Active Diretory 全攻略（二）－－AD与域

下面作个域的简单规划，会对域加深了解，达到灵活运用。

1、单一域：微软的建议，企业应尽可能使用单一域结构，以简化管理的工作。

假如51CTO公司采用单一域结构。公司内各部门形成组织单位，以便管理。

域树：接上例，假如PRODUCT部门因为本身作业的机密性，需要有独立管理权，则可以将PRODUCT部门独立成域。因此该部门即可设置专用的用户帐户、安全设置、组策略等。

假设51CTO公司并购了POLICE公司，呵呵，并保留POLICE已有的POLICE。COM域名，且要将新公司加入现有的AD中，最理想的方式就是将域POLICE。COM与域51CTO。COM结合成林。

2、域控制器DC（DOMAIN CONTROLLER）

各域至少必需有一台DC，存储此域中的目录信息（AD对象），并提供相关的服务。在我们安装03时，默认是独立服务器，可以适时将其升级为DC，升级的时候可选择此DC加入现有的域，或作为新域中的第一台DC。也可设置多台DC，提供容错能力。 当修改其中一台DC时，DC之间必须有复制机制，才能维持AD数据的一致性。

注同一个域中的DC有着相同的数据库，但不同域之间不是全部相同，有一些是相同的。

3、AD目录的复制

局部复制、利用更新序号（USN）：每台DC会选定至少两台相邻的DC，作为复制伙伴，DC增加，其也随着增加。当一台更新后，序号增加一，其它便检测得到跟着更新。发生冲突时心GLOBAL UNIQUE STAMP叛定优先级。