Просмотр сведений о разделе каталога приложений
Любой контроллер домена, на котором хранится реплика определенного раздела каталога (включая разделы каталога приложений), должен быть членом набора репликации этого раздела каталога. С помощью программы Ntdsutil можно просмотреть список контроллеров домена, являющихся членами определенного набора репликации раздела каталога приложений. Добавление контроллера домена в атрибут набора репликации составного справочного объекта не включает создание реплики, но этот контроллер домена будет отображен при выполнении команды list nc replica Ntdsutil. Создание реплики будет завершено лишь тогда, когда будет выполнена репликация создания экземпляра раздела. Дополнительные сведения см. в разделе Просмотр сведений о разделе каталога приложений.
Делегирование создания разделов каталога приложений
При создании раздела каталога приложений выполняются два действия:
- создание составного справочного объекта;
- создание корневого узла раздела каталога приложений.
Обычно разделы каталога приложений могут создавать только члены группы «Администраторы предприятия». Однако члены группы «Администраторы предприятия» могут подготовить составной справочный объект для раздела каталога приложений и делегировать выполнение остального процесса пользователю с более ограниченными разрешениями.
В составном справочном объекте раздела каталога приложений хранятся некоторые важные сведения, включающие контроллеры домена, на которых должна храниться реплика этого раздела, и домен ссылок дескрипторов безопасности. Корневым узлом раздела является объект Active Directory в корне раздела.
Члены группы «Администраторы предприятия» могут создать составной справочный объект, а затем делегировать пользователю или группе с меньшими разрешениями право на создание корневого узла раздела каталога приложений. И составной справочный объект, и корневой узел раздела каталога приложений можно создать с помощью программы Ntdsutil.
После создания в программе Ntdsutil составного справочного объекта администратор предприятия должен изменить таблицу управления доступом к составному справочному объекту, чтобы разрешить администратору-делегату изменение этого объекта. Это позволит администратору-делегату создать раздел каталога приложения и изменить список контроллеров домена, на которых будут храниться реплики этого раздела каталога приложений. Администратор-делегат должен использовать те же имена раздела каталога приложений и контроллеров домена, которые были заданы в ходе предварительного создания. Дополнительные сведения см. в разделе Подготовка составного справочного объекта.
Дополнительные сведения о разделах каталога приложений см. в разделе Разделы каталога приложений.
Роли хозяев операций
Роли хозяев операций
Active Directory поддерживает репликацию с несколькими хозяевами хранилища данных каталога между всеми контроллерами домена, таким образом все контроллеры домена являются по существу узлами. Однако некоторые изменения не рекомендуется выполнять в данном режиме, таким образом для каждого типа этих изменений только один контроллер домена, называемый хозяином операции, принимает на них запросы.
Каждый лес поддерживает как минимум пять ролей хозяина операций, назначаемых одному или нескольким контроллерам домена. Роли хозяина операций на уровне всего леса должны быть в составе каждого леса в одном экземпляре. Роли хозяина операций на уровне всего домена должны быть в составе каждого домена в одном экземпляре.
Примечание
- Роли хозяев операций иначе называют ролями FSMO (Flexible Single Master Operations, одиночного гибкого хозяина операций).
Роли хозяина операций на уровне всего леса
Каждый лес должен содержать следующие роли.
- Хозяин схемы
- Хозяин именования домена
Данные роли должны быть уникальными в пределах леса. Это означает, что в пределах всего леса может быть только один хозяин схемы и один хозяин именования домена.
Хозяин схемы
Хозяин схемы управляет всеми обновлениями и изменениями схемы. Для обновления схемы леса необходимо иметь доступ к хозяину схемы. В составе леса может существовать только один хозяин схемы.
Хозяин именования домена
Контроллер домена, выполняющий роль хозяина именования домена, управляет операциями добавления или удаления доменов в составе леса. В составе леса может существовать только один хозяин именования домена.
Примечание
- Хозяином именования доменов может быть любой контроллер домена, работающий под управлением операционной системы Windows Server 2003. Контроллер домена под управлением Windows 2000 Server, являющийся хозяином именования доменов, должен быть также настроен как глобальный сервер каталогов.