کنترل کننده دامنه در شبکه محلی نقطه واحد مدیریت سیاست

قلب یک شبکه شرکتی کارآمد یک کنترل کننده دامنه اکتیو دایرکتوری است که بسیاری از خدمات را مدیریت می کند و مزایای زیادی را ارائه می دهد.

دو راه برای ایجاد زیرساخت فناوری اطلاعات وجود دارد - استاندارد و معمولی، زمانی که حداقل تلاش کافی برای حل مشکلات نوظهور، بدون ایجاد یک زیرساخت روشن و قابل اعتماد انجام شود. به عنوان مثال، ایجاد یک شبکه همتا به همتا در سراسر سازمان و به اشتراک گذاری تمام فایل ها و پوشه های لازم، بدون توانایی کنترل اقدامات کاربر.

بدیهی است که این مسیر نامطلوب است، زیرا در پایان شما باید مجموعه ای آشفته از سیستم ها را جدا کرده و به درستی سازماندهی کنید، در غیر این صورت نمی تواند کار کند - و تجارت شما همراه با آن. بنابراین، هر چه زودتر تنها تصمیم درست را برای ایجاد یک شبکه شرکتی با کنترل کننده دامنه بگیرید، در دراز مدت برای کسب و کارتان بهتر است. و به همین دلیل.

دامنه یک واحد اساسی زیرساخت فناوری اطلاعات است که بر اساس سیستم عامل ویندوز، یک ارتباط منطقی و فیزیکی از سرورها، رایانه‌ها، تجهیزات و حساب‌های کاربری است.

یک Domain Controller (DC) یک سرور مجزا است که سیستم عامل ویندوز سرور را با سرویس‌های Active Directory اجرا می‌کند، که اجرای تعداد زیادی نرم‌افزار را که برای مدیریت نیاز به DC دارند، ممکن می‌سازد. نمونه هایی از این نرم افزارها عبارتند از سرور ایمیل Exchange، مجموعه ابری Office 365 و سایر محیط های نرم افزاری درجه یک شرکت مایکروسافت.

علاوه بر اطمینان از عملکرد صحیح این پلتفرم‌ها، CA مزایای زیر را برای کسب‌وکارها و سازمان‌ها فراهم می‌کند:

• استقرار ترمینال سرور... با جایگزینی به‌روزرسانی‌های مداوم رایانه‌های شخصی اداری با یک سرمایه‌گذاری یک‌باره در میزبانی «تین کلاینت‌ها» برای اتصال به یک سرور ابری قدرتمند، منابع و تلاش قابل‌توجهی را ذخیره می‌کند.
• امنیت تقویت شده... CA به شما امکان می دهد سیاست های ایجاد رمز عبور را تنظیم کنید و کاربران را مجبور کنید از رمزهای عبور پیچیده تر از تاریخ تولد، qwerty یا 12345 استفاده کنند.
• کنترل دسترسی متمرکز... به جای به روز رسانی دستی رمزهای عبور در هر رایانه به طور جداگانه، مدیر CD می تواند به طور مرکزی همه رمزهای عبور را در یک عملیات از یک رایانه تغییر دهد.
• مدیریت خط مشی گروه متمرکز... ابزارهای Active Directory به شما این امکان را می دهند که خط مشی های گروهی ایجاد کنید و حقوق دسترسی به فایل ها، پوشه ها و سایر منابع شبکه را برای گروه های کاربری خاص تنظیم کنید. این کار راه اندازی حساب های کاربری جدید یا تغییر تنظیمات پروفایل های موجود را بسیار ساده می کند.
• ورودی عبوری... اکتیو دایرکتوری از مسیر عبور پشتیبانی می کند، زمانی که کاربر هنگام وارد کردن نام کاربری و رمز عبور خود برای دامنه، به طور خودکار به سایر سرویس ها مانند ایمیل و آفیس 365 متصل می شود.
• ایجاد قالب های پیکربندی کامپیوتر... پیکربندی هر یک از رایانه‌های شخصی هنگامی که به شبکه شرکتی اضافه می‌شود را می‌توان با استفاده از الگوها خودکار کرد. به عنوان مثال، می توان از قوانین خاصی برای غیرفعال کردن درایوهای CD یا پورت های USB، بستن پورت های شبکه خاص و غیره استفاده کرد. بنابراین، به جای پیکربندی دستی یک ایستگاه کاری جدید، مدیر به سادگی آن را به یک گروه خاص اضافه می کند و تمام قوانین این گروه به طور خودکار اعمال می شود.

همانطور که می بینید، پیکربندی یک کنترلر دامنه اکتیو دایرکتوری مزایا و مزایای بی شماری را برای کسب و کارها و سازمان ها در هر اندازه به ارمغان می آورد.

چه زمانی کنترل کننده دامنه Active Directory را در یک شبکه شرکتی پیاده سازی کنیم؟

توصیه می کنیم زمانی که بیش از 10 کامپیوتر به شبکه متصل هستند، یک کنترل کننده دامنه را برای شرکت خود پیکربندی کنید، زیرا تنظیم خط مشی های لازم برای 10 کامپیوتر بسیار ساده تر از 50 کامپیوتر است. علاوه بر این، از آنجایی که این سرور عملکرد خاصی ندارد. کارهایی که منابع زیادی دارند، یک کامپیوتر رومیزی قدرتمند ممکن است برای این نقش مناسب باشد.

با این حال، مهم است که به یاد داشته باشید که این سرور رمزهای عبور را برای دسترسی به منابع شبکه و پایگاه داده کاربران دامنه، طرح حقوق کاربر و سیاست های گروه ذخیره می کند. لازم است یک سرور پشتیبان با کپی مداوم داده ها مستقر شود تا از تداوم کنترل کننده دامنه اطمینان حاصل شود، و این می تواند با استفاده از مجازی سازی سرور ارائه شده هنگام میزبانی یک شبکه شرکتی در فضای ابری، بسیار سریع تر، آسان تر و قابل اطمینان تر انجام شود. این از مشکلات زیر جلوگیری می کند:

• تنظیمات سرور DNS اشتباه است، که منجر به خطا در مکان یابی منابع در شبکه شرکت و اینترنت می شود
• پیکربندی نادرست گروه های امنیتیمنجر به خطا در حقوق دسترسی کاربر به منابع شبکه می شود
• نسخه های سیستم عامل نادرست... هر نسخه از Active Directory از نسخه های تین کلاینت خاصی از سیستم عامل های دسکتاپ ویندوز پشتیبانی می کند
• غیبتیا تنظیمات اشتباه کپی خودکار داده هابه کنترلر دامنه پشتیبان.

Domain Controller یک کامپیوتر سرور است که یک دامنه را مدیریت می کند و یک نسخه از دایرکتوری دامنه (پایگاه داده دامنه محلی) را ذخیره می کند. از آنجایی که ممکن است چندین کنترل کننده دامنه در یک دامنه وجود داشته باشد، همه آنها یک کپی کامل از بخشی از دایرکتوری متعلق به دامنه خود را حفظ می کنند.

در زیر وظایف کنترلرهای دامنه آورده شده است.

• هر Domain Controller یک کپی کامل از تمام اطلاعات Active Directory مربوط به دامنه خود را نگهداری می کند و تغییرات این اطلاعات را برای کنترلرهای دیگر در همان دامنه مدیریت و تکرار می کند.
• همه کنترلرهای موجود در دامنه به طور خودکار تمام اشیاء موجود در دامنه را بین خود تکرار می کنند. هر تغییری که در اکتیو دایرکتوری ایجاد شود در واقع روی یکی از کنترلرهای دامنه ایجاد می شود. سپس این کنترل کننده دامنه تغییرات را به سایر کنترلرهای داخل دامنه خود تکرار می کند. با تنظیم فرکانس تکرار و میزان داده ای که ویندوز با هر تکرار منتقل می کند، می توانید ترافیک شبکه بین کنترلرهای دامنه را کنترل کنید.
• به‌روزرسانی‌های مهم، مانند غیرفعال کردن حساب کاربری، بلافاصله توسط کنترل‌کننده‌های دامنه تکرار می‌شوند.
• اکتیو دایرکتوری از تکثیر مولتی مستر استفاده می کند که در آن هیچ کنترل کننده دامنه اصلی نیست. همه کنترلرها همتا هستند و هر کدام شامل یک کپی از پایگاه داده کاتالوگ است که می توان آن را تغییر داد. در دوره‌های زمانی کوتاه، اطلاعات موجود در این نسخه‌ها ممکن است متفاوت باشد تا زمانی که همه کنترل‌کننده‌ها با یکدیگر همگام شوند.
• وجود چندین کنترلر در یک دامنه، تحمل خطا را فراهم می کند. اگر یکی از کنترلرهای دامنه در دسترس نباشد، دیگری هر گونه عملیات لازم را انجام می دهد، مانند نوشتن تغییرات در Active Directory.
• کنترل‌کننده‌های دامنه، تعاملات دامنه کاربر، مانند یافتن اشیاء Active Directory و شناسایی تلاش‌های ورود به شبکه را مدیریت می‌کنند.

دو نقش اصلی عملیات وجود دارد که می‌توان به یک کنترل‌کننده دامنه در یک جنگل (نقش‌های محدود به جنگل) اختصاص داد:

• استاد طرحواره. اولین کنترل کننده دامنه در جنگل، نقش اصلی طرحواره را بر عهده می گیرد و مسئول نگهداری و توزیع طرحواره به بقیه جنگل است. فهرستی از تمام کلاس‌ها و ویژگی‌های شی ممکن که اشیایی را که در Active Directory قرار دارند را تعریف می‌کند، نگهداری می‌کند. اگر طرحواره نیاز به به روز رسانی یا تغییر داشته باشد، Schema Master مورد نیاز است.
• استاد نامگذاری دامنه. اضافه کردن و حذف دامنه ها را در جنگل ثبت می کند و برای حفظ یکپارچگی دامنه ها حیاتی است. Domain Naming Master زمانی درخواست می شود که دامنه های جدیدی به جنگل اضافه شود. اگر Domain Naming Master در دسترس نباشد، اضافه کردن دامنه های جدید امکان پذیر نیست. با این حال، در صورت لزوم، این نقش می تواند به کنترل کننده دیگری منتقل شود.

سه نقش اصلی عملیات وجود دارد که می‌توان به یکی از کنترل‌کننده‌های هر دامنه (نقش‌های دامنه) اختصاص داد.

• RID (Relative Identifier (RID) Master). مسئول تخصیص محدوده شناسه های نسبی (RID) به همه کنترل کننده ها در دامنه. SID در ویندوز سرور 2003 دارای دو بخش است. بخش اول برای همه اشیاء در دامنه مشترک است. برای ایجاد یک SID منحصر به فرد، یک RID منحصر به فرد به این قسمت اضافه می شود. آنها با هم، یک شی را منحصر به فرد شناسایی می کنند و محل ایجاد آن را نشان می دهند.
• شبیه ساز کنترل کننده دامنه اولیه (PDC). مسئول شبیه‌سازی Windows NT 4.0 PDC برای ماشین‌های سرویس گیرنده‌ای است که هنوز به Windows 2000، Windows Server 2003 یا Windows XP مهاجرت نکرده‌اند و سرویس گیرنده دایرکتوری نصب نشده‌اند. یکی از وظایف اصلی شبیه ساز PDC ثبت مشتریان قدیمی است. علاوه بر این، در صورت عدم موفقیت در تأیید اعتبار مشتری، با شبیه ساز PDC تماس گرفته می شود. این امر شبیه ساز PDC را قادر می سازد تا گذرواژه های اخیراً تغییر یافته را برای مشتریان قدیمی در دامنه، قبل از رد درخواست ورود بررسی کند.
• استاد زیرساخت. تغییرات ایجاد شده در اشیاء کنترل شده در دامنه را ثبت می کند. همه تغییرات ابتدا به Infrastructure Master گزارش می شود و سپس به سایر کنترلرهای دامنه تکرار می شود. Infrastructure Master اطلاعات گروه و عضویت را برای همه اشیاء در دامنه پردازش می کند. یکی دیگر از وظایف Infrastructure Master این است که اطلاعات مربوط به تغییرات ایجاد شده در اشیاء را به دامنه های دیگر منتقل کند.

برنج. 3.4. توزیع پیش‌فرض نقش‌های اصلی عملیات جنگل

نقش سرور کاتالوگ جهانی (GC) را می توان توسط هر کنترل کننده دامنه فردی در یک دامنه ایفا کرد - یکی از عملکردهای سرور که می تواند به یک کنترل کننده دامنه اختصاص داده شود. سرورهای کاتالوگ جهانی دو هدف مهم را انجام می دهند. آنها کاربران را قادر می سازند تا به شبکه وارد شوند و اشیاء را در هر قسمت از جنگل پیدا کنند. کاتالوگ جهانی شامل زیرمجموعه ای از اطلاعات از هر پارتیشن دامنه است و بین سرورهای کاتالوگ جهانی در دامنه تکرار می شود. هنگامی که کاربر سعی می کند از هر نقطه ای در جنگل وارد شبکه شود یا به منبع شبکه دسترسی پیدا کند، درخواست مربوطه با مشارکت کاتالوگ جهانی حل می شود. یکی دیگر از وظایف کاتالوگ جهانی، که مهم نیست چند دامنه در شبکه خود دارید، مفید است، شرکت در فرآیند احراز هویت زمانی که کاربر به شبکه وارد می شود. هنگامی که کاربر آنلاین می شود، ابتدا نام او با محتوای کاتالوگ جهانی بررسی می شود. این به شما امکان می‌دهد از رایانه‌هایی در دامنه‌هایی غیر از جایی که حساب کاربری مورد نظر ذخیره شده است، وارد شبکه شوید.

در این پست، روند پیاده‌سازی اولین کنترل‌کننده دامنه در یک سازمان را بررسی خواهیم کرد. و در مجموع سه مورد از آنها وجود خواهد داشت:

1) کنترل کننده دامنه اصلی، سیستم عامل - Windows Server 2012 R2 با رابط کاربری گرافیکی، نام شبکه: dc1.

گزینه پیش فرض را انتخاب کنید، روی Next کلیک کنید. سپس پروتکل پیش فرض IPv4 را انتخاب کنید و دوباره روی Next کلیک کنید.

در صفحه بعدی، شناسه شبکه را تنظیم می کنیم. در مورد ما 192.168.0. در قسمت Reverse Lookup Zone Name، خواهیم دید که چگونه آدرس ناحیه جستجوی معکوس به طور خودکار جایگزین می شود. روی Next کلیک کنید.

در صفحه به روز رسانی پویا، یکی از سه گزینه به روز رسانی پویا را انتخاب کنید.

فقط به‌روزرسانی‌های پویا امن را مجاز کنید.این گزینه فقط در صورتی در دسترس است که منطقه با Active Directory یکپارچه شده باشد.

به روز رسانی پویا غیر ایمن و غیر ایمن را مجاز کنید.این سوئیچ به هر کلاینت اجازه می دهد تا در صورت ایجاد تغییرات، سوابق منابع DNS خود را به روز کند.

به روز رسانی پویا اجازه ندهید.این گزینه به روز رسانی پویا DNS را غیرفعال می کند. فقط در صورتی باید از آن استفاده شود که منطقه با Active Directory یکپارچه نشده باشد.

اولین گزینه را انتخاب می کنیم، روی Next کلیک می کنیم و با کلیک بر روی Finish تنظیمات را تکمیل می کنیم.

یکی دیگر از گزینه های مفیدی که معمولاً در DNS پیکربندی می شود Forwarders یا Forwarders است که هدف اصلی آن کش کردن و تغییر مسیر درخواست های DNS از یک سرور DNS محلی به یک سرور DNS خارجی در اینترنت است، به عنوان مثال، سروری که در ISP قرار دارد. به عنوان مثال، ما می خواهیم رایانه های محلی در شبکه دامنه خود با یک سرور DNS (192.168.0.3) ثبت شده در تنظیمات شبکه، بتوانند به اینترنت دسترسی داشته باشند، لازم است که سرور dns محلی ما برای حل درخواست های dns از بالادست پیکربندی شود. سرور ... برای پیکربندی Forwarders، به کنسول مدیریت DNS بروید. سپس در ویژگی های سرور، به تب Forwarders بروید و در آنجا روی Edit کلیک کنید.

حداقل یک آدرس IP را نشان خواهیم داد. چند مورد مطلوب است. روی OK کلیک کنید.

حالا بیایید سرویس DHCP را پیکربندی کنیم. Snap-in را راه اندازی می کنیم.

ابتدا، بیایید طیف کاری کامل آدرس‌هایی را که از آن آدرس‌ها برای صدور به مشتریان گرفته می‌شود، تنظیم کنیم. Action \ New Scope را انتخاب کنید. جادوگر افزودن منطقه شروع می شود. بیایید نام منطقه را تعیین کنیم.

سپس آدرس شروع و پایان محدوده شبکه را نشان خواهیم داد.

در مرحله بعد، آدرس هایی را که می خواهیم از صدور مشتریان حذف کنیم، اضافه می کنیم. روی Next کلیک کنید.

در صفحه Lease Duration، در صورت لزوم، زمان اجاره متفاوتی را با زمان پیش‌فرض مشخص کنید. روی Next کلیک کنید.

سپس موافقت می کنیم که می خواهیم این گزینه های DHCP را پیکربندی کنیم: بله، اکنون می خواهم این گزینه ها را پیکربندی کنم.

به ترتیب دروازه، نام دامنه، آدرس‌های DNS، WINS و skip را نشان می‌دهیم و در پایان با کلیک کردن روی: بله، اکنون می‌خواهم این محدوده را فعال کنم، با فعال‌سازی محدوده موافقت می‌کنیم. پایان

برای عملکرد ایمن سرویس DHCP، باید یک حساب ویژه را پیکربندی کنید تا به صورت پویا رکوردهای DNS را به روز کند. این کار باید از یک طرف به منظور جلوگیری از ثبت پویا کلاینت ها در DNS با استفاده از حساب مدیریت دامنه و سوء استفاده احتمالی از آن و از طرف دیگر در صورت رزرو سرویس DHCP و خرابی اصلی انجام شود. سرور، امکان انتقال یک نسخه پشتیبان از منطقه به سرور دوم وجود خواهد داشت و این به حساب سرور اول نیاز دارد. برای انجام این شرایط، در اسنپ Active Directory Users and Computers، یک حساب کاربری به نام dhcp ایجاد کنید و با انتخاب گزینه: Password Never Expires، یک رمز عبور نامحدود اختصاص دهید.

یک رمز عبور قوی به کاربر اختصاص دهید و آن را به گروه DnsUpdateProxy اضافه کنید. سپس کاربر را از گروه Domain Users حذف می کنیم، زیرا قبلاً گروه "DnsUpdateProxy" را به کاربر اصلی اختصاص داده ایم. این حساب صرفاً مسئول به روز رسانی پویا رکوردها خواهد بود و به هیچ منبع دیگری که در آن حقوق پایه دامنه کافی است دسترسی نخواهد داشت.

روی Apply و سپس OK کلیک کنید. دوباره کنسول DHCP را باز کنید. در تب Advanced به ویژگی های پروتکل IPv4 بروید.

روی Credentials کلیک کنید و کاربر DHCP ما را در آنجا مشخص کنید.

روی OK کلیک کنید، سرویس را مجددا راه اندازی کنید.

بعداً هنگامی که رزرو سرویس DHCP را پیکربندی می‌کنیم، به پیکربندی DHCP باز خواهیم گشت، اما برای این کار باید حداقل کنترل‌کننده‌های دامنه را افزایش دهیم.

Domain Controller ها سرورهایی هستند که از Active Directory پشتیبانی می کنند. هر کنترل کننده دامنه دارای کپی مخصوص به خود از پایگاه داده Active Directory است که قابل نوشتن است. کنترل کننده های دامنه به عنوان مولفه امنیتی مرکزی در یک دامنه عمل می کنند.

تمام عملیات امنیتی و بررسی حساب ها بر روی کنترلر دامنه انجام می شود. هر دامنه باید حداقل یک کنترل کننده دامنه داشته باشد. برای استحکام، توصیه می شود حداقل دو کنترلر دامنه برای هر دامنه نصب کنید.

در ویندوز NT، فقط یک کنترل‌کننده دامنه از نوشتن در پایگاه داده پشتیبانی می‌کرد، به این معنی که برای ایجاد و تغییر تنظیمات حساب کاربری، اتصال به یک کنترل‌کننده دامنه مورد نیاز بود.

چنین کنترل کننده ای نامیده شد کنترل کننده دامنه اصلی (PDC)... با شروع سیستم عامل ویندوز 2000، معماری کنترل کننده دامنه مجدداً طراحی شده است تا توانایی به روز رسانی پایگاه داده اکتیو دایرکتوری را در هر کنترل کننده دامنه فراهم کند. پس از به روز رسانی پایگاه داده در یک کنترل کننده دامنه، تغییرات به تمام کنترل کننده های دامنه دیگر تکرار شد.

اگرچه همه کنترل کننده های دامنه از نوشتن در پایگاه داده پشتیبانی می کنند، اما یکسان نیستند. دامنه‌ها و جنگل‌های Active Directory وظایفی دارند که توسط کنترل‌کننده‌های دامنه خاص انجام می‌شوند. کنترل کننده های دامنه با مسئولیت های اضافی به عنوان شناخته می شوند استادان عملیات... برخی از مواد مایکروسافت به چنین سیستم هایی اشاره دارند عملیات منعطف تک استاد (FSMO)... بسیاری از مردم معتقدند که اصطلاح FSMO برای مدت طولانی مورد استفاده قرار گرفته است، زیرا مخفف آن بسیار خنده دار به نظر می رسد.

پنج نقش اصلی عملیات وجود دارد. به طور پیش فرض، هر پنج نقش به اولین کنترل کننده دامنه در جنگل Active Directory اختصاص داده می شود. سه نقش اصلی عملیات در سطح دامنه استفاده می شود و به اولین کنترل کننده دامنه در دامنه ایجاد شده اختصاص داده می شود. ابزارهای Active Directory که بعداً مورد بحث قرار خواهند گرفت، به شما این امکان را می دهند که نقش های اصلی عملیات را از یک کنترل کننده دامنه به کنترل کننده دامنه دیگر منتقل کنید. علاوه بر این، می‌توانید کنترل‌کننده دامنه را مجبور کنید که نقش خاصی را به‌عنوان اصلی عملیات بر عهده بگیرد.

دو نقش اصلی عملیات وجود دارد که در سطح جنگل عمل می کنند.

• استاد نام گذاری دامنه- هر بار که تغییرات نامگذاری در سلسله مراتب دامنه جنگل ایجاد می شود، باید با این استادان عملیات مشورت شود. وظیفه استاد نامگذاری دامنه این است که اطمینان حاصل کند که نام دامنه در جنگل منحصر به فرد است. این نقش اصلی عملیات باید هنگام ایجاد دامنه های جدید، حذف دامنه ها یا تغییر نام دامنه ها در دسترس باشد
• استاد طرحواره- نقش اصلی طرحواره متعلق به تنها کنترل کننده دامنه در جنگل است که می توان روی آن تغییرات طرحواره ایجاد کرد. پس از ایجاد تغییرات، آنها به تمام کنترلرهای دامنه دیگر در جنگل کپی می شوند. به عنوان نمونه ای از نیاز به تغییرات طرحواره، نصب محصول نرم افزار Microsoft Exchange Server را در نظر بگیرید. در همان زمان، تغییراتی در این طرح ایجاد می شود که به مدیر اجازه می دهد تا به طور همزمان حساب های کاربری و صندوق های پستی را مدیریت کند.

هر نقش در سطح جنگل می تواند تنها به یک کنترل کننده دامنه در جنگل تعلق داشته باشد. یعنی می‌توانید از یک کنترل‌کننده به‌عنوان مستر نام‌گذاری دامنه و از کنترل‌کننده دوم به‌عنوان Master schema استفاده کنید. علاوه بر این، هر دو نقش را می توان به یک کنترل کننده دامنه اختصاص داد. این توزیع نقش ها به طور پیش فرض استفاده می شود.

هر دامنه در یک جنگل دارای یک کنترل کننده دامنه است که هر یک از نقش های سطح دامنه را انجام می دهد.

• استاد RID- مستر شناسه های نسبی مسئول تخصیص شناسه های نسبی است. شناسه های نسبی بخشی منحصر به فرد از یک شناسه امنیتی (SID) هستند که برای شناسایی یک شی امنیتی (کاربر، رایانه، گروه و غیره) در یک دامنه استفاده می شود. یکی از وظایف اصلی یک Master ID نسبی حذف یک شی از یک دامنه و اضافه کردن یک شی به دامنه دیگر هنگام جابجایی اشیا بین دامنه ها است.
• استاد زیرساخت- مسئولیت همگام سازی عضویت در گروه به عهده مالک زیرساخت است. هنگامی که تغییراتی در ترکیب گروه ها ایجاد می شود، زیرساخت اصلی تغییرات را به همه کنترل کننده های دامنه دیگر منتقل می کند.
• شبیه ساز کنترل کننده دامنه اصلی (شبیه ساز PDC)- این نقش برای شبیه سازی یک کنترل کننده دامنه اصلی ویندوز NT 4 برای پشتیبانی از کنترل کننده های دامنه پشتیبان ویندوز NT 4 استفاده می شود.وظیف دیگر شبیه ساز کنترل کننده دامنه اصلی، ارائه یک نقطه مرکزی مدیریت برای تغییر رمزهای عبور کاربر و سیاست های قفل کاربر است.

کلمه "policies" اغلب در سراسر این بخش برای اشاره به اشیاء خط مشی گروه (GPO) استفاده می شود. GPO ها یکی از اصلی ترین ویژگی های مفید اکتیو دایرکتوری هستند و در مقاله مرتبط در لینک زیر مورد بحث قرار گرفته اند.