Windows 2003 AD升级至2008实战：回收站与只读控制器策略

本文档详细记录了在实际环境中将Windows 2003 Active Directory (AD) 系统升级至Windows 2008的实战步骤。升级过程中的关键知识点包括： 1. **活动目录回收站**：在Windows 2008中引入的新特性是活动目录回收站，与早期版本不同，它不再直接删除对象，而是将其标记为墓碑对象，保留60天供恢复。管理员可以通过修改 Adsiedit.msc 中的 tombstoneLifetime 属性来调整这个时间。在升级过程中，管理员需要了解如何启用这项保护机制，以防止误删重要对象。 2. **只读域控制器**：新版本允许设置只读域控制器，这种角色限制了域控制器的复制行为，只允许从其他域控制器接收对象，而不能向外复制，适合部署在安全性较低的分支站点。在升级前，确保所有2003域控制器已安装SP2补丁。 升级流程分为三个主要步骤： - **第一步：备份原有AD** - 在升级前，必须对现有的AD数据库进行备份，以防止数据丢失，参考《Windows AD系统管理——AD数据库的维护与备份》进行操作。 - **第二步：森林准备** - 将Windows Server 2008 R2安装光盘插入根域的某台DC，通过命令行执行 forestprep 命令（32位系统用 adprep32.exe，64位系统用 adprep.exe），这一步只需在根域执行一次。 - **第三步：域准备及组策略更新** - 分别在每个域内的DC上插入光盘，执行 domainprep 和 gpprep 命令（同样区分32/64位系统），这些操作会更新组策略对象，确保新版本的兼容性。 在整个升级过程中，除了技术细节，还需要考虑网络架构的兼容性和业务连续性，尤其是涉及如Exchange 2003等其他服务的迁移。在实际操作中，应谨慎并遵循官方文档指导，以确保升级过程的顺利进行。