Необходимо знать, что одновременно может работать (владеть) каждой ролью только один контролер в одиночном домене. Т.е. либо все роли на одном сервере или максимум на пяти контролерах одновременно, хотя контролеров может быть больше.
Мастер Схемы (Schema Master) – роль служит для обновления схемы леса.
Мастер Именования Домена (Domain Naming Master) – служит для добавления и удаления доменов леса.
В каждом домене существуют три оставшиеся роли:
•Мастер Инфраструктуры (Infrastructure Master) – синхронизирует объекты внутри базы, при отсутствии запрашивает с глобального каталога. В случае если все сервера являются глобальными каталогами, то значение роли не значительна.
•RID Мастер (Relative ID Master) – каждый новый объект в домене получает уникальный идентификатор безопасности (Security Identifier SID). SID включает в себя идентификатор домена, который уникален для каждого домена. RID Мастер отвечает за предоставление специфических уникальных идентификаторов (RID) в домене для каждого объекта, будь то компьютер, пользователь и т п. Тем самым комбинация SID и RID гарантирует, что каждый объект в домене уникален.
•Эмулятор PDC (PDC Emulator) – контролирует аутентификацию в домене по средствам Kerberos v5 или NTLM. Смена пароля пользователем обрабатывается данной ролью.
Сайт (Site) высокоуровневый контейнер расположения, топологии объектов каталога при его развёртывании. Лес доменов (Domain Trees) представляет из себя группу доменов, которые являются наследниками или дочерними корневого домена. Организационная Единица (Organization Units) минимальная логическая составляющая – контейнер, позволяющая организовать объекты в логическую структуру.
Доверенные связи (Trust) следующая важная составляющая активного каталога. Представляет из себя отношения между лесами и доменами. В лесу все домены по умолчанию связаны между собой двух сторонними прозрачными доверительными отношениями (two-way transitive trust relationship). Это позволяет аутентифицироваться между доменами. Существуют различные типы доверенных связей.
Следующей важной составляющей активного каталога является групповые политики (Group Policy GPO). Они предоставляют возможность централизованного конфигурирования и управления атрибутами объектов. Существует два раздела групповых политик: Пользовательские (User) и компьютерные (Computer). Групповые политики могут применяться на различные контейнеры – уровни. Последовательность влияния политик выглядит следующим образом:
•Local Group Policy;
•Site-linked Group Policies;
•Domain-linked Group Policies;
•OU-linked Group Policies;
По умолчанию, настройки более высокой политики перекрываются настройками более низкой политикой в случае их конфликта. Например, если на уровне домена применена настройка разрешения смены рабочего стола, а на уровне организационной единицы запрещено, то результат будет запрет. Если параметры не перекрываются, то результат воздействия на объект будет содержать суммарные параметры применения всех политик. Условия наследия могут быть изменены.
База данных активного каталога содержится в файле ntds. dit в папке %SYSTEMROOT%\NTDS. В папке также содержатся файлы:
•Edb.chk – содержит проверку целостности базы;
•Edb. log – журнал активности базы;
•Temp. edb – временный файл активности;
•Res1.log или edbres0001.jrs – лог файл при недостатке места;
