По умолчанию право на присоединение компьютеров к домену предоставляется группе пользователей Прошедшие проверку (Autentificated Users). Другими словами, любой пользователь, имеющий доменную учетную запись, может добавить свой компьютер в домен. Однако чтобы избежать злоупотреблений, максимальное количество машин, которое может присоединить рядовой пользователь, ограничено 10.
Кроме пяти ролей FSMO в Active Directory cуществует еще шестая роль контроллера домена – глобальный каталог (Global catalog, GC). В отличие от FSMO роль глобального каталога может иметь любой контроллер в домене, т.е. она не требует уникальности сервера в пределах домена или леса. Тем не менее, глобальный каталог — самая важная с практической точки зрения роль контроллера домена. И вот почему.
Определившись с назначением ролей FSMO рассмотрим варианты передачи ролей другому контроллеру домена, а также принудительное назначение, или «захват» роли в случае недоступности контроллера домена, который ее выполняет.
Есть несколько ситуаций, когда приходится вспоминать о ролях FSMO — это аварийное восстановление после сбоя, миграция, а также поиск работы (обычно на собеседованиях очень любят задавать вопросы типа «Какие существуют роли в AD для контроллера домена, зачем они нужны?»). И хотя все эти ситуации происходят крайне редко, для общего понимания работы AD весьма полезно понимать назначение ролей FSMO.