关于windows 2008 R2 AD 森林、树、域建立

几个颇有用的链接：

1. windows 2008 R2 AD 森林、树、域建立

http://wenku.baidu.com/link?url=vkt9_sfbrg2FJO5n_74DcWXJ64gT4GEzZt3toExXk7it4sbFwOUIQ0no82F5CMlY3QJ4UHozRiWz4BVrdsN6ooXTOAjI7DscJ09KMtgE5p3

2.Trust types

https://technet.microsoft.com/en-us/library/cc775736%28v=ws.10%29.aspx

3. Group Scope and Group type

https://technet.microsoft.com/en-us/library/cc755692%28v=ws.10%29.aspx

4. 域控制器的做用

http://zhidao.baidu.com/link?url=U_7zwRXt2DFkSWAKBhK6e0_knH4V8OrqB_LqlELNFfy7hgE4GlHyoyOIqrcBAIVZVfSrQB-5lhQ9ApKLBroWWq

5. Standarlize UPN

https://technet.microsoft.com/en-us/library/cc772007.aspx

6. 域外控制器

域外控制器，是指除第一台域控制器以外的其余域控制器。在同一域内安装多台域控制器时，将具备如下优势：　　* 提升的效率。由于多台域控制器能够同时分担审核用户的工做，所以，能够加快用户的登陆速度。当网络内的用户数量较多，或者多种网络服务都须要进行身份认证时，应当安装多台域外控制器。　　* 提供容错功能。即便其中一台域控制器出现故障，仍然能够由其余域控制器提供服务，让用户能够正常登陆，并提供用户身份认证。　　* 无需备份活动目录。当域内存在不止一台域控制器（DC，Domain Controller）时，域控制器之间能够相互复制和备份。所以，当从新安装其中的一台DC时，备份Active Directory并非必需的，只需将其从域中删除，再从新安装，并使之回到域中，那么，其余DC会自动将数据复制到这台DC上。也就是说，若是一个域内只有或者只剩下最后一台DC时，才有必要并且必须对Active Directory进行备份。　　在安装额外的域控制器时，须要将活动目录数据库由现有的域控制器复制到这台新的域控制器。Windows Server 2003提供了两种复制活动目录数据库的方式：　　* 经过网络复制 若是活动目录数据库内容较多，该方式将影响网络效率。　　* 经过已备份好的“系统状态数据（System State）” 先将域中域控制器的“系统状态数据”备份出来，而后，再恢复到新建立的域外控制器。有关活动目录数据库的备份与还原，请参见下述相关内容。　　提示：若是活动目录数据库很是庞大，那么，复制工做势必将增长网络负担，并下降原有域控制器的响应速率。所以，域外控制器的安装工做，应当尽可能选择在非工做时段进行，以减小对正常工做的影响。　　安装域外控制器　　安装域外控制器前，应当作好如下准备工做：　　* 在域控制器中为欲做为域控制器的计算机添加计算机帐号，并选中“把该计算机帐户分配为”复选框。　　* 必定要在网络中先安装并设置，将计算机链接至网络，并正确设置该计算机的IP地址信息。不然，将致使安装过程失败。　　具体步骤以下：　　1. 运行“Active Directory安装向导”。　　提示：在命令行模式中键入“dcpromo”也可运行“Active Directory安装向导”。若欲从备份中复制活动目录数据库，可使用“dcpromo /adv”命令。　　2. 在“域控制器类型”对话框，选择“现有域的”，将该计算机设置为域外控制器。.　　提示：一旦将该计算机升级为额外的域控制器后，原有的本机帐号将被删除，密钥（Cryptographic Keys）也将被删除，所以，应当先进行备份。另外，已被加密的数据（如文件和电子邮件）也将没法读取，应当先将这些数据解密并备份。　　3. 在“网络凭据”对话框中，键入拥有将计算机升级为域控制器权力的用户名和密码。该用户名必须隶属于目的域的Domain Admins组、Enterprise Admins组，或者是其余受权用户。　　其余安装过程，与安装域控制器时彻底相同