13、活动目录域控制器降级与多域管理全解析

活动目录域控制器降级与多域管理全解析

1. 域控制器降级

在活动目录环境中，除了可以将成员服务器提升为域控制器外，还能进行相反的操作——将域控制器降级。有以下两种常见情况可能需要进行域控制器降级操作：
- 服务器角色变更 ：当服务器的角色需要从域控制器转变为其他角色，如 Web 服务器时，可通过降级操作实现。
- 跨域迁移 ：若要将服务器从一个域移动到另一个域，需先将其从当前域中降级，再提升到新的域。

要降级域控制器，可按以下步骤操作：
1. 打开“Active Directory 安装向导”。
2. 向导会自动识别本地服务器为域控制器，并提示你确认是否要将该服务器从当前域中移除。

需注意，如果本地服务器是全局编录服务器，系统会警告你必须保留至少一份全局编录副本，以确保能够进行登录身份验证。

此外，在移除域的最后一个域控制器时，必须满足以下要求：
- 计算机不再登录该域 ：确保曾经属于该域的计算机已更改到其他域。若计算机仍尝试登录，将无法使用任何安全功能，但用户仍可使用缓存的身份验证信息登录计算机。
- 无需用户账户 ：域内的所有用户账户及其相关资源和权限在域被销毁时将全部丢失。因此，若已设置用户名和密码，需将这些账户转移到其他域，否则将丢失所有相关信息。
- 解密所有加密数据 ：访问加密信息需要存储在活动目录域数据库中的安全信息。一旦域不存在，这些安全信息将不可用，文件系统中存储的加密信息将永久无法访问