Серверы Глобального каталога и Хозяева операций

Большинство операций с записями БД Active Directory администратор может выполнять, подключившись с помощью соответствующей консоли к любому из контроллеров домена. Однако, во избежание несогласованности, некоторые действия должны быть скоординированы и выполнены специально выделенными для данной цели серверами. Такие контроллеры домена называются Хозяевами операций( Operations Masters ), или исполнителями специализированных ролей( Flexible Single-Master Operations, сокращенно — FSMO ).

Всего имеется пять специализированных ролей:

1. Schema Master (хозяин схемы): контролирует возникающие изменения Схемы базы данных Active Directory (добавление и удаление классов объектов, модификация набора атрибутов). Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесу).

2. Domain Naming Master (хозяин именования доменов): контролирует процесс добавления или удаления доменов в лесу. Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесу).

3. PDC Emulator (эмулятор PDC):действует как PDC (главный контроллер домена) для BDC (резервный контроллер домена) под управлением Windows NT, когда домен находится в смешанном режиме;управляет изменениями паролей (изменение пароля учетной записи в первую очередь реплицируется на эмулятор PDC);является предпочтительным сервером (в Windows 2000 — единственный сервер) для редактирования групповых политик;является сервером времени для остальных контроллеров данного домена (контроллеры домена синхронизируют свои системные часы с эмулятором PDC). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

4. RID Master (хозяин RID, распределитель идентификаторов учетных записей): выделяет контроллерам домена пулы относительных идентификаторов (RID, которые являются уникальной частью идентификаторов безопасности SID). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

5. Infrastructure Master (хозяин инфраструктуры): отвечает за обновление связей "пользователи — группы" между доменами. Эта роль не должна храниться на контроллере домена, который также является сервером Глобального Каталога – хозяин инфраструктуры не будет работать в данном сценарии (за исключением случая, когда в домене всего один контроллер). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

Просмотреть текущих владельцев ролей и передать ту или иную роль на другой контролер можно с помощью административных консолей:

• роль Хозяина Схемы— с помощью консоли " Active Directory Schema " (чтобы запустить эту консоль, надо сначала зарегистрировать соответствующую программную компоненту в командной строке: regsvr32 schmmgmt.dll, а затем запустить саму консоль тоже в командной строке — schmmgmt.msc );

• роль Хозяина именования доменов— с помощью консоли " Active Directory – домены и доверие ";

• роли эмулятора PDC, хозяина RIDи хозяина инфраструктуры— с помощью консоли " Active Directory – пользователи и компьютеры " (пример можно увидеть на рис. 6.40).

Рис. 6.40.

Необходимо знать, кто из пользователей имеет право менять роли хозяев операций:

• эмулятор PDC — члены группы " Администраторы домена ";

• хозяин RID — члены группы " Администраторы домена ";

• хозяин инфраструктуры — члены группы " Администраторы домена ";

• хозяин именования доменов — члены группы " Администраторы предприятия ";

• хозяин схемы — члены группы " Администраторы Схемы " или группы " Администратор предприятия ".

Если контроллер домена, которому принадлежит роль хозяина операции, выходит из строя (вследствие повреждения оборудования или программного обеспечения), причем нет возможности восстановить данную систему из резервной копии, то с помощью административных консолей передать роли работоспособным серверам нет возможности. Восстановить функционирование определенной роли хозяина операций можно только путем захвата данной роли с помощью утилиты командной строки ntdsutil.