3、用新账户执行管理操作

　　通过上面的操作我们赋予了jp用户对于Woodgrovebank.com域的操作权限，下面我们验证一下上述操作的有效性。以jp用户登录名为SFO-DC-01.Woodgrovebank.com的只读域控制器(RODC)。我们首先打开命令提示符工具，执行命令“whoami /user /groups | find "Administrators"”可以看到域用户jp已经成功扥两个到这台只读域控制器(RODC)，并且已经为其本地管理员。(图3)

　　图3 只读域控

　　下面我们执行一个系统管理操作，比如格式化该主机的F分区。在命令行下执行一个命令“Format F: /q”，可以看到对该只读域控制器(RODC)的F分区的快速格式化操作成功完成。这说明，我们在刚才在只读域控制器(RODC)执行的管理角色的分离操作是成功了。不过要说明的是，此用户在域中只是普通域用户只具有域策略赋予的一般权限。大家可以试试，创建这样的用户，然后登录域控制器，你会发现登录失败，因为一般域用户是无法登录域控制器的。

　　4、执行活动目录的脱机维护操作

　　我们知道，在以前Windows Server版本中，如果需要脱机维护活动目录，需要重新启动域控制器然后按住F8，进入活动目录还原模式才能够完成操作。但这样做将会影响运行在域控制器上的其它服务，例如文件服务，打印服务等等，是非常不方便的。但在Windows Server 2008中，我们不需要重新启动就可以停止活动目录域服务，然后执行需要需要活动目录脱机才能执行的操作，例如对活动目录数据库进行碎片整理，移动等等。下面笔者在测试环境中进行演示，大家可亲身体验一下Windows Server 2008中的这样新功能。

　　在命令提示符中，输入命令“net stop NTDS”，然后执行会提示“您想继续此操作吗?”，我们输入y，然后回车后即可停止获得目录服务。接下面我们这些如下的操作对活动目录进行脱机维护：

　　MD C:\compact

　　ntdsutil

　　Activate Instance NTDS

　　Files

　　Compact to C:\compact

　　quit

　　quit

　　Del C:\Windows\NTDS\*.log

　　Copy /y C:\compact\ntds.dit C:\Windows\NTDS\ntds.dit

　　ntdsutil

　　Activate Instance ntds

　　files

　　integrity

　　quit

　　semantic database analysis

　　go fixup

　　quit

　　quit

　　exit

　　(图4)

　　图4 域维护

　　通过上面的命令我们对活动目录进行的脱机操作主要是：在C分区创建一个名为compact的目录，然后利用ntdsutil工具创建活动目录快照，将把经过压缩处理的ntds.dit文件放置到这个文件夹中保存存到C:\compact。接下来清除了获得目录中的的log文件，并用刚才创建的ntds.dit代替原来的同名文件，并执行了获得目录数据库的同步。上面所有的针对活动目录的脱机维护我们都是在不重启DC的情况下完成的，并且并不影响DC中运行的其他服务。可见，Windows Server 2008的这样特性在实际生产中还是非常有用的。在完成活动目录的脱机维护后，我们在命令提示符下执行“net start NTDS”将重启活动目录服务，其他被停止的相关服务也将在后台被启动。至此，Windows Server 2008下活动目录的一次脱机维护快速完成，将维护成本降到最低。

　　总结：上面列举的几个实例，只是Windows Server 2008域管理新特性中很小的一部分。如果你们部署了基于Windows Server 2008的AD，挖掘和应用好这些新特性一定会极大地提升域管理的效率