史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2003-12-13, 06:25 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 Windows 活動目錄詳解

Windows 2000活動目錄詳解之基礎篇
  
我們知道WIN2K系統最大的突破性和成功之一就在於它全新引入「活動目錄(Active Directory)服務」,使得WIN2K系統Internet上的各項服務和傳輸協定更加聯繫緊密,因為它對目錄的命名方式成功地與」域名「的命名方式一致,然後通過DNS進行解析,使得與在Internet上通過WINS解析取得一致的效果。

活動目錄也說明了Microsoft在網路結構方面的原則轉移,雖然在以前NT時代也有部分產品(EXCHANGE SERVER、IIS等)提供過類似於活動目錄的服務,然而活動目錄作為一個全新的綜合服務方式是在WIN2K的誕生後隨之而的。

活動目錄的身影似乎在整個WIN2K系統中無處不在。

然而要真正瞭解「活動目錄」的方方面面又談何容易,下面就想通過一些通俗的講解花幾個篇章對活動目錄的各主要方面作一詳盡的分析,希望對那些對WIN2K的活動目錄還存有畏懼心理的新手一個全面認識的機會。

一、活動目錄的由來

  談到活動目錄最使人容易想起的就是DOS下的「目錄」、「路徑」和Windows9X/ME下「資料夾」,那個時候的「目錄」或「資料夾」僅代表一個文件存在磁牒上的位置和層次關係,一個文件產生之後相對來說這個文件的所在目錄也就類BIOS了(當然可以刪除、轉移等,現在不考慮這些),也就是說它的內容也就相對類BIOS了,是靜態的。


這個目錄所能代表的僅是這個目錄下所有文件的存放位置和所有文件總的大小,並不能得出其它有關信息,這樣就影響到了整體使用目錄的效率,也就是影響了系統的整體效率,使系統的整個管理變得複雜。

因為沒有相互關聯,所以在不同應用程式中同一對像要進行多次配置,管理起來相當繁鎖,影響了系統資源的使用效率。


為了改變這種效率低下的關係和加強與Internet上有關傳輸協定的關聯Microsoft公司決定在WIN2K中全面改革,也就是引入活動目錄的概念。

理解活動目錄的關鍵就在於「活動」兩個字,千萬不要將「活動」兩個字去掉而僅僅從「目錄」兩個字去理解,那你我理來理去一定還是不能脫離原來在DOS下目錄或Windows9x下的資料夾,正因為這個目錄是活動的,所以它是動態的,它是一種包含服務功能的目錄,它可以做到「由此及彼」的聯想、映射,如找到了一個用戶名,就可聯想到它的帳號、出生信息、E-mail、電話等所有基本信息,雖然組成這些信息的文件可能不在一塊。

同時不同應用程式之間還可以對這些信息進行共享,減少了系統開發資源的浪費,提高了系統資源的利用效率。


  活動目錄包括兩個方面:目錄和與目錄相關的服務。

目錄是存儲各種對象的一個物理上的容器,從靜態的角度來理解這活動目錄與我們以前所結識的「目錄」和「資料夾」沒有本質區別,僅僅是一個對象,是一實體;而目錄服務是使目錄中所有信息和資源發揮作用的服務,活動目錄是一個分佈式的目錄服務,信息可以分散在多台不同的電腦上,保證用戶能夠快速訪問,因為多台機上有相同的信息,所以在信息容氏方面具有很強的控制能力,正因如此,不管用戶從何處訪問或信息處在何處,都對用戶提供統一的檢視。

二、相關名詞術語

  雖然活動目錄中用到的許多技術在其他軟體產品中也已經出現過,但作為全面的整體網路方案還是首次亮相,其中有許多名詞或術語或許是聞所未聞的,所以有必要詳細瞭解
一下活動目錄的有關名詞或術語。


  1、名字空間:
從本質上講,活動目錄就是一個名字空間,我們可以把名字空間理解為任何給定名字的解析邊界,這個邊界就是指這個名字所能提供或關聯、映射的所有信息範圍。

通俗地說就是我們在伺服器上通過搜尋一個對象可以查到的所有關聯信息總和,如一個用戶,如果我們在伺服器已給這個用戶定義了講如:

用戶名、用戶密碼、工作服務機構、聯繫電話、家庭住址等,那上面所說的總和廣義上理解就是「用戶」這個名字的名字空間,因為我們只輸入一個用戶名即可找到上面我所列的一切信息。


名字解析是把一個名字翻譯成該名字所代表的對象或者信息的處理程序。

舉例來說,在一個電話目錄形成一個名字空間中,我們可以從每一個電話戶頭的名字可以被解析到相應的電話號碼,而不是象現在一樣名字是名字,號碼歸號碼,根本不能橫向聯繫。

Windows *作系統的文件系統也形成了一個名字空間,每一個檔案名都可以被解析到文件本身(包含它應有的所有信息)。


  2、對像: 對象是活動目錄中的信息實體,也即我們通常所見的「內容」,但它是一組內容的集合,往往代表了有形的實體,比如用戶帳戶、 文 件名等。對像通過內容描述它的基本特徵,比如,一個用戶帳號的內容中可能包括用戶姓名、 電話號碼、 電子郵件位址和家庭住址等。

  3、容器:
容器是活動目錄名字空間的一部分,與目錄對像一樣,它也有內容,但與目錄對像不同的是,它不代表有形的實體,而是代表存放對象的空間,因為它僅代表存放一個對象的空間,所以它比名字空間小。


比如一個用戶,它是一個對象,但這個對象的容器就僅限於從這個對象本身所能提供的信息空間,如它僅能提供用戶名、用戶密碼。其它的如:工作服務機構、聯繫電話、家庭住址等就不屬於這個對象的容器範圍了。


  4、目錄樹:

在任何一個名字空間中,目錄樹是指由容器和對像構成的層次結構。樹的葉子、節點往往是對象,樹的非葉子節點是容器。

目錄樹表達了對象的連接方式,也顯示了從一個對像到另一個對象的路徑。


在活動目錄中,目錄樹是基本的結構,從每一個容器作為起點,層層深入, 都可以構成一棵子樹。

一個簡單的目錄可以構成一棵樹,一個電腦網路或者一個域也可以構成一棵樹。

這也很容易理解,我們最初學電腦時不就是在全面理解DOS下的路徑概念基礎之上開始的嗎,其實這「目錄樹」也就是一種「路徑關係」,如果你理解了DOS下的「路徑」相信理解這「目錄樹」是沒什麼問題的!


  5、域: 域是WIN2K網路系統的安全性邊界。我們知道一個電腦網最基本的單元就是「域」,這一點不是WIN2K所獨有的,但活動目錄可以貫穿一個或多個域。

在獨立的電腦上,域即指電腦本身,一個域可以分佈在多個物理位置上,同時一個物理位置又可以劃分不同網段為不同的域,每個域都有自己的安全原則以及它與其他域的信任關係。


當多個域通過信任關係連接起來之後,活動目錄可以被多個信任域域共享

  6、組織單元:

包含在域中特別有用的目錄對像類型就是組織單元。組織單元是可將用戶、組、電腦和其他單元放入活動目錄的容器中,組織單元不能包括來自其他域的對象。組織單元是可以指派群組原則設定或委派管理權限的最小作用服務機構。


使用組織單元,您可在組織單元中代表邏輯層次結構的域中新增容器,這樣您就可以根據您的組織模型管理帳戶、資源的配置和使用,可使用組織單元新增可縮放到任意規模的管理模型。


可授予用戶對域中所有組織單元或對單個組織單元的管理權限,組織單元的管理員不需要具有域中任何其他組織單元的管理權,組織單元有點像我們在NT時代的工作組,我們從管理權限上來講可以這麼理解。


  7、域樹:

域樹由多個域組成,這些域共享同一表結構和配置,形成一個連續的名字空間。


樹中的域通過信任關係連接起來,活動目錄包含一個或多個域樹。域樹中的域層次越深級別越低,一個「.」代表一個層次,如域child.Microsoft.com 就比 Microsoft.com這個域級別低,因為它有兩個層次關係,而Microsoft.com只有一個次。而域Grandchild.Child.Microsoft.com雙比 Child.Microsoft.com級別低,道理一樣。域樹中的域是通過雙向可傳遞信任關係連接在一起。

由於這些信任關係是雙向的而且是可傳遞的,因此在域樹或樹林中新新增的域可以立即與域樹或樹林中每個其他的域建立信任關係。


這些信任關係允許單一登入程序,在域樹或樹林中的所有域上對用戶進行身份驗證,但這不一定意味著經過身份驗證的用戶在域樹的所有域中都擁有相同的權利和權限。


因為域是安全界限,所以必須在每個域的基礎上為用戶指派相應的權利和權限。


  8、域林:域林是指由一個或多個沒有形成連續名字空間的域樹組成,它與上面所講的域樹最明顯的區別就在於這些域樹之間沒有形成連續的名字空間,而域樹則是由一些具有連續名字空間的域組成。

但域林中的所有域樹仍共享同一個表結構、配置和全局目錄。域林中的所有域樹通過Kerberos 信任關係建立起來,所以每個域樹都知道Kerberos信任關係,不同域樹可以交叉引用其他域樹中的對象。


域林都有根域,域林的根域是域林中新增的第一個域,域林中所有域樹的根域與域林的根域建立可傳遞的信任關係。


  9、站點:

站點是指包括活動目錄域伺服器的一個網路位置,通常是一個或多個通過TCP/IP連接起來的子網。站點內部的子網通過可靠、快速的網路連接起來。

站點的劃分使得管理員可以很方便地配置活動目錄的複雜結構,更好地利用物理網路特性,使網路通信處於最優狀態。

當用戶登入到網路時,活動目錄客戶端機在同一個站點內找到活動目錄域伺服器,由於同一個站點內的網路通信是可靠、快速和高效的,所以對於用戶來說,他可以在最快的時間內登入到網路系中。


因為站點是以子網為邊界的,所以活動目錄在登入時很容易找到用戶所在的站點,進而找到活動目錄域伺服器完成登入工作。

  10、域控制器:

域控制器是使用活動目錄安裝嚮導配置的WIN2K Server 的電腦。

活動目錄安裝嚮導安裝和配置為網路用戶和電腦提供活動目錄服務的元件供用戶選項使用。

域控制器存儲著目錄資料並管理用戶域的交互關係,其中包括用戶登入程序、身份驗證和目錄搜尋,一個域可有一個或多個域控制器。


為了獲得高可用性和容錯能力,使用單個區域網路 (LAN) 的小服務機構可能只需要一個具有兩個域控制器的域。


具有多個網路位置的大公司在每個位置都需要一個或多個域控制器以提供高可用性和容錯能力。


  WIN2K Server 域控制器擴展了 WINNT Server 4.0 的域控制器所提供的能力和特性,WIN2K Server 多宿主複製使每個域控制器上的目錄資料同步,以確保隨著時間的推移這些信息仍能保持一致,也就是說是動態的,這就是活動目錄的作用。


多宿主複製是 WINNT Server 4.0 中使用的主域控制器和制作備份域控制器模型的發展,在 WINNT Server 4.0 中只有一個伺服器,即主域控制器,擁有該目錄的可讀寫副本。


三、安裝活動目錄的意義


  我們說WIN2K的成功和創造性之一就是成功的全面引入了活動目錄服務,那麼到底安裝活動目錄有什麼意義呢?

這是我們所有初學WIN2K的人首要要問的一個問題。

因為活動目錄並不是WIN2K系統必需安裝的一種服務,要全面理解它又是非常的不容易,那麼安裝活動目錄的意義在哪裡呢?它主要體現在以下幾個方面:

  1、信息的安全性大大增強

  安裝活動目錄後信息的安全性完全與活動目錄集成,用戶授權管理和目錄進入控制已經整合在活動目錄當中了(包括用戶的訪問和登入權限等),而它們都是WIN2K*作系統的關鍵安全措施。


活動目錄集中控制用戶授權,目錄進入控制不只能在每一個目錄中的對象上定義,而且還能在每一個對象的每個內容上定義,這一點是以前任何系統所不能達到的,包括WINNT 4.0。


除此之外,活動目錄還可以提供存儲和應用程式作用域的安全原則,提供安全原則的存儲和套用範圍。

安全原則可包含帳戶信息,如域範圍內的密碼限制或對特定域資源的訪問權等。

所以從一定程序上可以這麼說WIN2K的安全性就是活動目錄所體現的安全性,由此可見對於網管來說如何配置好活動目錄中對象及內容的安全性是一個網管配置好WIN2K系統的關鍵。

  2、引入關於原則的管理,使系統的管理更加明朗

  活動目錄服務包括目錄對像資料存儲和邏輯分層結構(指上面所講的目錄、目錄樹、域、域樹、域林等所組成的層次結構),作為目錄,它存儲著分配給特定環境的原則,稱為群組原則對象。作為邏輯結構,它為原則應用程式提供分層的環境。


群組原則對像表示了一套商務規則,它包括與要套用的環境有關的設定,群組原則是用戶或電腦啟始化時用到的配置設定。

所有的群組原則設定都包含在套用到活動目錄,域,或組織單元的群組原則對像(GPOs)中。

GPOs設定決定目錄對像和域資源的進入權限,什麼樣的域資源可以被用戶使用,以及這些域資源怎樣使用等。


例如,群組原則對象可以決定當用戶登入時用戶在他們的電腦上看到什麼應用程式,當它在伺服器上啟動時有多少用戶可連接至 Server,以及當用戶轉移到不同的部門或組時他們可訪問什麼文件或服務。



群組原則對像使您可以管理少量的原則而不是大量的用戶和電腦。通過活動目錄,您可將群組原則設定套用於適當的環境中,不管它是您的整個服務機構還是您服務機構中的特定部門。


  3、具有很強的可擴展性



  WIN2K的活動目錄具有很強的可擴展性,管理員可以在計劃中增加新的對象類,或者給現有的對象類增加新的內容。計劃包括可以存儲在目錄中的每一個對像類的定義和對像類的內容。


例如,在電子商務上你可以給每一個用戶對像增加一個購物授權內容,然後存儲每一個用戶購買權限作為用戶帳號的一部分。


  4、具有很強的可伸縮性

  活動目錄可包含在一個或多個域,每個域具有一個或多個域控制器,以便您可以調整目錄的規模以滿足任何網路的需要。

多個域可組成為域樹,多個域樹又可組成為樹林,活動目錄也就隨著域的伸縮而伸縮,較好地適應了服務機構網路的變化。

目錄將其架構和配置資訊分發給目錄中所有的域控制器,該信息存儲在域的第一個域控制器中,並且複製到域中任何其他域控制器。


當該目錄配置為單個域時,增加域控制器將改變目錄的規模,而不影響其他域的管理預先配置。將域增加到目錄使您可以針對不同原則環境劃分目錄,並調整目錄的規模以容納大量的資源和對象。

  5、智能的信息複製能力

  信息複製為目錄提供了信息可用性、容錯、負載平衡和效能優勢,活動目錄使用多主機複製,允許您在任何域控制器上而不是單個主域控制器上同步更新目錄。多主機模式具有更大容錯的優點,因為使用多域控制器,即使任何單獨的域控制器停止工作,也可繼續複製。


由於進行了多主機複製,它們將更新目錄的單個副本,在域控制器上新增或修改目錄信息後,新新增或更改的信息將傳送到域中的所有其他域控制器,所以其目錄信息是最新的。


域控制器需要最新的目錄信息,但是要做到高效率,必須把自身的更新限制在只有新增或更改目錄信息的時候,以免在網路高峰期進行同步而影響網路速度。


在域控制器之間不加選項地交換目錄信息能夠迅速搞垮任何網路。通過活動目錄就能達到只複製更改的目錄信息,而不至於大量增加域控制器的負荷。

  6、與 DNS 集成緊密

  活動目錄使用域名系統 (DNS)來為伺服器目錄命名,DNS 是將更容易理解的主機名(如 Mike.Mycompany.com)轉換為數字 IP 位址的 Internet 標準服務,利於在TCP/IP網路中電腦之間的相互識別和通訊。


DNS 的域名關於 DNS 分層命名結構,這是一種倒置的樹狀結構,單個根域,在它下面可以是父域和子域(分支和葉子)。


關於這一點我會在後面以專門的篇章加以詳細講述,在此就僅作簡單介紹。


  7、與其他目錄服務具有互*性


  由於活動目錄是關於標準的目錄訪問傳輸協定,許多應用程式界面(API)都允許開發者進入這些傳輸協定,例如活動目錄服務界面(ADSI)、輕型目錄訪問傳輸協定 (LDAP) 第三版和名稱服務提供程序接頭 (NSPI),因此它可與使用這些傳輸協定的其他目錄服務相互*作。

LDAP 是用於在活動目錄中查詢和檢索信息的目錄訪問傳輸協定。因為它是一種工業標準服務傳輸協定,所以可使用 LDAP 開發程序,與同時支持 LDAP 的其他目錄服務共享活動目錄信息。活動目錄支持 Microsoft Exchange 4.0 和 5.x 客戶程序所用的 NSPI 傳輸協定,以提供與 Exchange 目錄的相容性。

  8、具有靈活的查詢

  任何用戶可使用「開始」表單、「網路芳鄰」或「活動目錄用戶和電腦」上的「搜尋」指令,通過對像內容快速搜尋網路上的對象。如您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他內容來搜尋用戶,反之亦然。


Windows 2000活動目錄詳解之結構篇  

在上一篇對活動目錄有個基本瞭解之後下面我就來接觸一下活動目錄實質上的一面——活動目錄的結構。上篇我們講到活動目錄是包括兩方面:

目錄和目錄相關的服務。

目錄是存儲各種對象的一個物理上的容器,與我們平常所說的目錄沒什麼區別,目錄管理的基本對象是用戶、電腦、文件以及列印機等資源。

而目錄服務是使目錄中所有信息和資源發揮作用的服務,如用戶和資源管理、關於目錄的網路服務、關於網路的套用管理,它才是WIN2K活動目錄的關鍵和精髓所在。


目錄服務是WIN2K網路*作系統的核心支柱,也是中心管理機構,所以目錄服務的引入對整個*作系統帶來了革命性的變化,不僅系統平台上的各基礎模組,比如網路安全機制、用戶管理模組等發生了變化,而且上層套用的運作方式以及開發模式也有了相應的變化。這樣來理解「活動目錄」是不是覺得更加容易?


  同時活動目錄是一個分佈式的目錄服務,因為信息可以分散在多台不同的電腦上,保證各電腦用戶快速訪問和容錯;同時不管用戶從何處訪問或信息處在何處,對用戶都提供統一的檢視,使用戶覺得更加容易理解和掌握WIN2K系統的使用。

活動目錄集成了WIN2K伺服器的關鍵服務,如域名服務(DNS),消息貯列服務(MSMQ),事務服務(MTS)等。在套用方面活動目錄集成了關鍵套用,如電子郵件、網路管理、ERP等。要理解活動目錄,我們必須從它的邏輯結構和物理結構入手。


  一、活動目錄的邏輯結構

  「邏輯」兩個字相信大家平時見的比較多,如我們常說的「邏輯思維、邏輯分析」等,也許大家一講到「邏輯」兩個字就覺得十分抽像,難以理解。

其實我們在這裡所講的「邏輯結構」,我覺得還是很好理解的,「邏輯」一般與「物理」是對等的,我們知道「物理上的」是指實實在在的,那麼「邏輯上的」不就是指非物理上的,非實體的東西,它是一種抽像的東西,比如講一種「關係」、一個「空間、範圍」等。


在第一篇我們講過活動目錄的邏輯結構非常靈活,有目錄樹、域、域樹、域林等,這些名字都不是實實在在的一種實體,只是代表了一種關係,一種範圍,如目錄樹就是由同一名字空間上的目錄組成,而域又是由不同的目錄樹組成,同理域樹是由不同的域組成,域林是由多個域樹組成。


它們是一種完全的樹狀、層次結構檢視,這種關係我們可以看成是一種動態關係。邏輯結構還與前面討論過的名字空間有直接關係,邏輯結構為用戶和管理員在一定的名字空間中搜尋、定位對像提供了極大方便。


活動目錄中的邏輯單元主要包括:
  1、域、域樹、域林

  域既是WIN2K網路系統的邏輯組織單元,是對像(如電腦、用戶等)的容器,這些對像有相同的安全需求、複製程序和管理,這一點對於網管人員應是相當容易理解的。

在WIN2K中域中所有的域控制器都是平等的(這一點與WINNT4.0不一樣,沒有主、副之分),域是安全邊界,域管理員只能管理域的內部,除非其他的域顯式地賦予他管理權限,他才能夠訪問或管理其他的域。


每個域都有自己的安全原則,以及它與其他域的安全信任關係。


在這裡就涉及到了不同域之間的信任關係及傳遞關係,下面就具體講一下WIN2K中的域信任關係。


  域與域之間具有一定的信任關係,域信任關係使得一個域中的用戶可由另一域中的域控制器進行驗證,才能使一個域中的用戶訪問另一個域中的資源。


所有域信任關係中只有兩種域:信任關係域和被信任關係域。


信任關係就是域A信任域B,則域B中的用戶可以通過域A中的域控制器進行身份驗證後訪問域A中的資源,則域A與域B之間的關係就是信任關係。

被信任關係就是被一個域信任的關係,在上面的例子中域B就是被域A信任,域B與域A的關係就是被信任關係。


信任與被信任關係可以是單向的,也可以是雙向的,即域A與域B之間可以單方面的信任關係,也可以是雙方面的信任關係。


而在域中傳遞信任關係不受關係中兩個域的約束,是經父域向上傳遞給域目錄樹中的下一個域,也就是說如果域A信任域B,則域A也就信任域B下面的子域域B1、域B2……,傳遞信任關係總是雙向的:

關係中的兩個域互相信任(是指父域與子域之間)。


預設情況下,域目錄樹或目錄林(目錄林可以看做是同一域中的多個目錄樹組成)中的所有WiIN2K 信任關係都是傳遞的。

通過大大減少需管理的委託關係數量,這將在很大程度上簡化域的管理。


  WIN2K中的域傳遞信任關係一般是系統自動的,但對於相同域目錄樹或林中的WiIN2K域,也可以顯式(手工)地新增傳遞信任關係。


這對於形成交叉連結信任關係是非常重要的。

不傳遞信任關係受關係中兩個域的約束,並且不經父域向上傳遞到域目錄樹中的下一個域。必須顯式地新增不傳遞信任關係。

預設情況下,不傳遞信任關係是單向的,儘管也可以通過新增兩個單向信任關係新增一個雙向關係。

所有不屬於相同域目錄樹或林中WiIN2K 域間建立的委託關係都是不傳遞的。


所有WiIN2K域和WINNT域之間的委託關係都是不傳遞的,這一點對於一個企業同時使用WIN2K和WINNT域控制器時應特別注意,當從 WindowsNT昇級到WiIN2K時,所有已現有的WindowsNT信任關係都將保持不變。


在混合模式的網路中,所有WindowsNT信任關係都是不傳遞的。


WiIN2K 域和WINNT域目錄林中的WIN2K域和另一目錄林中的WIIN2K域WIN2K域和MITKerberosV5領域單向單向信任關係是單獨的委託關係。


雙向信任關係包括一對單向委託關係,所有傳遞信任關係都是雙向的。


為使不傳遞信任關係成為雙向,必須在所涉及的域間新增兩個單向信任關係。



  2、組織單元(OU)
  組織單元(OU)是一個容器對象,它也是活動目錄的邏輯結構的一部分,我們可以把域中的對象組織成邏輯組,它可以說明 我們簡化管理工作。


OU可以包含各種對象,比如用戶帳戶、用戶組、電腦、列印機等,甚至可以包括其他的OU,所以我們可以利用OU把域中的對象形成一個完全邏輯上的層次結構。


對於企 業來講,可以按部門把所有的用戶和設備組成一個OU層次結構,也可以按地理位置形成層次結構,還可以按功能和權限分成多個OU層次結構。


很明顯,通過組織單元的包容,組織單元具有很清楚的層次結構,這種包容結構可以使管理者把組織單元切入到域中以反應出企業的組織結構並且可以委派工作與授權。


建立包容結構的組織模型能夠說明 我們解決許多問題,同時仍然可以使用大型的域、域樹中每個對象都可以顯示在全局目錄,從而用戶就可以利用一個服務功能輕易地找到某個對象而不管它在域樹結構中的位置。


  由於OU層次結構局限於域的內部,所以一個域中的OU層次結構與另一個域中的OU層次結構沒有任何關係。

因為活動目錄中的域可以比NT4的域容納更多對象,所以一個企業有可能只用一個域來構造企業網路,這時候我們就可以使用OU 來對對像進行分組,形成多種管理層次結構,從而極大地簡化網路管理工作。

組織中的不同部門可以成為不同的域,或者一個組織單元,從而採用層次化的命名方*來反映組織結構和進行管理授 權。


順著組織結構進行顆粒化的管理授權可以解決很多管理上的頭疼問題,在加強中央管理的同時,又不失機動靈活性。




  WINNT4.0中的很多域都可以成為OU,建立起更大的域和更簡化的域關係,借助全局目錄(GlobalCatalog),用戶和管理員仍然能夠迅速地找到對像和管理對象。


WIN2K可以在現存的WINNT4.0的環境中工作,保護現有的投資。
  二、活動目錄的物理結構

  進制-活動目錄中,物理結構與邏輯結構有很大的不同,它們是彼此獨立的兩個概念。

邏輯結構側重於網路資源的管理,而物理結構則側重於網路的配置和最佳化。


活動目錄的物理結構主要著眼於活動目錄信息的複製和用戶登入網路時的效能最佳化。

物理結構的兩個重要概念是站點和 域控制器。


  1、站點
  站點是由一個或多個IP子網組成,這些子網通過高速網路設備連接在一起。

站點往往由企業的物理位置分佈情況決定,可以依據站點結構配置活動目錄的訪問和複製拓撲關係,這樣能使得網路更有效地連接,並且可使複製原則更合理,用戶登入更快速, 活動目錄中的站點與域是兩個完全獨立的概念,一個站點中可以有多個域,多個站點也可以位於
同一域中。


  活動目錄站點和服務可以通過使用站點提高大多數配置目錄服務的效率。


可以通過使用活動目錄站點和服務向活動目錄發佈站點的方*提供有關網路物理結構的信息,活動目錄使用該信息確定如何複製目錄信息和處理服務的請求。


電腦站點是根據其在子網或一組已連接好子網中的位置指定的,子網提供一種表示網路分組的簡單方*,這與我們一般的郵政編碼將位址分組類似。


將子網格式化成可方便傳送有關網路與目錄連接物理信息的形式,將電腦置於一個或多個連接好的子網中充分體現了站點所有電腦必須連接良好這一標準,原因是同一子網中電腦的連接情況通常優於網路中任意選取的電腦。

使用站點的意義主要在於:

  (1)、提高了驗證程序的效率

  當客戶使用域帳戶登入時,登入機制首先搜尋與客戶處於同一站點內的域控制器,使用客戶站點內的域控制器首先可以使網路傳輸本機化,加快了身份驗證的速度,提高了驗證程序的效率。


  (2)、平衡了複製頻率

  活動目錄信息可在站點內部或站點與站點之間進行信息複製,但由於網路的原因,活動目錄在站點內部複製信息的頻率高於站點間的複製頻率。

這樣做可以平衡對最新目錄信息需求和可用網路帶寬帶來的限制。




您可通過站點連結來定制活動目錄如何複製信息以指定站點的連接方*,活動目錄使用有關站點如何連接的信息產生連接對像以便提供有效的複製和容錯。

  (3)、可提供有關站點連結信息

  活動目錄可使用站點連結信息費用,連結使用次數,連結何時可用以及連結使用頻度等信息確定應使用哪個站點來複製信息,以及何時使用該站點。

定制複製計劃使複製在特定時間(諸如網路傳輸空閒時)進行會使複製更為有效。



通常,所有域控制器都可用於站點間信息的交換,但也可以通過指定橋頭堡伺服器優先傳送和接收站間複製信息的方*進一步控制複製行為。


當擁有希望用於站間複製的特定伺服器時,寧願建立一個橋頭堡伺服器而不使用其他可用伺服器。

或在配置使用代理伺服器時建立一個橋頭堡伺服器,用於通過防火牆傳送和接收信息。


  2、域控制器

  域控制器是指執行WIN2KServer版本的伺服器,它儲存了活動目錄信息的副本。域控制器管理目錄信息的變化,並把這些變化複製到同一個域中的其他域控制器上,使各域控制器上的目錄信息處於同步。

域控制器也負責用戶的登入程序以及其他與域有關的*作,比如身份鑒定、目錄信息搜尋等一個域可以有多個域控制器。規模較小的域可以只需要兩個域控制器,一個實際使用,另一個用於 容錯性檢查。規模較大的域可以使用多個域控制器。


  WIN2K的域結構與WINNT的域結構不同的是,活動目錄中的域控制器沒有主次之分,活動目錄採用了多主機複製方案,每一個域控制器都有一個可寫入的目錄副本,這為目錄信息 容錯帶來了無盡的好處。


儘管在某一個時刻,不同的域控制器中的目錄信息可能有所不同,但一旦 活動目錄中的所有域控制器執行同步*作之後,最新的變化信息就會一致。

  儘管活動目錄支持多主機複製方案,然而由於複製引起的通信流量以及網路潛在的沖 突,變化的傳播並不一定能夠順利進行。


因此有必要在域控制器中指定全局目錄伺服器以及* 作主機。--全局目錄是一個信息倉庫,包含活動目錄中所有對象的一部分內容,往往是在查詢過 程中訪問最為頻繁的內容。

利用這些信息,可以定位到任何一個對像實際所在的位置,而全局目 錄伺服器是一個域控制器,它儲存了全局目錄的一份副本,並執行對全局目錄的查詢*作。

全局 目錄伺服器可以提高活動目錄中大範圍內對像檢索的效能,比如在域林中查詢所有的列印機* 作。

如果沒有一個全局目錄伺服器,那麼這樣的查詢*作必須要調動域林中每一個域的查詢過 程。如果域中只有一個域控制器,那麼它就是全局目錄伺服器如果有多個域控制器,那麼管理員 必須把一個域控制器配置為全局目錄控制器.

Windows 2000活動目錄詳解之安裝配置篇
  
理解了活動目錄的原理之後,現在我們就可以進行活動目錄的安裝與配置了,活動目錄的安裝配置程序並不是很複雜,因為WIN2K中提供
了安裝嚮導,只需按照提示一步步按系統要求設定即可。

但安裝前的準備工作顯得比較複雜,只有充分理解了活動目錄的前提下才能正確地安裝配置活動目錄。下面我就詳細地介紹一下活動目錄的安裝與配置及其準備了。

  一、活動目錄的安裝前的準備

  在前面我們知道「活動目錄」是整個WIN2K系統中的一個關鍵服務,它不是孤立的,它與許多傳輸協定和服務有著非常緊密和關係,還涉及到整個WIN2K系統的系統結構和安全。


安裝「活動目錄」不是安裝一般Windows元件那麼簡單,在安裝前要進行一系列的策劃和準備。否則輕則根本無*享受到活動目錄所帶來的優越性,重則不能正確安裝「活動目錄」這項服務。


  1、首先在 安裝活動目錄之前,必須保證已經有一台機器安裝了WIN2K Server 或者Advanced Server,且至少有一個NTFS分區, 而且已經為TCP/IP 配置了DNS傳輸協定,並且DNS服務支持SRV記錄和動態更新傳輸協定。
  2、其次是要規劃好整個系統的域結構,活動目錄它可包含一個或多個域,如果整個系統的目錄結構規劃得不好,層次不清就不能很好地發揮活動目錄的優越性。在這裡選項根域(就是一個系統的基本域)是一個關鍵, 根域名字的選項可以有以下幾種方案:

  1)可以使用一個已經註冊的DNS 域名作為活動目的根域名,這樣的好處在於企業的公共網路和私有網路使用同樣的DNS名字。


  2)我們還可使用一個已經註冊的DNS域名的子域名作為活動目錄的根域名。
  3)為活動目錄選項一個與已經註冊的DNS域名完全不同的與域名。

這樣可以使企業網路在內部和網際網路上呈現出兩種完全不同的命名結構。

  4)把企業網路的公共部分用一個已經註冊的DNS域名進行命名,而私有網路用另一個內部域名,從名字空間上把兩部分分開,這樣做就使得每一部分要訪問另部時必須使用對方的名字空間來標識象。


  3、再一個就是要進行域和帳戶命名策劃,因為使用活動目錄的意義之一就在於使內、外部網路使用統一的目錄服務,採用統一的命名方案,以方便網路管理和商務往來。


活動目錄域名通常是該域的完整DNS名稱,但是為確保向下相容,每個域最好還有一個WIN2K以前版本的名稱,以便在執行WIN2K以前版本的*作系統的電腦上使用。


用戶帳戶在活動目錄中,每個用戶帳戶都有一個用戶登入名、一個WIN2K以前版本的用戶登入名(安全帳戶管理器的帳戶名)和一個用戶主要名稱後面。

在新增用戶帳戶時,管理員輸入其登入名並選項用戶主要名稱,活動目錄建議 WIN2K 以前版本的用戶登入名使用此用戶登入名的前 20 個字元。


活動目錄命名原則是企業規劃網路系統的第一個步驟,命名原則直接影 響到網路的基本結構,甚至影響網路的效能和可擴展性。

活動目錄為現代企業提供了很好的參考模型,既考慮到了企業的多層次結構,也考慮到了企業的分佈式特性,甚至為直接接入Internet提供完全一致的命名模型。


  所謂用戶主要名稱是指由用戶帳戶名稱和表示用戶帳戶所在的域的域名組成。這是登入到 WIN2K 域的標準用*。標準格式為:

user@domain.com (像個人的電子郵件位址)。

但不要在用戶登入名或用戶主要名稱中加入 @ 號。活動目錄 在新增用戶主要名稱時自動增加此符號。包含多個 @ 號的用戶主要名稱是無效的。

  在活動目錄中,預設的用戶主要名稱後面是域樹中根域的 DNS名。


如果用戶的服務機構使用由部門和區域組成的多層域樹,則對於底層用戶的域名可能很長。對於該域中的用戶,預設的用戶主要名稱可能是 grandchild.child.root.com。

該域中用戶預設的登入名可能是
user@grandchild.child.root.com

這要一來用戶登入時就要輸入的用戶名可能太長,輸入起來就非常不方便,WIN2K為了解決這一問題,規定在新增主要名稱後用戶只要在根域後加上相應的用戶名, 使同一用戶使用更簡單的登入名 user@root.com 就可以登入,而不是前面所提到的那一長串。



  4、最後就是要注意設定規劃好域間的信任關係,對於WIN2K電腦,通過關於 Kerberos V5 安全傳輸協定的雙向、可傳遞信任關係啟用域之間的帳戶驗證。在域樹中新增域時,相鄰域(父域和子域)之間自動建立信任關係。

在域林中,在樹林根域和增加到樹林的每個域樹的根域之間自動建立信任關係。

如果這些信任關係是可傳遞的,則可以在域樹或域林中的任何域之間進行用戶和電腦的身份驗證。


  如果將 WIN2K 以前版本的 Windows域昇級為WIN2K域時,WIN2K域將自動保留域和任何其他域之間現有的單向信任關係。

包括WIN2K以前版本的Windows域的所有信任關係。

如果用戶要安裝新的WIN2K域並且希望與任何WIN2K以前版本的域建立信任關係,則必須新增與那些域的外
部信任關係。

二、活動目錄的安裝


  所有的新安裝都是安裝成為Member Server,如果您在新安裝WIN2K SERVER時選項安裝了「活動目錄」選項,則系統就會出現類似於「如果您此時安裝活動目錄則系統中的所有域名就不能再次改變……」之類的提示。


一般情況下我們在新安裝系統時不選項安裝活動目錄,以便我們有時間來具體規劃與活動目錄有關的傳輸協定和系統結構。

目錄服務都需要事後用 Dcprom o的指令特別安裝。目錄服務還可以卸載,而不用像在安裝Windows NT 4.0那樣,一開始就要定終身,系統會區分域控制器還是Member Server,兩者之間不可轉換。


  Dcpromo是一個圖形化的嚮導程序,引導用戶一步一步地建立域控制器,可以新增一 個域森林,一棵域樹,或者僅僅是域控制器的另一個制作備份,非常方便。

很多其他的網路服 務,比如DNS Server、DHCP Server和 Certificate Server等,都可以在以後與活動目錄 集成安裝,便於實施原則管理等。 這個圖形化界面嚮導程序也沒有什麼特別之處,只要我們在前面理解好了活動目錄的含義,並進行了安裝前的一系列規劃,則可以很容易完成所有的安裝工作。


  在活動目錄安裝之後,主要有三個活動目錄的微軟管理界面(MMC),一個是活動目 錄用戶和電腦管理,主要用於實施對域的管理;一個是活動目錄的域和域信任關係的管 理,主要用於管理多域的關係;還有一個是活動目錄的站點管理,可以把域控制器置於不 同的站點。


一般區域網路的範圍內,為一個站點,站點內的域控制器之間的複製是自動進行 的;站點間的域控制器之間的複製,需要管理員設定,以最佳化複製流量,提高可伸縮性。


從活動目錄管理界面,還可以在站點、域和組織單元中用滑鼠右鍵點擊,啟動群組原則 (Group Policy)的管理界面,實施對對象的細緻管理。


  對於站點、域和組織單元,管理員還可以方便地進行管理授權。右鍵點擊它們就可以啟動"管理授權 嚮導",一步一步地設定哪些管理員對於哪些對像有什麼樣的管理權限。

比如說企業內部 技術支持中心的管理員,只有復位用戶密碼的權限,沒有新增和刪除用戶帳號的權限。這 種更細緻的管理方*,成為"顆粒化"。

  另外,活動目錄還充分地考慮到了制作備份和恢復目錄服務的需要,WIN2K制作備份工具中有專門制作備份活動目錄的選項,在出現意外事故的時候,可以在機器啟動時按F8進入安全恢復模式,保證減少災難的惡性影響。



Win2000中活動目錄的制作備份與恢復  

  在Windows2000中,制作備份與恢復Active Directory是一項非常重要的工作。在NT中,所有有關用戶和企業配置方面的信息都存儲在註冊表中,因此我們只需要制作備份註冊表即可。

但是在Windows2000中,所有的安全信息都存儲在Active Directory中,它的制作備份方法與在NT中是完全不同。

  你不能單獨制作備份Active Directory,Windows2000將Active Directory做為系統狀態資料的一部分進行制作備份。

系統狀態資料包括註冊表,系統啟動檔案,類註冊資料庫,證書服務資料,文件複製服務,集群服務,域名服務和活動目錄8部分,通常情況下只前3部分。

這8部分都不能單獨進行制作備份,必須做為系統狀態資料的一部分進行制作備份。

一.制作備份Active Directory資料

  如果一個域記憶體在不止一台DC,當重新安裝其中的一台DC時制作備份Active Directory並不是必需的,你只需要將其中的一台DC從域中刪除,重新安裝,並使之回到域中,那麼另外的DC自然會將資料複製到這台DC上。

  如果一個域內剩下最後一台DC,那就非常有必要對Active Directory進行制作備份。詳細程序如下:

  1."開始"表單->"執行",輸入"ntbackup",啟動win2000制作備份工具。

  2.在"歡迎"標籤中使用"制作備份嚮導",在制作備份嚮導對話視窗選項制作備份的內容頁面中選項"只制作備份系統狀態資料",下一步。

  3.在"制作備份儲存的位置"頁面中輸入存放制作備份資料的檔案名,如"d:akAD0322。bkf",下一步,完成制作備份嚮導。

如果要進行一些設定,如制作備份完成後驗證資料,請使用"進階"選項進行配置。


  4.選項"完成"開始制作備份,根據資料的多少,可能需要幾分鐘到十幾分鐘甚至更長一段時間。制作備份完畢系統會產生制作備份報表。

  5.建議:通常制作備份的文件比較大,我制作備份了幾次都在250-300M之間,因此需要找一個大容量的空間存放。

因為制作備份中包含非常敏感的帳號等方面的信息,因此制作備份的資料要妥善儲存。

二.Active Directory的恢復

  有兩種辦法可以恢復Active Directory。

  第一種是從域的其它DC上恢複數據,前提是域內必須還有一台DC是可用的,這時當損壞的DC重新安裝並加入到它原來的域時,DC之間會自動進行資料複製,Active Directory隨之會恢復。

  另一種方法就是從制作備份CD片進行恢復。通常情況下,對於大多數小型公司來說,整個公司只有一個域,由於資金等諸方面的限制也只有一台DC,因此從CD片恢復Active Directory是經常遇到的事情。

1.驗證方式和非驗證方式

  從制作備份CD片進行Active Directory恢復有兩種方式可以選項:驗證方式(authoritative restore)和非驗證方式(nonauthoritative restore)。

  通常情況下,Windows2000使用非驗證方式恢復:Active Directory從制作備份CD片中恢復以後,域內其它的DC會在複製程序中使用新的資料覆蓋舊的恢復過來的舊的資料。


舉個例子,假設今天是星期五,你使用了星期三的制作備份對Active Directory進行了恢復,那麼從星期三以來已經更改了的資料會複製到你正在恢復Active Directory的DC上,也就是新資料會覆蓋你使用制作備份恢復的資料。

  驗證模式則完全不同,它會將從制作備份CD片恢復過來的資料強行複製到域內所有的DC上,無論從制作備份以後資料是否發生了變化。


還拿上面的例子來說,當你在星期五使用星期三的制作備份恢復了Active Directory後,這些恢復過來的資料會複製到域內所有的DC上,強行將制作備份後發生改變的所有資料覆蓋掉,域內資料就恢復到了制作備份時的狀態。驗證模式恢復Active Directory通常用於這種情況:

Active Directory在域內某台DC上發生了嚴重的錯誤,而且這種錯誤通過複製擴散到了域內的其它DC上,這時就需要在某台DC上使用驗證方式恢復Active Directory,強制使域恢復到原來的好的狀態。

應該說這種方式是用的比較多的一種恢復Active Directory的方式。

2.非驗證恢復Active Directory

  要實現非驗證恢復,目錄服務必須處於離線狀態(制作備份Active Directory時目錄服務不必處於離線狀態)。

為恢復Active Directory,你必須使用server處於"目錄服務恢復模式"。要做到這一點,需要重新啟動server,當螢幕提示你選項操作系統時,按F8,啟動系統啟動進階表單,選項"目錄服務恢復模式"。

  當Windows2000出現用戶登入視窗時,輸入本機管理員賬戶和密碼(注意,不是在Active Directory中的管理員的帳號和密碼,因為這時Active Directory處於離線狀態,不可用。


你只有使用存儲在安全賬戶管理器,有時稱之為SAM中的管理員帳號和密碼進行登入)。登入成功後,你就可以進行恢復Active Directory的操作。

  (1)啟動Windows2000自帶的制作備份程序:"開始"->"執行",輸入"ntbackup";

  (2)在歡迎標籤中選項"恢復嚮導",跳過歡迎畫面,制作備份程序會顯示可以用於資料恢復的制作備份集。

  (3)選項合適的備份檔案,完成資料恢復。重新啟動機器即可。

  (4)注意:通常情況下,你不能恢復60天以前制作備份的Active Directory資料,這是因為Windows2000 tombstone lifetime(生命週期)的影響,除非你進行了設定。



3.驗證方式恢復Active Directory

  為實現驗證方式恢復,你必須首先實現非驗證方式恢復,然後你可以使用NTDSUTIL指令行工具實現驗證式Active Directory恢復。驗證式恢復可以實現全部或部分Active Directory資料的恢復。

  (1)使用非驗證方式恢復Active Directory,重新啟動機器。

  (2)再次使用"目錄服務恢復模式"啟動Windows2000,以管理員身份登入。
  (3)"開始"->"執行",輸入"ntdsutil",啟動指令行工具。

  (4)恢復整個Active Directory資料庫,使用下列指令:

  authoritative restore
  restore database

  恢復部分Active Directory資料,使用下列指令:

  authoritative restore
  restore subtree ou=Brien,dc=files,dc=COM

  紅色部分要根據實際情況確定,比如你的域名字是mydom.net,要恢復的OU是myou則第二行指令應該是:restore subtree ou=myou,dc=mydom,dc=net,依此類推。

恢復部分資料的方式有時用來恢復被刪除的OU,如某域內有兩個管理員,你和A,A有點菜,昨天晚上不小心把一個重要的OU給刪除了,今天你就可以使用驗證式恢復將這個OU給恢復過來,前提自然是你有這個OU被刪除之前的制作備份。

  最後使用quit指令退出,重新啟動機器。

域W2K控制器癱瘓後角色的更改!  

終於有時間好好看了一下午的「F1」,對上次我提出的問題也有了一個新的瞭解。

很感謝大家給我那麼多答覆,但是看過說明 之後,我感覺大家所說的,和現在我理解的,還是有出入,以下是我總結的說明 內容,在明後兩天我將按這個方法來實驗,希望我這回是對的,那麼,也能對大家有個說明 !


1。在域範圍內有三種主機角色必須是唯一的


相對 ID 主機 -----------RID
主域控制器 (PDC) 仿真程序 -----------PDC
基礎主機 -----------結構

2。 三種角色功能如下:
相對 ID 主機 --相對 ID 主機將系列相對 ID 分配給域中每個不同的域控制器。

主域控制器 (PDC) 仿真程序 -------PDC 仿真程序擔當 Windows NT 的主域控制 器。它處理來自客戶的密碼更改並將更新複製到 BDC
基礎主機 ---------負責在重新命名或更改組成員時更新「組到用戶」的引用

3。在域控制器工作正常的情況下,通過轉移角色來實現。
例如: 轉移相對 ID 主機角色 (其他兩個雷同)
開啟 Active Directory 用戶和電腦。

1.在控制台樹中,用右鍵按下將成為新的相對 ID 主機的域控制器節點,然後按下「連線到域」。

2.鍵入此域名或按下「瀏覽」從列表中選項域。

3.在控制台樹中,用右鍵按下「Active Directory 用戶和電腦」,然後按下「操作主機」。

4.按下「RID」選擇項,然後按下「更改」。


4。在擔當以上三種角色的任一個出現故障時,通過佔用角色來實現。


警告:
佔用相對 ID 主機是只有在當前操作主機永遠不能再使用情況下才應考慮的重大步驟
佔用相對 ID 主機之前,使用 Active Directory 支持工具中的 Repadmin,驗證新操作主機是否已接收到由以前角色承擔者完成的任何更新操作,
然後從 網路中刪除當前的操作主機。有關單主機操作和 Active Directory 支持工具的詳細資料,請參閱相關主旨。
佔用 PDC 仿真器主機之前,應從網路中刪除當前的操作主機並驗證新操作主機是否最新。
當源 PDC 仿真器主機恢復執行時,您可將該角色返回到源域控制器。
佔用基礎主機之前,應從網路中刪除當前的操作主機並驗證新操作主機是否最新。
當源基礎主機恢復執行時,您可將該角色傳送回源域控制器

例如: 佔用相對 ID 主機角色
1.按下「開始」,按下「執行」,然後鍵入 cmd。

2.在指令提示行,鍵入 ntdsutil。

3.在 ntdsutil 的提示行,鍵入 roles。

4.在 fsmo maintenance 的提示行,鍵入 connections。
5.在 server connections 的提示行,鍵入 connect to server,後面跟著完全合格的域名稱。

6.在 server connections 的提示行,鍵入 quit。

7.在 fsmo maintenance 的提示行,鍵入 seize RID master。

8.在 fsmo maintenance 的提示行,鍵入 quit。

9.在 ntdsutil 的提示行,鍵入 quit。

佔用 PDC 仿真器角色

1.按下「開始」,按下「執行」,然後鍵入 cmd。

2.在指令提示行,鍵入 ntdsutil。

3.在 ntdsutil 的提示行,鍵入 roles。


4.在 fsmo maintenance 的提示行,鍵入 connections。

5.在 server connections 的提示行,鍵入 connect to server,後面跟著完全合格的域名稱。

6.在 server connections 的提示行,鍵入 quit。

7.在 fsmo maintenance 的提示行,鍵入 seize PDC。

8.在 fsmo maintenance 的提示行,鍵入 quit。

9.在 ntdsutil 的提示行,鍵入 quit。

佔用基礎主機角色

1.按下「開始」,按下「執行」,然後鍵入 cmd。

2.在指令提示行,鍵入 ntdsutil。

3.在 ntdsutil 的提示行,鍵入 roles。

4.在 fsmo maintenance 的提示行,鍵入 connections。

5.在 server connections 的提示行,鍵入 connect to server,後面跟著完全合格的域名稱。

6.在 server connections 的提示行,鍵入 quit。

7.在 fsmo maintenance 提示行,鍵入 seize infrasTrUcture master。

8.在 fsmo maintenance 的提示行,鍵入 quit。

9. 在 ntdsutil 的提示行,鍵入 quit。

如此佔用完成後,相信癱瘓的W2K,你就可以送去火化了,呵呵!
psac 目前離線  
送花文章: 3, 收花文章: 1628 篇, 收花: 3199 次
舊 2003-12-16, 11:59 AM   #2 (permalink)
長老會員
榮譽勳章
UID - 4162
在線等級: 級別:27 | 在線時長:879小時 | 升級還需:17小時級別:27 | 在線時長:879小時 | 升級還需:17小時級別:27 | 在線時長:879小時 | 升級還需:17小時級別:27 | 在線時長:879小時 | 升級還需:17小時級別:27 | 在線時長:879小時 | 升級還需:17小時級別:27 | 在線時長:879小時 | 升級還需:17小時級別:27 | 在線時長:879小時 | 升級還需:17小時
註冊日期: 2002-12-07
文章: 56
精華: 0
現金: 15658 金幣
資產: 20658 金幣
預設

shiah 目前離線  
送花文章: 801, 收花文章: 2 篇, 收花: 2 次
舊 2003-12-16, 12:20 PM   #3 (permalink)
註冊會員
 
聖幻哇沙米 的頭像
榮譽勳章
UID - 90616
在線等級: 級別:6 | 在線時長:75小時 | 升級還需:2小時
註冊日期: 2003-08-06
VIP期限: 2007-04
住址: 台灣->台中
文章: 542
精華: 0
現金: 1194 金幣
資產: 1194 金幣
預設

好文章∼謝謝!!
聖幻哇沙米 目前離線  
送花文章: 29, 收花文章: 0 篇, 收花: 0 次
舊 2003-12-17, 11:15 AM   #4 (permalink)
ufoon
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

看沒
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用

相似的主題
主題 主題作者 討論區 回覆 最後發表
用Windows XP的原位昇級安裝解決系統問題 psac 作業系統操作技術文件 3 2006-08-20 07:59 PM
Windows PreInstallation Environment深入研究 psac 作業系統操作技術文件 1 2006-02-08 05:03 PM
WINDOWS XP調整、設定、最佳化全攻略 psac 作業系統操作技術文件 8 2005-01-11 08:55 PM
Windows XP鮮為人知的70招 psac 作業系統操作技術文件 13 2004-01-02 01:10 PM
Windows 2000/Xp 錯誤編號詳解(收集整理) psac 作業系統操作技術文件 9 2003-08-03 03:27 PM


所有時間均為台北時間。現在的時間是 06:23 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1