Active Directory管理和构架-第6部分(活动目录的灾难恢复策略)

1 Active Directory相关知识1.1Active Directory概述活动目录（Active Directory简称AD），是从win2000 开始引入的操作系统的重要组件。

AD可以认为是一个大的层次结构数据库，用来集中存储企业内部的用户帐户、计算机、打印机、应用程序、安全性与系统原则等各种重要资源。

AD允许网络用户通过单一登录就可以访问网络中任何位置的许可资源。

从开发人员角度看AD，可以理解AD是一种存放了应用程序所需要的特定资源信息的“数据库”。

AD还对这些资源信息的读取和查询进行了优化，而且它允许通过大量的用户定义以满足特定的商业和组织需要。

1.2几个相关术语简介1.2.1容器和非容器AD中的资源信息被组织成一个层次结构。

这个层次结构中的每一个实体都被简称为对象。

换句话说，AD中创建对象时，是把它们创建在一个层次结构中的。

该结构由两种类型的对象组成：Container(容器)和非Container(非容器)。

容器可容纳非容器或下一级的容器。

而非容器则不再包含其他对象，因此也常被成为叶或叶子对象。

在安装完活动目录后，操作系统已经默认自动创建了很多的Container，如Users, Builtin1.2.2 OUOU是Organizational Unit(组织单元或部门)的缩写。

OU是容器对象，它主要从逻辑的角度来管理和组织活动目录域。

可在其中放置用户、组、计算机、打印机、共享文件夹以及一个域内的其他部门。

部门（在Active Directory 用户和计算机界面中用文件夹表示）允许按逻辑关系组织并存储域中的对象。

如果有多个域，则每个域均可实现各自独立的部门层次。

如下图所示，部门中也可包含其他部门。

1.2.3 Naming ContextAD被分成许多部分，称之为分区或者命名上下文（Naming Context，简称NC）。

在AD中包含了三个命名上下文（Naming Context，NC）：域命名上下文（Domain NC）、配置命名上下文（Configuration NC）和架构命名上下文（Schema NC）。

active directory的概念Active Directory（AD）是由微软开发的一种目录服务。

它是用于在网络环境中管理和组织网络资源的一种基于域的层次结构。

AD的概念可以从以下几个方面进行阐述：1. 域的概念：域是AD中最基本的逻辑结构单元，它是一个安全边界，类似于一个边界防火墙。

域可以包含用户、计算机、组织单位等多种对象，并且提供了集中管理和控制这些对象的能力。

2. 目录服务的概念：目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了一种将网络资源分层和分类的方法，使得用户可以更方便地访问和管理这些资源。

3. 组织单位（OU）的概念：OU是AD中的一个组织单位，它用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以根据需要创建各种组织结构，方便地对其内部的对象进行管理和控制。

4. 权限和访问控制的概念：AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

管理员可以通过AD设置访问规则和策略，限制用户对资源的访问权限，确保安全性和合规性。

5. 多域环境的概念：AD支持多域环境，可以在一个AD林（forest）中创建多个域。

不同域之间可以建立信任关系，使得用户或计算机可以跨域访问资源。

接下来，我们来一步一步回答关于AD的一些常见问题。

Q1：什么是域？域是AD中最基本的逻辑单位，相当于一个边界防火墙。

它提供了集中管理和控制网络资源的能力。

域可以包含用户、组织单位、计算机等多种对象。

域之间可以建立信任关系，使得用户可以跨域访问资源。

Q2：什么是目录服务？目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了将资源分层和分类的方法，方便用户访问和管理这些资源。

Q3：什么是组织单位（OU）？组织单位是AD中的一个组织单元，用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以方便地对其内部的对象进行管理和控制。

Q4：AD如何实现权限和访问控制？AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

一、名词解释1.域林：域林是指由一个或多个没有形成连续名字空间的域树组成，它与域树最明显的区别就在于域林之间没有形成连续的名字空间，而域树则是由一些具有连续名字空间的域组成。

2.域树：域树由多个域组成，这些域共享同一表结构和配置，形成一个连续的名字空间。

树中的域通过信任关系连接起来，活动目录包含一个或多个域树。

3.活动目录：Active Directory（活动目录，可简称为AD）是存储网络上对象的相关信息并使该信息可供用户和网络管理员使用的目录服务。

4.域：域（Domain）是Windows Server 2003目录服务的基本管理单位， Windows Server 2003把一个域作为一个完整的目录，在Windows Server 2003网络中，一个域能够轻松管理数据万个对象。

域是Active Directory服务逻辑结构的核心单元，是对象的容器。

5.域控制器：在Windows Server 2003的网络环境中，各域必须至少有一台域控制器（Domain Controller，简写为DC），存储此域中的Active Directory信息，并提供域相关服务，例如：登录验证、名称解析等。

换言之，没有域控制器，就没有所谓的域。

6.全局组：可以将多个即将被赋予相同权限的用户帐户加入到同一个全局组中。

全局组只能够包含与该组同一域中的用户和全局组。

全局组在域目录林中可以访问任何一个域中的资源。

7.工作组: 包括本地计算机上创建的账号和组的信息，这些账号和组只能在本地使用，由本地的目录数据库验证.8.安全组：安全组可以被设置权限。

例如：可设置让安全组对文件有“读取”或“改写”的权限。

安全组也可用在与安全无关的任务上，如，可以通过电子邮件软件将电子邮件发送给安全组。

9.简单卷：由单个动态磁盘的磁盘空间所组成的动态卷。

简单卷可以由磁盘上的单个区域或同一磁盘上链接在一起的多个区域组成。

10.镜像卷：镜像卷是具有容错能力的动态卷。

简述active directory结构
Active Directory（AD）是Windows Server操作系统中的目录服务，用于存储、管理和组织网络对象的信息，例如用户、计算机、打印机和共享文件夹等。

其结构主要包括以下组件：
1. 域：域是AD的基本单位，是一组网络对象的集合，可以将其看作是一个大型的目录数据库。

每个域都有一个域控制器（Domain Controller），负责管理该域的所有活动。

2. 目录树：一个或多个域可以组成一个目录树。

目录树以一个域作为根域，其他域作为子域。

根域控制器管理整个目录树，其他域控制器则管理各自域内的对象。

3. 目录林：一个或多个目录树可以组成一个目录林。

目录林以一个目录树作为根目录树，其他目录树作为子目录树。

根目录树的管理员可以对整个目录林进行管理，而其他目录树的管理员只能管理各自目录树内的对象。

4. 组织单元（OU）：组织单元是一种特殊类型的目录对象，用于将用户和计算机等对象组织成逻辑单元。

OU可以用来表示组织结构、地理位置或安全策略等信息。

5. 信任关系：信任关系是AD中不同域之间的一种关系，允许一个域的用户访问另一个域的对象。

例如，当一个用户从外部网络登录到内部网络时，可以通过信任关系进行身份验证和授权。

以上是Active Directory的基本结构，通过这种结构，管理员可以方便地管理网络中的对象，并确保安全性和可靠性。

Active Directory 备份与还原在域的环境中，要定期的备份AD数据库，当AD数据库出现问题时，可以通过备份的数据还原AD数据库。

备份文件和文件夹的用户必须具有特定权限和权利的用户才可以，如果是本地组中的管理员或Backup Operator，则只能备份本地计算机上本地组所适用的所有文件和文件夹。

同样，如果是域控制器上的管理员或备份操作员，可以备份本地、域中或具有双向信任关系的域中的所有计算机上的任何文件和文件夹。

活动目录的备份第一步：依次打开命令提示符，输入【Ntbackup】回车第二步：选择【高级模式】，显示备份工具界面，也可以下一步通过向导第四步：选择备份选项卡，选中需要备份的磁盘或者System Status。

选择保存的路径注：如果只想备份活动目录的话，那么只需要备份一下系统状态就可以了。

但在这里建立最好是将整个系统盘做一个完整的备份，以防止丢失一些其他的数据。

第五步：开始备份，在选择备份方式时，需要小心是使用【备份附加到媒体】还是使用【备份替换媒体】单击高级选项卡，这里可以选择你想备份的类型,第六步：单击开始备份数据的备份就完成了下面是任何还原AD数据库的第一步：进入目录服务还原模式。

重新启动计算机，在进入Windows Server 2003 的初始画面前，按F8键进入Window高级选项菜单界面。

通过键盘上的方向键选择【目录服务还原模式】第二步：进入还原向导操作。

运行【ntbackup】选择高级模式，选中要还原的数据第三步：点击【开始还原】完成重定向Active Directory 数据库活动目录的数据库包含了大量的核心信息，应该妥善保护。

为了安全起见，应该将这些文件从被攻击者熟知的默认文件位置转移到其他位置。

如果想进行更深入的保护，可以把AD数据库文件转移到一个有冗余或者镜像的卷，以便磁盘发生错误的时候可以恢复。

第一步：进入【目录服务还原模式】第二步：进入命令提示符：输入ntdsutil输入files输入info 查看目录信息再输入move db to c:\123 回车（选择数据库移动的盘符）完成后在输入move log to c:\123转移完成输入info 查看信息数据库文件已经在c盘符下的123文件夹内修改目录还原密码一般为了安全起见，还原目录数据库时需设置密码保护步骤如下：首先必须进入【目录服务还原模式】进入命令提示符，输入ntdsutil 回车输入set dsrm password 回车之后输入reset password on sesrver 【指域名】回车再输入新的密码，确认密码完成。

Active Directory（AD）是Microsoft Windows Server操作系统中的核心组件，它提供了一种集中式的目录服务，用于管理和组织网络中的计算机、用户、组和资源。

以下是Active Directory的主要功能：目录服务：Active Directory作为中央目录服务，允许用户和计算机在网络中轻松找到和访问其他用户、计算机、共享文件夹、打印机和其他网络资源。

这大大简化了网络管理和资源访问。

身份验证和授权：Active Directory提供了一个集中的身份验证机制，使得用户可以登录到任何受信任的计算机，而无需重新输入用户名和密码。

同时，它还提供了基于角色的访问控制（RBAC），使得管理员可以轻松地管理用户的权限和访问级别。

组策略管理：通过Active Directory，管理员可以定义组策略（Group Policy），这是一种强大的管理工具，可以用于配置和管理网络中的计算机和用户。

组策略可以用于配置各种设置，如桌面壁纸、屏幕保护程序、应用程序配置、安全策略等。

安全策略管理：Active Directory还提供了一套完整的安全策略管理机制，包括防火墙规则、安全审计、数据加密等。

管理员可以通过Active Directory来管理和实施这些安全策略，确保网络的安全性。

网络服务管理：Active Directory可以用于管理各种网络服务，如文件共享、打印服务、电子邮件服务、数据库服务等。

管理员可以通过Active Directory来配置和管理这些服务，确保它们的正常运行。

报告和监视：Active Directory还提供了一套完整的报告和监视工具，可以帮助管理员了解网络的使用情况、安全状况、性能等。

这些工具可以帮助管理员及时发现和解决网络问题。

与其他应用的集成：Active Directory可以与其他Windows Server应用和服务无缝集成，如DNS服务、IIS服务、Exchange Server等。

active directory基本概念Active Directory（AD）是由Microsoft开发的一种目录服务，用于在网络中管理和组织用户、计算机、打印机等资源。

它提供了一个集中式数据库和认证服务，用于在组织内建立和维护网络中的对象的层次结构。

以下是一些关于Active Directory 的基本概念：1. 目录服务（Directory Service）：• Active Directory 是一个目录服务，其主要作用是存储和组织网络中的对象信息，如用户、计算机、打印机等。

这些对象按照层次结构进行组织，形成一个树状的目录。

2. 域（Domain）：•在Active Directory中，域是一个逻辑上的组，用于组织和管理网络中的对象。

每个域都有一个唯一的域名，域内的对象可以相互共享资源和认证信息。

3. 林（Forest）：•一个林（Forest）是一个包含一个或多个域的集合。

域与域之间可以建立信任关系，形成一个林。

每个林都有一个共享的林根（Forest Root），所有域都共享这个林根。

4. 域控制器（Domain Controller）：•域控制器是运行Active Directory服务的服务器。

每个域至少有一个域控制器，它存储了该域的目录信息，并提供认证和授权服务。

5. 组织单位（Organizational Unit，OU）：•组织单位是用于组织和管理域内对象的容器。

OU可以包含用户、组、计算机等，并可以在OU内应用特定的策略。

6. 组（Group）：•组是一种将用户、计算机等对象集合在一起的方式，以便更轻松地管理这些对象的权限和设置。

7. 用户和计算机账户：• Active Directory存储了用户和计算机的信息，包括登录名、密码、权限等。

用户和计算机账户可以被组织在域内的不同容器中。

8. 域名服务（DNS）：• Active Directory使用DNS来命名和定位域控制器。

计算机网络活动目录的结构活动目录（Active Directory）是一个分布式的目录服务，信息可以分散在多台不同的计算机中，以保证用户的快速访问和容错。

它包括目录和目录相关的服务两个方面，其中目录是存储各种对象的一个物理上的容器，目录管理的基本对象是用户、计算机、文件及打印机等资源；目录服务是使目录中的所有信息和资源发挥作用的服务，如用户和资源管理、基于目录的网络服务及基于网络的应用管理等。

另外，Active Directory集成了关键服务，如DNS、MSMQ、MTS等和关键应用，如电子邮件、网络管理、ERP等。

为了更加深入的了解活动目录，我们从其物理结构和逻辑结构两方面分别进行讲解。

1．Active Directory逻辑结构在Active Directory中，是将资源组织到逻辑结构中，该逻辑结构是组织逻辑结构的镜像。

资源在逻辑上进行分组，使得用户可以通过名称而不是物理位置就能查找资源，也使网络的物理结构对用户来说是透明的。

Active Directory是由组织单位、域、域树构成的层次化目录结构。

它为每个域建立一个目录数据库副本，用于存储这个域的对象。

如果多个域之间存在相互关系，则他们可以构成域树，每个域都拥有各自的目录数据库副本存储自己的对象，并且可以查找域树种其他域的目录数据库副本。

多个域树则构成域林。

在前面已介绍过域、域树及域林，这里我们只对组织单位进行讲解。

组织单位（Organizational Unit）是组织、管理一个域内对象的容器，它包括用户账户、用户组、计算机、打印机、其它活动单位等。

因此，我们可以利用组织单位将域中的对象形成一个完全逻辑上的层次结构。

为了有效组织目录对象，组织单位根据企业业务模式的不同来创建不同的层次结构，如可以通过按部门、地理位置、对象类型等来划分层次结构。

这样可以帮助企业解决很多问题，极大地简化了网络管理工作，用户可以利用一个服务功能轻松的找到某个对象而不必考虑他的具体位置。

简述active directory的功能-回复Active Directory（AD）是一种由微软开发的目录服务，用于管理网络中的用户、计算机和其他网络资源。

它提供了一种集中式的方式来组织、管理和授权访问网络资源，从而提高网络安全性、效率和管理灵活性。

本文将介绍Active Directory的功能，以及它在企业网络中的重要作用。

一、认识Active DirectoryActive Directory是一种目录服务，它允许网络中的管理员将用户、计算机、组织单元（OU）等组织成一个层次结构，并为之分配适当的权限和访问控制。

用户可以通过单一的登录凭据来访问网络中的各种资源，无需为每个资源单独验证身份。

这种集中管理和认证的方式大大简化了管理员的工作，提高了用户的便利性和使用效率。

二、用户和计算机管理Active Directory允许管理员集中管理网络中的用户和计算机。

管理员可以创建和删除用户账户，配置密码策略，重置密码，以及授权用户的访问和权限等。

此外，管理员还可以将用户组织成组织单元（OU）和组，以便更好地组织和管理用户。

对于计算机，管理员可以将其加入域，为其分配正确的访问权限和配置策略，以确保网络安全性和资源的正确使用。

三、证书服务Active Directory集成了证书服务（Certificate Services），用于颁发和管理数字证书。

数字证书是一种用于认证身份和加密通信的安全工具。

通过集成证书服务，Active Directory可以为企业内部的用户和计算机签发数字证书，通过证书来验证身份和实现安全通信，保护数据的完整性和保密性。

四、资源共享和访问控制Active Directory提供了强大的资源共享和访问控制功能。

通过将资源（如文件夹、打印机等）添加到Active Directory中，管理员可以有效地控制用户对这些资源的访问权限。

管理员可以根据需要为用户、组或计算机分配不同级别的权限，例如只读、读写或完全控制权限。