文档介绍：The latest revision on November 22, 2020
实施域管理手册
深圳市海格物流股份有限公司
操作主机与AD DB管理
一的，只能有一个架构主机。
域命名主机（Domain Naming Master）
域命名主机主要用于为林中添加或删除域时使用，负责确保域名的唯一性。如果域命名主机不可用，则无法向林中添加域或从林中删除域。在整个林中，架构主机是唯一的，只能有一个架构主机。
RID主机（RID Master）
RID 主机将相对标识符(RID) 分配给域中每个不同的域控制器，每个域只有一个RID操作主机角色，用于管理RID池，从而在整个域范围内创建的新的安全主体，如：用户、组和计算机。每个安全主体都有一个唯一SID。RID主机用于保证域控制器生产的SID是唯一的。RID主机把一些相对标识符(RID)(称为RID池)颁发给域中的每台域控制器。当任何域控制器上的RID池中的可用RID的数量较少时(小于100)，就会从RID主机请求一些RID。每次收到这样的请求，RID主机都会向域控制器再颁发大约500个RID的RID池。
PDC仿真器（PDC Emulator）
PDC仿真器负责执行很多与域有关的关键功能，主要有：为Windows 2000提供支持、维护密码更新来避免密码修改的延迟、管理域中组策略的更新、域内时间同步、维护网络中主机列表。
基础结构主机（Infrastructure Master）
基础结构主机负责更新域之间的组-用户引用。这个操作主机角色确保对象名称的改变(常用名称属性的更改cn)反映在位于不同域中的组成员身份信息中。基础结构主机维护这些引用的最新列表，然后将这个信息复制给域中所有域控制器。如果基础结构主机不可用，域之间的组-用户引用就会过时。
角色迁移
当部署多台DC分担操作主机角色时，可以通过以下命令实现操作主机角色的迁移。
以PDC主机角色迁移为例：
1、查询当前操作主机角色所在的DC
2、打开CMD窗口，依次输入命令：
ntdsutil → roles → connections → connect to server 连接到域控制服务器、输入quit退出connections程序，输入命令 transfer PDC将PDC主机角色转移至域控制器上
角色抢夺
当拥有某操作主机角色的DC宕机时，可以通过以下命令实现操作主机角色的抢夺。
以PDC主机角色抢夺为例：
1、打开CMD窗口，依次输入命令：
ntdsutil → roles → connections → connect to server 连接到域控制服务器、输入quit退出connections程序，输入命令 transfer PDC将PDC主机角色转移至域控制器上
管理活动目录数据库
活动目录数据库介绍
活动目录数据库默认存储路径为：C:\Windows\NTDS
其中包含文件分别为：
：检查点文件。文件存储数据库的检查点，这些检查点标识数据库引擎需要重复播放日志的点，通常在恢复或初始化时。
：事务日志文件。是日志文件，对数据库进行更改后，将该更改写入到文件中。当文件充满事务之后，会被重新命名为，日志文件从edb00001开始，并使用十六进制数累加。由于Active Directory使用循环记录，所以在旧日志文件写入数据库之后，这些旧日志文件会及时删除。在任何时刻都可以找到文件，而且还可能有一个或多个文件。
：这些文件是保留的日志文件仅当含有日志文件的磁盘空间不足时使用。如果当前的日志文件填满了且由于磁盘剩余空间不足服务器不能创建新的日志文件，服务器会将当前记忆体中的活动目录处理记录到两个保留日志文件中然后关闭活动目录。每一个日志文件也是10MB大小
：该日志是当当前日志文件（）填满时的暂时日志。一个的新文件被创建来记录处理，同时文件被重命名为下一个以往日志文件，然后文件会被重名为。
：数据库文件。会随着数据库的填充而不断增大。但是，日志的大小却是固定的10 MB。对数据库进行的任何更改都会被追加到当前的日志文件中，而且其磁盘映像会不断保持更新。
：这是个在数据库维护时使用的暂时文件用于存储当前进程中处理的信息。
活动目录数据库的移动
当需要更改AD DB的存放路径时，可通过如下操作实现AD DB的移动：
1、停止目录服务: net stop ntds
2、依次输入以下命令进入AD DB管理进程：
Ntdsuitl → activate instance ntds → files
3、移动AD DB及L