Tartományvezérlő

A Wikipédiából, a szabad enciklopédiából

Microsoft Windows környezetben a tartományvezérlő (domain controller, DC) olyan szerver, ami a Windows tartományon belül autentikációs és autorizációs szolgáltatásokat nyújt.

Windows NT tartományokban minden tartományban kellett lennie egy elsődleges tartományvezérlőnek (Primary Domain Controller, PDC); az összes többi tartományvezérlő csak tartalék lehetett (Backup Domain Controller, BDC). A BDC képes a felhasználók autentikálására, de a tartomány változásait (új felhasználók, jelszóváltozások, csoporttagság-változások) csak a PDC-n keresztül lehet rögzíteni, ahonnan azután ezek a változások továbbterjednek a tartomány összes BDC-jére. Ha a PDC éppen elérhetetlen volt a változás ideje alatt, a változtatást nem lehet végrehajtani. Ha egy PDC végleg elérhetetlenné válik (például a hardver tönkremegy), egy létező BDC-t kell előléptetni PDC-nek. A PDC kritikus hibalehetőség-jellege miatt a bevált gyakorlat szerint a PDC-t kizárólag bejelentkeztetésre célszerű használni, fájl-, nyomtató- és alkalmazáskiszolgálóként nem, mert ezek a szolgáltatások lelassíthatják, esetleg lefagyaszthatják a rendszert. Egyes rendszergazdák ennél továbbmenve egy dedikált BDC-t is rendszerbe állítanak kizárólag arra a célra, hogy a PDC kiesése esetén PDC-vé lehessen előléptetni.

A Windows 2000-től bevezetett Active Directoryval („AD”) nagyrészt megszűnt az elsődleges és tartalék tartományvezérlők megkülönböztetése a multi-master replikáció bevezetésével. Így is megmaradt néhány szerepkör, amit csak 1-1 tartományvezérlő képes betölteni, ezeket műveleti kiszolgálóknak nevezik (egyes szerepkörökből tartományonként, másokból erdőnként egy létezhet. Ha egy műveleti főkiszolgáló kiesik, egy másik tartományvezérlő veheti át funkcióját (szabályos vagy „erőltetett” átadással).

A Windows Server 2008-ban bevezették az írásvédett/csak olvasható tartományvezérlő (Read-Only Domain Controller, RODC) üzemmódot a kevésbé biztonságos telephelyek számára. Ennek kapcsán a „hagyományosan” működő tartományvezérlőket, az RODC-ktől való megkülönböztetés miatt írható tartományvezérlőnek (writable domain controller) is nevezik.

Az Active Directory írható tartományvezérlőin nincsenek helyi felhasználók, csak tartományi felhasználókkal lehet bejelentkezni. Egy külön címtár-visszaállítási mód (Directory Services Restoration Mode) áll rendelkezésre az AD karbantartására, ahová az AD telepítésekor megadott jelszóval lehet bejelentkezni. Az írásvédett tartományvezérlőkön helyi rendszergazdai fiók is található, amivel rutin adminisztrációs feladatokat lehet végezni (hálózati kártya telepítése, particionálás stb.) a tartományhoz való rendszergazdai jogosultság nélkül.