3、用新账户执行管理操作
通过上面的操作我们赋予了jp用户对于Woodgrovebank.com域的操作权限,下面我们验证一下上述操作的有效性。以jp用户登录名为SFO-DC-01.Woodgrovebank.com的只读域控制器(RODC)。我们首先打开命令提示符工具,执行命令“whoami /user /groups | find "Administrators"”可以看到域用户jp已经成功扥两个到这台只读域控制器(RODC),并且已经为其本地管理员。(图3)
图3 只读域控
下面我们执行一个系统管理操作,比如格式化该主机的F分区。在命令行下执行一个命令“Format F: /q”,可以看到对该只读域控制器(RODC)的F分区的快速格式化操作成功完成。这说明,我们在刚才在只读域控制器(RODC)执行的管理角色的分离操作是成功了。不过要说明的是,此用户在域中只是普通域用户只具有域策略赋予的一般权限。大家可以试试,创建这样的用户,然后登录域控制器,你会发现登录失败,因为一般域用户是无法登录域控制器的。
4、执行活动目录的脱机维护操作
我们知道,在以前Windows Server版本中,如果需要脱机维护活动目录,需要重新启动域控制器然后按住F8,进入活动目录还原模式才能够完成操作。但这样做将会影响运行在域控制器上的其它服务,例如文件服务,打印服务等等,是非常不方便的。但在Windows Server 2008中,我们不需要重新启动就可以停止活动目录域服务,然后执行需要需要活动目录脱机才能执行的操作,例如对活动目录数据库进行碎片整理,移动等等。下面笔者在测试环境中进行演示,大家可亲身体验一下Windows Server 2008中的这样新功能。
在命令提示符中,输入命令“net stop NTDS”,然后执行会提示“您想继续此操作吗?”,我们输入y,然后回车后即可停止获得目录服务。接下面我们这些如下的操作对活动目录进行脱机维护:
MD C:\compact
ntdsutil
Activate Instance NTDS
Files
Compact to C:\compact
quit
quit
Del C:\Windows\NTDS\*.log
Copy /y C:\compact\ntds.dit C:\Windows\NTDS\ntds.dit
ntdsutil
Activate Instance ntds
files
integrity
quit
semantic database analysis
go fixup
quit
quit
exit
(图4)
图4 域维护
