Active Directory 域深刻了解

                    Windows Active Directory 域故障排錯

       本節介紹Windows 2000/03 AD域故障的排錯。首先我們會介紹活動目錄（Active Directory）及其相關概念，然後介紹和域故障排錯相關的知識、工具軟體的使用，最後以執行個體的形式講解針對具體的各種域故障如何進行排錯，如何有效地利用組政策來管理AD域、管理網絡。

    通過本節的學習，讀者可以掌握活動目錄（Active Directory）及其相關概念，活動目錄的功能、邏輯結構、實體結構；管理Windows 2000/03網絡的方法，相關工具的使用；提高域故障排錯能力，掌握活動目錄上的最大應用：組政策。

2-3-1活動目錄（Active Directory）及其相關概念

       要掌握Windows 2000/03 AD域故障排錯，首先就得知道什麼是域，什麼是活動目錄，活動目錄的工作原理如何。以下内容作為後面域排錯的基礎理論知識至關重要。

2-3-1-1為什麼要使用活動目錄？

       為什麼要使用活動目錄？首先我們來看兩個例子：

如果我們要記住10個、20個電話号碼還可以，但更多的就無能為力了。這時我們就會想到把電話号碼記錄到電話簿上，需要時去查詢。

如果我們家中隻有10本、20本的書，我們會比較容易找到我們想要的那一本，但如果我們家中的書像圖書館那麼多，這時我們就會想到把書分門别類地放好，并根據書的書名、作者、出版社、類别等屬性資訊做好索引，以利于查找。

       有效地管理網絡，也象管理電話号碼、管理圖書一樣。我們會把網絡中衆多的對象：計算機、使用者、使用者組、列印機、共享夾……，分門别類、井然有序地放在活動目錄這個大倉庫中。使用活動目錄對你公司的網絡進行管理，才是積極有效的管理方法，而且網絡規模越大，越能展現出活動目錄在管理網絡上的高效性。

2-3-1-2工作組（Workgroup）

當然如果網絡規模很小，也可以使用Windows工作組模式來進行管理，但其管理功能極其有限。對于一台Windows計算機來講，它要麼隸屬于工作組，要麼隸屬于域。工作組是微軟的概念，一般的普遍稱謂是對等網。

工作組通常是一個由不多于10台計算機組成的邏輯集合，如果要管理更多的計算機，微軟推薦你使用域的模式進行集中管理，這樣的管理更有效。你可以使用域、活動目錄、組政策等等各種功能，使你網絡管理的工作量達到最小。當然這裡的10台隻是一個參考值，11台甚至20台，如果你不想進行集中的管理，那麼你仍然可以使用工作組模式。

工作組的特點就是實作簡單，不需要域控制器DC，每台計算機自己管理自己，适用于距離很近的有限數目的計算機。順便說明一下，工作組名并沒有太多的實際意義，隻是在網路上的芳鄰的清單中實作一個分組而已；再就是對于“計算機浏覽服務”，每一個工作組中，會自動推選出一個主浏覽器，負責維護本工作組所有計算機的NetBIOS名稱清單。使用者可以使用預設的工作組名workgroup，也可以任意起個名字（不必擔心重名），同一工作組或不同工作組間在通路時也沒有什麼分别，都需要輸入目标計算機上的使用者名、密碼進行驗證。

在工作組模式下，使用者要通路10台計算機上的資源，就需要記住至少10個使用者名和密碼，工作組的這種分散管理性是它和域的集中式管理相比最大的缺點。AD域提供了對網絡資源的集中控制，使用者隻需登入一次就可以通路整個活動目錄的資源。

2-3-1-3活動目錄（Active Directory）和域控制器（Domain Controller）

如果網絡規模較大，這時我們就會考慮把網絡中衆多的對象（被稱之為AD對象）：計算機、使用者、使用者組、列印機、共享夾……分門别類、井然有序地放在一個大倉庫中，并做好檢索資訊，以利于查找、管理和使用這些對象（資源）。這個有層次結構的資料庫，就是活動目錄資料庫，簡稱AD庫。

接下來，我們應該把這個資料庫放在哪台計算機上呢？是這樣的，我們把存放有活動目錄資料庫的計算機就稱之為域控制器（Domain Controller），簡稱DC。

2-3-1-4活動目錄架構（Active Directory Schema）

       架構是關于AD對象類型屬性的定義。一種類型AD對象應該有哪些屬性是由架構來定義的，比如它定義了使用者對象有姓、名、登入名、密碼等一系列的屬性。如果你想增加一個“性别”屬性，這就要修改架構，一般稱之為擴充AD架構，這要求你必須是林根域上的Schema Admins組成員才行。

整個活動目錄的林中隻有一個架構，是以在活動目錄中建立的所有對象都遵從同樣的規則。也就是說你對架構的修改将影響到林中的所有域，你沒辦法實作同一林中的一個域使用者對象有“性别”屬性，而另一個域沒有。

2-3-1-5目錄通路協定（DAP）和輕量級目錄通路協定（LDAP）

AD對象存儲在活動目錄中，客戶和應用程式就通過通路活動目錄，來查找這些存放于活動目錄中的對象。使用者通路這些AD對象，當然要遵照一定的規則和約定，這就是協定。客戶通路目錄所用的協定被稱之為目錄通路協定（DAP），DAP是在X.500中定義的一個複雜協定，它的簡化版本被稱之為輕量級目錄通路協定（LDAP），被微軟的活動目錄AD所采用。LDAP是用于查詢和更新活動目錄的目錄服務協定。

2-3-1-6目錄服務

回過頭來，我們再來看一下目錄服務的定義。目錄服務由X.500标準定義，目錄是指一個組織中關于人和資源資訊的結構化、階層化的庫。在微軟的Windows 2000/03網絡中，這個目錄服務就是指活動目錄（Active Directory）服務，又比如在Novell公司的NetWare上使用的目錄服務叫NDS（Novell目錄服務），目錄服務的實質就是一種網絡服務。

活動目錄（Active Directory）作為網絡目錄服務，提供了用于組織、管理和控制網絡資源的結構和功能，使我們有了集中管理Windows 2000/03網絡的能力，管理者可以在一個地點管理整個網絡。當然也可以利用OU進行委派控制，把一部分管理工作分派給OU管理者。

2-3-1-7活動目錄的邏輯結構

       活動目錄的邏輯結構具有伸縮性，小：可以隻是一台計算機，大：可以應用到大型跨國公司的網絡。活動目錄的邏輯元件包括：

l         活動目錄林（Active Directory Forest）

l         活動目錄樹（Active Directory Tree）

l         活動目錄域（Active Directory Domain）

l         組織單元（OU，Organizational Units）

l         全局目錄（GC，Global Catalog）

mcse.com

sub.mcse.com

my.com

接下來，以上圖為例，進行相關讨論。這整個是一個林，mcse.com為林根域，有兩個樹，一個由mcse.com和它的子域sub.mcse.com組成，另一個由my.com單獨組成，林中有mcse.com，sub.mcse.com，my.com三個域。相關概念如下：

       林根域：在林中建立的第一個域，如：mcse.com

       樹：共用連續的命名空間的多層域，如mcse.com（父域）和sub.mcse.com（子域）

       樹根域：樹最高層的域，名最短。如：mcse.com和my.com

Windows 2000/03可采用多層域結構，但最有效、最簡便的管理方法仍是單域，是以大家在實際工作中要記住一個原則“能用單域解決，就不用多域”。

一、域（Domain）

域是活動目錄中邏輯結構的核心單元。一個域包含許多計算機，它們由管理者設定，共用一個目錄資料庫，一個域有一個唯一的名字。

域是安全邊界，保證域的管理者隻能在該域内有必要的管理權限，除非得到其它域的明确授權。每個域都有自己的安全政策和與其它域的安全聯系方式。注意：1、無法在一個域内實作不同的帳号政策。2、父域對子域并沒有任何管理特權，但要注意林根域下有企業管理者組Enterprise Admins，它預設對林中的其它域是有特權的。

父域和子域間預設就有雙向可傳遞的信任關系，也就是說使用者可以使用林中任意一個域内的計算機，登入到林内的任何一個域上（操作上就是使用欲要登入的那個域的使用者帳号）；還可以，以自己本域的帳号登入，通路林内任何資源而不需要重新輸入密碼，當然要想能真正通路某一具體資源，在該資源上必須得有相應權限才行。

二、組織單元（OU，Organizational Units）

       在域下面，我們可以規劃OU，放入計算機、使用者、使用者組等對象。也就是說通過OU，我們可以把對象組織起來，并形成一個有層次的邏輯結構。OU下面可以再建小OU，微軟建議嵌套層次不要超過3層，我們平常一般1到2層就夠用了。

       在規劃OU時，要考慮到将來的管理群組政策的應用，一般應把有相同需求的計算機、使用者等放在同一OU下。可以基于部門、基于管理責任，也可以基于地理位置來規劃，使其最佳地适應你的公司的需求。

       在域下面規劃OU，不是僅僅為得到一個層次結構，我們主要目的是要基于OU實作委派控制和将來連結相應的組政策來實作管理控制。委派的權限可以是完全控制，也可以是僅指定有限的權限（如：修改OU内的使用者密碼）給一個或幾個使用者群組。

三、活動目錄林（Active Directory Forest）

       在林中建立的第一個域，被稱為林根域，如前面提到的mcse.com。在剛開始時候，我們這個林中隻有一個樹，樹内隻有一個域，域内隻有一台計算機作為域控制器。也就是說此時我們整個林就隻有一台計算機。

       接下我們也可以為它添加子域，如sub.mcse.com.，再添加了一個新樹下的域my.com。這樣我們的這個林下就有了兩個樹：一個樹由mcse.com域、和它的子域sub.mcse.com構成，一個樹僅由my.com域構成。

四、活動目錄樹（Active Directory Tree）

       活動目錄樹是Windows 2000/03網絡中的層次組織，同一樹下的域共用連續的名字空間。如父域mcse.com（它同時也是樹根域、林根域），樹根域的名字一定是最短的。父域mcse.com和子域sub.mcse.com之間預設就有一個雙向的、可傳遞的信任關系。也正由于這種信任關系的可傳遞性，使得sub.mcse.com和my.com間也有了雙向信任關系。

五、全局目錄（GC，Global Catalog）

       全局目錄GC包含了AD對象屬性的子集，換句話說就是GC中包含了林中所有對象的摘要資訊，也就是相對重要一些的屬性，如使用者對象的姓、名和登入名。全局目錄GC本身必須首先是域控制器DC，GC不具有唯一性，可以有多個。

       全局目錄GC使使用者能夠：1、查詢整個林中的AD資訊，無論資料在林中什麼位置。以利于林中的跨域通路。2、使用通用組，即利用通用組成員身份的資訊登入網絡。

2-3-1-8活動目錄的實體結構

       在活動目錄中，實體結構與邏輯結構是互相獨立的。域控制器DC和站點（Site）組成了活動目錄的實體結構。

       利用站點，我們可規劃域控制器DC放置，優化AD複制，使使用者就近查找DC登入。同時，知道實體結構将有助于排除複制和登入過程中出現的問題。

一、域控制器（Domain Controllers）

       Windows 2000/03域控制器上存儲有活動目錄的副本，管理目錄資訊的變化，并把這些變化複制給該域上的其它域控制器。域控制器存儲目錄資料，管理使用者登入、驗證和目錄搜尋。

       一個域至少得有一台域控制器，為了容錯就應該有兩台，甚至多台。這主要要看網絡的規模及分布。

二、活動目錄複制

       同一域内的DC之間要複制域資訊，同一林内的DC間要複制林資訊。活動目錄複制確定AD資訊對整個網絡上的所有DC和客戶機都是可用的。而活動目錄的實體結構決定了複制發生的時間和地點。

       AD複制采用多主要複制模型，也就是說每個DC都存儲有AD的可寫副本，彼此間的複制是雙向的。這點與NT4域的PDC到BDC（目錄服務的隻讀副本）的單主要複制不同。

       在所有的DC把它們的變化都同步到活動目錄中以前，DC在短時間内可能有不同的資訊。按照預設，這一時間，同一站點内不越過3x5=15分鐘。

三、站點（Site）

       站點就是一個或幾個高速帶寬連接配接的IP子網的集合。管理者規劃的站點，必須真實反映網絡的實體結構和連接配接情況，把高速連接配接的部分規劃為一個站點。也就是說，站點内一定是高速連接配接，站點間是低速連接配接。

管理者利用規劃站點，可以為活動目錄配置通路和複制拓撲。使用Windows 2000/03網絡可以使用最有效的連結和時間安排來複制和登入。建立站點，我們可以：1、優化AD複制，如：讓其半夜進行，一天一次。2、優化使用者登入，如：使使用者就近查找本站點内高速連接配接的DC進行登入。

在活動目錄中，實體結構與邏輯結構是互相獨立的，沒有什麼必然的聯系。一個站點可以有幾個域，一個域也可以有幾個站點。給站點起名字也是任意的，不必考慮和域名字間的聯系。

2-3-1-9操作主機（或叫主要、FSMO）

       前面我們介紹了AD複制采用多主要複制模型，但在有些特殊情況下，我們需要目錄林進行單主要更新以避免沖突的發生。簡單地說就是，這時我們就讓一台DC說了算，來執行相關的AD改變，然後由它把變化複制到其它的DC上去，這台DC就是操作主機。共有五種操作主機，它們是：

•         架構主要               Schema master                    林内唯一

•         域命名主要            Domain Naming master         林内唯一

•         PDC仿真器          PDC Emulator master           域内唯一

•         RID主要               RID master                          域内唯一

•         基礎結構主要        Infrastructure master            域内唯一

預設林根域的第一台DC就是這五種操作主機，同時還是GC。林内其它域的第一台DC是該域内的域唯一的那三種操作主機，即PDC仿真、RID、基礎結構。。

操作主機具有唯一性，但我們可以把操作主機移動到其它DC上，隻要保證原來的不再是操作主機，也就是說保證這種唯一性即可。

任何一台DC都可以是一操作主機（注意也隻有DC才可以是操作主機），一台DC可以同時擔當多種操作主機角色。

對于操作主機的管理，我們可以檢視、傳送、查封。傳送（Transfer）和查封（Seizing）的差別在于：傳送是在原操作主機聯機的情況下進行的，傳送後得到了新的操作主機，原來的操作主機就不再是操作主機了，傳送保證操作主機的唯一性。查封是在原操作主機有故障或失效，脫機的情況下的強行傳輸，也就是重新推選一個新的操作主機，會有資料的丢失。查封不保證操作主機唯一性，原操作主機必須格式化後再接入網絡。

對操作主機的管理，可以使用圖形化界面（管理的位置，将在下面逐個介紹說明），也可以使用Ntdsutil指令。下面我們簡單介紹一下各種操作主機的作用。

一、架構主要（Schema master）

操作：AD架構/AD架構上右鍵/操作主機

說明：預設情況下，架構的MMC管理工具不被安裝。需要：

1、運作adminpak.msi安裝AD管理工具。Adminpak.msi可在03CD光牒I386目錄下找到，或在03的windows\system32下找到。或者手動，開始/運作：regsvr32 schmmgmt.dll

2、開始/運作：MMC，檔案/添加删除管理單元/添加/AD架構

關于架構，我們前面介紹過：架構是關于AD對象類型屬性的定義。架構主要控制對架構的所有原始更新，也就是說對架構的修改、擴充，必須連接配接到林内唯一的這台架構主機上進行，然後由它複制到到林内所有的DC上。

注意：隻有架構管理者組（Schema Admins）可以對架構進行修改，例如安裝Exchange Server、ISA陣列，就需要擴充架構，你應該以架構管理者身份進行。

二、域命名（Domain Naming master）

操作：AD域和信任關系/AD域和信任關系上右鍵/操作主機

隻有域命名主機可以向目錄林中添加域或者删除域，保證域的名字在林中唯一。若域命名主機不可用，則無法在目錄林中添加或删除域。

為保證域的名字在林中唯一，域命名主機需要查詢GC。若林功能級别為Windows 2000林模式，GC必須和域命名主機在同一台計算機上才行。若林功能級别為Windows Server 2003林模式，不要求GC必須和域命名主機非得在同一台計算機上。

三、PDC仿真器（PDC Emulator master）

操作：AD使用者和計算機/域上右鍵/操作主機/PDC标簽

       PDC仿真主機在五種操作主機中是最重要的，它的使用率很高。如果PDC仿真主機失效，必須盡快解決。它主要負責：

1、如果Windows 2000/03域中還有NT4的BDC，它充當NT BDC的PDC，并為早期版本客戶機提供服務。順便說一下，NT4的域控制器在2000/03域中隻能是BDC，不可能是PDC。

2、管理運作NT、95/98計算機的密碼變化，寫入活動目錄AD

3、最小化密碼變化的複制等待時間。若一台DC接受到密碼變化的請求，它必須通知PDC仿真主要。使用者登入時，如密碼錯誤，進行驗證的DC必先送至PDC仿真主要。因為普通DC不能确認到底是密碼錯誤，還是它沒有及時與PDC仿真主要同步。

4、同步全域中的域控制器、成員計算機的時間。加入域的計算機，沒有自己的時間。這是因為時間參數，在AD複制中是一個極為重要的因素，決定多主要複制時，誰的修改最終生效。是以整個域的時間，都由PDC仿真主機來控制。你可以手動修改域成員計算機上的時間，但當AD複制過後，又會被改回成PDC仿真主機上的時間。如果目錄林是多層域結構，最終以林根域上的PDC仿真主機的時間為準。

5、防止重寫GPO的可能，修改組政策設定，預設也是要連接配接到PDC仿真主要上才行。當然這個預設值是可以修改的，或者找不到PDC仿真主要時，系統會提示你連到其它DC。

四、相關辨別符RID主要（RID master）

操作：AD使用者和計算機/域上右鍵/操作主機/RID标簽

       在AD對象中的使用者、組或計算機等對象，我們是可以為其配置設定權利權限的，被稱為安全主體。安全主體與其它非安全主體對象的最主要的差別就在于：安全主體對象有安全辨別符（SID），可以為其配置設定權利權限。大家要明确：在活動目錄中，所有對象都有GUID（全局唯一辨別符），隻有安全主體對象才有SID。

當我們在域内建立安全主體（例如使用者、組或計算機）對象時，域控制器将域的SID與安全主體對象RID辨別符相結合，以建立唯一的安全辨別符 (SID)。形如：

S-1-5-21-1553226038-2352558368-427082893-500

其中S-1-5表示NT Authority（辨別符頒發機構）；上例中的21-1553226038-2352558368- 427082893為這個域的SID（每個域不同），在這個位置還可能是32（表示本地/域内置的本地組，都隻能在DC/本機上使用，重複無妨，是以都是32），也可能是本機的SID（每台機不同）；後面跟的500表示administrator使用者。

為了結合後面的案例，在這裡我們把SID多作些介紹：

SID 名稱 描述

S-1-5-域-500 Administrator 管理者帳戶

S-1-5-域-501 Guest 供來賓通路計算機或通路域的内置帳戶

S-1-5-域-502 krbtgt 密鑰分發中心（KDC） 服務使用的服務帳戶

其它還有：Domain Admins（512），Domain Users（513），Domain Guests（514）。使用者帳戶、全局組可在林内或有信任關系的其它域使用，是以域間不可重複。

S-1-5-域-515 Domain Computers 一個包括加入域的所有用戶端和伺服器的全局組

S-1-5-域-516 Domain Controllers 一個包括域中所有域控制器的全局組。

預設情況下，新的域控制器将添加到該組中。

S-1-5-根域-518 Schema Admins 域為混合模式時為全局組，純模式時為通用組。預設成員林根域的 Administrator。被授權更改AD架構。

S-1-5-根域-519 Enterprise Admins 域為混合模式時為全局組，純模式時為通用組。

預設成員林根域的 Administrator。

被授權更改AD林結構，例如添加子域，删除域。

S-1-5-32-544 Administratrs 域/本地管理者組，都隻能在DC/本機使用，重複無妨。

其它還有：Users（545），Guests（546），Power Users （547），Account Operators（548），Server Operators（549），Print Operators（550），Backup Operators （551），Replicators（552），Remote Desktop Users（555）。都隻能在本域内使用，域間重複無妨。

S-1-1-0 Everyone 包括所有使用者（甚至匿名使用者和來賓）的組。成員身份由作業系統控制。在03中管理者可決定是否包括Guest。

S-1-5-6 Service 一個包括所有作為服務登入的安全主體的組。成員身份由作業系統控制。

S-1-5-7 Anonymous 一個包括所有以匿名方式登入的使用者的組。成員身份由作業系統控制。

S-1-5-18 Local System 作業系統使用的服務帳戶。

S-1-5-19 Local Service 本地服務

S-1-5-20 Network Service 網絡服務

RID操作主機就是負責向域内的DC配置設定 RID 池，每一個 Windows 2000/03 DC 都會收到用于建立對象的 RID 池（預設為 512個）。RID 操作主機通過配置設定不同的池來確定這些 ID 在每一個 DC 上都是唯一的。若DC分到的RID池被用盡，可以向RID操作主機自動再次申請。

通過 RID 主機，還可以在同一目錄林中的不同域之間移動所有對象。當對象從一個域移動到另一個域上時，RID主要将該對象從域中删除。

五、基礎結構主要（Infrastructure master）

操作：AD使用者和計算機/域上右鍵/操作主機/結構 标簽

基礎結構主機確定所有域間操作對象的一緻性。當引用另一個域中的對象時（如域本地組中包括另一域的一個全局組），此引用包含該對象的全局唯一辨別符 (GUID)、安全辨別符 (SID) 和可分辨的名稱 (DN)。

如果被引用的對象移動，則在域中擔當結構主機角色的 DC 會負責更新該域中跨域對象引用中的 SID 和 DN。也就是說，基礎結構主機負責更新外部對象的索引（組成員資格），顯然，單域不需要基礎結構主機。

基礎結構主機是基于域的，目錄林中的每個域都有自己的基礎結構主機。基礎結構主機不應該和GC在同一個DC上，應手動移走，否則将不起作用。前面我們提到過，預設林根域的第一台DC就是這五種操作主機，同時還是GC。也就是說，這時基礎結構主機實際上是失效的，不起作用。但這時隻有一個林根域，基礎結構主機不起作用也沒關系，若以後建構多層域，需要手動将其與GC分開。

2-3-1-10域功能級别和林功能級别

域功能

級别 2000  2000混合模式 DC：可包含NT4的BDC。

2000本機模式 所有DC均為2000，可以使用通用組、多主複制、SID曆史、通訊組與安全組的轉換、組的同名嵌套。

03 2000混合域功能級級别 隻是DC中多了03，即DC：NT、2000、03

2000本機域功能級級别 隻是DC中多了03，即DC：2000、03， 

03臨時域功能級級别 不常用，DC：03、NT。需要專門工具

03域功能級級别 所有DC均為03，可以重命名域

林功能

級别 2000林功能級别 預設值，域命名主要必須是GC

03林功能級别 需要所有DC均為03，提升林時，會自動提升所有域為03域功能級級别。可傳遞的林信任關系、更靈活的組成員複制（基于操作）、更好的站點間路由選擇、對GC的修複、架構的重新定義。

2-3-1-11辨別名（DN）和相對辨別名（RDN）

       前面我們提到了客戶使用LDAP協定來通路活動目錄中的對象，那麼LDAP是如何來辨別一個在活動目錄中的對象的呢？換句話說，LDAP是如何在活動目錄找到對象A，而不會錯找成對象B的呢？這就要用到一個命名路徑，即辨別名（DN）和相對辨別名（RDN）。DN為活動目錄中的對象辨別出LDAP命名的完整路徑；RDN用來辨別容器中的一個對象，即它總是DN中的最前面一項。

如：在Active Directory使用者和計算機中，在mcse.com域下有個OU：Finance（财務），在Finance下又有個小OU：Sales（銷售），在其下有個使用者，名叫Suzan Fine。則此使用者對象的DN為：CN=Suzan Fine, OU=Sales, OU=Finance, DC=mcse DC=com。RDN為：CN=Suzan Fine。

說明：

       1、其中DC表示DNS名字的域元件，OU表示組織單元，CN表示普通名字，CN可用于除了前兩種以外的所有對象。比如：如果使用者帳号不在OU中而是在預設容器Users中，為表示Users容器應使用CN。即：CN=Suzan Fine, CN=Users, DC=mcse, DC=com。

2、如果在指令中引用DN，且DN中有空格，如CN=Suzan Fine。應使用引号将整個DN括起來。如“CN=Suzan Fine, CN=Users, DC=mcse, DC=com”。

2-3-1-12 域名服務系統（DNS）

       Windows 2000/03的活動目錄服務與域名服務系統（DNS）緊密結合、內建一起，是以DNS故障是導緻AD故障非常主要的因素之一，有統計資料顯示AD故障的60%來自于DNS。

使用活動目錄、建構Windows 2000/03的域，網絡上必須有可用的DNS伺服器，并且必須支援SRV記錄（Service Location Resource Record）和動态更新功能。如：MS Win2000/03 DNS，UNIX的DNS BIND 8.12及以上版本，使用已有的NT4 DNS是不行的。

       建構NT4域并不需要DNS的支援，但2000/03域必須有DNS，且滿足上述要求。

SRV記錄的作用是指明域和站點（site）的DC、PDC仿真、GC是誰。動态更新也是2000/03DNS的新特色，管理者不必再象NT4 DNS那樣手動為計算機建立或修改相應記錄，在域成員計算機重新開機，或改名、改IP時依賴周期性更新，自動動态注冊或更新相應DNS記錄。

如果沒有DNS伺服器的話，也不一定非得預裝DNS，可以在安裝AD過程中，選擇在本機上安裝2000 DNS。而且推薦初學者使用這種方法，因為系統會根據你提供的FQDN域名，自動建立好DNS區域（zone），并配置成AD內建區域，僅安全動态更新。如果需要向外連或反向解析，使用者隻需配置上轉發器和反向區域即可，不需要的話，直接就可以用了。

       如果決定在安裝AD過程中在本機安裝DNS，應在安裝前，将本機TCP/IP配置/DNS伺服器指向自己，這樣在安裝AD完成後重新開機時，SRV記錄将被自動注冊到DNS伺服器的區域當中去的，生成四個以下劃線開頭的檔案夾，如_msdcs，03DNS在這裡夾的層次結構有所變化，但本質沒變。當然如果忘了指，也可以後補上，隻不過需要多重新開機一次。

       03DNS新特色：

1、條件轉發。

轉發器的作用是，如果本機無法解析DNS客戶所發的查詢請求，轉發給轉發器所指定的DNS伺服器。在03DNS中新增了條件轉發，即不同的DNS區域，可指定不同的轉發器。

利用條件轉發，不僅可改善DNS查詢，更重要的是有其實際意義。例如兩個公司合并時，可将利用條件轉發，基于對方域名将轉發器配置為指向對方的DNS伺服器。這樣DNS伺服器就能解析對方網絡中的DNS名稱，并對其他網絡資訊建立巨大的緩存。又由于不必查詢 Internet 上的 DNS 伺服器，将大大減少DNS查詢所用的時間。

2、存根（stub）區域

       上面的場景也可用存根區域來解決，在03DNS中建立對方的存根區域，并指明對方的權威DNS伺服器。注意在存根區域下隻有對方域的SOA、NS及與NS相關的A記錄，不會有對方其它的具體資源的記錄。在有些情況下，與條件轉發的作用還是有所不同的。

2-3-1-13 組政策（Group Policy）

組政策是活動目錄上的最大應用，可以應用于2000/XP/03。組政策使許多重複的管理工作自動化、簡單化，是以說組政策的應用程度是衡量2000/03管理者的重要尺度。

組政策對象（GPO）也是一種AD對象，并且可設定權限。在域内建立，可連結到站點（Site）、域（Domain）、組織單元（OU），使組政策的設定對一定範圍的計算機/使用者生效。本地（Local）政策可了解為一個特殊的組政策：在工作組下也可使用，隻對本地使用者和該計算機生效。使用gpedit.msc進行管理，設定後立即生效，不需重新整理。

組政策設定的預設優先級是：LSDOU原則，本地政策優先級最低。可通過阻止繼承（将阻止所有政策繼承）、禁止替代（也就是必須繼承，針對某個具體的GPO來設定）、組政策篩選器（實質為GPO權限）改變預設的優先級。

組政策對象（GPO）包括組政策容器（GPC）群組政策模闆（GPT）兩部分。GPC位于AD使用者和計算機/System/Policies（需要選中檢視下的進階功能），僅是GPO的屬性和版本資訊，計算機通過GPC來查找GPT。具體的政策設定值存儲在GPT中，位于DC的windows\sysvol\sysvol下，以GUID為檔案夾名。注意安裝AD系統自帶的兩個GPO，使用固定的GUID，分别是：

¨       預設域的政策的GUID為31B2F340-016D-11D2-945F-00C04FB984F9

¨       預設域控制器的政策的GUID為6AC1786C-016F-11D2-945F-00C04FB984F9。

組政策具體的設定内容2000到達600多條，03又新增200條左右。

       組政策設定中的安全模闆（計算機和使用者）部分，通過系統資料庫生效，但并不永久改變系統資料庫。若使用者手動修改系統資料庫中的組政策設定值，若政策未變，組政策不負責強制改回。

       安全政策是組政策的子集（一部分），隻不過其MMC工具被單獨提出來，放到管理工具下了。