La syntaxe principale de dénomination de domaine Seize est incorrecte. Gestion des rôles FSMO à l'aide de Ntdsutil. Transfert PDC, gestionnaire de pool RID, maître d'infrastructure

Bonjour, chers lecteurs et invités du site blog, il y aura aujourd'hui un article très vital et 100% pratique et il sera dédié au trabshooting Active Directory. Il n'y a pas si longtemps, je vous ai expliqué comment supprimer correctement un contrôleur de domaine défectueux ou inaccessible, tout va bien, mais une situation peut survenir où il est le porteur du rôle FSMO, et avant de le supprimer, vous devrez effectuer forcer la prise en charge des rôles de maître des opérations Active Directory.

Exécutons la commande suivante sur la ligne de commande :

requête netdom fsmo

Les trois rôles inférieurs dont j'ai besoin appartiennent à DC10. Nous les emporterons. Pour ce faire, vous devez être au minimum administrateur de domaine.

Voici un exemple d'une situation réelle où, avant de supprimer un contrôleur de domaine, j'ai dû saisir de force les rôles de maître d'opérations.

Le rôle de maître d'opération ne peut pas être transféré pour la raison suivante : L'opération FSMO requise a échoué. Il n’y a aucun contact avec le propriétaire actuel de FSMO.

J'ai vu cela dans le composant logiciel enfichable Active Directory - Utilisateurs et ordinateurs, lorsque j'ai essayé de transférer correctement le rôle RID.

Si vous essayez d'obtenir le rôle d'émulateur PDC avec un contrôleur inaccessible, il vous permettra de le faire dans ADUC, mais vous verrez un avertissement.

L’opération FSMO requise a échoué. Il n’y a aucun contact avec le propriétaire actuel de FSMO. Le maître des opérations actuel ne peut pas être contacté pour transférer ce rôle vers un autre ordinateur. Dans certains cas, un transfert forcé de rôle est autorisé. Voulez-vous terminer?

Nous disons "Oui"

Tous les rôles PDC sont reçus.

Nous ferons de même avec le maître d'infrastructure. Après avoir à nouveau exécuté une requête sur la ligne de commande pour savoir qui détient les rôles FSMO, nous voyons que cela concerne déjà les deux rôles inférieurs, dc7, le nouveau contrôleur.

Prenons maintenant le rôle RID, l'utilitaire ntdsutil nous y aidera. Ouverture ligne de commande pour une capture forcée.

• Entrez ntdsutil, nous y arriverons environnement d'exécution.
• Ensuite, nous écrivons les rôles
• dans la maintenance fsmo : écrire des connexions
• dans les connexions serveur : écrivez, connectez-vous au serveur, le nom de mon serveur est dc7
• connexions au serveur : q
• écrire dans la maintenance fsmo : saisir le maître RID

Ils vous écriront : Tentative de transfert sécurisé du RID FSMO avant la capture. Erreur ldap_modify_sW, code d'erreur 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).

Une fenêtre apparaîtra confirmant l'opération, cliquez sur « Oui ». En conséquence, le rôle sera toujours transféré, cela se voit immédiatement dans ADUC.

Si vous devez saisir de force les rôles restants à l'aide de ntdsutil, alors leurs clés pour la dernière commande :

• taille PDC
• saisir le maître de l'infrastructure
• saisir le maître de dénomination de domaine (Saisir le maître de dénomination)
• saisir le maître de schéma

C'est ainsi que le transfert forcé des rôles de maître d'opérations dans Active Directory se produit correctement, si vous avez des questions, écrivez-les dans les commentaires.

Bonjour à tous, aujourd'hui je vais vous expliquer comment transférer les rôles fsmo vers un autre contrôleur de domaine Active Directory. Découvrez quels sont les rôles fsmo ici. Nous avons également déjà examiné comment déterminer les maîtres d'opération FSMO. La tâche est la suivante : nous avons un domaine Active Directory avec des contrôleurs de domaine Windows Server 2008R2, nous avons installé un contrôleur exécutant Windows Server 2012 R2. Nous devons y transférer les rôles fsmo et remplacer tous les W2008R2 par W2012R2 à l'avenir.

Il existe 3 domaines dc01 et dc02 est un contrôleur de domaine Windows 2008 r2 et dc3 est un nouveau avec Windows Server 2012 R2.

requête netdom fsmo

Nous voyons que les 5 rôles (Schema Master, Domain Naming Master, PDC, RID Pool Manager, Infrastructure Master) sont situés sur le dc01.msk.site.

La première méthode, qui sera abordée dans la première partie, consiste à utiliser des composants logiciels enfichables.

Comment transférer des rôles fsmo vers un autre contrôleur de domaine Active Directory via des composants logiciels enfichables

Le transfert de rôles fsmo via des composants logiciels enfichables est la méthode la plus rapide et la plus intuitive.

Transfert PDC, gestionnaire de pool RID, maître d'infrastructure.

Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory ; cela peut être fait via Démarrer en tapant dsa.msc.

Nous voyons 3 contrôleurs DC, dc3 a Windows Server 2012 R2

Cliquez avec le bouton droit sur le niveau du domaine et sélectionnez Operation Masters

On voit que le vrai PDC, gestionnaire du pool RID, propriétaire de l'infrastructure détient DC01

Si vous cliquez sur le bouton Modifier, une erreur apparaîtra :

Ce contrôleur de domaine est le maître des opérations. Pour transférer le rôle de maître d'opérations vers un autre ordinateur, vous devez d'abord vous y connecter.

Il s'ensuit que pour capturer il faut sélectionner le contrôleur où l'on va transférer les rôles, pour moi c'est dc3.

Allez sur DC3 et ouvrez également ADUC

Choisir les propriétaires des opérations

Nous voyons que le propriétaire actuel du RID est dco1 et à qui nous le transférons vers dc3, cliquez sur modifier.

Confirmer

Rôle transféré avec succès

Nous voyons que maintenant le propriétaire du RID est dc3.msk.site

Nous ferons de même avec le maître PDC.

et avec les infrastructures

Voyons qui est le propriétaire des rôles, cela se fait à l'aide de la commande sur la ligne de commande :

requête netdom fsmo

et nous voyons que trois rôles fsmo appartiennent à dc3

Transfert du maître de schéma

Ouvrez le composant logiciel enfichable Schéma Active Directory et découvrez comment l'ajouter au schéma Active Directory ici.

faites un clic droit sur la racine et sélectionnez Operations Master

Nous nous connecterons à dc01. Cliquez sur modifier

et nous recevons un avertissement : le contrôleur de domaine Active Directory actuel est le maître des opérations. Pour transférer le rôle de maître d’opérations vers un autre contrôleur de domaine, vous devez cibler le schéma AD sur ce contrôleur de domaine.

Fermons-le. Cliquez à nouveau avec le bouton droit sur la racine et sélectionnez Modifier le contrôleur de domaine Active Directory.

Une fenêtre apparaîtra avec le message Le composant logiciel enfichable du schéma AD n'est pas connecté au maître des opérations de schéma. Des modifications ne peuvent pas être apportées. Les modifications de schéma ne peuvent être apportées qu’au schéma du propriétaire FSMO.

Nous sélectionnons à nouveau le propriétaire du système et constatons qu'il nous permet désormais de changer.

transféré avec succès.

Voyons qui est le propriétaire des rôles, cela se fait à l'aide de la commande sur la ligne de commande :

requête netdom fsmo

et on voit déjà 4 rôles pour dc3

Transfert du maître de nom de domaine

Ouvrez le composant logiciel enfichable Domaines et approbations Active Directory

Sélection du propriétaire des opérations

Changement

Rôle transféré avec succès

Vérification

requête netdom fsmo

Désormais, tous les rôles FSMO se trouvent sur le contrôleur de domaine Windows 2012 r2.

C'est ainsi que vous pouvez simplement transférer les rôles fsmo vers un autre contrôleur de domaine Active Directory. Je vous conseille de lire Comment transférer les rôles fsmo vers un autre contrôleur de domaine Active Directory - partie 2 via la ligne de commande.

Parfois, un administrateur de domaine Active Directory a besoin de savoir rapidement quels contrôleurs se trouvent actuellement sur Rôles de la FSMO – Fonctionnement flexible à maître unique, c'est-à-dire lequel d'entre eux est le soi-disant maître ou propriétaire d'une certaine opération. Le moyen le plus rapide de déterminer cela consiste à utiliser la commande Netdom intégrée.

Affichage des rôles FSMO par l'équipe Netdom

Lancez cmd et exécutez la commande suivante :

requête netdom fsmo

Il affiche les rôles des propriétaires d'opérations pour le domaine actuel. Si vous devez afficher les rôles FSMO pour un autre domaine, vous devez utiliser la clé de domaine :

requête netdom fsmo /domaine : nom de domaine

Rappelons qu'il n'existe que cinq rôles de ce type dans AD. Deux rôles sont propres à la forêt :

• Maître de schéma – rôle du maître de schéma. Grâce à l'interface graphique, il est visible dans le composant logiciel enfichable Schéma Active Directory.
• Maître de nommage de domaine – le rôle du maître de nom de domaine. Grâce à l'interface graphique, il peut être trouvé dans le composant logiciel enfichable Domaines et approbations Active Directory.

Et trois rôles sont propres à chaque domaine :

• Gestionnaire de pool RID – le rôle du propriétaire du pool RID (identifiants relatifs).
• Émulateur PDC – rôle de l’émulateur PDC (contrôleur de domaine principal).
• Maître de l'infrastructure – le rôle du propriétaire de l'infrastructure.

Grâce à une interface graphique, ces rôles peuvent être vérifiés dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

Vous pouvez en savoir plus sur le fonctionnement flexible à maître unique

FSMO, ou Opérations flexibles à maître unique(opérations à exécuteur unique) sont des opérations effectuées par des contrôleurs de domaine Active Directory (AD), qui nécessitent l'unicité obligatoire du serveur pour chaque opération. Selon le type d'opération, unicité FSMO signifie au sein d’un seul domaine ou d’une forêt de domaines. Divers types FSMO peut être exécuté sur un ou plusieurs contrôleurs de domaine. Performance FSMO appelé un serveur rôle serveurs, et les serveurs eux-mêmes sont les maîtres des opérations.

La plupart des opérations en ANNONCE peut être effectué sur n’importe quel contrôleur de domaine. Service de réplication ANNONCE copiera les modifications sur d'autres contrôleurs de domaine, garantissant l'identité de la base de données ANNONCE sur tous les contrôleurs du même domaine. La résolution des conflits se déroule comme suit : celui qui a apporté les dernières modifications a raison.

Il existe cependant plusieurs actions (par exemple changer le schéma ANNONCE), dans lequel les conflits sont inacceptables. C'est pourquoi il existe des serveurs avec des rôles FSMO. Leur tâche - prévenir de tels conflits. Ainsi, la signification des rôles FSMO dans ce qui suit, chaque rôle ne peut être exécuté que sur un seul serveur à la fois. Et si nécessaire, il peut être transféré à tout moment vers un autre contrôleur de domaine.

Il y a cinq rôles dans la forêt FSMO. Pour commencer, je vais en donner une brève description. :

• Le propriétaire du programme ( Maître de schéma) - responsable d'apporter des modifications au schéma Active Directory. Il ne peut y en avoir qu'un pour l'ensemble de la forêt de domaines.
• Maître de noms de domaine ( Maître de dénomination de domaine) - est responsable du caractère unique des noms des domaines créés et des sections d'application dans la forêt. Il ne peut y en avoir qu'un pour l'ensemble de la forêt de domaines.
• Propriétaire de l'infrastructure ( Maître des infrastructures) - stocke des données sur les utilisateurs d'autres domaines qui sont membres de groupes locaux de leur domaine. Il peut y en avoir un pour chaque domaine de la forêt.
• Maître DÉBARRASSER (Maître RID) - est responsable de l'attribution d'identifiants relatifs uniques ( DÉBARRASSER) requis lors de la création de comptes de domaine. Il peut y en avoir un pour chaque domaine de la forêt.
• Émulateur PDC (Émulateur PDC) - responsable de la compatibilité du domaine NT4 et les clients à Windows 2000. Il peut y en avoir un pour chaque domaine de la forêt.

Examinons maintenant de plus près chaque rôle et découvrons à quel point ils sont importants pour le fonctionnement de Active Directory.

Maître de schéma

Maître de schéma- est responsable d'apporter des modifications au schéma, où se trouvent les descriptions de toutes les classes et attributs Active Directory. Le schéma est extrêmement rarement modifié, par exemple lors du changement de niveau de domaine, de l'installation Échange et parfois d'autres applications. Ce rôle peut être situé sur n'importe quel contrôleur de domaine au sein de la forêt. Si indisponible Maître de schéma changer le schéma ANNONCE sera impossible.

Maître de dénomination de domaine

Maître de dénomination de domaine responsable des opérations liées aux noms de domaine ANNONCE. cependant, la liste de ses responsabilités est un peu plus longue :

• Ajout et suppression de domaines dans une forêt. Seul un contrôleur doté de ce rôle est autorisé à ajouter et supprimer des domaines. Maître de dénomination de domaine. Il garantit que le domaine ajouté est unique au sein de la forêt NETBIOS-Nom. Si Nommer le maître n'est pas disponible, il est impossible d'ajouter ou de supprimer un domaine dans la forêt.
• Création et suppression de partitions. Commençant par Windows 2003 il est devenu possible de créer des sections distinctes - Partitions du répertoire d'applications, qui sont utilisés pour le stockage dans ANNONCE données arbitraires. À titre d'exemple, le stockage de données pour DNS-serveurs en sections Zones ForestDns Et DomaineDnsZones. Gestion des partitions en cas d'indisponibilité Maître de dénomination de domaine impossible.
• Création et suppression de références croisées. Les références croisées permettent de rechercher dans l'annuaire si le serveur auquel le client est connecté ne contient pas la copie souhaitée de l'annuaire, et vous pouvez également faire référence à des domaines extérieurs à la forêt, à condition qu'ils soient disponibles. Les références croisées sont stockées ( RéfCross) dans un conteneur Cloisons section Configuration, mais, seulement Maître de dénomination de domaine a le droit de modifier le contenu de ce conteneur. Si indisponible Maître de dénomination de domaine Il ne sera pas possible de créer une nouvelle référence croisée ou d’en supprimer une inutile.
• Approbation du changement de nom de domaine. Pour renommer un domaine, utilisez l'utilitaire rendom.exe. Elle écrit un script avec des instructions qui devront être exécutées pendant le processus de changement de nom. Ce script est placé dans un conteneur Cloisons section Configuration. Puisque seul le contrôleur ayant le rôle a le droit de modifier le contenu de ce conteneur Maître de dénomination de domaine, il est alors chargé de vérifier les instructions et d'enregistrer les attributs.

Ce rôle peut être situé sur n'importe quel contrôleur de domaine au sein de la forêt.

Maître des infrastructures

Si le serveur n'est pas un répertoire global ( G.C.), alors sa base de données ne contient pas de données sur les utilisateurs d'autres domaines. Cependant, nous pouvons ajouter des utilisateurs d'autres domaines aux groupes locaux de domaine. Et le groupe est dans la base de données ANNONCE doit physiquement avoir des liens vers tous les utilisateurs. Ce problème a été résolu en créant un objet fictif - un fantôme ( fantôme). Les objets factices sont un type spécial d'objet de base de données interne et ne peuvent pas être visualisés via ADSI ou LDAP. C'est le maître de l'infrastructure qui s'occupe des fantômes.

Une autre caractéristique de ce rôle est que pour un fonctionnement correct dans un environnement multidomaine, le contrôleur de domaine agissant en tant que maître d'infrastructure ne doit pas être un serveur de catalogue global. Si le propriétaire du rôle Maître des infrastructures est aussi un serveur G.C., les objets factices ne sont ni créés ni mis à jour sur ce contrôleur de domaine. Cela se produit car le catalogue global contient déjà des réplicas partiels tout le monde objets dans Active Directory et il n'a pas besoin de fantômes .

Maître RID

Chaque compte d'un domaine (utilisateur, ordinateur, groupe) doit avoir un identifiant de sécurité unique ( SID), qui identifie de manière unique ce compte et sert à différencier les droits d'accès. Ressemble à SID de la manière suivante :

S-1-5-Y1-Y2-Y3-Y4, Où

• S-1 - SID révision 1. Actuellement, seule cette révision est utilisée.
• 5 - Indique qui a délivré le SID. 5 signifie Autorité du NT. Toutefois, les soi-disant « identifiants connus » SID (SID bien connu) peut avoir 0, 1 et quelques autres valeurs dans cette partie.
• Y1-Y2-Y3- ID du domaine auquel appartient le compte. Idem pour tous les objets directeur de la sécurité au sein d’un seul domaine.
• Y4- Identifiant relatif ( ID relatif, RID) spécifique à un compte spécifique. Remplacé par le pool d'identifiants de domaine relatifs au moment de la création du compte.

Contrôleur de domaine avec rôle Maître RID est responsable de l’identification d’une séquence de DÉBARRASSERà chaque contrôleur de domaine dans son domaine, ainsi que pour l'exactitude du déplacement des objets d'un domaine à un autre. Les contrôleurs de domaine disposent d'un pool commun d'identifiants relatifs ( Piscine RID), DÉBARRASSERà partir duquel chaque contrôleur est alloué en portions de 500 pièces. Lorsque leur nombre arrive à son terme (devient inférieur à 100), le contrôleur demande une nouvelle portion. Si nécessaire, le nombre de délivrés DÉBARRASSER et le seuil de demande peut être modifié.

Un autre domaine de responsabilité Maître RID- déplacer des objets entre les domaines. Exactement Maître RID garantit qu'un objet ne peut pas être déplacé vers deux domaines différents en même temps. Sinon, une situation est possible où dans deux domaines il y aura deux objets avec le même GUID, ce qui est lourd des conséquences les plus inattendues.

Si Maître RID ne sera pas disponible, puis après la fin de la gratuité DÉBARRASSER Il deviendra impossible de créer un nouveau compte, et il sera également impossible de migrer des objets du domaine actuel vers un autre.

Émulateur PDC

Au départ, la tâche principale Émulateur de contrôleur de domaine principal (PDC) la compatibilité avec les versions précédentes a été assurée les fenêtres. Dans un environnement mixte où les clients se rencontrent Windows NT4.0/ 95/98 et contrôleurs de domaine NT4, Émulateur PDC remplit (uniquement pour eux) les fonctions suivantes :

• Traitement de l'opération de « changement de mot de passe » des utilisateurs et des ordinateurs ;
• Réplication des mises à jour vers BDC (Contrôleur de domaine de sauvegarde);
• Explorateur de réseau (recherche de ressources réseau).

Commencer au niveau du domaine Windows 2000 et il est devenu plus vieux que son travail. Contrôleur de domaine avec rôle Émulateur PDC remplit les fonctions suivantes :

• Responsable de la modification des mots de passe et de la surveillance des interdictions d'utilisateurs en cas d'erreurs de mot de passe. Un mot de passe modifié par tout autre contrôleur de domaine est d'abord répliqué sur Émulateur PDC. Si l'authentification sur un autre contrôleur de domaine échoue, la demande est répétée sur Émulateur PDC. Si le compte est authentifié avec succès immédiatement après une tentative infructueuse, Émulateur PDC il est notifié et le compteur des tentatives échouées est remis à zéro. Il est important de noter qu'en cas d'indisponibilité Émulateur PDC les informations sur la modification du mot de passe se diffuseront toujours dans tout le domaine, cela se produira juste un peu plus lentement.
• L'éditeur de stratégie de groupe se connecte au serveur par défaut Émulateur PDC, et des changements de politique s'y produisent. Si Émulateur PDC n'est pas disponible, vous devrez indiquer à l'éditeur à quel contrôleur de domaine vous connecter.
• Par défaut c'est Émulateur PDC est un serveur d'heure exacte dans le domaine pour les clients. Émulateur PDC Le domaine racine de la forêt est le serveur de temps par défaut pour Émulateur PDC dans les domaines enfants.
• Modifications de l'espace de noms Système de fichiers distribué (DFS), sont saisis sur le contrôleur de domaine avec le rôle Émulateur PDC. Serveurs racine DFS lui demander périodiquement des métadonnées mises à jour, en les stockant dans leur mémoire. Indisponibilité Émulateur PDC peut entraîner un fonctionnement incorrect DFS.
• DANS Active Directory Il existe ce qu'on appelle des « participants à la sécurité intégrés » ( Principes de sécurité bien connus). Les exemples incluent les comptes Tout le monde, utilisateurs authentifiés, système, soi-même Et Propriétaire du créateur. Ils sont tous gérés par un contrôleur de domaine ayant le rôle Émulateur PDC. Plus précisément, avec les changements de ANNONCE Émulateur PDC vérifie et met à jour le contenu du conteneur » CN=Principaux de sécurité bien connus, CN=Configuration, DC= >”.
• Dans chaque domaine forestier Active Directory il existe un propriétaire de descripteurs de sécurité administratifs - AdministrateurSDHitulaire. Il stocke des informations sur les paramètres de sécurité des groupes dits protégés ( groupes protégés). À certains intervalles, ce mécanisme demande une liste de tous les membres de ces groupes et leur attribue des droits conformément à sa liste de contrôle d'accès. Ainsi AdministrateurSDHitulaire Protège les groupes administratifs des modifications. Effectué AdministrateurSDHitulaire sur un contrôleur de domaine avec le rôle Émulateur PDC.

AD Domain Services prend en charge cinq rôles de maître d'opérations :

1 maître de noms de domaine ;

2 Maître de schéma ;

3 Propriétaire des identifiants relatifs (Relative ID Master) ;

4 Propriétaire de l'infrastructure du domaine (Infrastructure Master) ;

5 Émulateur de contrôleur de domaine principal (émulateur PDC).

Maître de dénomination de domaine.

Le rôle est conçu pour ajouter et supprimer des domaines dans la forêt. Si un contrôleur doté de ce rôle n'est pas disponible lors de l'ajout ou de la suppression de domaines dans la forêt, l'opération échouera.

Il n'y a qu'un seul contrôleur de domaine dans la forêt avec le rôle de Domain Naming Master.

Afin de voir quel contrôleur de domaine vous possédez en tant que propriétaire du nom de domaine, vous devez exécuter le composant logiciel enfichable Active Directory - Domaines et confiance faites un clic droit sur le nœud racine et sélectionnez " Propriétaire de l'opération"

Dans la ligne Domain Naming Master, vous verrez quel contrôleur de domaine remplit ce rôle.

Maître de schéma.

Un contrôleur doté du rôle de propriétaire de schéma est chargé d'apporter toutes les modifications au schéma forestier. Tous les autres domaines contiennent des répliques en lecture seule du schéma.

Le rôle de propriétaire de schéma est unique dans la forêt et ne peut être défini que sur un seul contrôleur de domaine.

Afin d'afficher le contrôleur de domaine agissant en tant que propriétaire du schéma, vous devez exécuter le composant logiciel enfichable Schéma Active Directory, mais pour ce faire, vous devez enregistrer cet équipement. Pour cela, lancez la ligne de commande et saisissez la commande

regsvr32 schmmgmt.dll

Après cela, cliquez sur " Commencer"sélectionner une équipe" Exécuter"et entre" mmc" et cliquez sur le bouton " D'ACCORD". Ensuite dans le menu, cliquez sur " Déposer"choisissons une équipe" Ajouter ou supprimer un composant logiciel enfichable". En groupe Accessoires disponibles sélectionner " Schéma Active Directory", appuie sur le bouton " Ajouter" puis le bouton " D'ACCORD".

Cliquez avec le bouton droit sur le nœud racine du composant logiciel enfichable et sélectionnez " Propriétaire de l'opération".

Dans la ligne Propriétaire du schéma actuel (en ligne), vous verrez le nom du contrôleur de domaine qui remplit ce rôle.

Propriétaire des identifiants relatifs (Relative ID Master).

Ce rôle fournit à tous les utilisateurs, ordinateurs et groupes un SID unique (Security Identifier - une structure de données de longueur variable qui identifie un utilisateur, un groupe, un domaine ou un compte d'ordinateur).

Le rôle de maître RID est unique au sein d’un domaine.

Pour voir quel contrôleur du domaine agit en tant que propriétaire de l'identifiant, vous devez exécuter le " Propriétaire de l'opération".

Dans l'onglet RID, vous verrez le nom du serveur effectuant le rôle RID

Propriétaire de l'infrastructure du domaine (Infrastructure Master).

Ce rôle est pertinent lors de l'utilisation de plusieurs domaines dans une forêt. Sa tâche principale est de gérer les objets fantômes. Un objet fantôme est un objet créé dans un autre domaine pour fournir des ressources.

Le rôle de l'infrastructure de domaine est unique à un domaine.

Pour voir quel contrôleur du domaine agit en tant que propriétaire de l'infrastructure du domaine, vous devez exécuter le " Active Directory - Utilisateurs et ordinateurs", faites un clic droit sur le domaine et sélectionnez " Propriétaire de l'opération".

Dans "l'onglet" Infrastructure"vous verrez le contrôleur jouer ce rôle dans le domaine.

Émulateur de contrôleur de domaine principal (émulateur PDC).

Le rôle de l'émulateur PDC réside dans plusieurs fonctions importantes (toutes ne sont pas répertoriées ici, seulement les principales) :

Participe à la réplication de la mise à jour du mot de passe. Chaque fois qu'un utilisateur modifie son mot de passe, ces informations sont stockées sur un contrôleur de domaine avec le rôle PDC. Lorsqu'un utilisateur saisit un mot de passe incorrect, l'authentification est envoyée à l'émulateur PDC pour obtenir le mot de passe éventuellement modifié du compte (donc si l'utilisateur saisit un mot de passe incorrect, la vérification de connexion prend plus de temps que la saisie du mot de passe correct).

Participe aux mises à jour de la stratégie de groupe dans le domaine. En particulier, lorsque la stratégie de groupe change simultanément sur différents contrôleurs de domaine, l'émulateur PDC fait office de point focal pour toutes les modifications de stratégie de groupe. Lorsque vous ouvrez l'éditeur de gestion des stratégies de groupe, il se lie à un contrôleur de domaine qui agit comme un émulateur PDC. Par conséquent, toutes les modifications de stratégie de groupe sont apportées par défaut à l’émulateur PDC.

L'émulateur PDC est la principale source de temps du domaine. Les émulateurs PDC de chaque domaine synchronisent leur heure avec l'émulateur PDC du domaine racine de la forêt. D'autres contrôleurs synchronisent leur heure avec l'émulateur PDC de domaine, les ordinateurs et les serveurs synchronisent l'heure avec le contrôleur de domaine.

Pour voir quel contrôleur du domaine agit comme un émulateur PDC, vous devez exécuter le " Active Directory - Utilisateurs et ordinateurs", faites un clic droit sur le domaine et sélectionnez " Propriétaire de l'opération".

Dans l'onglet PDC, vous verrez le contrôleur remplir ce rôle.