Rôles FSMO

Le contrôleur défini comme maître de schéma est le seul à avoir un accès en écriture sur le schéma Active Directory pour l’ensemble de la forêt. Une fois les modifications effectuées, il les réplique sur l’ensemble de la forêt.

Ce rôle permet principalement de gérer l’ajout et la suppression d’un domaine dans une forêt. Depuis la version 2003, il a également la responsabilité de renommer un domaine. Enfin, il crée et supprime les relations croisées vers et depuis des domaines externes.

Sa tâche est de maintenir à jour des références d’objet inter-domaines. Concrètement, si vous prenez le cas où un compte utilisateur d’un domaine A est ajouté à un groupe d'un domaine B, le maître d’Infrastructure sera responsable de cette référence pour ensuite la répliquer sur l’ensemble des contrôleurs de son domaine (par exemple une mise à jour du Display Name de l'utilisateur sur le domaine A sera répercutée par le maître d'infrastructure sur toutes les références présentes sur le domaine B). Ces références d’objet sont appelées également objets fantômes et sont constituées d’un Dn (Distinguished name), d’un GUID (Global Unique Identifier) et d’un SID (Security Identifier). Pour plus d’information sur les objets fantômes allez voir le KB Microsoft Phantoms, tombstones and the infrastructure master.

Lorsqu’un contrôleur de domaine crée un objet Active Directory (Utilisateur, Groupe de sécurité, Ordinateur…), il assigne à cet objet un identifiant unique de sécurité (SID). Ce dernier est constitué de l’identifiant de sécurité du domaine (Domain SID) et d’un RID (Relative Identifier). Afin d’assurer l’unicité du SID pour un objet du domaine, le maître RID alloue régulièrement des plages de RID à chaque contrôleur qui en fait la demande.

Comme son nom l’indique, l’usage premier de l’émulateur de contrôleur de domaine principal est d’être considéré comme le contrôleur de domaine principal par les serveurs Windows NT 4.0 encore présent sur votre réseau. Il assure donc une interopérabilité avec les anciennes générations de serveurs mais également clients (antérieurs à 2000 et ne disposant pas initialement du client Active Directory). A noter que PDC (Primary Domain Controller) et BDC (Backup Domain Controller) sont des notions introduites avec Windows NT 4.0 qui n’existent plus désormais dans l’architecture Active Directory. L’émulateur PDC est également un partenaire de réplication privilégié pour tout contrôleur du domaine qui reçoit une demande de modification de mot de passe. De plus, lorsque se produit une erreur d’authentification, l’émulateur PDC est contacté automatiquement. Cela en fait donc un rôle crucial et ayant le plus d’impact en termes de performance sur un domaine. Enfin, il est par défaut le serveur de temps principal de votre domaine.

L'outil NTDSUTIL permet de gérer un contrôleur de domaine.

Commandes pour lister les rôles FSMO :

    roles
    connection
    connect to server [MONSERVEUR]
    quit
    select operation target
    list roles for connected server

Commandes pour le transfert des rôles :

    roles
    connection
    connect to server [MONSERVEUR]
    quit
    transfer PDC
    transfer RID master
    transfer infrastructure master
    transfer naming master
    transfer schema master

Commandes pour le transfert des rôles :

    roles
    connection
    connect to server [MONSERVEUR]
    quit
    seize PDC
    seize RID master
    seize infrastructure master
    seize naming master
    seize schema master