳本，不僅登錄腳本當(dāng)用戶注銷并關(guān)閉計(jì)算機(jī)時(shí):a.

注銷腳本運(yùn)行b.

關(guān)閉腳本運(yùn)行

Windows2000可從上到下處理多個(gè)腳本，若沖突，最后處理的腳本有效用組策略實(shí)現(xiàn)腳本設(shè)置的過(guò)程2023/1/13分配組策略腳本設(shè)置LogonPropertiesScriptsLogonScriptsforLogOnScript[AUCKLAND.contoso.msft]NameParametersDevelopment.vbsInformationServices.vbsUpDown添加...Edit...Remove顯示文件...OKCancelApplyToviewthescriptfilesstoresinthisGroupPolicyObject,pressthebuttonbelow.復(fù)制腳本到適當(dāng)?shù)腉PT添加腳本到適當(dāng)?shù)腉PO2023/1/13

適當(dāng)?shù)腉PTWinnt\sysvol\sysvol\\policies\gpo_guid\Machine\scripts\startup和shutdownUser\scripts\logon和logoff分別對(duì)應(yīng)四個(gè)不同的運(yùn)行時(shí)刻啟動(dòng)/關(guān)閉，登錄/注銷2023/1/13

8-7實(shí)驗(yàn)B：利用組策略把腳本分配給用戶和計(jì)算機(jī)2023/1/13保證用戶從任何計(jì)算機(jī)登錄都可獲得自己的數(shù)據(jù)（文件隨用戶走）數(shù)據(jù)存儲(chǔ)在服務(wù)器上重定向我的文檔、應(yīng)用程序數(shù)據(jù)、桌面和開(kāi)始菜單用戶配置文件中的四項(xiàng)使管理和備份數(shù)據(jù)更方便8-8利用組策略重定向文件夾2023/1/13什么是文件夾重定向重定向文件夾的優(yōu)點(diǎn)：不管用戶從什么客戶機(jī)上登錄，都可以訪問(wèn)文件夾的數(shù)據(jù)數(shù)據(jù)的集中存儲(chǔ)更便于管理和備份減少網(wǎng)絡(luò)通信。（指用戶配置文件在漫游而未重定向時(shí)，登錄注銷時(shí)，需在本地和服務(wù)器之間復(fù)制）不需同步，登錄注銷更快文件不被存儲(chǔ)在登錄的計(jì)算機(jī)上，更安全，不占用存儲(chǔ)空間重定向個(gè)人文件文檔被存儲(chǔ)在服務(wù)器上，但看起來(lái)好象在用戶機(jī)器上我的文檔我的文檔2023/1/13選擇重定向的文件夾

組策略—用戶配置—Windows設(shè)置—文件夾重定向（本地機(jī)策略中沒(méi)有此項(xiàng)）文件夾內(nèi)容重定向到服務(wù)器的原因我的文檔個(gè)人工作數(shù)據(jù)打開(kāi)、另存為的默認(rèn)位置開(kāi)始菜單文件夾和快捷方式桌面所有文件、文件夾、快捷方式應(yīng)用程序數(shù)據(jù)由應(yīng)用程序存儲(chǔ)的具體用戶的數(shù)據(jù)文件隨用戶走，集中管理和備份。用戶配置文件中保存的數(shù)據(jù)會(huì)減少提問(wèn)：為什么？用戶開(kāi)始菜單標(biāo)準(zhǔn)化。多用戶指向一個(gè)，并設(shè)只讀來(lái)實(shí)現(xiàn)用戶桌面標(biāo)準(zhǔn)化，不論何處登錄應(yīng)用程序使用相同的具體用戶數(shù)據(jù)，不論何處登錄2023/1/13把文件夾重定向到服務(wù)器位置上WhenRedirectingUserFolders:DesktopPropertiesTargetSettingsYoucanspecifythelocationoftheDesktopfolder沒(méi)有指定管理策略Setting:OKCancelApplyTheGroupPolicyObjectwillhavenoeffectonthelocationofthisfolder.DesktopPropertiesTargetSettingsYoucanspecifythelocationoftheDesktopfolder基本–為每個(gè)人的文件夾重定向到一個(gè)位置Setting:OKCancelApplyThisfolderwillberedirectedtothespecifiedlocation.Anexampletargetpathis:\\server\share\%username%.Targetfolderlocation\\london\desktops\%username%BrowseDesktopPropertiesTargetSettingsYoucanspecifythelocationoftheDesktopfolder高級(jí)–為不同的用戶組指定位置Setting:OKCancelApplyThisfolderwillberedirectedtodifferentlocationsbasedonthesecuritygroupmembershipoftheusers.Anexampletargetpathis\\server\share\%username%SecurityGroupMembershipGroupCONTOSO\acct \\london\acct\%username%CONTOSO\sales \\london\sales\%username%PathAddEditRemove使用%username%

變量使用%username%

變量2023/1/13

“目標(biāo)”標(biāo)簽設(shè)置沒(méi)有指定管理策略基本–為每個(gè)人的文件夾重定向到一個(gè)位置可每人一個(gè)位置（使用%username%變量）高級(jí)–為不同的用戶組指定位置可每人一個(gè)位置（使用%username%變量）并可指定生效范圍不同組用戶，還可不同目錄文件夾位置（UNC）安全成員組資格UNC路徑：\\s58\homes\%username%2023/1/13

“設(shè)置”標(biāo)簽授予文件夾用戶獨(dú)占權(quán)（即文件夾所有權(quán)）把文件夾目錄移到新位置策略刪除文件保留在重定向的新位置策略刪除時(shí)，不會(huì)找不到，只是已生效的仍沿用，后加入的不生效文件移回本地用戶配置文件的位置實(shí)為復(fù)制，再指向本地，服務(wù)器端仍有一份副本2023/1/13實(shí)驗(yàn)心得：設(shè)置文件重定向，注銷后(secedit不行)，本地文件夾被移至服務(wù)器，本地沒(méi)有了相應(yīng)的夾，如MyDocuments。若設(shè)置成：策略刪除文件保留在重定向的新位置OK

文件移回本地用戶配置文件的位置刪除GPO鏈接后（用，去掉相應(yīng)設(shè)備不行）服務(wù)器端后文件被復(fù)制回本地，服務(wù)器端仍有一份2023/1/13

8-9實(shí)驗(yàn)C：實(shí)現(xiàn)文件夾重定向策略

2023/1/138-10利用組策略確保用戶環(huán)境安全域安全—GPO如：帳戶策略—密碼長(zhǎng)度最小值復(fù)原時(shí)，先設(shè)為0，再設(shè)未定義生效：重啟機(jī)或Secedit/refreshpolicymachine_policy/enforce復(fù)習(xí)：user對(duì)于域來(lái)設(shè)置帳戶策略，而不是其它域是安全邊界，2000核心管理單元對(duì)于OU上來(lái)做，域帳號(hào)登錄不起作用2023/1/13利用組策略確保用戶環(huán)境安全應(yīng)用安全策略選擇安全設(shè)置節(jié)點(diǎn)通過(guò)配置單獨(dú)的安全設(shè)置選擇安全設(shè)置配置安全設(shè)置通過(guò)導(dǎo)入安全模板標(biāo)識(shí)或建立安全模板

導(dǎo)入安全模板到GPO分析安全設(shè)置2023/1/13

注意：2000只允許一個(gè)域帳戶策略即域樹(shù)的根域上所應(yīng)用的帳戶策略而OU定義另一個(gè)帳戶策略的時(shí)候影響的只是OU下的計(jì)算機(jī)上的本地策略而本地策略，只在計(jì)算機(jī)本地帳戶登錄時(shí)應(yīng)用所以帳戶策略應(yīng)在樹(shù)根域上設(shè)置與其它組策略不一樣，安全設(shè)置是永久的即使包含安全設(shè)置的GPO被刪除，安全設(shè)置仍保留在注冊(cè)表上2023/1/138-11實(shí)驗(yàn)D：利用組策略實(shí)現(xiàn)安全設(shè)置

2023/1/138-12解決用戶環(huán)境管理過(guò)程中出現(xiàn)的問(wèn)題使用管理模板的注冊(cè)設(shè)置沒(méi)有應(yīng)用GPO鏈接，AD復(fù)制未完成Gpresult.exe（2000工具箱光盤上才有）腳本沒(méi)有執(zhí)行權(quán)限和繼承發(fā)布Sysvol是否成功復(fù)制到所有DC文件夾沒(méi)有重定向權(quán)限、磁盤限額2023/1/138-13最佳方案建立盡可能少的GPO尤其是含管理模板設(shè)置的GPO要實(shí)現(xiàn)回送處理模式的計(jì)算機(jī)，放在單獨(dú)的OU中，應(yīng)該沒(méi)有任何用戶帳戶測(cè)試管理模板的效果確保腳按首選的順序工作重定向文件，減少漫游用戶登錄/注銷時(shí)間2023/1/13實(shí)驗(yàn)心得：組策略—用戶配置—管理模板—系統(tǒng)只運(yùn)行許可的Windows應(yīng)用程序不要運(yùn)行指定的Windows應(yīng)用程序破解：cmd.exe，任務(wù)管理器？實(shí)際：cmd.exe,runas本地機(jī)策略工作組：重啟，F(xiàn)8，帶命令提示符，MMC，重設(shè)域成員：域管，MMC，重設(shè)域策略在域成員機(jī)上以本地帳號(hào)登錄，RUNAS，刪除GPO鏈接方法二：可通過(guò)創(chuàng)建相應(yīng)命令的BAT文件來(lái)破解。2023/1/13

組策略—計(jì)算機(jī)配置—Windows設(shè)置—安全設(shè)置—本地策略—安全選項(xiàng)重命名系統(tǒng)管理員帳戶，28題與域鏈接時(shí)的應(yīng)用范圍：域管、每臺(tái)域成員計(jì)算機(jī)的本地管理員原管理員administrator已改為其它名，并不會(huì)影響本設(shè)置的應(yīng)用DC不需重啟（5分鐘后），非DC域成員需重啟生效不改管理員的UPN名，只改登錄名（以前版本）取消GPO限制后，并不會(huì)自動(dòng)改回administrator2023/1/13

組策略—用戶配置—Windows設(shè)置—IE維護(hù)瀏覽器用戶界面—瀏覽器標(biāo)題標(biāo)題欄，工具欄背景位圖連接—代理設(shè)置URL—重要URL—主頁(yè)方便維護(hù)人員配置用戶IE環(huán)境2023/1/13

組策略—用戶配置—Windows設(shè)置—文件夾重定向本地機(jī)策略中沒(méi)有此項(xiàng)，1題我的文檔，可選擇：基本—每人相同位置高級(jí)—不同用戶不同位置用戶組—相應(yīng)位置，可多個(gè)使用變量，如：\\s40\docs\%username%用戶即為所有者，這點(diǎn)同主文件夾用戶組范圍，GPO作用范圍，生效：取小作用：有點(diǎn)類似文件（夾）指向+脫機(jī)文件但登錄注銷時(shí)，不存在同步的問(wèn)題，所以較快。2023/1/13使用組策略管理軟件

92023/1/139-1概述軟件的安裝和維護(hù)AD目錄服務(wù)組策略Windows安裝程序2023/1/13

軟件管理介紹刪除軟件刪除維護(hù)軟件升級(jí)分發(fā)安裝軟件準(zhǔn)備軟件包2023/1/13

軟件管理將實(shí)現(xiàn)域/OU中的計(jì)算機(jī)/用戶自動(dòng)安裝、升級(jí)或刪除軟件過(guò)程：預(yù)備：Msi、mst、zap文件利用工具箱下的轉(zhuǎn)換工具wininstall._le將Install.exe、setup.exel轉(zhuǎn)換為.ZAP文件（不可自動(dòng)修復(fù)，只能重裝）布置：設(shè)置組策略，啟動(dòng)/登錄/激活維護(hù)：升級(jí)、重新布置刪除：?jiǎn)?dòng)/登錄時(shí)自動(dòng)刪除2023/1/13Windows安裝程序（WindowsInstaller）Windows安裝程序服務(wù)自動(dòng)處理軟件安裝和配置的客戶端服務(wù)也可以用來(lái)修改已經(jīng)安裝的軟件或程序安裝時(shí)即可以直接使用CD-ROM，也可以通過(guò)組策略方式Windows安裝程序包包含WindowsInstallerservice在安裝或者uninstall軟件時(shí)需要的所有信息組成：.msi文件和所有安裝/卸載軟件時(shí)的源文件.msi文件包含了軟件和包本身的摘要信息使用WindowsInstaller的好處應(yīng)用上很靈活，自動(dòng)安裝/修復(fù)刪除軟件時(shí)非常干凈徹底2023/1/139-4展開(kāi)（分發(fā)）軟件任務(wù)建立一個(gè)新的GPO或者找一個(gè)合適的已有的GPO準(zhǔn)備好WindowsInstaller

package（.msi及源文件）將軟件包放在軟件分發(fā)點(diǎn)（服務(wù)器的共享文件夾）上對(duì)GPO進(jìn)行配置2023/1/13建立軟件分發(fā)點(diǎn)創(chuàng)建一個(gè)共享文件夾在文件夾里建立合適的子文件夾將WindowsInstallerpackages置入賦予用戶Read權(quán)限以使得他們可以訪問(wèn)Read

權(quán)限最好：結(jié)合DFS提供冗余和負(fù)載平衡2023/1/13指派（Assigning）軟件StartAssigning在用戶配置里開(kāi)始—程序里或者桌面上，文件關(guān)聯(lián)，觸發(fā)自動(dòng)安裝，也可添加/刪除程序來(lái)安裝Assigning在計(jì)算機(jī)配置里計(jì)算機(jī)一啟動(dòng)成功軟件就安裝，自動(dòng)完整安裝修復(fù)，對(duì)DC無(wú)效軟件分發(fā)點(diǎn)2023/1/13發(fā)布（Publishing）軟件：只能在用戶配置里設(shè)?文檔激活或者雙擊相關(guān)類型的文件，觸發(fā)安裝添加/刪除程序在控制面板—添加/刪除程序里進(jìn)行安裝軟件分發(fā)點(diǎn)2023/1/13使用組策略來(lái)分發(fā)軟件分發(fā)軟件確定GPO(新建或者編輯已有的)選擇包（.msi/.zap文件）選擇分發(fā)的方式：Published,Assigned或者配置package屬性2023/1/13

部署類型指派：用戶、計(jì)算機(jī)發(fā)布：用戶部署選項(xiàng)[]文件擴(kuò)展名激活[]不在范圍內(nèi)，卸載[]不顯示在添加/刪除程序中安裝用戶界面選項(xiàng)基本選項(xiàng)：默認(rèn)值，（默認(rèn)設(shè)為此）最大選項(xiàng)：提示用戶輸入2023/1/13

設(shè)置軟件安裝默認(rèn)值軟件安裝（非具體包）—右鍵—屬性—常規(guī)默認(rèn)包位置不可以是本地驅(qū)動(dòng)器給用戶設(shè)置添加新程序包時(shí)：顯示部署軟件對(duì)話框發(fā)布指派高級(jí)發(fā)布或指派用戶安裝界面選項(xiàng)：基本/最大不在范圍內(nèi)，將其卸載2023/1/139-5配置軟件布置一個(gè)應(yīng)用程序，幾個(gè)不同配置分配/發(fā)布使用軟件修改創(chuàng)建軟件類別關(guān)聯(lián)文件擴(kuò)展名和應(yīng)用程序2023/1/13使用軟件修改MicrosoftWord2000在服務(wù)器上只有單一的應(yīng)用程序?qū)嵗⒄Z(yǔ)詞典法語(yǔ)詞典德語(yǔ)詞典2023/1/13

使用軟件修改即利用.mst文件實(shí)現(xiàn)如：WORD多語(yǔ)言版本的安裝注意：應(yīng)軟件布置過(guò)程中，添加/刪除.mst(修改)操作：新建—程序包—高級(jí)發(fā)行或指派—修改添加：多個(gè).mst有順序之分2023/1/13

創(chuàng)建軟件類別將添加/刪除程序中的—添加新程序類別軟件類型運(yùn)行基于域范圍操作：軟件安裝—右鍵—屬性—類別將軟件包分配給類別包—屬性—類別必須登錄到域，才可見(jiàn)到增加的類別2023/1/13

關(guān)聯(lián)文件擴(kuò)展名和應(yīng)用程序不同應(yīng)用程序經(jīng)常默認(rèn)使用相同的文件擴(kuò)展名，如OFF97、OFF2000可改變文件擴(kuò)展優(yōu)先權(quán)操作：軟件安裝—右鍵—屬性—文件擴(kuò)展名2023/1/139-6實(shí)驗(yàn)A：分配和發(fā)布軟件2023/1/13升級(jí)布置的軟件重新布置軟件操作：包—屬性—升級(jí)[]現(xiàn)有程序包必須升級(jí)9-7維護(hù)布置的軟件2023/1/13布置一個(gè)強(qiáng)制升級(jí)用戶只能運(yùn)行應(yīng)用程序（V2.0）應(yīng)用程序（V2.0）被布置為強(qiáng)制升級(jí)用戶正在運(yùn)行應(yīng)用程序（V1.0）2023/1/13布置一個(gè)可選升級(jí)用戶正在運(yùn)行應(yīng)用程序（V1.0）應(yīng)用程序（V2.0）被布置為可選升級(jí)用戶可以繼續(xù)使用V1.0,也可選擇升級(jí)到2.02023/1/13重新布置軟件Step1軟件的補(bǔ)丁被放在服務(wù)器上Step2GPO被重新布置Step3用戶登錄并調(diào)用應(yīng)用程序Step4軟件補(bǔ)丁被應(yīng)用2023/1/13

分配—用戶，或者發(fā)布或者安裝下次登錄，開(kāi)始—程序，注冊(cè)表等設(shè)置將被升級(jí)啟動(dòng)軟件時(shí)，自動(dòng)添加補(bǔ)丁分配—計(jì)算機(jī)下次啟動(dòng)，自動(dòng)添加補(bǔ)丁操作：補(bǔ)丁及新msi文件，放到相應(yīng)夾中包—右鍵—所有任務(wù)—重新布置2023/1/139-8刪除布置的軟件強(qiáng)制刪除立即卸載用戶和計(jì)算機(jī)的軟件可選刪除允許用戶繼續(xù)使用軟件，但禁止新的安裝Windows安裝程序只有通過(guò)Windows安裝程序包文件.msi安裝的軟件能通過(guò)組策略刪除2023/1/139-9實(shí)驗(yàn)B：升級(jí)和刪除軟件2023/1/13探索中的軟件管理技術(shù)Windows安裝程序軟件安裝和維護(hù)msi包文件格式替換Setup.exe新的軟件能力：有彈性，自修復(fù)基本服務(wù)器的技術(shù)通過(guò)組策略布置和管理軟件包文件.msi2023/1/13發(fā)布非Windows安裝程序包布置非Windows安裝程序包的限制應(yīng)用程序只能用于發(fā)布（用戶）應(yīng)用程序不能自動(dòng)修復(fù)應(yīng)用程序要求用戶干涉安裝應(yīng)用程序不能用嚴(yán)格的權(quán)利限制安裝

(用戶必須有安裝權(quán)利)2023/1/139-10解決軟件布置的問(wèn)題應(yīng)用程序沒(méi)按預(yù)期的出現(xiàn)添加/刪除程序中是否有，發(fā)布/分配檢查GPO，用戶/計(jì)算機(jī)所處位置應(yīng)用程序不能安裝軟件分布點(diǎn)可訪問(wèn)，權(quán)限應(yīng)用程序沒(méi)有按預(yù)期布置GPO沖突，分配和刪除沖突2023/1/139-11最佳方案漸進(jìn)布置和測(cè)試為軟件分布點(diǎn)使用基于域的DFS根據(jù)功能來(lái)組織應(yīng)用程序，并與類別對(duì)應(yīng)不要將同一個(gè)的軟件，同時(shí)分配給用戶和計(jì)算機(jī)2023/1/13創(chuàng)建和管理目錄樹(shù)和目錄林10

2023/1/1310-1概述2000可采用多層域結(jié)構(gòu)，但最有效和最簡(jiǎn)便的方法：?jiǎn)斡蚨鄬佑颍喊踩O(shè)置是基于域的不同的安全設(shè)置（如密碼長(zhǎng)度），必須不同的域域控制器的安全管理控制在域內(nèi)減少?gòu)?fù)制通信域間僅復(fù)制：GC、配置信息、架構(gòu)schema2023/1/1310-2目錄樹(shù)和目錄林的介紹目錄樹(shù)：共用連續(xù)的命名空間的多層域父域—子域，分層排列目錄樹(shù)根域：樹(shù)最高層的域，名最短目錄林：由非連續(xù)名字空間的多層域目錄樹(shù)形成2023/1/13什么是目錄樹(shù)父域子域連續(xù)的名字空間，（域后綴延續(xù)）sales.contoso.msft父域子域新域目錄樹(shù)根域contoso.msftsales.contoso.msft2023/1/13什么是目錄林?nwtraders.msftmarketing.nwtraders.msftsales.nwtraders.msftcontoso.msftsales.contoso.msft在目錄林中的所有域共用一個(gè)公共配置、架構(gòu)Schema、全局目錄GC一個(gè)目錄林是一個(gè)或多個(gè)目錄樹(shù)在目錄林中的目錄樹(shù)不共同一個(gè)連續(xù)的名字空間目錄林目錄樹(shù)目錄樹(shù)后加（創(chuàng)建）的新目錄樹(shù)2023/1/13什么是目錄林根域?目錄林根域：在林中第一個(gè)建立的域contoso.msft目錄林目錄林根域nwtraders.msft目錄樹(shù)目錄樹(shù)根域全局目錄配置和架構(gòu)企業(yè)EnterpriseAdminsSchemaAdminsmarketing.nwtraders.msftsales.contoso.msft目錄樹(shù)2023/1/13

目錄林根域的名字不能改變因?yàn)榕c樹(shù)根域有信任關(guān)系林根域第一個(gè)DC，默認(rèn)GC兩個(gè)組，只存在于林根域轉(zhuǎn)換本機(jī)模式時(shí)，自動(dòng)由全局組變?yōu)橥ㄓ媒MEnterpriseAdmins有權(quán)對(duì)林作出修改，如添加子域SchemaAdmins有權(quán)對(duì)林架構(gòu)作出修改2023/1/13多層域的特征降低復(fù)制流量?jī)H：GC、架構(gòu)、公共配置如：北京上海大慶，如何構(gòu)建？維護(hù)域唯一的安全策略單元不同的安全策略，必須不同的域保留WindowsNT早期版本的域結(jié)構(gòu)分散管理控制：如：高度機(jī)密，獨(dú)立的域，非IT管理支持大量用戶和多域名2023/1/1310-3創(chuàng)建目錄樹(shù)和目錄林創(chuàng)建新子域運(yùn)行dcpromo.exe新DC—新子域—林根企業(yè)組：用戶名、口令—父域名、子域名、NetBIOS名—數(shù)據(jù)庫(kù)、日志、SYSVOL位置—權(quán)限：以前/2000—目錄恢復(fù)模式，管理密碼向?qū)ⅲ簞?chuàng)建新域，升級(jí)為DC，建立信任關(guān)系2023/1/13

創(chuàng)建新目錄樹(shù)運(yùn)行dcpromo.exe新DC—新樹(shù)—加入林—林根企業(yè)組：用戶名、口令—新樹(shù)DNS名向?qū)ⅲ簞?chuàng)建新目錄樹(shù)的根域升級(jí)為DC建立信任關(guān)系復(fù)制架構(gòu)和配置目錄分區(qū)2023/1/13

創(chuàng)建新目錄林運(yùn)行dcpromo.exe新DC—新樹(shù)—新林向?qū)ⅲ簞?chuàng)建新目錄林根域創(chuàng)建新目錄樹(shù)根域升級(jí)為DC配置GC從默認(rèn)的架構(gòu)和配置目錄分區(qū)開(kāi)始（頂點(diǎn)）2023/1/1310-4目錄樹(shù)和目錄林中的信任關(guān)系2000中的可傳遞信任關(guān)系自動(dòng)創(chuàng)建信任路徑也可手工創(chuàng)建信任關(guān)系使用基于kerberosV5協(xié)議的域間驗(yàn)證使一個(gè)域的DC鑒別其它域的用戶2023/1/13Windows2000中的傳遞信任關(guān)系父子信任父子信任樹(shù)根信任域信任關(guān)系默認(rèn)建立可傳遞雙向Domain1域A域B域C樹(shù)二樹(shù)一目錄林林根域2023/1/13信任如何工作樹(shù)一樹(shù)二域1目錄林域A域BUser樹(shù)根域林根域被信任域被信任域信任域域2域C使用K5協(xié)議確定是否有信任關(guān)系跟蹤信任路徑，并選最短2023/1/13KerberosV5如何工作contoso.msftmarketing.contoso.msft林根域KDCnwtraders.msftKDC服務(wù)器KDCsales.nwtraders.msft客戶KDCKerberos身份驗(yàn)證2Session

Ticket1345K5協(xié)議是2000基本的驗(yàn)證協(xié)議驗(yàn)證用戶身份和網(wǎng)絡(luò)服務(wù)的完整性看電影，買票2023/1/13Windows2000快捷方式信任建立域間直接連接，縮短信任路徑單向傳遞，用建二個(gè)來(lái)實(shí)現(xiàn)雙向樹(shù)一樹(shù)二域1目錄林域A域B樹(shù)根域林根域被信任域信任域信任域域2域C快捷信任2023/1/13Windows2000中的非傳遞信任關(guān)系非傳遞信任關(guān)系非傳遞信任關(guān)系手動(dòng)建立單向contoso.msft目錄林非傳遞信任關(guān)系存在于…之間2000域和NT域兩個(gè)目錄林中的，2000域2000域和KerberosV5協(xié)議安全區(qū)域sales.contoso.msftmarketing.contoso.msft2023/1/13

創(chuàng)建非傳遞信任AD域和信任關(guān)系—域—屬性—信任DNS互指，或其它方法2000域：完整DNS名NT域：域名密碼不同林：外部，不可傳遞相同林：內(nèi)部，快捷2023/1/13

信任的驗(yàn)證與取消驗(yàn)證信任AD域和信任關(guān)系—域—屬性—信任相應(yīng)域—編輯—驗(yàn)證取消信任AD域和信任關(guān)系—域—屬性—信任相應(yīng)域—?jiǎng)h除使用命令Netdomtrust信任域/domain:被信任域/verify（或remove）需連接權(quán)限2023/1/1310-5實(shí)驗(yàn)A：創(chuàng)建域目錄樹(shù)和創(chuàng)建信任2023/1/1310-6全局目錄（GC）林根域第一個(gè)DC，默認(rèn)GC但可分布GC，平衡登錄驗(yàn)證和查詢由DC充當(dāng)GC最好：一個(gè)區(qū)域，一臺(tái)GC（離的近的）用于用戶登錄、資源訪問(wèn)確定活動(dòng)目錄中對(duì)象的位置提供通用組成員資格信息，用戶主名—域存儲(chǔ)于GC，連不上可用緩存2023/1/13GC和登錄過(guò)程GC提供提供通用組成員資格信息給處理登錄的DC當(dāng)用戶登錄用一個(gè)用戶主要名稱UPN（如：www@）時(shí)，提供域信息User登錄域域域域域GC服務(wù)器2023/1/13

全局目錄和驗(yàn)證用戶登錄時(shí)，如果驗(yàn)證域DC沒(méi)有帳號(hào)的直接信息，則查詢DC如：suzanf在sales.contoso.msft中向contoso.msft登錄時(shí)在單個(gè)域中，用戶登錄不需要GC2023/1/13建立一個(gè)GC服務(wù)器AD站點(diǎn)和服務(wù)ConsoleWindowHelpActiveViewTreeNameTypeDescriptionActiveDirectorySitesandServicesSitesDefault-First-Site-NameServersInter-SiteTransportsSubnetsATLANTALONDONNewActiveDirectoryConnectionNewAllTasksNewWindowfromHereDeleteRefresh屬性HelpNTDSSettingsPropertiesGeneralObjectSecurityNTDSSettingsDescription:QueryPolicy:全局編錄DomainControllerDefaultQueryPolicy啟用或者禁用全局編錄GC2023/1/1310-7在目錄樹(shù)和目錄林中使用組的策略使用安全組的好處安全權(quán)限的一致性DACL不會(huì)經(jīng)常改變，便于管理和審查通用組成員資格存儲(chǔ)于GC，變化后增加復(fù)制通信而全局組和域本地組只存儲(chǔ)列表到GC成員資源不在列表中盡量少用，盡量只加入組成員如，應(yīng)將全局組加入通用組2023/1/13通用組和復(fù)制GC服務(wù)器

通用組...并且復(fù)制到目錄林中所有的GC服務(wù)器通用組中所有成員的變化被更新在GC中…盡量減少通用組的使用盡量使通用組的成員是組而不是用戶帳號(hào)盡量減少組成員資格的變化將復(fù)制流量減小到最小化2023/1/13使用通用組的嵌套策略加用戶帳號(hào)到全局組全局組用戶把每個(gè)域的全局組加入到通用組全局組通用組全局組加入全局組(可選)全局組全局組加通用組到每一個(gè)域的域本地組通用組域本地組DLG給每個(gè)域的域本地組指派權(quán)限權(quán)限域本地組DLG2023/1/1310-8實(shí)驗(yàn)B：在目錄林中使用組2023/1/1310-9解決創(chuàng)建和管理目錄樹(shù)和目錄林過(guò)程中出現(xiàn)的問(wèn)題快捷方式信任沒(méi)有使用訪問(wèn)，驗(yàn)證不能登錄到域DNS、GC在有些域上不能創(chuàng)建通用組本機(jī)模式2023/1/1310-10最佳方案使用A-G-G-U-DL-P信任路徑過(guò)長(zhǎng)時(shí)，創(chuàng)建快捷信任方式GC放在許多用戶登錄的站點(diǎn)上2023/1/13管理活動(dòng)目錄復(fù)制112023/1/1311-1概述AD復(fù)制站點(diǎn)的作用：優(yōu)化和管理AD復(fù)制如北京、上海、大慶，組成一個(gè)域2000：多主控復(fù)制高效、容錯(cuò)，但易沖突NT：?jiǎn)沃骺貜?fù)制，一個(gè)PDC對(duì)多BDCAD復(fù)制的作用整個(gè)網(wǎng)絡(luò)上AD數(shù)據(jù)的一致性2023/1/13AD復(fù)制保證整個(gè)網(wǎng)絡(luò)上的所有DC和客戶機(jī)都獲得AD上的所有信息域內(nèi)復(fù)制、域間復(fù)制站點(diǎn)內(nèi)復(fù)制、站點(diǎn)間復(fù)制多主控復(fù)制操作主控規(guī)則，解決沖突問(wèn)題11-2活動(dòng)目錄復(fù)制介紹2023/1/13活動(dòng)目錄復(fù)制介紹復(fù)制DCBDCCDCA緩慢收斂？？的多主控復(fù)制2023/1/13自動(dòng)構(gòu)建環(huán)型復(fù)制拓?fù)浣Y(jié)構(gòu)添加、修改、移動(dòng)、刪除都能觸發(fā)復(fù)制分為：初始更新（本地更新）復(fù)制更新11-3復(fù)制組件和進(jìn)程2023/1/13復(fù)制初始更新DCADCBDCC復(fù)制更新復(fù)制更新復(fù)制如何工作活動(dòng)目錄更新移動(dòng)刪除添加修改2023/1/13復(fù)制等待時(shí)間復(fù)制初始更新DCA變化通知變化通知DCCDCB復(fù)制更新復(fù)制更新默認(rèn)復(fù)制等待時(shí)間=5分鐘，段數(shù)：最大3，最大傳播延遲為15分鐘當(dāng)沒(méi)有變化，周期性復(fù)制間隔=1小時(shí)緊急復(fù)制（安全性屬性變化）=立即變化通知不需要等待默認(rèn)的5分鐘2023/1/13解決復(fù)制沖突問(wèn)題DCA初始更新DCB沖突初始更新印記印記沖突版本號(hào)時(shí)間戳服務(wù)器GUID印記沖突發(fā)生，由于:屬性值，如兩個(gè)管理員在兩個(gè)DC上修改同一對(duì)象同一屬性在刪除的容器對(duì)象上添加/移動(dòng)容器對(duì)象

同屬名字（重名）2023/1/13

盡量減少?zèng)_突（對(duì)象—屬性）DC存儲(chǔ)變化，在屬性層次上而不是在對(duì)象層次上存儲(chǔ)并復(fù)制對(duì)象的變化這樣，兩個(gè)不同屬性的變化，不會(huì)引起沖突如：同時(shí)改同一個(gè)用戶的口令、電話全局唯一印記(stamp)屬性值：高印記LostAndFound容器同屬名字：加星號(hào)標(biāo)記等2023/1/13優(yōu)化復(fù)制：初始更新復(fù)制更新GUIDUSNUpdateUpdateGUID更新順序號(hào)USNUp-To-Dateness矢量DCADCB復(fù)制更新GUIDUSNDCCAD利用傳播阻尼的最新向量，防止多次沿不同復(fù)制路徑復(fù)制到相同DC的更新（復(fù)雜的數(shù)字算法）2023/1/13PropagationDampeningProcessofPreventingUnnecessaryReplicationPreventsUpdatesBeingReplicatedMoreThanOnce

UpdateSequenceNumbers(USN)ResolveconflictingupdatesAredistinctlymaintainedoneachdomaincontrollerCannotbeseparatedfromtheirassociatedupdatePreventlossandduplicationofupdatesUp-to-datenessVector--representthehighestoriginatingupdatereceivedfromeachdomaincontrollerHighWatermarkVector2023/1/13ReplicationExampleFromServerAHighwatermark8

Up-to-datevector3ServerC142FromServerAHighwatermark9

Up-to-datevector9ServerC142FromServerAHighwatermark9

Up-to-datevector9ServerC1522023/1/13ThemetadatainformationstoredinobjectUpdatepasswordGUIDoftheserverthatperformedtheoriginatingwrite(serverA)LocalUSNoftheupdateontheattribute(USN9)USNoftheserverthatperformedtheoriginatingwriteontheattribute(USN9)2023/1/13ThemetadatainformationstoredinobjectUpdatepasswordGUIDoftheserverthatperformedtheoriginatingwrite(serverA)LocalUSNoftheupdateontheattribute(USN7or15)USNoftheserverthatperformedtheoriginatingwriteontheattribute(USN9)2023/1/13復(fù)制拓?fù)洹獜?fù)制在整個(gè)網(wǎng)絡(luò)上傳播的路徑確定DC與哪個(gè)具體的DC進(jìn)行復(fù)制AD數(shù)據(jù)庫(kù)按邏輯劃分成目錄分區(qū)每個(gè)目錄分區(qū)都是一個(gè)復(fù)制單元每個(gè)目錄分區(qū)都有各自的復(fù)制拓?fù)?1-4復(fù)制拓?fù)?023/1/13目錄分區(qū)域：所有DC林：所有DC目錄分區(qū)活動(dòng)目錄數(shù)據(jù)庫(kù)域contoso.msft配置架構(gòu)保存關(guān)于AD中建立的所有具體域?qū)ο蟮男畔P(guān)于活動(dòng)目錄結(jié)構(gòu)的信息包含所有對(duì)象和屬性的定義建立處理的規(guī)則2023/1/13A2A1A4A3域控制器來(lái)自同一個(gè)域域A拓?fù)浼軜?gòu)/配置拓?fù)銪2A2A1B1B3A4A3域控制器來(lái)自不同的域域A拓?fù)溆駼拓?fù)浼軜?gòu)/配置拓?fù)涫裁词菑?fù)制拓?fù)?連接對(duì)象：代表兩個(gè)DC對(duì)象間的單向復(fù)制路徑，指向復(fù)制源2023/1/13全局目錄和分區(qū)復(fù)制B2A2A1B1B3A4A3GC：林中所有域分區(qū)的部分內(nèi)容域A拓?fù)溆駼拓?fù)浼軜?gòu)/配置拓?fù)?023/1/13A3KCCA2KCCA1KCCA4KCCA5KCCA6KCCA7KCCA3KCCA2KCCA1KCCA8KCCA4KCCA5KCCA6KCCA7KCC自動(dòng)復(fù)制拓?fù)涞漠a(chǎn)生自動(dòng)復(fù)制拓?fù)涞漠a(chǎn)生A8KCC域拓?fù)浼軜?gòu)/配置拓?fù)?023/1/13

初始更新的最多路程段數(shù)目：不超過(guò)3個(gè)知識(shí)一致性的檢驗(yàn)程序KCCKnowledgeConsistencyChecker每個(gè)DC上運(yùn)行的內(nèi)部過(guò)程為目錄林產(chǎn)生復(fù)制拓?fù)?023/1/13使用連接對(duì)象連接對(duì)象的建立方式：自動(dòng)/手動(dòng)連接對(duì)象在每個(gè)DC上建立使用AD站點(diǎn)和服務(wù)手動(dòng)建立、刪除和調(diào)整連接對(duì)象使用AD站點(diǎn)和服務(wù)，右擊連接對(duì)象，立即復(fù)制連接對(duì)象連接對(duì)象DCA1DCA22023/1/1311-5實(shí)驗(yàn)A：跟蹤活動(dòng)目錄復(fù)制2023/1/13控制復(fù)制通信、登錄通信及其它類型的通信站點(diǎn)：有助于定義網(wǎng)絡(luò)的物理結(jié)構(gòu)站點(diǎn)內(nèi)復(fù)制站點(diǎn)間復(fù)制11-6利用站點(diǎn)優(yōu)化活動(dòng)目錄復(fù)制2023/1/13什么是站點(diǎn)?自動(dòng)建立的第一個(gè)站點(diǎn)叫做Default-First-Site-Name，可重命名站點(diǎn)可由0個(gè)、1個(gè)或多個(gè)子網(wǎng)組成

站點(diǎn)可用來(lái)控制復(fù)制通信和登錄通信站點(diǎn)包含服務(wù)器（Server）對(duì)象并和子網(wǎng)對(duì)象相關(guān)聯(lián)ADSitesandServicesConsoleWindowHelpActiveViewTreeActiveDirectorySitesandServicesSitesDefault-First-Site-NameServersInter-SiteTransportsSubnetsSiteInter-SiteTransportContainerSiteSubnetsContainerNameTypeRedmond-SiteDefault-First-Site-NameInter-SiteTransportsRedmond-SiteSubnetsDENVERNTDSSettings2023/1/13站點(diǎn)內(nèi)復(fù)制站點(diǎn)內(nèi)復(fù)制:發(fā)生于同一站點(diǎn)的域控制器之間

假定連接快速、高效、可靠復(fù)制通信不被壓縮使用變化通告機(jī)制IP子網(wǎng)DCADCBIP子網(wǎng)站點(diǎn)復(fù)制2023/1/13復(fù)制組件知識(shí)一致性的檢驗(yàn)程序KCCKnowledgeConsistencyChecker配置復(fù)制連接站點(diǎn)對(duì)象服務(wù)器對(duì)象A服務(wù)器對(duì)象B連接對(duì)象連接對(duì)象B是A的復(fù)制源A是B的復(fù)制源NTDSSettings對(duì)象NTDSSettings對(duì)象2023/1/13站點(diǎn)間復(fù)制站點(diǎn)間復(fù)制：根據(jù)人工制定的時(shí)間表進(jìn)行帶寬有限，且不一定可靠壓縮至20%以內(nèi)增加DC處理負(fù)載在每個(gè)站點(diǎn)一個(gè)或多個(gè)備份扮演橋頭堡ISTG自動(dòng)指定站點(diǎn)IP子網(wǎng)IP子網(wǎng)ISTG站點(diǎn)間拓?fù)浒l(fā)生器橋頭堡服務(wù)器復(fù)制站點(diǎn)IP子網(wǎng)IP子網(wǎng)橋頭堡服務(wù)器,ISTG復(fù)制復(fù)制2023/1/13比較站點(diǎn)內(nèi)和站點(diǎn)間復(fù)制站點(diǎn)內(nèi)復(fù)制變化通知不壓縮的通信緊急復(fù)制站點(diǎn)間復(fù)制按時(shí)間表計(jì)劃復(fù)制壓縮的通信2023/1/13復(fù)制協(xié)議DCADCBRPCorSMTPRPC：用于站點(diǎn)內(nèi)和站點(diǎn)間復(fù)制，基于連接SMTP：用于站點(diǎn)間復(fù)制，轉(zhuǎn)儲(chǔ)，不一定要連接用于不同域的架構(gòu)配置和全局目錄復(fù)制不能用于同一個(gè)域的域分區(qū)復(fù)制復(fù)制協(xié)議2023/1/13復(fù)制協(xié)議站點(diǎn)內(nèi)復(fù)制：兼容IP的RPC協(xié)議站點(diǎn)間復(fù)制可使用：兼容IP的RPC協(xié)議SMTP(如果復(fù)制發(fā)生在兩個(gè)域之間)2023/1/13關(guān)于“站點(diǎn)”site地點(diǎn)：一個(gè)或多個(gè)IP子網(wǎng)的高速連接高速：512K以上若連接在512K以下，應(yīng)劃為不同的站點(diǎn)一般：LAN為站點(diǎn)（10BaseT）LAN之間的連接一般低于512K當(dāng)然，也可能LAN間高速路由連接域是網(wǎng)絡(luò)的邏輯分組站點(diǎn)是網(wǎng)絡(luò)的物理分組可一個(gè)站點(diǎn)多個(gè)域，也可一個(gè)域多個(gè)站點(diǎn)2023/1/13

一個(gè)站點(diǎn)多個(gè)域多個(gè)域應(yīng)屬同一個(gè)林站點(diǎn)內(nèi)復(fù)制：林信息架構(gòu)，基本配置，GC一個(gè)域多個(gè)站點(diǎn)站點(diǎn)間復(fù)制：域信息AD中域?qū)ο蟮男畔⒉荒苡肧MPT站點(diǎn)間復(fù)制：規(guī)劃時(shí)間，低頻度2023/1/1311-7實(shí)現(xiàn)站點(diǎn)管理活動(dòng)目錄復(fù)制好處：優(yōu)化用戶登錄，優(yōu)化AD復(fù)制就近，同一站點(diǎn)的DC站點(diǎn)內(nèi)：較高頻度，變化通知，不壓縮站點(diǎn)間：應(yīng)低頻度，壓縮，需創(chuàng)建“站點(diǎn)鏈接”建立站點(diǎn)身份：企業(yè)管理組/域管理組AD站點(diǎn)和服務(wù)—Sites—新站點(diǎn)站點(diǎn)名一般不要用下劃線計(jì)算機(jī)對(duì)象Computer:2000P、memberServer:DC2023/1/13

建立子網(wǎng)對(duì)象AD站點(diǎn)和服務(wù)—Sites—Subnets—新子網(wǎng)輸入地址、掩碼，并與相應(yīng)站點(diǎn)關(guān)聯(lián)這樣，ADIP子網(wǎng)站點(diǎn)一個(gè)重要的操作順序創(chuàng)建站點(diǎn)，相應(yīng)站點(diǎn)鏈接創(chuàng)建子網(wǎng)，與站點(diǎn)關(guān)聯(lián)手工將DC從Default-First-Site-Name移入站點(diǎn)連接2023/1/13建立站點(diǎn)和子網(wǎng)AD站點(diǎn)和服務(wù)ConsoleWindowHelpActiveViewTreeActiveDirectorySitesandServicesSitesDefault-First-Site-NameServersInter-SiteTransportsSubnetsSiteInter-SiteTransportContainerSiteSubnetsContainerNameTypeRedmond-SiteDefault-First-Site-NameInter-SiteTransportsRedmond-SiteSubnetsDENVERNTDSSettingsDefault-First-Site-NameIP子網(wǎng)DCARedmond站點(diǎn)IP子網(wǎng)DCBIP子網(wǎng)2023/1/13查看同一站點(diǎn)下，DC的連接KCC自動(dòng)創(chuàng)建維護(hù)，雙向AD站點(diǎn)和服務(wù)—Sites—具體站點(diǎn)—Servers—具體DC—NTDS—自動(dòng)產(chǎn)生—屬性—更改日程安排星期一到日，1小時(shí)1次（默認(rèn)）1小時(shí)2次1小時(shí)4次

指周期性復(fù)制AD復(fù)制還有：緊急復(fù)制，基于變化的5分鐘延遲

2023/1/13建立和配置站點(diǎn)連接（站點(diǎn)間）通過(guò)下列組件定義站點(diǎn)連接：傳輸：IP/SMTP成員站點(diǎn)：兩個(gè)或多個(gè)成本：1-32767，默認(rèn)100時(shí)間表：星期一到日，1小時(shí)1次復(fù)制間隔：15-10080分鐘，默認(rèn)180分鐘IP子網(wǎng)IP子網(wǎng)站點(diǎn)DCAIP子網(wǎng)IP子網(wǎng)站點(diǎn)DCB站點(diǎn)連接2023/1/13

建立站點(diǎn)連接AD站點(diǎn)和服務(wù)—Sites—Inter-Sitetransports—IP/SMTP—新站點(diǎn)鏈接2023/1/13建立站點(diǎn)連接橋站點(diǎn)XIP子網(wǎng)IP子網(wǎng)IP子網(wǎng)IP子網(wǎng)IP子網(wǎng)IP子網(wǎng)站點(diǎn)Z站點(diǎn)Y站點(diǎn)連接YZ,成本4站點(diǎn)連接X(jué)Y,成本3站點(diǎn)連接橋XYZ,成本7如：X與Z之間有防火墻直接不能通信2023/1/13

在路由完全的網(wǎng)絡(luò)上，不需要人工建立站點(diǎn)連接橋至少包括兩個(gè)站點(diǎn)連接有一個(gè)共同的站點(diǎn)，如上例的站點(diǎn)Y如何建立站點(diǎn)連接橋AD站點(diǎn)和服務(wù)—Sites—Inter-Sitetransports—IP/SMTP—新站點(diǎn)鏈接橋什么時(shí)候建立站點(diǎn)連接橋內(nèi)部防火墻，X與Z直接不能通信選擇更好的連接路徑，改善性能2023/1/1311-8實(shí)驗(yàn)B：利用站點(diǎn)管理活動(dòng)目錄復(fù)制2023/1/1311-9監(jiān)控復(fù)制通信什么是復(fù)制監(jiān)控復(fù)制監(jiān)控器：圖象格式顯示DC間連接拓?fù)淇蛇\(yùn)行于DC、成員、孤立計(jì)算機(jī)監(jiān)控信息，同步DC2023/1/13

利用復(fù)制監(jiān)控器監(jiān)控復(fù)制通信安裝：support\tools\setup.exe開(kāi)始—程序—Windows2000SupportTools—AD復(fù)制監(jiān)控器查看—選項(xiàng)—狀態(tài)記錄：顯示改變的屬性添加服務(wù)器，如s58

利用repadmin監(jiān)控復(fù)制通信2023/1/1311-10調(diào)整復(fù)制提高復(fù)制性能默認(rèn)自動(dòng)可靠，一般不需調(diào)整建立附加的連接對(duì)象配置首選的橋頭服務(wù)器（一個(gè)或多個(gè)）AD站點(diǎn)和服務(wù)—Sites—相應(yīng)站點(diǎn)—Server—相應(yīng)服務(wù)器—屬性選擇IP/SMTP，添加2023/1/1311-11實(shí)驗(yàn)C：監(jiān)控復(fù)制2023/1/1311-12解決活動(dòng)目錄復(fù)制過(guò)程中出現(xiàn)的問(wèn)題復(fù)制無(wú)法結(jié)束：未建站點(diǎn)連接復(fù)制緩慢：站點(diǎn)連接拓?fù)浜蜁r(shí)間表復(fù)制增加網(wǎng)絡(luò)通信：半夜進(jìn)行復(fù)制使對(duì)客戶響應(yīng)太慢客戶加入相應(yīng)站點(diǎn)（子網(wǎng)）KCC不能為可辨析名字的站點(diǎn)完成拓?fù)湫薷淖?cè)表2023/1/1311-13最佳方案在每個(gè)站點(diǎn)中至少設(shè)置一個(gè)DC，一個(gè)GC在每個(gè)站點(diǎn)至少設(shè)置一個(gè)DNS服務(wù)器制定站點(diǎn)連接的時(shí)間表，在網(wǎng)絡(luò)通信不擁擠的時(shí)候復(fù)制2023/1/13管理操作主控

122023/1/1312-1概述五種操作主控架構(gòu)Schema 林唯一域命名DomainNaming 林唯一PDC仿真器

PDCEmulator 域唯一相關(guān)標(biāo)識(shí)符

RID 域唯一基礎(chǔ)結(jié)構(gòu)

Infrastructure 域唯一任何DC都可以是一操作主控用于：不可進(jìn)行多主控更新時(shí)（單主控）2023/1/1312-2介紹操作主控只有DC可以是一個(gè)特定的操作主控，來(lái)執(zhí)行相關(guān)的AD改變變化通過(guò)一個(gè)操作主控復(fù)制其它的DC上任何DC都可以是一操作主控操作主控可以移動(dòng)到其它DC上復(fù)制單主控操作操作主控2023/1/13五種操作主控架構(gòu)主控 林唯一域命名主控 林唯一PDC仿真器主控 域唯一RID主控 域唯一基礎(chǔ)結(jié)構(gòu)主控 域唯一林中只一個(gè)域：5個(gè)操作主控林中多個(gè)域：多于5個(gè)操作主控12-3操作主控角色2023/1/13操作主控默認(rèn)位置在林根域的第一臺(tái)DC上域范圍RID主控PDC仿真主控基礎(chǔ)結(jié)構(gòu)主控目錄林范圍架構(gòu)主控域命名主控域范圍RID主控PDC仿真主控基礎(chǔ)結(jié)構(gòu)主控2023/1/13架構(gòu)主控控制對(duì)架構(gòu)的所有原始更新在林中將復(fù)制更新到所有的DC只有架構(gòu)管理組可以對(duì)架構(gòu)進(jìn)行修改架構(gòu)主控復(fù)制2023/1/13域命名主控只有它可以向目錄林添加/刪除域若其不可用，則無(wú)法添加/刪除域查詢GC，防止重名。其無(wú)法查詢獨(dú)立DC的GC，所以必須同時(shí)還是一個(gè)GC新域域命名主控GC服務(wù)器2023/1/13PDC仿真器充當(dāng)NTBDC的PDC，并為早期版本客戶機(jī)提供服務(wù)管理運(yùn)行NT、95/98計(jì)算機(jī)的密碼變化，寫入AD最小化密碼變化的復(fù)制等待時(shí)間接受密碼變化的DCPDC仿真登錄時(shí)，如密碼錯(cuò)誤，先送至PDC仿真同步全域中的域控制器時(shí)間防止重寫GPO的可能客戶計(jì)算機(jī)運(yùn)行2000之前版本的WindowsPDC仿真器WindowsNT

BDC2023/1/13MoveRID主控在域內(nèi)分配RID塊給每一個(gè)DC查看dcdiag防止對(duì)象從一個(gè)DC移動(dòng)到另一個(gè)DC時(shí)重名。域間移動(dòng)時(shí)，RID主控將從域中刪除對(duì)象對(duì)象SID=域SID+RIDRID主控RID塊移動(dòng)RID分配2023/1/13基礎(chǔ)結(jié)構(gòu)主控（InfrastructureMaster）更新外部對(duì)象的索引（組成員資格）單域不需要基礎(chǔ)結(jié)構(gòu)主控不應(yīng)該和GC在同一個(gè)DC上，應(yīng)手動(dòng)移走否則將不起作用基礎(chǔ)結(jié)構(gòu)主控全局組嵌套到域本地組移動(dòng)

GUIDSID新DN組成員列表域A域B2023/1/13

域間移動(dòng)對(duì)象、刪除域間移動(dòng)用戶movetree如前例：域A全局組加入到域B本地組域A全局組被移動(dòng)到其它域（或刪除）組成員列表：GUID—SID/DN變化基礎(chǔ)結(jié)構(gòu)主控周期性檢查，與GC比較有變化，則更新列表（索引）并將變化復(fù)制給域內(nèi)其它DC2023/1/13規(guī)劃操作主控林架構(gòu)主控和域命名主控在一起（及GC）從林根域移動(dòng)到其它域域PDC仿真主控和RID主控在一起除非負(fù)載要求分開(kāi)基礎(chǔ)結(jié)構(gòu)主控應(yīng)手動(dòng)移走，與GC分開(kāi)否則它永遠(yuǎn)不會(huì)將變化復(fù)制給域內(nèi)其它DC2023/1/13確定一個(gè)操作主控角色的保持者傳送一個(gè)操作主控角色查封一個(gè)操作主控角色12-4管理操作主控角色2023/1/13確定一操作主控角色保持者確定一個(gè)操作主控角色，使用：AD用戶和計(jì)算機(jī)RID主控PDC仿真主控基礎(chǔ)結(jié)構(gòu)主控AD域和信任關(guān)系域命名主控AD架構(gòu)的MMC插件架構(gòu)Schemamaster問(wèn)：如何確定GC？2023/1/13傳送一操作主控角色只有當(dāng)域的基礎(chǔ)結(jié)構(gòu)發(fā)生主要的變化時(shí)，才傳送角色在角色傳送過(guò)程中沒(méi)有數(shù)據(jù)的損失為傳送操作主控角色，你必須擁有相應(yīng)的權(quán)限或是特定組的成員操作主控功能傳送角色到另外的DC2023/1/13

改變操作主控角色的默認(rèn)組架構(gòu)主控 架構(gòu)管理員組域命名主控 企業(yè)管理員組PDC仿真器主控 域管理員組RID主控 域管理員組基礎(chǔ)結(jié)構(gòu)主控 域管理員組2023/1/13

傳送PDC仿真器主控、RID主控、基礎(chǔ)結(jié)構(gòu)主控（非GC）角色AD用戶和計(jì)算機(jī)連接到域控制器（目標(biāo)）更改傳送域命名主控角色（為GC）

AD域和信任關(guān)系連接到域控制器（目標(biāo)）更改2023/1/13

傳送架構(gòu)主控角色AD架構(gòu)更改域控制器（目標(biāo)）更改傳送保證主控的唯一性查封不保證唯一，未連接下的強(qiáng)行傳輸2023/1/13查封seizing一操作主控角色只有在當(dāng)前操作主控不能傳送時(shí)（永久性故障），才查封角色，暫時(shí)的故障，應(yīng)等待可能會(huì)丟失數(shù)據(jù)你必須有適當(dāng)?shù)臋?quán)限（授權(quán)查封組的成員）操作主控不再可用查封角色并重新指派到另一個(gè)DC2023/1/13

關(guān)于查封故障是永久性的，查封后不應(yīng)再運(yùn)行查封前，必須將角色與與網(wǎng)絡(luò)斷開(kāi)若不斷開(kāi)，相當(dāng)于傳輸查封PDC仿真和基礎(chǔ)結(jié)構(gòu)（利用率高）AD用戶和計(jì)算機(jī)連接將成為新主控的DC更改，問(wèn)：未連接，強(qiáng)行更改？是查封其他的操作主控角色（利用率低）通常不是一個(gè)值得修正的問(wèn)題2023/1/13

用ntdsutil查封一個(gè)角色Ntdsutil—roles—connections—connecttoserver新角色—quit—seize相應(yīng)主控或transfer相應(yīng)主控Quit—quit若不斷開(kāi)，相應(yīng)于傳輸Seizing=transfer2023/1/13失效的后果，不同主控不同PDC仿真主控和基礎(chǔ)結(jié)構(gòu)主控失效后，應(yīng)立即查封其它的主控可能在相當(dāng)一段時(shí)間用不到12-5管理操作主控失效2023/1/13PDC仿真器或基礎(chǔ)結(jié)構(gòu)主控的失效PDC仿真的失效可能會(huì)更嚴(yán)重地影響網(wǎng)絡(luò)運(yùn)行基礎(chǔ)結(jié)構(gòu)的失效不那么嚴(yán)重，除非讀者移動(dòng)大量的對(duì)象注意：查封（傳輸）到新DC（非GC）失效后的恢復(fù)確定DC問(wèn)題的嚴(yán)重性確定該DC擁有哪此操作主控角色查封操作主控角色，并將它傳送到另一個(gè)DC上確認(rèn)新的DC已經(jīng)收到了操作主控角色2023/1/13其他操作主控的失效恢復(fù)其它操作主控的失效將當(dāng)前操作主控和網(wǎng)絡(luò)斷開(kāi)在失效的DC引起的更新復(fù)制到新主控DC前，一直等待。

確認(rèn)角色被查封的DC是永不恢復(fù)，查封，將計(jì)算機(jī)帳號(hào)從域中刪除重新格式化原操作主控計(jì)算機(jī)的包含操作系統(tǒng)文件的分區(qū)，重新安裝Windows2000，重新連接計(jì)算機(jī)到網(wǎng)絡(luò)2023/1/1312-6實(shí)驗(yàn)A：管理操作主控2023/1/1312-7最佳方案不要進(jìn)行頻繁的角色傳送域基礎(chǔ)結(jié)構(gòu)做了重大改變之后在DC降級(jí)前，傳送角色將PDC仿真?zhèn)魉蜁r(shí)，考慮密碼相關(guān)的網(wǎng)絡(luò)通信量周期性地檢查角色保持者的最佳布置將架構(gòu)主控和域命名主控分配到同一DC將基礎(chǔ)結(jié)構(gòu)與GC放在不同的GC，但同一站點(diǎn)下。2023/1/13維護(hù)活動(dòng)目錄數(shù)據(jù)庫(kù)13

2023/1/1313-1概述利用“備份”來(lái)備份和恢復(fù)活動(dòng)目錄活動(dòng)目錄（本單元指DC上的活動(dòng)目錄信息）修改垃圾收集移動(dòng)整理2023/1/1313-2維護(hù)活動(dòng)目錄數(shù)據(jù)庫(kù)介紹備份AD恢復(fù)AD整理數(shù)據(jù)庫(kù)的碎片移動(dòng)AD數(shù)據(jù)庫(kù)ntds.dit并不刪除原始數(shù)據(jù)庫(kù)

winnt\ntds2023/1/1313-3修改活動(dòng)目錄數(shù)據(jù)的過(guò)程所有的更新都是通過(guò)事務(wù)處理來(lái)完成的添加/刪除/移動(dòng)/修改AD對(duì)象略2023/1/1313-4垃圾收集處理DC上周期性刪除AD不再使用的對(duì)象墓碑（tombstone）：對(duì)象刪除標(biāo)志生存時(shí)間：標(biāo)志到真正刪除的間隔默認(rèn)：60天垃圾收集處理程序每12小時(shí)檢查一次并整理數(shù)據(jù)庫(kù)碎片（有一定的壓縮功能）自動(dòng)/手動(dòng)2023/1/1313-5備份活動(dòng)目錄系統(tǒng)狀態(tài)數(shù)據(jù)包括:在DC上的AD和SYSVOL共用文件夾注冊(cè)表，系統(tǒng)啟動(dòng)文件，所有計(jì)算機(jī)上的類注冊(cè)數(shù)據(jù)庫(kù)證書服務(wù)器上證書服務(wù)數(shù)據(jù)庫(kù)啟動(dòng)附件—系統(tǒng)工具—備份實(shí)用程序打開(kāi)備份向?qū)нx擇備份系統(tǒng)狀態(tài)數(shù)據(jù)的方式備份活動(dòng)目錄2023/1/13

備份系統(tǒng)狀態(tài)數(shù)據(jù)原則必須有備份文件和文件夾的權(quán)限管理員組、備份組、服務(wù)器操作組只有DC才包括AD和SYSVOL可自動(dòng)備份，或常規(guī)備份的一部分當(dāng)DC聯(lián)機(jī)時(shí)備份系統(tǒng)狀態(tài)數(shù)據(jù)備份程序只支持AD的本地備份不能在無(wú)第三方工具的情況下，遠(yuǎn)程備份AD2023/1/13重裝域控制器，復(fù)制數(shù)據(jù)從備份介質(zhì)恢復(fù)AD非授權(quán)恢復(fù)硬件失敗授權(quán)恢復(fù)誤刪除對(duì)象13-6恢復(fù)活動(dòng)目錄2023/1/13什么是非授權(quán)恢復(fù)非授權(quán)恢復(fù)只恢復(fù)AD到它備份 時(shí)的狀態(tài)

DC上的分布式服務(wù)從備份介質(zhì) 中恢復(fù)，然后恢復(fù)后的數(shù)據(jù)通過(guò)通常的復(fù)制來(lái)更新

備份程序只執(zhí)行AD的非授權(quán)恢復(fù)在恢復(fù)AD后，Windows

2000自動(dòng)：執(zhí)行一致性檢查，重新計(jì)算數(shù)據(jù)庫(kù)中的索引使用復(fù)制部分的數(shù)據(jù)來(lái)更新AD和文件復(fù)制服務(wù)（FRS）2023/1/13執(zhí)行非授權(quán)恢復(fù)當(dāng)替代一個(gè)失敗的DC或修復(fù)受損的AD數(shù)據(jù)庫(kù)時(shí)，需要恢復(fù)AD當(dāng)AD運(yùn)行時(shí)，備份不能更換活動(dòng)目錄不能從比墓碑的60天生存時(shí)