FSMO角色的转移和夺取的过程

识别 FSMO 角色描述识别哪些 Active Directory 域控制器提供五种 FSMO 角色：Schema Master（架构主控）、Domain Naming Master（域重命名主控）、PDC Emulator（PDC 模拟主控）、RID Master（RID主控）和 Infrastructure Master（基础结构主控）。

/results.aspx?mkt=zh-CN&setlang=zh-CN&q=FSMO/technet/prodtechnol/windowsserver2003/zh-chs/library/Serve rHelp/33d25c21-ae42-422c-be18-d3e706e4b45e.mspx?mfr=true①占用 RID 主机角色1. 打开“命令提示符”。

2. 键入：ntdsutil3. 在 ntdsutil 命令提示符下，键入：roles4. 在 fsmo maintenance 命令提示符下，键入：connections5. 在 server connections 命令提示符下，键入：connect to server DomainController6. 在 server connections 提示符下，键入：quit7. 在 fsmo maintenance 命令提示符下，键入：seize RID master②占用 PDC 模拟器角色1. 打开“命令提示符”。

2. 键入：ntdsutil3. 在 ntdsutil 命令提示符下，键入：roles4. 在 fsmo maintenance 命令提示符下，键入：connections5. 在 server connections 命令提示符下，键入：connect to server DomainController6. 在 server connections 提示符下，键入：quit7. 在 fsmo maintenance 命令提示符下，键入：seize PDC③占用架构主机角色1. 打开“命令提示符”。

S e r v e r2012R2部署域控、额外域控及F S M O角色转移和夺取网络环境：2012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.1/242012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：网关：无,配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息,如下图打开服务器管理器,点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装,如下图池中仅一台主机,保持默认此图是在未更改主机名时截取的,更改后的截图找不到了,拿来顶替,如下图选择AD域服务并添加功能,如下图功能不做添加,不选择直接下一步,跳转到添加ADDS域服务向导,如下图确认安装所选内容,点击安装,如下图正在安装域服务器,如下图安装完毕,点击关闭,如下图点击服务器管理器上方的小旗子查看提示内容,选择将此服务器提示为域控制器,如下图因为这是此域中第一个域,选择添加新林并输入根域名信息,如下图选择域控制器林和域功能级别并设置DSRM密码,如下图出现DNS敬告,因为没有安装DNS,忽略,直接下一步,如下图NETBIOS设置,保持默认,直接下一步,如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置,如下图配置选项查看,可检查是否有问题,有问题点击上一步返回,否则直接下一步,如下图AD域服务器部署前先决条件检查,检查通过后,点击安装,如下图正在配置域服务,配置完成后会自动重启;如下图重启后,登录AD服务器,配置DNS反向查找区域,没有反向查找区域时,nslookup解析会出现问题,如下图DNS反向查找区域配置向导,如下图在区域类型中选择主要区域,如下图设置传送作用域,如下图设置反向查找IP类型,如下图输入反向查找区域名称,如下图指定反响查找更新类型,如下图完成DNS反向查找区域建立,如下图在DNS反向查找区域中查看记录,如下图二、上面设置已经完成主域的部署,接下来,部署额外域控;2012R2DC2网卡信息配置如下图将2012R2DC2加入ITPro域中,如下图输入有权限加入域的用户凭据,如下图成功加入域,如下图加入域后,重启;在服务器管理器中,点击添加角色和功能,如下图安装类型选择基于角色或基于功能的安装,如下图选择2012R2DC2,点击下一步,如下图在服务器角色中选择AD域服务,点击下一步,如下图功能添加保持默认,直接下一步跳转到ADDS域服务向导,如下图安装摘要,检查安装角色是否正确,没有问题点击安装;如下图安装完成后,点击右上方小旗子,显示提示内容,选择将此服务器提升为域控制器,如下图在部署配置中选择奖域控制器添加到现有域,如下图在上图中点击更改,弹出部署操作凭据,验证通过后点击一下步,如下图指定域控功能和站点信息并输入DSRM密码,如下图DNS因为没有安装,提示警告,可以忽略,点击下一步,如下图如果勾选“从媒体路径安装”,是离线部署;我们选择从域控制器在线复制ActiveDirectory数据,复制源于“任何域控制器”,这里只有一个域,多域需选择指定域;如下图指定ADDS数据库、日志文件和SYSVOL的位置,如下图检查额外域控配置,确认无误后点下一步,如下图先决条件检查,通过后点击安装,如下图额外域控配置完成后会自动重启,重启后登录额外域控,配置网卡DNS为本机IP,只有这样DNS才会和主域DNS同步,这是实现DNS和AD冗余的关键,网卡设置后,两台服务器AD和DNS才会相互复制,如下图在2012R2DC2中查看DNS,已同步2012R2DC1中记录,如下图三、DHCP配置,在2012R2DC1中,在添加角色和功能中选额添加DHCP角色,如下图添加功能保持默认,直接下一步转到DHCP向导和注意事项,点击下一步,如下图正在安装DHCP服务器,如下图DHCP服务器安装完成,如下图DHCP安装完成后在服务器管理器界面,点右上方小旗子,在显示的内容中选择配置DHCP配置DHCP授权,如下图DHCP配置完成摘要,如下图如上步骤,在2012R2DC2中安装DHCP角色并授权;授权时只需点击右上方小旗子,在显示的内容中配置DHCP 并授权,为配置DHCP故障转移做准备,不做具体配置;如果没有授权,备用DHCP不会启用在服务器管理器中,点击工具选择DHCP调出DHCP服务器,如下图在IPv4选项下配置作用域,点击下一步,如下图新建作用域的IP地址范围,点击下一步,如下图设置DHCP作用域IP排除范围,点击下一步,如下图设置DHCP租约,点击下一步,如下图配置DHCP选项,选择后点击下一步,如下图配置域名及DNS,配置后点击下一步,如下图配置WINS服务器,这里是测试,不做配置,直接下一步,如下图激活作用域配置,点击下一步,如下图完成作用域配置,点击完成,如下图在2012DC1上右键刚建立的作用域,点击,配置故障转移,如下图配置故障转移向导,直接下一步,如下图指定伙伴服务器,点击添加服务器,在弹出的添加服务器中查找服务器并添加,点击下一步,如下图配置故障转移关系-负载均衡,测试要实现的是主DHCP宕机后,客户端IP不变化,这里不做设置,如下图本次测试将DHCP配置为热备用服务器,备用服务器设置为待机,当主DHCP宕机,备用DHCP会提供服务;如下图故障转移摘要,确认无误后,点击完成,如下图故障转移关系完成,如下图登录2012R2DC2,查看故障转移关系,服务器为待机有关DHCP故障转移关系可参考：到此有关AD、DNS和DHCP冗余已经设置完成;接下来验证下主域宕机的情况下,客户端能否登陆域及DHCP故障转移是否实现下图是主域在线客户端登录的相关信息,可以看到FSMO角色在2012R2DC1上,用户登录域为2012R2DC1,主机获取的IP地址为1,DHCP服务器地址为1接下来我们禁用2012R2DC1的网卡模拟服务器宕机,重启客户端登录服务器,下图中可以看到FSMO角色没有变化,客户端IP地址也没有变化,登录域变成了2012R2DC2,DHCP服务器变成了从主域宕机前和宕机后客户端的两个截图表明,AD额外域控及DHCP已实现;在客户端中查看域中FSMO角色位置,详见四、接下来针对域服务器的FSMO五中主机角色做转移下面分别介绍使用MMC控制台、命令行和PowerShell转移FSMO角色1、使用MMC控制台转移FSMO角色首先在2012R2DC1中查询FSMO角色,打开Powershell输入netdomqueryFSMO,从图中可以看到五中角色都在2012R2DC1上在2012R2DC1上,打开AD用户和计算机,更改连接的域控制器,如下图选择要连接的域控制器,由于2012DC1不能转移到自身,所以状态为不可用,如下图在ITPro上右键选择操作主机,如下图操作主机显示可以转移三个角色,分别是RID、PDC和基础结构,切换选项卡转移各主机角色,如下图打开AD域和信任关系,连接到2012R2DC2,右键AD域和信任关系,选择操作主机,如下图更改域命名主机,操作和前面3个主机角色相同;如下图架构主机的更改需注册组件,PS中操作如下图打开MMC控制台在添加删除管理单元中添加AD架构并打开,如下图在打开的AD架构中先连接到2012R2DC2,然后更改架构主机,如下图完成后,查询FSMO角色的位置,现在已经成功将FSMO角色从2012R2DC1转移到2012R2DC2上,如下图2、命令行转移FSMO角色,转移命令如下NtdsutilRolesConnectionsConnecttoServer<DC>QuitTransferDomainnamingmasterTransferinfrastructuremasterTransferPDCTransferRIDmasterTransferSchemamaster在刚才通过MMC控制台已经将FSMO角色转移到2012R2DC2,这次通过命令行将FSMO角色转移到2012R2DC1在PS中操作如下图,命令由红线标示在PS中复制粘贴命令,在弹出的对话框中点击“是”,如下图如下图所示,五种角色均转移完成转移完成后在PS中查看到现在FSMO角色已经转移到2012R2DC1中,如图3、使用PowerShell转移FSMO角色刚才通过命令行将FSMO角色转移到了2012R2DC1中,现在通过PowerShell命令将FSMO角色转移到2012R2DC2;操作命令Move-ADDirectoryServerOperationMasterRole-Identity"2012R2DC2"-OperationMasterRole0,1,2,3,4;在Powershell中可输入OperationMasterRole的值PDCEmulatoror0,RIDMasteror1,InfrastructureMasteror2,SchemaMasteror3,DomainNamingMasteror4图中提示是否转移,这里要转移五种角色,选择A,按回车键现在在PS中查询,已经将FSMO角色转移到2012R2DC2上有关powerShell命令可参考：五、接下来针对域服务器的FSMO五中主机角色做夺取使用命令行及PowerShell命令夺取1、使用命令行夺取FSMO角色NtdsutilRolesConnectionsConnecttoServer<DC>QuitSeizeDomainnamingmasterSeizeinfrastructuremasterSeizePDCSeizeRIDmasterSeizeSchemamaster上步通过PS已经将FSMO角色转移到2012R2DC2中,现在将FSMO五种角色夺取到2012R2DC2上;先关闭2012R2DC2,ping主机已不在线,下面输入操作命令在进行强制夺取时首先会进行安装传送在PS中复制粘贴各主机角色夺取命令然后执行,夺取完成后验证FSMO各主机角色位置,如图,已经成功将FSMO角色夺取到2012R2DC1上2、使用PowerShell命令夺取FSMO角色上步通过命令行夺取了FSMO角色,夺取后2012R2DC2已不可用;在虚拟机上通过快照恢复到夺取前状态;先查询FSMO角色位置,FSMO角色在2012R2DC2上,关闭主机;如图使用Powershell命令夺取FSMO角色,操作命令：Move-ADDirectoryServerOperationMasterRole-Identity"2012R2DC1"-OperationMasterRole0,1,2,3,4–Force;在Powershell中可输入OperationMasterRole的值PDCEmulatoror0,RIDMasteror1,InfrastructureMasteror2,SchemaMasteror3,DomainNamingMasteror4转移过程有点长,转移后检查FSMO角色的位置,现在已成功将FSMO角色转移到2012R2DC1中有关夺取的PowerShell命令参考：3、在夺取后需对宕机服务器信息进行清理,DNS记录、DC元数据和站点信息清理宕机服务器命令如下信息清理涉及命令如下NtdsutilMetadatacleanupConnectionsConnecttoDomain<DC>QuitSelectoperationtargetListsitesSelectsite<ID>ListDomaininsiteSelectDomainIDListserversforDomaininsiteSelectserver<ID>QuitRemoveselectedserver在操作过程中如果出现如下信息,命令输入错误;需返回上一步或重头开始正常的信息如下命令行中操作如下,只要不出错,命令可以简写,命令用红线标示,如下图弹出删除对话框,点击是,命令用红线标示,如下图元数据清理成功,如下图清除元数据后,打开DNS服务,在正向和反向查找区域中删除有关2012R2DC2的记录;如下图最后打开AD站点和服务,删除默认站点——Servers下的2012R2DC2,如下图删除后,重启Server2012R2DC1.至此清理宕机服务器的数据已经完成;附：在客户端查询FSMO角色脚本将下面代码复制到文本中,将后缀改为vbs,然后在客户端执行即可SetobjRootDSE=GetObjectrootDSE"Dimtext'SchemaMasterSetobjSchema=GetObject&objRootDSE.Get"schemaNamingContext"strSchemaMaster=objSchema.Get"fSMORoleOwner"SetobjNtds=GetObject&strSchemaMasterSetobjComputer=GetObjectobjNtds.Parenttext="Forest-wideSchemaMasterFSMO:"&&vbCrLfSetobjNtds=NothingSetobjComputer=Nothing'DomainNamingMasterSetobjPartitions=GetObject&_objRootDSE.Get"configurationNamingContext"strDomainNamingMaster=objPartitions.Get"fSMORoleOwner"SetobjNtds=GetObject&strDomainNamingMasterSetobjComputer=GetObjectobjNtds.Parenttext=text&"Forest-wideDomainNamingMasterFSMO:"&&vbCrLfSetobjNtds=NothingSetobjComputer=Nothing'PDCEmulatorSetobjDomain=GetObject&objRootDSE.Get"defaultNamingContext"strPdcEmulator=objDomain.Get"fSMORoleOwner"SetobjNtds=GetObject&strPdcEmulatorSetobjComputer=GetObjectobjNtds.Parenttext=text&"Domain'sPDCEmulatorFSMO:"&&vbCrLf SetobjNtds=NothingSetobjComputer=Nothing'RIDMasterSetobjRidManager=GetObjectManager$,CN=System,"&_objRootDSE.Get"defaultNamingContext"strRidMaster=objRidManager.Get"fSMORoleOwner"SetobjNtds=GetObject&strRidMasterSetobjComputer=GetObjectobjNtds.Parenttext=text&"Domain'sRIDMasterFSMO:"&&vbCrLfSetobjNtds=NothingSetobjComputer=Nothing'InfrastructureMasterSetobjInfrastructure=GetObject&_objRootDSE.Get"defaultNamingContext"strInfrastructureMaster=objInfrastructure.Get"fSMORoleOwner" SetobjNtds=GetObject&strInfrastructureMasterSetobjComputer=GetObjectobjNtds.Parenttext=text&"Domain'sInfrastructureMasterFSMO:"&&vbCrLf WScript.Echotext。

夺取FSMO角色，删除已损坏的DC信息10.0.0.18 DC、DNS 服务10.0.0.15DBC、DNS服务10.0.0.18UC-AD已损坏，需要在UC-BDC上夺取FSMO角色夺取成功后，将损坏的UC-AD的信息从AD中删除1、夺取FSMO角色；FSMO各个角色均在UC-AD这台域控制器上；UC-AD这台域控制器已经损坏；Xchenly@将uc-bdc配置为“全局编录”；注：在Win2003AD域环境中，除了FSMO操作主机角色外，全局编录服务器(GC)也是有着特殊含义的域控制器。

通过GC，可以提高在活动目录中搜索对象的速度，可以加快用户登录验证等。

“全局编录”默认配置在第一台安装的DC上；Xchenly@在UC-BDC上执行“ntdsutil”命令；如是需要帮助，执行“？”命令；“connections”“连接到一个特定的域控制器”;“connect to server uc-bdc.uc.local”连接到UC-bdc.uc.local这台域控制器；绑定成功，“quit”返回到上一菜单；Xchenly@采用Seize等命令，将角色进行夺取；执行“Seize domain naming master”夺取“域命名主机”角色；点击“是”；Xchenly@ “夺取成功”接下来，将剩余四个角色夺取；Xchenly@“基础架构主机”角色夺取成功；Xchenly@ “PDC仿真”角色夺取成功；其它几个角色采用相同的办法进行夺取；Schmmgmt.dll；注册成功；Xchenly@ 添加“Active Directory架构”；架构主机成功夺取；Uc-bdc.uc.local：DNS地址配置为：127.0.0.1（即该服务器自身IP地址）；将客户端的首选DNS配置为uc-bdc.uc.local这台域控制器的IP地址；2、在AD中删除损坏的DC：uc-dc.uc.local的信息；在uc-bdc.uc.local上执行ntdsutil命令来删除损坏的dc信息；Metadata cleanup:清除不使用的服务器对象；Select operation target:选择站点，服务器，域，角色和命名上下文；Connect to server uc-bdc.uc.local:连接到uc-bdc.uc.local这台DC；Quit：返回上一级菜单；List site ：在企业中列出站点；Select site 0：选中站点0；（环境中只有一个站点，即：default-first-site-name ）List domains :在企业中列出域；Select domain 0:选中列出的域0；（环境中只一个域，即：uc.local ）List server for domain in site ：列出站点域中域控制器；Select server 0:选中要删除的域控制器，此次为uc-ad.uc.local （此台域控制器已坏）；Xchenly@ Remove select server;删除选中的域控制器；成功删除；。

如何迁移域控制器FSMO 5个角色和GC要使用 Ntdsutil 实用工具转移 FSMO 角色，请按照下列步骤操作：1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器，或登录到转移 FSMO 角色时所在林中的域控制器。

我们建议您登录到要为其分配 FSMO 角色的域控制器。

登录用户应该是企业管理员组的成员，才能转移架构主机角色或域命名主机角色，或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。

2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。

3. 键入 roles，然后按 Enter。

注意：要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入 ?，然后按Enter。

4. 键入 connections，然后按 Enter。

5. 键入 connect to server servername，然后按 Enter，其中 servername 是要赋予其FSMO 角色的域控制器的名称。

6. 在“server connections”提示符处，键入 q，然后按 Enter。

7. 键入 transfer role，其中 role 是要转移的角色。

要查看可转移角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。

例如，要转移 RID 主机角色，键入 transfer rid master。

PDC 模拟器角色的转移是一个例外，其语法是 transfer pdc 而非 transfer pdc emulator。

8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。

键入 q，然后按 Enter，退出 Ntdsutil 实用工具。

AD域FSMO角色迁移操作主机通过执行特定任务来使目录正常运行，这些任务是其他域控制器无权执行的。

由于操作主机对于目录的长期性能至关重要，因此必须使其相对于所有需要其服务的域控制器和桌面客户端可用。

在添加更多的域和站点来生成林时，小心放置操作主机非常重要。

若要执行这些功能，必须使托管这些操作主机的域控制器始终可用，且将其放置在网络可靠性较高的区域。

角色传送是将操作主机角色从某域控制器移至另一域控制器的首选方法。

在角色传送过程中，对这两个域控制器进行复制，以确保没有丢失信息。

在传送完成后，之前的角色持有者将进行重新自我配置，以便在新域控制器承担这些职务时，此角色持有者不再尝试做为操作主机。

这样就防止了网络中同时出现两个操作主机的现象，这种现象可能导致目录损坏。

目的每个域中存在三个操作主机角色：* 主域控制器 (PDC) 仿真器。

PDC 仿真器处理所有来自 Microsoft Windows NT 4.0 备份域控制器的复制请求。

它还为客户端处理没有运行可用 Active Directory 客户端软件的所有密码更新，以及任何其他目录写入操作。

* 相对标识符 (RID) 主机。

RID 主机将 RID 池分配至所有的域控制器，以确保可使用单一标识符创建新安全主体。

* 基础结构主机。

给定域的基础结构主机维护任何链接值属性的安全主体列表。

除了这三个域级的操作主机角色外，在每个林中还存在两个操作主机角色：* 管理所有架构更改的架构主机。

* 添加和删除域和应用程序分区复制到林（和从林复制到域）的域命名主机。

指导方针有关初始操作主机角色分配的设计规则和最佳操作，请参阅 Windows Server 2003 部署工具包：计划、测试以及试验部署项目。

在指定域中创建第一个域控制器时，会自动放置操作主机角色持有者。

将这三个域级角色分配至域中创建的第一个域控制器。

将这两个林级角色分配至林中第一个创建的域控制器。

移动操作主机角色（一个或多个）的原因包括：托管操作主机角色的域控制器服务性能不充足、故障或取消，或服从由管理员进行配置更改。

主域控制损坏安装新域控制FSMO角色转移详细过程[ 来源：| 作者：| 时间：2008-9-6 10:48:35 | 浏览：13 人次]FSMO角色的转移/夺取的过程(用于如硬件更新,DC损坏,让BDC工作)由于公司硬件环境的更换,那么现在把老的服务器去掉,换上了新的服务器.这个过程的实施给写下来:服务器操作软件资源站">下载">系统.2003Entprise Edition客户端系统.XP pro拓朴如下:现在是存在一台DC(域名:nwtrader.msft),DC上有用户a(用于后面验证),一台客户端,网络是连通的.购买了一台新的机器,放到这个网络来了,IP:那么第一步工作是.把新的机器,作为BDC,把活动目录信息同步过来.操作过程如下新机器上操作)检查跟DC的域名解释.建立BDC输入具有权限的用户,我用的是administrator,属于enterprise admins现有DNS名称.数据库存放路径,sysvol存放路径,(建议用默认路径)必须存放在NTFS的文件系统.输放还原模式密码,用于目录服务的还原.BDC建立成功.BDC重启.接下来在BDC上建立DNS服务器,同步AD信息.打开控制面版,winodws组件向导.BDC的DNS指向自己.接着在运行输入dnsmgmt.msc新建正向区域.输入域名.允许动态更新.重新加载DNS,目的是让区域生成SRV(资源指针记录).用到命令如图,,或重新启动.接下来可以指自己做为GC.在运行里输放dssite.msc用到的命令是命令符下,ntdsutil具体命令作用,在这我不详述.后接命令,请用问号,有详细的中文说明.以下图是用于建立连接.转移用的是transfer命令以上是DC正常情况下的转移,DC坏了,怎么办?(转移的过程,余下的步骤跟夺取一样,但夺取用的环境更特殊所以我就只把夺取写了下来,而没把转移过程贴图)这也问到重点了.跟转移时用法一样,但这时DC是在线的.如果DC真坏了,那就不以基于以上用的转移命令,这时用的是夺取...seize....这是域命名主机角色的夺取,以及成功的图(角色一旦是夺取,说明DC是坏了的,那么就是DC不在线的情况下用的)把如4个角色像刚才一样操作,那就5种角色转移成功.。

AD中FSMO五大角色的介绍及操作（转移与抓取）FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。

营运主机（Operation Masters，又称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定角色信息的网域控制站，在每一个活动目录网域中，至少会存在三种营运主机的角色。

但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.而且这些角色都是唯一的。

五大角色：1、森林级别(一个森林只存在一台DC有这个角色):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、域级别(一个域里面只存一台DC有这个角色):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :结构主控对于查询FSMO主机的方式有很多,本人一般在命令行下,用netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.五种角色主控有什么作用？1、Schema Master（架构主控）作用是修改活动目录的源数据。

我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对象和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果大家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Master进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

活动⽬录5种操作主机⾓⾊转移详解如何将server 2008 R2作为server 2003域中的额外域控 ?⼀、迁移前的准备如果要将允许Windows Server 2008 R2的域控制器添加到Windows Server 2003的Active Directory环境中，⾸先需要更新Active Directory的架构，并且该更新需要在架构主机上进⾏操作，同时进⾏操作的域⽤户需要时Enterprise Admins、Schema Admins 和Domain Admins组的成员才可以。

1、更新林架构在server A中插⼊Windows server 2008 R2 的安装光盘，导航到\support\adprep⽬录下，运⾏adprep32.exe /forestprep，在警告窗⼝中键⼊C，确认所有windows 2000域控制器都是sp4或更⾼版本，即开始⾃动更新⽬录林架构。

2、更新域架构在相同⽬录下，运⾏adprep /domainprep，活动⽬录森令就为加⼊windows server 2008 R2域控制器做好了准备。

注意：如果当前域的功能级别⾮Windows 2000纯模式以上，将会出现如下提⽰：此时只要在Active Directory 域和信任关系中，将功能级别提升到Windows 2000纯模式即可。

3、更新AD对RODC只读域控制器的⽀持，adprep32.exe /rodcprep;⼆、在林中加⼊Windows server 2008 R2的域控制器1、安装AD DS⾓⾊Windows server 2008 R2使⽤⼀个基于⾓⾊的模型。

所以，要使⽤⼀个Windows 2008服务器成为⼀个域控制器，需要先添加Active Directory Domain services⾓⾊。

打开【服务器管理器】，选择【⾓⾊】节点，点击【添加⾓⾊】，选中【Active Directory域服务】，在弹出的向导中，点击【添加必需的功能】，添加.NET Framwork 3.5.1功能。