12、Windows系统信任关系与Active Directory架构管理

Windows系统信任关系与Active Directory架构管理

1. Windows不同版本间的信任关系问题

在Windows NT 4.0和Windows 2000升级过程中，需要避免一个微妙的迁移问题。假设存在一个Windows 2000域控制器（DC1）与Windows NT 4.0域控制器（DC2）有旧版本的信任关系。当将DC2升级到Windows 2000后，把由A管理的组织单位链接到DC2域中存储的组策略对象。此时，组织单位中的用户登录到DC1，期望从DC2域中的组策略对象接收策略，但却无法实现。原因在于域控制器的升级不会自动升级信任关系，且用户无法访问DC2上的SYSVOL共享。

解决此问题的步骤如下：
1. 将DC2升级到Windows 2000后，中断信任关系。
2. 创建新的Windows 2000信任关系，之后用户就能接收到组策略。

2. Active Directory架构基础

Active Directory架构包含存储在目录中所有对象的定义和规则，它确保对象创建的一致性，由类、属性和语法组成。
- 类 ：是共享一组共同特征的对象类别。例如，计算机账户是计算机类的一个实例。每个对象是架构中一个或多个类的实例，且每个对象类包含强制和可选属性。
- 属性 ：描述对象某个方面的特征，如计算机类的型号信息（Dell、Compaq、IBM）。属性定义对象包含的信息类型。
- 语法 ：是特定属性的数据类型或格式，决定属性可以包含的数据类型。Active Directory使用