Rôles Principaux des Opérations (Opérations Principales Uniques Flexibles – FSMO)
Les rôles maîtres des opérations (également appelés opérations maîtres uniques flexibles ou FSMO) sont des rôles spéciaux attribués à un ou plusieurs contrôleurs de domaine dans un domaine Active Directory.
Active Directory prend en charge la réplication multi-maître du magasin de données d’annuaire entre tous les contrôleurs de domaine du domaine. Par conséquent, tous les contrôleurs de domaine d’un domaine sont considérés essentiellement comme des pairs. Mais des conflits de réplication se produisent lors de la réplication Active Directory. Certaines opérations qui se produisent sur un Active Directory Windows Server 2003 peuvent être nuisibles en cas de conflits. Dans le cas de ces opérations, Windows 2003 revient à utiliser un modèle maître unique. Cela signifie qu’un contrôleur de domaine unique sur le réseau est responsable de l’exécution d’une tâche spécifique et que ces contrôleurs de domaine sont appelés Maître des opérations.
Il y a cinq Rôles de maître d’opération et deux d’entre eux sont des rôles au niveau de la forêt et trois d’entre eux sont des rôles au niveau du domaine. Le tableau suivant répertorie les rôles principaux des opérations et leur portée.
Maître des Opérations |
Portée |
Maître de Schéma |
Forêt large |
Maître de Nommage de Domaine |
Forêt large |
Émulateur de contrôleur de domaine principal (PDC) |
Domaine large |
Identificateur relatif (RID) Maître |
Domaine large |
Maître de L’Infrastructure |
Domaine large |
Schéma Maître
Schéma Active Directory définit ce qui peut exister dans le répertoire. La gestion du processus de mise à jour avec de nouveaux objets et attributs doit être un processus étroitement surveillé. Il n’y a qu’une seule copie en lecture/écriture du schéma sur votre réseau Windows Server 2003, stockée sur le maître du schéma.
Le contrôleur de domaine affecté au rôle maître de schéma contrôle toutes les mises à jour et modifications du schéma. Pour mettre à jour le schéma d’une forêt, vous devez avoir accès au maître du schéma.
Il n’y a qu’un seul maître de schéma dans toute la forêt à tout moment.
Domain Naming Master
Tous les objets dans AD doivent être uniques. Nous ne pouvons pas créer deux objets dans un conteneur avec le même nom, et les noms distinctifs de tous les objets doivent être uniques. Domain Naming Master garantit que les nouveaux domaines ajoutés à votre forêt Windows Server 2003 ont des noms uniques.
Il n’y a qu’un seul Maître de nommage de domaine dans toute la forêt à tout moment.
Émulateur PDC (Contrôleur de domaine principal)
L’émulateur PDC dessert les clients du réseau qui n’ont pas de logiciel client Active Directory installé, et il réplique les modifications de répertoire à tous les contrôleurs de domaine de sauvegarde Microsoft Windows NT (BDC) du domaine.
Même le domaine fonctionne au niveau fonctionnel de Windows 2003, l’émulateur PDC est requis pour effectuer certaines tâches.
L’émulateur PDC reçoit une réplication préférentielle des modifications de mot de passe effectuées par d’autres contrôleurs de domaine du domaine.
Si un mot de passe a été récemment modifié, la réplication de ce changement prend du temps sur chaque contrôleur de domaine du domaine. Si une authentification d’ouverture de session échoue sur un autre contrôleur de domaine en raison d’un mauvais mot de passe, ce contrôleur de domaine transmet la demande d’authentification à l’émulateur PDC avant de rejeter la tentative d’ouverture de session.
Il n’y a qu’un seul émulateur PDC par domaine.
Maître d’ID relatif (RID)
Un principal de sécurité est un objet Active Directory auquel des autorisations peuvent être attribuées dans un réseau Windows Server 2003. Des exemples d’objets principaux de sécurité sont les utilisateurs, les groupes et les ordinateurs. Chaque Responsable de la sécurité se voit attribuer un identifiant de sécurité (SID) afin qu’il puisse être identifié.
Un identifiant de sécurité (SID) est composé de deux composants. Le premier composant, le SID de domaine, est commun à tous les principes de sécurité d’un domaine. L’unicité dans SID vient de l’ajout d’un deuxième numéro, l’Identifiant Relatif (RID). Le RID est attribué à partir d’un pool de RID stocké sur chaque contrôleur de domaine. Les RID de ce pool sont assignées à chaque contrôleur de domaine par le maître RID.
Le format de SID suit ce modèle: S-R-IA-SA-SA-RID.
•R représente la révision. Tous les SID générés par Windows utilisent un niveau de révision de 1.
• IA représente l’autorité émettrice.
*RID est l’ID relatif
Un SID utilisateur typique ressemble à ceci : S-1-5-21-1683771067-1221355100-624655392-1001. Les RIDs
sont attribués à chaque DC par blocs de 500 RIDs. Lorsque le bloc de RID est épuisé, le DC demande un autre bloc au maître RID. Pour garantir l’unicité, le maître RID garde une trace des blocs RID qui ont été attribués.
Si le pool RID sur un DC est épuisé et que le maître RID n’est pas disponible, vous ne pourrez pas créer de principes de sécurité (Exemple : un utilisateur) sur ce serveur.
Il n’y a qu’un seul maître RID par domaine.
Leave a Reply