Cette petite fiche concerne les rôles FSMO d'active Directory et leurs utilités.

Cette documentation est réalisée dans le cadre d'un TP guidé, il peut donc y avoir d'autre méthode plus ou moins simple pour y parvenir.

• Dans AD, il existe 5 maîtres d’opération.
• Les contrôleurs FSMO endossent une fonction particulière
• Certaines tâches doivent être centralisées.
• Il peut exister un FSMO par domaine ou par forêt.
• Par défaut, AD attribue les rôles FSMO au premier contrôleur de domaine
• Il est fortement conseillé de rétrograder un CD avant de le supprimer du domaine surtout si c’est le premier installé (le transfert des rôles FSMO se fait alors automatiquement)

• Maître de schéma (Schema Master)
• Maître d’attribution de noms de domaine (Domain Naming Master)
• Maître RID (RID Master)
• Émulateur PDC (PDC Emulator)
• Maître d’infrastructure (Infrastructure Master)

• Unique dans une forêt
• Gère la structure AD (le schéma)
• Le Schéma ne peut être modifier que sur le serveur qui a ce rôle
• Il est ensuite répliqué sur les autres DC
• Exemple : Exchange modifie le schéma AD
• En cas d’indisponibilité : Impossible de modifier le schéma

• Unique dans une forêt
• Gère l’attribution de noms de domaines
• Le maître d’opération de nom de domaine est en charge d’attribuer les nouveaux noms de domaines aux contrôleurs de domaine.
• Dès que vous lancez DCPROMO pour créer un nouveau domaine, DCPROMO s’arrête et localise le FSMO attribution de nom de domaine afin de vérifier que le nouveau domaine n’existe pas
• Si le nouveau contrôleur ne joint pas le maitre d’opération de nom de domaine, il refuse de continuer l’installation
• En cas d’indisponibilité : Impossible d’ajouter ou de modifier un nom de domaine

• 1 par domaine
• Chaque objet possède un SID sous la forme :
  • S-1-5-21-D1-D2-D3-RID
• D1D2D3 sont 3 nombres de 32 bits gérés aléatoirement à l’installation du domaines et ne bougent pas, tous les SID dans un domaine sont identiques à l’exception des derniers 32 bits appelés RID
• Si un DC a besoin de générer un nouveau SID, il connaît d’avance la première partie et n’a besoin que d’un RID.
• Par défaut le maître du pool des ID relatifs délivre 500 RID à chaque DC
• Les CD rechargent leur pool dès qu’ils ont utilisé 250 RID
• En cas d’indisponibilité : Pas d’effet immédiat, puis quand le pool est vide, impossible de créer de nouveaux objets

• 1 par domaine
• Gère globalement la sécurité :
  • Synchronise les modifications des stratégies de groupe du domaine (éviter les conflits et les écrasements)
  • Synchroniser les horloges sur les DC (les jetons d’authentifications utilise un horodatage)
  • Synchronise les verrouillages des comptes
  • Synchronise les mots de passe
• En cas d’indisponibilité : pas de changement de mot de passe, pas de verrouillage de compte, pas de modifications de GPO

• 1 par domaine
• Dans un réseau multi-domaine, il est difficile de répercuter rapidement les modifications de comptes utilisateurs ou de groupes sur les différents domaines.
• Vous pouvez placer un utilisateur dans un groupe d’un autre domaine mais cette modification peut prendre un certain temps.
• Le maître d’infrastructure accélère ce processus : il maintient une sorte de table de référence : Utilisateur du domaine formation.test fait parti d’un groupe du domaine production.test
• En cas d’indisponibilité : lenteurs de réplication inter-domaine, impossibilité de faire des corrélations inter-domaine

netdom query fsmo

Move-ADDirectoryServerOperationMasterRole -Identity "SRVAD02" -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster