Roles de Active Directory
Expongo una pequeña explicación, extraida de la web de Microsoft, sobre los roles de Active Directory.
Rol de Schema Master
Rol encargado de las actualizaciones del esquema del directorio activo. Solo exite un Schema Master por bosque.
Rol de Domain Naming Master
Rol encargado de los cambios al espacio de nombres del directorio del bosque. También es el rol que puede agregar o quitar referencias cruzadas a dominios en directorios externos, otros bosques.
Rol de RID Master
Rol responsable de procesar los requerimientos de identificadores relativos de todos los controladores de dominio dentro de un dominio dado. También es el responsable de quitar un objeto de su dominio y colocarlo en otro dominio durante la reubicación del objeto.
Cuando un controlador de dominio crea un objeto de seguridad principal, como un usuario o un grupo, este le adjunta un Identificador de Seguridad Único (SID) al objeto. Este SID consiste en un SID del dominio (el mismo para todos los SID’s creados en el mismo dominio) y un Identificador Relativo (RID) que es único para cada SID de seguridad principal creado en un dominio.
A cada controlador de dominio de un mismo dominio se le entrega un pool de RID’s, los cuales asigna a los SID de seguridad principal que él crea. Cuando la entrega del pool de RID’s falla, ese controlador de dominio lanza un requerimiento para obtener un pool de RID’s adicionales al RID Master del dominio. El controlador de dominio con el rol RID Master responde al requerimiento obteniendo RID’s del dominio que falló y se los asigna al pool del dominio que los requiere. Sólo hay un RID Master por bosque de directorios.
Rol de PDC Emulator
El PDC Emulator es necesario para actualizar la hora en la empresa. Windows 2000/XP/2003/Vista incluyen el servicio W32time que es requerido por el protocolo de autenticación Kerberos. Todos los sistemas basados en Windows 2000/XP/2003/Vista dentro de la empresa usan una hora común. El propósito del servicio W32time es el de asegurarse que el servicio de hora de Windows use una relación jerárquica que controle la autoridad y no permita lazos, con esto asegura un uso apropiado de la hora.
El PDC Emulator de un dominio es autoritativo para el dominio. El PDC Emulator en la raíz del bosque se convierte en autoritativo para toda la empresa y debe ser configurado para sincronizar la hora con una fuente de hora externa. Todos los controladores de dominio que sean PDC Emulator siguen la jerarquía de dominios en la selección de su compañero de sincronización de hora.
En Windows 2000/2003, las funciones del PDC Emulator son las siguientes:
Los cambios de contraseñas ejecutados por otros controladores de dominio son replicados primeramente al PDC Emulator.
Los fallos de autenticación que ocurren en un controlador de dominio, debido a contraseñas incorrectas, son reenviados al PDC Emulator antes de que un mensaje de error sea mostrado al usuario.
El bloqueo de cuentas es procesado por el PDC Emulator.
Rol de Infrastructure Master
Cuando un objeto en un dominio hace referencia a otro objeto en otro dominio, este lo hace mediante el GUID, el SID (para referenciar al identificador de seguridad principal) y el DN del objeto que esta siendo referenciado. El Infrastructure Master es el controlador de dominio responsable de actualizar el SID y el Distinguished Name de un objeto en una referencia de objeto entre dominios.
NOTA: El Infrastructure Master en Windows 2000 Server debe estar alojado en un controlador de dominio que no sea un Servidor de Catalogo Global. Si el Infrastructure Master corre sobre un servidor de Catalogo Global, este detendrá la actualización de la información de los objetos, ya que no contiene referencias a objetos que no están. Esto sucede porque un servidor de Catalogo Global mantiene una réplica parcial de cada objeto en el bosque. Como resultado, las referencias de objetos entre dominios en ese dominio no estarán actualizadas y una advertencia para ese efecto será registrada en el visor de sucesos de ese controlador de dominio.
Un Saludo,