本節書摘來自異步社群《windows server 2012活動目錄管理實踐》一書中的第1章,第1.3節,作者: 王淑江 更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。
本節中介紹本書中常提到的計算機相關概念。
1.3.1 獨立伺服器
安裝完成windows server作業系統後,運作該作業系統的計算機成為一台獨立伺服器。該伺服器可以獨立部署應用程式。最明顯的特征是該伺服器沒有加入到“域”中。
1.3.2 成員伺服器
獨立伺服器添加到“域”中之後,成為成員伺服器。該伺服器接受ad ds域服務的統一管理,接收并應用active directory釋出的組政策,該計算機被添加到域内“computers”組織機關中。
**
1.3.3 域控制器**
windows server 2012中域控制器包括3種類型:額外域控制器、域控制器以及隻讀域控制器。
1.域控制器
如果網絡中安裝的是第一台域控制器,該伺服器預設為林根伺服器,也是根域伺服器,fsmo(操作主機)角色預設安裝到第一台域控制器。
如果是額外域控制器,fsmo(操作主機)角色轉移到額外域控制器後,額外域控制器将提升為域控制器。域控制器和額外域控制器之間是平行關系,它們之間的差別在于是否存在fsmo角色。
域控制器中運作ad ds域服務,該服務和普通的服務應用相同,可以通過“服務”控制台管理ad ds域服務,完成“啟動”、“停止”、“暫停”等操作。域控制器添加到“domain controllers”組織機關中。
2.額外域控制器
成員伺服器使用“添加角色和功能”向導添加“ad ds域服務”角色後,将被提升為額外域控制器,成員伺服器添加到域内“domain controllers”組織機關中。該伺服器上運作“ad ds域服務”,提供管理任務,存儲active directory資料庫。
3.隻讀域控制器
隻讀域控制器服務與ad ds域服務相同,同樣以服務的方式存在,但是active directory資料庫隻能讀取不能寫入,active directory資料庫是ad ds域服務資料庫的一部分,非完整active directory資料庫副本。隻讀域控制器添加到域内“domain controllers”組織機關中。
隻讀域控制器隻能将可讀寫域控制器active directory資料庫設定的緩存賬戶同步到隻讀域控制器中,無法對隻讀域控制器中的active directory資料庫進行更改,如果隻讀域控制器需要更改active directory資料庫中的資料,更改的資料首先在可讀寫域控制器上更改完成,然後複制到隻讀域控制器中。隻讀域控制器支援從可讀寫域控制器到rodc的單項資料複制。可讀寫域控制器不會從隻讀域控制器主動“拉”資料。隻讀域控制器可以緩存授權的目标組和使用者的密碼。
1.3.4 用戶端計算機
運作windows用戶端作業系統的計算機稱之為用戶端計算機,用戶端作業系統包括windows 2000 professional、windows xp/vista/7/8。加入域的用戶端計算機,被添加到域内“computers”組織機關中。如果要對用戶端計算機部署“計算機配置”政策,首先需要将用戶端計算機賬戶移動到目标域、組織機關中,切記!
域林的結構如圖1-6所示。注意,右側域樹的名字空間(dns字尾)和左側的名字空間不同。
