AD域FSMO五种角色的作用

Windows 2003 server 域控制器坏掉后(FSMO强占)--实践文章导读：FSMO（flexible Single Master Operation)操作主控，是AD的一个特殊对象。

在AD中一共有5类操作主机角色，分别担当不同的功能，任何一个操作角色的丢失或不可用，那么整个域会遇到很多问题。

FSMO（flexible Single Master Operation)操作主控，是AD的一个特殊对象。

在AD中一共有5类操作主机角色，分别担当不同的功能，任何一个操作角色的丢失或不可用，那么整个域会遇到很多问题。

FSMO只有在DC上才有，但不是每个DC都有，下面先简单解释下这5种角色存在的位置和作用：Schema master (架构主机）Domain naming master (域命名主机）PDC Emulator (PDC 仿真器）RID Master （RID主机）Infrastructure Master (基础结构主机）第1和第2个角色在林中只出现一次，也既是说在整个森林只有一台DC是具有这个角色（森林级别的角色）后面3个角色在域中只出现一次，也既是说在整在域中只有一台DC是具有这种角色（域级别的角色）这5种角色可以在一台DC上全部出现，也可以分布其他的DC上，来减轻DC的负荷，使整个域运行的更高效。

当你在建立第一个域的时候是一个全新的森林全新的域，那么这5种角色会在你的第一台DC上，当你建立域辅助主控也就是说额外控制器时，这台额外在默认情况下是不会具有任何一种角色，除非你手动把部分角色转移或强占到这台额外DC上，因为在同一个域，这些角色只能出现一次，当你转移后或强占后，那么原来的那台DC就没有了那个角色，当然就不能担当这个角色所起所有功能和作用。

所以，当某一台拥有某些角色的DC宕机之后，这个域会出现很多问题，特别是PDC主控坏掉起不来的时候，那么整个域的身份验证将变的不可用，如果Schema master不可用，那么在安装exchange服务器的时候将不能进行森林和域的拓展，等等，总之这5个角色是非常重要，除了 infrastructure master 这个角色是这5个中最无关紧要的角色，当只有一个域或森林而且所有的DC都是GC的时候，这个角色根本就没用，当然我们最好是使它为可用，来保证我们的域的完整行。

Windows Server 2003 管理步步高Windows Server 2003 是从工作组到数据中心的支持互连应用程序、网络和 Web 服务的最具生产力的基础结构平台。

本专题从Windows Server 2003的安装与部署开始，到优化与安全，希望能对你在使用Windows Server 2003的过程中提供一定的帮助......一、入门之路4、活动目录之备份与恢复一、活动目录之域重命名二、活动目录之迁移三、活动目录管理之五种常见错误操作四、活动目录之备份与恢复五、FSMO五种角色的作用、查找及规划六、把一台成员服务器提升为域控制器(一)七、把一台成员服务器提升为域控制器(二)八、活动目录之用户配置文件一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题。

通过我前几篇文章的介绍，我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。

当然，我写的都是一些关于操作上的文章，至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下，因为原理性的东西实在是没什么好写的，要写也是抄书，会被别人以为我在骗稿费的。

:)OK，那么现在大家应该知道在域构架网络中，域控制器是多么的重要，所以一台域控制器的崩溃对于网络管理员而言，无疑是一场恶梦，那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题，我们一般把活动目录的备份和恢复分成两种情况:1、整个网络中有且仅有一台域控制器;首先，本人并不成赞成网络中存在这种情况，也就是说网络中最好是存在两台或两台以上的域控制器，当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。

而且现在的老板都很精哟，一般是能用就行，至于坏了怎么办?那当然是网络管理员来想办法解决了，难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象，那么对于这种情况，备份是必不可少的了，而且建议备份到网络上，别备份到本地计算机上，因为备份在本地的话，万一服务器的硬盘烧毁，那么你的备份也会随之而去，这样的话和没有备份没什么区别。

域管理(什么是ou什么是ad什么是FSMO角色)什么是ou什么是ad什么是FSMO角色2009年08月20日星期四17:13什么是ou什么是ad什么是FSMO角色什么是OU？OU(Organizational Unit，组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。

通俗一点说，如果把AD比作一个公司的话，那么每个OU 就是一个相对独立的部门。

创建OUOU的创建需要在DC(域控制器)中进行，创建步骤如下：第1步以Administrator(系统管理员)身份登录域控制器。

然后依次单击“开始/管理工具/Active Directory用户和计算机”菜单，打开“Active Directory用户和计算机”控制台窗口。

第2步在左窗格中用鼠标右键单击域名，并在弹出的快捷菜单中执行“新建/Organizational Unit”命令。

第3步打开“新建对象-Organizational Unit”对话框，在“名称”编辑框中键入新的OU的名称(如“广告信息部”)，并单击“确定”按钮OU的设计方式为了有效的组织活动目录对象，OU根据公司业务模式的不同来创建不同的OU层次结构。

一下是几种常见的设计方法。

1.基于部门的OU为了和公司的组织结构相同，OU可以基于公司内部的各种各样的业务功能部门创建，如行政部、人事部、工程部、财务部等。

2.基于地理位置的OU可以为每一个地理位置创建OU，如北京、上海、广州等。

3.基于对象类型的OU在活动目录中可以将各种对象分类，为每一类对象建立OU，如根据用户、计算机、打印机、共享文件夹等。

AD(Active Directory)活动目录活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。

在一个Windows 2000 目录林中有五个Flexible Single Master Operations (FSMO) 角色。

在Windows 2000 中转移FSMO 角色有两种方法。

本文介绍如何用Microsoft 管理控制台(MMC) 管理单元来转移所有这五个FSMO 角色。

这五个FSMO 角色是：∙架构主机- 每个目录林中有一个主机角色担任者。

架构主机FSMO 角色的担任者是负责对目录架构执行更新的域控制器(DC)。

∙域命名主机- 每个目录林中有一个主机角色担任者。

域命名主机FSMO 角色的担任者是负责对目录的目录林范围的域名空间进行更改的DC。

∙结构主机- 每个域中有一个主机角色担任者。

结构主机FSMO 角色的担任者是负责在一个跨域的对象引用中更新对象的SID 和辨别名的DC。

∙RID 主机- 每个域中有一个主机角色担任者。

RID 主机FSMO 角色的担任者是负责处理来自某一给定域中的所有DC 的“RID 池”请求的单个DC。

∙PDC 模拟器- 每个域中有一个主机角色担任者。

PDC 模拟器FSMO 角色的担任者是一个向较早版本的工作站、成员服务器和域控制器公布自己是主域控制器(PDC) 的Windows 2000 DC。

它还是域主浏览器并负责处理密码差异。

有关Windows 2000 中FSMO 角色的其他信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章：CHS197132Windows 2000 Active Directory FSMO 角色用MMC 工具转移FSMO 角色在Windows 2000 中，您可以通过MMC 工具转移所有这五个FSMO 角色。

为使转移成功，双方计算机都必须能够联机访问到。

如果有一个计算机已不存在，则必须取回其角色。

要取回一个角色，必须使用一个叫做Ntdsutil 的实用工具。

有关其他信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章：255504Using Ntdsutil.exe to Seize or Transfer the FSMO Roles to a Domain（使用Ntdsutil.exe 将FSMO 角色取回或转移到一个域）转移特定于域的角色：RID、PDC 和结构主机1.单击开始，指向程序，指向管理工具，然后单击“Active Directory 用户和计算机”。

AD域环境中五大主机角色在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。

但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。

在Win2003 AD 域中，FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色)1：架构主机 (Schema Master)2：域命令主机 (Domain Naming Master)域级别(在域中只有一台DC拥有该角色3：PDC模拟器(PDC Emulator)4：RID主机 (RID Master)5：基础架构主机 (Infrastructure Master)1：架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一 DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2：域命令主机向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象.3：PDC模拟器向后兼容低级客户端和服务器，担任NT系统中PDC角色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC 模拟器提供时间同步!密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。

首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT 和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下，然后通过DFS复制到本域其它DC中。

AD中的5个操作主机角色1、操作主机PDC Emulator一个以活动目录为核心的基础架构管理环境运行效率的高低取决于操作主机和DC的位置的设计，在后期域环境的维护工作中也起着非常重要的作用。

今天跟大家介绍的是域环境中五大操作主机之一"PDC Emulator" 全称"Primary domain controller (PDC) emulator operations master" 中文:PDC仿真主机。

我习惯把它称为“PDC Emulator” 。

现在咱们就来一步步认识“PDC Emulator” 。

如果我们要设置当前域的“PDC Emulator”角色，必须选择开始- 管理工具- Active Directory 用户和计算机，可以看到当前域的名称为“” 。

鼠标右击当前域，选择“操作主机”，打开操作主机选项卡后选择PDC,就可以查看到当前域的PDC Emulator 是 这台主机.PDC Emulator 总共有五项功能:第一个功能：模拟NT的PDC：所有当您的域环境中有NT的BDC的话，请务必要准备一台PDC ，他才可以把资料复制给NT的BDC。

第二个功能：时间同步或者叫对时：当前域中所有的主机会跟PDC Emulator 对时，当前域的PDC Emulator 会跟整个树的树根中的PDC Emulator 对时，当前树根中的PDC Emulator 会跟整个林的根域的PDC Emulator 对时，所以可以让整个森林的时间保持一致。

第三个功能：给NT以前的客户端改密码：因为NT以前的客户端改密码必须要连到以前NT域的PDC上才可以改，PDC是只读的。

第四个功能：密码仲裁：2000以后的客户端改密码，会用到PDC 来避免密码修改的延迟。

比如说我把密码修改完以后我把它修改到a这台DC，下次我登陆的时候我登陆到B，B还没有来得及把AD数据复制过来，就会有旧密码存在，这样就会有问题，所以客户端就会找PDC Emulator 做仲裁，从而得到最新的密码。

AD五种操作主机角色及作用Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：1.架构主机schema master2..域命名主机domain naming master3.相对标识号(RID) 主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：1.架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

3.相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。

通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机4.PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。

本机Windows 200 0 环境将密码更改转发到PDCE。

每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。

本文介绍了如何通过使用Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色（也称作操作主机角色）。

FSMO 角色在目录林中，有至少五个分配给一个或多个域控制器的FSMO 角色。

这五个FSMO 角色是：∙架构主机：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机。

在整个目录林中只能有一个架构主机。

∙域命名主机：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

∙结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

∙相对ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的RID 池请求。

任何时刻，在域中只能有一个域控制器充当RID 主机。

∙PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器(PDC) 向运行Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行Microsoft Windows XP Professional 或Microsoft Windows 2000 客户端软件的计算机，或者如果包含Microsoft Windows NT 备份域控制器，则PDC 模拟器主机充当Windows NT PDC。

它还是“域主浏览器”并负责处理密码差异。

任何时刻，在目录林的每个域中只能有一个域控制器充当PDC 模拟器主机。

您可以通过使用Ntdsutil.exe 命令行实用工具或使用MMC 管理单元工具来转移FSMO 角色。

根据您要转移的FSMO 角色，可以使用以下三个MMC 管理单元工具之一：“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在，则必须取回其角色。

WINDOWS SERVER 2003从入门到精通之AD中的5种操作主机在之前我们已经了解了在AD(活动目录)中创建林,域树和子域的方法,在一个域中,为了提高容错性和高可用性,我们建议大家在一个域中最好存在多台DC,每个DC维护域中相同的活动目录数据库.而这些DC是对等的,那么就会产生一些问题:为了保证活动目录数据库的一致性就需要执行复制操作,一般的复制是多主机复制(多个DC平等),但某些更改不适合使用多主机复制执行,因此需要有称为"操作主机"的DC接受此类更改的请求.首先我们先来了解什么是"操作主机","操作主机"都包括什么?在每个林中有5种操作主机角色(这些操作主机角色可以指派给一个或多个DC)在林范围内包括以下两种:1)架构主机2)域命名主机在每个林中这些角色都必须是唯一的!在域范围内包括以下:1)主域控制器仿真主机（PDC Emulator）2)相对ID (RID) 主机3)基础结构主机以上三种在每个域中必须是唯一的!1.架构主机（Schema Master）架构主机控制对整个林的架构的全部更新在整个林中，只能有一个架构主机如何管理架构主机(默认没有安装管理架构的工具):1)注册架构管理工具regsvr32 schmmgmt.dll2)使用mmc添加【Active Directory架构】3)查看架构主机2.域命名主机（Domain Naming Master）控制林中域的添加或删除，可以防止林中的域名重复在整个林中只能有一个域命名主机注意:任何运行WIN2003的DC都可以担当域命名主机这一角色,如果运行WIN2003的DC担当域命名主机角色,则必须启用为全局编录服务器使用【Active Directory域和信任关系】查看域命名主机3.PDC 仿真主机（PDC Emulator Master）PDC 仿真主机作为混合模式域中的Windows NT PDC（主域控制器）林中的每个域中只能有一个PDC 仿真主机PDC 仿真主机的主要作用:1)管理来自客户端（Windows NT/95/98）的密码更改2)最小化密码变化的复制等待时间3)同步整个域内所有域控制器上的时间4)查看PDC 仿真主机4.RID 主机（RID Master）RID 主机将相对ID（RID）序列分配给域中每个域控制器林中的每个域中只能有一个RID 主机每次当DC创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID（SID）。

AD FSMO五种角色主机的作用AD FSMO五种角色主机的作用 (1)森林级别 (1)１、架构主机（Schema Master） (1)２、域命名主机（Domain Naming Master） (2)域级别 (2)３、RID主机（RID Master） (2)４、PDC模拟主机（PDC Emulator） (3)５、基础结构主机（Infrastructure Master） (3)性能优化考虑 (4)Active Directory定义了五种操作主机角色（又称ＦＳＭＯ）：1.架构主机schema master2.域命名主机domain naming master3.相对标识号(RID)主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master森林级别１、架构主机（Schema Master）功能：控制活动目录内所有对象属性的定义提示：Regsvr32schmmgmt.dllSchema Admins组故障影响：更新Schema受影响短期内一般看不到影响典型问题如：无法安装Exchange故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC２、域命名主机（Domain Naming Master）功能：控制森林内域的添加和删除添加和删除对外部目录的交叉引用对象提示：建议与GC配置在一起Enterprise Admins组故障影响：更改域结构受影响短期内一般看不到影响典型问题如：添加/删除域故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC域级别３、RID主机（RID Master）功能：管理域中对象相对标识符（RID）池提示：对象安全标识符（SID）=域安全标识符+相对标识符（RID）*形如：S-1-5-21-1343024091-879983540-3…故障影响：无法获得新的RID池分配典型问题如：无法新建（大量）用户帐号故障处理：需确定原OM为永久性脱机才可抓取确保目标DC为具有最新更新的DC４、PDC模拟主机（PDC Emulator）功能：模拟Windows NT PDC默认的域主浏览器默认的域内权威的时间服务源统一管理域帐号密码更新、验证及锁定提示：PDC模拟主机不仅仅是模拟NT PDC故障影响：底端客户不能访问AD不能更改域帐号密码浏览服务问题时间同步问题故障处理：需要比较及时地恢复可以临时抓取到其他DC在原OM恢复后可以抓取回去５、基础结构主机（Infrastructure Master）功能：负责对跨域对象引用进行更新提示：单域情况下基础结构主机不需要工作不能同时和GC配置在一起（单域控除外）故障影响：外域帐号不能识别，标记为SID故障处理：需要比较及时地恢复可以临时抓取到其他DC在原OM恢复后可以抓取回去查看操作主机角色命令行工具：Ntdsutil Netdom Dcdiag操作主机的放置默认情况：架构主机在根域的第一台DC上域命名主机在根域的第一台DC上其他三个主机角色在各自域的第一台DC上考虑问题：和GC的冲突性能优化考虑手工优化：基础结构主机与GC不放在一起域命名主机与GC放在一起架构主机与域命名主机可放在一起PDC模拟主机建议单独放置操作主机的转移１、转移（Transfer）把OM角色平滑地传递给另一台DC操作可逆２、抓取（Seize）把OM角色强制地赋予另一台DC操作不可逆抓取命令会自动先尝试转移一．目的：在安装DC的过程中，系统会默认将域中第一台DC做为五种角色的操作主机，但是有时候我们需要手工指定更可靠更安全的DC来做操作主机，因为操作主机一旦损坏，那么整个域就会产生非常严重的后果，比如：无法新建（大量）用户帐户，用户无法访问AD和更改密码等。

FSMO角色介绍、迁移、查看1.活动目录中域控制器的五种操作主机角色。

Winserver Active Directory和NT域的区别在于不再有主域控制器和辅助域控制器每个林中有五种操作主机角色，一台域控制器可以承担一种或者多种角色，或者不承担任何角色。

比如一个域中有两台域控制器，一台可以是架构主机，域命名主机，主域控制器仿真主机（PDC），相对ID主机（RID），基础结构主机，五种角色，另一台域控制器什么角色也不是，只是一台额外域控制器。

在林范围内有两种角色：架构主机和域命名主机，域范围内有主域控制器仿真主机（PDC)，相对ID主机（RID）和基础结构主机。

这五种角色在林中和域中都是唯一的。

五种角色的作用：架构主机：一个林中只有一台架构主机，控制对林架构的全部更新。

域命名主机：一个林中只有一台域命名主机，控制林中域的新增和删除，防止域名重复。

主域控制器仿真主机（PDC）：一个域只有一台PDC，管理来自客户端的密码更改，最小化密码复制等待时间，同步整个域中所有域控制器的时间。

相对ID（RID)：一个域中只有一台RID，把RID分给域中各个域控制器，每次当DC创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID（SID）。

SID包含一个域SID（它与域中创建的所有SID相同）和一个RID（它对域中创建的每个SID是唯一的）。

对象的SID=域SID+RID。

基础结构主机：一个域只有一台基础结构主机，负责更新从它所在的域中的对象到其他域中对象的引用，基础结构主机将其数据与全局编录的数据进行比较,全局编录通过复制操作接受所有域中对象的定期更新,从而使全局编录的数据始终保持更新.如果基础结构主机发现数据已过时时,则它会从全局编录请求更新的数据,然后,基础结构主机再将这些更新的数据复制到域中的其他DC!2.主域控制器FSMO角色的迁移角色迁移目的：若当前主域控制器在线，且因性能不佳或需更换硬件，为了不影响域用户对与服务器及Exchange Server正常使用，需要将主域控制器FSMO迁移至额外域控制器.1、Active Directory 定义了 5 种FSMO 角色：架构主机、域主机、RID 主机、PDC 模拟器、结构主机。

AD中FSMO五⼤⾓⾊的介绍及操作AD中FSMO五⼤⾓⾊的介绍及操作（转移与抓取）FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。

营运主机（Operation Masters，⼜称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定⾓⾊信息的⽹域控制站，在每⼀个活动⽬录⽹域中，⾄少会存在三种营运主机的⾓⾊。

但对于⼤型的⽹络,整个域森林中,存在5种重要的FSMO⾓⾊.⽽且这些⾓⾊都是唯⼀的。

五⼤⾓⾊：1、森林级别(⼀个森林只存在⼀台DC有这个⾓⾊):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、域级别(⼀个域⾥⾯只存⼀台DC有这个⾓⾊):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :结构主控对于查询FSMO主机的⽅式有很多,本⼈⼀般在命令⾏下,⽤netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.五种⾓⾊主控有什么作⽤？1、Schema Master（架构主控）作⽤是修改活动⽬录的源数据。

我们知道在活动⽬录⾥存在着各种各样的对像，⽐如⽤户、计算机、打印机等，这些对像有⼀系列的属性，活动⽬录本⾝就是⼀个数据库，对象和属性之间就好像表格⼀样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果⼤家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要⼤家注意的是，扩展Schema⼀定是在Schema Master进⾏扩展的，在其它域控制器上或成员服务器上执⾏扩展程序，实际上是通过⽹络把数据传送到Schema上然后再在Schema Master上进⾏扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

写给刚接触Active Directory的朋友2005-08-25 09:37作者：出处：天极论坛责任编辑：王玉涵域是微软网络中最重要的概念之一。

用比较简单的话说，域实际上就是指一组服务器与工作站，并且它们同意将用户和机器帐户的名称及密码集中放在一个共享数据库内。

这种做法非常有用，并且适合任何规模的网络，因为域使得用户只需要一个用户名和密码就可以访问企业的域系统中所有的电脑。

当系统管理员为一位新员工建立一个帐户后，他马上（有复制情况除外）就可以访问网络中允许他访问的任何资源。

而当需要修改密码时，只需要修改一次，整个域都能识别并接受新密码。

把用户与机器帐户及密码集中管理只是一个开始。

首先在NT3.51系统上出现了用户配置文件；在NT4上，域成了集中放置“系统策略”的地方；Windows2000的域可以集中存储DNS信息，并且还提供了“系统策略”的改良版本“组策略”，组策略可以说是整个网络中某种形式的“控制面板”。

当然，并不是一定要有域才能将一些运行Windows系统的电脑组成网络，但是如果在网络中有了域，那么很多事情都会变得非常容易。

Active Directory（AD）域的作用域可以做很多事情。

我只能介绍其中一部分的内容，但这不是一份清单。

这些内容包括：λ * 集中存储用户和密码* 提供一组服务器作为“身份认证”和“登录”服务器，也就是“域控制器”λλ * 对域中的资源维护一个可供搜索的索引，方便人们查找* 允许建立带有不同级别的用户；同时，域还允许创建子管理员λλ * 允许将域细分网络的首要任务是提供服务，它是集中存储文件或数据库、共享打印机以及其它服务的地方，使人们可以通过电子邮件或是其它技术彼此通信。

第二个任务是：安全。

那么在一些保护代措施下会发生两件事情：λ * 身份验证λ * 授权早期的NT系统，从3.1到4都只有一个文件，叫作SAM，也就是Security Accounts Manager 的缩写。

∙正常移轉FSMO 五大角色分享:Acitvie Directory 中有所謂的五大「彈性單一主機操作(FSMO)」角色，由DC 負責：架構主機：架構主機網域控制站會控制對架構所做的所有更新及修改。

如果要更新樹系的架構，必須具有架構主機的存取權限。

整個樹系中只能有一個架構主機。

∙功能：只有Schema Master 的Schema 資料庫可以修改。

∙整個Forest 只有1 台。

∙預設值為：Root Domain 的第1 台DC。

∙有權力操作的群組：Schema Admins 群組才有資格修改Schema 的內容。

∙操作的工具，必須先經過註冊。

(如：Regsvr32 schmmgmt.dll )。

∙需使用mmc 掛入＂Active Directory 架構＂嵌入式管理單元。

∙Schema 中的資料會複製到Forest 中的每1 台DC。

∙網域命名主機：網域命名主機網域控制站會控制在樹系中新增或移除網域。

整個樹系中只能有一個網域命名主機。

∙功能：控制Forest 中，新增移除網域的行為。

∙整個Forest 只有1 台。

∙預設值為：Root Domain 的第1 台DC。

∙有權力操作的群組：Enterprise Admins。

∙操作的工具：Active Directory 網域及信任。

∙基礎結構主機：基礎結構負責更新自己網域中物件對其他網域中物件的參考。

在任何時候，每個網域中只能有一個網域控制站做為基礎結構主機。

∙功能：確保網域內建操作的物件一致性。

∙避免與GC 同一台。

∙每一個Domain 都有1 台。

∙預設值為：每一個Domain 的第1 台DC。

∙有權力操作的群組：Domain Admins。

∙操作的工具：Active Directory 使用者及電腦。

相對ID (RID) 主機：RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。

在任何時候，每個網域中只能有一個網域控制站做為RID 主機。

五种角色架构AD域环境中五大主机角色在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。

但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。

在Win2003 AD域中，FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色)1：架构主机(Schema Master)2：域命令主机(Domain Naming Master)域级别(在域中只有一台DC拥有该角色3：PDC模拟器(PDC Emulator)4：RID主机(RID Master)5：基础架构主机(Infrastructure Master)1：架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2：域命令主机向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象.3：PDC模拟器向后兼容低级客户端和服务器，担任NT系统中PDC角色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步!密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。

首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下，然后通过DFS复制到本域其它DC中。