LES ROLES FSMO DANS AD
LES DIFFERENTS ROLES
Controleur du schema Unique au sein d’une forêt
Controleur du schema Unique au sein d’une forêt
Maitres d attribution des noms de domaines Unique au sein d’une forêt
Maitre rid Unique au sein d’un domaine
Maitre d’infrastructure Unique au sein d’un domaine
Emulateur pdc Unique au sein d’un domaine
LES FONCTIONS
Contrôleur du schéma Gère la modification du schéma AD
Maitres d attribution des noms de domaines Inscription des domaines dans la forêt
Maitre RID Distribue les plages RID pour la gestion des SID
Maitre d’infrastructure Gère le déplacement des objets dans AD.
Emulateur PDC Garantie une compatibilité avec les anciens systèmes
ROLES - FONCTIONS DETAILLEES
Rôle FSMO Contrôleur de schéma
Le détenteur du rôle FSMO Contrôleur de schéma est le contrôleur de domaine chargé d’effectuer les mises à jour vers le schéma d’annuaire (c’est-à-dire, du contexte de nommage du schéma ou LDAP ://cn=schema,cn=configuration,dc=).
Ce contrôleur de domaine est le seul à pouvoir traiter les mises à jour vers le schéma de l’annuaire. Une fois la mise à jour du schéma terminée, elle est répliquée du contrôleur de schéma sur tous les autres contrôleurs de domaine de l’annuaire. Il existe un seul contrôleur de schéma par annuaire.
Rôle FSMO Maître d’attribution de noms de domaine
Le détenteur du rôle FSMO Maître d’attribution de noms de domaine est le contrôleur de domaine chargé d’apporter des modifications à l’espace de noms des domaines de niveau forêt de l’annuaire (c’est-à-dire le contexte de nommage Partitions\Configuration ou LDAP ://CN=Partitions, CN=Configuration, DC=). Ce contrôleur de domaine est le seul à pouvoir ajouter ou supprimer un domaine de l’annuaire. Il peut également ajouter ou supprimer des références croisées aux domaines dans des annuaires externes.
Rôle FSMO Maître RID
Le détenteur du rôle FSMO Maître RID est le seul contrôleur de domaine chargé du traitement des demandes de pools de RID émanant de tous les contrôleurs de domaine d’un domaine donné. Il est également chargé de supprimer un objet de son domaine et de le mettre dans un autre domaine au cours d’un déplacement d’objet. Lorsqu’un contrôleur de domaine crée un objet entité de sécurité tel qu’un utilisateur ou un groupe, il joint à l’objet un ID de sécurité (SID) unique. Ce SID est constitué d’un SID de domaine (le même pour tous les SID créés dans un domaine) et d’un ID relatif (RID), unique pour chaque SID d’entité de sécurité créé dans un domaine.
Chaque contrôleur de domaine Windows 200X d’un domaine se voit allouer un pool de RID qu’il peut attribuer aux entités de sécurité qu’il crée. Lorsque le pool de RID d’un contrôleur de domaine tombe en deçà d’un certain seuil, le contrôleur de domaine demande des RID supplémentaires au maître RID du domaine. Le maître RID répond à la demande en récupérant des RID du pool de RID non alloués du domaine et les attribue au pool du contrôleur de domaine demandeur. Il existe un maître RID par domaine d’un annuaire.
Rôle FSMO Infrastructure
Lorsqu’un objet d’un domaine est référencé par un autre objet dans un autre domaine, il représente la référence par le GUID, le SID (pour les références aux entités de sécurité) et le nom unique (DN) de l’objet qui est référencé. Le détenteur du rôle FSMO Infrastructure est le contrôleur de domaine chargé de mettre à jour le SID et le nom unique d’un objet dans une référence d’objet inter-domaine.
REMARQUE : Le rôle Maître d’infrastructure doit être assuré par un contrôleur de domaine qui n’est pas un serveur de catalogues global. Si le rôle Maître d’infrastructure est exécuté sur un serveur de catalogues global, il arrêtera la mise à jour des informations sur les objets, car il ne dispose pas de références aux objets qu’il ne contient pas. Cela s’explique par le fait qu’un serveur de catalogues global comprend un réplica partiel de chaque objet de la forêt. En conséquence, les références d’objets inter-domaines de ce domaine ne seront pas mises à jour et un avertissement dans ce sens sera consigné dans le journal des événements de ce contrôleur de domaine.
Si tous les contrôleurs de domaine d’un domaine hébergent également le catalogue global, tous contiennent les données actuelles. Peu importe donc quel contrôleur de domaine contient le rôle de maître d’infrastructure.
Rôle FSMO Émulateur PDC
L’émulateur PDC est nécessaire pour synchroniser l’heure dans une entreprise. Windows 2000 inclut l’outil de service de temps W32Time (Windows Time) requis par le protocole d’authentification Kerberos. Tous les ordinateurs Windows 2000 d’une entreprise utilisent une heure commune. L’objectif du service de temps est de garantir que le service Windows Time utilise une relation hiérarchique qui contrôle l’autorité et interdit les boucles afin de garantir une utilisation appropriée du temps commun.
L’émulateur PDC d’un domaine fait autorité pour le domaine. L’émulateur PDC situé à la racine de la forêt acquiert l’autorité pour l’entreprise et doit être configuré de façon à percevoir l’heure d’une source externe. Tous les détenteurs de rôle FSMO PDC suivent la hiérarchie des domaines pour la sélection de leur partenaire de temps entrant.
Dans un domaine Windows 200X, le détenteur du rôle Émulateur PDC conserve les fonctions suivantes :
- Les modifications de mot de passe exécutées par d’autres contrôleurs de domaine du domaine sont répliquées de préférence sur l’émulateur PDC.
- Les échecs d’authentification qui se produisent en raison d’un mot de passe inexact sur un contrôleur donné dans un domaine sont transférés à l’émulateur PDC avant que l’échec ne soit signalé à l’utilisateur dans un message.
- Le verrouillage de compte est traité sur l’émulateur PDC.
- L’émulateur PDC exécute toutes les fonctionnalités qu’un contrôleur de domaine principal de serveur Microsoft Windows NT 4.0 ou antérieur exécute pour les clients Windows NT 4.0 ou antérieurs.
Cette partie du rôle d’émulateur PDC devient inutile lorsque toutes les stations de travail, serveurs membres et contrôleurs de domaine exécutant Windows NT 4.0 ou antérieur sont mis à niveau vers Windows 200X. L’émulateur PDC continue d’exécuter les autres fonctions décrites dans un environnement Windows 2000.
Les informations suivantes décrivent les modifications survenant lors du processus de mise à niveau :
- Les clients Windows 200X / XP (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués n’effectuent pas les écritures d’annuaire (comme les changements de mots de passe) de préférence sur le contrôleur de domaine qui s’est autoproclamé contrôleur principal de domaine ; ils utilisent n’importe quel contrôleur du domaine.
- Une fois les contrôleurs secondaires de domaine des domaines de bas niveau mis à niveau vers Windows 200X, l’émulateur PDC ne reçoit pas de demandes de réplica de niveau inférieur.
- Les clients Windows 200X / XP (stations de travail et serveurs membres) et les clients de bas niveau qui ont installé le package client de services distribués utilisent l’annuaire Active Directory pour localiser des ressources réseau. Ils n’ont pas besoin du service Explorateur d’ordinateur de Windows NT.
Aucun commentaire:
Enregistrer un commentaire