关于活动目录的五个角色以及GC的作用

一、FSMO活动目录的五个角色：

1.    架构主机：具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.    域命名主机：具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC： 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。

3.    相对标识号 (RID)： 主机此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。 每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机A 

4.    PDCE： 主域控制器模拟器提供以下主要功能： 向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。 本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。 时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。PDCE是基于域的，目录林中的每个域都有自己的PDCE。

5.    基础结构主机基础结构主机：确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机默认，这五种FSMO存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。

二、全局编录服务器（GC）

全局编录是存储林中所有 Active Directory 对象的副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本，以及林中所有其他域中所有对象的部分副本

1：存储对象信息副本，提高搜索性能
    全局编录服务器中除了保存本域中所有对象的所有属性外，还保存林中其它域所有对象的部分属性，这样就允许用户通过全局编录信息搜索林中所有域中对象的信息，而不用考虑数据存储的位置。通过GC执行林中搜索时可获得最大的速度并产生最小的网络通信量。
2：存储通用组成员身份信息，帮助用户构建访问令牌
    全局组成员身份存储在每个域中，但通用组成员身份只存储在全局编录服务器中。
    我们知道，用户在登陆过程中需要由登录的DC构建一个安全的访问令牌，而要构建成功一个安全的访问令牌由三方面信息组成：用户SID，组SID，权力。其中用户SID和用户权力可以由登录DC获得，但对于获取组SID信息时，需要确定该用户属不属于通用组，而通用组信息只保存在GC中。所以当GC故障，负责构建安全访问令牌的DC就无法联系GC来确认该用户组的SID，也就无法构建一个安全的访问令牌。
      注：在Win2003中，可以通过通用组缓存功能解决GC不在线无法登录情况，具体操作本文略过。

3：提供用户UPN名称登录身份验证。
    当执行身份验证的域控制器没有用户UPN帐号信息时，将由GC解析用户主机名称(UPN)进行身份验证，以完成登录过程
4：验证林中其他域对象的参考
    当域控制器的某个对象的属性包含有另一个域某个对象的参考时，将由全局编录服务器来完成验证。