FSMO 角色转移
1.使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器
[url]http://support.microsoft.com/kb/255504/[/url]简单一句话:如果原主域控在线,就使用trasfer操作;如果原主域控已经挂了,就把trasfer换成seize。
2.
查看FSMO
主机角色
查看结构主机、PDC模拟器、RID主机角色命令行界面:结构主机: dsquery <server> -hasfsmo infrPDC模拟器:dsquery <server> -hasfsmo pdcRID主机: dsquery <server> -hasfsmo rid图形界面:1、 打开“运行”窗口,输入dsa.msc ,回车打开Active Directory 用户和计算机2、 右键单击域节点,然后单击“操作主机”。3、 在“结构”选项卡的“操作主机”下,查看当前结构主机的名称同上方法,可查看PDC模拟器以及RID主机角色。查看域命名主机角色命令行界面:域命名主机角色:dsquery <server> -hasfsmo name图形界面:1、 打开“运行”窗口,输入domain.msc ,回车打开Active Directory 域和信任关系。2、 右键单击Active Directory 域和信任关系,然后单击“操作主机”。3、 在“域命名操作主机”下,查看当前的域命名操作主机。查看架构主机角色命令行界面:架构主机角色:dsquery <server> -hasfsmo schema图形界面:1、 打开“运行”窗口,输入schmmgmt.msc ,回车打开Active Directory 架构管理单元。2、 右键单击Active Directory 架构管理单元,然后单击“操作主机”。3、 在“当前架构主机”下,查看当前架构主机。
3.在 Windows 2000 域控制器上放置和优化 FSMO
[url]http://support.microsoft.com/kb/223346/[/url]关键一句:结构主机应该位于非全局目录服务器上 也就是全局编录GC、架构主机,域命名主机放在一起,PDC、RID、结构主机放在一起。但是对于单域目录林,可以将所有5种角色和GC放在同一DC上。
4.目录服务命令行工具(存在于win2003svr)
[url]http://technet2.microsoft.com/windowsserver/zh-chs/library/714070bb-22a5-420b-ac0f-2f7c558f82fa2052.mspx?mfr=true[/url]大家都知道Windows 2000环境下!如果公司某个同事辞职离开公司后,我们可以通过禁用帐户来实现对用户,那么每次打开ad用户与计算机是不是很麻烦!现在Windows 2003为我们提供了新的功能来实现对用户以及计算机 组等等的管理!下面我来给大家介绍几种新的工具:1.dsmod2.dsquery3.dsadd4.dsmove5.dsrm下面我们主要利用dsmod命令来实现对用户和组的管理!其他工具的具体命令大家可以参考命令帮助!利用dsmod来禁用liqing这个用户:dsmod user cn=liqing,ou=msft,dc=winmag,dc=com -disabled yes其中cn=liqing,ou=msft,dc=winmag,dc=com是利用了LDAP相对辨析名利用以上的方法也可以禁用计算机帐户!命令如下:dsmod computer cn=test,cn=computers,dc=winmag,dc=com -disabled yes可能有朋友会问如果我们有多个账户需要禁用怎么办?我们还可以将相对辨析名添加多一点!例如:dsmod computer “cn=test,cn=computers,dc=winmag,dc=com”“cn=sos,cn=computers,dc=winmag,dc=com” -disabled yes-disabled yes|no是说该用户是否禁用。还可以通过RESET来重置我们还可以通过dsmod重置liqing的密码,并在其下次登录网络时强制更改密码,请键入:dsmod user "CN=liqing,CN=Users,DC=Winmag,DC=Com" -pwd p@ssw0rd -mustchpwd yes这条命令非常有用,那么如果AD中用户都需要更改密码也可以利用下面命令来更改:dsmod user "CN=Don Funk,CN=Users,DC=Winmag,DC=Com""CN=kill,CN=Users,DC=Winmag,DC=Com" -pwd A1b2C3d4 -mustchpwd yes让我感觉最惊讶的命令是,现在我们可以通过命令直接更改GC服务器!再也不用每次进入AD的站点和服务了!命令如下:若要将域控制器 CORPDC1 和 CORPDC9 启用为全局编录服务器,请键入:dsmod server "CN=CORPDC1,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com" "CN=CORPDC9,CN=Servers,CN=Site2,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com" -isgc yes当然还有更多的功能,这里就不详细介绍了!这篇文章主要给大家介绍一下Windows 2003的一些新功能新命令!感兴趣的朋友可以好好看看详细的命令!