Автономный ввод в домен или Offline domain join — довольно интересная функция, появившаяся в Windows 7 и Windows Server 2008 R2. Она позволяет присоединять компьютеры к домену Active Directory в автономном режиме, без необходимости устанавливать соединение с контроллером домена.
В Active Directory вновь созданные учетные записи пользователей и учетные записи компьютеров помещаются в контейнеры (CN,Containers) по умолчанию. Для компьютеров это контейнер Computers, для пользователей — Users. Недостатком такого подхода является то, что в отличие от подразделения (OU,Organization Unit) к контейнерам применить отдельную политику безопасности нельзя, только дефолтную политику домена. Поскольку это не очень удобно, попробуем изменить существующий порядок вещей.
По умолчанию право на присоединение компьютеров к домену предоставляется группе пользователей Прошедшие проверку (Autentificated Users). Другими словами, любой пользователь, имеющий доменную учетную запись, может добавить свой компьютер в домен. Однако чтобы избежать злоупотреблений, максимальное количество машин, которое может присоединить рядовой пользователь, ограничено 10.
Кроме пяти ролей FSMO в Active Directory cуществует еще шестая роль контроллера домена – глобальный каталог (Global catalog, GC). В отличие от FSMO роль глобального каталога может иметь любой контроллер в домене, т.е. она не требует уникальности сервера в пределах домена или леса. Тем не менее, глобальный каталог — самая важная с практической точки зрения роль контроллера домена. И вот почему.
Определившись с назначением ролей FSMO рассмотрим варианты передачи ролей другому контроллеру домена, а также принудительное назначение, или «захват» роли в случае недоступности контроллера домена, который ее выполняет.
Есть несколько ситуаций, когда приходится вспоминать о ролях FSMO — это аварийное восстановление после сбоя, миграция, а также поиск работы (обычно на собеседованиях очень любят задавать вопросы типа «Какие существуют роли в AD для контроллера домена, зачем они нужны?»). И хотя все эти ситуации происходят крайне редко, для общего понимания работы AD весьма полезно понимать назначение ролей FSMO.