在命令提示符里面输入cd windows按回车键 输入cd ntds按回车键 输入dir按回车键 可以看到一个叫做ntds.dit文件 它就是活动目录数据库文件 我们所创建的用户 组 计算机都存储在ntds.dit这个文件里面 通过开始--运行--输入adsiedit.msc按确定 可以看到目录分区的构成 目录分区由三部分构成 一个叫做架构分区(Schema) 一个叫做配置分区(Configuration) 一个叫做域分(Domain)
架构分区里面存储了整个森林里面的架构信息 一个森林只有一个架构 架构分区里面的架构信息是在整个森林中复制的 配置分区里面存储了当前整个森林里面的配置信息 展开CN=Sites后可以看到当前有几个站点 我把DC1(根域)放在site1里面 SubdomainDC1(子域)放在site2里面 配置分区里面的信息也是在整个森林中所有的DC去进行复制的 也就是说架构分区里面的信息和配置分区里面的信息是在整个森林中所有DC进行复制的 而域分区里面的信息只能够在本域内的DC之间进行复制的
我在根域的域控制器上 在命令提示符里面输入ntdsutil按回车键 输入d m按回车键来创建一个应用程序分区 输入connect 按回车键 因为我的根域的域控制器的计算机名称叫做dc1.yejunsheng.com 所以就输入connect to server dc1.yejunsheng.com按回车键 输入quit按回车键 输入list按回车键后可以看到配置分区 域分区 子域的域分区(DC=sales,DC=yejunsheng,DC=com) 3和4是Windows Server 2003内置的应用程序分区 输入create nc dc=application,dc=yejunsheng,dc=com dc1.yejunsheng.com按回车键 输入list按回车键后可以看到刚才添加的对象了 6 - DC=application,DC=yejunsheng,DC=com 输入list nc replica dc=application,dc=yejunsheng,dc=com按回车键后就可以看到应用程序目录分区的副本了
如果你想把应用程序分区删除掉的话 可以在domain management那一项命令下输入?号按回车键可以查到有一项叫做Delete NC %s 在domain management那一项命令下输入delete nc dc=application,dc=yejunsheng,dc=com按回车键 等待一段时间之后就把应用程序分区删除掉了
通过开始--运行--输入regsvr32 schmmgmt.dll按确定来注册动态链接库 在运行里面--输入mmc按确定来打开控制台 按文件--按添加/删除管理单元(M)--按添加--按Active Directory 架构--按添加 按确定 作为GC它会把森林里面所有其他域的域分区对象全部复制过来 同时复制过来的还有对象的部分属性 你可以控制什么样的东西复制给GC 在控制台里面按属性 双击里面一些项的属性可以看到有一项叫做将此属性复制到全局编录 把这一项沟上 按确定就ok了
我现在把GC的本地连接禁用掉了 并且当前域功能级别为Windows 2000 混合模式
我现在还是可以用alice这个用户登录域的 因为当GC在线的时候 alice这个用户已经登录过域了 所以以后不管GC在不在线 alice这个用户还是可以登录域的 注意:域的功能级别必需是Windows 2000 混合模式才可以的 如果域的功能级别提升了 GC不在线的时候 用户肯定不能登录域的
怎么样实践当GC不在线的时候 并且当前域功能级别为Windows Server 2003 用户依然可以登录域呢 按site2 双击NTDS Site Settings 把启用通用组成员身份缓存沟上 因为GC在site1 所以我就在刷新缓存,来自那一项选择site1 按确定就ok了 注意:当GC在线的时候这个用户需要登录过一次域 以后即使GC不在线 用户依然可以登录域了
为了让john这个用户能够直接在域控制器里面登录域 打开默认域控制器安全设置 展开安全设置--本地策略--按用户权限分配--双击允许在本地登录那一项--按添加用户或组--按浏览--按高级--按立即查找--按Domain Users--按确定 通过开始--运行--输入gpupdate /force按确定来刷新组策略 这样所有的域用户就可以在直接在域控制器那一台计算机登录域了
看到了吗? 我现在已经成功用john这个用户直接在域控制器上登录域了 这个登录的过程中它会去找GC缓存john这个用户的组信息的 组的信息包括用户属于什么样的全局组 用户属于什么样的通用组 如果不属于用户也是要找GC去询问一下 通常用户肯定属于一个全局组
通过开始--运行--输入adsiedit.msc按确定 展开域分区 按CN=Users 对着CN=john右键--选择属性--双击msDS-Cached-Membership那一项 可以看到里面有16进制的值 说明john这个用户它属于什么样的组已经被这台DC缓存下来了 msDS-Cached-Membership这一项的Value默认情况下是Not Set 没有值的 但是现在发现里面有值了
如果你想限制用户要有足够的空间才给它们安装软件的话 就使用WMI筛选器 对着WMI筛选器右键--选择新建 名称就叫做新建WMI筛选器吧 按添加--在名称空间里面按浏览--选择root\CIMv2 比如我现在要限制所有的用户 它们的C盘空间必需大于8G才给他们安装软件 在查询里面输入select * from win32_logicaldisk where deviceid="C" and freespace>=8000000000 按确定 按保存 在此GPO链接到下列WMI筛选器里面选择新建WMI筛选器就ok了
在Windows Server 2003里面有二条策略 一条是默认域安全策略 一条是默认域控制器安全策略 这二条策略决对不能删除掉 当然你可以通过GPMC去备份这二条策略 但是如果你没有备份 中了病毒 或者被你不小心删除掉了 现在这二条策略不能使用了 怎么办呢? 可以在命令提示符里面输入dcgpofix /target:both按回车键 它询问你两次是否要继续 你都输入Y按回车键就ok了 如果以后这两条策略丢失了 可以使用Windows Server 2003自带的dcgpofix /target:both这个工具来还原这两条策略了
如果你想查询当前你拿到什么样的组策略设置 可以在命令提示符里面输入gpresult /scope:user /v按回车键 等一下就可以看到组策略的所有信息了
本文转自 叶俊生 51CTO博客,原文链接:http://blog.51cto.com/yejunsheng/162212
