Active Directory (AD) est un service d’annuaire créé par Microsoft, et il vient comme un ensemble de processus et de services dans la plupart des versions de systèmes d’exploitation Windows Server.
Vous pouvez imaginer AD comme une base de données ou un emplacement sûr qui stocke tous les attributs de vos utilisateurs tels que les noms d’utilisateur, mots de passe, et plus encore., Ce référentiel central automatise de nombreuses tâches telles que la gestion des données utilisateur, la fourniture de sécurité et les inter-opérations avec d’autres répertoires.
dans les versions initiales D’AD, il y avait beaucoup de risques de conflits. Par exemple, un contrôleur de domaine a ajouté un nouvel employé à la base de données. Depuis que le changement a été apporté à l’annonce, il a été reflété dans toute l’entreprise, et c’est très bien. Quelques secondes plus tard, un autre contrôleur de domaine souhaité supprimer les enregistrements des employés qui ne travaillent plus dans l’entreprise. Accidentellement, il a également supprimé cet employé de l’annonce.,
le système de gestion des conflits qui existait alors suivait la stratégie « last writer wins”, de sorte que la modification apportée par le deuxième contrôleur de domaine était valide tandis que la modification apportée par le premier contrôleur de domaine était ignorée. Cela signifie que le nouvel employé n’était plus dans le système et ne pouvait pas accéder aux ressources du système, ce qui n’est évidemment pas correct.
pour éviter de tels conflits, un modèle à maître unique a été introduit. Dans ce modèle, un seul contrôleur de domaine (DC) pourrait effectuer un type particulier de mise à jour., Dans le cas ci-dessus, si seulement le premier CD était chargé d’ajouter et de supprimer des employés et le second CD était chargé de la sécurité, un tel conflit ne se serait pas produit.
cependant, cela est venu avec des limites aussi. Que se passe – t-il lorsque le premier DC descend? Vous ne pouvez pas ajouter ou supprimer des employés tant qu’il n’est pas réapparu. Une telle dépendance à un seul contrôleur n’est jamais bonne d’un point de vue opérationnel.,
Microsoft est donc allé un peu plus loin dans les versions suivantes pour inclure plusieurs rôles pour chaque DC et donner à chaque DC la possibilité de transférer l’intégralité du rôle à n’importe quel autre DC au sein de la même entreprise. L’avantage évident ici est qu’aucun rôle n’est lié à un DC particulier, donc quand on descend, vous pouvez automatiquement transférer ce rôle à un autre DC de travail.
comme un tel modèle offre beaucoup de flexibilité, on l’appelle L’opération maître unique Flexible (FSMO).,
en fait, FSMO est un modèle multimaster qui attribue des rôles et des responsabilités clairs à chaque DC et en même temps, donnant la flexibilité de transférer des rôles si nécessaire.
les rôles FSMO
FSMO est globalement divisé en cinq rôles, et ils sont:
- Schéma
- maître de nommage de Domaine
- maître RID
- émulateur PDC
- maître d’Infrastructure
en Dehors de ces, les deux premiers rôles FSMO sont disponibles au niveau de la forêt, tandis que les trois autres sont nécessaires pour chaque domaine.,
Extensions distantes
examinons maintenant chaque rôle FSMO en profondeur.
schéma maître
schéma maître, comme son nom l’indique, contient une copie en lecture-écriture de l’ensemble du schéma de votre annonce. Si vous vous demandez ce qu’est un schéma, il s’agit de tous les attributs associés à un objet utilisateur et comprend le mot de passe, le rôle, la désignation et l’ID d’employé, pour n’en nommer que quelques-uns.
Donc, si vous voulez changer l’ID de l’employé, vous aurez à faire dans cette DC. Par défaut, le premier contrôleur que vous installez dans votre forêt sera le maître de schéma.,
maître de nommage de Domaine
maître de nommage de Domaine est responsable de la vérification de domaines, donc il n’y a qu’une pour chaque forêt. Cela signifie que si vous créez un tout nouveau domaine dans une forêt existante, ce contrôleur garantit qu’un tel domaine n’existe pas déjà. Si votre maître de nommage de domaine est en panne pour une raison quelconque, vous ne pouvez pas créer un nouveau domaine.
comme vous ne créez pas souvent de domaines, certaines entreprises préfèrent avoir le maître de schéma et le maître de nommage de domaine dans le même contrôleur.,
rid master
chaque fois que vous créez un principe de sécurité, qu’il s’agisse d’un compte utilisateur, d’un compte de groupe ou d’un compte maître, vous souhaitez y ajouter des autorisations d’accès. Mais vous ne pouvez pas le faire en fonction du nom d’un utilisateur ou d’un groupe, car cela peut changer à tout moment.
disons que vous avez Andy avec un rôle particulier, et il a quitté l’entreprise. Donc, tu as fermé le compte D’Andy et fait venir Tim. Maintenant, vous devrez aller remplacer Andy par Tim dans les listes d’accès de sécurité de chaque ressource.
ce n’est pas pratique, car cela prend du temps et est sujet aux erreurs.,
c’est pourquoi vous associez chaque principe de sécurité à quelque chose appelé ID de sécurité ou SID. De cette façon, même si Andy change en Tim, le SID restera le même, vous devrez donc faire un seul changement.
Ce SID a un modèle spécifique pour s’assurer que chaque SID du système est unique. Il commence toujours par la lettre « S” suivie de la version (commence par 1) et d’une valeur d’autorité d’identification. Il est suivi du nom de domaine ou de l’ordinateur local commun à tous les Sid situés dans le même domaine. Enfin, le nom de domaine est suivi de ce qu’on appelle un ID relatif ou RID.,
Essentiellement, DÉBARRASSER est la valeur qui assure l’unicité entre les différents objets dans active directory.
un SID ressemblera à ceci: S-1-5-32365098609486930-1029. Ici, 1029 est le RID qui rend un SID unique tandis que la longue série de nombres est votre nom de domaine.
Mais cela peut aussi conduire à des conflits. Disons que nous créons deux comptes d’utilisateurs en même temps. Cela peut provoquer un conflit car il est possible que ces deux objets aient le même SID.,
pour éviter ce conflit, le maître RID attribue des blocs de 500 à chaque contrôleur de domaine. De cette façon, DC1 obtient des RIDs de 1 à 500, DC2 obtient des RIDs de 501 à 1 000, et ainsi de suite. Lorsqu’un contrôleur de domaine est à court de rid, il contacte le maître RID et à son tour, ce maître RID attribue un autre bloc de 500.
ainsi, RID master est responsable du traitement des demandes de pool RID des DCs dans un seul domaine pour s’assurer que chaque SID est unique.,
PDC emulator
PDC signifie Primary Domain Controller et il vient d’une époque où il n’y avait qu’un seul contrôleur de domaine qui avait une copie en lecture-écriture du schéma. Les contrôleurs de domaine restants étaient une sauvegarde pour ce PDC. Donc, si vous voulez changer un mot de passe, vous devez aller au PDC.
Aujourd’hui, il n’y a plus de PDC. Mais quelques-uns de ses rôles comme la synchronisation temporelle et la gestion des mots de passe sont pris en charge par un contrôleur de domaine appelé PDC emulator.
examinons d’abord sa gestion des mots de passe.,
disons que je vais sur un contrôleur de domaine et réinitialise mon mot de passe car il a expiré. Ensuite, je me connecte à une autre machine pour un site différent et, disons, il contacte un contrôleur de domaine différent pour l’authentification. Il y a une chance que ma connexion échoue car le premier contrôleur de domaine n’a peut-être pas répliqué mon changement de mot de passe à d’autres contrôleurs.
un émulateur PDC évite ces confusions en étant le contrôleur pour les réinitialisations de mot de passe. Ainsi, mon client contactera L’émulateur PDC lorsqu’une connexion échoue, pour vérifier s’il y a eu un changement de mot de passe., En outre, tous les verrouillages de Compte dus à des mots de passe erronés sont traités sur cet émulateur PDC.
autre que la gestion des mots de passe, PDC emulator synchronise l’heure dans un système d’entreprise. Il s’agit d’une fonctionnalité importante car L’authentification AD utilise un protocole appelé kerberos pour la sécurité. La tâche principale de ce protocole est de s’assurer que les paquets de données ne sont pas retirés du réseau ou altérés pendant leur transmission.,
ainsi, lorsqu’il y a une différence de cinq minutes ou plus entre une horloge de serveur et votre système pendant le processus d’authentification, kerberos pense qu’il s’agit d’une attaque et ne vous authentifiera pas.
bien, mais quel est le rôle d’un émulateur PDC ici?
Eh bien, votre système local synchronise son heure avec le contrôleur de domaine, et le contrôleur de domaine, à son tour, synchronise son heure avec L’émulateur PDC. De cette façon, L’émulateur PDC est l’horloge principale pour tous les contrôleurs de domaine de votre domaine.,
Microsoft
lorsque ce contrôleur est en panne, votre sécurité diminue de quelques crans et rend les mots de passe vulnérables aux attaques.
Infrastructure master
la fonctionnalité de base d’un Infrastructure master est de référencer tous les utilisateurs locaux et les références dans un domaine. Ce contrôleur comprend l’infrastructure globale du domaine, y compris les objets qui y sont présents.
Il est responsable de la mise à jour des références d’objets localement et veille également à ce qu’elles soient à jour dans les copies d’autres domaines., Il gère ce processus de mise à jour via un identifiant unique, éventuellement un SID.
Infrastructure master est similaire à un autre outil AD appelé Global Catalog (GC). Ce GC est comme un index qui sait où tout se trouve, dans un Active directory. Le maître d’infrastructure, d’autre part, est une version plus petite de GC, car il est restreint dans un seul domaine.
Maintenant, pourquoi est-il important de connaître GC ici? Parce que GC et infrastructure master ne doivent pas être placés dans le même contrôleur de domaine., Si vous faites cela, le maître d’infrastructure cessera de fonctionner à mesure que le GC obtient la priorité.
en général, si vous n’avez qu’un seul contrôleur de domaine, cela n’aura pas tellement d’importance. Mais, si vous avez une grande forêt avec plusieurs contrôleurs de domaine, la présence de GC et d’infrastructure master posera des problèmes.
prenons une situation ici. Nous avons plusieurs domaines qui recherchent un serveur GC. Dans un domaine, nous apportons un changement à l’appartenance au groupe et le maître de l’infrastructure est au courant de ce changement., Mais il ne met pas à jour le serveur GC car la modification n’a pas été apportée à un groupe universel. Cela signifie que votre GC et votre maître d’infrastructure risquent d’être désynchronisés, ce qui peut entraîner des problèmes d’authentification. C’est pourquoi assurez-vous d’avoir un maître d’infrastructure ou un GC pour chaque domaine, mais pas les deux.
Résumé
Comme vous pouvez le voir. Les rôles FSMO empêchent les conflits dans active directory et, en même temps, vous donnent la flexibilité de gérer différentes opérations dans active directory., Ils peuvent être largement divisés en cinq rôles, dont les deux premiers concernent l’ensemble de la forêt tandis que les trois autres concernent un domaine particulier.
avez-vous implémenté des rôles FSMO dans votre organisation? Veuillez partager vos pensées avec nous.
crédit Photo: Wikimedia