管理一个活动目录环境意味着系统管理员必须要成功地巧妙处理微软提供的大量的补丁。即使我避免讨论非操作系统的补丁和客户操作系统的补丁，对于Windows 2000服务器和Windows Server 2003系统的补丁管理我仍有很多话要说。补丁管理问题对于域名控制器来说更加危险和重要。

在这个指南中，我提供了一些建议，供你们在管理活动目录域名控制器补丁的时候使用。

1.所有的域名控制器永远要使用相同的补丁。域名控制器要尽可能保留相互的映射，至少在操作系统的设置中要如此设置。这样有助于消除不兼容的问题、消除数据丢失或者损坏以及复制的错误。

2.不要因为微软提供了补丁就打补丁。每一个补丁都要在你自己的环境中进行相关性和可靠性测试。如果你不需要这个补丁，就不要安装。如果安装的补丁运行不正常，这个补丁就会破坏你的环境。如果你可以避免使用它，就不要让你的域名控制器冒风险。

3.测试、测试、再测试。你需要一个尽可能接近实际的模仿你的生产环境的实验室环境。在生产系统安装补丁之前，每一个补丁都需要进行彻底的测试。要制定一个规则：不经过测试的补丁不得使用。

4.避免应急反应式地使用补丁。建立一个每周一次或者每个月一次的评估新的补丁和将新的补丁排队等候应用的机制。你可以把你的这个机制与微软目前执行的每个月的第二个星期二为“补丁星期二”的安排一致起来。即使是非常重要的安全补丁你也要坚持这个时间安排。永远执行下载、验证、测试、测试、再测试、然后再使用的过程。永远草草应用你的补丁程序、过程或者协议。

5.认真考虑使用最新更新的Windows升级服务。这个服务能够让你管理在专用网络中由你自己专门控制的Windows升级网站。软件升级服务(原产品）的很多缺陷已经改正了。

6.存档、存档、再存档。每一个使用的补丁都要进行彻底的研究，以便你完全了解这个补丁。然后，保留这个文件以便以后参考。不要假设你将来可以再次访问到这个文件，或者再次找到这个文件，特别是这类文件的来源如果是来自互联网的话。你要在本地复制这个文件。保留每一个系统使用的每一个补丁的记录。

7.永远不要假设发布的补丁是成功的。永远要进行测试和验证。应用到活动目录中的每一补丁都要立即进行验证。网络成员服务器每个星期进行一次全面的检查或者每两个星期进行一次全面的检查。客户机可以使用随机样本进行检查。

8.要记住，你的计算机域只能像你配置的那样可靠和可用。利用微软提供的改进建议，但是，不要被微软提供的补丁所主宰。要根据你的环境和基础设施做出相应的决策。不要仅仅根据领导的要求办事，因为领导也不是总是什么都知道！