在命令提示符里面輸入cd windows按回車鍵?? 輸入cd ntds按回車鍵? 輸入dir按回車鍵? 可以看到一個叫做ntds.dit文件? 它就是活動目錄數(shù)據(jù)庫文件? 我們所創(chuàng)建的用戶 組 計算機都存儲在ntds.dit這個文件里面?? 通過開始--運行--輸入adsiedit.msc按確定 可以看到目錄分區(qū)的構(gòu)成? 目錄分區(qū)由三部分構(gòu)成? 一個叫做架構(gòu)分區(qū)(Schema)? 一個叫做配置分區(qū)(Configuration)? 一個叫做域分(Domain) 架構(gòu)分區(qū)里面存儲了整個森林里面的架構(gòu)信息? 一個森林只有一個架構(gòu)? 架構(gòu)分區(qū)里面的架構(gòu)信息是在整個森林中復(fù)制的? 配置分區(qū)里面存儲了當前整個森林里面的配置信息? 展開CN=Sites后可以看到當前有幾個站點? 我把DC1(根域)放在site1里面? SubdomainDC1(子域)放在site2里面? 配置分區(qū)里面的信息也是在整個森林中所有的DC去進行復(fù)制的? 也就是說架構(gòu)分區(qū)里面的信息和配置分區(qū)里面的信息是在整個森林中所有DC進行復(fù)制的? 而域分區(qū)里面的信息只能夠在本域內(nèi)的DC之間進行復(fù)制的 我在根域的域控制器上? 在命令提示符里面輸入ntdsutil按回車鍵?? 輸入d m按回車鍵來創(chuàng)建一個應(yīng)用程序分區(qū)? 輸入connect 按回車鍵 因為我的根域的域控制器的計算機名稱叫做dc1.yejunsheng.com? 所以就輸入connect to server dc1.yejunsheng.com按回車鍵? 輸入quit按回車鍵? 輸入list按回車鍵后可以看到配置分區(qū)? 域分區(qū)? 子域的域分區(qū)(DC=sales,DC=yejunsheng,DC=com)? 3和4是Windows Server 2003內(nèi)置的應(yīng)用程序分區(qū)? 輸入create nc dc=application,dc=yejunsheng,dc=com dc1.yejunsheng.com按回車鍵? 輸入list按回車鍵后可以看到剛才添加的對象了? 6 - DC=application,DC=yejunsheng,DC=com? 輸入list nc replica dc=application,dc=yejunsheng,dc=com按回車鍵后就可以看到應(yīng)用程序目錄分區(qū)的副本了 如果你想把應(yīng)用程序分區(qū)刪除掉的話? 可以在domain management那一項命令下輸入?號按回車鍵可以查到有一項叫做Delete NC %s? 在domain management那一項命令下輸入delete nc dc=application,dc=yejunsheng,dc=com按回車鍵 等待一段時間之后就把應(yīng)用程序分區(qū)刪除掉了 通過開始--運行--輸入regsvr32 schmmgmt.dll按確定來注冊動態(tài)鏈接庫?? 在運行里面--輸入mmc按確定來打開控制臺? 按文件--按添加/刪除管理單元(M)--按添加--按Active Directory 架構(gòu)--按添加? 按確定? 作為GC它會把森林里面所有其他域的域分區(qū)對象全部復(fù)制過來 同時復(fù)制過來的還有對象的部分屬性? 你可以控制什么樣的東西復(fù)制給GC? 在控制臺里面按屬性 雙擊里面一些項的屬性可以看到有一項叫做將此屬性復(fù)制到全局編錄? 把這一項溝上? 按確定就ok了 我現(xiàn)在把GC的本地連接禁用掉了?? 并且當前域功能級別為Windows 2000 混合模式? 我現(xiàn)在還是可以用alice這個用戶登錄域的??? 因為當GC在線的時候? alice這個用戶已經(jīng)登錄過域了??? 所以以后不管GC在不在線? alice這個用戶還是可以登錄域的?? 注意:域的功能級別必需是Windows 2000 混合模式才可以的??? 如果域的功能級別提升了? GC不在線的時候? 用戶肯定不能登錄域的 怎么樣實踐當GC不在線的時候? 并且當前域功能級別為Windows Server 2003? 用戶依然可以登錄域呢? 按site2? 雙擊NTDS Site Settings? 把啟用通用組成員身份緩存溝上 因為GC在site1 所以我就在刷新緩存,來自那一項選擇site1? 按確定就ok了 注意:當GC在線的時候這個用戶需要登錄過一次域? 以后即使GC不在線? 用戶依然可以登錄域了 為了讓john這個用戶能夠直接在域控制器里面登錄域?? 打開默認域控制器安全設(shè)置? 展開安全設(shè)置--本地策略--按用戶權(quán)限分配--雙擊允許在本地登錄那一項--按添加用戶或組--按瀏覽--按高級--按立即查找--按Domain Users--按確定? 通過開始--運行--輸入gpupdate /force按確定來刷新組策略?? 這樣所有的域用戶就可以在直接在域控制器那一臺計算機登錄域了 看到了嗎?? 我現(xiàn)在已經(jīng)成功用john這個用戶直接在域控制器上登錄域了?? 這個登錄的過程中它會去找GC緩存john這個用戶的組信息的? 組的信息包括用戶屬于什么樣的全局組? 用戶屬于什么樣的通用組? 如果不屬于用戶也是要找GC去詢問一下? 通常用戶肯定屬于一個全局組? 通過開始--運行--輸入adsiedit.msc按確定? 展開域分區(qū)? 按CN=Users? 對著CN=john右鍵--選擇屬性--雙擊msDS-Cached-Membership那一項?? 可以看到里面有16進制的值? 說明john這個用戶它屬于什么樣的組已經(jīng)被這臺DC緩存下來了? msDS-Cached-Membership這一項的Value默認情況下是Not Set? 沒有值的?? 但是現(xiàn)在發(fā)現(xiàn)里面有值了? 如果你想限制用戶要有足夠的空間才給它們安裝軟件的話? 就使用WMI篩選器?? 對著WMI篩選器右鍵--選擇新建? 名稱就叫做新建WMI篩選器吧? 按添加--在名稱空間里面按瀏覽--選擇root\CIMv2?? 比如我現(xiàn)在要限制所有的用戶? 它們的C盤空間必需大于8G才給他們安裝軟件?? 在查詢里面輸入select * from win32_logicaldisk where deviceid="C" and freespace>=8000000000 按確定? 按保存?? 在此GPO鏈接到下列WMI篩選器里面選擇新建WMI篩選器就ok了? 在Windows Server 2003里面有二條策略? 一條是默認域安全策略? 一條是默認域控制器安全策略? 這二條策略決對不能刪除掉? 當然你可以通過GPMC去備份這二條策略? 但是如果你沒有備份? 中了病毒 或者被你不小心刪除掉了? 現(xiàn)在這二條策略不能使用了 怎么辦呢?? 可以在命令提示符里面輸入dcgpofix /target:both按回車鍵? 它詢問你兩次是否要繼續(xù)?? 你都輸入Y按回車鍵就ok了?? 如果以后這兩條策略丟失了? 可以使用Windows Server 2003自帶的dcgpofix /target:both這個工具來還原這兩條策略了 如果你想查詢當前你拿到什么樣的組策略設(shè)置? 可以在命令提示符里面輸入gpresult /scope:user /v按回車鍵? 等一下就可以看到組策略的所有信息了

轉(zhuǎn)載于:https://blog.51cto.com/yejunsheng/162212

總結(jié)

以上是生活随笔為你收集整理的AD在Windows Server 2003中的更新(中)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。