ADS Active Directory Service (Farsi User Guide)  
Resource: Windows 2000 Server Resource kit Distributed Systems Guide

> Part2 > ADS > Part 1 > Active Directory Logical Structure > Active Directory Objects    

Active Directory Objects

درADS این Object ها می باشد که به آن ساختار شبکه را نمایان می کند و در واقع ساختاریافته می کند .

هر Object نمونه ای ذخیره شده از یک Class در ADS می باشد .تمامی Class ها در درون Schema ذخیره شده اند .

در Schema مواردی همچون چگونگی Attribute هر Object و نوع Attribute ها که الزامی می باشند یا Optional انتخابی می باشند مشخص شده.

هر Attribute فقط وقتی به ADS احدا می شود که آن Attribute اجازه یا Permit داشته باشد توسط Object Class .

این Class می باشد که حکم می کند کدام Class برای کدام Object ارشد تر یا بالاتر از دیگر Class ها قرار دارد در اصطلاح Parent دیگری می باشد .

همچنین ساختار درختی Object در اینجا معنی پیدا می کند .هر Attribute  در Active Directory schema تعریف شده است .

Attribute موجب دادن ارزش به هر Object می شود .

زمانی که شما یک Object در ADS ایجاد می کنید شما برای آن Object در کلاس های متفاوت ارزش  ایجاد کرده اید.در واقع برای Attribute آن Object تعاریفی ایجاد کرده اید.

شما این کار را در Directory Schema انجام داده اید و بر طبق قوانین Active Directory Schema این کار را کرده اید .

برای مثال زمانی که شما یک New User ایجاد می کنید که یک Object می باشد. باید ارزشهایی یا Value هایی برای آن تعریف کنید مانند User First Name و

نیز User Last Name و Logon Identifier مواردی همچون  Address و Telephone و ...

شما نمی توانید این Object را ایجاد کنید بدون آنکه User Name و Logon Name آن را معرفی کنید این

همان قدرت و دخالت Directory Schema  می باشد که شما را مجبور به اطاعت از قوانینش می کند .

 

Application می توانند Object هایی ایجاد و یا تغییر دهند البته با نظارت Directory Schema و در واقع می توان

گفت هر تغییری در Object ها طبق قوانین Schema می باشد . در نتیجه Schema تمامی Object های Forest را در دست دارد .

اطلاعات بیشتر را در قسمت Active Directory Schema می توانید مشاهده کنید .

 
Object Naming

ADS برای دسترسی به Object های خود از LDAP استفاده می کند و LDAP برای اینکه بتواند این کار را انجام دهد نیاز دارد که  نام و مسیر Object در ADS را شناسایی کند .

 
Distinguished Name "DN"

هر Object درون ADS یک مکانی دارد و که بصورت درختی می باشد و نیز بسیار مرتب و ساختار یافته .کل مسیر یک Object درون ADS را یک DN می نامند.

Figure 1.1 Distinguished Name for the User Object JSmith

DN یا همان Distinguished Name همانند شکل Figure 1.1 می باشد .

cn=jsmith,ou=promotions,ou=marketing,dc=noam,dc=reskit,dc=com

DN در تمام Forest یا همان ADS بصورت تک و Unique می باشد و دوتا DN یکسان نمی تواند در ADS وجود داشته باشد .

در این Path  یا مسیر نام Object و تمامی Parent Name های آن Object و در تهایت Root Domain آن Object مشخص می شود .

برای مثال در شکل بالا این DN مربوط به Jone Smith می باشد که در واحد Promotions که خود زیر مجموعه Marketing می باشد در

Domain بنام North American Noam که  آن در Reskit.com می باشد کارمند می باشد .

 
Relative Distinguished Name "RDN"

RDN در DN نام اصلی و معرف USER  همانند شکل Figure 1.1 همان Jsmith می باشد .RDN همیشه Unique و تک می باشد و همتا ندارد .

ADS اجازه دو RDN یکسان را در دو Domain Parent یکسان را نمی دهد بعنوان مثال دو RDN=Jsmith  زیر از نظر ADS یکسان نمی باشد

cn=JSmith,dc=noam,dc=reskit,dc=com

 

cn=JSmith,dc=reskit,dc=com

RDN هر Object درون ADS Database ذخیره می شود .پس درنتیجه مثال بالا ما دو تا User Jsmith داریم در دو Domain مجزا از هم اما زیر هم .

البته RDN همیشه نمایان کنند User نمی باشد هر نوع دیگر Object نیز می تواند در بربگیرد .

 

Naming Attributes

برای مشخص کردن  کلاس هر Object از یک کلمه مخفف استفاده می شود که نمایان کنند Class Object آن Object می باشد . برای مثال برای مشخص شدن RDN

از Common-Name CN استفاده می شود در مثال بالا RDN ==> CN=Jsmith. در نتیجه هر Object یک Attribute دارد که باید مشخص شود .

attribute_type=value (for example, cn=JSmith).

 
Object Class Naming Attribute
Display Name
Naming Attribute LDAP Name
user Common-Name cn
organizationalUnit Organizational-Unit-Name ou
domain Domain-Component dc
Other naming attributes described in RFC 2253, such as o= for organization name and c= for country/region name, are not used in Active Directory, although they are recognized by LDAP.

Table 1.1 Default Active Directory Naming Attributes

 
Object Identity and Uniqueness "GUID"

تمامی Object های درون ADS دارای یک شناسه تک و بی همتا Unique ID می باشند .

در داخل ADS این شناسه ها بسیار بکار می آیند و سرویس ADS از آنها برای کارهایش استفاده می کند .همچنین برای شناسایی Object ها و...

GUID : Globally Unique IDentifier

هر Object می  تواند Move و یا Rename شود اما GUID آن هرگز تغییر نمی کند .یک Object وقتی ساخته شد برایش یک GUID توسط

ADS ساخته می شود که در تمام دنیا تک و بی همتا می باشد این GUID دارای 128BIT کارکتر می باشد .و در ADS ذخیره می شود .نام Attribute مربوط به

آن ObjectGUID می باشد .ObjectGUID از تغییرات محافظت می شوند بنابراین تغییر نمی کنند .

شما می توانید DN و یا RDN را تغییر نام دهید یا تغییر مکان ولی ObjectGUID را نمی توان تغییر داد .زمانی که شما آنها را درADS Database ذخیره کردید

یا بر روی یک سرویس External مانند SQL Server Database ذخیره کنید این GUID ها بسیار بکار می آیند در ADS برای شناسایی Object هایش .

 
Active Directory Name Formats

چندین نوع و حالت برای Object Name موجود در ADS وجود دارد.

این حالتها پشتیبانی می شوند توسط Active Directory و نیز بر پایه  LDAP  ساخته می شوند .منظور همان نوع DN و ترتیب آن می باشد .

 
1.LDAP Distinguished Name(DN)

برای آشنایی کامل با LDAP V2 ,LDAP V3 شما می توانید در RFC 1779 and RFC 2247 مطالب کامل را مطالعه کنید اما در اینجا در حد نیاز شرح داده می شود.

LDAP distinguished name (cn=common name, ou=organizational unit, o=organization, c=country/region.)

در این مثال ترتیب و ترکیب یک LDAP DN را مشاهده می کنید .

Active Directory بجای o=organization  از dc=domain component  استفاده می کند و از c=country/region پشتیبانی نمی کند .

در LDAP DN به ترتیب از چب به راست  RDN اولین Object ما می باشد و بصورت صف مانند مثال بالا در ادامه بقیه Object وجود دارد و در

آخر از راست به چب Root Tree وجود دارد همانند مثال زیر .

Example : cn=jsmith,ou=promotions,ou=marketing,dc=noam,dc=reskit,dc=com

 
2.LDAP Uniform Resource Locator (URL)

حالت دوم ADS پشتیبانی می کند برای LDAP Client هایی که این سرویس را پشتیبانی می کنند .

LDAP URL در داخل ADS ذخیره شده و می توان از آن استفاده کرد .

Example : LDAP://server1.noam.reskit.com/cn=jsmith,ou=promotions,ou=marketing,dc=noam,dc=reskit,dc=com
 
3.Active Directory Canonical Name

بصورت By Default تمامی Windows 2000 User Interface ها برای نشان دادن Object از این روش استفاده می کنند .

در این حالت بصورت رو به پایین از Root Domain شروع می شود تا به RDN برسد .

Example : noam.reskit.com/marketing/promotions/jsmith

If the name of an organizational unit contains a forward slash character (/), the system requires an escape character in the form of a backslash (\) to distinguish between forward slashes that separate elements of the canonical name and the forward slash that is part of the organizational unit name. The canonical name that appears in Active Directory Users and Computers properties pages displays the escape character immediately preceding the forward slash in the name of the organizational unit. For example, if the name of an organizational unit is Promotions/Northeast and the name of the domain is Reskit.com, the canonical name is displayed as Reskit.com/Promotions\/Northeast.

 
DNS-to-LDAP Distinguished Name Mapping

اگرچه  ترتیب نامگذاری DNS با ترتیب نام Domain ها در Active Directory یکسان می باشد ولی این دو دارای Format های

متفاوت می باشند .LDAP توسط یک الگوریتم خاصی این مشکل را حل کرده در اینجا توضیح دادن آن زیاد لازم نمی باشد .

All access to Active Directory is carried out through LDAP. LDAP uses distinguished names to provide unique names to directory objects; every object in Active Directory has an LDAP distinguished name. A distinguished name is a naming structure that consists of a string of the hierarchical components that make up the complete object. Each distinguished name component is the relative distinguished name of an object in the hierarchy, beginning with the object itself and ending with the root object in the domain tree. An algorithm automatically provides an LDAP distinguished name for each DNS domain name.

The algorithm provides a domain component (dc) attribute-type label for each DNS label in the DNS domain name. Each DNS label corresponds to the relative distinguished name of an Active Directory domain. For example, the DNS domain noam.reskit.com is translated to the LDAP distinguished name that has the form dc=noam,dc=reskit,dc=com.

 
Logon Names

یک Unique Logon Name نیاز می باشد برای User تا بتواند دسترسی به Domain و Resource های آن داشته باشد .

Windows Security موجب می شود که هر فرد این قانون را رعایت کند برای Authentication ,Authorization.

 
User security principals have two types of logon names

دو نوع Logon وجود دارد که در زیر شرح داده شده .

1.SAM Account Name

این نوع در WIN NT 4,WIN NT 3.x استفاده می شود .دراینجا نیز نام ها Unique می باشند .

SAM Account Name(Pre-Win2k) = <DomainNetBIOSName>\<UserName>

2.User Principal Name"UPN"

این نوع نام کوچک شده DN می باشد و همیشه نام در اول و سپس نام DNS مربوط به Domain مربوطه را در بر دارد.

UPN = <UserName>@<DNSDomainName>

Example : JSmith@reskit.com

Figure 1.2 Active Directory Users and Computers (Users Properties-Account Tab)

شما می توانید هر دو نوع SAM Account Name و UPN را مانند شکل 1.2 در بالا را برای یک User معرفی کنید .

e-mail name

مانند بالا همین قانون برای email-Name نیز وجود دارد .

e-mail = <userName>@<companyName>.com

 
 
Domain Controllers"DC"

DC به سیستمی که بر روی شبکه دارای سرویس Active Directory  باشد گفته می شود این سرور از سرویس KDC استفاده می کند

برای عمل Authentication افراد و User ها .پس بر روی این سرور ها KDC نیز فعال می باشد .

Key Distribution Center (KDC) A network service that supplies session tickets and temporary session keys used in the Kerberos authentication protocol. In Windows 2000, the KDC runs as a privileged process on all domain controllers. The KDC uses Active Directory to manage sensitive account information such as passwords for user accounts.

برروی DC اطلاعات Active Directory ذخیره می شود.اصطلاحی در اینجا وجود دارد

بنام Directory Partition که  بمعنی اطلاعات ذخیره شده  ADS می باشد .منظور از اطلاعات هر چیزی که مربوط به این سرویس می شود می باشد.

از این اصطلاح در آیدنده بیشتر استفاده می کنیم .در Directory Partitions اطلاعاتی که بین DC ها یاید Replicate شود نیز وجود دارد

در زیر مواردی که در Directory Partition وجود دارد و مهم می باشد را مشاهده می کنید .در زیرسه قطعه یا بخش مجزا از هم

که در Directory Partition وجود دارد را مشاهده می کنید .

  • A domain, of which there can be many in a particular forest (directory).
  • The directory schema, of which there is one in a particular forest (directory).
  • The Configuration container, of which there is one in a particular forest (directory).

اول می توان یک یا چند Domain داشت برای هر Forest دوم برای هر Forest یک Directory Schema وجود دارد

سوم برای هر Forest یک Configuration container وجود دارد.

برای اطلاعات ببشتر قسمت Active Directory Data Storage مراجعه کنید .

MultiMaster Operations

در Windows 2000 یک Domain می تواند گسترش پیدا کند بین دو یا چند DC و نیز هر یک از DC های عضو آن Domain توانایی تغییرات بر روی آن Domain را دارند .

در NT4 Domain می توانستیم دو یا چند Domain Controller داشته باشیم اما فقط یکی از آنها اجازه تغییرات بر روی Domain را داشت .

در NT 4 حالت SingleMaster  وجود دارد اطلاعت توسط "Primary Domain Controller "PDC تغییر می کرد و بر روی BDC را اعمال می شود

در آنجا BDC ها نمی توانستند بر روی Domain  تغییرات ایجاد کنند و تابع PDC بودند.

BDC : Backup Domain Controller

در Windows 2000 تمامی DC ها می توانند این اطلاعات را دریافت کنند و تغییر دهند این حالا در Win2k را MultiMaster می نامند .

پس یک Object درون یک Domain امکان دارد توسط هر یک از DC  های عضو آن Domain تغییر کند .

 

Single-Master Operations

Most operations can be made at any domain controller and the effects of these operations (for example, deleting a user object) are replicated to all other domain controllers that store a replica of the same directory partition in which the change occurred. However, there are certain operations that must occur at only one domain controller.

The domain controllers that are assigned to manage single-master operations are called role owners for the operations. (For more information about managing single-master operations, see "Managing Flexible Single-Master Operations" in this book.) The single-master operations include the following:

Relative ID Pool Allocation   One domain controller per domain is responsible for assigning "pools" of relative identifiers to other domain controllers in that domain. Relative identifiers (also known as "RIDs") are identifiers that are used in association with a domain identifier to make up the security identifier (also known as a "SID") for each security principal created in Active Directory. To ensure uniqueness in a domain, a single domain controller has the relative ID master role. The relative ID master assigns relative identifiers from a single pool of these identifiers for the domain.

Schema Modification   Changes to the same schema objects on different domain controllers can result in an inconsistent directory schema and corrupt data. For this reason, a single domain controller in a forest has the schema master role. The schema master is responsible for all changes to the schema directory partition.

Primary Domain Controller Emulation   For compatibility with Windows NT 3.51–based and Windows NT 4.0–based servers, which can operate as backup domain controllers in a mixed-mode Windows 2000 domain but still require a primary domain controller (also known as the "PDC"), a specific Windows 2000–based domain controller, the PDC emulator, is assigned to emulate the role of the primary domain controller. This domain controller is perceived by the Windows NT 3.51–based and Windows NT 4.0–based servers as a primary domain controller. In a Windows 2000 domain, one domain controller is assigned to be the PDC emulator and performs the role of the primary domain controller.

For information about upgrading Windows NT 3.51 and Windows NT 4.0 domains to Windows 2000 domains, see "Determining Domain Migration Strategies" in the Deployment Planning Guide.

Certain Infrastructure Changes   When objects are moved or deleted, a single domain controller per domain, the infrastructure master, is responsible for updating the security identifiers and distinguished names in cross-domain object references in that domain.

Domain Naming   A single domain controller per forest, the domain naming master, is assigned the responsibility of ensuring that domain names are unique in the forest and that cross-reference objects to external directories are maintained.

For more information about managing single-master roles, see "Managing Flexible Single-Master Operations" in this book.

Global Catalog Servers"GC"

تمامی Domain Controller درون یک Forest می توانند Full بر روی Directory Partition عمل Read/Write را انجام دهند

و کاملا  Tree موجود بر روی  Forest را در دست دارند .پس تمامی DC ها می توانندبرروی Domain Directory Partition و

Schema Directory Partition و Configuration Directory Partition عمل Read/Write را انجام دهند .

 

Global Catalog Server هم کپی از این Directory Partition را بر روی خود دارد و هم یک نسخه کپی از

این Directory Partition بر روی خوددارد که ReadOnly می باشد واجازه تغییرات را به هیچ یک از DC ها نمی دهد .

این نسخه دوم که بر روی GC وجود دارد برای داشتن و نگهداری کردن از Attribute  هر Object نیاز می باشد .

GC بصورت اتوماتیک ساخته می شود در زمان Replication و معمولا اولین سرور موجود بر روی Forest این مسولیت را بر عهده می گیرد.

تمامی Directory Partition ذخیره شده بر روی GC چه آنکه Read/write می شود و چه آنکه ReadOnly می باشد در یکجا هر دو

ذخیره می شود یعنی در ADS Database بر روی فابل NTDS.DIT می باشند .

وقتی یک Domain جدید دز Forest ایجاد می شود اطلاعات مربوط به آن بر روی Configuration Directory Partition ایجاد و ذخیره

می شود .این اطلاعات توسط عمل Replica  بین تمامی  DC های Forest و ازجمله GC پخش می شود .

زمانی که شما یک GC جدید ایجاد کنید نیز اطلاعات جدید بر روی Configuration Directory Partition ذخیره می شود و توسط ترافیک Replica

بین تمام DC های آن Forest پخش می شود .

 
Global Catalog Attributes

طبق قانون بین DC ها در GC نیز یک کپی  از Directory Partition که حالت Read/Write دارد وجود دارد و

ذخیره شده ویک نسخه از Directory Partition دیگر

Domain ها در خود نگهداری می کند که حالت ReadOnly دارد.منظور این می باشد که Attribute مربوط به هرObject بصورت ReadOnly می باشد

هر Attribute در Active Directory Schema علامت گذاری شده برای Replicate شدن در میان GC ها .

شما می توانید مشخص کنید که کدام Attribute های درون دیگر Domain های موجود در Forest در زمان Replication به درون GC ها کپی شود .

برای این کار در MMC  در منوی File در قسمت Add/Remove Snap-in می توانید در قسمت ADD و در منوی Add Standalone Snap-in

گزینه Active Directory Schema را انتخاب کنید .البته بر روی Windows Server 2000,2003 این مراحل را باید انجام دهید .

Example 1 Active Directory Schema (Windows 2003 Server) "MMC"

یعد از مراحل بالا شکل Example 1 را خواهید داشت در قسمت Attributes بر روی هر Attribute می توانید Properties گرفته و همانند

شکل Example 2  در قسمت Replicate this attribute to the Global Catalog این Check Box را انتخاب کنید .

Example 2 Active Directory Schema "MMC" (Account-Name-History Attribute Properties)

اگر این Check Box را انتخاب کنید Attribute مد نظر شما در زمان ADS Replication بین DC و GC ردوبدل می شود در واقع در

تمامی GC های Forest ذخیره می شود .ممکن است شما بیش از یک GC در Forest داشته باشید .

تمامی Attribute هایی که شما در این قسمت Replicate می شوند به GC ها توسط Microsoft ایجاد و طراحی شده اند Admin می تواند یک

یا چند Attribute جدبد نیز ایجاد کند .

The replication topology for the Global Catalog is generated automatically by the Knowledge Consistency Checker (also known as the "KCC"), a built-in process that implements a replication topology that is guaranteed to deliver the contents of every directory partition to every Global Catalog server.

 
Designating a Global Catalog

همیشه اولین DC موجود در Forest برای آن Forest نقش GC را بازی می کند .برای تغییر دادن GC و یا اضافه کردن GC به Forest

شما باید مراحل زیر را انجام دهید .

همانند شکل Example 3 در Active Directory Sites and Services در آدرس مشخص شده در شکل و در قسمت Properties

می توانید GC را معرفی کنید .

Example 3 Active Directory Sites and Services "MMC"

 

GC در این قسمت مشخص می شود همانند Example 4 باید Global Catalog را انتخاب کنید .

Example 4 Active Directory Sites and Services (NTDS-Settings  Properties-General Tab)

بدلیل اینکه NTDS Setting در درون Configuration Directory Partition ذخیره می شود

اطلاعات آن Replicate میشود بین تمامی DC های درون Forest .به همین دلیل تمامی DC ها می دانند کدام سرورها

GC نیز می باشند .

 
Global Catalog and Domain Logon Support

در حالت Native-Mode Domain بهتر می باشد که GC به Domain وصل شود یا Logon شود .

به هر حال برای شبکه لازم می باشد که یک GC حتما در شبکه باشد .

A member of the Domain Admins group can complete the logon process (not cached) even when a Global Catalog server is not available.
Universal Group Membership

اگر GC در شبکه موجود نباشد و یا در دسترس نباشد Universal Group که فقط در حالت Native-mode Domain ایجاد می شوند نمی توانند

به شبکه Logon کنند چون اطلاعات مربوط به آنها در Forest در GC Server ها ذخیره می شود و فقط آنها می توانند این Group را Authenticate کنند .

اطلاعات این Group در درون DC هایی که GC نمی باشند وجود ندارد و در زمان Replica فقط سرورهای GC اطلاعات آنها را Replicate می کنند بین خود .

User Principal Name and Global Catalog Logon Support

User principal names are user names that can be used when a user is logging on to a Windows 2000 domain. A user also can provide a SAM account name (<DomainName\UserName>). In the Windows 2000 logon screen, you can type your user name and select the domain name from the list, or you can use the user principal name. If you use the user principal name, when you type the "at" sign (@), the domain list is unavailable; Windows 2000 takes the domain name from the user principal name suffix.

The user principal name format (<UserName>@<DNSDomainName>) is resolved by the Global Catalog server. If a company has more than one forest and uses trust relationships between the domains in the different forests, a user principal name cannot be used to log on to a domain that is outside the forest because the user principal name is resolved in the Global Catalog of the forest. For information about Global Catalog placement to facilitate logging on to domains, see "Designing the Active Directory Structure" in the Deployment Planning Guide.

Search Requests and the Global Catalog

Because the Global Catalog stores every object in the forest, it can be used to locate objects in any domain without a referral to a different server. When a search request is sent to port 389 (the default LDAP port), the search is conducted on a single directory partition. If the object is not found in that directory partition (and is not in the schema or configuration directory partitions), the request is referred to a domain controller in a different domain that is assumed to contain the requested object, on the basis of the distinguished name that is presented in the search request.

When a search request is sent to port 3268 (the default Global Catalog port), the search includes all directory partitions in the forest — that is, the search is processed by a Global Catalog server. If the request specifies attributes that are part of the Global Catalog attribute set, the Global Catalog can return results for objects in any domain without generating a referral to a domain controller in a different domain

در قسمت MCSE Exam زیر یکی از نقشهایی که یک GC می تواند در شبکه ایفا کند را مشاهده می کنید .

MCSE Exam 2000
You are the administrator of your company's Windows 2000 domain. You want to add a new child
domain to the network. You install Windows 2000 Server on a new computer, promote it to a domain controller
for the new child domain, convert the domain to native mode, and create several accounts for users and
computers within that domain.
The users attempt to log on to the new domain from their Windows 2000 computers, but their attempts fail.
You verify that Active Directory is properly installed and that you can log on to the new domain from any of the
users' computers.


Which of the following is the most likely reason that users cannot log on to the new domain? (Select the best
choice.)


a. No Global Catalog server is available.
b. No PDC emulator is available.
c. The users' computers are not configured to automatically register with DNS.
d. The users' computers are located in a different site than the domain controller.


Answer: a

Section: 1. Installing, Configuring, and Troubleshooting Active Directory
Choice a is correct. Many reasons may possibly be preventing the users from logging on to the new domain.
One such reason may be that no Global Catalog server is currently available. Global Catalog servers store a
partial readonly
copy of each domain directory partition for all domains in the forest. The Global Catalog is
used to find objects that are located anywhere in the forest without querying the domain controllers that are
responsible for those objects and that may be located on remote networks. Global Catalog servers obtain their
information through replication, and all of the Global Catalog servers should store the same information. When
a user attempts to log on, the user's access token is created. the user's group memberships must be listed in
this access token. Because universal groups can include members from any domain in the forest, the
universal group membership is stored in the Global Catalog. If a Global Catalog server is not available at the
time of a user's logon attempt, then the user's possible membership in universal groups cannot be determined.
therefore, the user's logon attempt is denied. However, a domain administrator can log on even if no Global
Catalog server is available so that the administrator can correct the problem.

The first domain controller in the first domain in the forest automatically becomes a Global Catalog server. An
administrator can designate other domain controllers as Global Catalog servers. It is recommended that at
least one Global Catalog server be installed in each site. In this scenario, a Global Catalog server may not
have been installed in the site, and a link to another site may have been down when the users attempted to
log on to the new domain. The first domain controller in a new domain is automatically configured as a PDC
emulator. A PDC emulator is required to support Windows NT BDCs in a mixedmode
domain. As long as the
users' computers are configured with the IP address of a DNS server that they can use to locate a domain
controller, the users' computers do not necessarily have to be registered with DNS for the users to log on to
the domain. If the users' computers were located in a different site than the domain controller and the link
between the sites was down, then you would not be able to log on to the domain from the users' computers.

ADS Active Directory Service (Farsi User Guide)

LastUpdate:2005/04/07

> Part2 > ADS > Part 1 > Active Directory Logical Structure > Active Directory Objects