关于活动目录的五个角色以及GC的做用

1、FSMO活动目录的五个角色：

架构主机 FSMO 角色

架构主机 FSMO 角色的拥有者是负责执行目录架构（即，命名上下文或 LDAP://cn=schema,cn=configuration,dc=<domain> 的架构）更新的 DC。该 DC 是惟一可以处理目录架构更新的域控制器。架构更新完成后，该更新将从架构主机复制到目录中全部其余 DC 上。每一个目录中只有一台架构主机。

域命名主机 FSMO 角色

域命名主机 FSMO 角色的拥有者是负责对目录的林范围的域名空间（即，分区\配置命名上下文或 LDAP://CN=Partitions, CN=Configuration, DC=<domain>）进行更改的 DC。该 DC 是惟一可以在目录中添加或删除域的域控制器。它也能够添加或删除在外部目录中对域的交叉引用

RID 主机 FSMO 角色

RID 主机 FSMO 角色的拥有者是负责处理来自某一给定域中的全部 DC 的“RID 池”请求的单个 DC。它还负责在对象移动过程当中将对象从其域中删除并放在其余域中。

若是 DC 建立诸如用户或组之类的安全主体对象，它会将惟一的安全 ID (SID) 附加到该对象上。此 SID 由域 SID（在一个域中建立的全部 SID 的域 SID 均相同）和相关 ID (RID)（在一个域中建立的每一个安全主体 SID，其相关 ID 是惟一的）组成。

为域中的每一个 Windows 2000 DC 分配一个 RID 池，以容许将其分配给它所建立的安全主体。若是分配给某个 DC 的 RID 池低于阈值，该 DC 将向域的 RID 主机发布请求以获取更多 RID。域 RID 主机经过从域的未分配 RID 池中检索 RID 来响应请求，并将这些 RID 分配给请求的 DC 的池。目录中的每一个域中都有一台 RID 主机。

PDC 模拟器 FSMO 角色

PDC 模拟器对于在企业中同步时间是必需的。Windows 2000 包含 Kerberos 身份验证协议所需的 W32Time（Windows 时间）时间服务。企业中全部基于 Windows 2000 的计算机都使用公共的时间。时间服务的目的是确保 Windows 时间服务使用能够控制受权且不容许循环的层级关系来确保使用合适的公共时间。

域中的 PDC 模拟器是域的权威。林根目录的 PDC 模拟器成为企业的权威，应配置其从外部源中收集时间。全部 PDC FSMO 角色拥有者都遵循域的层级来选择其入站时间伙伴。

在 Windows 2000 域中，PDC 模拟器角色拥有者保留如下功能：

• 域中其余 DC 执行的密码更改优先复制到 PDC 模拟器中。
• 若是因为密码错误而在域中给定的 DC 上发生身份验证失败，则在向用户报告密码错误失败信息以前先将该信息传送给 PDC 模拟器。
• 在 PDC 模拟器上执行账户锁定。
• PDC 模拟器可执行基于 Microsoft Windows NT 4.0 Server 的 PDC 或早期 PDC 为基于 Windows NT 4.0 的客户端或早期客户端执行的全部功能。

PDC 模拟器的这部分角色在全部运行 Windows NT 4.0 或更早版本的工做站、成员服务器和域控制器均升级到 Windows 2000 后变得没必要要。PDC 模拟器仍然执行在 Windows 2000 环境中所描述的其余功能。

下面的信息介绍在升级过程当中发生的更改：

• Windows 2000 客户端（工做站和成员服务器）和安装了分布式服务客户端软件包的下层客户端并不优先在公布自身为 PDC 的 DC 上执行目录写操做（如密码更改），它们可以使用域中任何 DC。
• 下层域中的备份域控制器 (BDC) 升级到 Windows 2000 后，PDC 模拟器再也不接收下层的复制请求。
• Windows 2000 客户端（工做站和成员服务器）和安装了分布式服务客户端软件包的下层客户端使用 Active Directory 来分配网络资源。它们不请求 Windows NT 浏览器服务。

结构主机 FSMO 角色

若是一个域中的对象被另外一个域中的其余对象引用，它表示经过 GUID、SID（针对安全主体的引用），以及被引用对象的 DN 进行引用。结构主机 FSMO 角色的拥有者负责在一个跨域的对象引用中更新对象的 SID 和辨别名的 DC。

注意：结构主机 (IM) 角色应由非全局编录 (GC) 服务器的域控制器担任。若是结构主机在全局编录服务器上运行，它将会中止更新对象信息，缘由是它只包含对它所拥有的对象的引用。这是由于全局编录服务器拥有林中每一个对象的部分副本。所以，不会更新域中的跨域对象引用，而且将向此 DC 的事件日志中写入该影响的警告。

若是域中的全部域控制器同时也承载全局编录，则全部域控制器均拥有当前数据，此时哪一个域控制器担任结构主机角色并不重要。

2、全局编录服务器（GC）

全局编录是存储林中全部 Active Directory 对象的副本的域控制器。全局编录存储林中主持域的目录中全部对象的彻底副本，以及林中全部其余域中全部对象的部分副本

1：存储对象信息副本，提升搜索性能
    全局编录服务器中除了保存本域中全部对象的全部属性外，还保存林中其它域全部对象的部分属性，这样就容许用户经过全局编录信息搜索林中全部域中对象的信息，而不用考虑数据存储的位置。经过GC执行林中搜索时可得到最大的速度并产生最小的网络通讯量。
2：存储通用组成员身份信息，帮助用户构建访问令牌
    全局组成员身份存储在每一个域中，但通用组成员身份只存储在全局编录服务器中。
    咱们知道，用户在登录过程当中须要由登陆的DC构建一个安全的访问令牌，而要构建成功一个安全的访问令牌由三方面信息组成：用户SID，组SID，权力。其中用户SID和用户权力能够由登陆DC得到，但对于获取组SID信息时，须要肯定该用户属不属于通用组，而通用组信息只保存在GC中。因此当GC故障，负责构建安全访问令牌的DC就没法联系GC来确认该用户组的SID，也就没法构建一个安全的访问令牌。
      注：在Win2003中，能够经过通用组缓存功能解决GC不在线没法登陆状况，具体操做本文略过。

3：提供用户UPN名称登陆身份验证。
    当执行身份验证的域控制器没有用户UPN账号信息时，将由GC解析用户主机名称(UPN)进行身份验证，以完成登陆过程
4：验证林中其余域对象的参考
    当域控制器的某个对象的属性包含有另外一个域某个对象的参考时，将由全局编录服务器来完成验证。

本文来自CSDN博客，转载：http://blog.csdn.net/colnonel/archive/2009/04/27/4128528.aspx