Glavna sintaksa poimenovanja domene Seize ni pravilna. Upravljanje vlog FSMO z uporabo Ntdsutil. PDC Transfer, RID Pool Manager, Infrastructure Master

Dober dan, dragi bralci in gostje spletnega dnevnika, danes bo zelo pomemben in stoodstotno praktičen članek, ki bo posvečen trabshootingu Aktivni imenik. Ne tako dolgo nazaj sem vam povedal, kako pravilno odstraniti pokvarjen ali nedostopen krmilnik domene, vse je v redu, vendar lahko pride do situacije, da je nosilec vloge FSMO, in preden ga izbrišete, boste morali izvesti vsili prevzem vlog glavnega direktorja operacij Active Directory.

Zaženimo naslednji ukaz v ukazni vrstici:

netdom poizvedba fsmo

Tri nižje vloge, ki jih potrebujem, pripadajo dc10. Odpeljali jih bomo. Če želite to narediti, morate biti vsaj skrbnik domene.

Tukaj je primer resnične situacije, ko sem moral pred brisanjem krmilnika domene na silo zaseči vloge glavnega dela operacij.

Glavne vloge operacije ni mogoče prenesti iz naslednjega razloga: zahtevana operacija FSMO ni uspela. Ni stika s trenutnim lastnikom FSMO.

To sem videl v snap-inu Active Directory - Uporabniki in računalniki, ko sem poskušal pravilno prenesti vlogo RID.

Če poskušate pridobiti vlogo emulatorja PDC z nedostopnim krmilnikom, vam bo to omogočil v ADUC, vendar boste videli opozorilo.

Zahtevana operacija FSMO ni uspela. Ni stika s trenutnim lastnikom FSMO. S trenutnim poveljnikom operacij ni mogoče vzpostaviti stika za prenos te vloge na drug računalnik. V nekaterih primerih je dovoljen vsiljen prenos vlog. Ali želite dokončati?

Rečemo "da"

Vse vloge PDC so prejete.

Enako bomo storili z infrastrukturnim mojstrom. Po ponovnem zagonu poizvedbe v ukazni vrstici o tem, kdo ima vloge FSMO, vidimo, da je to že za dve nižji vlogi, dc7, novi krmilnik.

Zdaj pa zgrabimo vlogo RID, pri tem nam bo pomagal pripomoček ntdsutil. Otvoritev ukazna vrstica za prisilno ujetje.

• Vnesite ntdsutil, prišli bomo do izvajalno okolje.
• Nato pišemo vloge
• pri vzdrževanju fsmo: zapišite povezave
• v povezavah s strežnikom: napišite povezavo s strežnikom, ime mojega strežnika je dc7
• strežniške povezave: q
• zapišite v vzdrževanje fsmo: seize RID master

Napisali vam bodo: Poskus varnega prenosa RID FSMO pred zajemanjem. Napaka ldap_modify_sW, koda napake 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).

Odpre se okno, ki potrdi operacijo, kliknite »Da«. Posledično bo vloga še vedno prenesena, to se takoj vidi v ADUC.

Če morate na silo prevzeti preostale vloge z uporabo ntdsutil, potem njihovi ključi za zadnji ukaz:

• velikost PDC
• zaseči gospodarja infrastrukture
• seize domain naming master (Seize naming master)
• seize schema master

Tako pride do prisilnega prenosa glavnih operacijskih vlog v Active Directory pravilno, če imate vprašanja, jih napišite v komentarjih.

Pozdravljeni vsi, danes vam bom povedal, kako prenesti vloge fsmo na drug krmilnik domene Active Directory. Preberite, katere vloge fsmo so tukaj. Prav tako smo že preučili, kako določiti glavne enote delovanja FSMO. Naloga je naslednja: imamo domeno Active Directory z domenskimi krmilniki Windows Server 2008R2, namestili smo krmilnik, ki poganja Windows Server 2012 R2. Nanj moramo prenesti vloge fsmo in v prihodnosti zamenjati vse W2008R2 z W2012R2.

Obstajajo 3 domene dc01 in dc02 je krmilnik domene Windows 2008 r2, dc3 pa je nov z Windows Server 2012 R2.

netdom poizvedba fsmo

Vidimo, da se vseh 5 vlog (Schema Master, Domain Naming Master, PDC, RID Pool Manager, Infrastructure Master) nahaja na dc01.msk.site.

Prva metoda, o kateri bomo razpravljali v prvem delu, je prek vtičnikov.

Kako prenesti vloge fsmo na drug krmilnik domene Active Directory prek snap-inov

Prenos vlog fsmo prek snap-inov je najhitrejši in najbolj intuitiven način.

PDC Transfer, RID Pool Manager, Infrastructure Master.

Odprite snap-in Active Directory Users and Computers; to lahko storite prek Start, tako da vnesete dsa.msc.

Vidimo 3 krmilnike DC, dc3 ima windows Server 2012 R2

Z desno miškino tipko kliknite nivo domene in izberite Operation Masters

Vidimo, da ima pravi PDC, upravitelj bazena RID, lastnik infrastrukture DC01

Če kliknete gumb za urejanje, se prikaže napaka:

Ta krmilnik domene je mojster operacij. Če želite prenesti vlogo poveljnika operacij na drug računalnik, se morate z njim najprej povezati.

Iz tega sledi, da morate za zajem izbrati krmilnik, kamor bomo prenesli vloge, zame je to dc3.

Pojdite na dc3 in odprite tudi ADUC

Izbira lastnikov obratov

Vidimo, da je trenutni lastnik RID-a dco1 in na koga ga prenesemo na dc3, kliknite spremeni.

Potrjujemo

Vloga uspešno prenesena

Vidimo, da je zdaj lastnik RID dc3.msk.site

Enako bomo storili z glavnim PDC.

in z infrastrukturo

Poglejmo, kdo je lastnik vlog, to naredimo z ukazom v ukazni vrstici:

netdom poizvedba fsmo

in vidimo, da tri vloge fsmo pripadajo dc3

Prenos glavne sheme

Odprite snap-in sheme imenika Active Directory, tukaj preberite, kako ga dodate v shemo imenika Active Directory.

desni klik na koren in izberite Operations Master

Povezali se bomo z dc01. Kliknite spremeni

in prejmemo opozorilo: Trenutni krmilnik domene Active Directory je glavni za operacije. Če želite prenesti glavno vlogo operacij na drug DC, morate ciljno usmeriti shemo AD na ta DC.

Zaprimo ga. Ponovno z desno miškino tipko kliknite koren in izberite Spremeni krmilnik domene Active Directory.

Pojavilo se bo okno s sporočilom Vpetje AD sheme ni povezano z glavnim operacijskim sistemom sheme. Sprememb ni mogoče narediti. Shemo je mogoče spremeniti samo v shemi lastnika FSMO.

Ponovno izberemo lastnika sheme in vidimo, da nam zdaj omogoča spremembo.

uspešno prenesen.

Poglejmo, kdo je lastnik vlog, to naredimo z ukazom v ukazni vrstici:

netdom poizvedba fsmo

in že vidimo 4 vloge za dc3

Prenos glavne domene

Odprite snap-in Domene in zaupanja Active Directory

Izbira lastnika operacij

spremeniti

Vloga uspešno prenesena

Preverjanje

netdom poizvedba fsmo

Zdaj so vse vloge FSMO na krmilniku domene Windows 2012 r2.

Tako lahko preprosto prenesete vloge fsmo na drug krmilnik domene Active Directory. Svetujem vam, da preberete Kako prenesti vloge fsmo na drug krmilnik domene Active Directory - 2. del prek ukazne vrstice.

Včasih mora skrbnik domene Active Directory hitro ugotoviti, kateri krmilniki se trenutno nahajajo vloge FSMO – Prilagodljivo delovanje z enim glavnim modulom, torej kdo od njiju je tako imenovani gospodar oziroma lastnik določene operacije. To najhitreje ugotovite z uporabo vgrajenega ukaza Netdom.

Ogled vlog FSMO s strani ekipe Netdom

Zaženite cmd in zaženite naslednji ukaz:

netdom poizvedba fsmo

Prikaže vloge lastnikov operacij za trenutno domeno. Če si želite ogledati vloge FSMO za drugo domeno, morate uporabiti ključ domene:

netdom poizvedba fsmo /domena:ime domene

Naj vas spomnimo, da je v AD le pet takih vlog. Dve vlogi sta edinstveni za gozd:

• Schema Master – vloga skrbnika sheme. Prek grafičnega uporabniškega vmesnika ga je mogoče videti v snap-inu sheme imenika Active Directory.
• Domain naming master – vloga masterja domene. Prek grafičnega uporabniškega vmesnika ga je mogoče najti v snap-inu Domene in zaupanja imenika Active Directory.

In tri vloge so edinstvene za vsako domeno:

• Upravitelj področja RID – vloga lastnika področja RID (relativni identifikatorji).
• Emulator PDC – vloga emulatorja PDC (primarni krmilnik domene).
• Gospodar infrastrukture – vloga lastnika infrastrukture.

Prek grafičnega vmesnika lahko te vloge preverite v snap-inu Active Directory Users and Computers.

Izvedete lahko več o prilagodljivem delovanju z enim glavnim modulom

FSMO, oz Prilagodljive operacije z enim samim poveljnikom(single-executor operations) so operacije, ki jih izvajajo domenski krmilniki Active Directory (AD), ki zahtevajo obvezno edinstvenost strežnika za vsako operacijo. Odvisno od vrste delovanja, edinstvenost FSMO pomeni znotraj ene domene ali gozda domen. Različne vrste FSMO se lahko izvede na enem ali več krmilnikih domene. Izvedba FSMO imenovan strežnik vlogo strežniki, strežniki sami pa so gospodarji operacij.

Večina operacij v AD lahko izvedete na katerem koli krmilniku domene. Storitev replikacije AD bo kopiral spremembe na druge krmilnike domene in tako zagotovil identiteto baze podatkov AD na vseh krmilnikih iste domene. Reševanje konfliktov poteka na naslednji način: tisti, ki je naredil zadnje spremembe, ima prav.

Vendar obstaja več dejanj (na primer spreminjanje sheme AD), kjer so konflikti nesprejemljivi. Zato obstajajo strežniki z vlogami FSMO. Njihova naloga - preprečiti takšne konflikte. Torej pomen vlog FSMO v nadaljevanju - vsako vlogo je mogoče hkrati izvajati le na enem strežniku. In če je potrebno, ga je mogoče kadar koli prenesti na drug krmilnik domene.

V gozdu je pet vlog FSMO. Za začetek jih bom na kratko opisal. :

• Lastnik sheme ( Mojster sheme) - odgovoren za spreminjanje sheme Aktivni imenik. Za celoten gozd domen je lahko le ena.
• Mojster poimenovanja domen ( Mojster poimenovanja domen) - je odgovoren za edinstvenost imen za ustvarjene domene in odseke aplikacij v gozdu. Za celoten gozd domen je lahko samo ena.
• Lastnik infrastrukture ( Mojster infrastrukture) - hrani podatke o uporabnikih iz drugih domen, ki so člani lokalnih skupin njihove domene. Za vsako domeno v gozdu je lahko ena.
• Mojster RID (RID Master) - je odgovoren za dodeljevanje edinstvenih relativnih identifikatorjev ( RID) potrebno pri ustvarjanju domenskih računov. Za vsako domeno v gozdu je lahko ena.
• Emulator PDC (Emulator PDC) - odgovoren za združljivost domen NT4 in stranke do Windows 2000. Za vsako domeno v gozdu je lahko ena.

Zdaj pa si podrobneje oglejmo vsako vlogo in ugotovimo, kako pomembne so za delovanje Aktivni imenik.

Mojster sheme

Mojster sheme- je odgovoren za spreminjanje sheme, kjer se nahajajo opisi vseh razredov in atributov Aktivni imenik. Shema se zelo redko spreminja, na primer pri spreminjanju ravni domene, namestitvi Menjava včasih pa tudi druge aplikacije. Ta vloga se lahko nahaja na katerem koli krmilniku domene v gozdu. Če ni na voljo Mojster sheme spremenite shemo AD bo nemogoče.

Mojster poimenovanja domen

Mojster poimenovanja domen odgovoren za poslovanje v zvezi z domenskimi imeni A.D. vendar je seznam njegovih zadolžitev nekoliko daljši :

• Dodajanje in odstranjevanje domen znotraj gozda. Samo krmilnik z vlogo lahko dodaja in odstranjuje domene Mojster poimenovanja domen. Zagotavlja, da je dodana domena edinstvena znotraj gozda NETBIOS-Ime. če Mojster poimenovanja ni na voljo, domene v gozdu ni mogoče dodati ali izbrisati.
• Ustvarjanje in brisanje particij. Začenši z Windows 2003 postalo je mogoče ustvariti ločene razdelke - Particije imenika aplikacij, ki služijo za hrambo v AD poljubni podatki. Na primer, shranjevanje podatkov za DNS-strežniki v odsekih ForestDnsZones in DomainDnsZones. Upravljanje particij, ko niso na voljo Mojster poimenovanja domen nemogoče.
• Ustvarjanje in brisanje navzkrižnih sklicev. Navzkrižno sklicevanje se uporablja za iskanje po imeniku, če strežnik, na katerega je povezan odjemalec, ne vsebuje želene kopije imenika, lahko pa se sklicujete tudi na domene zunaj gozda, če so na voljo. Navzkrižne reference so shranjene ( crossRef) v posodi Predelne stene razdelek Konfiguracija, ampak le Mojster poimenovanja domen ima pravico spreminjati vsebino tega vsebnika. Če ni na voljo Mojster poimenovanja domen Ne bo mogoče ustvariti novega navzkrižnega sklica ali izbrisati nepotrebnega.
• Odobritev preimenovanja domene. Za preimenovanje domene uporabite pripomoček rendom.exe. Napiše skript z navodili, ki jih bo treba izvesti med postopkom preimenovanja. Ta skript je postavljen v vsebnik Predelne stene razdelek Konfiguracija. Ker ima samo krmilnik z vlogo pravico spreminjati vsebino tega vsebnika Mojster poimenovanja domen, potem je odgovoren za preverjanje navodil in beleženje atributov.

Ta vloga se lahko nahaja na katerem koli krmilniku domene v gozdu.

Mojster infrastrukture

Če strežnik ni globalni katalog ( G.C.), potem njegova zbirka podatkov ne vsebuje podatkov o uporabnikih iz drugih domen. Lahko pa dodajamo uporabnike iz drugih domen v domenske lokalne skupine. In skupina je v bazi podatkov AD mora fizično imeti povezave do vseh uporabnikov. Ta problem je bil rešen z ustvarjanjem fiktivnega predmeta - fantoma ( fantom). Navidezni objekti so posebna vrsta notranjih objektov zbirke podatkov in si jih ni mogoče ogledati ADSI oz LDAP. Za delo s fantomi je odgovoren mojster infrastrukture.

Druga značilnost te vloge je, da za pravilno delovanje v okolju z več domenami krmilnik domene, ki deluje kot glavni infrastrukturni sistem, ne sme biti strežnik globalnega kataloga. Če lastnik vloge Mojster infrastrukture je tudi strežnik G.C., lažni objekti niso ustvarjeni ali posodobljeni v tem krmilniku domene. To se zgodi, ker globalni katalog že vsebuje delne replike vsi predmetov v Aktivni imenik in ne potrebuje fantomov .

RID Master

Vsak račun v domeni (uporabnik, računalnik, skupina) mora imeti edinstven varnostni identifikator ( SID), ki enolično identificira ta račun in služi za razlikovanje pravic dostopa. izgleda SID na naslednji način:

S-1-5-Y1-Y2-Y3-Y4, Kje

• S-1 - SID revizija 1. Trenutno se uporablja samo ta revizija.
• 5 - Označuje, kdo je izdal SID. 5 pomeni Organ NT. Vendar tako imenovani "dobro znani identifikatorji" SID (znani SID) ima lahko 0, 1 in nekatere druge vrednosti v tem delu.
• Y1-Y2-Y3- ID domene, ki ji račun pripada. Enako za vse predmete varnostni ravnatelj znotraj ene domene.
• Y4- Relativni identifikator ( Relativni ID, RID), povezane z določenim računom. Nadomeščeno iz skupine relativnih identifikatorjev domene v času ustvarjanja računa.

Krmilnik domene z vlogo RID Master je odgovoren za prepoznavanje zaporedja edinstvenih RID vsakemu krmilniku domene v svoji domeni, kot tudi za pravilnost premikanja objektov iz ene domene v drugo. Krmilniki domene imajo skupno skupino relativnih identifikatorjev ( Bazen RID), RID od tega je vsak krmilnik dodeljen v delih po 500 kosov. Ko se njihovo število konča (postane manj kot 100), krmilnik zahteva novo porcijo. Po potrebi število izdanih RID in prag zahteve je mogoče spremeniti.

Drugo področje odgovornosti RID Master- premikanje objektov med domenami. Točno tako RID Master zagotavlja, da enega predmeta ni mogoče premakniti v dve različni domeni hkrati. V nasprotnem primeru je možna situacija, ko bosta v dveh domenah dva predmeta z enakim GUID, ki je polna najbolj nepričakovanih posledic.

če RID Master ne bo na voljo, nato pa po koncu brezplačnega RID Nemogoče bo ustvariti nov račun, prav tako ne bo mogoče preseliti objektov iz trenutne domene v drugo.

Emulator PDC

Sprva glavna naloga Emulator primarnega krmilnika domene (PDC). zagotovljena je bila združljivost s prejšnjimi različicami Windows. V mešanem okolju, kjer se stranke srečujejo Windows NT4.0/ 95/98 in krmilniki domene NT4, Emulator PDC opravlja (samo za njih) naslednje funkcije:

• Obdelava operacije »sprememba gesla« za uporabnike in računalnike;
• Replikacija posodobitev na BDC (Rezervni krmilnik domene);
• Network Explorer (iskanje omrežnih virov).

Začenši na ravni domene Windows 2000 in postal je starejši od svojega dela. Krmilnik domene z vlogo Emulator PDC opravlja naslednje funkcije:

• Odgovoren za spreminjanje gesel in spremljanje banov uporabnikov v primeru napak pri geslu. Geslo, ki ga je spremenil kateri koli drug krmilnik domene, se najprej podvoji Emulator PDC. Če preverjanje pristnosti na katerem koli drugem krmilniku domene ni uspešno, se zahteva ponovi na Emulator PDC. Če je račun uspešno preverjen takoj po neuspešnem poskusu, Emulator PDC je obveščen in števec neuspelih poskusov se ponastavi na nič. Pomembno je opozoriti, da v primeru nedosegljivosti Emulator PDC informacija o menjavi gesla se bo še vedno širila po domeni, le malo počasneje.
• Urejevalnik pravilnika skupine se privzeto poveže s strežnikom Emulator PDC, na njem pa pride do sprememb pravilnika. če Emulator PDC ni na voljo, boste morali urejevalniku povedati, s katerim krmilnikom domene naj se poveže.
• Privzeto je Emulator PDC je strežnik za točen čas v domeni za odjemalce. Emulator PDC korenska domena v gozdu je privzeti časovni strežnik za Emulator PDC v podrejenih domenah.
• Spremembe imenskega prostora Porazdeljeni datotečni sistem (DFS), se vnesejo v krmilnik domene z vlogo Emulator PDC. Korenski strežniki DFS občasno od njega zahtevajo posodobljene metapodatke in jih shranijo v svoj pomnilnik. Nerazpoložljivost Emulator PDC lahko povzroči nepravilno delovanje DFS.
• IN Aktivni imenik Obstajajo tako imenovani »vgrajeni varnostni udeleženci« ( Dobro znani vodje varnosti). Primeri vključujejo račune Vsi, preverjeni uporabniki, sistem, sam in Ustvarjalec Lastnik. Vse jih upravlja krmilnik domene z vlogo Emulator PDC. Natančneje s spremembami v AD Emulator PDC preveri in posodobi vsebino vsebnika “ CN=Dobro znani varnostni principali, CN=Konfiguracija, DC= >”.
• V vsaki gozdni domeni Aktivni imenik obstaja lastnik upravnih varnostnih deskriptorjev - AdminSDHoder. Shranjuje informacije o varnostnih nastavitvah za tako imenovane zaščitene skupine ( zaščitene skupine). V določenih intervalih ta mehanizem zahteva seznam vseh članov teh skupin in jim dodeli pravice v skladu s svojim seznamom za nadzor dostopa. torej AdminSDHoderŠčiti skrbniške skupine pred spremembami. Izvedeno AdminSDHoder na krmilniku domene z vlogo Emulator PDC.

Domenske storitve AD podpirajo pet vlog Operations Master:

1 mojster poimenovanja domen;

2 Master sheme;

3 Lastnik relativnih identifikatorjev (Relative ID Master);

4 lastnik domenske infrastrukture (Infrastructure Master);

5 Emulator primarnega krmilnika domene (emulator PDC).

Mojster poimenovanja domen.

Vloga je zasnovana za dodajanje in odstranjevanje domen v gozdu. Če krmilnik s to vlogo ni na voljo pri dodajanju ali odstranjevanju domen v gozdu, operacija ne bo uspela.

V gozdu je samo en krmilnik domene z vlogo glavnega poimenovanja domen.

Če želite videti, kateri krmilnik domene imate kot lastnika imena domene, morate zagnati snap-in Active Directory – Domene in zaupanje desni klik na korensko vozlišče in izberite " Lastnik operacije"

V vrstici Domain Naming Master boste videli, kateri krmilnik domene opravlja to vlogo.

Mojster sheme.

Krmilnik z vlogo lastnika sheme je odgovoren za vse spremembe sheme gozda. Vse druge domene vsebujejo replike sheme samo za branje.

Vloga lastnika sheme je edinstvena v celotnem gozdu in jo je mogoče definirati samo na enem krmilniku domene.

Če si želite ogledati krmilnik domene, ki deluje kot lastnik sheme, morate zagnati snap-in Shema Active Directory, a za to morate to opremo registrirati. Če želite to narediti, zaženite ukazno vrstico in vnesite ukaz

regsvr32 schmmgmt.dll

Po tem kliknite " Začetek"izberi ekipo" Izvedi"in vstopi" mmc" in kliknite gumb " v redu". Nato v meniju kliknite " mapa"izberimo ekipo" Dodajte ali odstranite snap-in". V skupini Dodatki, ki so na voljo izberite " Shema Active Directory", pritisni gumb " Dodaj" in nato gumb " v redu".

Z desno miškino tipko kliknite korensko vozlišče snap-ina in izberite " Lastnik operacije".

V vrstici Trenutni lastnik sheme (na spletu) boste videli ime krmilnika domene, ki opravlja to vlogo.

Lastnik relativnih identifikatorjev (Relative ID Master).

Ta vloga zagotavlja vsem uporabnikom, računalnikom in skupinam edinstven SID (varnostni identifikator – podatkovna struktura spremenljive dolžine, ki identificira uporabnika, skupino, domeno ali računalniški račun)

Vloga Master RID je edinstvena znotraj domene.

Če želite videti, kateri krmilnik v domeni deluje kot lastnik identifikatorja, morate zagnati " Lastnik operacije".

Na zavihku RID boste videli ime strežnika, ki izvaja vlogo RID

Lastnik domenske infrastrukture (Infrastructure Master).

Ta vloga je pomembna pri uporabi več domen v gozdu. Njegova glavna naloga je upravljanje fantomskih objektov. Fantomski objekt je objekt, ki je ustvarjen v drugi domeni za zagotavljanje nekaterih virov.

Vloga domenske infrastrukture je edinstvena za domeno.

Če želite videti, kateri krmilnik v domeni deluje kot lastnik domenske infrastrukture, morate zagnati " Active Directory – uporabniki in računalniki", z desno miškino tipko kliknite domeno in izberite " Lastnik operacije".

V "zavihku" Infrastruktura"videli boste krmilnik, ki opravlja to vlogo v domeni.

Emulator primarnega krmilnika domene (emulator PDC).

Vloga emulatorja PDC je več pomembnih funkcij (tukaj niso navedene vse, le glavne):

Sodeluje pri replikaciji posodobitve gesla. Vsakič, ko uporabnik spremeni svoje geslo, se te informacije shranijo v krmilnik domene z vlogo PDC. Ko uporabnik vnese napačno geslo, se preverjanje pristnosti pošlje emulatorju PDC, da pridobi morebitno spremenjeno geslo računa (torej, če uporabnik vnese napačno geslo, preverjanje prijave traja dlje kot vnos pravilnega gesla).

Sodeluje pri posodobitvah pravilnika skupine v domeni. Zlasti, ko se pravilnik skupine spremeni na različnih krmilnikih domene hkrati, emulator PDC deluje kot osrednja točka za vse spremembe pravilnika skupine. Ko odprete urejevalnik upravljanja pravilnika skupine, se ta poveže s krmilnikom domene, ki deluje kot emulator PDC. Zato so vse spremembe pravilnika skupine privzeto izvedene v emulatorju PDC.

Emulator PDC je glavni vir časa za domeno. Emulatorji PDC v vsaki domeni sinhronizirajo svoj čas z emulatorjem PDC korenske domene gozda. Drugi krmilniki sinhronizirajo svoj čas z emulatorjem PDC domene, računalniki in strežniki sinhronizirajo čas s krmilnikom domene.

Če želite videti, kateri krmilnik v domeni deluje kot emulator PDC, morate zagnati " Active Directory – uporabniki in računalniki", z desno miškino tipko kliknite domeno in izberite " Lastnik operacije".

Na zavihku PDC boste videli krmilnik, ki opravlja to vlogo.