16、灵活单主操作与Active Directory可靠性优化

灵活单主操作与Active Directory可靠性优化

1. 灵活单主操作相关权限与操作

1.1 RID主权限更改

只有“Domain Admins”组的成员有更改RID主的权限。可以使用Windows 2000资源包中的“adsiedit”工具来更改此权限，具体操作步骤如下：
1. 在域上下文的“CN=System”文件夹中，右键单击“CN=RID Manager$”，然后选择“属性”。
2. 使用“Change RID Master”权限来指定权限。

也可以在“Active Directory用户和计算机”管理单元中，右键单击域项，然后选择“操作主机”，来更改RID主、PDC模拟器和基础结构主。

1.2 控制角色转移

角色转移是指在当前角色所有者的配合下转移角色。要进行角色转移，两个域控制器都必须可用且联网。角色转移的能力通过新角色所有者处角色对象本身的特殊对象权限来控制。每个角色都有不同的对象权限，默认授予特定的管理员组，具体如下表所示：
| FSMO | 权限 | 默认组 |
| — | — | — |
| 架构主 | Change schema master | Schema admins |
| 域命名主 | Change domain master | Enterprise admins |
| RID主 | Change RID master | Domain admins |
| PDC模拟器 | Change PDC permission | Domain admins |
| 基础结构主 | Change infrast