一.Domain

1.默认情况下域管理员在每一个用户的本地计算机都是管理员；

2.域是一个安全边界（因为域管理员只能管理本域中的计算机，跨域或子域也是没有权限的）；

3.父域和子域之间是相互信任的（因为域之间的账户是可以互相访问的）；

4.父域与子域之间的本质区别：

1）父域中有2个Schema Admins和Enterprise Admins组，子域是没有这2个组的权限的；

2）假如，我要在子域中部署Exchange，必须父域同意，因为父域中才有Schema Admins和Enterprise Admins组的权限；

5.域是一个复制单元（默认情况下，同一个域的域控数据是同步的）；

二.BDC

在安装BDC时，主要是做2件事：

1）在服务器上安装好域的服务；

2）把当前主DC的DB复制到本地；

三.关于DC复制

1.在同一个域中，所有DC的DB是相互同步的；

2.如果同一个域中两个DC在同一个站点中，默认15s复制一次。如果两个DC不在同一站点中，复制的频率取决于站点链路的频率；

3.在域中复制的类型有两种：多主复制和单主复制；

4.活动目录DB有三个逻辑分区：Domain，Configuration，Schema，在同一个域的DC，三个分区数据都同步。如果不是同一个域中的DC，只同步Configuration和Schema分区；

四.组织单元OU

OU是一个容器，表示一个部门。

1.OU能有效的组织域中对象，是域组织更加有调理；

2.OU在公司中一般表示一个部门；

3.OU可以嵌套，OU里面可以创建子OU；

4.可以针对OU进行权限的委派，实现分散式管理；

5.在OU上可以捆绑组策略，这样使组策略的管理更加细化；

注意：gpedit.msc打开本组组策略编辑器；

     gpmc.msc打开组策略管理器；

五.全局编录GC

1.GC提供查询的功能（在整个目录（林）查询的时候就是在GC中查询的）；

2.查看GC：

方法一：AD站点和服务--右击“NTDS Setting”的属性；

方法二：可通过DNS查询；

3.最少保证一个物理区域有一个GC，这样可减少带宽的浪费；

4.GC包含所有林中的数据库，但是GC只收集常用数据库，比如，用户的国籍默认不收集，默认只收集省/直辖市等等；

5.ADSI编辑器可编辑用户的属性；

6.GC和DC的区别

7.总结：

1）GC是一台特殊的DC，记录了整个林中所有对象；

2）在一个林中至少有一个GC，默认情况下林中第一台DC就是GC；

3）GC的数据库记录了当前域中所有对象的所有属性；GC除了存储当前域中所有对象的所有属性外，还存储了整个林中所有对象的部门属性；

六.DC快照

怎么解决异地同步AD占用带宽同步ADDB的问题呢？

1.做主DC的快照，cmd--ntdsutil--activate instance ntds--ifm--create full D:\testADDB(保存快照的路径)--开始创建快照；

2.创建完成后，copy此文件夹到异地的备份域控（横跨物理区域的问题）；

3.异地安装备份备份域控时，选择做的快照（横跨物理区域的问题）