FSMO rollen
Binnen de Active Directory zijn meerdere rollen te definiëren. Deze rollen zijn de Forest-Wide Operations Master Roles en de Domain Wide Operations Master Roles. Deze rollen worden in de volgende deelhoofdstukken kort toegelicht.
Forest-Wide Operations Master Roles
Deze rollen zijn uniek binnen een forest en dienen aan één Domain Controller binnen het forest toegewezen te worden.
Domain Naming Master Role
De Domain Naming Master Role wordt gebruikt indien een domein aan het forest wordt toegevoegd of verwijderd. Indien een domein aan het forest wordt toegevoegd of er word een domein verwijderd moet de Domain Controller met de Domain Naming Master Role bereikbaar zijn anders mislukt de actie.
Schema Master Role
De Domain Controller die de Schema Master Role bezit is verantwoordelijk voor het doorvoeren van wijzigingen binnen het schema van het forest. Elke andere Domain Controller houd een alleen lezen kopie van het schema.
Domain Wide Operations Master Roles
Deze rollen zijn uniek binnen een domein en dienen aan één Domain Controller binnen het domein toegewezen te worden.
RID Master Role
De Domain Controller met de RID Master Role vervult een belangrijke Functie voor het genereren van Security Identifiers (SID) voor objecten als bijvoorbeeld gebruikers, groepen en computers. Elk object binnen een Active Directory moet een unieke SID toegewezen krijgen. Elke Domain Controller kan SID’s toewijzen. De RID Master zorgt voor toewijzing van een range SID’s aan iedere Domain Controller zodat iedere Domain Controller unieke SID’s uitdeelt.
Infrastructure Master Role
Binnen een omgeving met meerdere domeinen is het gebruikelijk dat een object aan groepen binnen meerdere domeinen toegevoegd wordt. Als een lid van een groep in een ander domein gewijzigd wordt, zorgt de Infrastructure Master Role dat dit gesynchroniseerd wordt tussen de verschillende domeinen.
PDC Emulator Role
De PDC Emulator Role vervult meerdere functies binnen een domein. Indien een wachtwoord van een gebruiker gereset of gewijzigd is repliceert de active directory dit onmiddellijk naar de Domain Controller met de PDC Emulator Role. Deze speciale replicatie zorgt dat gebruikers direct in kunnen loggen. Indien een gebruiker na het wijzigen van het wachtwoord direct probeert in te loggen kan het zijn dat de DC die reageert op het verzoek van de gebruiker nog niet weet dat het wachtwoord gewijzigd is. Voordat de loginpoging afgewezen wordt, wordt eerst een verzoek naar de PDC Emulator verstuurd of het wachtwoord op de betreffende DC nog correct is. De PDC geef bij weigeren van inloggen een second opinion.
Tevens beheert de PDC Emulator de Group Policy’s binnen een domein. Indien een Group Policy op meerdere DC’s tegelijk bewerkt wordt kan dit een synchronisatieconflict opleveren. Dit wordt voorkomen door de PDC Emulator. Indien een GPO binnen de Group Policy Management Editor wordt geopend, verbindt deze met de DC waarop de PDC Emulator actief is. Hierdoor worden alle GPO wijzigingen op de PDC Emulator uitgevoerd.
De PDC Emulator is verantwoordelijk voor de tijd binnen het domein. Iedere lid van het domein synchroniseert zijn huidige tijd met de PDC Emulator. Ook is de PDC Emulator de server waarop de lijsten van het domein worden opgehaald. Indien een gebruiker op netwerk klikt en het domein opent verschijnt een lijst van domeincomponenten. Deze lijst wordt gegenereerd door de PDC Emulator.