Некоторые операции уровня домена или предприятия, для которых не может выполняться обновление с несколькими хозяевами, выполняются одним контроллером домена в рамках домена или леса Active Directory. Контроллеры домена, назначенные для выполнения таких особых операций, называются хозяевами операций или обладателями ролей FSMO.
Ниже перечислены 5 особых ролей FSMO, существующих в лесу Active Directory, и специальные операции, выполняемые обладателями этих ролей.
-
Хозяин схемы. Роль хозяина схемы — это роль уровня леса. В каждом лесу существует один хозяин схемы. Эта роль необходима для расширения схемы леса Active Directory или для выполнения команды adprep /domainprep.
-
Хозяин именования домена. Роль хозяина именования домена — это роль уровня леса. В каждом лесу существует один хозяин именования домена. Эта роль необходима для добавления или удаления доменов или разделов приложений в лесу.
-
Хозяин RID. Роль хозяина RID — это роль уровня домена. В каждом домене существует один хозяин RID. Эта роль необходима для выделения идентификаторов RID, которые необходимы новым или существующим контроллерам доменов учетных записей пользователей, учетных записей компьютеров, а также групп безопасности.
-
Эмулятор PDC. Роль эмулятора PDC — это роль уровня домена. В каждом домене существует один эмулятор PDC. Эта роль необходима для контроллера домена, отправляющего обновления базы данных резервным контроллерам домена Windows NT. Контроллер домена, владеющий этой ролью, также используется некоторыми средствами администрирования и получает обновления паролей учетных записей пользователей и компьютеров.
-
Хозяин инфраструктуры. Роль хозяина инфраструктуры — это роль уровня домена. В каждом домене существует один хозяин инфраструктуры. Эта роль необходима контроллерам доменов для успешного выполнения команды adprep /forestprep, а также для обновления атрибутов идентификаторов безопасности (SID) и различающихся атрибутов имен для объектов, на которые указывают междоменные ссылки.
Мастер установки Active Directory (Dcpromo.exe) назначает все 5 ролей FSMO первому контроллеру домена в корневом домене леса. При создании дочерних доменов 3 роли уровня домена назначаются первому контроллеру домена в каждом дочернем домене. Контроллеры домена владеют ролями FSMO, пока эти роли не будут переданы другим контроллерам доменов одним из следующих методов.
-
Администратор переназначает роль с помощью средства администрирования с графическим интерфейсом.
-
Администратор переназначает роль, выполняя команду ntdsutil /roles.
-
Администратор в штатном порядке понижает роль контроллера домена, являющегося хранителем роли, с помощью мастера установки Active Directory. При этом роли, которыми обладал текущий контроллер домена, мастер переназначает существующим контроллерам домена в лесу. Если для понижения роли контроллера домена использовалась команда dcpromo /forceremoval, то роли FSMO будут находиться в недопустимом состоянии, пока администратор не выполнит переназначение ролей вручную.