活动目录域控制器管理:全局编录与 FSMO 角色详解
1. 全局编录概述
在多域森林环境中,域控制器只能对其所在域的用户进行身份验证,且单个域控制器无法托管多个域。为了让所有域中的域控制器都能获取森林中每个对象的部分信息,引入了全局编录的概念。全局编录包含森林中每个对象的部分属性子集,并会复制到森林中所有配置为全局编录服务器的域控制器上。
1.1 全局编录特点
- 全局编录本质上是具有增强功能的域控制器,并非独立的系统类型。
- 默认情况下,森林中的第一个域控制器是全局编录。若需要其他全局编录服务器,则需将域控制器显式提升为该角色。
- 对于使用通用组的环境,用户登录时需要快速访问全局编录以解析通用组成员身份。
- 交换服务器需要在同一活动目录站点中有可用的全局编录。
1.2 查找全局编录
1.2.1 使用 GUI 查找
可以使用“AD 站点和服务”工具来查找环境中的全局编录,具体步骤如下:
1. 打开“AD 站点和服务”。
2. 展开“站点”(点击“站点”左侧的三角形)。
3. 选择并打开站点名称。
4. 选择“服务器”,这些是该站点中的域控制器。
5. 会显示类似的界面。
6. 如果域控制器是全局编录,“DC 类型”将显示为“GC”。
使用“AD 站点和服务”工具的缺点是需要逐个检查每个站点,对于站点数量较多的环境来说非常繁琐。
1.2.2 使用 PowerShell 查找
无法直接使用 PowerS