1、學(xué)習(xí)目標(biāo) 通過(guò)本課程的學(xué)習(xí)，能夠高效地搭建一個(gè)適合自己需要的網(wǎng)絡(luò)，簡(jiǎn)化網(wǎng)絡(luò)管理。課程內(nèi)容活動(dòng)目錄概念活動(dòng)目錄概念活動(dòng)目錄的作用特性活動(dòng)目錄的作用特性活動(dòng)目錄的結(jié)構(gòu)活動(dòng)目錄的結(jié)構(gòu)重、難點(diǎn)分析 重點(diǎn)：l活動(dòng)目錄的結(jié)構(gòu)難點(diǎn)：l組織單元l站點(diǎn) 第一課 活動(dòng)目錄介紹活動(dòng)目錄能做什么集中的管理網(wǎng)絡(luò)資源分散的管理網(wǎng)絡(luò)資源存儲(chǔ)對(duì)象提高網(wǎng)絡(luò)性能OU1DomainComputersUsersOU2UsersPrintersComputer1User1Printer1User2DomainOU2OU1User1 Computer1Printer1User2集中的管理網(wǎng)絡(luò)資源ParisRepairSalesUser1

2、Computer1Printer1User2Server1Server2Active Directory的基本概念何為目錄?日常生活中所用的電話簿圖書館中的查詢目錄計(jì)算機(jī)中的文件系統(tǒng)內(nèi)記錄文件名、大小、日期等查詢臺(tái)網(wǎng)站的搜索功能 任務(wù)一、活動(dòng)目錄的概念任務(wù)一、活動(dòng)目錄的概念活動(dòng)目錄就其本質(zhì)來(lái)講是一種目錄服務(wù)，是Win2003 Server操作系統(tǒng)所支持的一種采用LDAP的目錄服務(wù)。在Windows Server 2003域內(nèi)的目錄是用來(lái)存儲(chǔ)用戶賬戶、組、打印機(jī)、共享文件夾等對(duì)象的，這些對(duì)象的存儲(chǔ)處稱為“目錄數(shù)據(jù)庫(kù)”。在Win2003域內(nèi)負(fù)責(zé)提供目錄服務(wù)的組件是活動(dòng)目錄，它負(fù)責(zé)目錄數(shù)據(jù)庫(kù)的保存、

3、新建、刪除、修改與查詢等服務(wù)。活動(dòng)目錄存儲(chǔ)網(wǎng)絡(luò)上的各種對(duì)象的相關(guān)信息，使域用戶只用一個(gè)用戶帳號(hào), 就可以訪問(wèn)活動(dòng)目錄中所有的資源（一次登錄，全網(wǎng)使用） 。對(duì)于網(wǎng)絡(luò)管理員來(lái)講，活動(dòng)目錄服務(wù)提供了集中而且靈活的網(wǎng)絡(luò)管理能力，使Win2003 Server系統(tǒng)用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)管理的關(guān)鍵服務(wù)。n組織組織n管理管理n控制控制資源資源n單點(diǎn)管理單點(diǎn)管理n用戶只需登錄一次，就可訪問(wèn)用戶只需登錄一次，就可訪問(wèn)整個(gè)活動(dòng)目錄的資源整個(gè)活動(dòng)目錄的資源活動(dòng)目錄的概念活動(dòng)目錄的概念活動(dòng)目錄服務(wù)的功能是組織和管理網(wǎng)絡(luò)中的全部資源對(duì)象。活動(dòng)目錄包括兩方面： 目錄和目錄相關(guān)的服務(wù)。 目錄是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器，目錄管理

4、的基本對(duì)象是用戶、計(jì)算機(jī)、文件以及打印機(jī)等資源。 而目錄服務(wù)是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，如用戶和資源管理、基于目錄的網(wǎng)絡(luò)服務(wù)、基于網(wǎng)絡(luò)的應(yīng)用管理。活動(dòng)目錄的概念活動(dòng)目錄的概念目錄： 是存儲(chǔ)各種對(duì)象的一個(gè)物理上的容器，存儲(chǔ)網(wǎng)絡(luò)資源的信息，便于用戶查找、管理和使用這些資源。 從靜態(tài)的角度來(lái)理解，活動(dòng)目錄與“目錄”和“文件夾”沒(méi)有本質(zhì)區(qū)別，僅僅是一個(gè)對(duì)象，是一實(shí)體。活動(dòng)目錄的概念活動(dòng)目錄的概念活動(dòng)目錄對(duì)象活動(dòng)目錄對(duì)象對(duì)象：網(wǎng)絡(luò)資源 屬性：關(guān)于對(duì)象的信息名名姓姓登錄名打印機(jī)名打印機(jī)名打印機(jī)位置打印機(jī)位置PrintersPrinter1Printer2Suzan FineUsersDon H

5、all打印機(jī)用戶Printer3目錄服務(wù)： 是使目錄中所有信息和資源發(fā)揮作用的服務(wù)，活動(dòng)目錄是一個(gè)分布式的目錄服務(wù)，信息可以分散在多臺(tái)不同的計(jì)算機(jī)上，保證用戶能夠快速訪問(wèn)，提供容錯(cuò)。目錄服務(wù)包括以下功能：l維護(hù)目錄信息l合理組織信息結(jié)構(gòu)l全局編目l查詢機(jī)制l數(shù)據(jù)復(fù)制網(wǎng)絡(luò)環(huán)境AD概念理解工作組原始社會(huì):各服務(wù)器（人）各自為政域國(guó)家:一定范圍內(nèi)實(shí)現(xiàn)集中管理，中央集權(quán)AD森林聯(lián)合國(guó):實(shí)現(xiàn)多個(gè)基本管理范圍（國(guó)家，域）的聯(lián)合管理。減少這些基本范圍內(nèi)的重復(fù)管理工作。方便之間資源調(diào)用。AD概念理解定義聯(lián)合國(guó)1.誰(shuí)能加入聯(lián)合國(guó)2.共同遵守的設(shè)定和規(guī)則3.不干涉別國(guó)內(nèi)政定義AD1.活動(dòng)目錄中能放哪些對(duì)象2.通用

6、性設(shè)定3.各域數(shù)據(jù)原則上由數(shù)據(jù)所在的域進(jìn)行管理AD適用范圍AD適用范圍非常廣泛，小到一臺(tái)計(jì)算機(jī)、一個(gè)小型局域網(wǎng)，大至數(shù)個(gè)廣域網(wǎng)的結(jié)合。它可以包含此范圍中的所有對(duì)象，例如文件、打印機(jī)、應(yīng)用程序、服務(wù)器、域、用戶帳號(hào)等。任務(wù)二 輕型目錄訪問(wèn)協(xié)議（LDAP）LDAP(Lightweight Directory Access Protocol),是一種用來(lái)查詢和更新活動(dòng)目錄的目錄服務(wù)的通信協(xié)議。Win2003域是利用“LDAP命名路徑”來(lái)表示對(duì)象在AD內(nèi)的位置，以便訪問(wèn)對(duì)象。所有對(duì)活動(dòng)目錄的訪問(wèn)都通過(guò)LDAP來(lái)進(jìn)行。LDAP采用對(duì)象的區(qū)別名來(lái)為目錄對(duì)象提供唯一的名字。 輕型目錄訪問(wèn)協(xié)議（LDAP）可分

7、辨名稱（Distinguished Name,DN），對(duì)象在AD中的完整路徑:DC=abc，DC= comOU=MarketOU=Market1CN=user1CN=user1, OU=Market1, OU=Market, DC=abc，DC= comDC：域組件OU：組織單元CN：普通名字輕型目錄訪問(wèn)協(xié)議（LDAP）相對(duì)可分辨名稱（Releative Distinguished Name,RDN），對(duì)象在AD中的部分路徑，:CN=user1DC=abc，DC= comOU=MarketOU=Market1CN=user1輕型目錄訪問(wèn)協(xié)議（LDAP）輕型目錄訪問(wèn)協(xié)議（LDAP）全局唯一標(biāo)識(shí)符

8、（Global Unique Identifier,GUID）： 一個(gè)128 bit的數(shù)值，AD中每個(gè)對(duì)象系統(tǒng)都自動(dòng)指定一個(gè)唯一的GUID。輕型目錄訪問(wèn)協(xié)議（LDAP）用戶規(guī)則名（User Principal Name,UPN）： 格式類似電子郵件賬戶：。 用戶在登錄域時(shí)，最好使用UPN登錄，因?yàn)闊o(wú)論這個(gè)用戶被移到哪個(gè)域，都不會(huì)改變他的UPN。任務(wù)三 活動(dòng)目錄的特性 信息安全特性： 活動(dòng)目錄服務(wù)完成網(wǎng)絡(luò)中的安全管理，不僅可以管理網(wǎng)絡(luò)中的計(jì)算機(jī)和用戶，還包括管理網(wǎng)絡(luò)中的各種服務(wù)資源。這些訪問(wèn)資源的安全控制可以在活動(dòng)目錄中針對(duì)每個(gè)對(duì)象定義，也可以在對(duì)象的屬性中調(diào)整。良好的可伸縮特性： 活動(dòng)目錄包含

9、了一個(gè)或多個(gè)域，每個(gè)域具有一個(gè)或多個(gè)域控制器，以便調(diào)整網(wǎng)絡(luò)的規(guī)模。集成DNS服務(wù)： 活動(dòng)目錄服務(wù)借用現(xiàn)有DNS服務(wù)命名體系來(lái)定義域環(huán)境的名稱，這樣使得活動(dòng)目錄的域環(huán)境更容易被記憶和使用。 另外，活動(dòng)目錄服務(wù)器和接受活動(dòng)目錄服務(wù)管理的計(jì)算機(jī)都使用DNS服務(wù)來(lái)查找和定位網(wǎng)絡(luò)中的資源和服務(wù)。完善的信息復(fù)制： 活動(dòng)目錄服務(wù)允許在一個(gè)域環(huán)境中保存多個(gè)活動(dòng)目錄服務(wù)數(shù)據(jù)庫(kù)的副本，這樣域環(huán)境中就可以有多個(gè)域控制器同時(shí)進(jìn)行工作，為客戶計(jì)算機(jī)和用戶提供網(wǎng)絡(luò)資源的管理和定位。靈活的活動(dòng)目錄查詢能力： 不論是域環(huán)境中的用戶還是管理員，都可以使用計(jì)算機(jī)中的“網(wǎng)上鄰居”或者是“開(kāi)始”菜單中的“搜索”來(lái)查找活動(dòng)目錄中的現(xiàn)有

10、對(duì)象。 任務(wù)四 活動(dòng)目錄的結(jié)構(gòu)邏輯結(jié)構(gòu)物理結(jié)構(gòu)運(yùn)輸部運(yùn)輸部運(yùn)輸部運(yùn)輸部合肥分公司合肥分公司北京總公司北京總公司活動(dòng)目錄的邏輯結(jié)構(gòu)活動(dòng)目錄使用數(shù)據(jù)庫(kù)組織和管理網(wǎng)絡(luò)對(duì)象。為靈活組織和存儲(chǔ)網(wǎng)絡(luò)對(duì)象，活動(dòng)目錄數(shù)據(jù)庫(kù)使用了靈活的分區(qū)機(jī)制組織和管理網(wǎng)絡(luò)對(duì)象。邏輯結(jié)構(gòu)Domain域域域域目錄樹(shù)目錄樹(shù)域域域域域域目錄樹(shù)目錄樹(shù)目錄林目錄林域域OUOUOU邏輯結(jié)構(gòu):組織管理網(wǎng)絡(luò)資源活動(dòng)目錄能夠通過(guò)名字（的屬性）找到資源，而不是物理位置,這樣使網(wǎng)絡(luò)的物理結(jié)構(gòu)對(duì)用戶透明。域組織單元域目錄樹(shù)域目錄林全局目錄活動(dòng)目錄的邏輯結(jié)構(gòu)活動(dòng)目錄的相關(guān)術(shù)語(yǔ) 1、命名空間： 活動(dòng)目錄就是一個(gè)命名空間，是有特定邊界的指定區(qū)域 ，主要用途

11、是組織資源的說(shuō)明，使用戶按其特性或?qū)傩缘扔嘘P(guān)信息來(lái)查找資源。 Win2003的AD與DNS緊密結(jié)合，域“命名空間”采用DNS的架構(gòu)，域名也采用DNS的格式來(lái)命名。2 、對(duì)象與屬性： Win2003域內(nèi)的資源以對(duì)象的形式存在，如用戶、組、計(jì)算機(jī)、打印機(jī)等都是對(duì)象。而對(duì)象是通過(guò)屬性描述它的基本特征，即對(duì)象本身是一些“屬性”的集合。比如，一個(gè)用戶賬號(hào)的屬性中可能包括用戶姓名、 電話號(hào)碼、 電子郵件地址和家庭住址等。活動(dòng)目錄的相關(guān)術(shù)語(yǔ) 活動(dòng)目錄對(duì)象活動(dòng)目錄對(duì)象First NameLast NameLogon NamePrinter NamePrinter LocationPrintersPrinter

12、1Printer2Suzan FineUsersDon HallPrintersUsersPrinter33 、容器與組織單位： 容器是活動(dòng)目錄名字空間的一部分，與目錄對(duì)象一樣，它也有屬性，容器內(nèi)可以存放其他的對(duì)象，也可以包含其他的容器。 組織單位是AD內(nèi)一個(gè)比較特殊的容器。 AD通過(guò)層次式的架構(gòu)，將對(duì)象、容器、OU等組合在一起，并將它們存儲(chǔ)在AD數(shù)據(jù)庫(kù)中。活動(dòng)目錄的相關(guān)術(shù)語(yǔ) 組織單元： 組織單元（OU）是一種用來(lái)把活動(dòng)目錄中的對(duì)象（用戶、組、計(jì)算機(jī)及其他單位）按照某種管理需求組織在一起的容器，從名稱上理解，它是一個(gè)單位、一個(gè)容器，用來(lái)容納活動(dòng)目錄中的各種對(duì)象。組織單元可包含用戶、組、計(jì)算機(jī)、

13、打印機(jī)、共享文件夾及其他組織單元。 活動(dòng)目錄的相關(guān)術(shù)語(yǔ) 理解方式理解方式OU相當(dāng)于公司里面的部門機(jī)構(gòu)，可以理解為生活中公司總經(jīng)理（域管理員）按照職能把公司（活動(dòng)目錄域）劃分成為部門（組織單元），并且任命部門經(jīng)理（OU中的被委派用戶），部門經(jīng)理代替總經(jīng)理在本部門內(nèi)部行使管理權(quán)利。通過(guò)組織OU，可建立一個(gè)層次結(jié)構(gòu)，將域內(nèi)的資源層次化。利用OU可以簡(jiǎn)化域中對(duì)象的管理，可以把管理控制權(quán)委派給OU內(nèi)的對(duì)象進(jìn)行管理。方便應(yīng)用組策略SalesVancouverRepairUsersSalesComputers4、域： 域是Win2003 Server網(wǎng)絡(luò)系統(tǒng)的安全性邊界。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)最基本的單元就是“域”

14、，活動(dòng)目錄可以貫穿一個(gè)或多個(gè)域。 每個(gè)域都有自己的安全策略以及它與其他域的信任關(guān)系。當(dāng)多個(gè)域通過(guò)信任關(guān)系連接起來(lái)之后，活動(dòng)目錄可以被多個(gè)信任域共享。活動(dòng)目錄的相關(guān)術(shù)語(yǔ) 域環(huán)境是活動(dòng)目錄中的邏輯結(jié)構(gòu)的核心管理單元。 域內(nèi)包含網(wǎng)絡(luò)中的計(jì)算機(jī)、用戶和網(wǎng)絡(luò)服務(wù)等對(duì)象。每個(gè)活動(dòng)目錄域有唯一的名字。特點(diǎn)：1、域環(huán)境定義了安全邊界：安全邊界的作用保證了域環(huán)境的管理者只能在自己的域環(huán)境內(nèi)部行使管理員的權(quán)利。2、域環(huán)境也是活動(dòng)目錄服務(wù)數(shù)據(jù)庫(kù)的復(fù)制單元：域內(nèi)可以存在多臺(tái)域控制器,所有的域控制器都能夠執(zhí)行對(duì)活動(dòng)目錄的查詢等工作，同時(shí)把活動(dòng)目錄數(shù)據(jù)庫(kù)的變化復(fù)制給其他的域控制器。 活動(dòng)目錄的相關(guān)術(shù)語(yǔ) 安全邊界安全邊界復(fù)

15、制復(fù)制管理管理安全策略安全策略組策略組策略復(fù)制單元復(fù)制單元Windows 2003 域域User1User2User1User2理解方式理解方式活動(dòng)目錄域環(huán)境可以理解為分布在地球上的各個(gè)國(guó)家。每個(gè)國(guó)家都有自己的安全管理法律，形成了地理上連接在一起而安全管理互相獨(dú)立的“域” 。活動(dòng)目錄管理的網(wǎng)絡(luò)也是物理上（可能）互相連接的眾多計(jì)算機(jī)，其中的一部分主機(jī)遵守共同的安全管理機(jī)制，形成管理層次上相對(duì)獨(dú)立的“域”。5 、域樹(shù)： 要架設(shè)一個(gè)內(nèi)含多個(gè)域的網(wǎng)絡(luò)，則可以將網(wǎng)絡(luò)設(shè)置成“域樹(shù)”的架構(gòu)，即這些域是以樹(shù)狀形式存在。 域樹(shù)由多個(gè)域組成，這些域共享同一個(gè)結(jié)構(gòu)和配置，形成一個(gè)連續(xù)的名字空間。域樹(shù)中的域通過(guò)雙向可

16、傳遞信任關(guān)系連接在一起。活動(dòng)目錄的相關(guān)術(shù)語(yǔ) 域目錄樹(shù)的概念如果多個(gè)域環(huán)境使用了連續(xù)的命名空間（類似我們平時(shí)說(shuō)的都姓一個(gè)姓氏），稱這樣的多域結(jié)構(gòu)為活動(dòng)目錄樹(shù)活動(dòng)目錄樹(shù)。活動(dòng)目錄樹(shù)中的下層域成為其上層域的子域子域，上層域稱為父域父域。從形式上來(lái)講，如果父域名稱是，那么子域的名稱應(yīng)該是XXX。父域 子域連續(xù)的名字空間，（域后綴延續(xù) ）sales.contoso.msft父域父域子域子域新域新域目錄樹(shù)根目錄樹(shù)根 域域contoso.msftsales.contoso.msft域目錄樹(shù)的概念域樹(shù)nwtraders.msftmarketing. nwtraders.msftsales. nwtraders

17、.msftcontoso.msftsales. contoso.msft目錄林目錄林目錄樹(shù)目錄樹(shù)目錄樹(shù)目錄樹(shù)6 、域林： 域林是指由一個(gè)或多個(gè)非連續(xù)名字空間的域樹(shù)組成，它與上面所講的域樹(shù)最明顯的區(qū)別就在于這些域樹(shù)之間沒(méi)有形成連續(xù)的名字空間，而域樹(shù)則是由一些具有連續(xù)名字空間的域組成。但域林中的所有域樹(shù)仍共享同一個(gè)表結(jié)構(gòu)、配置和全局目錄。 活動(dòng)目錄的相關(guān)術(shù)語(yǔ) 域林 使用一個(gè)活動(dòng)目錄樹(shù)或者多個(gè)活動(dòng)目錄樹(shù)組成的更大范圍的多域環(huán)境，在目錄林中，存在不連續(xù)的域名稱空間。但是它們之間的信任關(guān)系是一樣的雙向可傳遞式信任 。活動(dòng)目錄樹(shù)中的第一個(gè)域環(huán)境成為目錄樹(shù)的根域 。活動(dòng)目錄林中的第一個(gè)建立的目錄樹(shù)的根域稱為

18、目錄林的根域。目錄林根域目錄林根域n目錄林根域是在林中第目錄林根域是在林中第一個(gè)建立的域一個(gè)建立的域contoso.msft目錄林目錄林目錄林根域目錄林根域nwtraders.msft目錄樹(shù)目錄樹(shù)目錄樹(shù)根域目錄樹(shù)根域全局目錄全局目錄marketing.nwtraders.msftsales.contoso.msft目錄樹(shù)目錄樹(shù)域域域域域域域樹(shù)域樹(shù)Domain域域域域域樹(shù)域樹(shù)域森林域森林D域林 目錄樹(shù)和目錄林 japan. china. 目錄樹(shù)目錄樹(shù)目錄林目錄林japan. china. T(root)域域 Windows NT 4.0單向不可傳遞信任關(guān)系單向不可傳遞信任關(guān)系雙向可傳遞信任關(guān)系雙

19、向可傳遞信任關(guān)系7、信任 兩個(gè)域之間必須建立了“信任關(guān)系”之后，才可以訪問(wèn)對(duì)方域內(nèi)的資源。 任何一個(gè)Win2003域被加入到域樹(shù)后，會(huì)自動(dòng)信任其前一層的父域，同時(shí)父域也會(huì)自動(dòng)信任這個(gè)新域，具有“雙向傳遞性”。8、全局編錄（GC-Glable Catalog）全局編錄服務(wù)是包含著目錄林中的所有活動(dòng)目錄對(duì)象的屬性的一個(gè)子集的服務(wù)。也就是說(shuō)全局目錄是活動(dòng)目錄林中信息的倉(cāng)庫(kù)。可以讓用戶很容易的找到所需的對(duì)象。 全局目錄服務(wù)中包含的是活動(dòng)目錄中經(jīng)常被查詢到的對(duì)象的部分屬性，例如用戶帳戶、用戶的姓氏、用戶的登錄名稱等。還負(fù)責(zé)提供用戶登錄時(shí)，該用戶所隸屬的“通用組”的數(shù)據(jù)；或當(dāng)用戶利用UPN登錄時(shí)，提供該用

20、戶是隸屬于哪一個(gè)域的數(shù)據(jù)。 全局編錄服務(wù)器 一個(gè)森林中的每臺(tái)域控制器都存儲(chǔ)本域的完整目錄信息(一個(gè)林內(nèi)的所有域樹(shù)使用相同的架構(gòu))。 全局編錄服務(wù)器是一個(gè)不僅存儲(chǔ)本域的完整目錄，同時(shí)還存儲(chǔ)森林中所有域目錄的一個(gè)部分的、只讀的副本的域控制器。（子域?qū)ο髮傩缘淖蛹话s4%，可查子集對(duì)象的常用屬性）全局編目服務(wù)器包含了域目錄林中所有對(duì)象的信息 ，只要給出目標(biāo)對(duì)象的一個(gè)或幾個(gè)屬性，用戶和應(yīng)用程序就可以在 AD域目錄林中找到這些對(duì)象。 全局目錄全局目錄全局編錄服務(wù)器是在林中全局編錄服務(wù)器是在林中第一個(gè)建立的域控制器第一個(gè)建立的域控制器contoso.msft目錄林目錄林目錄林根域目錄林根域nwtra

21、ders.msft目錄樹(shù)目錄樹(shù)目錄樹(shù)根域目錄樹(shù)根域全局目錄全局目錄marketing.nwtraders.msftsales.contoso.msft目錄樹(shù)目錄樹(shù)理解指南理解指南在我國(guó)部分地區(qū)，一個(gè)家族的人為了理順親人之間的親屬關(guān)系，建立了“族譜”之類的管理某一家族的全體人員的“全局目錄”。“家譜”用來(lái)在親友之間檢驗(yàn)親戚關(guān)系。家族就相當(dāng)于活動(dòng)目錄林，而“全局目錄”服務(wù)就相當(dāng)于目錄林的“族譜”。活動(dòng)目錄的物理結(jié)構(gòu)：網(wǎng)絡(luò)的配置和優(yōu)化 域控制器（domain controller）站點(diǎn)（site）Domain Controllers （域控制器）: l參與活動(dòng)目錄復(fù)制l在一個(gè)活動(dòng)目錄中執(zhí)行單主控操作

22、Domain ControllerDomain ControllerDomainUser1User2User1User2= A Writeable Copy of the Active Directory Database一份可寫入的一份可寫入的AD數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)活動(dòng)目錄的物理結(jié)構(gòu)域控制器： 運(yùn)行Win2003 Server的活動(dòng)目錄服務(wù)的計(jì)算機(jī)，存儲(chǔ)活動(dòng)目錄服務(wù)的數(shù)據(jù)庫(kù)副本。域控制器是管理員執(zhí)行活動(dòng)目錄服務(wù)管理的對(duì)象的調(diào)整的位置，域控制器管理活動(dòng)目錄服務(wù)信息的變化，并將其寫入活動(dòng)目錄服務(wù)數(shù)據(jù)庫(kù)。一個(gè)域可有一個(gè)或多個(gè)域控制器。 活動(dòng)目錄的物理結(jié)構(gòu)提高域的容錯(cuò)能力，為每個(gè)站點(diǎn)架設(shè)一臺(tái)DC，提升使用效率。復(fù)制復(fù)制DC-BDC-CDC-A控制器之間的復(fù)制控制器之間的復(fù)制復(fù)制拓?fù)溆蛑杏?jì)算機(jī)角色域中計(jì)算機(jī)角色域控制器域控制器 域控制器必須是一臺(tái)運(yùn)行Win2003 Server的計(jì)算機(jī)，一個(gè)域可以有一個(gè)或多個(gè)域控制器： 1、提供AD服務(wù)。 2、存儲(chǔ)與復(fù)制AD數(shù)據(jù)庫(kù)。 3、管理域中的活動(dòng)，包括“用戶登錄”，“身份驗(yàn)證”與“目錄查詢”。成員服務(wù)器成員服務(wù)器 運(yùn)行 Win2003 Server 的計(jì)算機(jī)，但它不是 Win2003 Server域的域控制器。成員服務(wù)器加入域，但不存儲(chǔ)目錄數(shù)據(jù)庫(kù)的副本，不存儲(chǔ)目錄數(shù)據(jù)庫(kù)不處理帳戶登錄過(guò)程。常作文件服務(wù)器、應(yīng)用