SuperITPro的专栏

阅读前请参考：        深入理解全局编录服务器(http://blog.youkuaiyun.com/superitpro/article/details/8097488)         全局编录服务器并不是一个独立的实体，域控制器也没有单独为GC准备一个独立的DIT文件，GC服务器与当前的域公用同一个NTDS.DIT文件，两者的区别只是使用的端口号不同，前者使用3268端口，后者使用38

在Microsoft Active Directory中，AD组应该是属于比较难理解概念之一。事实上，AD中有多种不同的组，比如通讯组、安全组、全局组、通用组等。那么在AD中，对于组是如何定义和分类，各种组又适合什么样的场景下使用才是最安全最合适的呢？本文给出相关的描述，希望给感兴趣的朋友有所启迪！ 一、组的分类：    1、根据网络环境可划分为：本机组和域组    2、根据能否分

AD安装完成后，就可以通过AD管理中心、AD用户和计算机管理或命令行等方式来新建计算机和用户帐户了。默认设置下，新建的计算机帐户会自动分类到Computers容器中，新建的用户帐户会自动归类到Users容器。因为Computers和Users是两个容器，如果我们希望对每个新添加的用户和计算机进行某种组策略设置，那么此时就无能为力。为解决这个情况，MS提供了两个命令行工具：redircmp/redi

在Win2008R2以及Win2012安装AD过程已经非常稳定，较少出现问题。但为避免问题出现，在AD安装完成后，可以通过多种方式来验证安装是否成功，本文给下相关的验证途径，供有兴趣朋友参考：      1、检查事件查看器，个人认为事件查看器是日常运维最有用的工具，通过事件查看器我们可以及时了解服务器存在的隐患，提前防范。在AD安装后，通过事件查看器检查目录服务相关日志，会对安装过程中可能存在

在安装AD过程中，安装向导会提示AD数据库文件、AD日志文件以及Sysvol文件的安装位置，默认的安装位置都在c:\windows目录中。要正确选择以上三个文件的安装目录，首先需要理解这三个文件的作用1、sysvol文件夹     在AD安装完成后，Sysvol文件夹会自动设置成共享文件夹，以用于在域控制器之间共享，通过文件复制服务（FRS）进行更新。    Sysvol文件夹保存

写在前面：    这是一直想写但一直在犹豫的系列，因为系列准备介绍的没有那种包治百病,灵丹妙药式的工具，只有日常维护和排错过程中常用工具。这些工具都包含在MS Support Tools或Resource Tools中，微软网站或工具自带的使用帮助中已有相应的使用说明，网络中也有许多类似的文章可以参考。从这点来说，再整理这样的系列，未免有画蛇添足之嫌。但另一方面，MS Support Tool

作为域管理员，有时我们需要批量地向AD域中添加用户帐户，这些用户帐户既有一些相同的属性，又有一些不同属性。如果在图形界面逐个添加、设置，那么需要的时间和人力会超出能够承受范围。一般来说，如果不超过10个，我们可利用AD用户帐户复制来实现。如果再多的话，就应该考虑使用使用命令行工具，实现批量导入导出对象。微软默认提供了两个批量导入导出工具，分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数

概述在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。在Win2003 AD域中，FSMO有五种角色,分成两大类:   林林级别

概述：   在Win2003AD域环境中，除了FSMO操作主机角色外，全局编录服务器(GC)也是有着特殊含义的域控制器。通过GC，可以提高在活动目录中搜索对象的速度，可以加快用户登录验证等。   简单的说，GC是森林中所有对象的只读调整缓冲存储器( Read Only Cache),目录只用于搜索。GC服务器存储本域中所有对象的所有属性，同时会存储林中其它域中所有对象的部分属性。一般来说，

何为AD复制        AD复制是域控制器之间复制AD DS数据以确保各域控制器具有相同信息的过程，复制的内容是AD DS数据。    在Windows Server 2008中常见复制方式是主多机复制，也就是允许任何域控制器（RODC除外）修改ADDS。具有AD DS数据可写副本的所有域控制器定期将修改复制到所有其它域控制器中。那么如何保证在任何一台DC上进行修改，但却可以保证所有D