活动目录维护

内容回顾林中信任关系的特点是什么？ 林中信任关系的特点是什么？ 林中默认的信任关系有哪些？ 林中默认的信任关系有哪些？ 外部信任的特点是什么？ 外部信任的特点是什么？ 林信任的特点是什么？ 林信任的特点是什么？

技能展示理解操作主机的概念 掌握操作主机的转移 了解操作主机的占用 理解非授权还原和授权还原 掌握授权还原的操作

本章结构操作主机角色 操作主机

转移操作主机角色

占用操作主机 角色 活动目录维护 备份活动目录数据库

活动目录数据还原

非授权还原 授权还原

操作主机角色FSMO,灵活单操作主机角色，简称操作主机角 ，灵活单操作主机角色， 色域环境中同时兼任某一特定功能的域控制器主机

操作主机作用AD以单主机方式对某些对象执行更新 以单主机方式对某些对象执行更新 更新成功后复制到其它DC 更新成功后复制到其它 防止域中的更新冲突

操作主机角色林范围架构主机 域命名主机

域范围主域控制器(PDC)仿真主机 仿真主机 主域控制器 相对ID(RID)主机 相对 主机 基础结构主机

架构主机架构主机(Schema Master)控制整个林的架 架构主机( ) 构的全部更新 在整个林中， 在整个林中，只能有一个架构主机 架构主机管理工具默认没有安装 查看架构主机注册架构管理工具regsvr32 schmmgmt.dll 注册架构管理工具 使用mmc添加【Active Directory架构】 添加【 架构】 使用 添加 架构 查看架构主机

域命名主机域命名主机(Domain Naming Master)控制林 域命名主机( ) 中域的添加或删除， 中域的添加或删除，可以防止林中的域名重复 在整个林中只能有一个域命名主机 使用【 域和信任关系】 使用【Active Directory域和信任关系】查看域 域和信任关系 命名主机

PDC仿真主机 仿真主机林中的每个域中只能有一个PDC仿真主机(PDC 仿真主机( 林中的每个域中只能有一个 仿真主机 Emulator Master) ) PDC 仿真主机的主要作用管理来自客户端(Windows NT/95/98)的密码更改 管理来自客户端( ) 最小化密码变化的复制等待时间 同步整个域内所有域控制器上的时间

使用【Active Directory 用户和计算机】查看 用户和计算机】 使用【 PDC主机 主机

RID主机 主机(RID Master) 主机RID主机将相对 (RID)序 主机将相对ID( 主机将相对 ) 列分配给域中每个域控制器对象的SID=域SID+RID 域 对象的

林中的每个域中只能有一个 RID主机 主机 使用【 使用【Active Directory用户 用户 和计算机】查看RID主机 和计算机】查看 主机

基础结构主机负责更新从它所在的域中的对象到其他域中对象 的引用 林中的每

个域只能有一个基础结构主机 使用基础结构主机的要点不应将基础结构主机角色指派给全局编录所在的域控 制器， 制器，除非域中只有一个域控制器 如果域中的所有域控制器都存有全局编录 ,则无论哪个 则无论哪个 域控制器承担基础结构主机角色均不重要 负责在重命名或更改组成员时更新“组到用户” 负责在重命名或更改组成员时更新“组到用户”的引 用

使用【Active Directory用户和计算机】查看基 用户和计算机】 使用【 用户和计算机 础结构主机11

操作主机角色总结林中第一台域控制器默认拥有林范围的两种角色 域中第一台域控制器默认拥有域范围的三种角色

转移操作主机角色现操作主机角色的域控制配置较低，需要转移操 现操作主机角色的域控制配置较低， 作主机角色到配置较高的DC 作主机角色到配置较高的图形界面转移 通过“ 通过“ntdsutil”命令转移 命令转移在“命令提示符”中键入“ntdsutil” 命令提示符”中键入“ 键入“ 键入“roles” 键入“connection” 键入“ connect to server 目标 的FQDN 目标DC的 键入“ 键入“quit” 键入“ 操作主机角色” 键入“transfer 操作主机角色”

转移操作主机角色总结当前操作主机和目标操作主机必需同时在线 转移角色过程中不会有数据丢失 转移操作主机的过程是可逆的 执行者必须具有相应权限角色 架构主机 域命名主机 RID主机 PDC仿真主机 基础结构主机 有权限的组 Schema Admins Enterprise Admins Domain Admins Domain Admins Domain Admins

占用操作主机角色如果操作主机角色所在的域控制器宕机，并且无 如果操作主机角色所在的域控制器宕机， 法恢复， 法恢复，如何解决

DC

占用操作主机角色只有在原操作主机永远无法再提供服务时，才执 只有在原操作主机永远无法再提供服务时， 行占用操作主机角色 与转移一样， 与转移一样，执行者需要相应权限 只能使用命令行方式占用在“命令提示符”中键入“ntdsutil” 命令提示符”中键入“ 键入“ 键入“roles” 键入“connection” 键入“ connect to server 该DC的FQDN 的 键入“ 键入“quit” 键入“ 操作主机角色” 键入“seize 操作主机角色”