žFlexible Single Master Operation Role žAD je multi-master databáze žPrevence konfliktů ¡Poslední vyhrává X zamykání žStarší verze AD (≤NT4.0) byly single-master ¡Změny přes Primární DC (PDC) ž Zavedení 5 single-master rolí ¡Forestové X Doménové ž žGlobal Catalog žSchema Master žDomain Naming Master žInfrastructure Master žRelative Id (RID) Master žPDC Emulator ž ž žNení FSMO role žKaždý DC udržuje objekty své domény žGC Obsahuje RO seznam fragmentů každého objektu z celého forestu žUdržuje se replikací (označením jako Partial Atribute Set) žUniversal Group Membership při přihlašování žNepřesouvá se, přiřazuje se ¡Pozor, může to trvat ¡Záznam v logu žSpravuje modifikace a změny ve schématu ¡Proč změny schématu? žJediný DC má R/W kopii schématu žPro změnu schématu ve forestu je třeba mít přístup k schema masteru a samozřejmě práva (skupina Schema Admins) žForestová role žNelze rozšiřovat schéma ¡Nelze instalovat větší SW – Exchange ž regsvr32 schmmgmt.dll žKontroluje přidávání/odebírání domén ve forestu žLze provádět z libovolného DC, ale Domain Naming Master musí být k dispozici žForestová role žNelze instalovat nové childdomény ž žObjekt z cizí domény je referencován ¡GUID ¡SID ¡DN žInfrastructure master drží informace pro cross-domain reference (SID a DN) žNeměl by být na stejném DC jako GC ¡IM role je vypnuta, neboť DC neupdatuje objekty, které nezná (zná všechny, je GC) ¡Pokud všechny DC jsou i GC, pak IM pozbývá smysl žVe vícedoménovém prostředí může být nekonzistentní group membership žSecurity principal object má unikátní SID žSkládá se z ¡Domain SID ¡Relative ID žKaždému DC je přidělena zásoba (pool) jeho relativních ID pro vytváření SID ¡Defaulní velikost poolu je 500, renew při 50% žNelze po nějaké době vytvářet další objekty (uživatele a počítače) žHierarchická synchronizace času ¡Kerberos snese rozdíl 5min žReplikace hesel přes PDC žPřeposílání bad-loginů a uzamykání účtů žDefaultně se v jeho SYSVOL share vytvářejí politiky žNesynchronizuje čas, problémy s GP a hesly žSchema Master ¡Forest – první DC v forest root doméně žDomain Naming Master ¡Forest - první DC v forest root doméně žRID Master ¡Domain – první DC v každé doméně žInfrastructure Master ¡Domain – první DC v každé doméně žPDC Emulator ¡Domain – první DC v každé doméně žNásilné přesunutí role v případě pádu konkrétní role žPomocí ntdsutil žPo seiznutí se již nesmí objevit původní ¡Schema Master ¡Domain Naming Master ¡RID Master ž žÚroveň funkcionality AD žSoubor nových vlastností pro každou úroveň žPři povyšování úrovně změna schématu žDomain level X Forest level ž žDomain ¡Windows 2000 mixed (default w2k3) ¡Windows 2000 native ¡Windows Server 2003 interim ¡Windows Server 2003 ¡Windows Server 2008 ¡Windows Server 2008 R2 žForest ¡Windows 2000 (default w2k3 a w2k8) ¡Windows Server 2003 interim ¡Windows Server 2003 (default w2k8 R2) ¡Windows Server 2008 ¡Windows Server 2008 R2 ž ¡ žV každé úrovni mohou být jako DC pouze korespondující OS nebo vyšší ¡Pro mixed je korespondující a o jedna nižší žRollback? ¡Pouze 2008 R2 ® 2008 ž žW2k native ¡universal groups, group nesting, SID history žWS2k3 ¡přejmenování domén, lastLogonTS,… žWS2k8 ¡SYSVOL DFS, AES KRB, PASSW policies žWS2k8 R2 ¡menší změny v KRB, Service Accounts žWS2k3 ¡Forest trust, lepší replikace skupin, RODC, … žWS2k8 ¡Nic nového, nové domény jsou defaultně v WS2k8 žWS2k8 R2 ¡Active Directory Recycle Bin