A Seize domain névadás fő szintaxisa hibás. FSMO szerepkörök kezelése Ntdsutil használatával. PDC Transfer, RID Pool Manager, Infrastructure Master

Jó napot, kedves olvasók és a blogoldal vendégei, ma egy nagyon létfontosságú és száz százalékig praktikus cikk lesz, ami a trabshooting-nak lesz szentelve Active Directory. Nem is olyan régen elmondtam, hogyan kell megfelelően eltávolítani egy hibás vagy elérhetetlen tartományvezérlőt, minden rendben, de előfordulhat olyan helyzet, hogy ez az FSMO szerepkör hordozója, és a törlés előtt végre kell hajtania kényszeríti az Active Directory-műveletek főszerepeinek átvételét.

Futtassuk a következő parancsot a parancssorban:

netdom lekérdezés fsmo

A három alsóbb szerepkör, amire szükségem van, a dc10-hez tartozik. Elvisszük őket. Ehhez legalább domain rendszergazdának kell lennie.

Íme egy példa egy valós helyzetre, amikor egy tartományvezérlő törlése előtt erőszakosan le kellett foglalnom a műveleti főszerepeket.

A műveleti főszerep a következő ok miatt nem vihető át: A szükséges FSMO művelet meghiúsult. Nincs kapcsolat az FSMO jelenlegi tulajdonosával.

Ezt láttam az Active Directory – Felhasználók és számítógépek beépülő modulban, amikor megpróbáltam megfelelően átvinni a RID szerepkört.

Ha megpróbálja megszerezni a PDC emulátor szerepkört egy elérhetetlen vezérlővel, akkor az ADUC-ban engedi megtenni, de megjelenik egy figyelmeztetés.

A szükséges FSMO művelet meghiúsult. Nincs kapcsolat az FSMO jelenlegi tulajdonosával. Az aktuális műveleti mesterrel nem lehet kapcsolatba lépni a szerepkör másik számítógépre való átviteléhez. Egyes esetekben a szerepkörök kényszerített átadása megengedett. Szeretné befejezni?

Azt mondjuk: "Igen"

Minden PDC-szerep megkapja.

Ugyanezt fogjuk tenni az infrastruktúra mesterrel is. Miután ismét lefuttattunk egy lekérdezést a parancssorban arról, hogy ki birtokolja az FSMO-szerepeket, látjuk, hogy ez már a két alacsonyabb szerepkörre vonatkozik, a dc7-re, az új vezérlőre.

Most pedig ragadjuk meg a RID szerepkört, ebben az ntdsutil segédprogram segít. Nyílás parancssor kényszerű elfogásra.

• Beírjuk az ntdsutil-t, oda fogunk jutni futásidejű környezet.
• Ezután szerepeket írunk
• fsmo karbantartásban: írjon kapcsolatokat
• szerverkapcsolatoknál: írjon connect to server, a szerver nevem dc7
• szerver kapcsolatok: q
• írd be az fsmo karbantartást: seize RID master

A következőt írják Önnek: Kísérlet a RID FSMO biztonságos átvitelére a rögzítés előtt. ldap_modify_sW hiba, hibakód: 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).

Megjelenik egy ablak, amely megerősíti a műveletet, kattintson az „Igen” gombra. Ennek eredményeként a szerep továbbra is átkerül, ez azonnal látható az ADUC-ban.

Ha erőszakosan le kell foglalnia a fennmaradó szerepeket az ntdsutil használatával, akkor az utolsó parancs kulcsai:

• méretű PDC
• megragadni az infrastruktúra mestert
• lefoglalja a domain névadó mesterét (Seize elnevezési mester)
• lefoglalni a sémamestert

Így történik helyesen a főműveleti szerepkörök kényszerátvitele az Active Directoryban, ha kérdése van, írja meg a megjegyzésekben.

Üdvözlök mindenkit, ma elmondom, hogyan viheti át az fsmo szerepköröket egy másik Active Directory tartományvezérlőre. Olvassa el, milyen fsmo-szerepek vannak itt. Azt is megvizsgáltuk már, hogyan lehet meghatározni az FSMO műveleti mastereket. A feladat a következő: van egy Active Directory tartományunk Windows Server 2008R2 tartományvezérlőkkel, telepítettünk egy Windows Server 2012 R2-t futtató vezérlőt. Át kell vinnünk rá az fsmo szerepköröket, és a jövőben le kell cserélnünk az összes W2008R2-t W2012R2-re.

Három tartomány létezik: a dc01 és a dc02 egy Windows 2008 r2 tartományvezérlő, a dc3 pedig egy új, a Windows Server 2012 R2 rendszerrel.

netdom lekérdezés fsmo

Látjuk, hogy mind az 5 szerepkör (Schema Master, Domain Naming Master, PDC, RID Pool Manager, Infrastructure Master) a dc01.msk.site webhelyen található.

Az első módszer, amelyről az első részben lesz szó, a beépülő modulokon keresztül valósul meg.

Az fsmo szerepkörök átvitele egy másik Active Directory tartományvezérlőre beépülő modulokon keresztül

Az fsmo szerepek beépülő modulokon keresztüli átvitele a leggyorsabb és legintuitívabb módszer.

PDC Transfer, RID Pool Manager, Infrastructure Master.

Nyissa meg az Active Directory Felhasználók és számítógépek beépülő modult, ezt a Start parancs segítségével teheti meg a dsa.msc beírásával.

3 DC vezérlőt látunk, a dc3-ban windows Server 2012 R2 van

Kattintson a jobb gombbal a tartomány szintjére, és válassza az Operation Masters lehetőséget

Látjuk, hogy a valódi PDC, RID-készletkezelő, infrastruktúra-tulajdonos birtokolja a DC01-et

Ha a szerkesztés gombra kattint, hibaüzenet jelenik meg:

Ez a tartományvezérlő a műveletek mestere. A fő műveleti szerepkör másik számítógépre való átviteléhez először csatlakoznia kell hozzá.

Ebből az következik, hogy a rögzítéshez ki kell választani azt a vezérlőt, ahova átadjuk a szerepeket, nekem ez a dc3.

Menj a dc3-ra és nyisd meg az ADUC-t is

A műveletek tulajdonosainak kiválasztása

Látjuk, hogy a RID jelenlegi tulajdonosa dco1, és akinek átadjuk a dc3-ba, kattintson a Change gombra.

Erősítse meg

A szerepkör sikeresen átkerült

Látjuk, hogy most a RID tulajdonosa a dc3.msk.site

Ugyanezt tesszük a PDC masterrel is.

és infrastruktúrával

Nézzük meg, ki a szerepek tulajdonosa, ez a parancssor paranccsal történik:

netdom lekérdezés fsmo

és azt látjuk, hogy három fsmo szerep tartozik a dc3-hoz

Sémamester átvitele

Nyissa meg az Active Directory séma beépülő modult, és itt olvashatja el, hogyan adhatja hozzá az Active Directory sémához.

kattintson a jobb gombbal a gyökérre, és válassza az Operations Master lehetőséget

Csatlakozunk a dc01-hez. Kattintson a Módosítás gombra

és figyelmeztetést kapunk: Az aktuális Active Directory tartományvezérlő a műveletek mestere. A műveleti főszerep egy másik DC-re történő átviteléhez az AD-sémát erre a DC-re kell céloznia.

Zárjuk le. Kattintson ismét a jobb gombbal a gyökérre, és válassza az Active Directory tartományvezérlő módosítása lehetőséget.

Megjelenik egy ablak az alábbi üzenettel: Az AD-séma beépülő modul nem csatlakozik a sémaművelet-főkiszolgálóhoz. Változások nem hajthatók végre. Sémamódosítások csak az FSMO tulajdonos sémáján hajthatók végre.

Ismét kiválasztjuk a séma tulajdonosát, és látjuk, hogy most már lehetővé teszi a változtatást.

sikeresen átküldve.

Nézzük meg, ki a szerepek tulajdonosa, ez a parancssor paranccsal történik:

netdom lekérdezés fsmo

és már látunk 4 szerepet a dc3-nak

Domain névadó mester átvitele

Nyissa meg az Active Directory Domains and Trusts beépülő modult

A műveletek tulajdonosának kiválasztása

Változás

A szerepkör sikeresen átkerült

Ellenőrzés

netdom lekérdezés fsmo

Mostantól az összes FSMO-szerepkör a Windows 2012 r2 tartományvezérlőn van.

Így egyszerűen átviheti az fsmo szerepköröket egy másik Active Directory tartományvezérlőre. Azt tanácsolom, hogy olvassa el az Fsmo szerepkörök átvitele egy másik Active Directory tartományvezérlőre című részt a parancssoron keresztül.

Néha az Active Directory tartományadminisztrátorának gyorsan meg kell találnia, hogy mely vezérlők találhatók jelenleg FSMO szerepek – Rugalmas Single-Master működés, vagyis melyikük az úgynevezett ura vagy tulajdonosa egy bizonyos műveletnek. Ennek leggyorsabb módja a beépített Netdom parancs használata.

FSMO-szerepek megtekintése a Netdom csapatától

Indítsa el a cmd-t, és futtassa a következő parancsot:

netdom lekérdezés fsmo

Megjeleníti az aktuális tartomány művelettulajdonosainak szerepét. Ha egy másik tartomány FSMO szerepköreit szeretné megtekinteni, akkor a tartománykulcsot kell használnia:

netdom lekérdezés: fsmo /domain:domain name

Emlékezzünk arra, hogy Kr. u.-ban csak öt ilyen szerep van. Két szerepkör egyedülálló az erdőben:

• Sémamester – a sémamester szerepe. A grafikus felhasználói felületen keresztül látható az Active Directory Schema beépülő modulban.
• Domain névadó mester – a domain név mester szerepe. A grafikus felhasználói felületen keresztül megtalálható az Active Directory Domains and Trusts beépülő moduljában.

És három szerepkör egyedi minden tartományban:

• RID pool manager – a RID pool tulajdonosának szerepe (relatív azonosítók).
• PDC Emulator – a PDC (elsődleges tartományvezérlő) emulátor szerepe.
• Infrastruktúra mester – az infrastruktúra tulajdonosának szerepe.

Egy grafikus felületen keresztül ezek a szerepkörök ellenőrizhetők az Active Directory felhasználók és számítógépek beépülő moduljában.

További információ a Flexible Single-Master Operationről

FSMO, vagy Rugalmas egyszemélyes műveletek(egyvégrehajtó műveletek) a tartományvezérlők által végrehajtott műveletek Active Directory (AD), amelyek minden művelethez kötelező szerver egyediséget követelnek meg. A művelet típusától függően egyediség FSMO azt jelenti, hogy egyetlen tartományon vagy tartományerdőn belül van. Különféle típusok FSMO végrehajtható egy vagy több tartományvezérlőn. Végrehajtás FSMO szervernek hívják szerep szerverek, és maguk a szerverek a műveletek urai.

A legtöbb művelet be HIRDETÉS bármely tartományvezérlőn elvégezhető. Replikációs szolgáltatás HIRDETÉSátmásolja a módosításokat más tartományvezérlőkre, biztosítva az adatbázis azonosságát HIRDETÉS ugyanazon tartomány összes vezérlőjén. A konfliktusok megoldása a következőképpen történik - annak van igaza, aki az utolsó változtatásokat végrehajtotta.

Számos művelet van azonban (például a séma megváltoztatása HIRDETÉS), amelyben a konfliktusok elfogadhatatlanok. Ezért vannak szerepkörrel rendelkező szerverek FSMO. A feladatuk - megakadályozza az ilyen konfliktusokat. Így a szerepek jelentése FSMO a következőkben - minden szerep egyszerre csak egy szerveren hajtható végre. És ha szükséges, bármikor átvihető egy másik tartományvezérlőre.

Öt szerep van az erdőben FSMO. Kezdésként röviden ismertetem őket. :

• A rendszer tulajdonosa ( Schema Master) - felelős a séma módosításáért Active Directory. Csak egy lehet a tartományok teljes erdőjében.
• Domain névadó mester ( Domain névadó mester) - felelős az erdőben létrehozott tartományok és alkalmazásszakaszok neveinek egyediségéért. Csak egy lehet a tartományok teljes erdőjében.
• Az infrastruktúra tulajdonosa ( Infrastruktúra Mester) - adatokat tárol azokról a más tartományokból származó felhasználókról, akik a domainjük helyi csoportjainak tagjai. Az erdőben minden tartományhoz lehet egy.
• Fő RID (RID Mester) - felelős az egyedi relatív azonosítók kiosztásáért ( RID) szükséges a domain fiókok létrehozásakor. Az erdőben minden tartományhoz lehet egy.
• Emulátor PDC (PDC emulátor) - a domain kompatibilitásért felelős NT4 az ügyfelek pedig Windows 2000. Az erdőben minden tartományhoz lehet egy.

Most nézzük meg közelebbről az egyes szerepeket, és derítsük ki, mennyire fontosak a működésük szempontjából Active Directory.

Schema Master

Schema Master- felelős a séma módosításáért, ahol az összes osztály és attribútum leírása található Active Directory. A séma rendkívül ritkán módosul, például a domain szint megváltoztatásakor, telepítéskor Csereés néha más alkalmazások. Ez a szerepkör az erdő bármely tartományvezérlőjén megtalálható. Ha nem elérhető Schema Master változtassa meg a sémát HIRDETÉS lehetetlen lesz.

Domain névadó mester

Domain névadó mester felelős a domain nevekkel kapcsolatos műveletekért HIRDETÉS. feladatainak listája azonban valamivel hosszabb :

• Domainek hozzáadása és eltávolítása erdőn belül. Csak a szerepkörrel rendelkező vezérlő vehet fel és távolíthat el tartományokat Domain névadó mester. Biztosítja, hogy a hozzáadandó tartomány egyedi legyen az erdőn belül NETBIOS-Név. Ha Névadó Mester nem érhető el, nem lehet domaint hozzáadni vagy törölni az erdőben.
• Partíciók létrehozása és törlése. Kezdve Windows 2003 lehetővé vált külön szekciók létrehozása - Alkalmazási címtár partíciók, amelyek tárolására szolgálnak HIRDETÉS tetszőleges adatok. Példaként az adatok tárolására DNS-szerverek szekciókban ForestDnsZonesÉs DomainDnsZones. Partíciók kezelése, ha nem elérhető Domain névadó mester lehetetlen.
• Kereszthivatkozások létrehozása és törlése. A kereszthivatkozás a címtárban való keresésre szolgál, ha a kiszolgáló, amelyhez a kliens csatlakozik, nem tartalmazza a címtár kívánt példányát, és hivatkozhat az erdőn kívüli tartományokra is, amennyiben azok elérhetők. A kereszthivatkozások tárolásra kerülnek ( keresztref) edényben Partíciók szakasz Konfiguráció, és csak Domain névadó mester jogosult megváltoztatni a tároló tartalmát. Ha nem elérhető Domain névadó mester Nem lehet új kereszthivatkozást létrehozni vagy feleslegeset törölni.
• Domain átnevezés jóváhagyása. Egy tartomány átnevezéséhez használja a segédprogramot rendom.exe.Ír egy parancsfájlt olyan utasításokkal, amelyeket az átnevezési folyamat során végre kell hajtani. Ez a szkript egy tárolóba kerül Partíciók szakasz Konfiguráció. Mivel csak a szerepkörrel rendelkező vezérlőnek van joga megváltoztatni a tároló tartalmát Domain névadó mester, akkor ő felelős az utasítások ellenőrzéséért és az attribútumok rögzítéséért.

Ez a szerepkör az erdő bármely tartományvezérlőjén megtalálható.

Infrastruktúra Mester

Ha a szerver nem globális katalógus ( G.C.), akkor az adatbázisa nem tartalmaz adatokat más domain felhasználókról. Más tartományokból származó felhasználókat azonban felvehetünk a tartomány helyi csoportjaiba. És a csoport benne van az adatbázisban HIRDETÉS fizikailag is rendelkeznie kell linkekkel az összes felhasználóhoz. Ezt a problémát úgy oldották meg, hogy létrehoztak egy fiktív objektumot - egy fantomot ( fantom). Az álobjektumok a belső adatbázis-objektumok speciális típusai, és nem tekinthetők meg ADSI vagy LDAP. Az infrastruktúra-mester felelős a fantomokkal való munkavégzésért.

Ennek a szerepkörnek egy másik jellemzője, hogy a többtartományos környezetben való megfelelő működés érdekében az infrastruktúra-főkiszolgálóként működő tartományvezérlő nem lehet globális katalógus-kiszolgáló. Ha a szerep tulajdonosa Infrastruktúra Mester egyben szerver is G.C., az álobjektumok nem jönnek létre vagy frissülnek ezen a tartományvezérlőn. Ez azért történik, mert a globális katalógus már tartalmaz részleges replikákat mindenki tárgyak be Active Directoryés nincs szüksége fantomokra .

RID Mester

A domain minden fiókjának (felhasználó, számítógép, csoport) egyedi biztonsági azonosítóval kell rendelkeznie ( SID), amely egyedileg azonosítja ezt a fiókot, és a hozzáférési jogok megkülönböztetésére szolgál. Úgy néz ki SID alábbiak szerint:

S-1-5-Y1-Y2-Y3-Y4, Hol

• S-1 - SID revízió 1. Jelenleg csak ezt a változatot használjuk.
• 5 - Jelzi, hogy ki adta ki a SID-t. 5 azt jelenti NT Hatóság. Azonban az úgynevezett "jól ismert azonosítók" SID (jól ismert SID) ebben a részben 0, 1 és néhány más értéket tartalmazhat.
• Y1-Y2-Y3- Annak a domainnek az azonosítója, amelyhez a fiók tartozik. Ugyanaz minden objektumra biztonsági fő egy tartományon belül.
• Y4- Relatív azonosító ( Relatív azonosító, RID) egy adott fiókra jellemző. Helyettesítve a relatív tartományazonosítók készletéből a fiók létrehozásakor.

Domainvezérlő szerepkörrel RID Mester felelős az egyedi sorozat azonosításáért RID minden egyes tartományvezérlőhöz a tartományában, valamint az objektumok egyik tartományból a másikba való áthelyezésének helyességéért. A tartományvezérlők közös relatív azonosítókkal rendelkeznek ( RID medence), RID amelyből minden vezérlő 500 darabos részletekben van kiosztva. Amikor a számuk véget ér (100-nál kisebb lesz), a vezérlő új részt kér. Ha szükséges, a kiadott darabszám RIDés a kérési küszöb módosítható.

Egy másik felelősségi terület RID Mester- tárgyak mozgatása tartományok között. Pontosan RID Mester biztosítja, hogy egy objektum ne kerülhessen egyszerre két különböző tartományba. Ellenkező esetben előfordulhat, hogy két tartományban két azonos objektum lesz GUID, ami tele van a legváratlanabb következményekkel.

Ha RID Mester nem lesz elérhető, majd az ingyenes időszak lejárta után RID Lehetetlenné válik új fiók létrehozása, és lehetetlenné válik az objektumok áttelepítése az aktuális tartományból egy másikba.

PDC emulátor

Kezdetben a fő feladat Elsődleges tartományvezérlő (PDC) emulátor a korábbi verziókkal való kompatibilitás biztosított volt Windows. Vegyes környezetben, ahol az ügyfelek találkoznak Windows NT4.0/ 95/98 és tartományvezérlők NT4, PDC emulátor a következő funkciókat látja el (csak számukra):

• A „jelszóváltás” művelet feldolgozása felhasználók és számítógépek számára;
• Frissítések replikációja ide BDC (Tartományvezérlő biztonsági mentése);
• Network Explorer (hálózati erőforrások keresése).

Kezdve a domain szintjén Windows 2000és idősebb lett a munkájánál. Domainvezérlő szerepkörrel PDC emulátor a következő funkciókat látja el:

• Felelős a jelszavak megváltoztatásáért és jelszóhiba esetén a felhasználói kitiltások ellenőrzéséért. A bármely más tartományvezérlő által megváltoztatott jelszót először a rendszer replikálja PDC emulátor. Ha a hitelesítés bármely másik tartományvezérlőn nem sikeres, a kérés megismétlődik PDC emulátor. Ha a fiókot egy sikertelen próbálkozás után azonnal sikeresen hitelesítik, PDC emulátorértesítést kap, és a sikertelen próbálkozások számlálója nullázódik. Fontos megjegyezni, hogy elérhetetlenség esetén PDC emulátor A jelszó megváltoztatásával kapcsolatos információk továbbra is elterjednek a tartományban, csak egy kicsit lassabban.
• A Csoportházirend-szerkesztő alapértelmezés szerint csatlakozik a kiszolgálóhoz PDC emulátor, és az irányelvek megváltoznak. Ha PDC emulátor nem érhető el, meg kell adnia a szerkesztőnek, hogy melyik tartományvezérlőhöz csatlakozzon.
• Alapértelmezés szerint az PDC emulátor egy pontos időkiszolgáló a tartományban az ügyfelek számára. PDC emulátor Az erdő gyökérdomainje az alapértelmezett időkiszolgáló PDC emulátor gyermek domainekben.
• Névtér változások Elosztott fájlrendszer (DFS), szerepelnek a tartományvezérlőn a szerepkörrel PDC emulátor. Root szerverek DFS időszakonként frissített metaadatokat kérnek tőle, tárolva azokat a memóriájukban. Elérhetetlenség PDC emulátor hibás működést eredményezhet DFS.
• IN Active Directory Vannak úgynevezett „beépített biztonsági résztvevők” ( Jól ismert biztonsági vezetők). Ilyenek például a fiókok Mindenki, hitelesített felhasználók, rendszer, önmagaÉs Alkotó tulajdonos. Mindegyiket a szerepkörrel rendelkező tartományvezérlő kezeli PDC emulátor. Pontosabban a változásokkal HIRDETÉS PDC emulátor ellenőrzi és frissíti a tároló tartalmát " CN=Ismert biztonsági elvek, CN=Konfiguráció, DC= >”.
• Minden erdőterületen Active Directory van tulajdonosa az adminisztratív biztonsági leíróknak - AdminSDHolder. Információkat tárol az úgynevezett védett csoportok biztonsági beállításairól ( védett csoportok). Ez a mechanizmus bizonyos időközönként lekéri e csoportok összes tagjának listáját, és a hozzáférés-vezérlési listája szerint jogokat rendel hozzájuk. Így AdminSDHolder Megvédi az adminisztratív csoportokat a változásoktól. Folyamatban van AdminSDHolder szerepkörrel rendelkező tartományvezérlőn PDC emulátor.

Az AD Domain Services öt Operations Master szerepet támogat:

1 domain névadó mester;

2 Schema Master;

3 Relatív azonosítók tulajdonosa (Relative ID Master);

4 Domain infrastruktúra tulajdonos (Infrastructure Master);

5 Primary Domain Controller Emulator (PDC-emulátor).

Domain névadó mester.

A szerepkör célja tartományok hozzáadása és eltávolítása az erdőben. Ha egy ilyen szerepkörrel rendelkező vezérlő nem érhető el, amikor tartományokat ad hozzá vagy távolít el az erdőben, a művelet meghiúsul.

Csak egy tartományvezérlő van az erdőben, amely a Domain Naming Master szerepét tölti be.

Annak megtekintéséhez, hogy melyik tartományvezérlővel rendelkezik tartománynév-tulajdonosként, futtassa a beépülő modult Active Directory – Domains and Trust kattintson jobb gombbal a gyökér csomópontra, és válassza a " A művelet tulajdonosa"

A Domain Naming Master sorban láthatja, hogy melyik tartományvezérlő tölti be ezt a szerepet.

Schema Master.

A sématulajdonos szerepkörrel rendelkező vezérlő felelős az erdőséma összes módosításáért. Az összes többi tartomány a séma csak olvasható replikáját tartalmazza.

A sématulajdonos szerepkör egyedi az erdőben, és csak egy tartományvezérlőn határozható meg.

A sématulajdonosként működő tartományvezérlő megtekintéséhez futtassa a beépülő modult Active Directory séma, de ehhez regisztrálnia kell ezt a berendezést. Ehhez indítsa el a parancssort, és írja be a parancsot

regsvr32 schmmgmt.dll

Ezt követően kattintson a " Indul"válasszon csapatot" Végrehajtás"és lépj be" mmc" és kattintson a " gombra RENDBEN". Ezután a menüben kattintson a " Fájl"Válasszunk csapatot" Beépülő modul hozzáadása vagy eltávolítása". A csoportban Elérhető tartozékok válassza a " Active Directory séma", nyomja meg a " gombot Hozzáadás", majd a " gombot RENDBEN".

Kattintson a jobb gombbal a beépülő modul gyökércsomópontjára, és válassza a " A művelet tulajdonosa".

A Jelenlegi sématulajdonos (online) sorban az ezt a szerepet betöltő tartományvezérlő neve látható.

A relatív azonosítók tulajdonosa (Relative ID Master).

Ez a szerepkör minden felhasználót, számítógépet és csoportot egyedi SID-vel (Security Identifier – biztonsági azonosító – változó hosszúságú adatstruktúra, amely azonosít egy felhasználót, csoportot, tartományt vagy számítógépfiókot) biztosít.

A RID mester szerepkör egyedi a tartományon belül.

Annak megtekintéséhez, hogy a tartományban melyik vezérlő működik az azonosító tulajdonosaként, futtassa a " A művelet tulajdonosa".

A RID lapon a RID szerepkört ellátó szerver neve látható

Domain infrastruktúra tulajdonosa (Infrastructure Master).

Ez a szerep akkor releváns, ha több tartományt használ egy erdőben. Fő feladata a fantomobjektumok kezelése. A fantomobjektum olyan objektum, amelyet egy másik tartományban hoznak létre bizonyos erőforrások biztosítására.

A tartományi infrastruktúra szerepe egyedi a tartományban.

Annak megtekintéséhez, hogy a tartományban melyik vezérlő működik a tartományi infrastruktúra tulajdonosaként, futtassa a " Active Directory – Felhasználók és számítógépek", kattintson a jobb gombbal a tartományra, és válassza a " A művelet tulajdonosa".

A "lapon" Infrastruktúra"látni fogja, hogy a vezérlő végrehajtja ezt a szerepet a tartományban.

Elsődleges tartományvezérlő emulátor (PDC-emulátor).

A PDC emulátor szerepe számos fontos funkció (nem mindegyik szerepel itt, csak a főbbek):

Részt vesz a jelszófrissítés replikációjában. Minden alkalommal, amikor a felhasználó megváltoztatja a jelszavát, ezeket az információkat egy PDC szerepkörrel rendelkező tartományvezérlő tárolja. Ha a felhasználó helytelen jelszót ad meg, a rendszer hitelesítést küld a PDC-emulátornak, hogy megkapja a fiók esetlegesen megváltozott jelszavát (tehát ha a felhasználó helytelen jelszót ad meg, a bejelentkezési ellenőrzés tovább tart, mint a helyes jelszó megadása).

Részt vesz a csoportházirend-frissítésekben a tartományban. Különösen, ha a csoportházirend egyidejűleg különböző tartományvezérlőkön módosul, a PDC-emulátor a csoportházirend-módosítások fókuszpontjaként működik. Amikor megnyitja a Csoportházirend-kezelési szerkesztőt, az egy tartományvezérlőhöz kapcsolódik, amely PDC-emulátorként működik. Ezért alapértelmezés szerint minden csoportházirend-módosítás a PDC-emulátoron történik.

A PDC-emulátor a tartomány fő időforrása. Az egyes tartományok PDC-emulátorai szinkronizálják idejüket az erdő gyökértartományának PDC-emulátorával. Más vezérlők szinkronizálják idejüket a tartományi PDC emulátorral, a számítógépek és a kiszolgálók a tartományvezérlővel.

Ha látni szeretné, hogy a tartomány melyik vezérlője működik PDC-emulátorként, futtassa a " Active Directory – Felhasználók és számítógépek", kattintson a jobb gombbal a tartományra, és válassza a " A művelet tulajdonosa".

A PDC lapon láthatja az ezt a szerepet betöltő vezérlőt.