Active Directory (AD) je do značné míry go-to domain authentication services pro podniky po celém světě a byl od svého vzniku v systému Windows Server 2000.
v té době byla reklama docela nezajištěná a měla některé nedostatky,které ztěžovaly její použití. Pokud byste například měli více řadičů domény (DCs), soutěžili by o oprávnění k provádění změn. To znamenalo, že byste mohli provádět změny a někdy by prostě neprošli.
jaké jsou role FSMO ve službě Active Directory
v posledních několika desetiletích společnost Microsoft zavedla řadu vylepšení, oprav a aktualizací, které drasticky zlepšily funkčnost, spolehlivost a zabezpečení reklamy. Jednou z takových změn bylo směřovat k „single Master Model“ pro AD, kde by jeden DC mohl provádět změny v doméně. Ostatní DCs splnily požadavky na automatizaci.
lidé si však rychle uvědomili, že pokud master DC klesne, nelze provést žádné změny, dokud nebude znovu zálohován. Takže Microsoft musel přehodnotit.
řešení, se kterým přišli, bylo rozdělit odpovědnost DC do mnoha rolí. Tímto způsobem, pokud jeden z DCs klesne, jiný může převzít chybějící roli. Toto je známé jako flexibilní Single Master operace (také známý jako FSMO nebo FSMO role).
Získejte zdarma průvodce pro udržení služby Active Directory v bezpečí
Díky za stažení.
zkontrolujte prosím svůj e-mail (včetně složky se spamem) pro odkaz na whitepaper!
5 rolí FSMO
plný systém Active Directory je rozdělen do pěti samostatných rolí FSMO. Tyto 5 role FSMO jsou následující:
- relativní ID (RID) Master
- primární Domain Controller (PDC) emulátor
- Infrastructure Master
- Domain Naming Master
- Schema Master
Schema Masters a Domain Naming Masters jsou omezeny na jeden na les, zatímco zbytek je omezen na jeden na doménu.
5 rolí FSMO ve službě Active Directory
relativní ID (RID) Master
pokud chcete vytvořit princip zabezpečení, pravděpodobně k němu budete chtít přidat přístupová oprávnění. Tato oprávnění nelze udělit na základě jména uživatele nebo skupiny, protože se to může změnit. Místo toho je přidružíte k jedinečnému ID zabezpečení (SID). Část tohoto jedinečného identifikátoru je známá jako relativní ID (RID). Aby se zabránilo dva objekty mají stejný SID, RID Master zpracovává požadavky rid pool z DCs v rámci jedné domény a zajišťuje, že každý SID je jedinečný.
emulátor primárního řadiče domény (PDC)
Toto je nejvíce autoritativní DC v doméně. Úlohou tohoto DC je reagovat na požadavky na autentizaci, spravovat změny hesel a spravovat objekty zásad skupiny (GPO). Uživatelé nemohou ani změnit svá hesla bez souhlasu emulátoru PDC. Je to silná pozice!
Master infrastruktury
tento řadič rozumí celkové IT infrastruktuře v organizaci, včetně toho, jaké objekty jsou přítomny. Master infrastructure aktualizuje odkazy na objekty na místní úrovni a také zajišťuje, že je aktuální v kopiích jiných domén. Dělá to prostřednictvím jedinečných identifikátorů, jako jsou SIDs.
Domain Naming Master
tento DC jednoduše zajišťuje, že nejste schopni vytvořit druhou doménu ve stejném lese se stejným názvem.
Schema Master
tento DC obsahuje kopii schématu reklamy pro čtení a zápis. Schéma je v podstatě všechny atributy spojené s objektem (hesla, role, označení, atd.). Pokud tedy potřebujete změnit roli v uživatelském objektu, musíte to udělat pomocí programu Schema Master.
5 rolí FSMO: spolehlivost a dostupnost
5 rolí FSMO je kriticky důležité, protože jdou ruku v ruce s bezpečností vašeho Active Directory. Řadiče domény proto musí být v době, kdy jsou služby potřebné, online. Naštěstí, v závislosti na roli FSMO, to nemusí být tak často. Například u programu schema master musí být DC během aktualizace pouze online. PDC, nicméně, bude muset být online a přístupný po celou dobu. Z tohoto důvodu musíte provést nezbytné kroky, abyste zajistili, že emulátor PDC neklesne.
pokud se ocitnete ve scénáři, kdy jedna z rolí FSMO není k dispozici (například emulátor PDC), musíte jednat rychle, abyste všechny své role FSMO znovu spustili. Pokud víte, že konkrétní role FSMO bude podrobena plánované údržbě, měli byste převést roli FSMO na jiné DC. Pokud by mělo dojít k nejhoršímu a vaše role FSMO se zhroutí, můžete vždy využít roli FSMO jinému řadiči domény jako poslední možnost.
je naprosto nezbytné, abyste aktivně a nepřetržitě sledovali zabezpečení služby Active Directory, abyste zabránili hrozbám zasvěcených osob, zneužívání privilegií a útokům hrubou silou. Nejste si jisti, jak to udělat? Spojte se s námi ještě dnes a uvidíte, jak Lepide pomáhá sledovat a zabezpečit reklamu.