Stan Reimer，是S.R.Technical Services公司的总裁，也是一位企业咨询师、培训师和作家。身为咨询师，Stan为加拿大的一些大型公司设计并实现了Exchange Server和活动目录。身为培训师，Stan专门编写并教授定制的Exchange Server、活动目录和安全课程。身为作家，Stan是《Active Directory for Microsoft Windows Server 2003 Technical Reference》（Microsoft Press，2003）和其他一些Exchange Server和ISA Server书籍的主要作者，他还编写了许多Microsoft学习课程。Stan生活和工作在Winnipeg，但是他的心（经常是他的思想）却留在Big Whiteshell Lake的别墅。
　　Conan Kezema，于1994年获得教育学学士学位，并认识到计算机技术和有经验的高级技术教师的重要性。他随后获得了Microsoft认证系统工程师和Microsoft认证培训师资格。在过去的12年中，Conan在计算机技术领域当过教师、系统咨询师、网络系统架构师和技术作家。在过去4年里，Conan是S.R.Technical Services公司的主题事务专家、教学设计师和许多与Microsoft公司相关项目的技术作家。
　　Mike Mulcare，在Microsoft公司工作，他是在线学习产品的高级产品经理。Mike在Microsoft工作的8年中，作为教学设计师和主题事务专家，开发了许多关于目录服务和Windows服务器网络的课程。他和Stan Renner共同编写了《Active Directory for》Microsoft WindowsServer2003 Technical Reference》（Microsoft Press，2003）一书。Mike出生在纽约，现与妻子和3个儿子居住在华盛顿的西雅图市。他从1990年开始就从事软件咨询和培训方面的工作。

　　Windows Server 2008中的活动目录发生了很大变化，有许多增强和改进。《Windows Server 2008活动目录应用指南》是在Windows Server 2008中计划、实现和维护活动目录基础结构及排除相关故障的完全参考手册。《Windows Server 2008活动目录应用指南》共5部分，首先概述Windows Server 2008活动目录，包括Windows Server 2008中的新增功能、活动目录域服务和活动目录域服务复制等；然后讲述Windows Server 2008活动目录的设计和实现、如何管理和维护Windows Server 2008活动目录；最后介绍了活动目录的标识和访问管理。
　　《Windows Server 2008活动目录应用指南》结构严谨、组织清晰，而且还包含微软活动目录团队和目录服务MVP等大量专家的实践经验。《Windows Server 2008活动目录应用指南》是大中型企业中有经验的IT专业人员的必备参考书，而对于想了解Windows Server 2008活动目录的初学者，《Windows Server 2008活动目录应用指南》也是一本非常有价值的入门指南。

　　2.1.7架构
　　架构定义了可以存储在ADDS中的每个类和属性。ADDS中的每个对象都是类的一个实例。“用户或“组”都是类。在AD DS中创建对象之前，要先在架构中定义它的类。架构也强制执行一些在数据库中创建对象的规则。
　　每个林只有一个架构，但是架构的副本可以复制到林中的每台域控制器上，这样每台域控制器都可以快速访问所需要的任何类或属性定义，每台域控制器在创建给定对象时使用相同的定义。数据存储需要架构才能提供类和属性定义，数据存储使用这些定义强制数据完整性。结果就是统一创建所有对象，哪台域控制器创建或修改对象都没有关系，因为所有的域控制器都使用相同的架构定义。
　　1.架构组件
　　架构是由class Schema对象和attribute Schema对象构成的。class Schema对象是存储在架构中用于定义类的定义。类定义具有共同特征的属性组。类的一个例子是User类，User类包含很多属性，包括用户的登录名、姓、名字和密码。只要创建了新用户，使用User类的目录就要定义如何配置该对象。由User一类决定的设置包括对象可以和必须具有的属性，以及哪些类在AD DS层次结构中可以是高级的。被创建的每个用户对象都使用这些属性。
　　架构也定义可以为每个类存储的属性。在AD DS中，属性被定义为全局attribute Schema对象，每个类可以使用多个全局定义的属性。例如，用户账户对象有一些用于存储与用户账户有关的数据的多个部分，如登录名属性和密码属性。这些属性的每一个都是由属性对象定义的，属性对象自身也有定义，指定诸如存储的数据类型、最大最小长度或值等信息。目录服务用attribute Schema对象来定义存储在给定类的每个对象属性中的数据类型，并强制在attribute Schema中定义的约束（例如，字符串的长度范围）。

第1部分 WindowsServer2008活动目录概述
第1章 WindowsServer2008活动目录的新增功能
1.1 活动目录域服务的新功能
1.1.1 只读域控制器(RODC)
1.1.2 活动目录域服务审核
1.1.3 细化密码策略
1.1.4 可重新启动的活动目录域服务
1.1.5 数据库装载工具
1.1.6 用户界面改进
1.2 其他活动目录服务角色
1.2.1 活动目录证书服务角色
1.2.2 活动目录联合身份验证服务角色1
1.2.3 活动目录轻型目录服务角色1
1.2.4 活动目录权限管理服务角色1
1.3 小结1

第2章 活动目录域服务组件1
2.1 ADDS物理结构1
2.1.1 目录数据存储1
2.1.2 域控制器1
2.1.3 全局编录服务器1
2.1.4 只读域控制器1
2.1.5 操作主机2
2.1.6 转移操作主机角色2
2.1.7 架构2
2.2 ADDS逻辑结构2
2.2.1 ADDS分区2
2.2.2 域3
2.2.3 林3
2.2.4 信任3
2.2.5 站点3
2.2.6 组织单位3
2.3 小结4
2.4 补充资源4
2.4.1 相关工具4
2.4.2 下载代码中的资源4
2.4.3 相关帮助主题4

第3章 活动目录域服务和域名系统4
3.1 集成DNS和ADDS4
3.1.1 服务位置(SRV)资源记录4
3.1.2 ADDS域控制器注册的SRV记录4
3.1.3 DNS定位器服务4
3.1.4 自动站点覆盖4
3.2 ADDS集成区域5
3.2.1 使用ADDS集成区域的好处5
3.2.2 DNS的默认应用程序分区5
3.2.3 管理ADDS集成区域5
3.3 集成DNS命名空间和ADDS域5
3.3.1 DNS委派5
3.3.2 转发器和根提示5
3.3.3 DNS和ADDS集成故障排除6
3.3.4 DNS故障排除6
3.3.5 SRV记录注册故障排除6
3.4 小结6
3.5 最佳实践6
3.6 补充资源6
3.6.1 相关信息6
3.6.2 相关工具6
3.6.3 下载代码中的资源6
3.6.4 相关帮助主题6

第4章 活动目录域服务复制6
4.1 ADDS复制模型6
4.2 复制过程6
4.2.1 更新类型6
4.2.2 复制更改6
4.3 复制SYSVOL目录7
4.4 站点内和站点间复制7
4.4.1 站点内复制7
4.4.2 站点间复制7
4.4.3 复制延迟7
4.4.4 紧急复制7
4.5 生成复制拓扑7
4.5.1 知识一致性检查器7
4.5.2 连接对象7
4.5.3 站点内复制拓扑7
4.5.4 全局编录复制7
4.5.5 站点间复制拓扑8
4.5.6 RODC和复制拓扑8
4.6 配置站点间复制8
4.6.1 创建额外的站点8
4.6.2 站点链接8
4.6.3 站点链接桥8
4.6.4 复制传输协议8
4.6.5 配置桥头服务器8
4.7 复制故障排除9
4.7.1 ADDS复制故障排除的步骤9
4.7.2 ADDS复制故障排除工具9
4.8 小结9
4.9 最佳实践9
4.10补充资源9
4.1.1 相关信息9
4.10.2 相关工具9
4.10.3 下载代码中的资源9
4.10.4 相关帮助主题9

第2部分 设计和实现WindowsServer2008活动目录

第5章 设计活动目录域服务结构9
5.1 定义目录服务需求9
5.1.1 定义业务和技术需求10
5.1.2 记录当前环境10
5.2 设计林结构10
5.2.1 林和ADDS设计10
5.2.2 单个林或多个林10
5.2.3 针对ADDS安全进行林设计11
5.2.4 林设计模型11
5.2.5 设计林所有权11
5.2.6 林变更控制策略11
5.3 设计多个林的集成11
5.3.1 设计林间信任11
5.3.2 设计林间目录集成11
5.4 设计域结构11
5.4.1 确定域数量11
5.4.2 设计林根域12
5.4.3 设计域层次结构12
5.4.4 域树和信任12
5.4.5 部署后更改域层次结构12
5.4.6 定义域所有权12
5.5 定义域和林功能级别12
5.5.1 在域功能级别启用的功能12
5.5.2 在林功能级别启用的功能12
5.5.3 实现域和林功能级别12
5.6 设计DNS基础结构12
5.7 设计组织单位结构13
5.7.1 组织单位和ADDS设计13
5.7.2 设计OU结构13
5.7.3 创建OU设计13
5.8 设计站点拓扑13
5.8.1 站点和ADDS设计13
5.8.2 创建站点设计13
5.8.3 创建复制设计13
5.8.4 设计服务器位置14
5.9 小结14
5.10最佳实践14
5.11补充资源14
5.11.1 相关信息14
5.11.2 下载代码中的资源14

第6章 安装活动目录域服务14
6.1 安装ADDS的必备条件14
6.1.1 硬盘空间需求15
6.1.2 网络连接15
6.1.3 DNS15
6.1.4 管理权限15
6.1.5 操作系统兼容性15
6.2 了解ADDS安装选项15
6.2.1 安装配置任务和添加角色向导15
6.2.2 服务器管理器15
6.2.3 活动目录域服务安装15
6.2.4 无人参与安装15
6.3 使用活动目录域服务安装向导15
6.3.1 部署配置15
6.3.2 命名域15
6.3.3 设置WindowsServer2008功能级别15
6.3.4 其他域控制器选项15
6.3.5 文件位置15
6.3.6 完成安装16
6.3.7 验证ADDS的安装16
6.4 执行无人参与安装16
6.5 部署只读域控制器16
6.5.1 服务器核心安装WindowsServer200816
6.5.2 部署RODC16
6.6 删除ADDS16
6.6.1 删除额外的域控制器16
6.6.2 删除最后一台域控制器16
6.6.3 无人参与删除ADDS16
6.6.4 强制删除WindowsServer2008域控制器16
6.7 小结16
6.8 补充资源16
6.8.1 相关信息16
6.8.2 相关工具16

第7章 迁移到活动目录域服务16
7.1 迁移路径16
7.1.1 域升级迁移路径17
7.1.2 域重构17
7.2 确定迁移路径17
7.3 升级域17
7.4 重构域17
7.5 林内迁移18
7.6 配置林间信任18
7.7 小结18
7.8 最佳实践18
7.9 补充资源18
7.9.1 相关信息18
7.9.2 相关工具18

第3部分 管理WindowsServer2008活动目录

第8章 活动目录域服务安全18
8.1 ADDS安全基础18
8.1.1 安全主体18
8.1.2 访问控制列表18
8.1.3 访问令牌19
8.1.4 身份验证19
8.1.5 授权19
8.2 Kerberos安全19
8.2.1 Kerberos简介19
8.2.2 Kerberos身份验证19
8.2.3 身份验证委派19
8.2.4 在WindowsServer2008中配置Kerberos20
8.2.5 与公钥基础结构集成20
8.2.6 与智能卡集成20
8.2.7 与其他Kerberos系统互操作20
8.2.8 Kerberos故障排除20
8.3 NTLM身份验证20
8.4 实现域控制器安全20
8.4.1 减少域控制器的攻击面20
8.4.2 配置默认域控制器策略21
8.4.3 配置SYSKEY21
8.5 设计安全管理实践21
8.6 小结21
8.7 最佳实践21
8.8 补充资源21
8.8.1 相关信息21
8.8.2 相关工具21
8.8.3 下载代码中的资源22
8.8.4 相关帮助主题22

第9章 委派活动目录域服务管理22
9.1 活动目录管理任务22
9.2 访问活动目录对象22
9.3 活动目录对象权限22
9.3.1 标准权限22
9.3.2 特殊权限22
9.3.3 权限继承22
9.3.4 有效权限23
9.3.5 活动目录对象的所有权23
9.4 委派管理任务23
9.5 审核管理权限的使用23
9.5.1 为域控制器配置审核策略23
9.5.2 在活动目录对象上配置审核23
9.6 委派管理工具23
9.7 计划管理委派24
9.8 小结24
9.9 补充资源24

第10章 管理活动目录对象24
10.1 管理用户24
10.1.1 用户对象24
10.1.2 inetOrgPerson对象24
10.1.3 联系对象24
10.1.4 服务账户24
10.2 管理组24
10.2.1 组类型24
10.2.2 组作用域24
10.2.3 活动目录中的默认组25
10.2.4 特殊标识25
10.2.5 创建安全组设计25
10.3 管理计算机25
10.4 管理打印机对象25
10.4.1 在活动目录中发布打印机25
10.4.2 跟踪打印机位置25
10.5 管理已发布共享文件夹25
10.6 自动化活动目录对象管理26
10.6.1 管理活动目录的命令行工具26
10.6.2 使用LDIFDE和CSVDE26
10.6.3 使用VBScript管理活动目录对象26
10.7 小结26
10.8 最佳实践26
10.9 补充资源26
10.9.1 相关信息26
10.9.2 相关工具26
10.9.3 下载代码中的资源26

第11章 组策略简介26
11.1 组策略概述27
11.1.1 组策略工作原理27
11.1.2 WindowsServer2008组策略中的新增功能27
11.2 组策略组件27
11.2.1 组策略容器概述27
11.2.2 组策略模板的组件27
11.2.3 组策略对象组件的复制27
11.3 组策略处理27
11.3.1 客户端如何处理GPO27
11.3.2 初始GPO处理27
11.3.3 后台GPO刷新28
11.3.4 如何刷新与组策略相关的GPO历史记录28
11.3.5 默认后台处理间隔时间的例外情况28
11.4 实现组策略28
11.4.1 GPMC概述28
11.4.2 使用GPMC创建和链接GPO28
11.4.3 修改GPO处理的作用域28
11.4.4 委派GPO管理29
11.4.5 在域和林之间实现组策略29
11.5 管理组策略对象29
11.5.1 备份和还原GPO29
11.5.2 复制组策略对象29
11.5.3 导入组策略对象设置29
11.5.4 建模和报告组策略结果29
11.6 编写组策略管理脚本30
11.7 计划组策略实现30
11.8 组策略故障排除30
11.9 小结30
11.10 补充资源30

第12章 使用组策略管理用户桌面30
12.1 使用组策略管理桌面30
12.2 管理用户数据和配置文件设置31
12.2.1 管理用户配置文件31
12.2.2 使用组策略管理漫游用户配置文件31
12.2.3 文件夹重定向31
12.3 管理模板32
12.3.1 理解管理模板文件32
12.3.2 管理基于域的模板文件32
12.3.3 管理ADMX模板文件的最佳实践32
12.4 使用脚本管理用户环境32
12.5 使用组策略部署软件32
12.5.1 WindowsInstaller技术32
12.5.2 部署应用程序32
12.5.3 使用组策略分发非WindowsInstaller应用程序33
12.5.4 配置软件包属性33
12.5.5 使用组策略配置WindowsInstaller33
12.5.6 计划组策略软件安装33
12.5.7 使用组策略管理软件的局限性33
12.6 组策略首选项概述33
12.6.1 组策略首选项与策略设置33
12.6.2 组策略首选项设置34
12.6.3 组策略首选项选项34
12.7 小结34
12.8 补充资源34
12.8.1 相关信息34
12.8.2 下载代码中的资源34

第13章 使用组策略管理安全34
13.1 使用组策略配置域安全34
13.1.1 默认域策略概述34
13.1.2 默认域控制器策略概述34
13.1.3 为域重新创建默认GPO35
13.1.4 细化密码策略35
13.2 使用组策略强化服务器安全35
13.3 使用组策略配置网络安全36
13.3.1 配置有线网络安全36
13.3.2 配置无线网络安全36
13.3.3 配置Windows防火墙和IPsec安全36
13.4 使用安全模板配置安全设置36
13.5 小结36
13.6 补充资源36

第4部分 维护WindowsServer2008活动目录

第14章 监视和维护活动目录37
14.1 监视活动目录37
14.1.1 为什么监视活动目录37
14.1.2 监视服务器可靠性和性能37
14.1.3 如何监视活动目录37
14.1.4 监视内容38
14.1.5 监视复制38
14.2 活动目录数据库维护38
14.2.1 垃圾收集38
14.2.2 联机碎片整理38
14.2.3 活动目录数据库的脱机碎片整理38
14.2.4 使用Ntdsutil管理活动目录数据库38
14.3 小结38
14.4 补充资源39

第15章 活动目录灾难恢复39
15.1 计划应对灾难39
15.2 活动目录数据存储39
15.3 备份活动目录39
15.3.1 备份的需要39
15.3.2 逻辑删除生存时间39
15.3.3 备份频率39
15.4 还原活动目录39
15.4.1 通过创建一台新的域控制器还原活动目录39
15.4.2 执行活动目录非授权还原39
15.4.3 执行活动目录授权还原40
15.4.4 还原组成员身份40
15.4.5 重新激活逻辑删除对象40
15.4.6 使用活动目录数据库装载工具40
15.4.7 还原SYSVOL信息40
15.4.8 还原操作主机和全局编录服务器40
15.5 小结41
15.6 最佳实践41
15.7 补充资源41
15.7.1 相关信息41
15.7.2 相关工具41

第5部分 活动目录标识和访问管理

第16章 活动目录轻型目录服务41
16.1 ADLDS概述41
16.1.1 ADLDS功能41
16.1.2 ADDS部署场景41
16.2 ADLDS的结构和组件41
16.2.1 ADLDS服务器41
16.2.2 ADLDS实例42
16.2.3 目录分区42
16.2.4 ADLDS复制42
16.2.5 ADLDS安全42
16.3 实现ADLDS43
16.3.1 配置实例和应用程序分区43
16.3.2 ADLDS管理工具43
16.3.3 配置复制43
16.3.4 备份和还原ADLDS43
16.4 配置ADDS和ADLDS同步44
16.5 小结44
16.6 最佳实践44
16.7 补充资源44
16.7.1 相关工具44
16.7.2 下载代码中的资源44
16.7.3 相关帮助主题44

第17章 活动目录证书服务44
17.1 活动目录证书服务概述44
17.1.1 公钥基础结构组件44
17.1.2 证书颁发机构45
17.1.3 证书服务部署场景45
17.2 实现ADCS45
17.2.1 安装ADCS根证书颁发机构45
17.2.2 安装ADCS从属证书颁发机构45
17.2.3 配置Web注册45
17.2.4 配置证书吊销45
17.2.5 管理密钥存档和恢复46
17.3 管理ADCS中的证书46
17.3.1 配置证书模板46
17.3.2 配置证书自动注册46
17.3.3 使用组策略管理证书接受46
17.3.4 配置凭据漫游46
17.4 设计ADCS实现46
17.4.1 设计CA层次结构46
17.4.2 设计证书模板47
17.4.3 设计证书分发和吊销47
17.5 小结47
17.6 最佳实践47
17.7 补充资源47
17.7.1 相关信息47
17.7.2 相关工具47

第18章 活动目录权限管理服务47
18.1 ADRMS概述47
18.1.1 ADRMS功能47
18.1.2 ADRMS组件47
18.1.3 ADRMS的工作原理47
18.1.4 ADRMS部署方案48
18.2 实现ADRMS48
18.2.1 安装ADRMS之前的预安装考虑事项48
18.2.2 安装ADRMS群集48
18.2.3 配置ADRMS服务连接点48
18.2.4 使用ADRMS客户端48
18.3 管理ADRMS48
18.3.1 管理信任策略48
18.3.2 管理权限策略模板49
18.3.3 配置排除策略49
18.3.4 配置安全策略49
18.3.5 查看报告49
18.4 小结50
18.5 补充资源50

第19章 活动目录联合身份验证服务50
19.1 ADFS概述50
19.1.1 联合身份验证50
19.1.2 Web服务50
19.1.3 ADFS组件50
19.1.4 ADFS部署设计50
19.2 实现ADFS51
19.2.1 ADFS部署要求51
19.2.2 在联合WebSSO设计中实现ADFS51
19.2.3 配置账户伙伴联合身份验证服务52
19.2.4 配置资源伙伴ADFS组件52
19.2.5 为基于WindowsNT令牌的应用程序配置ADFS53
19.2.6 实现WebSSO设计53
19.2.7 实现具有林信任的联合WebSSO设计53
19.3 小结53
19.4 最佳实践53
19.5 补充资源53
19.5.1 下载代码中的资源53
19.5.2 相关帮助主题53