Active Directory (AD) er stort set go-to domæne autentificering tjenester for virksomheder over hele verden og har været siden starten i vinduer Server 2000.
dengang var AD temmelig usikret og havde nogle fejl, der gjorde det særligt vanskeligt at bruge. For eksempel, hvis du havde flere domænecontrollere (DCs), ville de konkurrere om tilladelser til at foretage ændringer. Dette betød, at du kunne foretage ændringer, og nogle gange ville de simpelthen ikke gå igennem.
hvad er FSMO-roller i Active Directory
i løbet af de sidste par årtier har Microsoft introduceret adskillige forbedringer, programrettelser og opdateringer, der har forbedret ANNONCEFUNKTIONALITET, pålidelighed og sikkerhed drastisk. En sådan ændring var at gå mod en” single Master Model ” for AD, hvor en DC kunne foretage ændringer i domænet. De andre DCs opfyldte automatiseringsanmodninger.
men folk indså hurtigt, at hvis master DC går ned, kunne der slet ikke foretages ændringer, før det var tilbage igen. Så Microsoft måtte genoverveje.
løsningen, de kom på, var at adskille DC ‘ s ansvar i adskillige roller. På den måde, hvis en af DCs går ned, kan en anden overtage den manglende rolle. Dette er kendt som fleksibel enkelt Master Operation (også kendt som FSMO eller FSMO roller).
få den gratis Guide til at holde Active Directory sikker
tak for at hente.
tjek venligst din e-mail (inklusive spam-mappe) for et link til hvidbogen!
de 5 FSMO-roller
et fuldt Active Directory-system er opdelt i fem separate FSMO-roller. Disse 5 FSMO roller er som følger:
- relativ ID (RID) Master
- primær domænecontroller (PDC) Emulator
- Infrastructure Master
- Domain Naming Master
- Schema Master
Schema Masters og Domain Naming Masters er begrænset til en pr.
de 5 FSMO-roller i Active Directory
relativ ID (RID) Master
hvis du vil oprette et sikkerhedsprincip, vil du sandsynligvis tilføje adgangstilladelser til det. Du kan ikke tildele disse tilladelser baseret på navnet på en bruger eller gruppe, fordi det kan ændre sig. I stedet knytter du dem til et unikt Sikkerheds-ID (SID). En del af denne unikke identifikator er kendt som det relative ID (RID). For at forhindre, at to objekter har samme SID, behandler en RID-Master RID-poolanmodninger fra DCs inden for et enkelt domæne og sikrer, at hver SID er unik.
primær domænecontroller (PDC) Emulator
dette er den mest autoritative DC i domænet. Denne DC ‘ s rolle er at svare på godkendelsesanmodninger, administrerede adgangskodeændringer og administrerer gruppepolitiske objekter (GPO). Brugere kan ikke engang ændre deres adgangskoder uden godkendelse af PDC-emulatoren. Det er en stærk position!
Infrastructure Master
denne controller forstår den overordnede IT-infrastruktur i organisationen, herunder hvilke objekter der er til stede. Infrastrukturmesteren opdaterer objektreferencer på lokalt niveau og sørger også for, at den er opdateret i kopierne af andre domæner. Det gør det gennem unikke identifikatorer, såsom SIDs.
Domain Naming Master
denne DC sikrer simpelthen, at du ikke er i stand til at oprette et andet domæne i samme skov med samme navn.
Schema Master
denne DC indeholder en læse-skrive kopi af dit ANNONCESKEMA. Skema er i det væsentlige alle de attributter, der er forbundet med et objekt (adgangskoder, roller, betegnelser osv.). Så hvis du har brug for at ændre en rolle på et brugerobjekt, skal du gøre det gennem Schema Master.
5 FSMO-roller: pålidelighed og tilgængelighed
de 5 FSMO-Roller er kritisk vigtige, da de går hånd i hånd med sikkerheden i din Active Directory. Domænecontrollerne skal derfor være online på det tidspunkt, hvor tjenesterne er nødvendige. Heldigvis, afhængigt af FSMO-rollen, dette er måske ikke så ofte. For schema master, for eksempel, behøver DC kun at være online under opdateringen. PDC skal dog være online og tilgængelig til enhver tid. Af den grund skal du tage de nødvendige skridt for at sikre, at PDC-emulatoren ikke vælter.
hvis du befinder dig i et scenarie, hvor en af FSMO-rollerne ikke er tilgængelig (f.eks. Hvis du ved, at en bestemt FSMO-rolle skal gennemgå planlagt vedligeholdelse, skal du overføre FSMO-rollen til en anden DC. Hvis det værste skulle ske, og din FSMO-rolle går ned, kan du altid gribe FSMO-rollen til en anden domænecontroller som en sidste udvej.
det er helt afgørende, at du proaktivt og kontinuerligt overvåger Active Directory-sikkerhed for at forhindre insidertrusler, misbrug af privilegier og brute force-angreb. Usikker på, hvordan man gør dette? Kontakt os i dag og se, hvordan Lepide hjælper med at overvåge og sikre annoncer.