Windows Server的小知识点

window server的一些相关的知识点整理。

域树

域树是具有连续的域名空间的多个域
整个域树共享同一个活动目录数据库

域林

由一个或多个域树组成
每个域树有独自的命名空间
不同域树的树根之间存在信任关系

AD DS域内的资源是以对象的形式存在的，例如用户、计算机与打印机都是对象，而对象是通过属性来描述其特征的，也就是说，对象本身是一些属性的集合。比如添加一个对象类型(Object Class)为用户的对象(也就是用户账户)，然后在这个账户里输入姓、名、登录账户、电话号码、E-mail等这些属性。
容器与对象相似，它也有自己的名称，也是一些属性的集合，不过容器内可以包含其他对象(例如用户、计算机等对象)，也可以包含其他容器，而组织单位则是一个比较特殊的容器，其内除了可以包含其他对象与组织单位之外，还有组策略(Group Policy)的功能。
AD DS是以层次架构(Hierarchical)将对象、容器与组织单位等组合在一起，并将其存储到Active Directory数据库内。

组策略

说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库，随着Windows功能的越来越丰富，注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。而GPO是组策略对象，是一种与域或组织单元相联系的物理策略每台计算机都有本地的GPO，可以通过运行gpedit.msc来定制也可以通过AD定义一个集中的策略.

活动目录域服务

活动目录域服务 Active Director 域服务（ADDS）
AD是一个命名空间，可以通过对象名称来找到这个对象有关的所有信息
在TCP/IP网络中，用DNS来解析主机名与IP的对应关系。除此外，ad域服务也与DNS紧密结合在一起，他的域名空间是采用DNS架构，因此域名是采用DNS格式来命名的。

AD、DS提供了一个分布式数据库，该数据库用于存储和管理有关网络资源的信息，以及启用了目录的应用程序的数据。运行AD、DS的服务器成为域控制器。管理员使用AD、DS将网络元素（如用户、计算机和其他设备）增利到层次内嵌结构，层次内嵌结构包括Active Directory林、林中的域以及每个域中的组织单元（OU）

CN通用名 DC域 OU组织单位

group

AD DS域组可以分为以下两个类型，且它们之间可以相互切换。

（1）安全组(Security Group)
它可以被用来指定权限与权利，例如可以指定安全组对文件具备读取的权限，也可以用在与安全无关的工作上，例如可以发送电子邮件给安全组。

（2）发布组(Distribution Group)
它是被用在与安全(权限与权利的设置等)无关的工作上，比如可以发送电子邮件给发布组，但是无法给予发布组权限与权利。

以组的使用领域(Scope)来看，域组可以分为本地域组(Domain Local Group)、全局组(Global Group)与通用组(Universal Group)三种。
（1）本地域组(Domain Local Group)
本地域组主要是被用来指派访问权限，不过只能将同一个域内的资源权限指派给本地域组，以便可以访问此域内的资源

（2）全局组(Global Group)
全局组主要用来组织用户，也就是你可以将多个即将被赋予相同权限的用户账户，加入到同一个全局组。全局组内的成员，只能够包含相同域内的用户与全局组。全局组可以访问林中任何一个域内的资源，也就是说你可以在任何一个域内设置全局组的权限，以便让此全局组具备权限来访问此域内的资源。

（3）通用组(Universal Group)
通用组可以在所有域内被设置访问权限，以便访问所有域内的资源。通用组具备通用领域的特性，其成员能够包含林中任何一个域内的用户、全局组、通用组，但是无法包含任何一个域内的本地域组。