windows 2008 AD 操做主机彻底攻略

     在windows 2003 和windows 2008的域环境下,Active Directory 支持域中全部域控制器之间的目录数据存储的多主机复制，所以域中的全部域控制器实质上都是对等的,并无主域控与辅助域控之分。可是，有些更改不适合使用多主机复制执行，所以对于这种类型的更改，都有一个称为“操做主机(FSMO)”的域控制器接收此类更改的请求。对应于处理请求内容的不一样,AD内操做主机有如下五种角色:
   1.架构主机 schema master
   2.域命名主机 domain naming master
   3.相对标识号 (RID) 主机 RID master
   4.主域控制器仿真主机 (PDCE)
   5.基础结构主机 infrastructure master

   下面咱们就这五种操做主机的做用范围、功能、查看、传送及占用操做主机的方法来进行了解：

1、做用范围：

林范围内操做主机有：架构主机和域命名主机，这两种操做主机森林范围内惟一，也就是说若是一个森林内有10个域，那么这总共10个域只会有一个架构主机和域命名主机，一般这两种操做主机角色默认存在于森林根域的第一台域控内。

域范围内操做主机有：RID主机、PDC仿真主机、基础结构主机，这三种主机域范围惟一，若是森林范围内有10个域，那每一个域中都会存在这三种主机。每一个域中的这三种操做主机角色默认存在于该域的第一台域控内。

2、功能：

1.架构主机：负责森林范围内对架构的更新和修改。简单来摔UB担褪歉涸餉D中对象的增长、删除以及属性的修改。

好比林中常见对象有用户、组、打印机等，经过对AD架构的修改，能够去删除一个已经存在的对象，如将打印机从AD架构中删除，那么用户在AD中将没法看到打印机对象。

2.域命名主机：负责林中域的添加和删除。

在森林内建立新域时，会向域命名主机提交请求，查看是否在林中已有同名对象，如没有同名对象才能建立该域，并在域命名主机内作相应记录。

3.RID主机：负责将相对ID号分配给域中每一个域控制器。

在域中建立用户、组或计算机帐户时须要有一个惟一的sid,若是存在sid主机，sid主机每次向域内全部域控分发一批彻底不一样的sid号，再由域控器将本身获得的sid号分配给在该域控上建立的对象，以此来控制域内建立对象不会出现sid重复的状况，若是没有sid主机的话,对象sid出现重复将是没法避免的现象。

4.PDC仿真主机：负责处理来自客户端的密码更改，及负责同步整个域内全部域控上的时间。

若是域内存在多台域控，管理员在其中一台域控上对用户密码作了修改，那密码的修改会第一时间复制到PDC仿真主机上，该用户使用新密码登陆时，若是验证的dc密码修改信息还未复制过来，会认为该用户密码错误，可是不会立刻拒绝，会马上将验证信息发往pdc仿真主机，因为密码的修改已经复制到pdc,该用户身份验证会经过。

一个域或森林内全部主机时间相差不能超过五分钟，如超过该时限，复制机制会出错， 父域pdc主机与外部时间服务器同步，子域pdc主机与父域pdc时间同步，子域全部主机与子域pdc时间同步，以此实现森林内全部主机时间均为同步。

5.基础结构主机：负责更新从它所在域中对象到其它域中对象的引用，以及负责在重命名或更改组成员关系时更新组到用户的引用。

基础结构主机将其数据与全局编录的数据进行比较，全局编录经过复制接收全部域中对象的按期更新，使全局编录的数据始终保持最新，若是基础结构主机发现数据已过期，则会从全局编录请求更新的数据，基础结构主机再将这些更新的数据复制到域中的其它域控制器。

如本地有用户zhangs属于其它域的groups组，当本域将用户zhangs的用户名改成lis后，在其它域的groups组中存放的用户仍是zhangs,此时权限设置会出现问题，如存在基础结构主机，当本域中出现用户重名命状况，域中基础结构主机会查找用户相关的组，将用户变化信息提交到相关基础结构主机并复制到相应的域控上。

3、如何使用图形界面查看及传送操做主机(占用只能在命令行下完成)

1.查看及更改架构主机

(1).在森林根域的域控制器上开始--运行--regsvr32 schmmgmt.dll

 

(2).打开mmc-添加AD架构-肯定

(3).选择根节点，右键-操做主机便可查看

(4) 如需更改架构主机为其它域控，右键点AD架构-更改AD域控制器-选择其它域控--肯定

（5）再次右键点击AD架构--操做主机，更改便可.

 

2.查看域命名主机（如下只说查看，更改与前面相似）

(1). 在森林根域域控上开始--运行—domain.msc

(2).根节点上右键--操做主机，便可查看

3.查看域内RID、pdc和基础结构主机。

(1).在dc上开始--运行—dsa.msc--打开AD用户和计算机

(2).选择域名--右键--操做主机进行查看

4.在命令行模式下传送(transfer)与占用(seize)操做主机角色

传送与占用的区别：

传送是指在域或森林内，原来的操做主机是工做正常的状况下，把原有操做主机功能传给额外的域控，不会有数据丢失的状况（可理解成公司内正常工做的交接）

占用是指在域或森林内，原有操做主机没法正常响应的状况下，为保证域内功能的正常使用，直接从额外域控上将原有主机的角色抢占过来，但因为没法联系原来的操做主机，原有信息将会丢失，因此不到万不得已，不要用抢占。

以架构主机为例进行传送操做：

（1）.打开cmd-输入ntdsutil—roles

(2). 输入connections— connect to server  要传送的服务器名

(3).链接到服务器成功后，输入quit退回上级菜单，?后查看可执行的操做

(4).如需传送操做主机角色使用transfer,如占用使用seize,下例演示传送命名主机

在图中可看到，命名主机成功传送至win2k8这台域控，其它操做主机角色的传送和占用操做也与上面相似，再也不赘述（注意不论是传送仍是占用操做主机，必定要先链接到想要获得操做主机角色的域控后，再进行传送或是占用操做）。