Schema master — Хозяин схемы Active Directory

Егор Васильев Windows , , 0 Комментариев

Хозяин схемыFSMO-роль хозяин схемы (Schema master) является одной из двух ролей, функционирующих на уровне леса Active Directory. То есть во всем лесе AD необходимо иметь лишь одного хозяина схемы.

Основная статья по Active Directory — Active Directory Domain Services. Читайте также другие статьи по ролям хозяев операций — FSMO — Fexible Single Master Operations.

Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике  Windows Server  на моем блоге.

Schema master — Хозяин схемы Active Directory

А вы знали, что при повреждении схемы AD придется восстанавливать все КД во всем лесу? А ведь это действительно так, вот почему будьте очень аккуратны при внесении изменений в схему. А пока немного теории.

Теория

Поскольку хозяин схемы — роль уровня леса, то в каждом конкретном лесе AD она существует всегда в единственном экземпляре. Другими словами существует только один контроллер домена, который имеет право вносить изменения/обновления в схему, тем не менее реплика схемы присутствует на каждом контроллере домена и при необходимости роль может быть захвачена принудительно любым DC, но об этом позже. На практике изменения схемы происходят крайне редко, например при установке сервера Exchange или других приложений, которые хранят некоторые свои данные (например объекты конфигурации) в AD.

Все-таки что такое схема AD 1? Это прежде всего набор объектов и их атрибутов, которые используются для хранения данных. Мало кому это определение что-то объясняет, попробую рассказать более детально на примере. Что такое объект? Например объектами являются учетные записи пользователей или компьютеров. В данном случае в схеме AD находится класс user, который определяет все атрибуты объекта учетной записи пользователя:

Schema master 04

Каждая учетная запись пользователя в домене будет иметь все эти атрибуты. Но значения атрибутов могут быть и не заданы. Можно проверить какие атрибуты и их значения имеет моя недавно созданная учетная запись администратора домена. Чтобы это сделать, необходимо зайти в консоль adsiedit.msc и открыть контекст именования по умолчанию. В иерархии находим объект пользователя и открываем его свойства:

Schema master 05

Вы можете увидеть, что объект имеет все атрибуты, которые определены в классе user. Если вы сами решили убедиться в сказанном мной и информация у вас различается, то обратите внимание на кнопку Фильтр, возможно у вас показываются не все атрибуты. Например можно сделать так, чтобы отображались атрибуты только имеющие значения. Администрировать объекты через adsiedit.msc не лучшая затея, делайте это через соответствующие оснастки.

Для интереса можно посмотреть атрибуты объекта сервера Exchange 2013, ведь Exchange вносит множество новых классов в схему:

Schema master 06

В большинстве случаев вопросы касательно мастера схемы обходят стороной и достаточно лишь знать, что эта роль отвечает за внесение изменений в схему AD. Тем не менее схема изначально создавалась таким образом, чтобы в неё мог вносить изменения кто угодно. То есть сторонние компании могут разрабатывать свои приложения таким образом, чтобы они хранили свои данные в AD. Для этого на официальных источниках есть множество объемных гайдов 2 3 4, некоторые из них доступны и на русском 5 языке.

Лучшие практики

Схема AD имеет принципиально важное значение для работоспособности Active Directory, а потому нуждается в соответствующем администрировании, хоть и о ней в большинстве случаев просто забывают. Ниже сформулированы лучшие практики администрирования схемы.

1) Перед изменением схемы всегда делайте резервное копирование. Перед процессом изменения схемы вы можете отключать все контроллеры домена, разумеется кроме одного, который является хозяином этой роли. После этого делаете резервную копию контроллера домена, выполняете все необходимы изменения и если все прошло удачно, то просто включаете заглушенные ранее DC. Если же что-то пошло не так, просто поднимаете единственный работающий на это время контроллер из резервной копии, включаете остальные и далее исследуете проблему;

2) Рекомендуется держать роли мастера именования доменов и хозяина схемы на одном и том же контроллере домена 6 7:

На уровне леса роли хозяина схемы и хозяина именования доменов необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования доменов, должен одновременно являться сервером глобального каталога. В противном случае некоторые операции, использующие хозяин именования доменов (например создание внучатых доменов), могут завершаться неудачно.

Таким образом, контроллер домена, поддерживающий роль хозяина схемы, должен также отвечать за роль мастера именования доменов и являться глобальным каталогом.

3) Если вы по каким-либо причинам лишились сервера-хозяина схемы, то на любом другом контроллере домена вы можете принудительно захватить эту роль, но помните, что после этого изначальный хозяин схемы не должен появиться в сети.

4) Без крайней на то необходимости не выполняйте изменения схемы вручную. Если это все же нужно сделать в любом случае, см. пункт 1.

От теории плавно переходим к практике.

Администрирование схемы

Прежде всего стоит сказать, что для управления схемой необходимо иметь как минимум права Администратора Схемы (Schema Admin). Все остальные авторизованные пользователи имеют права только на чтение, хотя в принципе разрешения можно и изменить 8. Большинство задач администрирования выполняются в оснастке для управления схемой Active Directory, которая недоступная по умолчанию и чтобы её активировать 9, необходимо зарегистрировать библиотеку schmmgmt.dll. Для этого запускаем командную строку с правами администратора и выполняем:

Schema master 01

Получаем оповещение:

Schema master 02

После этого в консоли MMC вы сможете найти оснастку Схема Active Directory. Выполнять команду необходимо на каждом контроллере домена, на котором планируется заниматься администрированием схемы.

Допустим у вас два контроллера домена и вы хотите перенести роль хозяина схемы с DC01 на DC02:

  1. Открываем оснастку на DC01, правой кнопкой нажимаем на Схема Active Directory и выбираем Сменить контроллер домена Active Directory;
  2. Далее выбираем контроллер домена, на который мы хотим перенести роль (у меня это DC02, по умолчанию всегда выбирается сервер-владелец роли). Подтверждаем предупреждение;
  3. Снова правой кнопкой на Схема Active Directory, но уже выбираем Хозяин операций…;
  4. Нажимаем кнопку Сменить.

Schema master 03

После этого необходимо подтвердить выбор и получить уведомление об успешном переносе роли.

На этом обзор fsmo-роли хозяин схемы завершен, возможно в ближайшем будущем дополню статью инструкцией по принудительному захвату роли другими контроллерами домена.

Notes:

  1. What Is the Active Directory Schema?
  2. Active Directory Schema Technical Reference
  3. How the Active Directory Schema Works
  4. Active Directory Schema
  5. Схема Active Directory
  6. Размещение и оптимизация FSMO на контроллерах домена Active Directory
  7. AD DS: The schema master role and the domain naming master role should be owned by the same domain controller in the forest
  8. Apply Active Directory Schema Administrative Permissions
  9. Install the Active Directory Schema Snap-In
comments powered by HyperComments
3outsourcing
2022-06-18 09:49:14
<strong>1domicile</strong>
3leather
2022-07-04 22:53:00
<strong>2cambridge</strong>
writing dissertations
2022-07-05 15:27:00
<strong>buy dissertations online https://professionaldissertationwriting.org/</strong>
dissertation writing services uk
2022-07-05 18:35:55
<strong>dissertation introduction https://professionaldissertationwriting.com/</strong>
format for writing dissertation proposals
2022-07-05 21:38:35
<strong>tips for writing dissertation https://helpwithdissertationwritinglondon.com/</strong>
doctoral dissertation help history
2022-07-06 00:15:07
<strong>dissertation writing memes https://dissertationwritingcenter.com/</strong>
dissertation writing services reviews
2022-07-06 04:40:53
<strong>doctoral dissertation help thesis https://accountingdissertationhelp.com/</strong>
writing your dissertation in
2022-07-06 07:58:15
<strong>dissertation help near me https://examplesofdissertation.com/</strong>
dissertation help uk
2022-07-06 09:39:00
<strong>defending your dissertation https://writing-a-dissertation.net/</strong>
writing a proposal for your dissertation
2022-07-06 12:41:26
<strong>defending your dissertation https://bestdissertationwritingservice.net/</strong>
dissertation help galway
2022-07-06 14:10:28
<strong>custom dissertation writing https://businessdissertationhelp.com/</strong>
dissertation definition
2022-07-06 18:11:07
<strong>dissertation services https://customdissertationwritinghelp.com/</strong>
dissertation abstracts
2022-07-06 21:57:00
<strong>ma dissertation writing service https://writingadissertationproposal.com/</strong>
dissertation cover page
2022-07-07 04:51:35
<strong>help with masters dissertation https://customthesiswritingservices.com/</strong>
golden nugget online casino promo
2022-07-25 19:50:08
<strong>nj online casino https://download-casino-slots.com/</strong>
free casino slots online
2022-07-25 21:01:59
<strong>inferno online casino https://firstonlinecasino.org/</strong>
top online casino review
2022-07-26 05:49:48
<strong>grand online casino https://trust-online-casino.com/</strong>
new online casino no deposit bonus codes
2022-07-26 08:17:37
<strong>online free casino https://onlinecasinosdirectory.org/</strong>
md live online casino
2022-07-26 09:05:41
<strong>harrahs casino online https://9lineslotscasino.com/</strong>
msn zone online casino
2022-07-26 13:20:29
<strong>harrington online casino https://free-online-casinos.net/</strong>
fastest payout online casino
2022-07-26 15:50:19
<strong>parx online casino https://internet-casinos-online.net/</strong>
online casino payza
2022-07-26 18:17:06
<strong>turning stone online casino login https://cybertimeonlinecasino.com/</strong>
casino free online
2022-07-26 21:17:19
<strong>online casino best https://1freeslotscasino.com/</strong>
real money online casino no deposit bonus codes
2022-07-26 22:54:22
<strong>betfair online casino nj https://vrgamescasino.com/</strong>
best online baccarat casino
2022-07-27 01:28:43
<strong>casino stream online https://casino-online-roulette.com/</strong>
harrah's online casino
2022-07-27 03:49:12
<strong>el royale casino online https://casino-online-jackpot.com/</strong>
safe online casino
2022-07-27 06:09:05
<strong>casino online https://onlineplayerscasino.com/</strong>
ruby fortune online casino
2022-07-27 09:21:23
<strong>online casino with sign up bonus https://ownonlinecasino.com/</strong>
online casino real money
2022-07-27 11:59:56
<strong>all michigan online casino https://all-online-casino-games.com/</strong>
secure online casino
2022-07-27 14:38:41
<strong>bet mgm online casino pa https://casino8online.com/</strong>
best vpn for tor
2022-08-07 14:13:50
<strong>vpn gratis https://freevpnconnection.com/</strong>
best ios vpn free
2022-08-07 17:15:16
<strong>buy vpn now https://shiva-vpn.com/</strong>
vpn for windows free download
2022-08-07 20:05:47
<strong>reddit free vpn https://freehostingvpn.com/</strong>
free vpn for google chrome
2022-08-07 22:54:33
<strong>hideme vpn https://ippowervpn.net/</strong>
what is a vpn connection
2022-08-07 23:52:47
<strong>best free vpn for windows 10 https://imfreevpn.net/</strong>
best rated vpn 2018
2022-08-08 02:54:06
<strong>good free vpn https://superfreevpn.net/</strong>
best free vpn for ios
2022-08-08 06:05:32
<strong>free vpn https://free-vpn-proxy.com/</strong>
college gay dating site
2022-08-23 13:44:22
<strong>knoxville gay dating https://gay-singles-dating.com/</strong>
gay top seek gay bottom dating app
2022-08-23 16:06:23
<strong>gay dating official site https://gayedating.com/</strong>
gay tommy defendi the dating game
2022-08-23 18:47:46
<strong>gay dating bakersfield https://datinggayservices.com/</strong>
online ukraine dating
2022-08-24 15:55:58
<strong>meet women for free online https://onlinedatingbabes.com/</strong>
free online dating and personals
2022-08-24 20:31:41
<strong>absolutely free local dating site https://adult-classifieds-online-dating.com/</strong>
local dating
2022-08-24 23:04:10
<strong>dating wites https://online-internet-dating.net/</strong>
dating site sign up
2022-08-24 23:58:51
<strong>date game online https://speedatingwebsites.com/</strong>
free and single
2022-08-25 02:07:15
<strong>bbw dating sites https://datingpersonalsonline.com/</strong>
dating website free
2022-08-25 06:41:11
<strong>match dating website https://lavaonlinedating.com/</strong>
dating services for seniors
2022-08-25 09:07:20
<strong>online casual dating https://freeadultdatingpasses.com/</strong>
personals women
2022-08-25 11:35:02
<strong>date match site https://virtual-online-dating-service.com/</strong>
new singles online
2022-08-25 15:16:47
<strong>our time dating website login https://zonlinedating.com/</strong>
best online usa casino
2022-08-30 09:29:14
<strong>unibet online casino pa https://onlinecasinos4me.com/</strong>
the borgata online casino
2022-08-30 15:06:26
<strong>777 online casino https://online2casino.com/</strong>
vegas casino online real money
2022-08-30 20:23:53
<strong>playnet fun online casino https://casinosonlinex.com/</strong>
free bi gay chat sites seattle wa
2022-09-02 22:55:44
<strong>live gay chat lines https://newgaychat.com/</strong>
geek gay chat
2022-09-03 03:58:18
<strong>free gay chat by zip code 53214 https://gaychatcams.net/</strong>
gay universe men chat
2022-09-03 09:48:46
<strong>live gay chat lines https://gaychatspots.com/</strong>
hiv gay chat san diego
2022-09-03 16:06:43
<strong>amature gay video chat https://gay-live-chat.net/</strong>
chat ave gay
2022-09-04 01:40:33
<strong>gay web chat https://gayphillychat.com/</strong>
gay nude video chat
2022-09-04 05:04:25
<strong>gay chat rout https://gaychatnorules.com/</strong>
local gay chat room
2022-09-04 11:19:58
<strong>dos chicos se conocieron en un chat gay https://gaymusclechatrooms.com/</strong>
geek gay chat
2022-09-04 19:09:50
<strong>gay chat roulette adult https://free-gay-sex-chat.com/</strong>
gay webcam chat zoom
2022-09-04 23:09:40
<strong>senior gay chat lines https://gayinteracialchat.com/</strong>
gay video cam chat
2022-10-20 16:57:59
<strong>gay bi chat line https://gaymanchatrooms.com/</strong>
write my paper online
2022-10-20 18:12:10
<strong>writing paper services https://term-paper-help.org/</strong>
buy college papers online
2022-10-20 19:33:31
<strong>college paper writer https://sociologypapershelp.com/</strong>
where can i buy resume paper
2022-10-20 20:58:12
<strong>i need help writing a paper https://uktermpaperwriters.com/</strong>
customized paper
2022-10-21 00:03:30
<strong>pay for paper https://writepapersformoney.com/</strong>
what are the best paper writing services
2022-10-21 01:06:41
<strong>help writing papers for college https://write-my-paper-for-me.org/</strong>
help writing papers for college
2022-10-21 03:01:19
<strong>will you write my paper for me https://doyourpapersonline.com/</strong>
pay someone to do my paper
2022-10-21 04:02:52
<strong>online paper writer https://top100custompapernapkins.com/</strong>
buying papers online college
2022-10-21 04:53:48
<strong>help with paper https://researchpaperswriting.org/</strong>
help writing papers for college
2022-10-21 08:26:21
<strong>write my paper for me https://writingpaperservice.net/</strong>
write my paper apa format
2022-10-21 10:14:37
<strong>i need someone to write my paper https://mypaperwritinghelp.com/</strong>
cheap paper writing service
2022-10-21 12:24:50
<strong>someone to write my paper for me https://writemypaperquick.com/</strong>
papers writing service
2022-10-21 13:44:43
<strong>pay to do my paper https://essaybuypaper.com/</strong>
write my persuasive paper
2022-10-21 14:22:05
<strong>some to write my paper https://papercranewritingservices.com/</strong>
find someone to write my paper
2022-10-21 16:06:26
<strong>help paper https://premiumpapershelp.com/</strong>
help writing a paper
2022-10-21 18:54:02
<strong>college papers for sale https://studentpaperhelp.com/</strong>
3releases
2023-01-27 05:29:34
<strong>2magnesia</strong>
coursework writing service uk
2023-02-05 15:44:40
<strong>degree coursework https://courseworkninja.com/</strong>
coursework website
2023-02-05 17:24:09
<strong>coursework moderation https://writingacoursework.com/</strong>
coursework only degree
2023-02-05 18:34:25
<strong>buy coursework online https://mycourseworkhelp.net/</strong>
custom coursework writing
2023-02-05 21:25:03
<strong>coursework support https://courseworkinfotest.com/</strong>
creative writing coursework ideas
2023-02-06 00:21:23
<strong>coursework writer https://teachingcoursework.com/</strong>
coursework writing service uk
2023-02-06 01:20:11
<strong>coursework moderation https://buycoursework.org/</strong>
coursework support
2023-02-06 02:16:58
<strong>do my coursework https://courseworkdomau.com/</strong>
singles dating
2023-02-08 13:20:48
<strong>dating web https://freewebdating.net/</strong>
dating meet singles
2023-02-08 14:11:25
<strong>online free dating sites https://jewish-dating-online.net/</strong>
online dating site crossword
2023-02-08 16:41:50
<strong>dating sites free tinder https://free-dating-sites-free-personals.com/</strong>
dating websites free
2023-02-08 17:49:43
<strong>dating app https://sexanddatingonline.com/</strong>
our time dating website
2023-02-08 20:24:54
<strong>sex dating sights https://onlinedatingsuccessguide.com/</strong>
free text dating services
2023-02-08 21:13:57
<strong>meet singles https://onlinedatinghunks.com/</strong>
match dating site
2023-02-08 23:04:56
<strong>best web dating site https://datingwebsiteshopper.com/</strong>
free dating net
2023-02-09 00:27:04
<strong>dating chat site https://allaboutdatingsites.com/</strong>
top rated dating websites
2023-02-09 01:01:50
<strong>date online site https://freedatinglive.com/</strong>
meet older women for free
2023-02-09 02:39:13
<strong>dating singles site https://freewebdating.net/</strong>
Яндекс.Метрика