При наличии в дереве Active Directory хотя бы двух доменов появляется необходимость управления их взаимодействием. Для этих целей используется консоль управления Active Directory - домены и доверие - в меню Пуск выберите Администрирование -> Active Directory - домены и доверие.
Консоль управления Active Directory - домены и доверие позволяет управлять всем лесом доменов Active Directory, никаких дополнительных переключений не требуется.
Управление доменами.
Управление доменами в консоли Active Directory - домены и доверие практически аналогично управлению доменами в консоли управления Active Directory - пользователи и компьютеры. Однако консоль Active Directory - домены и доверие позволяет управлять параметрами доверительных отношений между доменами.
Свойства домена.
Чтобы просмотреть и изменить свойства домена, в дереве консоли управления Active Directory - домены и доверие щелкните нужный объект домена правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие показано полное DNS-имя домена, а также его NetBIOS-имя. Так как оба имени задаются при установке Active Directory, вы не можете их изменить.
В поле Описание вы можете указать произвольное описание домена. Обычно - область ответственности домена.
В поле Режим работы домена указывается режим работы домена.
На вкладке Доверия указываются параметры доверительных отношений между доменами дерева.
Вы можете управлять двумя списками доменов:
Домены, которым доверяет этот домен - список содержит домены, пользователи и группы которых могут использоваться при задании разрешений на ресурсы домена.
Домены, которые доверяют этому домену - список содержит домены, к ресурсам которого могут обращаться пользователи домена.
Процесс установления доверительными отношениями между доменами выполняется в следующей последовательности:
В домене А добавить домен Б в список доверенных доменов. При добавлении задать пароль, необходимый для установления отношений.
В домене Б добавить домен А в список доверяемых доменов. Указать пароль, заданный на предыдущем шаге.
Для установления доверительных отношений в обратном направлении (домен Б доверяет домену А) необходимо повторить предыдущие шаги для домена Б.
Чтобы добавить домен в любой из списков, щелкните кнопку Создать доверие. Запустится Мастер создания отношений доверия, который поможет вам создать доверие.
В появившемся окне введите полное DNS-имя домена и дважды - пароль, используемый для установления доверительных отношений. При установлении отношений между доменами вы должны использовать одинаковый пароль при добавлении обоих доменов.
После установления доверительных отношений вы увидите сообщение об успешном окончании операции.
При добавлении домена в дерево во время установки дочернего домена при помощи Мастера установки Active Directory все необходимые доверительные отношения между доменами устанавливаются автоматически. Необходимость в ручной установке может возникнуть при добавлении существующего домена к лесу или объединении двух доменных деревьев. При объединении двух доменных деревьев в один лес необходимо установить двухсторонние доверительные отношения только между корневыми доменами деревьев.
На вкладке Управляется указывается пользователь, управляющий доменом.
Хозяева операций.
Active Directory поддерживает репликацию хранилища данных каталога с несколькими хозяевами между всеми контроллерами домена. Некоторые изменения не рекомендуется выполнять в данном режиме, тем не менее только один контроллер домена, называемый хозяином операции, принимает запросы на такие изменения.
Так как роли хозяина операций могут перемещаться на другие контроллеры в составе домена или леса, их иногда называют FSMO (Flexible Single Master Operations).
Лес Active Directory содержит пять ролей хозяина операций, назначаемых одному или нескольким контроллерам домена. В каждом лесе Active Directory один контроллер домена должен выполнять роль хозяина именования домена.
Чтобы просмотреть и изменить хозяина именования домена, в дереве консоли управления Active Directory - домены и доверие щелкните корневой узел правой кнопкой мыши и в контекстном меню выберите Хозяин операций.
В появившемся окне укажите, какой контроллер домена будет отвечать за добавление и удаление доменов в лесе Active Directory.
Передачу роли хозяина именования домена другому компьютеру необходимо выполнять с того контроллера, который должен стать новым хозяином именования домена. Вызвав окно изменения хозяина именования домена, щелкните кнопку Изменить.
После репликации необходимых изменений на другие контроллеры домена роль хозяина именования домена будет выполнять указанный контроллер.