操作系统与网络服务器管理 Windows Server 2008 项目9 活动目录域.pptVIP

4) 单击“确定”按钮,弹出如图9-32所示对话框,只需在该界面中单击“确定”按钮重新启动计算机即可完成将计算机退出域的操作。 图9-32　重新启动计算机 9.6　项目实施——删除Active Directory域服务 如果已经有多个域控制器或者不需要使用Windows Server 2008作为域控制器,可以将相应的域控制器降级为成员服务器或者独立服务器。降级后的Windows Server 2008中将不再保存用户和组的信息,用户不可能用恢复的方法使该服务器成为域控制器。因此在降级之前应慎重考虑。 但如果网络中只有一个域控制器,降级后则成为独立服务器。 【项目操作】将域控制器“Server1”上的Active Directory域服务删除,具体步骤如下: 1) 以域管理员账户登录到域控制器上,选择“开始”→“运行”选项,输入命令“dcpromo”命令,然后单击“确定”按钮,弹出“Active Directory域服务安装向导”对话框,如图9-33所示,通过该向导删除当前计算机上的Active Directory域服务。 图9-33　“Active Directory域服务安装向导”对话框 2) 单击“下一步”按钮,弹出如图9-34所示对话框,该信息表示当前域控制器是全局编录服务器,在删除此计算机上的Active Directory域服务之前,应确保此域的用户可以访问其他全局编录服务器。 图9-34　当前域控制器是全局编录服务器 3) 单击“确定”按钮,弹出“删除域”对话框,如果该计算机是域中的最后一个域控制器,则勾选“删除该域,因为此服务器是该域中的最后一个域控制器”复选框,如图9-35所示。 图9-35　“删除域”对话框 4) 单击“下一步”按钮,弹出“应用程序目录分区”对话框,如图9-36所示,在该对话框中显示域控制器上保留的应用程序分区信息。 图9-36　“应用程序目录分区”对话框 5) 单击“下一步”按钮,在弹出的“确认删除”对话框中勾选“删除这个域控制器上的所有应用程序目录分区”复选框,如图9-37所示。 图9-37　“确认删除”对话框 6) 单击“下一步”按钮,开始检查是否需要删除DNS委派,如图9-38所示。 图9-38　检查是否需要删除DNS委派 7) 检查完毕,弹出“Administrator密码”对话框,在该对话框中输入卸载“Active Directory域服务”后登录系统时所用的系统管理员(Administrator)密码,如图9-39所示。输入后请务必记住。 图9-39　“Administrator密码”对话框 8) 单击“下一步”按钮,弹出如图9-40所示的“摘要”对话框。根据摘要提示,这是最后一个域控制器,删除活动目录后,该域控制器将降级为独立服务器。但需要注意的是如果该域有子域,则不能将它删除。 图9-40　“摘要”对话框 9) 单击“下一步”按钮,系统开始降级目录服务,删除Active Directory,如图9-41所示,整个过程需要几分钟时间。 图9-41　正在删除Active Directory域服务 10) 删除Active Directory后系统将弹出“完成Active Directory安装向导”对话框,如图9-42所示。 图9-42　“完成Active Directory安装向导”对话框 11) 单击“完成”按钮,如图9-43所示,向导提示要求重新启动计算机,重启计算机后,所有的设置生效,该服务器将降级为独立服务器。 图9-43　向导提示重启计算机 9.7　Windows Server 2008活动目录的新特性 微软在发布系统的每个版本中都会对活动目录的特性做出若干改进,根据客户的反馈和应用需求来增加一些重要的功能以便企业使用。 在Windows Server 2008中,以核心服务AD DS作为其他所有活动目录服务的基础。AD DS做出了如下的改进。 1. 审核活动目录的变更 以前,进行活动目录的审计是一件非常繁琐的事情:激活仅有的一个全局策略“目录服务访问”,将审核与活动目录有关的大量的事情,难以分辨和使用。对此,Windows Server 2008所做的调整是将此主策略分为4项子策略:目录服务访问、目录服务变更、 目录服务复制、 详细的目录服务复制。这样不但有效地分流了事件日志,而且还能精确记录谁做出修改、修改何时发生、修改了哪些对象与属性,以及修改前后的值,大大增强了日志的可读性。用户可以通过激活主策略来激活全部4项子策略,也可以通过auditpol.exe分别激活4项子策略。 2. 多元密码策略(Fine-Grained Passwords Policy) 密码策略对于一个域来说至关重要。在以前的版本中,一个域内只有一套密码策略和账户锁