añaden, renombran o eliminan dominios del bosque. Solo podrá añadir un
nuevo dominio aquel controlador de dominio que tenga el rol de maestro de
nombres de dominio. También deberá permitir la creación o eliminación de
particiones de aplicación en cualquier dominio del bosque
Por otra parte, todos los dominios de Active Directory tendrán que tener
controladores de dominio que realicen las siguientes tres operaciones de maestro
único:

_ Emulador del controlador de dominio principal (Primary Domain
Controller, PDC): antiguamente el PDC se encargaba principalmente de
mantener la compatibilidad a nivel de servidor con los sistemas anteriores
Windows NT4. Aunque en Windows 2008 se ha eliminado esta función, aún
sigue siendo necesario para otras dos funciones: autenticar usuarios que
inicien sesión en miembros del dominio previos a Windows 2000 y realizar
de manera urgente la replicación de una contraseña que acaba de ser
cambiada por un usuario de un controlador de dominio en concreto. De esta
forma, si un usuario obtuviera un error a la hora de validarse por un
problema con la contraseña, se intentará validar a continuación en el
emulador de PDC, por si dicha contraseña hubiera sido cambiada
recientemente y este cambio aún no hubiera sido replicado en todos los
controladores de dominio.

_ Maestro de identificadores relativos (RID): cuando se crea un objeto, el
controlador de dominio asignará una entidad nueva principal de seguridad
que va a representar a dicho objeto, y también un identificador único de
seguridad (Security Identifier, SID). Este SID estará formado por los
siguientes dos elementos:
_

SID de dominio: será el mismo para todas las entidades principales de

seguridad que hayan sido creadas en el mismo dominio.
_

Identificador Relativo (Relative Identifier, RID): será único para cada

entidad principal de seguridad creada en el dominio.
Por lo tanto, el controlador de dominio maestro RID, se encargará de asignar
secuencias de identificadores relativos a todos los controladores de dominio.
De esta forma nos aseguramos que dos controladores de domino no
asignarán el mismo SID a dos objetos principales de seguridad, como
pueden ser los usuarios, grupos o equipos.

_ Maestro de infraestructuras: cuando se desplazan objetos de un domino a
otro, el maestro de infraestructuras tendrá que actualizar las referencias de
los objetos de su dominio que estén apuntando al objeto en el otro dominio.
Esta referencia al objeto contendrá el identificador único global del objeto