ad域操作主机角色的转移

实战操作主机角色转移

今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。如果操作主机角色工作在域级别，例如PDC 主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的实验拓扑如下图所示，https://www.360docs.net/doc/956805737.html,域内有两个域控制器，Florence和Firenze。Florence是域内的第一个域控制器，目前所有的操作主机角色都在Florence上，我们通过实验来介绍如何在Florence和Firenze间切换操作主机角色。

其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。我们首先为大家介绍如何用MMC控制台把五个操作主机角色从Florence转移到Firenze上。

一从Florence转移到Firenze

在Florence上打开Active Directory用户和计算机，如下图所示，右键点击域名，在菜单中选择“操作主机”。

如下图所示，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，但奇怪的是，我们希望把操作主机角色从Florence转移到Firenze，但为何工具中显示的是我们只能把操作主机角色从Florence转移到Florence呢？

上述问题很容易解释，如果我们希望把Firenze作为操作主机角色转移的目标，那我们就需要把域控制器的焦点首先指向Firenze。从下图所示，在Active Directory用户和计算机中右键单击https://www.360docs.net/doc/956805737.html,，选择“连接到域控制器”，从域控制器列表中选择Firenze即可。

我们把域控制器的焦点指向Firenze后，接下来就发现可以把操作主机角色从Florence转移到Firenze了，如下图所示，我们点击“更改”，准备把RID主机角色从Florence转移到Firenze。系统弹出窗口询问是否确定进行操作主机角色的转移，我们选择“是”。

通过上述过程，我们可以非常轻松地把RID主机角色从Florence转移到Firenze，如下图所示，操作主机角色的转移已经成功。用同样的方法，我们可以很轻松地把PDC和结构主机也转移到Firenze上。

转移了RID主机，PDC主机和结构主机后，我们来尝试一下域命名主机。在Florence 上打开Active Directory域和信任关系，注意先把域控制器的焦点指向Firenze，然后如下图所示，右键单击Active Directory域和信任关系，从菜单中选择“操作主机”。

如下图所示，我们点击“更改”把域命名主机角色从Florence转移到Firenze，整个过程实现起来非常简单。

如下图所示，域命名主机角色已经转移到Firenze上了。

最后我们要转移的操作主机角色是架构主机，架构主机由于角色非常重要，微软甚至没有为我们预设管理工具，因此我们首先要通过注册动态链接库来获得转移架构主机所需要的管理工具。如下图所示，我们运行regsvr32 schmmgmt.dll，系统提示注册动态链接库成功。

注册了动态链接库后，我们运行MMC，在文件菜单中选择“添加/删除管理单元”，这时我们会发现可以添加一个名为“Active Directory架构”的管理单元，这就是注册了动态链接库的作用。使用这个Active Directory架构管理单元，如下图所示，选择“操作主机”进行架构主机的转移，同样不要忘记在之前把域控制器焦点指向Firenze。

如下图所示，点击“更改”把架构主机角色转移到Firenze上。

从下图的结果来看，架构主机的转移是成功的，至此，我们完成了五个操作主机角色的转移。

二从Firenze转移到Florence

现在五个操作主机角色都集中在Firenze上，我们再为大家介绍一种方法把操作主机角色完璧归赵，还给Florence，这种方法就是使用我们非常熟悉的工具NTDSUTIL。如下图所示，运行ntdsutil，然后输入roles，准备进行操作主机角色的转移。

如下图所示，在Roles状态下，我们首先要使用connections命令来连接到特定的域控制器，连接到哪个域控制器呢？应该连接到操作主机转移的目标域控制器，在我们这个例子中应该是Florence，如图所示，我们输入命令connect to server Florence。

连接到Florence后，如下图所示，我们用quit命令返回上级菜单，用？列出当前状态下的所有可执行指令，我们发现转移五个操作主机角色只需要简单执行五条命令即可，这五条指令分别是：

Transfer domain naming master 转移域命名主机

Transfer infrastructure master 转移结构主机

Transfer PDC 转移PDC主机

Transfer RID master 转移RID主机

Transfer schema master 转移架构主机

还有五条命令是强行把连接到的域控制器指定为操作主机角色，这个很适合在操作主机离线时进行操作，如果我们不小心把操作主机所在的域控制器给格式化了，我们就可以利用这些指令强行把一个域控制器指定为操作主机。这五条指令分别是：

Seize domain naming master 指定域命名主机

Seize infrastructure master 指定结构主机

Seize PDC 指定PDC主机

Seize RID master 指定RID主机

Seize schema master 指定架构主机

如下图所示，我们执行转移操作主机角色的五条指令，很轻松地把操作主机角色从Firenze又转到了Florence上。

我们可以利用MMC和NTDSUITL进行操作主机角色的转移，也可以在操作主机离线的情况下进行操作主机角色的指定，掌握了这些，基本上就可以应对工作中对操作主机的需求了

在域里面添加权限

公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.

域名添加ICP备案操作流程精修订

域名添加I C P备案操作 流程 SANY标准化小组 #QS8QHH-HHGX8Q8-GNHHJ8-HHMHGN#

域名添加ICP备案号操作流程 一、分公司预注册系统提交工单及要求 1、原备案用户名：密码： 2、原备案主办单位名称： 3、原备案的网站域名： 4、原备案取得的备案号： 5、新添加的域名： 6、新添加域名的网站名称（注明：写单位名称）： 7、新添加域名指向的IP（无需分公司填写）： 8、网站负责人姓名： 9、网站负责人有效证件类型：身份证 10、网站负责人有效证件号码： 11、网站负责人办公电话： 12、网站负责人中国移动手机号码： 13、网站负责人电子邮箱： 14、请注明新添加的域名有无涉及前置审批（从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务） 二、需要客户出具的具体资料（相关表格模板见附件） 广东省内客户资料无变化（即仍为以下7点电子版） 1、企业：清晰有效的企业营业执照原件扫描上传至扫描系统。（副本、年检）事业单位：清晰有效的组织机构代码证原件扫描上传至扫描系统。 2、主办单位负责人（即网站负责人）身份证原件扫描件（正反两面，扫描至同一张纸）以及《法人授权书》签字加盖红色公章，原件扫描件上传至扫描系统。 备注：如果负责人姓名与法人代表姓名相同，则只需要提供法人代表人的身份证原件扫描件（正反两面，扫描至同一张纸）即可，无需提供《法人授权书》。

3、《信息安全管理协议书》甲方处签名加盖红色公章，原件扫描件上传至扫描系统。 4、《网站备案信息真实性核验单》网站负责人签字处签字，单位盖章处加盖红色公章。原件扫描件上传至扫描系统。 备注：核验人处为接入商填写信息，无需客户填写盖章。 5、域名证书原件扫描件上传至扫描系统。（多个域名至提供一份证书即可） 6、主办单位负责人（即网站负责人）彩色半身有肩纯底色照片一张。像素为：800*600。扫描至扫描系统。 7、《域名授权书》：当域名所有人与备案单位名称不一致时，需要出具该授权书。要求授权人和被授权人签字盖章，原件扫描至扫描系统。 广东省外客户（以下需要邮寄的资料需等总部审核通过之后方可） 1、企业：清晰有效的企业营业执照原件扫描上传至扫描系统。（副本、年检）事业单位：清晰有效的组织机构代码证原件扫描上传至扫描系统。 复印件加盖红色公章2份邮寄至总部。 2、主办单位负责人（即网站负责人）身份证原件扫描件（正反两面，扫描至同一张纸）以及《法人授权书》签字加盖红色公章，原件扫描件上传至扫描系统。 备注：如果负责人姓名与法人代表姓名相同，则只需要提供法人代表人的身份证原件扫描件（正反两面，扫描至同一张纸）即可，无需提供《法人授权书》。 身份证复印件及《法人授权书》原件加盖红色公章各2份邮寄至总部。 3、《信息安全管理协议书》甲方处签名加盖红色公章，原件扫描件上传至扫描系统。 签订2份原件加盖红色公章，邮寄至总部。 4、《网站备案信息真实性核验单》网站负责人签字处签字，单位盖章处加盖红色公章。原件扫描件上传至扫描系统。 备注：核验人处为接入商填写信息，无需客户填写盖章。 签订2份原件加盖红色公章，邮寄至总部。 5、域名证书原件扫描件上传至扫描系统。（多个域名至提供一份证书即可）

域控服务器迁移步骤(精)

域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10，额外域控制器的IP为192.168.1.20 第一步：主域迁移之前的备份： 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步：主域控制迁移： 1.在主域控服务器（19 2.168.1.10）上查看FSMO（五种主控角色）的owner(拥有者)，安装Windows Server 2003系统光盘中的Support目录下的support tools 工具，然后打开提示符输入： netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上，当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器（192.168.1.20) 在主域控服务器（192.168.1.10）执行以下命令： 2.1 进入命令提示符窗口，在命令提示符下输入： ntdsutil 回车， 再输入:roles 回车， 再输入connections 回车， 再输入connect to server 192.168.1.20 （连接到额外域控制器） 提示绑定成功后，输入q退出。 2.2 依次输入以下命令： Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，完成后按Q退出界面。 2.3 五个步骤完成以后，进入192.168.1.20，检查一下是否全部转移到备份服务器192.168.1.20上，打开提示符输入： netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录： 3.1 打开“活动目录站点和服务”，展开site->default-first-site-name->servers,展开192.168.1.20， 右击【NTDS Settings】点【属性】，勾上全局编录前面的勾。 然后展开192.168.1.10，右击【NTDS Settings】点【属性】，去掉全局编录前面的勾。

电脑加入域步骤

前言 为何要加入域？ 域（Domain）是一个共用“目录服务数据库”的计算机和用户的集合，加入域成员计算机和域用户都共用这个域的“目录服务数据库”，域管理员可以基于域的“目录服务数据库”来进行集中管理、共享资源。如用户、组、计算机帐号、权限设置、组策略设置等。目录服务为用户提供唯一的用户和密码，用户只需一次登录，即可访问本域或有信任关系的其它域上的所有资源（当然用户得有权限才行），而不需要多次提供用户和密码登录。在Windows 2000/XP/2003工作站加入到域后，更可以接受域控制器的补丁更新和安全防护。

1我的电脑如何加入域 1.1 加入域的步骤 以WindowsXP为例。 1、首先需要将“本地连接”中的DNS服务器地址指向具体的ip。 2、右键点击“我的电脑”，选择“属性”，在“系统属性”中选择“计算机 名”中的“更改”后： 3、在“隶属于”中点选“域”，并输入域名：*https://www.360docs.net/doc/956805737.html,，后点击确定，如果 之前的DNS没有配置刚才设定的ip时，这一步会提示错误。 4、点击“确定”后，会提示要求域管理员用户和密码验证； 5、成功的话出现欢迎对话框，随后系统会要求重启，按照要求操作才能将域 生效。 1.2 重新登录后的操作 重启动后在登录时，点击选项，出现“登录到”的选择栏，选择域名； 用户名输入各自拼音的全称；初始密码为先输入拼音的简拼即第一个字母。 系统登录后会出现全新的界面，桌面都和原来不一样了。不要着急，没关系，只是保存在另一个地方，等会考过来就复原了。 这个等下做，我们先进入“控制面板”，点击“用户帐户”，会提示您不是本

机管理员，要先输入本机之前的密码后，点击确定就可以进入查看“用户帐户” 点击“添加”，如下图 在上图中，输入域用户的帐号与密码 输入后，点下一步，选择“其他”中的Administrators后，点击完成。 成功后根据系统提示注销，再进入系统你的用户将会具有管理员权限。

2003域中限制用户安装和卸载软件的权限

何在2003域中限制用户安装和卸载软件的权限，我应该怎么通过设置 策略实现？ 可以考虑“power users”组，改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低，但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组，则应仔细地控制该组的成员，并且不要实现用于“受限制的组”设置的指导。 “受限制的组”设置可在windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置： 计算机配置\windows 设置\安全设置\受限制的组 通过将需要的组直接添加到gpo 命名空间的“受限制的组”节点上，管理员可以为gpo 配置受限制 的组。 如果某个组受限制，您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全 受限。只有通过使用安全模板才能使组受限。 查看或修改“受限制的组”设置： .打开“安全模板管理控制台。 注意：默认情况下，“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它，请启动microsoft 管理控制台(mmc.exe) 并添加“安全模板”加载项 2.双击配置文件目录，然后双击配置文件。 3.双击“受限制的组”项。 4.右键单击“受限制的组” 5.选择“添加组” 6.单击“浏览”按钮，再单击“位置”按钮，选择需浏览的位置，然后单击“确定”。 注意：通常这会使列表的顶部显示一个本地计算机。 7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。 单击“高级”按钮，然后单击“立即查找”按钮，列出所有可用组。 选择需要限制的组，然后单击“确定”。 单击“添加组”对话框上的“确定”来关闭此对话框。 对于所列出的组来说，将添加当前不是所列组成员的任何组或用户，而当前已是所列组成员的所有 用户或组将从安全模板中删除。 为完全限制“power users”组，此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组（例如“backup operators”组），建议您限制它。 如何使用组策略的进行软件分发和如何制作.msi文件?

AD五大角色转移及GC移转说明

AD五大角色轉移及GC移轉說明 在樹系中，至少會有五個 FSMO 角色被指派到一個或一個以上的網域控制站。這五種 FSMO 角色如下： * 架構主機：架構主機網域控制站會控制對架構所做的所有更新及修改。如果要更新樹系的架構，必須具有架構主機的存取權限。整個樹系中只能有一個架構主機。 * 網域命名主機：網域命名主機網域控制站會控制在樹系中新增或移除網域。整個樹系中只能有一個網域命名主機。 * 基礎結構主機：基礎結構負責更新自己網域中物件對其他網域中物件的參考。在任何時候，每個網域中只能有一個網域控制站做為基礎結構主機。 * 相對 ID (RID) 主機：RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。在任何時候，每個網域中只能有一個網域控制站做為 RID 主機。 * PDC 模擬器：PDC模擬器是一個網域控制站，它會對執行舊版 Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站 (PDC)。例如，如果網域中包含不是執行 Microsoft Windows XP Professional (商用版) 或Microsoft Windows 2000 用戶端軟體的電腦，或者如果其中包含 Microsoft Windows NT 備份網域控制站，PDC 模擬器主機就會成為 Windows NT PDC。它也是網域主機瀏覽器 (Domain Master Browser)，而且會處理密碼不符的問題。在任何時候，樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。 可以使用 Ntdsutil.exe 命令列公用程式或 MMC 嵌入式工具來轉移 FSMO 角色。根據您要轉移的 FSMO 角色而定，可以使用下列三種 MMC 嵌入式工具之一：Active Directory 架構嵌入式管理單元 Active Directory 網域及信任嵌入式管理單元 Active Directory 使用者和電腦嵌入式管理單元 如果電腦不再存在，就必須取回角色。如果要取回角色，需使用 Ntdsutil.exe 公用程式。

域用户权限设置 (改变及装软件)

http: 域用户权限设置 公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答： 根据您的描述，我对这个问题的理解是： 普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择. 1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”

b.选择“本地用户和组” c.选择“组”, d.选择其中的“administrators”并双击 c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou”的OU中.您需要赋予权限的服务是“DNSsever” 1.在“server ou”上添加一个组策略.给它定义一个名字. 2.编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3.从右面栏中找到“dns server”服务,双击. 4.选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5.在弹出窗口中,选择添加. 6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1.需要修改服务,驱动,系统文件的.(例如Google输入法) 2.一些老程序会要求系统的控制权限. 3.安装前先检查用户的组身份,不属于管理员直接拒绝.

如何迁移域控制器+FSMO+5个角色和GC

如何迁移域控制器FSMO 5个角色和GC 2009-04-07 17:27:02 标签：2003windows server 要使用 Ntdsutil 实用工具转移 FSMO 角色，请按照下列步骤操作： 1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器，或登录到转移 FSMO 角色时所在林中的域控制器。我们建议您登录到要为其分配 FSMO 角色的域控制器。登录用户应该是企业管理员组的成员，才能转移架构主机角色或域命名主机角色，或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。 2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。 3. 键入 roles，然后按 Enter。 注意：要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入 ?，然后按Enter。 4. 键入 connections，然后按 Enter。 5. 键入 connect to server servername，然后按 Enter，其中 servername 是要赋予其FSMO 角色的域控制器的名称。 6. 在“server connections”提示符处，键入 q，然后按 Enter。 7. 键入 transfer role，其中 role 是要转移的角色。要查看可转移角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。例如，要转移 RID 主机角色，键入 transfer rid master。PDC 模拟器角色的转移是一个例外，其语法是 transfer pdc 而非 transfer pdc emulator。 8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。键入 q，然后按 Enter，退出 Ntdsutil 实用工具。

客户端不能加入域的解决方法和步骤

客户端不能加入域？解决资料整合 加入域出现以下错误,windows无法找到网络路径，请确认网络路径正确并且目标计算机不忙或已关闭？核心提示： 在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。 故障现象：单位有一台运行Windows XP系统的办公用计算机，由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。按照正常的操作步骤进行设置，在“系统属性”的“计算机名”选项卡中加入域的时候，系统要求输入有权限将计算机加入域的用户名和密码（这表示已经找到域控制器）。然而，在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。 解决方法： 由于客户端计算机能够找到域控制，因此可以确定网络的物理连接和各种协议没有问题。此外，由于可以在该计算机上找到域控制器，说明DNS解析方面也是正常的。那为什么能找到域控制器却又提示无法找到网络路径呢？这很可能是未安装“Microsoft网络客户端”造成的。在“本地连接属性”窗口的“常规”选项卡中，确保“Microsoft网络客户端”处于选中状态，然后重新执行加入域的操作即可。 “Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一，利用该组件可以使本地计算机访问Microsoft网络上的资源。如果不选中该项，则本地计算机没有访问Microsoft网络的可用工具，从而导致出现找不到网络路径的提示。本例故障的解决方法启示用户，为系统安装常用的组件和协议可以避免很多网络故障的发生， 计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信. 服务端（域控制器）：Microsoft网络文件和打印共享和网络负载平衡没选择上去， 一定要选择上Microsoft网络文件和打印共享和网络负载平衡。 客户端要加入域,相关的服务要开始：

如何查看和转移 Windows Server 2003 中的 FSMO 角色

如何查看和转移Windows Server 2003 中的FSMO 角色 本文介绍了如何通过使用Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色（也称作操作主机角色）。 FSMO 角色 在目录林中，有至少五个分配给一个或多个域控制器的FSMO 角色。这五个FSMO 角色是：?架构主机：架构主机域控制器控制对架构的所有更新和修改。若要更新目录林的架构，您必须有权访问架构主机。在整个目录林中只能有一个架构主机。 ?域命名主机：域命名主机域控制器控制目录林中域的添加或删除。在整个目录林中只能有一个域命名主机。 ?结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。任何时刻，在每一域中只能有一个域控制器充当结构主机。 ?相对ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的RID 池请求。任何时刻，在域中只能有一个域控制器充当RID 主机。 ?PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器(PDC) 向运行Windows 的早期版本的工作站、成员服务器和域控制器公布。例如，如果该域包含未运 行Microsoft Windows XP Professional 或Microsoft Windows 2000 客户端软件的计算 机，或者如果包含Microsoft Windows NT 备份域控制器，则PDC 模拟器主机充当 Windows NT PDC。它还是“域主浏览器”并负责处理密码差异。任何时刻，在目录林的每 个域中只能有一个域控制器充当PDC 模拟器主机。 您可以通过使用Ntdsutil.exe 命令行实用工具或使用MMC 管理单元工具来转移FSMO 角色。根据您要转移的FSMO 角色，可以使用以下三个MMC 管理单元工具之一： “Active Directory 架构”管理单元 “Active Directory 域和信任关系”管理单元 “Active Directory 用户和计算机”管理单元 如果某一计算机已不存在，则必须取回其角色。若要取回角色，请使用Ntdsutil.exe 实用工具。 转移架构主机角色 使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll 文件，然后才能使用此管理单元。 注册Schmmgmt.dll

域用户权限

域用户权限设置 公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况，windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候，域用户自动加入了客户机本地的“user”组，这个组只有一些基本的使用功能。而您提到的重启服务，安装程序这样的操作，是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限，您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号，让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”，选择“管理” b。选择“本地用户和组” c。选择“组”， d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。

另外，如果您需要某些用户对服务器的某些服务有管理权限，但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略，展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务，双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置，然后点击“编辑安全设置” 5。在弹出窗口中，选择添加。 6。输入您需要的用户(组)，然后在下面的权限栏中，赋予那个用户(组) “启动，停止和暂停”权限。 关于安装程序，您可以还可以把用户加入到本地的“power user”组，这个组的成员有权限装一部分的软件，但是涉及以下方面的程序无法安装: 1。需要修改服务，驱动，系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份，不属于管理员直接拒绝。 由于各种程序，特别是第三方程序的细节我们很难确定，而且有时候安装的问题不一定会立刻显示出来，我们还是建议您使用管理员权限去安装程序。

详细操作步骤

详细操作步骤 一、供应商注册信息填写（企业） 1、进入注册界面：通过登录网址https://www.360docs.net/doc/956805737.html,进入采购平台门户首页，在页面右下方点击“供应商注册”按钮进行填写注册信息； （图1：注册按钮） 2、注册须知阅读：为所有供应商提供一个公正、公平、公开的平等互利的采购平台，需要严格遵守宁夏建材采购平台的规定的各项规章制度，同时，也是为了保护每位供应商的自身利益和系统的可持续发展，请详细阅读注册须知。 （图2） 3、注册信息填写：如果同意宁夏建材采购平台的注册须知，点击页面最下方的“开始注册”按钮进行填写注册信息。

目前供应商注册性质分为企业和个人两种，一种的是以企业名誉进行注册的，填写企业的相关信息；企业信息主要分两部分信息：基本信息和联系人信息，页面中带* 号的是必输信息，请按企业的实际情况进行填写：以下具体详细介绍： 基本信息 *性质：选择企业； *公司名称：填写真实的公司名称，以营业执照上的公司名称进行填写； 注册地址：根据企业实际情况填写，此项不是必填项； 工厂地址：根据企业实际情况填写，此项不是必填项； *经营地址：按企业实际经营地址进行填写，越详细越好，便于以后业务往来； *公司邮箱：按实际情况进行填写； 公司电话：按实际企业联系电话填写，需要能联系到业务联系人的座机，具体填写格式如： *法人代表：按企业营业执照上的法定代表人姓名进行填写； *经营范围：按企业营业执照上的经营范围内容填写； *是否统一社会信用代码证：根据实际情况进行选择； *社会信用代码证号：根据实际情况进行填写； *组织机构代码证号：根据实际情况进行填写。

（社会信用代码证号或组织机构代码证号，是校验注册的唯一标识，同一编号不能重复注册） （图3：基本信息填写，数据为虚拟演示数据）联系人信息 *联系人：填写业务往来的主要联系人姓名； *证件类型：证件类型主要四种类型，二代身份证，港澳通行证、台湾通行证、护照,默认是的二代身份证，请按实际证件类型选择； 联系人证件号：根据选择的证件类型填写对应的证件号； *手机号：根据实际联系人的手机号进行填写，供日后业务往来与重要信息接收； *联系人邮箱：根据实际情况填写联系人邮箱，如有企业邮箱，需填写企业邮箱地址，供以后业务信息接收。

域控主机迁移总结

域控主机迁移总结文档编制序号：[KK8UY-LL9IO69-TTO6M3-MTOL89-FTT688]

本文目录 经历过一次域控主迁移，悲剧的域控主机down掉。今天写一写，以后备用。 前提条件：一台域控主机A，一台备份域控主机B。 目的：将域控主机A迁移到域控主机B 步骤：1、将B作为备份域控主机 2、将A的所有信息从活动目录删除 3、把FSMO角色强行夺取过来 4、设置全局编录 具体步骤：1、运行dcpromo命令? 2、弹出Active Directory安装向导，点“下一步” 3、默认，“下一步” 4、选“现有域的额外域控制器”，点“下一步” 5、输入管理员及密码--还原模式密码--最后一步配置。 6、在域控主机A上运行ntdsutil

Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.360docs.net/doc/956805737.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0 List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象 使用ADSI EDIT工具删除Active Directory users and compute rs中的Domain controllers中欲删除的服务器对象 在AD站点和服务中删除没用的服务器对象 把复制连接也删除 把FSMO角色强行夺取过来用到“Ntdsutil” 这里有两种方法分别是Seize和Transfer，如果原来的FSMO角色的拥有者处于离线状态，那么就要用Seize，如果处于联机状态，那么就要用Transfer。在这里由于SERVER已经离线了，所以要用“Seize” 在站点和服务中设置全局编录

域用户本地权限设置

域用户本地权限设置文档 一、情况说明 本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候，默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中

的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法 1、通过组策略强制把Domain Admins加入到每个客户端的本地 administrators组中，然后通过大通的权限获取机制安装大通windows服务。 2、通过组策略把Domain Users加入到每个客户端的本地administrators组 中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 二、解决步骤 方法1： 创建datong.vbs，内容如下： Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD中右键点击“域（例如https://www.360docs.net/doc/956805737.html,）”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑”

Win2008 R2管理一：创建和加入域

Win2008 R2管理一：创建和加入域 最近微软放出了Windows Server 2008 R2和Windows 7的中文版，呵呵，符合国人的习惯，Windows Server 2008 R2最好玩的功能虚拟化高可用群集中的快速迁移和实时迁移我们在前面已经玩过了，高深的我们已经玩过了，没有玩过的也跟着我的博文一起玩过了，呵呵，本系列玩玩Windows Server 2008 R2的基础功能和配套Windows 7管理，例如域和一些其他管理上的新亮点和特性。 为什么要配套管理和做系列呢，因为相应的服务器版本是对应相应的客户端，例如windows 2000 server对windows 2000和windows server 2003对windows xp以及windows server 2008对windows vista。本年度微软发布的windwos server 2008 R2则是为windows 7量身定做的。 为什么要分版本对应呢，这里描述个简单的例子，假如域控使用windows server 2008构建，客户端使用windows xp来构建，某些组策略可能会无法套用，需要到微软下载专用的补丁才能正常套用，就像office2003要打开office2007创建的文档需要office兼容包，但是office兼容包不是随更新提供的，只是单独到微软网站下载的。如果网络上没有先例，可能只能将问题提到微软，如果是盗版用户，则无法获得微软的解答，到微软中文论坛提问则另当别论，呵呵，微软中文论坛的大牛多，运气好某个大牛在就给解答了。所以目前我公司的架构还没升级，域控为2003网域，其他服务器为2008，Windows Server 2008 R2只是个人测试中。 不说废话了，先描述我的环境， OS1安装windows server 2008 R2企业版 OS2安装windows 7 旗舰版 过程为创建域和用户以及加入域（图1） 1。创建Windows Server 2008 R2网域和创建域用户 首先在server使用dcpromo开始安装网域操作，步骤跟2003和2008都没什么太大的差异，基本上一样，因此也就不截图了 有一点不一样而已-林功能级别!（图2）

AD FSMO 五种角色主机的作用与操作手册

AD FSMO 五种角色主机的作用 AD FSMO 五种角色主机的作用 (1) 森林级别 (1) １、架构主机（Schema Master） (1) ２、域命名主机（Domain Naming Master） (2) 域级别 (2) ３、RID主机（RID Master） (2) ４、PDC模拟主机（PDC Emulator） (3) ５、基础结构主机（Infrastructure Master） (3) 性能优化考虑 (4) Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）： 1.架构主机schema master 2.域命名主机domain naming master 3.相对标识号(RID) 主机RID master 4.主域控制器模拟器(PDCE) 5.基础结构主机infrastructure master 森林级别 １、架构主机（Schema Master） 功能：控制活动目录内所有对象属性的定义 提示： Regsvr32 schmmgmt.dll Schema Admins组 故障影响：更新Schema受影响 短期内一般看不到影响 典型问题如：无法安装Exchange 故障处理：需确定原OM 为永久性脱机才可抓取确保目标DC为具有最新更新的DC

２、域命名主机（Domain Naming Master） 功能：控制森林内域的添加和删除 添加和删除对外部目录的交叉引用对象 提示：建议与GC配置在一起 Enterprise Admins组 故障影响：更改域结构受影响 短期内一般看不到影响 典型问题如：添加/删除域 故障处理：需确定原OM为永久性脱机才可抓取 确保目标DC为具有最新更新的DC 域级别 ３、RID主机（RID Master） 功能：管理域中对象相对标识符（RID）池 提示：对象安全标识符（SID）= 域安全标识符+ 相对标识符（RID）* 形如： S-1-5-21-1343024091-879983540-3 … 故障影响：无法获得新的RID池分配 典型问题如：无法新建（大量）用户帐号 故障处理：需确定原OM为永久性脱机才可抓取 确保目标DC为具有最新更新的DC

域用户权限设置 (改变及装软件)

https://www.360docs.net/doc/956805737.html,/share/detail/19389613 域用户权限设置 公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？ 回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.

如何突破公司电脑域账号限制获得管理员权限

【基本思路】 利用PE工具启动电脑，清除Administrator账号的密码，进而重新开机直接登录管路员账号。 [ 现在PE工具非常多，在此，我仅以其中一款为案例说明详细步骤] 一、制作前准备（注意：操作前备份好u盘数据） 1.电脑内存不能小于512MB 2.U盘的容量大于512MB 3.下载U盘启动盘制作工具 【老毛桃U盘启动盘制作工具Build20111206】下载地址： https://www.360docs.net/doc/956805737.html,:90/老毛桃WinPe－u盘版.rar 二、制作U盘启动盘 双击【老毛桃U盘启动盘制作工具Build20111206】,选择你的U盘，画面如下图：

点击“一键制成USB启动盘”按钮（注意操作前备份重要数据） 制作成功，如下图，此时可以拔出你的U盘

注意：由于U盘系统文件隐藏，你会发现u盘空间会减少330M左右，请不要担心此时没有制作成功

三、重启进入BIOS设置U盘启动(提示:请先插入U盘后，再进入BIOS) 在计算机启动的第一画面上按"DEL"键进入BIOS（可能有的主机不是DEL有的是F2或F1.请按界面提示进入），选择Advanced BIOS FEATURES ，将Boot Sequence（启动顺序），设定为USB-HDD模式，第一，设定的方法是在该项上按PageUP或PageDown键来转换选项。设定好后按ESC一下，退回BIOS主界面，选择Save and Exit（保存并退出BIOS设置，直接按F10也可以，但不是所有的BIOS都支持）回车确认退出BIOS设置。 四、进入【U盘启动盘制作工具】启动菜单界面 点击09即可清除原有Administrator账户密码了。

office2010版计算机二级word综合操作步骤图解

正文内容已输入，按要求对该文档进行以下设置：章样式及自动编号、节样式及自动编号、新建样式并应用、对图表添加题注并设置交叉引用、自动生成目录及图表索引、分别添加奇偶页页眉页脚等。 按下列要求对文档“DWord.docx”进行设置。（注意：以题目要求为准，注意及时保存。）首先“ctrl+A”选中全文，将全文样式修改为“正文”样式。 1、对正文（指的是除了目录索引等外的内容）进行排版，其中： 1)使用多级符号对章名、小节名进行自动编号，代替原始的编号。要求： 章号的自动编号格式为：第X章（例：第1章），其中：X为自动排序。阿拉伯数字序号。对应级别1。居中显示。 小节名自动编号格式为：X.Y，X为章数字序号，Y为节数字序号（例：1.1）。 a)先定义新的多级列表：单击段落组中的“多级列表”→“定义新的多级列表”。

图2 章节多级符号设置 c)★不要关闭图2“章节多级符合设置”对话框，继续设置小节名的样式： ⑥先删除“编号格式”中原有内容 ⑦“级别”选择“2” ⑧“前一级别编号”选择“级别1”；在“编号格式”的“1”后输入“.”；“编号样 式”选择“1, 2, 3, …”，“起始编号”选择“1” （此时“编号格式”显示“1.1”，注意此处2个“1”都是域结果，灰色底纹显示） ⑨“对齐位置”值设为“0”；“将级别链接到样式”选择“标题2”；勾选“在其后 重新开始编号”，并选择“级别1” ⑩按“确定”按钮后，“样式和格式”对话框样式显示如图4所示。 图3 小节名多级符号设置图4“样式和格式”对话框 d)按下列步骤将样式应用到章名： ①将光标置于第1章章名“第1章PowerPoint简介”所在行 ②单击“样式和格式”对话框中的样式“标题1”