Windows 2003 AD应用程序目录分区(9)

3) 安全描述符参考域
网络的每个容器和对象都有一组附加于其中的访问控制信息。此信息称为安全描述符，可控制用户、组和计算机所允许的访问类型。如果对象或容器未被创建它的应用程序或服务分配安全描述符，那么它将被分配架构中定义的该对象类的默认安全描述符。这种默认的安全描述符是不明确的，它向 Domain Admins 组的成员分配对对象的读取权限，但不指定域管理员属于哪个域。当在某个域命名分区中创建该对象时，此域命名分区就用来指定读取权限实际上分配给了哪个 Domain Admins 组。
在应用程序目录分区中创建对象时，默认安全描述符的定义是不同的，因为应用程序目录分区可以在属于不同域的不同域控制器上拥有副本。因为存在这种潜在的不确定性，所以在创建应用程序目录分区时会分配一个默认的安全描述符参考域。
默认的安全描述符参考域定义了当该应用程序目录分区中的对象需要为默认安全描述符定义域值时应使用什么域名。默认的安全描述符参考域是在创建时分配的。如果该应用程序目录分区是某个域目录分区的子项，那么在默认情况下，父域目录分区将变成安全描述符参考域。如果该应用程序目录分区是另一个应用程序目录分区的子对象，则父应用程序目录分区的安全描述符参考域将变成新的子应用程序目录分区的参考域。如果新的应用程序目录分区创建为新树的根，那么此林根域将用作默认的安全描述符参考域。

4) 应用程序分区和DC的升、降级
如果域控制器拥有某个应用程序目录分区的副本，则必须从该应用程序目录分区的副本集中删除此域控制器，或者删除该应用程序目录分区，然后才能降级此域控制器。
如果域控制器拥有某个应用程序目录分区的“最新”副本，则必须删除该应用程序目录分区，然后才能降级此域控制器。

理解以上的应该差不多了，其他的相关资源请参考Windows Server 2003帮助或
http://www.microsoft.com/technet ... 949f2.mspx?mfr=true

5) 小帅先利用ntdsutil将在上面建立的TestDnsZones.jzlld.org的应用程序目录分区的3个副本删除，然后将该应用程序目录分区删除

此时存储在该DNS应用程序目录分区TestDnsZones.jzlld.org内的DNS区域jxs.org中的数据也将被删除，从整个AD中消失，你也可以使用上面小帅介绍的各种方法来检验该DNS目录分区的存在。