Active Directory FSMO Rolleri

admin

Active Directory Üzerinde bulunan FSMO Rollerinin Görevleri

DC üzerinde hangi rolleri barındırdığını görmek için netdom query fsmo komutunu kullanabiliriz.

  1. Shema Master = Active Directory Domain Services içerisinde, yapıdaki nesnelerin sahip olacağı özellikleri belirleyen bileşendir. Nesnelerin biçimsel yapısını belirler diyebiliriz. Örneğin, kullanıcı nesnesinde ad, soyad, şehir, görev gibi bilgilerin olacağını Schema belirler. Bu rol üzerinde sadece Domain Admins ve Enterprice Admins grubu üyelerinin yetkileri vardır. Schema Master yapısında; Classlar(sınıflar)dan oluşur. Her bir class içinde claslara ait attribute(öznitelikler) bulunur. Obje özellikleri ve bilgiler bu attributelere göre belirlenir ve saklanır. Bu classların tümü bir araya gelerek aslında Active Directory Shema yapısını oluşturur. Object(Nesne) ve Attribute(öznitelikler) Schema Master üzerinde tutulur. Schema Master Rolü Active Dİrectory schemasının yönetimi yapmakla birlikte, DC’ler arasında replikasyonlarını yapmakla sorumludur. Forest içinde bu rolü üstlenen tek bir dc vardır. Sadece domain yapısını oluşturan ve Primary Domain Controllergörevi gören server bu role sahip olabilir.

Schema Master active directory schema’nın yönetimi , güncellenmesi ve replikasyonundan sorumlu olan domain controller rolüdür. Forest içindeki tüm nesne sınıfları(object class) ve bunlara ait özellikler (attributes) active directory schema yapısını oluşturur. Ayrıca active directory schema yapısının yönetimi sadece Schema Admins grubunun üyesi üyesi olanlar yapabilir. Bu grup varsayılan olarak forest root domain içerisinde oluşur.

  1. Domain Naming Master:  Domain (Etki Alanı) isimlerini bünyesinde tutan rehberdir diyebiliriz. Yeni bir domain kurulacağı zaman isim onayını bu rol verir. İsim çakışmasını önler. Forest içinde yeni bir domain eklendiğinde, herhangi birisi çıkartıldığında ya da domain adı değiştirildğinde ve domain isimlerinde çakışma olmaması gibi bu rol tüm kontrollerini gerçekleştirilir. Genellikle GC rolüne sahip bir domain controller üzerinde olması gerekir ve önerilir. Bu role sahip makine de forest içinde tektir. Domain yapısını oluşturan ve Primary domain controller görevi gören server bu role sahip olabilir.Bu rol forest bazlı ve forest bazında tektir.
  2. RID Master: Ağda bulunan tüm nesnelerin kendisine has bir SID numarası vardır. Nesnelerin benzersiz bir SID numarasını almasını sağlar ve çakışmayı önler. Benzersiz numara aktarma işine RID Relative Identifer adı verilmektedir. RID oluşturulurken active directory nesnesinin oluştuğu domain altında ilgili domainin kimlik numarasıyla beraber atanır ve buna SID Security Identifier denir.
  3. Infrastructure Master: Farklı etki alanlarından gelen kullanıcıların SID numarası ile ilgili ayarlamaları gerçekleştirir. Global Catalog sunucusu ile replikasyonu sağlar.Bİr kullanıcının yeri değiştirildiğinde GPO ayarlarıda değiştirilmektedir. BU aşamada taşıma işlemleri sonucunda yapılan değişikliklerden Infrastructure sorumludur. Domainler arası bilgi transferini yapar ve güncel tutulmasını sağlar. Üzerindeki bilgiler daima günceldir.
  4. PDC Emulator: Ağda bulunan DC’ler arasında replikasyonu sağlar. Windows oturumlarını kontrol eder.

En yoğun kullandığımız rollerden birisidir. Saat senkronizasyonu, şifre değişiklikleri ve şifre resetleme, GPO,Sysvol paylaşım erişimlerini yönetir. Ayrıca DFS yapısının güncel tutulmasını ve tutarlılığını sağlar. Domain bazında bulunan bir roldür.

Tek başına bu rolün taşınması Primary domain controller görevinin başka bir DC makinesine aktarılması gerekir. Bu aşamada eğer PDC başka bir DC üzerine aktarılırsa mevcutta bulunan DC Primary DOmain Controller görevi sona erer.

PDC Rolünün Domain Controller arasındaki ilişki

PDC rolünü barındıran sunucunu kendisi Primary Domain Controller görebini üstlenmektedir.