ad伺服器

1、AD用戶怎麼重一個伺服器導入到另一個伺服器？

使用 LDIFDE 將目錄對象導入或導出到 Active Directory
使用 LDIFDE 來導出和導入目錄對象
下面逐步介紹怎樣將「組織單元」(OU) 和用戶帳戶從一個 Windows 2000 Active Directory 導入和導出到另一個 Windows 2000 Active Directory。對於本示例，「Export」是從其中導出對象的域的名稱，「Import」是向其中導入對象的域的名稱。還可以使用 LDIFDE 將大多數第三方文件夾導入 Active Directory。 從源域導出組織單元

以 Administrator 身份登錄 Export 域。如果使用沒有管理員特權的帳戶登錄，則可能無法對 Active Directory 執行導出和導入操作。

單擊開始，指向程序，指向 附件，然後單擊「命令提示符」。

在命令提示符下，鍵入：
ldifde -f exportOu.ldf -s 伺服器 1 -d "dc=Export,dc=com" -p subtree -r "(objectClass=organizationalUnit)" -l "cn,objectclass,ou"
運行此命令可將除域控制器之外的所有 OU 都導出到名為 ExportOU.ldf 的文件中。
從源域導出用戶帳戶
在命令提示符下，鍵入：
ldifde -f Exportuser.ldf -s 伺服器 1 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,samAccountName"
運行此命令可將 Export 域中的所有用戶導出到名為 Exportuser.ldf 的文件中。如果您沒有所需的全部屬性，導入操作就會不起作用。屬性objectclass 和samAccountName 是必需的，但可以根據需要添加其他屬性。

備註：內置帳戶（如 Administrator）沒有給定的名稱。默認情況下，上面使用的 LDAP 篩選器不導出這些帳戶。LDIFDE 不支持導出密碼。
將組織單元從 Export 導入到 Import

以 Administrator 身份登錄到 Import 域。如果使用沒有管理特權的帳戶登錄，則可能無法對 Active Directory 執行導出和導入操作。

使用「記事本」打開文件 Exportou.ldf。

在「記事本」中的編輯菜單上，單擊替換。

在「查找內容」框中，鍵入 Export。在「替換為」框中，鍵入 Import。

單擊「全部替換」。

在確認替換了域名之後，保存並關閉該文件。

在命令提示符下，鍵入：
ldifde -i -f ExportOU.ldf -s 伺服器 2
您應該會看到一條消息，告訴您已經修改的項數以及命令已成功完成。

備註：在這種情況下，您必須先完成第一步，才能完成第二步，這樣，才能有 OU 來包含用戶。
將用戶從 Export 導入到 Import

使用「記事本」打開文件 Exportuser.ldf。

在「記事本」中，打開編輯菜單，然後單擊替換。

備註：請記住，在本示例中，「Export」是從其中導出對象的域的名稱，「Import」是向其中導入對象的域的名稱。您需要將「Export」替換為從其導出對象的域的名稱，並將「Import」替換為向其導入對象的域的名稱。

在「查找內容」框中，鍵入 Export。在「替換為」框中，鍵入 Import。

單擊「全部替換」。

在確認替換了域名之後，保存並關閉文件。

在命令提示符下，鍵入：
ldifde -i -f Exportuser.ldf -s 伺服器 2

查看使用 Active Directory 用戶和計算機管理單元工具或使用 Windows 通訊簿新創建的聯系人。
備註：由於 LDIFDE 不導出密碼，因此在將用戶導入到目錄中時，會禁用帳戶並將密碼設置為空。這樣做是出於安全原因。此外，帳戶選項「用戶下次登錄時須更改密碼」處於選中狀態。
從整個目錄林導出對象
如果您需要從整個目錄林中導出 OU、用戶和組，可以針對目錄林中的每個域運行上面的 LDIFDE 導出命令，或者，也可以針對全局編錄 (GC) 運行一次查詢。為此，-s 開關指定的域控制器一定要是 GC，另外，要使用 -t 開關指定 GC 埠。GC 埠號是 3268。

例如，要針對 GC 執行所描述的導出操作，LDIFDE 命令就會是：
ldifde -f Exportuser.ldf -s 伺服器 1 -t 3268 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=*))" -l "cn,givenName,objectclass,sAMAccountName"
備註：為了修改 AD 中的屬性，遵循導入文件的以下格式（尤其是單行上的「-」，其下一行為全空行）是非常重要的。要導入此文件，只需運行：ldifde -i -f Import.ldf -s 伺服器。

示例導入/修改文件格式：

dn: CN=Jane Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
-

dn: CN=John Doe,OU=Staff,DC=microsoft,DC=com
changetype: modify
replace: extensionAttribute1
extensionAttribute1: Staff
-

2、AD伺服器是什麼

Windows2000一個最大的創新之處就是引入了 Directory（活動目錄）,活動目錄在網路的組織和管理方面起到了巨大的作用，如果你想最大限度的發揮Windows2000的作用的話，必需理解什麼是活動目錄。下面我就簡要介紹一下活動目錄，希望對大家學習Windows2000有所幫助。

在計算機網路術語中，目錄代表存儲網路上對象信息的一種層次結構。網路上的對象包括共享資源（例如伺服器、列印機、網路用戶以及計算機帳號等）、域、應用程序、服務、安全方針等等的你的網路中的一切事物。一個最典型的例子就是一個網路目錄存儲一個用戶帳號時，它存儲了用戶的姓名、密碼、電子郵件地址、電話號碼等等。

目錄服務區別於目錄的地方在於，目錄服務能夠把目錄中存儲的信息提供給管理員，用戶，網路服務或應用程序。理想情況下，目錄服務使網路的物理拓撲結構和協議對用戶來說是透明的，用戶可以進入任何資源而不用知道它們之間是怎樣以及在哪裡連接的。如上面提到的那個例子，正是目錄服務才使得同一網路中的其它授權用戶能夠了解到該用戶目錄中存儲的信息（如電子郵件地址）。

目錄服務具有廣泛的接受力，可以與操作系統結合，也可以與應用程序結合。Windows2000成功的把目錄服務與操作系統結合在一起，生成了活動目錄，它提供了對用戶，計算機和共享資源的管理。就象Microsoft Exchange的email目錄服務，它使用戶能夠查找其它用戶的電子郵件地址以便於發送電子郵件。

活動目錄，Windows2000伺服器版操作系統的一種新的目錄服務，只能運在域控制器上，它除了能夠提供存儲信息的場所，提供服務以使信息可用外，還可以保護網路對象不被非授權用戶進入，通過網路復制對象以便在域控制器崩潰時數據不會丟失。

Windows2000中的活動目錄具有如下特點：

* 與DNS（域名伺服器）緊密結合：Windows2000中的活動目錄和DNS緊密結合在一起，這利於在TCP/IP網路中計算機之間的相互識別和通訊。

* 靈活的查詢功能：管? 或用戶可以使用開始菜單中的查找命令，桌面上的我的網路位置圖標，或活動目錄用戶和計算機插件查找網路上任何一個對象以及其屬性。例如，你可以用姓，名，電子郵件，辦公地點，或其它用戶帳號的屬性來查找一個用戶。

* 可擴展性：Windows2000的活動目錄具有很強的可擴展性，管理員可以在計劃中增加新的對象類，或者給現有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。例如，你可以給每一個用戶對象增加一個購物授權屬性，然後存儲每一個用戶購買許可權作為用戶帳號的一部分。

* 以策略為基礎的管理：組策略是用戶或計算機初始化時用到的配置設置。所有的組策略設置都包含在應用到活動目錄，域，或組織單元的組策略對象（GPOs）中。GPOs設置決定目錄對象和域資源的進入權，什麼樣的域資源可以被用戶使用，以及這些域資源怎樣使用等。

* 可升級性：活動目錄中含有一個或多個域，每一個域又有多個域控制器，使你能夠升級目錄來滿足任何網路要求。多個域可以合並為一個域樹，多個域樹可以合並為一個森林。在最簡單的結構中，一個單域網路既是一個域樹，同時又是一個森林。

* 信息的可復制性：活動目錄採用多控制復制，這樣可以使你在任何域控制器上更新目錄。在一個域中使用多域控制器可以提供錯誤容差和負載平衡。如果單域中的一個域控制器變慢、停止，或出現錯誤時，同一個域中的其它域控制器可以提供必要的目錄進入，因為它們含有同樣的目錄數據。

* 信息的安全性：用戶授權管理和目錄進入控制已經整合在活動目錄當中了，而它們都是Windows2000操作系統的關鍵安全措施。活動目錄集中控制用戶授權，柯冀

3、舉例說明AD域伺服器的意義500字

採用活動目錄管理網路的意義在於：加強網路管理、統一身份認證、增強安全性、組織間的相互身份認證。
1 加強網路管理
在沒有使用域模式管理的網路中，通常採用工作組模式。這種模式下，網路中的各台終端地位是平等的，沒有一個統一的網路管理的
角色。網路管理員無法對網路內的用戶及用戶使用的計算機進行管理。域模式的應用使網路從「自由市場」變成了「商場」，域控制器就是「商場」的管理員。域控制器知道網路中所有資源的信息，並且將他們組織起來。通過組策略可以對網路中的計算機進行設置，例如可以統一設置IE選項、在開機和關機時自動運行腳本、遠程安裝軟體等。域讓網路管理員有了管理網路的手段。
2 統一身份認證
企業一般有很多的信息系統，例如，協同辦公系統、財務系統、人力資源系統、項目管理系統等等。每個信息系統都要維護一套用戶信息、實現一套身份認證程序，根據用戶的許可權對其開放相應的資源。對用戶來說，要記住每個系統的賬號和口令，復雜還容易遺忘。對信息系統管理員來說，維護多套系統的用戶信息帶來了大量枯燥無味的工作。
域管理解決了這一問題，通過域和各信息系統的集成，系統的人員信息由域統一提供。在域中新增用戶，即可同步到各信息系統。身份認證的工作也由域來完成，用戶通過了域認證即可訪問其授權的網路資源，訪問各信息系統時不必再輸入賬號和口令，實現單點登錄。解決了記憶多套系統賬號和口令的問題。
3 增強安全性
這是域的統一認證功能帶來的附加優勢。各應用系統廠商實現的身份認證模塊安全性良莠不齊，可能存在各種安全漏洞。域的身份認證支持kerberos協議、X.509、智能卡認證等多種身份認證方式。主
要的認證方式是kerberos協議，該協議採用了公鑰密碼和對稱密鑰結合的技術，保障了身份認證的安全性。
4 組織間的身份認證
隨著信息化的發展，組織之間需要交互的系統越來越多。比如企業的采購系統，定期在上面發布招標信息，各供應商登錄系統進行投標。這就需要給供應商開設賬戶。但怎樣認證某個人是該供應商公司的員工可能是各復雜的問題。而且當這個人離職之後，怎樣通知采購系統管理員及時刪除該賬戶，避免惡意登錄呢？
AD支持聯合身份認證來解決這個難題。例如，甲乙兩家公司都採用了域管理，甲公司的員工需要登錄乙公司的信息系統。通過活動目錄聯合身份認證服務，甲公司的AD為需要登錄乙公司系統的用戶發布一個聲明（可以理解成其身份證），該用戶將聲明交給乙公司的AD進行驗證，驗證通過後自動登錄系統。當然這些過程不是用戶手工完成的，而是由系統自動實現的。
總之，活動目錄（AD）是網路管理和核心和基石，隨著技術的不斷進步，其功能也會更加強大。

4、文件伺服器，域伺服器，dhcp伺服器，ad伺服器等其他伺服器是通過什麼區分的？

如果你有一台電腦，配置不是很低（相對現在市場上普通的電腦而言），裝上WIN2008系統。如果安裝了FTP組件（2008裡面有集成，下同），它就是文件伺服器，如果安裝了AD/DC，那就是域伺服器，如果安裝DHCP組件，就是DCHP伺服器。根據它的功能不同它的身份不同了。如果安裝WIN7，那麼它就是一台普通的家用電腦，如果安裝LIUNX，那麼還可以配置成其它的伺服器。
當然，在實際生活，如果公司很大，那安裝這些服務就得使用專業了伺服器電腦了。如果是小公司一台配置好一點的電腦就可以勝任。
至於怎麼安裝這些服務，在此不多說了。

5、AD伺服器的介紹

Active Directory是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目錄服務。

6、AD伺服器與DNS伺服器

現在你想更換一台AD，

正常的步驟是這樣：

1、添加一台機器。安裝好windows server系統，打好補丁。
2、加入到現有域，dcpormo提升為域控。
3、將原先的DC上的功能全部轉移到這台DC上，主要的有：FSMO角色，GC功能。DNS設置成AD集成,DHCP功能。
4、完成後將原因DC，dcpromo降級，成主成員伺服器。新的域控伺服器DNS伺服器設置成本機IP，DHCP上將首先DNS伺服器設置成新的。或者將這台DCIP改成將要替換的。原先的關機。
5、這個正常的步驟。

————————————————————————————

如果按照你的做法。除非人的環境，只有5台客戶機，一般沒那麼做的。完全建立一個域，所以客戶機需要重新加入域，重新設定。

通常我們的域有2台以上的DC才為合理。

參考：

http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/stepbystep/addomcon.mspx?pf=true

http://www.winsvr.org/bbs/index.php?showtopic=4292

7、AD域控伺服器選型

根據本人使用經驗，公司200人。主域（同時擔任文件伺服器）和備份域控，採用普通台式機：雙核CPU，4G內存，win2003操作系統，平均重啟時間30天，運行七年至今，未發生任何故障。

我的意思是想告訴你，只要雙核、4G以上內存，就能完美運行並支持200人左右的用戶運行。
所以，完全不用考慮配置問題。除非你將來有很大規模發展或者資金足夠多，那麼有多好的就買多好的。

8、搭建AD域對伺服器的硬體要求和軟體要求，求高手指教，急急急急急急急急、、、

域控對硬體沒什麼太大的要求，算是對硬體要求最低的了。

只需要裝伺服器版軟體就行了，比如2000 2003 2008，然後設為域控就行了。
100台機器左右的話普通奔4 512M內存 就行，