Active Directory中FSMO角色介绍

在过去的几十年里，微软已经提出了无数的更新。AD中的FSMO角色就是其中之一。因此，如果您还在活动目录中搜索有关FSMO角色的真实信息，那么本文非常适合您。因为有了这些信息，你就得到了你想知道的一切。请继续阅读以了解更多信息。

FSMO角色概述

什么是灵活单主操作，什么是FSMO角色?

灵活的单主操作(FSMO)是Microsoft Active Directory组件专用域控制器任务，在传输标准数据和不适当的更新方法时使用。

更重要的是，不适合多主副本的任务只能作为灵活的单主操作。

多主机模型有不同的操作符，单个主机可以保存这些操作符。这个问题可以通过在单个域控制器上应用多个操作来解决。

作为单一域控制器，它扮演特定操作的角色，并且是该操作的单一主控制器。这些操作主称为灵活的单主操作。

一旦你知道了FSMO规则是什么，你必须清楚地理解下面提到的五个最重要的FSMO角色。

5个FSMO角色列表

微软将数据中心的职责划分为五个不同的角色，这些角色同时构成了一个完整的AD系统。让我们来探索一下。

• 模式主FSMO角色
• RID (Relative ID)主SMO角色
• 域名管理员FSMO角色
• 主域控制器(PDC)模拟器FSMO角色
• 基础设施主管FSMO角色

它们是如何工作的?

模式主FSMO角色

架构主角色组织Active Directory架构的读写副本。此外，AD模式定义了所有属性。其中包括员工ID、电话号码、电子邮件地址和登录名。更重要的是，您可以将其应用于AD数据库中的对象。

此外，AD模式是一个数据库分区，其中包含有关AD对象的元数据。例如，它包括像person、group或msPKI-Key-RecoveryAgent这样的类，以及像电话号码、badPwdCount或DNS-HostName这样的属性。

AD需要一个服务来管理模式，因此需要schema Master角色。架构主角色负责保存对AD架构的更改。

如果您曾经增加AD模式以安装Exchange之类的产品或提高森林功能级别，那么您就使用了schema Master角色。

RID Master FSMO角色

这里出现了另一个角色，相对ID主将安全标识符(SID)块分配给不同的dc，它们可以用于新建立的对象。

AD中的每个对象都有一个SID;SID的最后几位数字是相对部分。为了防止多个事物具有相同的SID, RID Master授予每个DC分配不同SID的荣誉。

域名管理员FSMO角色

在模式管理器之后，域命名管理器将确保您不会在同一林中以旧名称建立另一个域作为新名称。

换句话说，它是你域名的主人。因为创建新域不是经常发生的事情，所以在所有角色中，与另一个功能保持在同一个DC上是最可行的。

PDC模拟器FSMO的作用

可以说，最基本的FSMOAD中的角色为配电柜。PDC角色负责诸如密码修改、帐户锁定(和解锁)、时间同步等任务。

在Active Directory (Windows NT)诞生之初，PDC (Primary Domain Controller)是AD域中唯一的可写数据中心。所有其他数据中心都是备份域控制器(bdc)，仅用于身份验证目的。

从Windows 2000开始，除了在Windows Server 2008中发布的只读域控制器(rodc)之外，所有dc都是可写的。

由于AD仍然需要PDC的性能，但在技术上已经没有PDC了，因此微软发起了PDC模拟器(PDCe)的角色。

基础设施主管FSMO角色

Infrastructure Master角色在域之间转换全局唯一标识符(GUID)、sid和专有名称(DN)。如果你的森林中有不同的域，基础设施大师就是生活在它们之间的Babelfish。

如果Infrastructure Master不能完美地工作，您将看到sid取代了访问控制列表(ACL)中的名称。

FSMO提供了一种信念，即您的域可以在不中断的情况下对用户和权限进行身份验证(带有标准的警告，例如网络保持每个AD对象都有一个由RID Master FSMO角色分配的SID)。

当您看到用户、组和其他AD信息时，在这方面，我们希望知道的是名称而不是SID。这就是Infrastructure Master角色发挥作用的地方。

默认情况下，每个DC都被构造为全局编目(GC)。GC提供来自林中所有域的信息。减少站点之间重复通信的一种方法是将一些dc配置为不作为gc。

例如，在加入域的计算机上，检查Windows资源管理器中给定文件夹的“安全”或“共享”选项卡，并为另一个域的帐户设置权限。

此外，您将看到用户、计算机和组的名称，而不是它们的sid。如果计算机在域中找不到Infrastructure Master角色，则只能看到其他域中帐户的sid。

最后的话

FSMO的角色对于确保AD继续按设计运行至关重要。虽然您通常不需要关心FSMO部件，但了解它们在时间到来时的行为仍然是必要的!