坚 强
    在巨大的变故面前，男人那紧抿的嘴角、滚动的喉结是坚强；而面对阴冷的诅咒、堆笑的奉承时，那冷静而超然的一笑也是坚强。
    “坚强”这个字眼我们太熟悉了，以至于这两个字已被人们的手指触摸得有些模糊。可是我们还是要固执不停地指点它，因为当今假冒坚强的男人太多。且不说文艺作品里拿沉默不语、表情冷酷冒充坚强，生活中又有多少自诩为能“齐家治国平天下”的男人，拿金钱美色一试，原来是一触即溃的银样爉枪头，足见保持坚强之不易。
    坚强需要信念，需要知识，需要磨难，需要平静。光是坚强这一项有多少男人敢把胸脯拍得“啪啪”响？不好说，然而它的高淘汰率是无疑的。在雌雄两性构成的世界军，男人没有资格和权力要求女人坚强，女人勉励自己要坚强是她们的高境界，是她们自己的事。而男人要坚强则是天赋责任，否则便不配做男人。
自 信
    选中它我们毫不犹豫。因为在“优秀男人”的根目录里，“自信”是不可或缺的子目录。
    可惜，有太多的男人误读了“自信”这个词条。他们把偏执当自信，不谐“兼听则明”的道理；把狂傲当自信，一叶障目，看不见“山外青山楼外楼”，看不见“遍地英雄下夕烟”；把鲁莽当自信，把拍板、决断作为心理满足，信手丢弃了冷静、缜密、周延这件护身金甲；把炫耀当自信，心甘情愿地陶醉在那些言不由衷的阿谀和别有他图的掌声之中；把幻想当自信，一心以为有“鸿鹄将至”，忘记了“一室不扫何以扫天下”的古训。
    不管有多少男人能安全泅渡过“自信”这道不算湍急的河流，我们依然一刻不能停止对自信的追求。自信是对自身价值的评估，是对自身能量的检测，是对前程的肯定，是对成功的把握。然而怪得很，这把打开辉煌的钥匙从不摆在明处，只有优秀的男人才找得到。
深 刻
    深刻是对事实的穿透，是对本质的凝视，是对表层和伪装的剥离，是对树根的挖掘，是对果核的解剖。深刻多是深沉而平静的，从不大吵大闹；深刻又往往朴素而直白，不喜欢浓妆艳抹和华丽的外表；深刻崇尚简洁而锋利，不愿意拖泥带水，也不肯模棱两可。
    所以如此推崇深刻，是因为深刻意味着突破，推动着文明，改写着历史。对自然观察深刻的，便是科学巨匠；对社会人生研究深刻的，便是哲人圣贤。要不得的是拿深刻做装饰、当摆设，诸如艰涩而苍白的格言。俗气而无聊的抒情，这些媚俗的“玩深沉”，是对深刻最粗暴的误导和亵读，在优秀的男人身上不应找到一丝一缕它们的影子。
豁 达
    豁达对一个男人意味着什么？意味着风度。胸怀、气质，意味着亲和力、感召力和凝聚力。豁达叫人彼此认同和理解，甚至化干戈为玉帛；豁达会使人安全感油然而生，心甘情愿解除心理武装，不再层层设防；豁达也会使人自责和忏悔，检讨反省自己哪一步出错了脚。
    豁达是斤斤计较、心胸狭窄的天敌。对来自无意间的伤害它是宽厚；对窃窃私语它是漠视；对敌意的攻击它是忍让；对相左的见解它是理解；对前辈它是尊敬；对后生它是呵护；对弱者它是爱心；对幼稚它是宽容。在这个世界上久演不衰的男女双人舞中，男人的豁达是女人心中最动听的华尔兹，只要这个旋律一直演奏下去，女人就不会脱掉那双红舞鞋，而终生成为你的红粉知己。

域控制器的任务除了存储Active Directory数据库之外，还负责存储和发布与组策略有关联的文件。Active Directory域控制器必须支持下级客户端，提供一个存储空间来获取Config.pol和NTConfig.pol中包含的经典脚本和系统策略。

正是由于sysvol系统卷所存在的特殊意义，系统管理员对sysvol的管理是一个非常重要的环节。

SYSVOL管理：

容量、性能、硬件维护、备份组策略对象

另外，还可以通过方法来更改sysvol文件夹的物理位置，以达到效果。

建议，系统管理员在做域控的时候，尽量考虑将系统分区空间做的大一点。

1、  活动目录资源

共享文件夹的发布：结合Active Directory权限分配的方便性，发布共享文件夹是一个很常见的使用，用户可以通过UNC(通用命名规则)来访问网络环境中所发布的共享文件。

DFS文件系统：即分布式文件系统，它不是一个真正的文件系统，不是NTFS或FAT文件分配表文件系统，它是把一个文件系统和共享文件(存在于多台服务器上)统一到单一的逻辑名称空间的后台文件处理系统。用户通过这个名字空间，可以对网络上所有的共享文件进行存储、访问，而不必去想像哪个资源在哪台服务器上。

2、  活动目录文件夹重定向

办公室内，秘书、助理、甚至有些老总，他们习惯于将文件存放于桌面、我的文档等地方，但是会经常由于一些误操作或是病毒原因，导致丢失重要的资料而无法补救。使用文件夹重定向功能，可以将桌面、我的文档等重定向到其它分区或者是网络服务器，可以很好的解决网络用户的文档存储问题。

3、  活动目录应用程序部署

当企业网络内有成百上千的机器，当每台机器上都要装上相同的软件时，如果网络管理员每一台每一台的安装，这肯定是个复杂而且费时的操作。这时，应用程序部署，可以帮你瞬间完成这个工作。

应用程序部署方法：

部署到用户帐户：

已发布：用户登陆时，在控制面板自行安装。

已指派：用户登陆时，在开始菜单和桌面都会有快捷方式。

   部署到计算机帐户：

   已指派：当计算机启动时，自动部署完成，用户登陆，已经可以正常使用。

应用程序部署包括一些常用软件的部署、OS补丁的部署、其它小工具部署。

常见应用程序部署格式：msi\zap两种，另外，还有msp\mst\ass等。一般情况下，常用软件，打包成MSI格式进行部署，而ZAP是一个文本类型文件格式，它主要用来部署微软件补丁。

另外，有一些小工具、小软件，还可以采用开机、关机脚本的方式进行部署。

1、  组策略功能

组策略不仅用于管理用户和客户机，还应用于成员服务器、域控制器。组策略的功能包括：部署软件、设置用户权力、软件限制策略、控制系统设置、通用桌面控制、设置开关机脚本等。

2、  组策略组件

组策略组件包括GPO、GPT、GPC、CSE、GPE、计算机策略和用户策略组件、组策略和本地策略组件。

GPO：组策略对象组件，站点、域、OU都可以连接到一个GPO，以方便管理，GPO由GPT和GPC组成。

GPT：组策略模板组件，它是基于文件的，存储在sysvol文件夹下，以.pol为后缀名。

GPC：组策略容器组件，GPC是一个AD对象，它列出了一个特定GPO关联的GPT名称。

GPE：组策略编辑组件，是一个MMC管理单元，用于创建和管理GPO。

3、  组策略委派

组策略委派是域环境下用到最多的一项操作，可以将一系统GPO连接在某个OU上，给OU指派相应管理权限。

指派GPT的访问权限，需要对sysvol\ad.com\polices文件夹进行权限分配。

4、  组策略管理工具

使用GPMC管理工具进行组策略的管理。

组策略是一个重要，不可或缺的安全管理手段，在本章的学习中，我了解到了很多关于组策略的实际应用，相信在以后的实际应用中，能够熟练掌握。

1、  组织单位概述

组织单位(OU)是一个容器对象。它不能包括一种对象，即其它域中的任何对象。

组织单位和组都是容器，都是Active Directory的一种对象。一个用户帐户只能存在于一个组织单位中。而用户可以在不同的组中，就具有不同的权限，用户所具备的权限就是不同组的权限的交集。组织单位体现管理模型，而组是权力和权限的集合。

2、  组织单位规划

微软为了适应企业对目录结构的不同需求，提出了7种不同的基本组织单位结构模型：地理模型、对象模型、以成本为中心的模型、项目模型、业务模型、管理模型和混合模型。企业管理员应该根据企业的实际IT管理模型来创建组织单元。

一般常用的是IT规划管理模型和混合模型。

3、  组织单位应用

组织单位应用集中在组策略的创建、重命名、移动以及组织单位中用户、组等的创建、移动、修改等操作。

1、  组织单位(OU)

组织单位(OU)是一种特殊类型的目录对象，可在其中放置用户、组、计算机、共享文件夹以及一个域内的其它组织单位。

管理员建立组织单位，实际上是创建一个管理模型，而不是企业的业务模型。

组织单位是能够向其委派权限和应用组策略的最小Windows容器。委派和组策略都是Windows Server 2003操作系统的安全功能。

2、  委派分类

委派分为受信任委派和受限委派。

而在默认状态下，不可能通过用户帐户属性来查看其[委派]选项卡，因为默认是不存在的。需要使用Support Tools工具包中有adsiedit.msc来完成。

3、  创建个人委派控制台

在针对某个OU或者是域做好委派功能后，往往，需要给具有管理权限的帐户，单独配置一个管理控制台，这时候，我们可以使用MMC(Microsoft Management Console)来创建。

全局编录功能概述

全局编录服务起有以下几方面的作用：

（1）       存储对象信息副本：方便用户在林中搜索时，可心获得最快而又最少的网络通信。

（2）       存储通用组成员信息：快速登陆。

（3）       提供用户主体名称身份验证：用户使用UPN（形如admin@book.com邮箱形式）来决定登陆到哪个域。

（4）       验证林内的对象参考：域控制器使用全局编录验证对林内其他域的对象的参考。

查看全局编录方式

使用Active Directory站点和服务来查看

使用nltest/dsgetdc命令查看

使用VBS脚本查看

全局编录服务器规划原则

全局编录服务是存储的林中所有域控制器的副本，需要很大的存储空间，并且全局编录提供了用户登陆、搜索等各方面功能，在对企业网络进行规划时，必须对全局编录有一个合理的规划：

每个站点拥有全局编录服务器；

每个地理区域拥有全局编录服务器；

全局编录的提升、验证提升、验证正常工作

提升全部编录是一个很简单的过程，只需要在AD站点和服务的NTDS设置中，将GC打上勾即可，但如何确定该提升已经完成，即全局编录服务器已经起作用，是一个非常重要的环节。

通过ldp命令来查看IsGlobalCatalogReady属性和查看DNS Server的SRV记录来确定是否已经提升成功；

通过查看注册表的键值(hkey_local_machine\system\currentset\serives\ntds\parameters\GlobalCatalog Promotion Complete)和端口（3268/3269）来查看是否正在使用中。

域功能：

域功能激活只影响整个域和该域的功能。Windows Server 2003功能级别支持4种域功能级别，以下列出4种域功能级别及其相应的功能和所支持的域控制器。

1 Windows 2000混合模式（默认）。

网络环境中使用2000和NT的任意组合系统。也适合于2003。

  激活的功能包括本地和全局组并支持全局编录。

2 Windows 2000本机模式。

域中域控制器可以包含2000和2003。

  激活的功能包括组嵌套、通用组、SidHistory、安全组与通讯组之间的转换、可以通过提高目录林级别的设置来提高域级别。

3 Windows Server 2003临时模式。

支持NT和2003域控制器。

4 Windows Server 2003。

支持2003域控制器。

  激活的功能包括域控制器重命名、登陆时间戳属性更新与复制、约束委派、可以重定向用户和计算机容器。

当域功能级别被提升后（RAISE），运行早期版本的域控制器无法加入域。

林功能：

域林功能激活所有的域都具有的功能。Windows Server 2003有3种功能级别。

1 Windows 2000默认。

  支持NT、2000、2003。

2 Windows Server 2003临时模式。

  支持NT、2003。

3 Windows Server 2003。

  支持2003。

四种域功能级别的评估，系统管理员可由此选择公司域级别。

1 Windows 2000混合模式

  对于那些并没有完全淘汰NT域控制器的企业，这种域级别最为合适

    但目前微软正在慢慢减少对NT的支持服务

2 Windows 2000模式

  如果企业内部NT已经全部升级到2000以上，适合此级别

3 Windows Server 2003临时模式

  适合于直接想将NT域升级为2003域的企业。

4 Windows Server 2003

  对于一些小型公司或企业，如果打算在转换林之前先将域转换为Windows Server 2003功能级别，那么，最适合选择该模式。