深入浅出的活动目录理念

      曾经尝试过很多次探索活动目录的概念，始终答案很多，而且都不一样，根据活动目录的两大特性：集中管理和便捷的网络资源访问，我将活动目录也划分为两个部分。服务部分和目录部分。作为服务，活动目录将域中所有的对象集合起来做到集中管理，作为目录，活动目录是一个有条理，层次结构的动态目录，使用户不需要知道资源的物理位置就可以方便查询。我觉得这种说法是最容易理解，也相对比较精简的了。
      通过活动目录这种服务搭建起来的环境，我们称之为域环境，在一个域环境中，至少有一台域控制器，我们称之为DC，我将他理解为directory center，目录中心。DC就是完成活动目录两大主要功能的场所，在DC上储存需要的对象，使管理员进行管理，并且这些对象中会包含网络资源，将这些资源整理排序，以目录的方式展示给用户，通过DC上的索引，用户可以很快的就查找到需要的网络资源了。
      并不是每一台服务器都可以成为域控制器（DC）的，要成为DC需要具备以下的条件。
安装者必须具备本地管理员权限
操作系统必须满足windows server 2003 除web版
本地磁盘至少有一个是NTFS文件系统
有TCP/IP设置
有相应的DNS服务器支持（在安装DC的同时，可以同时安装DNS，在向导界面中）
有足够的可用空间。
      安装域控制器的过程，在运行中键入dcpromo按照向导即可。
      上述中，安装DC需要安装DNS，那么DNS在活动目录中又起到了什么作用呢？首先，通过活动目录搭建域环境，理所当然需要建立一个域名，这个域名必须符合DNS的标准，这样才能正常解析。教材上说，需要DNS有两大原因，第一个为域名采用DNS标准，第二个为客户机定位DC。我觉得这两个原因的最终目的都是解析，为了让客户端正确的找到DC的位置而定。所以DNS的出现就是为了让客户端能找到DC，从而让DC发挥自己的才能。
      通常描述活动目录，会从用户配置等等说起，我觉得用户配置只是需要手动配置用户信息而已，多说无益。而活动目录中组的理念是非常重要的。所谓AGDLP规则就是通过玩转各种不同类型的组而快速达到效果。活动目录中的组包括全局组，本地域组。AGDLP规则就是将用户加入全局组，再将全局组加入本地域组，再给于本地域组权限。A=账户 G=全局组 DL=本地域组 P=权限。通过这一规则，根据企业需要，不同部门赋予不同的权限，不同的用户赋予不同的权限，完善企业网络的权限。对网络造成最大破坏的应该是人为操作，所以这样分布权限使得安全性提高。
      活动目录是具有层次结构的目录，这里的层次结构体现在OU的出现，如同书本一样，我们会把不同类型的文章放入不同的分类中，这里的OU即便如此，如同书本中的类型分类，如同电话吧中的好友分类等等，教材中提到OU基于部门，地理位置，对象类型分类，这些都是强加的理念，OU，就是把具有大量相同属性的对象集中起来的容器，如此而已。
      直到今天，我也觉得域林是一个让人很模糊的概念，域林，是一个什么样的家庭呢？首先，域林由多个域树组成，这些域树之间共享同一个表结构，配置和全局目录，所有域树通过kerberos信任关系建立。域林中的域树之间可以互相引用其中的对象资源，但不是完全公开的。
      最后的研究对象是最容易让人头痛的五大操作主机，教材中的概念我是完全看不明白，直到岳雷老师的文章发布之后，才明白五大操作主机到底是做什么用的，为了不盗用岳雷老师版权，我将地址复制在这里好了。供大家学习。http://yuelei.blog.51cto.com/202879/127848