Сервери глобального каталогу і господарі операцій

Більшість операцій із записами БД Active Directory адміністратор може виконувати, підключившись за допомогою відповідної консолі до будь-якого з контролерів домену. Однак, щоб уникнути неузгодженості, деякі дії повинні бути скоординовані і виконані спеціально виділеними для цієї мети серверами. Такі контролери домену називаються Господарями операцій (Operations Masters), або виконавцями спеціалізованих ролей (Flexible Single-Master Operations. Скорочено - FSMO).

Всього є п'ять спеціалізованих ролей:

  • роль Господаря Схеми - за допомогою консолі "Active Directory Schema" (щоб запустити цю консоль, треба спочатку зареєструвати відповідну програмну компоненту в командному рядку: regsvr32 schmmgmt.dll, а потім запустити саму консоль теж в командному рядку - schmmgmt.msc);
  • роль Господаря іменування доменів - за допомогою консолі "Active Directory - домени і довіра";
  • ролі емулятора PDC. володаря RID і володаря інфраструктури - за допомогою консолі "Active Directory - користувачі і комп'ютери" (приклад можна побачити на рис. 6.40).

Необхідно знати, хто з користувачів має право змінювати ролі господарів операцій:

  • емулятор PDC - члени групи "Адміністратори домену";
  • господар RID - члени групи "Адміністратори домену";
  • господар інфраструктури - члени групи "Адміністратори домену";
  • господар іменування доменів - члени групи "Адміністратори підприємства";
  • господар схеми - члени групи "Адміністратори Схеми" або групи "Адміністратор підприємства".

Якщо контролер домену, якому належить роль господаря операції, виходить з ладу (внаслідок пошкодження устаткування або програмного забезпечення), причому немає можливості відновити цю систему з резервної копії, то за допомогою адміністративних консолей передати ролі працездатним серверів немає можливості. Відновити функціонування певної ролі господаря операцій можна тільки шляхом захоплення даної ролі за допомогою утиліти командного рядка ntdsutil.

Сервер глобального каталогу

Нагадаємо, що Глобальний каталог (global catalog) - це перелік усіх об'єктів лісу Active Directory. За замовчуванням, контролери домену містять тільки інформацію про об'єкти, які підтримуються вашим. Сервер Глобального каталогу є контролером домену, в якому міститься інформація про кожен об'єкт (хоча і не про всі атрибути цих об'єктів), що знаходиться в даному лісі.

Сервер глобального каталогу виконує дві дуже важливі функції:

  • пошук об'єктів в масштабах всього лісу (клієнти можуть звертатися до глобального каталогу із запитами на пошук об'єктів за певними значеннями атрибутів; використання сервера глобального каталогу - єдиний спосіб здійснювати пошук об'єктів по всьому лісу);
  • аутентифікація користувачів (сервер глобального каталогу надає інформацію про членство користувача в універсальних групах. universal groups; оскільки універсальні групи зі списками входять до них користувачів зберігаються тільки на серверах глобального каталогу. аутентифікація користувачів, що входять в такі групи, можлива тільки за участю сервера глобального каталогу) .

За замовчуванням найперший контролер домену в лісі є сервером глобального каталогу. Однак адміністратор мережі може призначити будь-який контролер домену сервером глобального каталогу. Це робиться за допомогою адміністративної консолі "Active Directory - сайти і служби", у властивостях вузла "NTDS Settings" обраного контролера (рис. 6.41):

Для ефективної роботи служби каталогів Active Directory необхідно, щоб в кожному сайті AD був або сервер глобального каталогу. або контролер домену, кешуючий у себе списки членів універсальних груп. Кешування універсальних груп також налаштовується в консолі "Active Directory - сайти і служби" у властивостях вузла "NTDS Settings" для кожного сайту Active Directory. Для включення кешування потрібно поставити галочку у поля "Дозволити кешування членства в універсальних групах" і вказати, з якого сайту даний сайт буде отримувати списки універсальних груп в поле "Оновлювати кеш з:" (рис. 6.42):