第27号专栏

对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全

理解域信任关系     在同一个域内，成员服务器根据Active Directory中的用户账号，可以很容易地把资源分配给域内的用户。但一个域的作用范围毕竟有限，有些企业会用到多个域，那么在多域环境下，我们该如何进行资源的跨域分配呢？也就是说，我们该如何把A域的资源分配给B域的用户呢？一般来说，我们有两种选择，一种是使用镜像账户。也就是说，我们可以在A域和B域内各自创建一个用户名和口令都完全相

实战详解域信任关系          上篇博文中我们对域信任关系作了一下概述，本文中我们将通过一个实例为大家介绍如何创建域信任关系。拓扑如下图所示，当前网络中有两个域，一个域是ITET.COM，另一个域是HOMEWAY.COM。两个域内各有一个域控制器，分别是Florence和Firenze，我们让两个域使用了同一个DNS服务器。         创建域信任关系要注意DNS服务器的

创建Win2003域和Win2008域之间的信任关系         我们在上一篇文章中创建了域信任关系，这个信任关系发生在两个Win2003域之间，而且两个域使用了同一个DNS服务器。今天我们更换一个实验场景，拓扑如下图所示。一个是Win2003域，另一个是Win2008域。两个域都使用各自的域控制器提供DNS解析，而且Win2008域的功能级别是Win2003，我们将为大家演示如何在这两个

实战子域部署       域树是Active Directory针对NT4的传统域模型所进行的重要改进。在NT4时代的域模型中，每个域都要使用没有层次结构的NETBIOS名称，而且域和域之间缺少关联，只能创建不能传递的域信任关系。这会在企业管理方面造成诸多不利因素，首先域和域之间很难根据域名判断彼此间的隶属关系，例如beijing域和shanghai域；其次由于域之间的信任关系不可传递，在域数

创建可传递的林信任         在实战详解域信任关系中，我们介绍了如何创在两个域之间创建域信任关系。实战的结果是我们在itet.com和homeway.com之间成功创建了信任关系，达到了预期目的。但我们打开域控制器上的Active Directory域和信任工具，可以从下图中发现，itet.com和homeway.com之间的信任关系是不可传递的！这个要引起我们的关注。 

初步理解组策略    组策略是Active Directory中非常重要的一项技术，很多朋友都听说过组策略对于管理的重要意义，也明白有些疑难问题可以用传说中的“策略”来解决。但并不清楚组策略该如何理解，如何部署，如何管理。今天起我们将组织一系列的博文为大家介绍组策略的来龙去脉，力争让大家可以更好地利用组策略来完善管理工作。         我们首先从组策略的概念谈起，什么是组策略呢？组

组策略轻松实现软件发布         在IT工程师的运维工作中，有很多没有技术含量的事务性操作是很令人头疼的，例如为客户机安装软件。有些朋友看到这里估计会很不以为然，想我等IT专业人士，纵横江湖多年，无论国内国外，正版盗版，安装个小小软件还不是手到擒来！其实不然，在一台机器上安装软件当然不难，要是让你在一千台机器上安装Office呢？想想看，要是用传统的方式一台一台地安装，操作者是很需要

组策略指派Office2003分发       上篇博文中我们介绍了如何利用组策略在客户机上安装软件，我们用分发的部署方式为大家举了一个软件安装的实例，本文中我们将为大家介绍如何用组策略通过指派的方法实现软件安装。指派可以针对用户，也可以针对计算机，相比较分发的部署方式更为灵活。实验拓扑如下图所示，我们这次准备部署的软件是Office2003。         如图1所示，在文件服

用Veritas创建MSI文件       在之前的博文中，我们介绍了组策略中可以使用发布和指派两种手段进行软件分发。我们举例发布的都是MSI格式的软件，但很多小型的工具软件并没有提供MSI格式的安装程序，大多只有EXE格式的安装文件。众所周知，组策略发布并不支持EXE格式的安装程序，那我们应该如何处理这些工具软件呢？今天我们要为大家介绍的就是如何把这些EXE格式的安装程序转换为MSI格式的文

应用背景介绍：contoso公司的总部在西安（Xian），陕南的汉中（Shannan）和陕北的榆林（Shanbei）分别设有分公司，分别负责陕南和陕北的业务。contoso公司的全体员工人数是150人，因为整个公司的资源对象不多，所以采用单域结构实现了整个公司的IT架构管理。公司的员工分布在三地（西安、陕南和陕北），为了便于三地员工访问AD的资源，所以分别创建了Xian、S

    

域控制器的终极卸载          在上篇博文中，我们介绍了用Dcpromo/Forceremoval对域控制器进行强行卸载。一般情况下，用这种强制卸载方法基本可以解决问题。但如果有些域控制器的Active Directory损坏严重，严重到了无法对Active Directory进行初始化，以致于无法登录操作系统。这种情况下我们就要犯愁了，Dcpromo/forceremoval需

域控制器的强制卸载上篇博文中我们介绍了如何对域控制器进行常规卸载，本文中我们将介绍如何对域控制器进行强制卸载。为什么需要对域控制器进行强制卸载呢？如果域控制器不能和复制伙伴正常通讯，而且更正无望，那我们就要考虑进行强制卸载了。例如我曾见过一个单位有10个域控制器，居然有7个不能相互复制，主要是管理员误以为域控制器越多越好….类似这样的情况，我们就可以果断出手，把域控制器强行卸载掉。域控制器强行

域控制器的常规卸载         我们现在已经有一些Active Directory的部署及管理经验了，今天我们要考虑一个问题，如果一个域控制器我们不需要了，那应该如何处理呢？直接把它砸了是不对的，这未免太暴力了，和当前的和谐环境有些格格不入哦。关键是，如果我们让这台域控制器直接消失，那么其他的域控制器就无法得知这个消息，每隔一段时间其他的域控制器还会试图和这个域控制器进行AD复制，客户机也

在上篇博文中我们介绍了部署域的意义，今天我们来部署第一个域。一般情况下，域中有三种计算机，一种是域控制器，域控制器上存储着Active Directory；一种是成员服务器，负责提供邮件，数据库，DHCP等服务；还有一种是工作站，是用户使用的客户机。我们准备搭建一个基本的域环境，拓扑如下图所示，Florence是域控制器，Berlin是成员服务器，Perth是工作站。部署一个域大致要做

上篇博文中我们介绍了如何部署第一个域，现在我们来看看我们能够利用域来做些什么。域中的计算机可以共享用户账号，计算机账号和安全策略，我们来看看这些共享资源给我们在分配网络资源时带来了哪些改变。实验拓扑如下图所示，我们现在有个简单的任务，要把成员服务器Berlin上一个共享文件夹的读权限分配给公司的员工张建国。上次我们实验时已经为张建国创建了用户账号，这次我们来看看如何利用这个用户账号来实现资源分配的

在前面的博文中我们介绍了域控制器在进行网络资源分配时的核心作用，而且我们分析了一下一旦域控制器崩溃会导致的灾难场景，上篇博文中我们提出使用对AD数据备份的方法来进行域控制器的灾难重建，今天我们介绍使用额外域控制器来避免域的崩溃。如果域中只有一台域控制器，一旦出现物理故障，我们即使可以从备份还原AD，也要付出停机等待的代价，这也就意味着公司的业务将出现停滞。部署额外域控制器，指的是在域中部署第二

在上篇博文中我们介绍了如何在域中部署额外域控制器，额外域控制器有很多好处，例如可以平衡用户对AD的访问压力，有利于避免唯一的域控制器损坏所导致域的崩溃。从上篇博文中我们得知，域内所有的域控制器都有一个内容相同的Active Directory，而且Active Directory的内容是动态平衡的，也就是说任何一个域控制器修改了Active Directory，其他的域控制器都会把这个Acti

在上篇博文中我们介绍了部署额外域控制器的意义，同时介绍了如何在线部署额外域控制器，也就是额外域控制器通过网络以在线方式从复制伙伴那里获取Active Directory数据。在线部署额外域控制器是我们部署额外域控制器时的首选，它方便易行，在拥有快速网络连接的环境下使用非常合适。但我们也要考虑另外一种场景，域控制器之间是通过低速网络连接的！如果域控制器之间的网络质量不理想，例如有的域控制器需要部署到

Active Directory是一个被设计用于查询的非关系型数据库，Active Directory使用一段时间后，需要对数据库内容进行维护，以减少数据碎片及提高查询效率，今天我们就为大家介绍一下如何对Active Directory的数据库进行离线维护。Active Directory创建时默认的数据库及事务日志的存放路径是C:\Windows\NTDS，我们打开前文中创建的域控制器F

Active Directory的复制拓扑    在前面的博文中我们在域中部署了额外域控制器，而且我们已经知道每个域控制器都有一个内容相同的Active Directory数据库，今天我们要讨论一下额外域控制器在进行Active Directory复制时所使用复制拓扑。在NT4的时代，域控制器被分为两类，PDC和BDC。PDC是主域控制器的缩写，BDC是备份域控制器的缩写。每个域中只能

Active Directory操作主机详解 在前面的博文中，我们已经了解到每个域控制器都能自主修改Active Directory，而且修改后的结果会被其他的域控制器所承认。从这个角度讲，域控制器之间的地位是平等的，但我们决不能认为域控制器之间是没有区别的！事实上，域中的第一个域控制器往往比其他的域控制器承担了更多的任务。有些企业中部署了多个域控制器之后，就开始忽略第一个域控制器的作

实战操作主机角色转移         上篇博文中我们介绍了操作主机在Active Directory中的用途，今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。         我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架

什么是站点         谈到Active Directory中的站点，很多Active Directory的初学者都会深感头疼，为什么呢？搞不清楚这个站点究竟是起什么作用。有很多同学都问过这样的问题，站点和域有什么区别？到底是域大还是站点大？有了域为什么还要有站点？…..本文将尝试为大家介绍站点的概念及设计初衷，让大家能够更好地理解站点，运用站点。         域是共享用户账号，计

实战Active Directory站点部署与管理上篇博文中我们家介绍了站点的设计目的及大致原理，今天我们通过实战为大家介绍如何进行站点的部署以及管理。实验拓扑如下图所所示，adtest.com域中有四个域控制器，分别是Florence，Berlin，Firenze和Perth。其中Florence和Berlin在北京，隶属于192.168.11网段；Firenze和Perth在上海，隶属

在Exchange Server 2010和Outlook 2010中可以实现将收件人的头像照片信息存放在GAL中，在活动目录（AD）中有一个非常有用的对象“图片”属性，它的“ldapDisplayName”被定义为“thumbnailphoto”，这个对象的作用是被用来存储关于该对象的照片缩略图的。此外，由于这些图片是存放在AD中，如果图片体积过大会导致AD数据库体积增大，从而AD的复制会受到影...