Active Directory (AD) es prácticamente el servicio de autenticación de dominio de referencia para empresas de todo el mundo y lo ha sido desde su creación en Windows Server 2000.
En ese entonces, el ANUNCIO era bastante inseguro y tenía algunos defectos que lo hacían particularmente difícil de usar. Por ejemplo, si tuviera varios controladores de dominio (DCs), competirían por los permisos para realizar cambios. Esto significaba que podrías estar haciendo cambios y, a veces, simplemente no pasarían.
Qué son los roles FSMO en Active Directory
En las últimas décadas, Microsoft ha introducido numerosas mejoras, parches y actualizaciones que han mejorado drásticamente la funcionalidad, la fiabilidad y la seguridad de los anuncios. Uno de estos cambios fue dirigirse hacia un «modelo Maestro único» para AD, donde un DC podría realizar cambios en el dominio. Los otros DCs cumplieron con las solicitudes de automatización.
Sin embargo, la gente rápidamente se dio cuenta de que si el DC maestro se caía, no se podían hacer cambios hasta que volviera a funcionar. Por lo tanto, Microsoft tuvo que repensar.
La solución que se les ocurrió fue separar las responsabilidades del DC en numerosas funciones. De esa manera, si uno de los DCs cae, otro puede hacerse cargo del papel que falta. Esto se conoce como Operación Maestra Única Flexible (también conocida como Roles FSMO o FSMO).
Obtener la Guía Gratuita para Mantener Seguro de Active Directory
Gracias por Descargar.
Por favor, revise su correo electrónico (incluida la carpeta de spam) para obtener un enlace al documento técnico.
Los 5 Roles FSMO
Un sistema completo de Active Directory se divide en cinco roles FSMO separados. Esos 5 roles de FSMO son los siguientes:
- Maestro de ID relativo (RID)
- Emulador de Controlador de Dominio Primario (PDC)
- Maestro de infraestructura
- Maestro de Nombres de dominio
- Maestro de Esquemas
Los Maestros de esquemas y los Maestros de nombres de dominio se limitan a uno por bosque, mientras que el resto se limita a uno por dominio.
Los 5 Roles FSMO en Active Directory
Maestro de Identificación relativa (RID)
Si desea crear un principio de seguridad, probablemente desee agregarle permisos de acceso. No puedes conceder estos permisos en función del nombre de un usuario o grupo porque eso puede cambiar. En su lugar, los asocia con un ID de seguridad (SID) único. Parte de ese identificador único se conoce como ID relativo (RID). Para evitar que dos objetos tengan el mismo SID, un Maestro RID procesa las solicitudes de grupos de RID de DCs dentro de un único dominio y garantiza que cada SID sea único.
Emulador de Controlador de Dominio Primario (PDC)
Este es el DC más autorizado del dominio. La función de este DC es responder a solicitudes de autenticación, cambios de contraseña administrados y administrar Objetos de directiva de grupo (GPO). Los usuarios ni siquiera pueden cambiar sus contraseñas sin la aprobación del emulador PDC. ¡Es una posición poderosa!
Maestro de infraestructura
Este controlador comprende la infraestructura de TI general de la organización, incluidos los objetos presentes. El maestro de infraestructura actualiza las referencias de objetos a nivel local y también se asegura de que estén actualizadas en las copias de otros dominios. Lo hace a través de identificadores únicos, como los SIDs.
Domain Naming Master
Este DC simplemente garantiza que no pueda crear un segundo dominio en el mismo bosque con el mismo nombre.
Maestro de esquemas
Este DC contiene una copia de lectura y escritura de su esquema de ANUNCIOS. El esquema es esencialmente todos los atributos asociados a un objeto (contraseñas, roles, designaciones, etc.).). Por lo tanto, si necesita cambiar un rol en un objeto de usuario, tendrá que hacerlo a través del Maestro de esquema.
5 Roles FSMO: Fiabilidad y disponibilidad
Los 5 Roles FSMO son de vital importancia, ya que van de la mano con la seguridad de su Active Directory. Por lo tanto, los controladores de dominio deben estar en línea en el momento en que se necesitan los servicios. Afortunadamente, dependiendo del rol de FSMO, esto puede no ser tan a menudo. Para schema master, por ejemplo, el DC solo necesita estar en línea durante la actualización. El PDC, sin embargo, tendrá que estar en línea y accesible en todo momento. Por esa razón, debe tomar las medidas necesarias para asegurarse de que el emulador de PDC no se caiga.
Si se encuentra en un escenario en el que uno de los roles de FSMO no está disponible (por ejemplo, el emulador de PDC), debe actuar rápidamente para volver a poner en funcionamiento todos sus roles de FSMO. Si sabe que un rol FSMO en particular va a someterse a un mantenimiento programado, debe transferir el rol FSMO a un DC diferente. Si ocurre lo peor, y su rol FSMO se bloquea, siempre puede aprovechar el rol FSMO a otro controlador de dominio como último recurso.
Es absolutamente vital que supervise de forma proactiva y continua la seguridad de Active Directory para evitar amenazas internas, abuso de privilegios y ataques de fuerza bruta. ¿No está seguro de cómo hacer esto? Póngase en contacto con nosotros hoy mismo y vea cómo Lepide ayuda a monitorear y asegurar la publicidad.