DC是管理ADO的控制器。
Domain Tree域树：共享名称空间，父域，子域；子域和父域共享名称空间。
单域：只有一个域。
多域：多个域。
林，树；
森林，根域：
域：可以按照地理范围划分。
OU：子单元，（单域环境中，显得特别重要）存放ADO的容器。OU中才可以应用 组策略。
组：权限、权利的集合
容器：包括域、OU
GC全局编录服务（global catalog）：森林里第一个DC，域中至少一个GC
Site：
WAN link
KCC
新森林中的域：
现域树中的子域：森林中子域
林中的域树：森林中的域树

AD物理结构：
   站点Site，优化我们的网络数据交通，优化网络传输，复制数据，域登录。
   合理规划站点。
   站点链接：站点与站点之间的复制，复制拓扑，复制路径。
＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋
domain controlers：DC

实验操作：
      1.创建活动目录域DC
      2.检验活动目录域
      3.创建备份DC作冗余
      4.DC降级，移除AD

软硬件要求：
      （1）NTFS分区文件系统
      （2）管理特权，管理员身份
       （3）安装，配置TCP/IP
        （4）支持SRV资源纪录的授权DNS服务器

步骤：
         一、AD的创建
               步骤参见：http://nickzp.blog.51cto.com/12728/39836
               配置服务器或运行dcpromo
               F8高级选项里面的目录服务还原模式中用到的密码，就是还原模式密码
               （DNS）服务位置记录。若要确认已创建了DNS服务位置记录，按照下列步骤操作：
                        单击－开始，指向－管理工具，然后单击DNS ，以启动DNS 管理控制台。
                        展开该服务器名称，再展开 正向搜索区域，然后展开该域。
                        确认 _msdcs、_sites、_tcp和 _udp文件夹已存在。这些文件夹和它们包含的服务位置记录对于Active Directory 和 windows server 2003 的运行至关重要。
         二、添加额外DC
               额外的DC的作用，做冗余。（作容错，作平衡网络负载），活动目录数据库在dc上。
         三、检验AD安装
               SYSVOL是否创建并且是否已经共享
               AD 数据库文件，日志文件
               SRV （运行 dnsmgmt.msc）
               缺省AD结构（运行dsa.msc）查看－－高级功能－－会查看更详细
               事件日志（运行eventvwr.msc）
         四、移除AD
               AD安装向导
                  “配置服务器”或者运行“dcpromo”
               管理特权

         五、解决常见问题
                  访问拒绝（创建/添加DC） 权限问题。
                  DNS或netbios名称不唯一       是否存在同名。
                  不能联系到域                           网络通信问题；dns错误
                  磁盘空间不足                           有效的磁盘空间不能满足安装ad得最小要求
应用
                  企业兼并
                  上海分公司/北京总公司
－－－－－－－－－－－－－－－－－－－－
概述－－－－实现OU－－－委派控制
概述
可以网络管理模型或者组织结构 划分OU

实现OU
委派控制－－分散管理任务

实验过程：
新建立一个ou－－右键点击，委派－－－下一步，添加某些用户或者某些组－－－委派任务，（可以自定义）－－－－
创建一个名为‘学术部’的OU，再在该OU中创建一个属于学术部的用户zhangsan，密码：abc123
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
用户帐户
组－－－－给组分配相应的权限，把用户帐号加入进来。
了解Schema、Enterprise和Domain Administrators 组
组类型：
分发组（通信组）：用于EMAIL应用程序，与安全无关
安全组：分发安全权限。
**********************************************************

计算机加入域之前，首先让客户机的ip和dc的ip同一个网段，DNS地址指向DC的IP地址即可。
然后检测网络是否畅通ping DC
把计算机加入域中，出现对话框，输入在AD中创建的域帐号即可，但普通的域帐号只允许10个客户端加入域，在此输入域管理员和密码。