Rôles FSMO
Définition des rôles
Rôle | Description | Niveau |
---|---|---|
Maître de schéma | Mise à jour du schéma | Forêt |
Maître d’attribution de noms de domaine | Ajout/Suppression de domaine Renommage de domaine (à partir de Windows 2003) | Forêt |
Maître d’infrastructure | Mise à jour et réplication des références d’objet inter-domaines | Domaine |
Maître RID | Distribution des plages RID | Domaine |
Emulateur PDC | Prise en charge des communications avec clients/serveurs de type NT (antérieur à 2000) - Réplication des modifications des mots de passe - Gestion des erreurs d’authentification - Serveur de temps par défaut | Domaine |
Maître de schéma
Le contrôleur défini comme maître de schéma est le seul à avoir un accès en écriture sur le schéma Active Directory pour l’ensemble de la forêt. Une fois les modifications effectuées, il les réplique sur l’ensemble de la forêt.
Maître d’attribution de noms de domaine
Ce rôle permet principalement de gérer l’ajout et la suppression d’un domaine dans une forêt. Depuis la version 2003, il a également la responsabilité de renommer un domaine. Enfin, il crée et supprime les relations croisées vers et depuis des domaines externes.
Maître d’infrastructure
Sa tâche est de maintenir à jour des références d’objet inter-domaines. Concrètement, si vous prenez le cas où un compte utilisateur d’un domaine A est ajouté à un groupe d'un domaine B, le maître d’Infrastructure sera responsable de cette référence pour ensuite la répliquer sur l’ensemble des contrôleurs de son domaine (par exemple une mise à jour du Display Name de l'utilisateur sur le domaine A sera répercutée par le maître d'infrastructure sur toutes les références présentes sur le domaine B). Ces références d’objet sont appelées également objets fantômes et sont constituées d’un Dn (Distinguished name), d’un GUID (Global Unique Identifier) et d’un SID (Security Identifier). Pour plus d’information sur les objets fantômes allez voir le KB Microsoft Phantoms, tombstones and the infrastructure master.
Maître RID
Lorsqu’un contrôleur de domaine crée un objet Active Directory (Utilisateur, Groupe de sécurité, Ordinateur…), il assigne à cet objet un identifiant unique de sécurité (SID). Ce dernier est constitué de l’identifiant de sécurité du domaine (Domain SID) et d’un RID (Relative Identifier). Afin d’assurer l’unicité du SID pour un objet du domaine, le maître RID alloue régulièrement des plages de RID à chaque contrôleur qui en fait la demande.
Emulateur PDC
Comme son nom l’indique, l’usage premier de l’émulateur de contrôleur de domaine principal est d’être considéré comme le contrôleur de domaine principal par les serveurs Windows NT 4.0 encore présent sur votre réseau. Il assure donc une interopérabilité avec les anciennes générations de serveurs mais également clients (antérieurs à 2000 et ne disposant pas initialement du client Active Directory). A noter que PDC (Primary Domain Controller) et BDC (Backup Domain Controller) sont des notions introduites avec Windows NT 4.0 qui n’existent plus désormais dans l’architecture Active Directory. L’émulateur PDC est également un partenaire de réplication privilégié pour tout contrôleur du domaine qui reçoit une demande de modification de mot de passe. De plus, lorsque se produit une erreur d’authentification, l’émulateur PDC est contacté automatiquement. Cela en fait donc un rôle crucial et ayant le plus d’impact en termes de performance sur un domaine. Enfin, il est par défaut le serveur de temps principal de votre domaine.
NTDSUTIL
L'outil NTDSUTIL permet de gérer un contrôleur de domaine.
Liste des rôle
Commandes pour lister les rôles FSMO :
roles connection connect to server [MONSERVEUR] quit select operation target list roles for connected server
Transfert des rôle
Commandes pour le transfert des rôles :
roles connection connect to server [MONSERVEUR] quit transfer PDC transfer RID master transfer infrastructure master transfer naming master transfer schema master
Transfert forcé des rôle
Commandes pour le transfert des rôles :
roles connection connect to server [MONSERVEUR] quit seize PDC seize RID master seize infrastructure master seize naming master seize schema master