Sintaxa principală a denumirii domeniului Seize este incorectă. Gestionarea rolurilor FSMO folosind Ntdsutil. PDC Transfer, RID Pool Manager, Infrastructure Master

Bună ziua, dragi cititori și oaspeți ai site-ului blog, astăzi va fi un articol foarte vital și sută la sută practic și va fi dedicat trabshooting-ului Director activ. Nu cu mult timp în urmă v-am spus cum să eliminați corect un controler de domeniu defect sau inaccesibil, totul este în regulă, dar poate apărea o situație că acesta este purtător de rol FSMO și, înainte de a-l șterge, va trebui să efectuați forțați preluarea rolurilor de maestru de operațiuni Active Directory.

Să rulăm următoarea comandă pe linia de comandă:

interogare netdom fsmo

Cele trei roluri inferioare de care am nevoie aparțin lui dc10. Le vom lua. Pentru a face acest lucru, trebuie să fiți cel puțin administrator de domeniu.

Iată un exemplu de situație reală în care, înainte de a șterge un controler de domeniu, trebuia să mă apuc cu forță de rolurile de maestru de operațiuni.

Rolul de master operație nu poate fi transferat din următorul motiv: Operația FSMO necesară a eșuat. Nu există niciun contact cu proprietarul actual al FSMO.

Am văzut asta în snap-in-ul Active Directory - Utilizatori și computere, când am încercat să transfer corect rolul RID.

Dacă încercați să obțineți rolul de emulator PDC cu un controler inaccesibil, vă va permite să faceți acest lucru în ADUC, dar veți vedea un avertisment.

Operația FSMO necesară a eșuat. Nu există niciun contact cu proprietarul actual al FSMO. Maestrul actual al operațiunilor nu poate fi contactat pentru a transfera acest rol pe alt computer. În unele cazuri, este permis transferul forțat de rol. Vrei să completezi?

Noi spunem "Da"

Toate rolurile PDC sunt primite.

La fel vom face și cu maestrul de infrastructură. După ce am rulat din nou o interogare pe linia de comandă despre cine deține rolurile FSMO, vedem că aceasta este deja pentru cele două roluri inferioare, dc7, noul controler.

Acum să luăm rolul RID, utilitarul ntdsutil ne va ajuta cu asta. Deschidere Linie de comanda pentru captura forțată.

• Intram in ntdsutil, vom ajunge la mediu de rulare.
• Apoi scriem roluri
• în întreținerea fsmo: scrieți conexiuni
• în conexiunile la server: scrieți conectați la server, numele serverului meu este dc7
• conexiuni la server: q
• scrieți în fsmo maintenance: seize RID master

Îți vor scrie: Încercarea de a transfera în siguranță RID FSMO înainte de capturare. Eroare ldap_modify_sW, cod de eroare 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).

Va apărea o fereastră care confirmă operația, faceți clic pe „Da”. Drept urmare, rolul va fi în continuare transferat, acest lucru se vede imediat în ADUC.

Dacă trebuie să ocupați cu forță rolurile rămase folosind ntdsutil, atunci cheile lor pentru ultima comandă:

• dimensiunea PDC
• pune mâna pe comandantul infrastructurii
• seize domain naming master (Seize naming master)
• seize schema master

Așa se face corect transferul forțat al rolurilor de operațiuni master în Active Directory, dacă aveți întrebări, scrieți-le în comentarii.

Salutare tuturor, astăzi vă voi spune cum să transferați rolurile fsmo către un alt controler de domeniu Active Directory. Citiți ce roluri fsmo sunt aici. De asemenea, ne-am uitat deja la modul de a determina operațiunile FSMO. Sarcina este următoarea: avem un domeniu Active Directory cu controlere de domeniu Windows Server 2008R2, am instalat un controler care rulează Windows Server 2012 R2. Trebuie să îi transferăm rolurile fsmo și să înlocuim tot W2008R2 cu W2012R2 în viitor.

Există 3 domenii dc01 și dc02 este un controler de domeniu Windows 2008 r2 și dc3 este unul nou cu Windows Server 2012 R2.

interogare netdom fsmo

Vedem că toate cele 5 roluri (Schema Master, Domain Naming Master, PDC, RID Pool Manager, Infrastructure Master) se află pe site-ul dc01.msk.site.

Prima metodă, care va fi discutată în prima parte, este prin snap-in-uri.

Cum să transferați rolurile fsmo către un alt controler de domeniu Active Directory prin snap-in-uri

Transferul rolurilor fsmo prin snap-in-uri este cea mai rapidă și mai intuitivă metodă.

PDC Transfer, RID Pool Manager, Infrastructure Master.

Deschideți snap-inul Active Directory Users and Computers; acest lucru se poate face prin Start, tastând dsa.msc.

Vedem 3 controlere DC, dc3 are Windows Server 2012 R2

Faceți clic dreapta pe nivelul de domeniu și selectați Operation Masters

Vedem că adevăratul PDC, manager de pool RID, proprietar de infrastructură deține DC01

Dacă faceți clic pe butonul de editare, va apărea o eroare:

Acest controler de domeniu este maestrul operațiunilor. Pentru a transfera rolul de master operațiuni pe alt computer, trebuie mai întâi să vă conectați la acesta.

De aici rezultă că pentru a captura trebuie să selectăm controlerul unde vom transfera rolurile, pentru mine este dc3.

Accesați dc3 și deschideți și ADUC

Alegerea proprietarilor de operațiuni

Vedem că proprietarul actual al RID-ului este dco1 și căruia îl transferăm în dc3, dă clic pe schimbare.

A confirma

Rolul a fost transferat cu succes

Vedem că acum proprietarul RID este dc3.msk.site

Vom face același lucru cu masterul PDC.

și cu Infrastructură

Să vedem cine este proprietarul rolurilor, acest lucru se face folosind comanda de pe linia de comandă:

interogare netdom fsmo

și vedem că trei roluri fsmo aparțin lui dc3

Se transferă Schema master

Deschideți snap-in Schema Active Directory, citiți cum să-l adăugați la Schema Active Directory aici.

faceți clic dreapta pe rădăcină și selectați Operations Master

Ne vom conecta la dc01. Faceți clic pe modificare

și primim un avertisment: Actualul controler de domeniu Active Directory este maestrul operațiunilor. Pentru a transfera rolul de maestru al operațiunilor către un alt DC, trebuie să vizați schema AD către acel DC.

Să-l închidem. Faceți clic dreapta pe rădăcină din nou și selectați Schimbați controlerul de domeniu Active Directory.

Va apărea o fereastră cu mesajul Complementul de schemă AD nu este conectat la masterul operațiunilor de schemă. Nu se pot face modificări. Modificările de schemă pot fi făcute numai schemei proprietarului FSMO.

Selectăm din nou proprietarul schemei și vedem că acum ne permite să ne schimbăm.

transferat cu succes.

Să vedem cine este proprietarul rolurilor, acest lucru se face folosind comanda de pe linia de comandă:

interogare netdom fsmo

și vedem deja 4 roluri pentru dc3

Transferul masterului de nume de domeniu

Deschideți snap-inul Active Directory Domains and Trusts

Selectarea proprietarului operațiunilor

Schimbare

Rolul a fost transferat cu succes

Control

interogare netdom fsmo

Acum, toate rolurile FSMO sunt pe controlerul de domeniu Windows 2012 r2.

Acesta este modul în care puteți transfera pur și simplu roluri fsmo către un alt controler de domeniu Active Directory. Vă sfătuiesc să citiți Cum să transferați rolurile fsmo către un alt controler de domeniu Active Directory - partea 2 prin linia de comandă.

Uneori, un administrator de domeniu Active Directory trebuie să afle rapid pe ce controlere se află în prezent Roluri FSMO – Funcționare flexibilă cu un singur master, adică care dintre ei este așa-numitul stăpân sau proprietar al unei anumite operațiuni. Cea mai rapidă modalitate de a determina acest lucru este să utilizați comanda încorporată Netdom.

Vizualizarea rolurilor FSMO de către echipa Netdom

Lansați cmd și rulați următoarea comandă:

interogare netdom fsmo

Afișează rolurile proprietarilor de operațiuni pentru domeniul curent. Dacă trebuie să vedeți rolurile FSMO pentru alt domeniu, atunci trebuie să utilizați cheia de domeniu:

interogare netdom fsmo /domeniu:nume domeniu

Să vă reamintim că există doar cinci astfel de roluri în AD. Două roluri sunt unice pentru pădure:

• Schema master – rolul maestrului schema. Prin interfața grafică, acesta poate fi văzut în snap-in Schema Active Directory.
• Maestru de nume de domeniu – rolul masterului de nume de domeniu. Prin intermediul GUI, acesta poate fi găsit în snap-in-ul Active Directory Domains and Trusts.

Și trei roluri sunt unice pentru fiecare domeniu:

• Manager pool RID – rolul proprietarului pool-ului RID (identificatori relativi).
• Emulator PDC – rolul emulatorului PDC (controlerul de domeniu principal).
• Maestrul infrastructurii – rolul proprietarului infrastructurii.

Printr-o interfață grafică, aceste roluri pot fi verificate în snap-in-ul Utilizatori și computere Active Directory.

Puteți afla mai multe despre funcționarea flexibilă cu un singur master

FSMO, sau Operațiuni flexibile cu un singur master(operații cu un singur executor) sunt operațiuni efectuate de controlorii de domeniu Active Directory (AD), care necesită unicitatea serverului obligatorie pentru fiecare operațiune. În funcție de tipul operației, unicitate FSMOînseamnă într-un singur domeniu sau pădure de domenii. Tipuri variate FSMO poate fi executat pe unul sau mai multe controlere de domeniu. Performanţă FSMO numit server rol servere, iar serverele în sine sunt stăpânii operațiunilor.

Cele mai multe operațiuni în ANUNȚ se poate face pe orice controler de domeniu. Serviciu de replicare ANUNȚ va copia modificările către alte controlere de domeniu, asigurând identitatea bazei de date ANUNȚ pe toți controlorii aceluiași domeniu. Rezolvarea conflictelor se face astfel - cel care a făcut ultimele modificări are dreptate.

Cu toate acestea, există mai multe acțiuni (de exemplu, schimbarea schemei ANUNȚ), în care conflictele sunt inacceptabile. De aceea există servere cu roluri FSMO. Sarcina lor - prevenirea unor astfel de conflicte. Astfel, sensul rolurilor FSMOîn cele ce urmează - fiecare rol poate fi executat doar pe un server la un moment dat. Și dacă este necesar, poate fi transferat la un alt controler de domeniu în orice moment.

Există cinci roluri în pădure FSMO. Pentru început, voi face o scurtă descriere a acestora. :

• Proprietarul schemei ( Schema Master) - responsabil pentru efectuarea modificărilor schemei Director activ. Nu poate fi decât unul pentru întreaga pădure de domenii.
• Maestru de nume de domeniu ( Maestru de nume de domenii) - este responsabil pentru unicitatea numelor pentru domeniile create și secțiunile de aplicații din pădure. Nu poate fi decât unul pentru întreaga pădure de domenii.
• Proprietarul infrastructurii ( Maestru de infrastructură) - stochează date despre utilizatorii din alte domenii care sunt membri ai grupurilor locale ale domeniului lor. Poate fi câte unul pentru fiecare domeniu din pădure.
• Maestru SCĂPA (Maestru RID) - este responsabil pentru alocarea de identificatori unici relativi ( SCĂPA) necesar la crearea conturilor de domeniu. Poate fi câte unul pentru fiecare domeniu din pădure.
• Emulator PDC (Emulator PDC) - responsabil pentru compatibilitatea domeniului NT4și clienții să Windows 2000. Poate fi câte unul pentru fiecare domeniu din pădure.

Acum să aruncăm o privire mai atentă asupra fiecărui rol și să aflăm cât de importante sunt pentru funcționarea acestuia Director activ.

Schema Master

Schema Master- este responsabil pentru efectuarea de modificări ale schemei, unde se află descrierile tuturor claselor și atributelor Director activ. Schema este modificată extrem de rar, de exemplu la schimbarea nivelului de domeniu, la instalare schimb valutarși uneori alte aplicații. Acest rol poate fi localizat pe orice controler de domeniu din pădure. Dacă nu este disponibil Schema Master schimba schema ANUNȚ va fi imposibil.

Maestru de nume de domenii

Maestru de nume de domenii responsabil pentru operațiunile legate de numele de domenii ANUNȚ. totuși, lista responsabilităților sale este oarecum mai lungă :

• Adăugarea și eliminarea domeniilor dintr-o pădure. Numai un controler cu rol are permisiunea de a adăuga și elimina domenii Maestru de nume de domenii. Se asigură că domeniul adăugat este unic în pădure NETBIOS-Nume. Dacă Numirea maestrului nu este disponibil, este imposibil să adăugați sau să ștergeți un domeniu în pădure.
• Crearea și ștergerea partițiilor. Incepand cu Windows 2003 a devenit posibil să se creeze secțiuni separate - Partiții din directorul de aplicații, care sunt folosite pentru depozitare în ANUNȚ date arbitrare. De exemplu, stocarea datelor pentru DNS-servere în secțiuni ForestDnsZonesȘi DomainDnsZones. Gestionarea partițiilor atunci când nu sunt disponibile Maestru de nume de domenii imposibil.
• Crearea și ștergerea referințelor încrucișate. Referențele încrucișate sunt folosite pentru a căuta în director dacă serverul la care este conectat clientul nu conține copia dorită a directorului și puteți face referire și la domenii din afara pădurii, cu condiția ca acestea să fie disponibile. Referințele încrucișate sunt stocate ( cruceRef) într-un recipient Paravane secțiune Configurare, doar daca Maestru de nume de domenii are dreptul de a modifica conținutul acestui container. Dacă nu este disponibil Maestru de nume de domenii Nu va fi posibil să creați o nouă referință încrucișată sau să ștergeți una care nu este necesară.
• Aprobarea redenumirii domeniului. Pentru a redenumi un domeniu, utilizați utilitarul rendom.exe. Ea scrie un script cu instrucțiuni care vor trebui executate în timpul procesului de redenumire. Acest script este plasat într-un container Paravane secțiune Configurare. Deoarece doar controlorul cu rol are dreptul de a modifica conținutul acestui container Maestru de nume de domenii, atunci el este responsabil pentru verificarea instrucțiunilor și înregistrarea atributelor.

Acest rol poate fi localizat pe orice controler de domeniu din pădure.

Maestru de infrastructură

Dacă serverul nu este un director global ( G.C.), atunci baza sa de date nu conține date despre utilizatorii din alte domenii. Cu toate acestea, putem adăuga utilizatori din alte domenii la grupurile locale de domenii. Și grupul este în baza de date ANUNȚ trebuie să aibă fizic link-uri către toți utilizatorii. Această problemă a fost rezolvată prin crearea unui obiect fictiv - o fantomă ( fantomă). Obiectele fictive sunt un tip special de obiect de bază de date internă și nu pot fi vizualizate ADSI sau LDAP. Este maestrul infrastructurii care se ocupă de fantome.

O altă caracteristică a acestui rol este că, pentru o funcționare corectă într-un mediu cu mai multe domenii, controlerul de domeniu care acționează ca maestru al infrastructurii nu ar trebui să fie un server de catalog global. Dacă proprietarul rolului Maestru de infrastructură este, de asemenea, un server G.C., obiectele fictive nu sunt create sau actualizate pe acest controler de domeniu. Acest lucru se întâmplă deoarece catalogul global conține deja replici parțiale toata lumea obiecte în Director activși nu are nevoie de fantome .

Maestru RID

Fiecare cont dintr-un domeniu (utilizator, computer, grup) trebuie să aibă un identificator de securitate unic ( SID), care identifică în mod unic acest cont și servește la diferențierea drepturilor de acces. Se pare ca SID in felul urmator:

S-1-5-Y1-Y2-Y3-Y4, Unde

• S-1 - SID revizuirea 1. În prezent este utilizată numai această revizuire.
• 5 - Indică cine a emis SID-ul. 5 înseamnă Autoritatea NT. Cu toate acestea, așa-numiții „identificatori bine-cunoscuți” SID (cunoscutul SID) poate avea 0, 1 și alte valori în această parte.
• Y1-Y2-Y3- ID-ul domeniului căruia îi aparține contul. Același lucru pentru toate obiectele principal de securitateîn cadrul unui singur domeniu.
• Y4- identificator relativ ( ID relativ, RID) specifice unui anumit cont. Înlocuit din grupul de identificatori de domeniu relativi la momentul creării contului.

Controler de domeniu cu rol Maestru RID este responsabil pentru identificarea unei secvențe de unice SCĂPA la fiecare controler de domeniu din domeniul său, precum și pentru corectitudinea mutarii obiectelor dintr-un domeniu în altul. Controlerele de domeniu au un grup comun de identificatori relativi ( Bazinul RID), SCĂPA din care fiecare controlor este alocat în porții de 500 de bucăți. Când numărul lor se termină (devine mai mic de 100), controlorul solicită o nouă porțiune. Dacă este necesar, numărul de emise SCĂPA iar pragul de solicitare poate fi modificat.

Un alt domeniu de responsabilitate Maestru RID- mutarea obiectelor între domenii. Exact Maestru RID asigură că un obiect nu poate fi mutat în două domenii diferite în același timp. În caz contrar, este posibilă o situație când în două domenii vor exista două obiecte cu același GUID, care este plină de cele mai neașteptate consecințe.

Dacă Maestru RID nu va fi disponibil, apoi după sfârșitul gratuit SCĂPA Va deveni imposibil să creați un cont nou și, de asemenea, va fi imposibil să migrați obiecte din domeniul curent în altul.

Emulator PDC

Inițial sarcina principală Emulator de controler de domeniu primar (PDC). a fost asigurată compatibilitatea cu versiunile anterioare Windows. Într-un mediu mixt în care clienții se întâlnesc Windows NT4.0/ 95/98 și controlere de domeniu NT4, Emulator PDCîndeplinește (numai pentru ei) următoarele funcții:

• Procesarea operațiunii de „schimbare a parolei” pentru utilizatori și computere;
• Replicarea actualizărilor la BDC (Backup controler de domeniu);
• Network Explorer (căutați resurse de rețea).

Începând de la nivel de domeniu Windows 2000și a îmbătrânit decât munca lui. Controler de domeniu cu rol Emulator PDCîndeplinește următoarele funcții:

• Responsabil pentru schimbarea parolelor și monitorizarea interdicțiilor utilizatorilor în cazul erorilor de parolă. O parolă schimbată de orice alt controler de domeniu este mai întâi replicată Emulator PDC. Dacă autentificarea pe orice alt controler de domeniu nu are succes, cererea este repetată Emulator PDC. Dacă contul este autentificat cu succes imediat după o încercare nereușită, Emulator PDC este notificat și contorul încercărilor eșuate este resetat la zero. Este important de reținut că în caz de indisponibilitate Emulator PDC informațiile despre schimbarea parolei se vor răspândi în continuare în întregul domeniu, se va întâmpla doar puțin mai lent.
• Editorul de politici de grup se conectează la server în mod implicit Emulator PDC, iar asupra acestuia au loc schimbări de politică. Dacă Emulator PDC nu este disponibil, va trebui să spuneți editorului la ce controler de domeniu să vă conectați.
• Implicit este Emulator PDC este un server de timp exact în domeniu pentru clienți. Emulator PDC domeniul rădăcină din pădure este serverul de timp implicit pentru Emulator PDCîn domeniile copil.
• Se modifică spațiul de nume Sistem de fișiere distribuit (DFS), sunt introduse pe controlerul de domeniu cu rolul Emulator PDC. Servere rădăcină DFS solicită periodic de la acesta metadate actualizate, stocându-le în memoria lor. Indisponibil Emulator PDC poate duce la o funcționare incorectă DFS.
• ÎN Director activ Există așa-numiții „participanți de securitate încorporați” ( Directori de securitate cunoscuți). Exemplele includ conturile Toată lumea, utilizatori autentificați, sistem, sineȘi Proprietar creator. Toate sunt gestionate de un controler de domeniu cu rolul Emulator PDC. Mai exact, cu schimbări în ANUNȚ Emulator PDC verifică și actualizează conținutul containerului „ CN=Principi de securitate binecunoscuti, CN=Configurare, DC= >”.
• În fiecare domeniu forestier Director activ există un proprietar de descriptori de securitate administrativă - AdminSDHoder. Stochează informații despre setările de securitate pentru așa-numitele grupuri protejate ( grupuri protejate). La anumite intervale, acest mecanism solicită o listă a tuturor membrilor acestor grupuri și le atribuie drepturi în conformitate cu lista sa de control al accesului. Prin urmare AdminSDHoder Protejează grupurile administrative de modificări. Efectuat AdminSDHoder pe un controler de domeniu cu rolul Emulator PDC.

AD Domain Services acceptă cinci roluri Operations Master:

1 master de nume de domeniu;

2 Schema Master;

3 Proprietar de identificatori relativi (Relative ID Master);

4 Proprietar infrastructură de domeniu (Infrastructure Master);

5 Emulator de controler de domeniu primar (Emulator PDC).

Maestru de nume de domenii.

Rolul este conceput pentru a adăuga și elimina domenii din pădure. Dacă un controler cu acest rol nu este disponibil la adăugarea sau eliminarea domeniilor din pădure, operațiunea va eșua.

Există un singur controler de domeniu în pădure cu rolul de Domain Naming Master.

Pentru a vedea ce controler de domeniu aveți ca proprietar de nume de domeniu, trebuie să rulați snap-in-ul Active Directory - Domenii și încredere faceți clic dreapta pe nodul rădăcină și selectați " Proprietarul operațiunii"

În linia Domain Naming Master, veți vedea care controler de domeniu îndeplinește acest rol.

Schema Master.

Un controler cu rolul Schema Owner este responsabil pentru efectuarea tuturor modificărilor la schema de pădure. Toate celelalte domenii conțin replici numai în citire ale schemei.

Rolul Schema Owner este unic în pădure și poate fi definit doar pe un singur controler de domeniu.

Pentru a vedea controlerul de domeniu care acționează ca proprietar al schemei, trebuie să rulați snap-in-ul Schema Active Directory, dar pentru a face acest lucru trebuie să înregistrați acest echipament. Pentru a face acest lucru, lansați linia de comandă și introduceți comanda

regsvr32 schmmgmt.dll

După aceea, faceți clic pe „ start"selecteaza o echipa" A executa"si intra" mmc" și faceți clic pe butonul " Bine„. Apoi, în meniu, faceți clic pe „ Fişier„Hai să alegem o echipă” Adăugați sau eliminați un snap-in". In grup Accesorii disponibile Selectați " Schema Active Directory", apasa butonul " Adăuga" și apoi butonul " Bine".

Faceți clic dreapta pe nodul rădăcină al snap-in-ului și selectați „ Proprietarul operațiunii".

În linia Current schema owner (online), veți vedea numele controlerului de domeniu care îndeplinește acest rol.

Proprietar de identificatori relativi (Relative ID Master).

Acest rol oferă tuturor utilizatorilor, computerelor și grupurilor un SID unic (Security Identifier - o structură de date cu lungime variabilă care identifică un utilizator, un grup, un domeniu sau un cont de computer)

Rolul RID Master este unic într-un domeniu.

Pentru a vedea care controler din domeniu acționează ca proprietar al identificatorului, trebuie să rulați " Proprietarul operațiunii".

În fila RID veți vedea numele serverului care îndeplinește rolul RID

Proprietarul infrastructurii domeniului (Infrastructure Master).

Acest rol este relevant atunci când se utilizează mai multe domenii într-o pădure. Sarcina sa principală este de a gestiona obiectele fantomă. Un obiect fantomă este un obiect care este creat într-un alt domeniu pentru a oferi anumite resurse.

Rolul infrastructurii de domeniu este unic pentru un domeniu.

Pentru a vedea care controler din domeniu acționează ca proprietar al infrastructurii de domeniu, trebuie să rulați " Active Directory - Utilizatori și computere", faceți clic dreapta pe domeniu și selectați " Proprietarul operațiunii".

În „fila” Infrastructură„veți vedea controlorul îndeplinind acest rol în domeniu.

Emulator de controler de domeniu primar (Emulator PDC).

Rolul emulatorului PDC este mai multe funcții importante (nu toate sunt enumerate aici, doar cele principale):

Participă la replicarea actualizării parolei. De fiecare dată când un utilizator își schimbă parola, aceste informații sunt stocate pe un controler de domeniu cu rolul PDC. Atunci când un utilizator introduce o parolă incorectă, autentificarea este trimisă la emulatorul PDC pentru a obține parola eventual modificată a contului (deci, dacă utilizatorul introduce o parolă incorectă, verificarea de conectare durează mai mult decât introducerea parolei corecte).

Participă la actualizările politicii de grup din domeniu. În special, atunci când politica de grup se modifică pe controlere de domeniu diferite în același timp, emulatorul PDC acționează ca punct focal pentru toate modificările politicii de grup. Când deschideți Editorul de gestionare a politicilor de grup, acesta se leagă de un controler de domeniu care acționează ca un emulator PDC. Prin urmare, toate modificările politicii de grup sunt efectuate implicit în emulatorul PDC.

Emulatorul PDC este principala sursă de timp pentru domeniu. Emulatorii PDC din fiecare domeniu își sincronizează timpul cu emulatorul PDC al domeniului rădăcină de pădure. Alte controlere își sincronizează timpul cu emulatorul PDC de domeniu, computerele și serverele sincronizează timpul cu controlerul de domeniu.

Pentru a vedea care controler din domeniu acționează ca un emulator PDC, trebuie să rulați " Active Directory - Utilizatori și computere", faceți clic dreapta pe domeniu și selectați " Proprietarul operațiunii".

În fila PDC, veți vedea controlerul îndeplinind acest rol.