9、Windows Server 2003 服务器角色与安全规划

Windows Server 2003 服务器角色与安全规划

1. Windows Server 2003 安装与域控制器

Windows Server 2003 可安装在标准版、企业版和数据中心版上，但运行 Web 版的服务器不能作为域控制器。Web 版服务器只能是独立服务器或成员服务器，为网络提供资源和服务。

将 Windows Server 2003 计算机转换为域控制器，可使用“配置您的服务器向导”或“Active Directory 安装向导（DCPROMO）”。DCPROMO 能将成员服务器提升为域控制器。安装过程中，AD 数据库的可写副本会被放置在服务器硬盘上，存储目录信息的文件名为 NTDS.dit，默认位于 %systemroot%\NTDS 目录，目录更改会保存到此文件。

每个域控制器都保留自己的目录副本，包含所在域的信息。若一个域控制器不可用，用户和计算机仍可访问该域中其他域控制器上的 AD 数据存储，确保用户能继续登录网络，依赖目录信息的计算机和应用程序也能继续运行。当一个域控制器上有更改时，更改会被复制，使每个域控制器都有准确的 AD 副本，这种复制方式称为多主复制，因为每个域控制器都包含 AD 数据库的完整读写副本。

2. 操作主机角色

在 Windows Server 2003 中，默认情况下所有域控制器相对平等，但有些操作需由域或林中的单个域控制器执行。为此，微软引入了操作主机的概念。操作主机有多种用途，一些控制 AD 组件的修改位置，另一些存储对域级别 AD 健康运行至关重要的特定信息。由于一个域或林中只有一个域控制器履行特定角色，这些角色也被称为灵活单主机操作（FSMO）角色。部分 FSMO 角色特定