Active Directory tiene 5 roles de maestro de operaciones. 2 son relativas al bosque y las otras 3 al dominio. Si tenemos 3 dominios en un bosque tendremos 2 + (3 + 3 + 3) = 11 maestros de operaciones.
Se encarga de que no se repitan los nombres de dominio de un bosque; se utiliza al quitar o agregar dominios al bosque; es imprescindible que esté operativo al crear o eliminar un nuevo dominio dentro del bosque.
- Maestro de esquema:
Se encarga de hacer los cambios en el esquema del bosque de Active Directory; si no está operativo no se podrá cambiar el esquema (añadir propiedades a un usuario, etc.) o instalar aplicaciones que requieran de él. Registrando esta librería mediante regsvr32.exe schmmgmt.dll obtendremos un nuevo snap-in disponible en la consola mmc para modificar la funcionalidad.
Operaciones relativas al bosque:
- Maestro de nombres de dominio:Se encarga de que no se repitan los nombres de dominio de un bosque; se utiliza al quitar o agregar dominios al bosque; es imprescindible que esté operativo al crear o eliminar un nuevo dominio dentro del bosque.
- Maestro de esquema:
Se encarga de hacer los cambios en el esquema del bosque de Active Directory; si no está operativo no se podrá cambiar el esquema (añadir propiedades a un usuario, etc.) o instalar aplicaciones que requieran de él. Registrando esta librería mediante regsvr32.exe schmmgmt.dll obtendremos un nuevo snap-in disponible en la consola mmc para modificar la funcionalidad.
Operaciones relativas al dominio:
- Maestro de identificadores relativos (RID):
El maestro de identificadores relativos asocia secuencias de identificadores relativos a cada uno de los distintos controladores de su dominio. Los DC's de AD generan SID's (Security IDentifiers) asignando un único RID al SID del dominio. Estos identificadores son utilizados por los DC's adjudicandolos a los objetos que se crean. Otra finalidad del RID es la de borrar un objeto de su dominio y colocarlo en otro cuando el objeto es movido entre ellos.
El maestro de identificadores relativos asocia secuencias de identificadores relativos a cada uno de los distintos controladores de su dominio. Los DC's de AD generan SID's (Security IDentifiers) asignando un único RID al SID del dominio. Estos identificadores son utilizados por los DC's adjudicandolos a los objetos que se crean. Otra finalidad del RID es la de borrar un objeto de su dominio y colocarlo en otro cuando el objeto es movido entre ellos.
- Maestro de infraestructuras:
En un entorno multidominio es normal que un objeto apunte a objetos de otro dominio (un grupo puede incluir miembros de otro dominio). El maestro de infraestructuras es responsable de actualizar las referencias de grupos y usuarios cada vez que hay alguna variación o cambio de nombre en los miembros de un grupo.
En un entorno multidominio es normal que un objeto apunte a objetos de otro dominio (un grupo puede incluir miembros de otro dominio). El maestro de infraestructuras es responsable de actualizar las referencias de grupos y usuarios cada vez que hay alguna variación o cambio de nombre en los miembros de un grupo.
- Emulador PDC:
El emulador PDC realiza varias operaciones cruciales para el dominio:
El emulador PDC realiza varias operaciones cruciales para el dominio:
* Emula al PDC para compatibilidad hacia atrás. Cuando existía sólo NT, sólo el PDC podía hacer cambios en el directorio. Si está en un dominio mixto (con BDC's de NT) o tiene clientes sin el software de cliente de Windows 2000 (w9x/NT), el equipo que hace de emulador PDC es el controlador principal de dominio y por tanto sin él no hay dominio para esos clientes o no hay dominio si no existe ningún otro DC de w200x y todo son BDC's de NT. El DC con el rol de emulador de PDC se registra a si mismo como PDC para que pueda ser localizado por aplicaciones anteriores (aunque después de casi 10 años de AD no quedan muchas).
* Se ocupa de procesar cambios de contraseña especiales. Cuando un usuario cambia la contraseña, el DC que hace el cambio lo replica inmediatamente al emulador PDC. Esto asegura que los DC's sepan el cambio lo antes posible. Si el usuario se loga inmediatamente y no ha llegado el cambio al dc, el dc preguntará al emulador PDC que verificará que la contraseña es correcta y le mandará al DC dejar logarse al usuario.
* Administra actualizaciones de GP's de un dominio. Si se modifica una GPO en 2 DC casi a la vez podría haber conflictos entre las 2 versiones del cambio. El emulador PDC actua como el nucleo central del cambio. Es decir, todos los cambios en las GPO, por defecto, se hacen en el emulador PDC.
* Proporciona un horario al dominio. AD, Kerberos, FRS necesitan de una buena sincronización a través de todo el sistema. El emulador PDC de cada dominio se sincroniza con el emulador PDC del bosque. Los DC's de sincronizan a través del emulador PDC del dominio.
* Actua como el examinador principal del dominio. En cada segmento de red, el emulador PDC crea la lista de equipos, dominios y servidores que utilizará después el servicio examinador de equipos para mostrar los sitios de red.
No hay comentarios:
Publicar un comentario