[计算机]windows_2008域管理5-活动目录维护.ppt

* 教师介绍本章的技能目标。 * 教师介绍本章结构，介绍时强调重点内容。 * 首先介绍windows NT域复制的特点而引出操作主机的概念。 在NT4.0域的目录服务中，DC之间存在PDC与BDC，也就是主域控制器与备份域控制器，所有的域的修改都是在PDC上进行，再复制到BDC上，而在BDC上进行修改是无效的，这种复制机制称为“单主复制”。单主复制的优点是域的修改不会产生冲突，因为修改只能在PDC上进行。但同样缺点是，如果是一个跨城区的网络，如PDC在北京，而BDC在上海，那么网络的修改会比较麻烦。 微软从windows 2000域开始，不再在网络上区分PDC和BDC，所有的域控制器处于一种平等的地位，在任意一台域控制器上的修改，都会被复制到其它的域控制器上，这种复制机制称为“多主复制”，但是同时更改多个AD上的数据库后，在将数据复制到域中的其他DC时可能会引发数据冲突问题。为防止域中的更新冲突，AD以单主机方式对某些对象执行更新。所以少部分的数据仍然采用“单主复制”模式来进行复制，在这种模式中，当提出改变对象数据要求时，其中一台被称为“操作主机”的域控制器将负责接收并处理此要求，例如密码更改等。 操作主机windows系统中的活动目录（AD）服务时基于活动目录数据库建立起来的，在AD数据库中存储了网络中所有对象及其各自的属性。AD数据库是一种启用多主机的分层数据库，能够存储数百万个对象。由于它是多主机的，因此对该数据库的更改可以在企业中任何域控制器（DC）上进行，而不管该DC是否与网络相连接。 但是，同时更改多个AD上的数据库后，在将数据复制到域中的其他DC时可能会引发数据冲突问题。为防止域中的更新冲突，AD以单主机方式对某些对象执行更新。 在windows早期版本（如Microsoft windows NT 3.51和4.1）中，只允许整个目录中的一个固定DC处理更新（因此这种模式被称为单主机模式）。这台固定的DC被称为主域控制器（PDC，primary domain controller）。 ? 从windows 2000开始，微软扩展了windows早期版本中的单主机模式以包括多个角色，且可以将角色转移给企业中的任何域控制器（DC）。由于AD角色未绑定到单个DC上，因此称它为“flexible single master operation（FSMO，灵活单操作主机）”角色，简称操作主机角色。 * 强调操作主机并不是另外再用一台服务器来安装，而是由AD中某台DC同时担当操作主机的角色。 在目前的活动目录AD（windows2000、windows server2003和windows server2008支持的AD）中，有五中操作主机角色（这些操作主机角色可以指派给一个或多个域控制器）。 ? 在林范围内的操作主机角色包括架构主机和域命名主机。在每个林中，这些角色都必须是唯一的。 ? 在域范围内的操作主机角色包括主域控制器仿真（PDC emulator）主机、相对ID(RID)主机、基础结构主机。在每个域中，这些角色都必须是唯一的。 * 讲解架构主机的作用，然后演示怎样查看架构主机角色。默认情况下架构主机由森林的第一台域控制器担当。 架构主机控制整个林的架构的全部更新，学员可能不理解什么是AD架构，打开AD架构管理工具会发现，架构中有两个选项，类别与属性。类别就是经常所说的类、对象；属性就是对象的属性。比如user(用户)是一个类，而用户名称就是属性。可能原有的属性不够使用，如新建一用户希望用户的属性中有身份证号码，就需要更新架构。 架构主机控制整个林的架构的全部更新。在整个林中，只有一个架构主机。架构主机的管理工具不是默认安装的，需要手工安装。 ? 安装架构主机管理工具的步骤如下： （1）在DC的“运行”中输入“regsvr32 schmmgmt.dll”命令，单击“确定”按钮， 说明架构管理工具已经注册成功。 ? Schmmgmt.dll文件在%systemroot%\system32下，如果上面命令不成功，可以写全路径如：“regscr32 %systemroot%\system32\schmmgmt.dll” ? （2）在“运行”中输入“mmc”命令，打开控制台。单击“文件”→“添加或删除管理单元”，出现界面，选择“active directory架构”，单击“添加”→“确定”。最后保存该文件为“架构.msc”，以便日后管理使用。 ? 添加完成后可以通过控制台查看、修改架构操作主机，所示窗口中的“active directory架构”，从弹出的快捷菜单中选择“操作主机”命令，出现如所示的对话框，显示架构主机所在的DC。 * 首先讲解域命名主机的作用，然后演示怎样查看域命名主机。默认森林中第一台