AD SITE + operation masters

okálním časovým zdrojem.
5. Je serverem kde se ve výchozím nastaveni provádí úpravy GPO (group
policy objektu) – všechny změny přes gpmc se provádí na PDC
emulatoru – aby nedocházelo ke konfliktům při konfiguraci více správci
zároveň
Nefunguje-li pak při okamžitém přihlášení po změně hesla to může byt problém(časem
se na replikuje), časová synchronizace nefunguje a může se rozejit po určitém čase,
editace GPO nelze dělat na PDC (lze na jiném řadiči) – v radu několika hodin není
ztráta této role až tak vážná
RID(relative id) master
• Kód SID ( jedinečný identifikátor uživatele lze najit v tokenu přes whoami /?)
má část doménovou a část relative ID
• Při vytváření nového objektu(např user) se generuje na radici SID, RID master
přiděluje skupiny relative ID jednotlivým řadičům(kvůli jedinečnosti)
• Nefunguje-li pak nějakou dobu lze normálně vytvářet objekty, ale jakmile
dojdou řadiči jeho relative ID tak nemá možnost získat novou skupinu relative
ID a objekt nelze vytvořit(viz systémový log kde je napsáno ze nelze přidělit
objektu relative ID)
Infrastructure master
• Duležitý v prostředí s více doménami (2 a více)
• Pokud jeden objekt jedné domény přiřadíme do druhé tak se tam vytvoří
zástupce a když něco změníme na tom objektu jez je jinde zastupován tak
infrastructure master zařídí změny ve všech zástupcích
• Zástupce pozná tak, že vezme databázi řadiče domény a globálního katalogu,
co je navíc jsou objekty z cizích domén(zástupci) – z toho vyplývá, že
infrastructure master nesmí být na řadiči, který je zároveň globální katalog –
pak by to nefungovalo protože by porovnával globální katalog s globálním
katalogem(neplatí ve 2 případech – existuje jen jedna doména nebo v případě
ze každý řadič domény je globální katalog – práci infrastructure mastera pak
nahrazuje replikace globálního katalogu)
• Nefunguje-li pak se změny nedistribuují a zástupci mají staré hodnoty

Jak zjistit který server je co: z příkazové řádky či klikátkem(adir users and computers - >
pravý klik operations masters(zde je RID, infrastructure a PDC emulator)), domain naming
master je v adir domains and trusts a schéma master je v adir schema(třeba doinstalovat
(regsvr32 schmmgmt.dll) pak se objeví v MMC) tamtéž lze udělat transfer

Nejde li transfer pak je nutné udělat SEIZE: původní server je nutno již nepřipojit do site
protože ten se nedozví že už nemá tuto roli. Seize se dělá výhradně na příkazovém řádku
pomocí nástroje ntdsutil(nt directory services util). Velmi intuitivní nápověda přes help. Je
nutné mít správně připojeno na požadovaný řadič.

Kam s kterou roli(doporučení):
Single domain forest – všechny role na prvním řadiči domény, ze všech řadičů udělat globální
katalogy (PDC, RID, infrastructure je vhodné mít na jednom řadiči domény)
Není li globální katalog všude pak infrastructure musí jit jinam.
Schéma master a Domain naming se ponechávají spolu v kořenové doméně lesa.
Seize provádět jen v případě ze je to fakt nutné – bez mnoha roli se dá chvíli obejít.

Záloha a obnova active directory

Provádí se NtBackup zaškrtnout položku system state.
Při obnově tímtéž nástrojem 2 možnosti:
1. autoritativní obnova – po dokončení NtBackup obnovy nerestartovat a přes
ntdsutil udělat autoritativní obnovu – všecky objekty se nastaví na novější
značku a replikuji se do ostatních řadičů
2. neautoritativní obnova – po dokončení restartovat, nereplikuji se změny od
doby zálohy