Active Directory架构管理

Active Directory由对象（用户，计算机，打印机，组等）及其属性（属性）组成。Schema 是Active Directory的重要组件，因为它定义了用于存储数据的所有对象和属性。Active Directory分为几个分区。架构存储在架构分区中，然后复制到整个林中的所有域控制器（DC）。每当您对架构进行更改时，林中的所有DC都会收到该更改。

架构特性

与Active Directory集成的某些应用程序会对架构进行适当的更改。例如，如果安装Microsoft Exchange，安装程序将更新架构，并将更改复制到所有DC，以便域控主机更了解新的Exchange服务器。更改架构必须是Active Directory架构管理员组的成员。手动更改架构就像在Active Directory上进行脑部手术一样。一个严重的错误可能会摧毁整个森林。

让我们总结一下这些要点。

1. 只有Schema Admins组的成员才能修改架构。
2. 减少手动修改架构。
3. 我们无法删除架构对象。
4. 我们无法停用属于默认架构的架构对象。
5. 我们无法从架构中删除对象定义。
6. 我们可以停用对象架构添加到默认架构。
7. 您可以停用架构中的定义对象，以便它们不能用于在Active Directory中创建新对象。
8. 您可以重新激活已停用的架构对象。

注册AD架构MMC管理单元

我们使用Active Directory架构管理单元来管理Active Directory架构。架构配置默认不在Windows管理工具添加架构管理控制台。这是一个明智的举措，可以阻止Active Directory管理员在控制台中进行调整，并意外地对Active Directory架构进行错误更改。

如果启动新的MMC并查找Active Directory架构管理单元，则无法找到它，因为它不存在。但是，您可以先注册Active Directory架构管理单元。此步骤使Active Directory架构管理单元可供MMC使用，以便您可以添加它并管理架构。

以下是如何注册然后将Active Directory架构管理单元添加到MMC控制台的方法。

1. 要注册架构管理单元，请使用管理凭据启动命令提示符并键入以下命令：
   regsvr32.exe schmmgmt.dll

2.  单击确定。

3.  在命令提示符下键入  MMC，然后按Enter键以启动空白MMC控制台。

4.  在MMC中，在“文件”菜单上选择“ 添加/删除管理单元”。

5.  从可用的管理单元中，选择“ Active Directory架构”管理单元，单击“ 添加”，然后单击“ 确定”。

6.  现在，您可以管理Active Directory架构。您基本上刚刚添加Schema管理控制台。

有几种工具可用于修改架构。一些包含在Windows服务器中，另一些包含在第三方工具中。当然，您也可以使用PowerShell修改架构。无论使用哪种工具，都只能修改具有Schema Master角色的服务器上的架构。这是分配给AD 域服务器的五个Operations Master角色之一。这些角色称为FSMO角色。默认情况下，林中的第一个域控制器承载所有这五个FSMO角色。但是，如有必要，您可以将这些角色移动到其他服务器。

架构主角色

企业中只有一台服务器执行Schema Master角色。此角色允许修改架构。Active Directory架构管理单元可用于将架构主机角色从一个域控制器移动到另一个域控制器。右键单击Active Directory架构文件夹时，此选项可用。

可以使用PowerShell将Operations Master角色从一台服务器移动到另一台服务器。