Active Directory (AD) ist so ziemlich die Go-to-Domain-Authentifizierungsdienste für Unternehmen auf der ganzen Welt und hat seit seiner Einführung in Windows Server 2000.
Damals war AD ziemlich ungesichert und hatte einige Mängel, die die Verwendung besonders schwierig machten. Wenn Sie beispielsweise über mehrere Domänencontroller (DCs) verfügten, konkurrierten diese um Berechtigungen zum Vornehmen von Änderungen. Dies bedeutete, dass Sie Änderungen vornehmen konnten und manchmal würden sie einfach nicht durchgehen.
Was sind FSMO-Rollen in Active Directory?
In den letzten Jahrzehnten hat Microsoft zahlreiche Verbesserungen, Patches und Updates eingeführt, die die AD-Funktionalität, Zuverlässigkeit und Sicherheit drastisch verbessert haben. Eine solche Änderung bestand darin, zu einem „Single-Master-Modell“ für AD überzugehen, bei dem ein DC Änderungen an der Domäne vornehmen konnte. Die anderen DCs erfüllten Automatisierungsanforderungen.
Die Leute erkannten jedoch schnell, dass, wenn der Master-DC ausfällt, überhaupt keine Änderungen vorgenommen werden konnten, bis er wieder in Betrieb war. Microsoft musste umdenken.
Die Lösung, die sie fanden, bestand darin, die Verantwortlichkeiten des DC in zahlreiche Rollen zu unterteilen. Auf diese Weise kann ein anderer die fehlende Rolle übernehmen, wenn einer der DCs ausfällt. Dies wird als flexible Single Master Operation (auch als FSMO- oder FSMO-Rollen bezeichnet) bezeichnet.
Holen Sie sich den kostenlosen Leitfaden zur Sicherung von Active Directory
Vielen Dank für das Herunterladen.
Bitte überprüfen Sie Ihre E-Mails (einschließlich Spam-Ordner) auf einen Link zum Whitepaper!
Die 5 FSMO-Rollen
Ein vollständiges Active Directory-System ist in fünf separate FSMO-Rollen unterteilt. Diese 5 FSMO-Rollen lauten wie folgt:
- Relativer ID (RID) -Master
- Primärer Domänencontroller (PDC) -Emulator
- Infrastruktur-Master
- Domänennamen-Master
- Schema-Master
Schema-Master und Domänennamen-Master sind auf einen pro Gesamtstruktur beschränkt, während der Rest auf einen pro Domäne beschränkt ist.
Die 5 FSMO-Rollen in Active Directory
Relative ID (RID) Master
Wenn Sie ein Sicherheitsprinzip erstellen möchten, möchten Sie wahrscheinlich Zugriffsberechtigungen hinzufügen. Sie können diese Berechtigungen nicht basierend auf dem Namen eines Benutzers oder einer Gruppe erteilen, da sich dies ändern kann. Stattdessen verknüpfen Sie sie mit einer eindeutigen Sicherheits-ID (SID). Ein Teil dieser eindeutigen Kennung wird als relative ID (RID) bezeichnet. Um zu verhindern, dass zwei Objekte dieselbe SID haben, verarbeitet ein RID-Master RID-Poolanforderungen von DCs innerhalb einer einzelnen Domäne und stellt sicher, dass jede SID eindeutig ist.
Primärer Domänencontroller (PDC)-Emulator
Dies ist der maßgeblichste DC in der Domäne. Die Rolle dieses DC besteht darin, auf Authentifizierungsanforderungen zu reagieren, Kennwortänderungen zu verwalten und Gruppenrichtlinienobjekte (GPO) zu verwalten. Benutzer können nicht einmal ihre Passwörter ohne Zustimmung des PDC-Emulators ändern. Es ist eine starke Position!
Infrastructure Master
Dieser Controller versteht die gesamte IT-Infrastruktur in der Organisation, einschließlich der vorhandenen Objekte. Der Infrastrukturmaster aktualisiert Objektreferenzen auf lokaler Ebene und stellt auch sicher, dass sie in den Kopien anderer Domänen auf dem neuesten Stand sind. Dies geschieht durch eindeutige Bezeichner wie SIDs.
Domänenbenennungsmaster
Dieser DC stellt lediglich sicher, dass Sie keine zweite Domäne in derselben Gesamtstruktur mit demselben Namen erstellen können.
Schema Master
Dieser DC enthält eine Lese-/Schreibkopie Ihres AD-Schemas. Schema sind im Wesentlichen alle Attribute, die einem Objekt zugeordnet sind (Kennwörter, Rollen, Bezeichnungen usw.). Wenn Sie also eine Rolle für ein Benutzerobjekt ändern müssen, müssen Sie dies über den Schemamaster tun.
5 FSMO-Rollen: Zuverlässigkeit und Verfügbarkeit
Die 5 FSMO-Rollen sind von entscheidender Bedeutung, da sie mit der Sicherheit Ihres Active Directory einhergehen. Die Domänencontroller müssen daher zum Zeitpunkt der Anforderung der Dienste online sein. Glücklicherweise ist dies je nach FSMO-Rolle möglicherweise nicht so oft der Fall. Für Schema Master zum Beispiel muss der DC nur während des Updates online sein. Die PDC muss jedoch jederzeit online und zugänglich sein. Aus diesem Grund müssen Sie die erforderlichen Schritte ausführen, um sicherzustellen, dass der PDC-Emulator nicht umfällt.
Wenn Sie sich in einem Szenario befinden, in dem eine der FSMO-Rollen nicht verfügbar ist (z. B. der PDC-Emulator), müssen Sie schnell handeln, um alle Ihre FSMO-Rollen wieder zum Laufen zu bringen. Wenn Sie wissen, dass eine bestimmte FSMO-Rolle einer geplanten Wartung unterzogen wird, sollten Sie die FSMO-Rolle in einen anderen DC übertragen. Wenn das Schlimmste eintreten sollte und Ihre FSMO-Rolle abstürzt, können Sie die FSMO-Rolle jederzeit als letzten Ausweg auf einen anderen Domänencontroller übertragen.
Es ist absolut wichtig, dass Sie die Active Directory-Sicherheit proaktiv und kontinuierlich überwachen, um Insider-Bedrohungen, Missbrauch von Berechtigungen und Brute-Force-Angriffe zu verhindern. Unsicher, wie das geht? Nehmen Sie noch heute Kontakt mit uns auf und erfahren Sie, wie Lepide Ihnen hilft, AD zu überwachen und zu sichern.