当笔者着手将Windows Server 2008 域控制器加入到现有的Windows 2000 及Windows Server 2003 域内时, 发现了ADPREP。ADPREP.exe这个命令行工具来自Windows Server 2008安装盘上的文件夹\sources\adprep,它扩展了活动命令方案 ,在为Windows Server 2008准备运行有关forest 和domains时可以对允许类设置进行更新。其实,笔者以前在Windows Server 2003 和Windows Server 2003 R2中已见过ADPREP,新旧版本的用法差不多。
点击开始>命令行方式> Run as administrator,此时有以下两种运行格式:
(1)ADPREP /forestprep :要求运行在forest的 Schema Master 下,而且组属性必须是Schema Admins 和Enterprise Admins。
(2)ADPREP /domainprep :要求运行在domain的Infrastructure Master 下,来自 Domain Admins组。
不过,在运行ADPREP时,你不一定一定拥有Windows Server 2008 Domain Controllers,但它要求一定是在当前Windows 2000(所有Windows 2000 Active Directory Domain Controllers必须升级至Windows 2000 SP4)或 Windows Server 2003的 Domain Controllers内,这也正是此时我们安装Windows Server 2008必须选32位而不能是64位版本的原因,而我们在安装Windows Server 2008时默认安装方式却是64位!那么,为了ADPREP我们是否值得这样做?
ADPREP /forestprep命令提供了新的属性和级别,它们与Windows Server 2008中的新功能相呼应,它们的来源是在Windows Server 2008 DVD上\sources\adprep目录的.ldf文件,文件中含有用于增加和修改新属性和级别的LDIF项。
ADPREP /domainprep可以生成新的容器和对象,并可修改某些对象的ACLs,它改变了Everyone安全原理的概念。
如果要查看ADPREP命令的输出详情,可以查看位于目录%Systemroot%\system32\debug\adprep\logs中的log文件。每运行一次ADPREP,都会生成一个新的记录运行的log文件,该文件名称含有日期和时间。
运行ADPREP的过程是,插入Windows Server 2008 DVD,在提示安装Windows Server 2008时,选择不安装,关闭安装窗口,浏览到目录\sources\adprep (注:Windows Server R2 目录是 \supports\adprep),点击Start > Run > CMD ,输入命令ADPREP /forestprep,该命令将会显示装载一束LDIF文件,它含有改变当前AD 和 Schema的必要信息,将会等一会儿;之后需要我们确认接受Domain Controllers的改变。
下一步,转到需要升级的Infrastructure Master,插入Windows Server 2008 DVD,在命令行下输入ADPREP /domainprep,执行会较快,Windows 2000/2003此时必须处于Native模式下,否则会显示错误.
我们需要再次确认对当前Domain Controllers的改变。
对于Windows 2000 Domain,在安装Windows Server 2008前必须运行一个附加参数,即转到Infrastructure Master,在命令行输入:adprep /domainprep /gpprep,其作用是还提供了支持Resultant Set of Policy (RSOP) Planning Mode的升级。在Windows Server 2008中,有一个新的Domain Controller安装选项,即所谓Read Only domain Controller,它意味着在Windows Server 2003 Active Directory forest中需要输入命令:adprep /rodcprep,该命令将对应用目录分区的允许权进行升级,主要支持远程运行,我们要运行该命令,帐号必须属于Enterprise Admins组成员。
阅读(4098) | 评论(0) | 转发(0) |