dcpromo

　　解析：dcpromo命令是一个“开关”命令。如果Windows 2000 Server计算机是成员服务器，则 运行dcpromo命令会安装活动目录，将其升级为域控制器；如果Windows 2000 Server计算机 已经是域控制器，则运行dcpromo命令会卸载活动目录，将其降级为成员服务器。

域的定义

　　域英文叫DOMAIN
　　域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系 (即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件 和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。
　　域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域;每个域都有自己的安全策 略，以及它与其他域的安全信任关系。
　　

域与工作组的关系

　　其实上 我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。而如 果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。
　　如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出 进进，而域则需要严格控制。“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合，势必需要严格的控制。所以实行严格的管理 对网络安全是非常必要的。在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问 密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据的传输是非常不安全的。
　　工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机还是各自管理的，你要访问其中 的计算机，还是要到被访问计算机上来实现用户验证的。而域不同，域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域 内访问其他机器，不再需要被访问机器的许可了。为什么是这样的呢？因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算 机帐户，这个帐户和用户帐户一样，也有密码保护的。可是大家要问了，我没有输入过什么密码啊，是的，你确实没有输入，计算机帐户的密码不叫密码，在域中称 为登录票据，它是由2000的DC（域控制器）上的KDC服务来颁发和维护的。为了保证系统的安全，KDC服务每30天会自动更新一次所有的票据，并把上 次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据，其有效时间是60天，60天后，上次使用的票据就会被系统丢弃。如果你的GHOST 备份里带有的票据是60天的，那么该计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问请求（包括登录），解决的方法呢，简单的方法 使将计算机脱离域并重新加入，KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。因此在有域的环境下，请 尽量不要在计算机加入域后使用GHOST备份系统分区，如果作了，请在恢复时确认备份是在60天内作的，如果超出，就最好联系你的系统管理员，你可以需要 管理员重新设置计算机安全票据，否则你将不能登录域环境。
　　

域控制器

　　不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。
　　域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网 络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个 用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度 上保护了网络上的资源。
　　要把一台电脑加入域，仅仅使它和服务器在网上邻居中能够相互“看”到是远远不够的，必须要由网络管理


　什么是OU？OU(Organizational Unit，组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。通俗一点说， 如果把AD比作一个公司的话，那么每个OU就是一个相对独立的部门。
　　创建OU
　　OU的创建需要在DC(域控制器)中进行，创建步骤如下：
　　第1步 以Administrator(系统管理员)身份登录域控制器。然后依次单击“开始/管理工具/Active Directory用户和计算机”菜单，打开“Active Directory用户和计算机”控制台窗口。
　　第2步 在左窗格中用鼠标右键单击域名，并在弹出的快捷菜单中执行“新建/Organizational Unit”命令。
　　第3步 打开“新建对象-Organizational Unit”对话框，在“名称”编辑框中键入新的OU的名称(如“广告信息部”)，并单击“确定”按钮
　　OU的设计方式
　　为了有效的组织活动目录对象，OU根据公司业务模式的不同 来创建不同的OU层次结构。一下是几种常见的设计方法。
　　1.基于部门的OU
　　为了和公司的组织结构相同，OU可以基于公司内部的各种各样的业务功能部门创建，如行政部、人事部、工程部、财务部等。
　　2.基于地理位置的OU
　　可以为每一个地理位置创建OU，如北京、上海、广州等。
　　3.基于对象类型的OU
　　在活动目录中可以将各种对象分类，为每一类对象建立OU，如根据用户、计算机、打印机、共享文件夹等。


Groups ↑
　　Groups 组 组是用户或用户帐户的集合。通过建立组，可以简化对大量用户进行管理和确定权限的任务。直接把消息发给组显然比把消息分发给组中每个用户容易。组有名字， 并且能包括工作在类似项目、属于同一部门或属于公司内的一个俱乐部的用户。一个用户可以属于多个组，例如，一个用户可以属于管理者组、顾问组和高尔夫球 组。
　　你把目录和文件的访问权赋予用户，用同样的办法可把这些权限赋予组。然而，简单得多的办法是把 权限赋予组，然后把用户加到组中，用户便拥有那个组的所有权限和特权。在计划一个网时，组应当被规定并在增加任何用户之前建立。这样，当你建立一个新的用 户帐户时，就可以把用户加进组内。一个用户可以成为多个组中的成员。发送消息到组比发送一个个消息到组中每一个成员要容易得多。
　　下面是一些使用组方法的例子：
　　一个字处理组有权运行某个字处理程序并在它的数据目录里存储文件。
　　电子函件组可以简化报文寻址。例如可建立一个经理组、一个雇员组或一个临时工组。
　　系统管理组在安全的网络目录中有权操作。
　　备份组对备份目录有特别访问权。
　　另外关于一个组方面令人感兴趣的是，它能方便地修改和删除一大群用户的权限。你既可以删除整个组，也可以从组中删除用户。当用户从组中被删除时，它们仍然在系统中拥有一个帐户，但是它们和组有关的权利不再有效。
　　Groups in Windows NT Windows NT中的组
　　Windows NT包括一组拥有预定义访问权的预定义组，访问权使它的成员能够执行系统上各种任务和活动。
　　存在两种类型的组：本地组和全局组。本地组是由能直接访问本地机的用户组成，换句话说，他们就 在自己的键盘前。全局组是由能访问网上其他工作计算机资源的用户组成。本地组的成员仅仅只在被定义组处的工作站上有权利，一个具型的本地组例子是超级用户 组，它的成员拥有一些(但非所有的)管理本地机的管理员权利。而一个典型的全局组是网络组，它包括任何一个从网上其它计算机访问NT服务器的用户。
　　下面所述帐号由NT自动建立的。在许多情况下，这些组中的组应该为每种类型的用户提供一些合适的访问权利。如果不是有这样，你可建立自己的组，然后用windows NT用户管理工具为自己的组赋予常规的访问权。

管理员组

　　管理员组(The Administrator Group)
　　在NT工作站上，管理员组有最高的控制权和访问权。管理用户由于是管理员组中的成员而获得相应 的访问权利，起初，组的成员有管理员用户帐户和初始用户帐户，如果NT工作站是Windows NT的高级服务器域的一部分，那么组就称为Domain Admins，必要时它也可以非常容易地被删除。
　　管理员组有权执行下列任务：
　　在本地建立和管理本地系统上的用户和组帐户。
　　赋予用户权利。
　　锁住和解锁工作站。
　　格式化和管理硬盘。
　　建立普通程序管理员组。
　　使目录和打印机可共享。
　　维护一个本地系统框架文件。

超级用户组

　　超级用户组(The Power User Group)
　　在访问系统的能力上，超级用户比管理员用户降了一级。超级用户组的成员有执行下面所列任务的权利：
　　本地登录。
　　远程访问赋予了超级用户帐户的计算机。
　　修改系统时间。
　　关闭系统。
　　超级用户组的成员好象是管理员助理。该组最重要的任务之一就是建立新的用户和组的帐户并在系统上设立共享目录。超级用户成员能执行下列任务：
　　在本地系统上建立和管理用户和组的帐户。
　　锁住但不废弃工作站上的锁。
　　建立普通程序管理员。
　　使目录和打印机共享。
　　维护一个本地登录框架文件。

用户组

　　用户组(The Users Group)
　　在初始安装后所有增加的用户帐户被加入用户组。管理员、客户和初始用户帐号不属于用户组。用户组有权本地登录和关闭系统、锁住工作站和维护一个本地框架文件。用户组可以获得所属目录和文件的使用权。

客户组

　　客户组(The Guest Group)
　　用户组为暂时用户提供对系统的有限访问。客户组成员有权本地登录，如需要，可赋予它们附加的文 件和目录使用权。可以把客户当作暂时的雇员，起初任何一个用户可以不要口令登录，然而对系统只有非常有限的访问权。例如，客户组成员能够把文件写入和存在 软盘中，但不能对硬盘驱动器操作。你或许想提高客户帐户的权力，那么可建立一个特殊的文件目录和赋予客户组用户在该目录中存储文件的权力。

全员组

　　全员组(The Everyone Group)
　　全员组包括所有使用计算机的用户，当你想为系统中的每一个用户分配权利和许可时只需把这里的权利和准许赋予全员组。全员组也包括访问网上计算机的用户，尽管这些人也在用户组，但你能够赋予全员组所需的目录和文件准许权限。全员组成员有权执行下列任务：
　　本地登录。
　　远程访问赋予了超级用户帐户的计算机。
　　关闭系统。
　　备份操作员组
　　备份操作人员有权执行备份任务，它需要具有能读系统中所有文件的能力。这包括文件的拥有者拒绝所有的用户(包括备份操作员组成员)访问的文件。执行备份的权利高于文件和目录拥有者确定的文件和目录使用权。备份操作员有权执行下列任务：
　　本地登录。
　　关闭系统。
　　备份文件和目录。
　　重存文件和目录。
　　网络组和交互组
　　网络组由所有能访问网络连接的计算机的用户组成，交互组包括所有的本地计算机用户。换句话说，这些组的成员取决于它正在访问那个系统，是本地系统还是网络系统。


  

分布式系统

　　分布式系统（distributed system）是建立在网络之上的软件系统。正是因为软件的特性，所以分布式系统具有高度的内聚性和透明性。因此，网络和分布式系统之间的区别更多的在于高层软件（特别是操作系统），而不是硬件。
　　在一个分布式系统中，一组独立的计算机展现给用户的是一个统一的整体，就好像是一个系统似的。系统拥有多种通用的物理和逻辑资源，可以动态的分配任务，分散的物理和逻辑资源通过计算机网络实 现信息交换。系统中存在一个以全局的方式管理计算机资源的分布式操作系统。通常，对用户来说，分布式系统只有一个模型或范型。在操作系统之上有一层软件中 间件（middleware）负责实现这个模型。一个著名的分布式系统的例子是万维网（World Wide Web），在万维网中，所有的一切看起来就好像是一个文档（Web 页面）一样。
　　在计算机网络中，这种统一性、模型以及其中的软件都不存在。用户看到的是实际的机器，计算机网 络并没有使这些机器看起来是统一的。如果这些机器有不同的硬件或者不同的操作系统，那么，这些差异对于用户来说都是完全可见的。如果一个用户希望在一台远 程机器上运行一个程序，那么，他必须登陆到远程机器上，然后在那台机器上运行该程序。
　　分布式系统和计算机网络系统的共同点是：多数分布式系统是建立在计算机网络之上的，所以分布式系统与计算机网络在物理结构上是基本相同的。
　　他们的区别在于：分布式操作系统的设计思想和网络操作系统是不同的，这决定了他们在结构、工作 方式和功能上也不同。网络操作系统要求网络用户在使用网络资源时首先必须了解网络资源，网络用户必须知道网络中各个计算机的功能与配置、软件资源、网络文 件结构等情况，在网络中如果用户要读一个共享文件时，用户必须知道这个文件放在哪一台计算机的哪一个目录下；分布式操作系统是以全局方式管理系统资源的， 它可以为用户任意调度网络资源，并且调度过程是“透明”的。当用户提交一个作业时，分布式操作系统能够根据需要在系统中选择最合适的处理器，将用户的作业 提交到该处理程序，在处理器完成作业后，将结果传给用户。在这个过程中，用户并不会意识到有多个处理器的存在，这个系统就像是一个处理器一样。
　　分布式软件系统(Distributed Software Systems)是支持分布式处理的软件系统,是在由通信网络互联的多处理机体系结构上执行任务的系统。它包括分布式操作系统、分布式程序设计语言及其编 译(解释)系统、分布式文件系统和分布式数据库系统等。
　　分布式操作系统负责管理分布式处理系统资源和控制分布式程序运行。它和集中式操作系统的区别在于资源管理、进程通信和系统结构等方面。
　　分布式程序设计语言用于编写运行于分布式计算机系统上的分布式程序。一个分布式程序由若干个可以独立执行的程序模块组成,它们分布于一个分布式处理系统的多台计算机上被同时执行。它与集中式的程序设计语言相比有三个特点：分布性、通信性和稳健性。
　　分布式文件系统具有执行远程文件存取的能力,并以透明方式对分布在网络上的文件进行管理和存取。
　　分布式数据库系统由分布于多个计算机结点上的若干个数据库系统组成,它提供有效的存取手段来操纵这些结点上的子数据库。分布式数据库在使用上可视为一个完整的数据库,而实际上它是分布在地理分散的各个结点上。当然,分布在各个结点上的子数据库在逻辑上是相关的。


组策略

注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以 自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户 直接使用，从而达到方便管理计算机的目的。
　　其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

在Windows XP中运行组策略
　　在Windows 2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。
　　使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开：
　　(1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。
　　(2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。
　　(3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。
　　(4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。
　　(5)单击“完成”按钮，组策略管理单元即打开要编辑的组策略对象。
　　(6)在左窗格中定位需要更改的选项的位置，在右窗格中右键单击需要更改的具体选项，单击“属性”命令，即可打开其属性对话框，从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。


组策略中的管理模板
　　在Windows
　　2000/XP/2003中包含几个ADM文件。这些文件是文本文件，被称为“管理模板”，它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。
　　在Windows
　　2000/XP/2003中，默认的Admin.adm管理模板位于系统文件夹的INF文件夹中，包含了默认安装下的4个模板文件，分别为：
　　(1)System.adm：默认安装在“组策略”中，用于系统设置。
　　(2)Inetres.adm：默认安装在“组策略”中，用于Internet
　　Explorer(IE)策略设置。
　　(3)Wmplayer.adm：用于Windows Media
　　Player设置。
　　(4)Conf.adm：用于NetMeeting设置。
　　在策略管理控制台中，可以多次添加“策略模板”，下面让我们来看看具体操作：
　　首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，单击鼠标 右键，选择“添加/删除模板”命令，然后在打开的对话框中单击“添加”按钮，在打开的对话框中选择相应的ADM文件。单击“打开”按钮，则在系统策略编辑 器中打开选定的脚本文件，并等待用户执行。
　　GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中，一个单一的系统策略文件（例如ntconfig.pol）包括所有的可以执行的策略功能，但它依赖于用户计算机中的系统注册表的设置。在 Win2K中，GPO包括文件和AD对象。通过组策略，可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装，这样在安装软件时就可以对文件夹进 行重定向。微软管理控制台（MMC）中的组策略编辑器（GPE）插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点（例如软件设置、Windows 设置、管理模块等）都是MMC插件扩展，在MMC插件中扩展是可选的管理工具，如果你是应用程序开发者，可以通过定制的扩展拓展GPO的功能，从而针对你 的应用程序提供附加的策略控制。只有运行Win2K的系统可以执行组策略，运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。
　　以下主要是针对新的系统Windows XP的。
　　所谓策略（Policy），是Windows中的一种自动配置桌面设置的机制。
　　所谓组策略（Group Policy），顾名思义，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设 置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创 建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。
　　GPO（Group Policy Object）——组策略对象，实际上就是组策略设置的集合。组策略的设置结果是保存在GPO中的。而在Windows 98 或Windows NT的系统策略编辑器工具，它可以看成是组策略的前身，主要指基于注册表设置的策略。
　　说到组策略，就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据 库，随着Windows功能越来越丰富，注册表里的配置项目也越来越多。很多配置都是可以自定义设置的，但这些配置发布在注册表的各个角落，如果是手工配 置，可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供管理人员直接使用，从而达到方便管理计算机的目的。
　　简单点说，组策略就是修改注册表中的配置。当然，组策略使用自己更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。