Active Directory架構管理

Active Directory由對象（用戶，計算機，打印機，組等）及其屬性（屬性）組成。Schema 是Active Directory的重要組件，因為它定義了用於存儲數據的所有對象和屬性。Active Directory分為幾個分區。架構存儲在架構分區中，然后復制到整個林中的所有域控制器（DC）。每當您對架構進行更改時，林中的所有DC都會收到該更改。

架構特性

與Active Directory集成的某些應用程序會對架構進行適當的更改。例如，如果安裝Microsoft Exchange，安裝程序將更新架構，並將更改復制到所有DC，以便域控主機更了解新的Exchange服務器。更改架構必須是Active Directory架構管理員組的成員。手動更改架構就像在Active Directory上進行腦部手術一樣。一個嚴重的錯誤可能會摧毀整個森林。

讓我們總結一下這些要點。

1. 只有Schema Admins組的成員才能修改架構。
2. 減少手動修改架構。
3. 我們無法刪除架構對象。
4. 我們無法停用屬於默認架構的架構對象。
5. 我們無法從架構中刪除對象定義。
6. 我們可以停用對象架構添加到默認架構。
7. 您可以停用架構中的定義對象，以便它們不能用於在Active Directory中創建新對象。
8. 您可以重新激活已停用的架構對象。

注冊AD架構MMC管理單元

我們使用Active Directory架構管理單元來管理Active Directory架構。架構配置默認不在Windows管理工具添加架構管理控制台。這是一個明智的舉措，可以阻止Active Directory管理員在控制台中進行調整，並意外地對Active Directory架構進行錯誤更改。

如果啟動新的MMC並查找Active Directory架構管理單元，則無法找到它，因為它不存在。但是，您可以先注冊Active Directory架構管理單元。此步驟使Active Directory架構管理單元可供MMC使用，以便您可以添加它並管理架構。

以下是如何注冊然后將Active Directory架構管理單元添加到MMC控制台的方法。

1. 要注冊架構管理單元，請使用管理憑據啟動命令提示符並鍵入以下命令：
   regsvr32.exe schmmgmt.dll

         2.  單擊確定。

         3.  在命令提示符下鍵入  MMC，然后按Enter鍵以啟動空白MMC控制台。

         4.  在MMC中，在“文件”菜單上選擇“ 添加/刪除管理單元”。

         5.  從可用的管理單元中，選擇“ Active Directory架構”管理單元，單擊“ 添加”，然后單擊“ 確定”。

         6.  現在，您可以管理Active Directory架構。您基本上剛剛添加Schema管理控制台。

有幾種工具可用於修改架構。一些包含在Windows服務器中，另一些包含在第三方工具中。當然，您也可以使用PowerShell修改架構。無論使用哪種工具，都只能修改具有Schema Master角色的服務器上的架構。這是分配給AD 域服務器的五個Operations Master角色之一。這些角色稱為FSMO角色。默認情況下，林中的第一個域控制器承載所有這五個FSMO角色。但是，如有必要，您可以將這些角色移動到其他服務器。

架構主角色

企業中只有一台服務器執行Schema Master角色。此角色允許修改架構。Active Directory架構管理單元可用於將架構主機角色從一個域控制器移動到另一個域控制器。右鍵單擊Active Directory架構文件夾時，此選項可用。

可以使用PowerShell將Operations Master角色從一台服務器移動到另一台服務器。