Escolar Documentos
Profissional Documentos
Cultura Documentos
U ovoj knjizi se izrazi familija Windows Server 2003 i Windows Server 2003 odnose na grupu od etiri proizvoda: Microsoft Windows Server 2003,
Standard Edition; Microsoft Windows Server 2003, Enterprise Edition; Microsoft Windows Server 2003, Datacenter Edition; i Microsoft Windows Server 2003, Web Edition. Meutim, Windows Server 2003, Web Edition samo delimino podrava
upotrebu servisa Active Directory. Windows Server 2003, Web Edition moe biti server lan u mrei koju omoguava Active Directory, ali se ne moe koristiti kao Active
Directory kontroler domena.
1-3
1-4
Poglavlje 1
1-5
?
tampa 1
Server 2
Slika 1-1
Server
direktorijuma
Ime: Server 1
OS: Windows 2000
Tip: Server datoteke
Lokacija: Prvi sprat
Ime: Server 2
OS: Novell NetWare 4.0
Tip: Server datoteke
Lokacija: Drugi sprat
tampa
Ime: tampa 1
Tip: HP-4Si
U boji: Da
Dupleks: Da
Lokacija: Trei sprat
1-6
Poglavlje 1
Centralizovano skladite podataka Svi podaci u servisu Active Directory nalaze se u jednom, distribuiranom skladitu podataka, ime je omoguen lak pristup informacijama sa bilo koje lokacije. Jedno distribuirano
skladite podataka zahteva manje administriranja i dupliranja i poboljava
raspoloivost i organizaciju podataka.
Prilagodljivost Active Directory omoguava prilagoavanje direktorijuma kako bi se zadovoljili poslovni i mreni zahtevi preko konfigurisanja
domena i stabala i smetanja kontrolera domena. Active Directory dozvoljava milione objekata po domenu, a za ubrzavanje rada koristi tehnologiju
indeksiranja i napredne tehnike repliciranja.
1-7
Direktorijumski omoguene aplikacije i infrastruktura Funkcije servisa Active Directory olakavaju konfigurisanje i upravljanje aplikacijama i
drugim direktorijumski omoguenim mrenim komponentama. Osim toga,
Active Directory daje mono razvojno okruenje preko interfejsa servisa
Active Directory (ADSI).
Videti takoe
Za itaoce koji ve poznaju svojstva servisa Active Directory za Windows 2000, detaljan spisak novih svojstava koja Active Directory ima u familiji Windows Server 2003 nalazi se u dodatku A.
1-8
Poglavlje 1
Aktivni direktorijum
Atributi
Ime raunara
Opis
Raunari
Comp1
Comp2
Raunari
Comp3
Atributi
Korisnici
Vrednosti
atributa
Jane Doe
Korisnici
Ime
Prezime
Ime za
prijavljivanje
John Doe
Neki objekti, poznati pod imenom kontejneri, mogu sadravati druge objekte.
Na primer, domen je objekat kontejner koji sadri objekte kao to su korisniki i raunarski nalozi. Na slici 1-2, omotnica Users je kontejner koji sadri
objekte korisnikih naloga.
Parcijalna lista
objekata klase eme
1-9
Parcijalna lista
objekata atributa eme
Definicija objekta
klase: Raunar eme
Raunar
Grupa
Korisnik
Slika 1-3
Opis
Zajedniko ime
X.500 0ID
Tip klase
Kategorija
Definicija objekta
atributa: Id kategorije
isticanjeNaloga
istorijaImenaNaloga
CSAgregatTokenRingPoKorisniku
katalozi
kategorije
ID kategorije
Opis
Zajedniko ime
X.500 0ID
Ogranienja
sintaksnog opsega
Objekti klase eme opisuju mogue objekte servisa Active Directory koji mogu
biti stvoreni. Klasa eme funkcionie kao ablon za pravljenje novih objekata
servisa Active Directory. Svaka klasa eme je zbirka objekata atributa eme.
Kada napravite klasu eme, atributi eme uskladitavaju informacije koje opisuju objekat. Na primer, klasu User sainjavaju mnogi atributi eme, ukljuujui adresu mree i matini direktorijum. Svaki objekat u servisu Active
Directory je jedan primerak objekta klase eme.
Objekti atributa eme definiu objekte klase eme sa kojima su povezani.
Svaki atribut eme definie se samo jedanput, a moe biti upotrebljen u mnogim klasama eme. Na primer, atribut Description se koristi u mnogim klasama
eme, ali se definie samo jedanput u emi, ime se obezbeuje doslednost.
Skup osnovnih klasa eme i atributa eme isporuuje se uz Active Directory.
Iskusni razvijaoci i administratori mree mogu dinamiki da proire emu definisanjem novih klasa i atributa za postojee klase. Na primer, ako treba da
obezbedite informacije o korisnicima koje nisu definisane u emi, morate
proiriti emu za klasu User. Meutim, proirivanje eme je napredna operacija
koja moe da ima ozbiljne posledice. Poto ema ne moe biti obrisana, nego
samo deaktivirana i automatski se replicira, morate paljivo uraditi plan i pripremu pre proirivanje eme.
1-10
Poglavlje 1
Logike strukture
U servisu Active Directory organizujete resurse u logiku strukturu strukturu
koja odraava organizacioni model pomou domena, organizacionih jedinica, stabala i uma. Logiko grupisanje resursa vam omoguava da lako
naete resurs po imenu, umesto da pamtite njegovu fiziku lokaciju. Budui
da resurse grupiete logiki, Active Directory ini fiziku strukturu mree transparentnom za korisnike. Slika 1-4 ilustruje odnos izmeu domena, organizacionih jedinica, stabala i uma u servisu Active Directory.
uma
OU
Domen
Domen
Domen
Domen
Domen
OU
OU
OU
OU
OU
Stablo
OU
Slika 1-4
Directory
1-11
domena ili vie njih. Domen moe da se prostire ire od jedne fizike lokacije.
Domeni dele sledee karakteristike:
Svi objekti mree postoje u okviru domena, a svaki domen uva informacije
samo o objektima koji se u njemu nalaze.
1-12
Poglavlje 1
Orders OU
Admin
Korisnici
US
Datoteke
ORDERS
US
DISP
tampai
Ako podadministrator kasnije bude morao da pravi korisnike naloge u organizacionim jedinicama US, Orders i Disp, mogli biste mu odobriti odgovarajue dozvole posebno u okviru svake OU. Meutim, budui da su OU Orders
i Disp ugneene u OU US, efikasniji nain bi bio da se dozvole odobre
jedanput u OU US, a zatim da ih OU Orders i Disp naslede. Podrazumeva se
da svi podreeni objekti (OU Orders i Disp) unutar servisa Active Directory
nasleuju dozvole od nadreenih objekata (OU US). Davanje dozvola na
viem nivou i korienje svojstva nasleivanja moe da smanji zadatke administriranja.
Stabla Stablo je grupa ili hijerarhijsko ureenje jednog domena ili vie
domena Windows Servera 2003 koja se pravi dodavanjem podreenih
domena postojeem nadreenom domenu. Domeni u stablu dele susedni prostor imena i hijerarhijsku strukturu imenovanja. Prostori imena su detaljno
obraeni u sledeoj lekciji. Prema DNS standardima, ime podreenog domena
je relativno ime koje ini ime tog podreenog domena kome je dodato ime
1-13
uk.microsoft.com
us.microsoft.com
sls.uk.microsoft.com
Slika 1-6
Stablo domena
Kao administrator, morate napraviti strukturu stabla koja e odraavati organizaciju vae kompanije. Videti lekciju 3, koja sadri osnove dizajniranja stabala.
Detalje o pravljenju stabala moete proitati u poglavlju 4.
ume uma je grupa ili hijerarhijsko ureenje jednog odvojenog i potpuno
nezavisnog stabala domena ili vie njih. Kao takve, ume imaju sledee karakteristike:
1-14
Poglavlje 1
microsoft.com
msn.com
us.microsoft.com
uk.microsoft.com
us.msn.com
uk.msn.com
sls.uk.microsoft.com
sls.uk.msn.com
Fizike strukture
Fizike komponente servisa Active Directory su lokacije i kontroleri domena.
Kao administrator, vi koristite ove komponente za razvijanje strukture direktorijuma koja odraava fiziku strukturu vae organizacije.
Lokacije Lokacija je kombinacija jedne IP podmree, ili vie njih, povezanih
visokopouzdanom i brzom vezom u cilju lokalizovanja to je mogue vie
mrenog saobraaja. Lokacija obino ima iste granice kao lokalna raunarska
mrea (LAN). Kada grupiete podmree u mrei, treba da kombinujete samo
podmree koje imaju brze, jeftine i pouzdane mrene veze izmeu sebe. Pod
brzom mrenom vezom se podrazumeva protok od najmanje 512 kilobita u
sekundi (Kbps). Raspoloivi propusni opseg (prosena vrednost propusnog
opsega koji je na raspolaganju nakon to se obradi uobiajeni mreni saobraaj) od vie od 128 Kbps dovoljan je za jednu lokaciju.
1-15
Kod servisa Active Directory, lokacije nisu deo prostora imena. Kada pretraujete logiki prostor imena, vidite raunare i korisnike grupisane u
domene i organizacione jedinice, a ne lokacije. Lokacije sadre samo objekte
raunara i veza koji se koriste za konfigurisanje replikacije izmeu lokacija.
Kao to je prikazano na slici 1-8, jedan domen se moe prostirati na jednoj
geografskoj lokaciji ili na vie njih, a jedna lokacija moe sadrati korisnike
naloge i raunare koji pripadaju razliitim domenima.
Lokacija A
Jedan domen u jednoj lokaciji
Lokacija A
Jedan domen u vie lokacija
Lokacija B
Lokacija A
Slika 1-8
Kao administrator, morate napraviti strukturu lokacije koja e odraavati organizaciju vae kompanije. Proitajte lekciju 3 kako biste nauili osnove dizajna
lokacije. Detalje o konfigurisanju lokacija moete proitati u poglavlju 5.
1-16
Poglavlje 1
Kontroleri domena u jednom domenu automatski repliciraju direktorijumske informacije svakog objekta u domenu svim ostalim objektima. Kada
izvrite neku akciju koja uzrokuje auriranje servisa Active Directory, vi u
stvari pravite izmenu na jednom od kontrolera domena. Zatim taj kontroler
domena replicira izmenu svim drugim kontrolerima domena unutar
domena. Replikaciju saobraaja izmeu kontrolera domena u mrei
moete kontrolisati odreivanjem uestalosti repliciranja i koliine podataka koju svaki kontroler domena replicira odjedanput.
Kontroleri domena odmah repliciraju neke vane izmene, kao to je onemoguavanje korisnikog naloga.
Kontroleri domena detektuju kolizije koje mogu nastati kada jedan kontroler domena izmeni neki atribut pre no to se izmena tog atributa u potpunosti reprodukuje na drugi kontroler domena. Kolizije se detektuju
poreenjem svojstva broja verzije svakog atributa, koji se posebno dodeljuje atributu pri inicijalizaciji nakon pravljenja atributa. Active Directory
razreava koliziju repliciranjem izmenjenog atributa sa viim brojem verzije
svojstva.
1-17
Postojanje vie od jednog kontrolera domena u domenu obezbeuje otpornost na greke. Ako je jedan kontroler domena oflajn, drugi kontroler
domena moe da obezbedi sve potrebne funkcije, kao to je beleenje
izmena u Active Directory.
Kontroleri domena upravljaju svim aspektima korisnikih interakcija u
domenu, kao to je lociranje objekata servisa Active Directory i
potvrivanje korisnikih pokuaja prijavljivanja.
Kao administrator, morate postaviti kontrolere domena na lokacije tako da
odraavaju fiziku strukturu vae organizacije i optimiziraju repliciranje i proveru autentinosti. Videti lekciju 3 koja sadri osnove smetanja kontrolera
domena. Detalje o stvaranju kontrolera domena proitajte u poglavlju 2.
Omoguava korisniku da se prijavi na mreu tako to e pri iniciranju procesa prijavljivanja kontroleru domena dati informacije o lanstvu u univerzalnoj grupi.
1-18
Poglavlje 1
Kada se korisnik prijavljuje na mreu, globalni katalog daje informacije o lanstvu u univerzalnoj grupi za njegov nalog kontroleru domena koji obrauje
informacije o prijavljivanju korisnika. Ako postoji samo jedan kontroler
domena u domenu, na njemu se nalazi server globalnog kataloga. Ako ima
vie kontrolera domena u mrei, jedan od njih je konfigurisan da uva globalni katalog. Ako globalni katalog nije na raspolaganju kada korisnik inicira
proces prijavljivanja na mreu, korisnik e moi da se prijavi samo na lokalni
raunar, osim ako je lokacija posebno konfigurisana da keira podatke pretraivanja o lanstvu u univerzalnoj grupi pri obradi pokuaja prijavljivanja
korisnika.
Savet Ako je korisnik lan grupe Domain Admins, moi e da se prijavi na mreu
ak i kada globalni katalog nije na raspolaganju.
1-19
Domen B
Klijent
DC3
DC1
1
4
2
DC2
DC3
Server
globalnog
kataloga DC2
Server
globalnog
kataloga
Repliciranje sa vie
glavnih primeraka
Globalni
katalog
DC1
Globalni
katalog
Slika 1-9
Obnavljanje lekcije
Pitanja koja slede imaju za cilj da ponove kljune informacije koje su prezentirane u ovoj lekciji. Ako ne umete da odgovorite na neko pitanje, ponovo prouite lekciju, a zatim, ponovo pokuajte da odgovorite na to pitanje. Odgovori
na pitanja mogu se nai u odeljku Pitanja i odgovori na kraju ovog poglavlja.
1. Kako se servis direktorijuma razlikuje od direktorijuma?
_______________________________________________________________
_______________________________________________________________
2. Na koji nain je servis Active Directory prilagodljiv?
_______________________________________________________________
_______________________________________________________________
1-20
Poglavlje 1
Pregled lekcije
1-21
Repliciranje
Korisnicima i servisima mora biti omogueno pristupanje informacijama direktorijuma u svako doba sa svakog raunara u stablu domena ili umi. Repliciranje obezbeuje da se izmene jednog kontrolera domena reflektuju na sve
kontrolere domena u okviru domena. Informacije direktorijuma se repliciraju
na kontrolerima domena kako unutar, tako i izmeu lokacija.
Particija konfiguracije Ova particija opisuje logiku strukturu postavljanja, ukljuujui podatke kao to su struktura domena ili topologija repliciranja. Ovi podaci su zajedniki za sve domene u umi i repliciraju se na
svim kontrolerima domena u umi.
1-22
Poglavlje 1
Deliminu repliku koja sadri esto koriene atribute za sve objekte direktorijuma u umi (repliciranje samo izmeu servera globalnog kataloga).
1-23
DC4
DC2
Kvar na kontroleru
domena 3
Prsten repliciranja
je prekinut
Prsten repliciranja
je prekinut
DC3
1-24
Poglavlje 1
Kada se lokaciji doda vie od sedam kontrolera domena, KCC pravi dodatne
objekte konekcije preko prstenaste strukture tako da, ako se pojavi promena
na nekom kontroleru domena, replikacijski partneri budu u mogunosti da
obezbede da nijedan kontroler domena ne bude vie od tri skoka replikacije
udaljen od drugoga, kao to je prikazano na slici 1-11. Ove konekcije za optimiziranje prave se sluajnim redosledom i ne moraju biti napravljene na svakom kontroleru domena.
Veze topologije repliciranja
DC1
DC4
DC2
Kvar na kontroleru
domena 3
Prsten repliciranja
je prekinut
Prsten repliciranja
je prekinut
DC3
Slika 1-11 Maksimalno tri skoka replikacije izmeu kontrolera domena, zahvaljujui tome
to je KCC dodao objekte konekcije.
1-25
Lokacija A
Veza lokacija AB
Veza lokacija CA
Lokacija B
Lokacija C
Veza lokacija BC
DC1
DC2
Odnosi poverenja
Odnos poverenja je veza izmeu dva domena u kojoj domen koji ima poverenje priznaje proveru autentinosti prijavljivanja iz domena u koji ima poverenje, kao to je prikazano na slici 1-13. Provera autentinosti korisnika i
aplikacija vri se u familiji Windows Servera 2003 pomou jednog protokola
poverenja, ili pomou dva: Kerberos verzija 5 ili NT LAN Manager (NTLM).
Protokol Kerberos verzija 5 je podrazumevani protokol za raunare na kojima
se izvrava Windows Server 2003. Ako bilo koji raunar koji uestvuje u transakciji ne podrava Kerberos verziju 5, koristi se protokol NTLM. Odnos poverenja je dozvoljen i sa svakim podrujem MIT Kerberos verzije 5. Odnos
poverenja ine dva domena domen koji ima poverenje i domen u koga se
ima poverenje.
Smer pristupa
Smer poverenja
Slika 1-13 Domeni koji poklanjaju i imaju poverenje povezani jednosmernim poverenjem
1-26
Poglavlje 1
Preica poverenja Preica poverenja (engl. shortcut trust) mora biti eksplicitno napravljena od strane administratora sistema izmeu dva domena u
umi. Ovo poverenje se koristi za poboljanje vremena potrebnog za prijavljivanje korisnika, koje moe biti predugo kada su dva domena
1-27
meusobno logiki udaljena u hijerarhiji ume ili stabla. Poverenje je tranzitivno, a moe biti jednosmerno ili dvosmerno.
uma sa dva stabla
Domen A
Domen 1
Domen B
Domen D
Domen C
Domen 2
Domen E
Odnos poverenje ume Odnos poverenja ume (engl. forest trust) administrator sistema mora eksplicitno da napravi izmeu dva osnovna domena
ume. Ovo poverenje omoguava svim domenima u jednoj umi da imaju
tranzitivno poverenje u sve domene u drugoj umi. Poverenje ume nije tranzitivno na tri ili vie uma. Na primer, uma A ima poverenje u umu B, a
uma B ima poverenje u umu C. Nema odnosa poverenja izmeu ume A i
ume C. Poverenje je tranzitivno samo izmeu dve ume, a moe biti jednosmerno ili dvosmerno. Poverenja ume su na raspolaganju samo kada je
uma na funkcionalnom nivou Windows Server 2003.
Poverenja u podruju Poverenje u podruju (engl. realm trust) administrator sistema mora eksplicitno da napravi izmeu podruja van Windows
Kerberosa i domena Windows Server 2003. Ovo poverenje obezbeuje
kompatibilnost izmeu domena Windows Server 2003 i svakog podruja
upotrebljenog u primenama verzije 5 Kerberosa. Poverenje moe biti tranzitivno ili netranzitivno i jednosmerno ili dvosmerno.
1-28
Poglavlje 1
1-29
Grupne politike
Grupne politike su zbirke korisnikih i raunarskih parametara konfiguracije koji
se mogu povezati sa raunarima, lokacijama, domenima i organizacionim jedinicama da bi odredili ponaanje radne povrine korisnika. Na primer, korienjem
grupnih politika moete postaviti koji programi e korisniku biti na raspolaganju, koji programi e se pojaviti na radnoj povrini i opcije menija Start.
Da biste napravili odreenu konfiguraciju radne povrine za konkretnu grupu
korisnika, napraviete objekte grupne politike (Group Policy Object, GPO).
GPO je zbirka podeavanja grupne politike. Svaki raunar koji radi pod Windows Serverom 2003 ima jedan lokalni GPO, a povrh toga moe biti podloan
raznim nelokalnim GPO-ima (baziranim na servisu Active Directory). Nelokalni GPO-i preklapaju lokalne. Nelokalni GPO-i su povezani sa objektima
servisa Active Directory (lokacijama, domenima ili organizacionim jedinicama). Nelokalni GPO-i mogu biti primenjeni ili na korisnike (nezavisno od
toga na kom raunaru su prijavljeni) ili raunare (nezavisno od toga ko je na
njima prijavljen). U skladu sa svojstvima nasleivanja u servisu Active Directory, nelokalni GPO-i se primenjuju hijerarhijski od najmanje restriktivne
grupe (lokacije) do najrestriktivnije grupe (OU), i kumulativni su.
1-30
Poglavlje 1
OU u hijerarhiji servisa Active Directory moe biti povezan jedan, vie ili nijedan GPO. Ako je nekoliko grupnih politika povezano sa nekom OU, one
se primenjuju sinhrono, redosledom koji odredi administrator.
Slika 1-15 prikazuje kako se grupna politika primenjuje na primeru organizacionih jedinica Marketing i Servers.
Domen
A2
microsoft.com
Site
A3
OUs
Accounts
Headquarters
Resources
Marketing
Desktops
A4
A5
A6
Servers
1-31
DNS
DNS je servis koji se koristi u TCP/IP mreama, kao to je Internet, za lociranje
raunara i usluga pomou lako itljivih imena. DNS obezbeuje metod imenovanja raunara i mrenih usluga pomou hijerarhije domena. Kada korisnik
unese lako itljivo DNS ime u aplikaciju, DNS servisi mogu da razree to ime u
niz drugih informacija koje su sa njim povezane, kao to je IP adresa. Na primer, veini korisnika koji ele da lociraju raunar na mrei lako je da zapamte
i naue ime kao to je example.microsoft.com. Meutim, raunari komuniciraju preko mree pomou numerikih adresa. DNS obezbeuje nain da se
lako itljivo ime raunara ili usluge mapira u formi njegove numerike adrese.
Ako ste koristili pretraiva Weba, koristili ste DNS.
Active Directory koristi DNS kao servis za imenovanje i lociranje domena.
DNS ima sledee prednosti:
Videti takoe
Imenovanje objekata
Budui da je Active Directory servis direktorijuma koji podrava LDAP, klijenti
mree koriste LDAP za zadavanje upita bazi podataka Active Directory. Svaki
objekat u servisu Active Directory identifikuje se po imenu, a LDAP standardi
odreuju kako e objekti biti imenovani. Active Directory koristi niz konvencija za imenovanje objekata: karakteristina imena, relativna karakteristina
imena, globalno jedinstvene identifikatore i glavna korisnika imena.
Videti takoe Da biste saznali vie o LDAP-u, pokrenite mainu za pretraivanje
na Internetu i uradite pretraivanje na RFC 1779, RFC 2247 i RFC 2251. RFC 1779
nosi naziv A String Representation of Distinguished Names, RFC 2247 Using
Domains in LDAP/X.500 Distinguished Names, a RFC 2251 Lightweight Directory
Access Protocol (v3).
1-32
Poglavlje 1
Karakteristino ime
Svaki objekat u servisu Active Directory ima karakteristino ime (distinguished name, DN) koje jedinstveno identifikuje objekat i sadri informaciju koja
je dovoljna za uzimanje objekta iz direktorijuma. DN ukljuuje ime domena
koji sadri objekat, kao i kompletnu putanju kroz hijerarhiju kontejnera do
objekta. Na primer, sledei DN identifikuje korisniki objekat Scott Cooper u
domenu microsoft.com:
CN=Scott Cooper,OU=Promotions,OU=Marketing,DC=Microsoft,DC=Com
1-33
Administrativna kategorija
Konkretni zadaci
Instaliranje i konfigurisanje
servisa Active Directory
Instaliranje i upravljanje
domenima, stablima i umama
Konfigurisanje lokacija i
upravljanje repliciranjem
Primenjivanje strukture OU
Administriranje korisnikih
naloga
1-34
Poglavlje 1
Tabela 1-1
Administrativna kategorija
Konkretni zadaci
Locirati objekte servisa Active Directory. Publikovati resurse u servisu Active Directory. Kontrolisati pristup objektima Active Directory. Delegirati
administrativnu kontrolu nad objektima Active
Directory. Premestiti objekte Active Directory.
Upotrebiti skriptovanje za rukovanje objektima
Active Directory.
Administriranje bezbednosti
servisa Active Directory
Obnavljanje lekcije
Pitanja koja slede imaju za cilj da ponove kljune informacije koje su prezentirane u ovoj lekciji. Ako ne umete da odgovorite na neko pitanje, ponovo prouite lekciju, a zatim, pokuajte da odgovorite na to pitanje. Odgovori na
pitanja mogu se nai u odeljku Pitanja i odgovori na kraju ovog poglavlja.
1. Navedite etiri particije direktorijuma u bazi podataka Active Directory.
_______________________________________________________________
_______________________________________________________________
1-35
2. ta je funkcija KCC-a?
_______________________________________________________________
_______________________________________________________________
3. Navedite est tipova odnosa poverenja koji se koriste u servisu Active Directory.
_______________________________________________________________
_______________________________________________________________
4. ta je upravljanje promenama i konfigurisanjem? ta je IntelliMirror?
_______________________________________________________________
_______________________________________________________________
5. Objasnite funkciju grupnih politika.
_______________________________________________________________
_______________________________________________________________
6. Definiite svako od sledeih imena: DN, RDN, GUID, UPN.
_______________________________________________________________
_______________________________________________________________
Pregled lekcije
Active Directory replicira informacije na dva naina: intrasajt (unutar lokacije) i intersajt (izmeu lokacija).
Odnos poverenja je veza izmeu dva domena, u kojoj domen koji ima
poverenje priznaje proveru autentinosti prijavljivanja iz domena u koji ima
poverenje. Windows Server 2003 podrava sledee odnose poverenja:
poverenje na nivou korena stabala, poverenje roditelj-dete, preice poverenja, spoljni odnos poverenja, poverenje ume i poverenje u podruju.
Grupne politike su kolekcije korisnikih i raunarskih parametara konfiguracije koji se mogu povezati sa raunarima, lokacijama, domenima i organizacionim jedinicama da bi odredili ponaanje radne povrine korisnika.
GPO je kolekcija parametara grupne politike.