دستور اصلی نامگذاری دامنه را مصادره کنید نادرست است. مدیریت نقش های FSMO با استفاده از Ntdsutil. PDC Transfer، RID Pool Manager، Infrastructure Master

عصر بخیر، خوانندگان و مهمانان عزیز سایت وبلاگ، امروز یک مقاله بسیار حیاتی و صد در صد کاربردی خواهد بود و به ترب شوت اختصاص خواهد داشت. اکتیو دایرکتوری. چندی پیش به شما گفتم که چگونه یک کنترل کننده دامنه معیوب یا غیرقابل دسترسی را به درستی حذف کنید، همه چیز خوب است، اما ممکن است شرایطی پیش بیاید که نقش FSMO را داشته باشید و قبل از حذف آن باید این کار را انجام دهید. تصاحب اجباری نقش های اصلی عملیات Active Directory.

بیایید دستور زیر را در خط فرمان اجرا کنیم:

پرس و جوی netdom fsmo

سه نقش پایینی که من نیاز دارم متعلق به dc10 است. آنها را خواهیم برد. برای انجام این کار، شما باید حداقل یک مدیر دامنه باشید.

در اینجا یک مثال از یک موقعیت واقعی است که در آن، قبل از حذف یک کنترل کننده دامنه، من نیاز به تصرف اجباری نقش های اصلی عملیات داشتم.

نقش اصلی عملیات به دلیل زیر قابل انتقال نیست: عملیات FSMO مورد نیاز ناموفق بود. هیچ تماسی با مالک فعلی FSMO وجود ندارد.

زمانی که سعی کردم نقش RID را به درستی منتقل کنم، این را در بخش کلیدی Active Directory - Users and Computers دیدم.

اگر سعی کنید نقش شبیه ساز PDC را با یک کنترلر غیرقابل دسترسی دریافت کنید، به شما اجازه می دهد این کار را در ADUC انجام دهید، اما یک اخطار خواهید دید.

عملیات FSMO مورد نیاز ناموفق بود. هیچ تماسی با مالک فعلی FSMO وجود ندارد. برای انتقال این نقش به رایانه دیگری نمی توان با استاد عملیات فعلی تماس گرفت. در برخی موارد، انتقال اجباری نقش مجاز است. آیا می خواهید تکمیل کنید؟

ما می گوییم "بله"

تمام نقش های PDC دریافت می شود.

ما همین کار را با استاد زیرساخت انجام خواهیم داد. با اجرای مجدد یک پرس و جو در خط فرمان در مورد اینکه چه کسی نقش های FSMO را دارد، می بینیم که این برای دو نقش پایین تر، dc7، کنترل کننده جدید است.

حالا بیایید نقش RID را بگیریم، ابزار ntdsutil در این مورد به ما کمک می کند. افتتاح خط فرمانبرای دستگیری اجباری

• وارد ntdsutil می شویم، به آن می رسیم محیط زمان اجرا.
• بعد نقش ها را می نویسیم
• در تعمیر و نگهداری fsmo: اتصالات را بنویسید
• در اتصالات سرور: بنویسید اتصال به سرور، نام سرور من dc7 است
• اتصالات سرور: q
• در تعمیر و نگهداری fsmo بنویسید: استاد RID را ضبط کنید

آنها برای شما می نویسند: تلاش برای انتقال ایمن RID FSMO قبل از گرفتن. خطای ldap_modify_sW، کد خطا 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).

پنجره ای باز می شود که عملیات را تایید می کند، روی "بله" کلیک کنید. در نتیجه، نقش همچنان منتقل می شود، این را می توان بلافاصله در ADUC مشاهده کرد.

اگر باید با استفاده از ntdsutil نقش‌های باقی‌مانده را به زور تصاحب کنید، کلیدهای آن‌ها را برای آخرین دستور انتخاب کنید:

• اندازه PDC
• استاد زیرساخت را تصرف کنید
• مستر نامگذاری دامنه را مصادره کنید (مستر نامگذاری را مصادره کنید)
• استاد طرحواره را به دست بگیرید

به این صورت است که انتقال اجباری نقش های عملیات اصلی در اکتیو دایرکتوری به درستی انجام می شود، اگر سوالی دارید در نظرات بنویسید.

سلام به همه، امروز به شما می گویم که چگونه نقش های fsmo را به یک کنترلر دامنه اکتیو دایرکتوری دیگر منتقل کنید. نقش های fsmo را اینجا بخوانید. همچنین قبلاً نحوه تعیین Master Operation FSMO را بررسی کرده ایم. وظیفه به شرح زیر است: ما یک دامنه Active Directory با کنترل کننده های دامنه Windows Server 2008R2 داریم، ما یک کنترلر نصب کرده ایم که Windows Server 2012 R2 را اجرا می کند. باید نقش های fsmo را به آن منتقل کنیم و در آینده همه W2008R2 را با W2012R2 جایگزین کنیم.

3 دامنه وجود دارد dc01 و dc02 یک کنترل کننده دامنه ویندوز 2008 r2 و dc3 یک دامنه جدید با ویندوز سرور 2012 R2 است.

پرس و جوی netdom fsmo

می بینیم که هر 5 نقش (Schema Master، Domain Naming Master، PDC، RID Pool Manager، Infrastructure Master) در dc01.msk.site قرار دارند.

روش اول که در قسمت اول به آن پرداخته خواهد شد، از طریق اسنپ این ها می باشد.

نحوه انتقال نقش های fsmo به کنترلر دامنه اکتیو دایرکتوری دیگر از طریق snap-in

انتقال نقش های fsmo از طریق snap-in سریع ترین و بصری ترین روش است.

PDC Transfer، RID Pool Manager، Infrastructure Master.

snap-in Active Directory Users and Computers را باز کنید؛ این کار را می توان از طریق Start با تایپ dsa.msc انجام داد.

ما 3 کنترلر DC می بینیم، dc3 دارای ویندوز سرور 2012 R2 است

روی سطح دامنه کلیک راست کرده و Operation Masters را انتخاب کنید

می بینیم که PDC واقعی، مدیر استخر RID، مالک زیرساخت، DC01 را در اختیار دارد

اگر روی دکمه ویرایش کلیک کنید، یک خطا ظاهر می شود:

این کنترل کننده دامنه، استاد عملیات است. برای انتقال نقش اصلی عملیات به رایانه دیگری، ابتدا باید به آن متصل شوید.

از این نتیجه می شود که برای گرفتن باید کنترلری را انتخاب کنیم که در آن نقش ها را منتقل می کنیم، برای من dc3 است.

به dc3 بروید و ADUC را نیز باز کنید

انتخاب صاحبان عملیات

می بینیم که مالک فعلی RID dco1 است و به کسی که آن را به dc3 منتقل می کنیم، تغییر را کلیک کنید.

تایید

نقش با موفقیت منتقل شد

می بینیم که اکنون صاحب RID dc3.msk.site است

ما همین کار را با استاد PDC انجام خواهیم داد.

و با زیرساخت

بیایید ببینیم صاحب نقش ها چه کسی است، این با استفاده از دستور در خط فرمان انجام می شود:

پرس و جوی netdom fsmo

و می بینیم که سه نقش fsmo متعلق به dc3 است

انتقال Master Schema

Snap-in Active Directory Schema را باز کنید، نحوه اضافه کردن آن به Active Directory Schema را اینجا بخوانید.

روی root کلیک راست کرده و Operations Master را انتخاب کنید

ما به dc01 وصل خواهیم شد. تغییر را کلیک کنید

و ما یک اخطار دریافت می کنیم: کنترل کننده دامنه Active Directory فعلی اصلی ترین عملیات است. برای انتقال نقش اصلی عملیات به DC دیگر، باید طرح AD را به آن DC هدف قرار دهید.

ببندیمش دوباره روی root کلیک راست کرده و Change Active Directory Domain Controller را انتخاب کنید.

پنجره ای با پیام ظاهر می شود. نمی توان تغییرات ایجاد کرد. تغییرات طرحواره را فقط می توان در طرح مالک FSMO ایجاد کرد.

دوباره صاحب طرح را انتخاب می کنیم و می بینیم که اکنون به ما اجازه تغییر می دهد.

با موفقیت منتقل شد

بیایید ببینیم صاحب نقش ها چه کسی است، این با استفاده از دستور در خط فرمان انجام می شود:

پرس و جوی netdom fsmo

و ما در حال حاضر 4 نقش برای dc3 می بینیم

انتقال مستر نام دامنه

snap-in Active Directory Domains and Trusts را باز کنید

انتخاب مالک عملیات

تغییر دادن

نقش با موفقیت منتقل شد

چک کردن

پرس و جوی netdom fsmo

اکنون همه نقش‌های FSMO بر روی کنترل‌کننده دامنه r2 ویندوز 2012 هستند.

به این ترتیب می‌توانید نقش‌های fsmo را به یک کنترل‌کننده دامنه اکتیو دایرکتوری دیگر منتقل کنید. من به شما توصیه می کنم نحوه انتقال نقش های fsmo را به کنترل کننده دامنه اکتیو دایرکتوری دیگر - قسمت 2 از طریق خط فرمان بخوانید.

گاهی اوقات یک مدیر دامنه اکتیو دایرکتوری باید سریعاً بفهمد که در حال حاضر روی کدام کنترلرها قرار دارند نقش های FSMO – عملیات منفرد منعطفیعنی کدام یک از آنها به اصطلاح ارباب یا صاحب عملیات معین است. سریع ترین راه برای تعیین این مورد استفاده از دستور داخلی Netdom است.

مشاهده نقش های FSMO توسط تیم Netdom

cmd را اجرا کنید و دستور زیر را اجرا کنید:

پرس و جوی netdom fsmo

نقش های صاحبان عملیات را برای دامنه فعلی نمایش می دهد. اگر نیاز به مشاهده نقش های FSMO برای دامنه دیگری دارید، باید از کلید دامنه استفاده کنید:

پرس و جوی netdom fsmo /domain:نام دامنه

یادآوری می کنیم که تنها پنج نقش از این دست در AD وجود دارد. دو نقش منحصر به فرد برای جنگل است:

• استاد طرحواره – نقش استاد طرحواره. از طریق رابط کاربری گرافیکی می توان آن را در اسنپ در Active Directory Schema مشاهده کرد.
• مستر نامگذاری دامنه – نقش استاد نام دامنه. از طریق رابط کاربری گرافیکی، می‌توان آن را در بخش کلیدی Active Directory Domains and Trusts یافت.

و سه نقش برای هر دامنه منحصر به فرد است:

• مدیر استخر RID - نقش مالک استخر RID (شناسه‌های نسبی).
• شبیه ساز PDC - نقش شبیه ساز PDC (کنترل کننده دامنه اولیه).
• استاد زیرساخت - نقش مالک زیرساخت.

از طریق یک رابط گرافیکی، این نقش‌ها را می‌توان در snap-in Active Directory Users and Computers بررسی کرد.

می‌توانید درباره عملیات منفرد منعطف بیشتر بدانید

FSMO، یا عملیات تک استاد انعطاف پذیر(عملیات تک مجری) عملیاتی هستند که توسط کنترل کننده های دامنه انجام می شود اکتیو دایرکتوری (AD)، که برای هر عملیات به منحصر به فرد بودن سرور اجباری نیاز دارند. بسته به نوع عملیات، منحصر به فرد بودن FSMOیعنی در یک دامنه یا جنگل دامنه ها. انواع مختلف FSMOرا می توان بر روی یک یا چند کنترل کننده دامنه اجرا کرد. کارایی FSMOسرور نامیده می شود نقشسرورها و سرورها خود استاد عملیات هستند.

اکثر عملیات در آگهیروی هر دامنه کنترلی قابل انجام است. سرویس تکرار آگهیتغییرات را در سایر کنترلرهای دامنه کپی می کند و از هویت پایگاه داده اطمینان حاصل می کند آگهیروی همه کنترلرهای یک دامنه حل تعارضات به شرح زیر اتفاق می افتد - کسی که آخرین تغییرات را انجام داده است درست است.

با این حال، چندین عمل وجود دارد (به عنوان مثال تغییر طرحواره). آگهی) که در آن تعارضات غیرقابل قبول است. به همین دلیل سرورهایی با نقش وجود دارد FSMO. وظیفه آنهاست - جلوگیری از این گونه درگیری ها بنابراین، معنای نقش ها FSMOدر ادامه - هر نقش را فقط می توان در یک سرور در یک زمان اجرا کرد. و در صورت لزوم می توان آن را در هر زمانی به دامین کنترلر دیگری منتقل کرد.

پنج نقش در جنگل وجود دارد FSMO.برای شروع به توضیح مختصری از آنها می پردازم. :

• صاحب طرح ( استاد طرحواره) - مسئول ایجاد تغییرات در طرحواره است اکتیو دایرکتوری. فقط یک مورد برای کل جنگل دامنه ها می تواند وجود داشته باشد.
• مستر نامگذاری دامنه ( استاد نامگذاری دامنه) - مسئول منحصر به فرد بودن نام برای دامنه های ایجاد شده و بخش های برنامه در جنگل است. فقط یک مورد برای کل جنگل دامنه ها می تواند وجود داشته باشد.
• مالک زیرساخت ( استاد زیرساخت) - داده های مربوط به کاربران دامنه های دیگر را که اعضای گروه های محلی دامنه آنها هستند ذخیره می کند. برای هر دامنه در جنگل می‌تواند یکی باشد.
• استاد خلاص شدن از شر (استاد RID) - مسئول تخصیص شناسه های نسبی منحصر به فرد است ( خلاص شدن از شر) هنگام ایجاد حساب های دامنه مورد نیاز است. برای هر دامنه در جنگل می‌تواند یکی باشد.
• شبیه ساز PDC (شبیه ساز PDC) - مسئول سازگاری دامنه NT4و مشتریان به ویندوز 2000. برای هر دامنه در جنگل می‌تواند یکی باشد.

حال بیایید نگاهی دقیق‌تر به هر نقش بیندازیم و دریابیم که آنها چقدر برای عملکردشان مهم هستند اکتیو دایرکتوری.

استاد طرحواره

استاد طرحواره- مسئول ایجاد تغییرات در طرحواره است، جایی که توضیحات همه کلاس ها و ویژگی ها در آن قرار دارند اکتیو دایرکتوری. این طرح به ندرت اصلاح می شود، به عنوان مثال هنگام تغییر سطح دامنه، نصب تبادلو گاهی اوقات برنامه های کاربردی دیگر. این نقش را می توان بر روی هر کنترل کننده دامنه در جنگل قرار داد. اگر در دسترس نباشد استاد طرحوارهتغییر طرح آگهیغیر ممکن خواهد بود.

استاد نامگذاری دامنه

استاد نامگذاری دامنهمسئول عملیات مربوط به نام دامنه است آگهی.با این حال، فهرست مسئولیت های او تا حدودی طولانی تر است :

• افزودن و حذف دامنه ها در یک جنگل. فقط یک کنترلر با نقش مجاز به افزودن و حذف دامنه ها است استاد نامگذاری دامنه. این تضمین می کند که دامنه اضافه شده در جنگل منحصر به فرد است NETBIOS-نام. اگر نامگذاری استاددر دسترس نیست، اضافه کردن یا حذف یک دامنه در جنگل غیرممکن است.
• ایجاد و حذف پارتیشن. شروع با ویندوز 2003ایجاد بخش های جداگانه امکان پذیر شد - پارتیشن های دایرکتوری برنامه ها، که برای ذخیره سازی در آگهیداده های دلخواه به عنوان مثال، ذخیره داده ها برای DNS-سرورها در بخش ها ForestDnsZonesو DomainDnsZones. مدیریت پارتیشن ها در صورت در دسترس نبودن استاد نامگذاری دامنهغیر ممکن
• ایجاد و حذف ارجاعات متقابل. در صورتی که سروری که کلاینت به آن متصل است حاوی کپی دلخواه دایرکتوری نباشد برای جستجوی دایرکتوری از ارجاع متقابل استفاده می شود و همچنین می توانید به دامنه های خارج از جنگل به شرط موجود بودن مراجعه کنید. ارجاعات متقابل ذخیره می شوند ( crossRef) در یک ظرف پارتیشن هابخش پیکربندی، اما تنها استاد نامگذاری دامنهحق تغییر محتویات این ظرف را دارد. اگر در دسترس نباشد استاد نامگذاری دامنهایجاد یک مرجع متقابل جدید یا حذف یک مرجع غیر ضروری امکان پذیر نخواهد بود.
• تایید تغییر نام دامنه برای تغییر نام دامنه، از ابزار کمکی استفاده کنید rendom.exe.او یک اسکریپت با دستورالعمل هایی می نویسد که باید در طول فرآیند تغییر نام اجرا شوند. این اسکریپت در یک ظرف قرار می گیرد پارتیشن هابخش پیکربندی. از آنجایی که فقط کنترلر دارای نقش حق تغییر محتویات این کانتینر را دارد استاد نامگذاری دامنه، سپس او مسئول بررسی دستورالعمل ها و ثبت ویژگی ها است.

این نقش را می توان بر روی هر کنترل کننده دامنه در جنگل قرار داد.

استاد زیرساخت

اگر سرور یک فهرست جهانی نباشد ( جی.سی.، سپس پایگاه داده آن حاوی داده هایی در مورد کاربران دامنه های دیگر نیست. با این حال، می‌توانیم کاربران دامنه‌های دیگر را به گروه‌های محلی دامنه اضافه کنیم. و گروه در پایگاه داده است آگهیباید به صورت فیزیکی به همه کاربران پیوند داشته باشد. این مشکل با ایجاد یک شی ساختگی - یک فانتوم ( فانتوم). اشیاء ساختگی نوع خاصی از شی پایگاه داده داخلی هستند و نمی توان آنها را از طریق آن مشاهده کرد ADSIیا LDAP. این استاد زیرساخت است که با فانتوم ها سر و کار دارد.

یکی دیگر از ویژگی های این نقش این است که برای عملکرد مناسب در یک محیط چند دامنه ای، کنترل کننده دامنه که به عنوان اصلی زیرساخت عمل می کند نباید یک سرور کاتالوگ جهانی باشد. اگر صاحب نقش استاد زیرساختسرور هم هست جی.سی.، اشیاء ساختگی در این کنترل کننده دامنه ایجاد یا به روز نمی شوند. این به این دلیل رخ می دهد که کاتالوگ جهانی از قبل حاوی نسخه های جزئی است هر کساشیاء در اکتیو دایرکتوریو او هیچ نیازی به فانتوم ندارد .

استاد RID

هر حساب در یک دامنه (کاربر، رایانه، گروه) باید یک شناسه امنیتی منحصر به فرد داشته باشد ( SID) که به طور منحصر به فرد این حساب را شناسایی می کند و در خدمت تمایز حقوق دسترسی است. به نظر می رسد SIDبه روش زیر:

S-1-5-Y1-Y2-Y3-Y4، جایی که

• S-1 - SIDویرایش 1. در حال حاضر فقط از این ویرایش استفاده می شود.
• 5 - نشان می دهد که چه کسی SID را صادر کرده است. 5 یعنی مرجع NT. با این حال، به اصطلاح "شناسه های شناخته شده" SID (SID معروف) می تواند 0، 1 و مقادیر دیگری را در این قسمت داشته باشد.
• Y1-Y2-Y3- شناسه دامنه ای که اکانت به آن تعلق دارد. برای همه اشیا یکسان است اصل امنیتیدر یک دامنه
• Y4- شناسه نسبی ( شناسه نسبی، RID) مخصوص یک حساب خاص. از مجموعه شناسه های دامنه نسبی در زمان ایجاد حساب جایگزین شده است.

کنترل کننده دامنه با نقش استاد RIDمسئول شناسایی یک دنباله از منحصر به فرد است خلاص شدن از شربه هر کنترل کننده دامنه در دامنه خود و همچنین برای صحت حرکت اشیا از یک دامنه به دامنه دیگر. کنترل کننده های دامنه دارای یک مجموعه مشترک از شناسه های نسبی هستند ( استخر RID), خلاص شدن از شرکه از آن هر کنترلر در قسمت های 500 قطعه ای اختصاص داده شده است. هنگامی که تعداد آنها به پایان می رسد (کمتر از 100 می شود)، کنترل کننده یک بخش جدید را درخواست می کند. در صورت لزوم تعداد صادر شده خلاص شدن از شرو آستانه درخواست قابل تغییر است.

یکی دیگر از حوزه های مسئولیت استاد RID- حرکت اجسام بین دامنه ها دقیقا استاد RIDتضمین می کند که یک شیء نمی تواند به طور همزمان به دو دامنه مختلف منتقل شود. در غیر این صورت، موقعیتی امکان پذیر است که در دو دامنه دو شی با یکسان وجود داشته باشد GUID، که مملو از غیر منتظره ترین عواقب است.

اگر استاد RIDدر دسترس نخواهد بود، پس از پایان رایگان خلاص شدن از شرایجاد یک حساب کاربری جدید غیرممکن خواهد شد و همچنین انتقال اشیاء از دامنه فعلی به دامنه دیگر غیرممکن خواهد بود.

شبیه ساز PDC

در ابتدا وظیفه اصلی شبیه ساز کنترل کننده دامنه اولیه (PDC).سازگاری با نسخه های قبلی تضمین شد پنجره ها. در یک محیط مختلط که در آن مشتریان ملاقات می کنند ویندوز NT4.0/ 95/98 و کنترل کننده های دامنه NT4, شبیه ساز PDC(فقط برای آنها) عملکردهای زیر را انجام می دهد:

• پردازش عملیات «تغییر رمز عبور» برای کاربران و رایانه ها؛
• تکرار به روز رسانی به BDC (پشتیبان گیری از کنترل کننده دامنه);
• Network Explorer (جستجوی منابع شبکه).

از سطح دامنه شروع می شود ویندوز 2000و از کارش بزرگتر شد. کنترل کننده دامنه با نقش شبیه ساز PDCتوابع زیر را انجام می دهد:

• مسئولیت تغییر رمز عبور و نظارت بر ممنوعیت کاربران در صورت خطای رمز عبور. رمز عبوری که توسط هر کنترل کننده دامنه دیگری تغییر داده شده است ابتدا روی آن تکرار می شود شبیه ساز PDC. اگر احراز هویت روی هر کنترل‌کننده دامنه دیگری موفقیت‌آمیز نباشد، درخواست دوباره تکرار می‌شود شبیه ساز PDC. اگر حساب بلافاصله پس از تلاش ناموفق با موفقیت احراز هویت شود، شبیه ساز PDCبه آن اطلاع داده می شود و شمارنده تلاش های ناموفق به صفر می رسد. توجه به این نکته ضروری است که در صورت عدم دسترسی شبیه ساز PDCاطلاعات مربوط به تغییر رمز عبور همچنان در سراسر دامنه پخش می شود، فقط کمی کندتر اتفاق می افتد.
• Group Policy Editor به طور پیش فرض به سرور متصل می شود شبیه ساز PDCو تغییرات خط مشی روی آن رخ می دهد. اگر شبیه ساز PDCدر دسترس نیست، باید به ویرایشگر بگویید که به کدام دامین کنترلر متصل شود.
• به طور پیش فرض است شبیه ساز PDCیک سرور زمان دقیق در دامنه برای مشتریان است. شبیه ساز PDCدامنه ریشه در جنگل سرور زمان پیش فرض برای است شبیه ساز PDCدر حوزه های فرزند
• فضای نام تغییر می کند سیستم فایل توزیع شده (DFS)، در کنترل کننده دامنه با نقش وارد می شوند شبیه ساز PDC. سرورهای ریشه DFSبه صورت دوره ای متادیتای به روز شده را از آن درخواست می کنند و آن را در حافظه خود ذخیره می کنند. در دسترس نبودن شبیه ساز PDCممکن است منجر به عملکرد نادرست شود DFS.
• که در اکتیو دایرکتوریبه اصطلاح "شرکت کنندگان امنیتی داخلی" وجود دارد ( اصول معروف امنیتی). به عنوان مثال می توان به حساب ها اشاره کرد همه، کاربران تایید شده، سیستم، خودو مالک خالق. همه آنها توسط یک کنترل کننده دامنه با نقش مدیریت می شوند شبیه ساز PDC. به طور دقیق تر، با تغییراتی در آگهی شبیه ساز PDCمحتویات کانتینر را بررسی و به روز می کند CN=اصول امنیت شناخته شده، CN=پیکربندی، DC= >”.
• در هر حوزه جنگلی اکتیو دایرکتورییک مالک توصیفگرهای امنیتی اداری وجود دارد - AdminSDHolder. اطلاعات مربوط به تنظیمات امنیتی را برای گروه های به اصطلاح محافظت شده ذخیره می کند ( گروه های حفاظت شده). در فواصل زمانی معین، این مکانیسم لیستی از تمام اعضای این گروه ها را درخواست می کند و مطابق با لیست کنترل دسترسی خود، حقوقی را به آنها اختصاص می دهد. بدین ترتیب AdminSDHolderاز گروه های اداری در برابر تغییرات محافظت می کند. انجام AdminSDHolderدر یک کنترل کننده دامنه با نقش شبیه ساز PDC.

AD Domain Services از پنج نقش اصلی عملیات پشتیبانی می کند:

1 نام دامنه استاد;

2 استاد طرحواره;

3 صاحب شناسه های نسبی (Relative ID Master);

4 مالک زیرساخت دامنه (Infrastructure Master);

5 شبیه ساز کنترل کننده دامنه اصلی (شبیه ساز PDC).

استاد نامگذاری دامنه.

این نقش برای افزودن و حذف دامنه ها در جنگل طراحی شده است. اگر هنگام افزودن یا حذف دامنه‌ها در جنگل، کنترل‌کننده‌ای با این نقش در دسترس نباشد، عملیات با شکست مواجه می‌شود.

تنها یک دامین کنترلر در جنگل با نقش Domain Naming Master وجود دارد.

برای اینکه ببینید کدام دامین کنترلر را به عنوان مالک نام دامنه دارید، باید Snap-in را اجرا کنید. Active Directory - Domains and Trustروی گره ریشه کلیک راست کرده و " را انتخاب کنید صاحب عملیات"

در خط Domain Naming Master خواهید دید که کدام کنترلر دامنه این نقش را انجام می دهد.

استاد طرحواره.

یک کنترلر با نقش Schema Owner مسئول ایجاد تمام تغییرات در طرح جنگل است. همه دامنه‌های دیگر حاوی کپی‌های فقط خواندنی طرحواره هستند.

نقش Schema Owner در سراسر جنگل منحصر به فرد است و فقط می تواند بر روی یک کنترل کننده دامنه تعریف شود.

برای مشاهده کنترل کننده دامنه که به عنوان مالک طرحواره عمل می کند، باید Snap-in را اجرا کنید. طرحواره Active Directory، اما برای انجام این کار باید این تجهیزات را ثبت کنید. برای این کار خط فرمان را اجرا کرده و دستور را وارد کنید

regsvr32 schmmgmt.dll

پس از آن، روی " کلیک کنید شروع کنید"انتخاب یک تیم" اجرا کردن"و وارد شوید" mmc"و روی دکمه " کلیک کنید خوب". بعد در منو، روی " کلیک کنید فایل"بیا تیم انتخاب کنیم" افزودن یا حذف Snap-in". در گروه لوازم جانبی موجودانتخاب کنید " طرحواره Active Directory"، دکمه را فشار دهید " اضافه کردن"و سپس دکمه " خوب".

روی گره ریشه snap-in کلیک راست کرده و " را انتخاب کنید صاحب عملیات".

در خط Current schema owner (آنلاین)، نام کنترل کننده دامنه ای را خواهید دید که این نقش را انجام می دهد.

صاحب شناسه های نسبی (Relative ID Master).

این نقش به همه کاربران، رایانه‌ها و گروه‌ها یک SID (شناسه امنیتی - ساختار داده با طول متغیر که یک کاربر، گروه، دامنه یا حساب رایانه را شناسایی می‌کند) ارائه می‌کند.

نقش RID Master در یک دامنه منحصر به فرد است.

برای اینکه ببینید کدام کنترلر در دامنه به عنوان مالک شناسه عمل می کند، باید " را اجرا کنید. صاحب عملیات".

در تب RID نام سروری را خواهید دید که نقش RID را انجام می دهد

صاحب زیرساخت دامنه (Infrastructure Master).

این نقش هنگام استفاده از چندین دامنه در یک جنگل مرتبط است. وظیفه اصلی آن مدیریت اشیاء فانتوم است. یک شیء فانتوم به شیئی گفته می شود که در دامنه دیگری برای ارائه برخی منابع ایجاد می شود.

نقش زیرساخت دامنه منحصر به یک دامنه است.

برای اینکه ببینید کدام کنترلر در دامنه به عنوان مالک زیرساخت دامنه عمل می کند، باید " را اجرا کنید. اکتیو دایرکتوری - کاربران و رایانه هاروی دامنه کلیک راست کرده و انتخاب کنید صاحب عملیات".

در "برگه" زیر ساخت"شما کنترل کننده ای را خواهید دید که این نقش را در دامنه انجام می دهد.

شبیه ساز کنترل کننده دامنه اولیه (شبیه ساز PDC).

نقش شبیه ساز PDC چندین عملکرد مهم است (همه در اینجا ذکر نشده اند، فقط موارد اصلی):

در تکرار به‌روزرسانی رمز عبور شرکت می‌کند. هر بار که کاربر رمز عبور خود را تغییر می دهد، این اطلاعات روی یک کنترلر دامنه با نقش PDC ذخیره می شود. هنگامی که کاربر رمز عبور اشتباهی را وارد می کند، احراز هویت به شبیه ساز PDC ارسال می شود تا رمز عبور احتمالاً تغییر یافته حساب را به دست آورد (بنابراین اگر کاربر رمز عبور نادرست وارد کند، بررسی ورود به سیستم در مقایسه با وارد کردن رمز عبور صحیح بیشتر طول می کشد).

در به‌روزرسانی‌های Group Policy در دامنه شرکت می‌کند. به ویژه، هنگامی که Group Policy روی کنترلرهای دامنه مختلف به طور همزمان تغییر می کند، شبیه ساز PDC به عنوان نقطه کانونی برای همه تغییرات Group Policy عمل می کند. هنگامی که ویرایشگر مدیریت سیاست گروه را باز می کنید، به یک کنترل کننده دامنه متصل می شود که به عنوان شبیه ساز PDC عمل می کند. بنابراین، تمام تغییرات خط مشی گروه به طور پیش فرض در شبیه ساز PDC انجام می شود.

شبیه ساز PDC منبع زمانی اصلی برای دامنه است. شبیه سازهای PDC در هر دامنه زمان خود را با شبیه ساز PDC دامنه ریشه جنگل همگام می کنند. سایر کنترلرها زمان خود را با شبیه ساز دامنه PDC همگام می کنند، رایانه ها و سرورها زمان خود را با کنترل کننده دامنه همگام می کنند.

برای اینکه ببینید کدام کنترلر در دامنه به عنوان شبیه ساز PDC عمل می کند، باید " را اجرا کنید. اکتیو دایرکتوری - کاربران و رایانه هاروی دامنه کلیک راست کرده و انتخاب کنید صاحب عملیات".

در تب PDC کنترلر را مشاهده خواهید کرد که این نقش را انجام می دهد.