我向现有林 (xyz.com) 添加了子域 (ab.xyz.com)在 Active Directory 域服务中。两个域控制器都运行 Windows Server 2012 R2。
我想降低子域和林的功能级别,以便我可以将另一个 DC 加入运行 Windows Server 2008 R2 的子域。我遵循这些步骤降低子域和林的功能级别。但是,这不起作用。
我进入了
Set-ADForestMode -Identity “ab.xyz.com” -ForestMode Windows2008Forest
Set-ADDomainMode -Identity “ab.xyz.com” -DomainMode Windows2008Domain
但我收到一个错误
访问权限不足,无法执行此操作
当我以子域的管理员帐户登录时。
有人能告诉我如何降低我的子域的域和林功能级别吗?
答案1
您需要企业管理员权限才能更改林功能级别。
域管理员权限应该足以改变单个域的功能级别,但看起来降低它时情况并非如此,尽管我找不到任何相关文档。
无论如何,由于您需要更改林和域级别,只需使用企业管理员帐户执行这些操作即可。
另外,要注意用户帐户控制;确保从提升的 PowerShell 提示符运行命令。
答案2
您肯定需要企业管理员权限来降低林功能级别,并需要 DA 来更改单个域。请注意,据我所知,仅支持提高 DFL 和 FFL:
答案3
根据我的经验,当您以 Schema Master 以外的任何 DC 为目标时,您将收到“Set-ADForestMode:从服务器返回了引用”。其中“Set-ADDomainMode”需要以 PDC Emulator 为目标,因此“Set-ADForestMode”需要以 Schema Master 为目标。在“子”域中,您没有 Schema Master,因为它位于 Forest 根域中,因此您需要减少以 Forest 根处的 SM 为目标的 FFL(作为企业管理员),然后减少以子域的 PDC 上的企业管理员为目标的 DFL。