操作主机角色的深入探究

操作主机角色---OM角色（operationsmaster）

操作主机--------FSMO

操作主机有两个级别：

1）森林级别：（架构主机schemamaster）、（域命名主机DomainNamingMaster）

2）域级别：（RID主机RIDMaster）、（PDC模拟主机PDCEmulator）、（基础结构主机InfrastructureMaster）

功能：

架构主机schemamaster-----------

在单个森林中仅有一个可写入的ADDS模式的主控副本。有意这样设计是用于限制对模式的访问并最小化潜在的复制冲突，在整个ADDS森林中只能有一个主控模式

控制活动目录中的所有对象\属性的定义schemaadmins组

域命名主机DomainNamingMaster-------

域命名主机负责向ADDS森林添加域，这种OM角色必须放置在全局目录服务器上，因为它必须拥有所有域和对象的记录以便执行他的功能。在森林中只能有一个域命名主机。

控制森林中的域的增加和删除

防止林中功能变数名称重复Enterpriseadmins组

RID主机RIDMaster----------------------

ADDS内能够分配权限的所有对象所有对象都通过使用安全标识符SID来唯一标识。

每个SID由一个域SID（对单个域中的每个对象都是相同的）+一个相对标识符（RID，对于该域内的每个对象都是唯一的）

当分配SID时，域控制器必须能够从它在SID主控哪里获得的RID池中分配一个相对应的RID，当该池的RID耗尽时，它将向RID主控请求获得另一个池。如果RID主控失效并且指定的域控制器耗尽了分配给他的RID池，那么可能无法在域中创建新的对象。每个ADDS域中有一个RID主控

管理域中对象相对标识符RID池

将相对ID序列分配给域中的每个域控制器

林中每个域只有一个RID主机

对象安全标识符SID=域安全标识符+相对标识符RID形如s-1-5-21-12222333344-3334333

PDC模拟主机PDCEmulator-------------------

这种角色的存在用于模仿过去的为低级客户端服务的windowsNT主域控制器PDC，使用windows2008,PDC仿真器执行某种角色，如充当主用时间同步服务器。每个ADDS域有一个PDC仿真器FSMO角色。

模拟windowsNTPDC默认的域主浏览器

默认的域内权威的时间服务源

管理来自用户端的密码更改、最小化密码变化的复制等待时间

统一管理域账号密码更新、验证、锁定

域账号的锁定目地：为防止用户的密码被猜测，当密码错误次数达到预设值，将被锁定

基础结构主机InfrastructureMaster-------------------

基础结构主控管理对不在它自己域内的域对象的引用。

一个域中的DC包含一个它自己域内所有对象的列表，以及一个到森林中其他域中其他对象的引用列表

如果一个引用的对象发生变化，基础结构主控就负责处理这种变化

由于它仅仅处理引用的对象而不是对象自身的副本，因此基础结构主控一定不能驻留在多域环境中的一个全局目录服务器上。

对跨域对象引用进行更新

更新从它所在域中的物件到其他域中物件的引用

在重命名或更改主成员时更新组到用户的引用

从一个OM角色转移到另一个域控制器可以作为日常维护的一部分来执行，或者在执行灾难恢复的情况下一个OM服务器处于脱机状态时，那么可以捕捉此OM，并将其恢复为联机状态------ntdsutil

查看操作主机角色：ntdstutilnetdomdcdiag

占用操作主机角色：ntdsutil

roles

connect

connecttoserverdc01.wen.com

quit

seize或者transft

schemamaster\PDC\RIDMaster\NamingMaster\Infrastructuremaster