Active Directoryn 5 FSMO-roolia: mitä ne ovat ja mitä ne tekevät

Active Directory (AD) on melko paljon mennä verkkotunnuksen todennuspalvelut yrityksille ympäri maailmaa ja on ollut alusta alkaen Windows Server 2000.

tuolloin AD oli melko suojaamaton ja siinä oli joitakin puutteita, jotka tekivät sen käyttämisestä erityisen vaikeaa. Esimerkiksi, jos sinulla olisi useita toimialueen ohjaimet (DCS), ne kilpailisivat käyttöoikeuksista tehdä muutoksia. Tämä tarkoitti sitä, että voisi tehdä muutoksia ja joskus ne eivät yksinkertaisesti menisi läpi.

mitkä ovat FSMO: n roolit Active Directoryssa

viime vuosikymmenten aikana Microsoft on ottanut käyttöön lukuisia parannuksia, korjauksia ja päivityksiä, jotka ovat parantaneet merkittävästi mainosten toiminnallisuutta, luotettavuutta ja turvallisuutta. Yksi tällainen muutos oli suunnata kohti” single Master Model ” AD, jossa yksi DC voisi tehdä muutoksia verkkotunnuksen. Muut DCs täyttivät automaatiopyynnöt.

ihmiset kuitenkin tajusivat nopeasti, että jos master DC menee nurin, mitään muutoksia ei voi tehdä ennen kuin se on taas pystyssä. Microsoft joutui siis miettimään uudelleen.

heidän ratkaisunsa oli jakaa DC: n vastuut lukuisiin rooleihin. Jos yksi DCs kaatuu, toinen voi ottaa puuttuvan roolin. Tätä kutsutaan joustavaksi yhden päällikön toiminnaksi (tunnetaan myös nimellä FSMO tai FSMO-roolit).

Hanki ilmainen opas Active Directoryn suojaamiseen

kiitos latauksesta.

tarkista sähköpostistasi (mukaan lukien roskapostikansio) linkki whitepaperiin!

5 FSMO: n roolia

a full Active Directory system on jaettu viiteen erilliseen FSMO: n rooliin. Nämä 5 FSMO roolit ovat seuraavat:

  1. Relative ID (RID) Master
  2. Primary Domain Controller (PDC) Emulator
  3. Infrastructure Master
  4. Domain Naming Master
  5. skeema Master

skeema Masters ja Domain Naming Masters on rajoitettu yhteen metsää kohti, kun taas loput ovat rajattuja yhteen verkkotunnusta kohti.

5 FSMO-roolia Active Directoryssa

5 FSMO-roolia Active Directoryssa

Relative ID (RID) Master

jos haluat luoda suojausperiaatteen, haluat todennäköisesti lisätä siihen käyttöoikeudet. Et voi myöntää näitä oikeuksia käyttäjän tai ryhmän nimen perusteella, koska se voi muuttua. Sen sijaan, liität ne unique security ID (SID). Osa yksilöllisestä tunnisteesta tunnetaan nimellä relative ID (rid). Estääkseen kahta objektia, joilla on sama SID, rid-Master käsittelee DCs: n rid-poolipyynnöt yhden verkkotunnuksen sisällä ja varmistaa, että jokainen SID on yksilöllinen.

Primary Domain Controller (PDC) emulaattori

tämä on arvovaltaisin DC alueella. Tämän DC: n tehtävänä on vastata todennuspyyntöihin, hallita salasanojen muutoksia ja hallita ryhmäkäytäntöobjekteja (GPO). Käyttäjät eivät voi edes vaihtaa salasanojaan ilman PDC-emulaattorin hyväksyntää. Se on voimakas asema!

Infrastructure Master

tämä valvoja ymmärtää organisaation IT-infrastruktuurin kokonaisuuden, mukaan lukien mitä esineitä on olemassa. Infrastructure master päivittää objektiviittaukset paikallistasolla ja varmistaa myös, että se on ajan tasalla muiden verkkotunnusten kopioissa. Se tekee tämän yksilöllisten tunnisteiden, kuten kätkytkuoleman, avulla.

verkkotunnuksen Nimeämismestari

tämä DC yksinkertaisesti varmistaa, ettei samaan metsään voi luoda toista verkkotunnusta, jolla on sama nimi.

Skeemamestari

tällä DC: llä on lukukirjoituskopio MAINOSKAAVIOSTA. Skeema on pohjimmiltaan kaikki objektiin liittyvät attribuutit (salasanat, roolit, nimitykset jne.). Joten, jos sinun täytyy muuttaa roolia käyttäjäobjektin, sinun täytyy tehdä se kautta skeema Master.

5 FSMO-roolia: luotettavuus ja käytettävyys

5 FSMO-roolia ovat ratkaisevan tärkeitä, koska ne kulkevat käsi kädessä Active Directoryn turvallisuuden kanssa. Domain-ohjaimien on siis oltava verkossa silloin, kun palveluja tarvitaan. Onneksi, riippuen FSMO rooli, tämä ei ehkä ole kovin usein. Esimerkiksi skeema Masterissa DC: n tarvitsee olla verkossa vain päivityksen aikana. PDC: n on kuitenkin oltava verkossa ja käytettävissä koko ajan. Tästä syystä, sinun täytyy tehdä tarvittavat toimenpiteet sen varmistamiseksi, että PDC emulaattori ei kaadu.

jos joudut tilanteeseen, jossa yksi FSMO-rooleista ei ole käytettävissä (esim.PDC-emulaattori), sinun on toimittava nopeasti saadaksesi kaikki FSMO-roolisi takaisin toimintaan. Jos tiedät, että tietty FSMO-rooli on menossa määräaikaishuoltoon, sinun pitäisi siirtää FSMO-rooli toiseen DC: hen. Jos pahin sattuisi, ja FSMO-roolisi kaatuu, voit aina tarttua FSMO-rooliin toiseen verkkotunnuksen ohjaimeen viimeisenä keinona.

on ehdottoman tärkeää, että seuraat aktiivisesti ja jatkuvasti Active Directoryn tietoturvaa sisäpiiriuhkien, etuoikeuksien väärinkäytön ja brute force-hyökkäysten estämiseksi. Etkö ole varma, miten tämä tehdään? Ota yhteyttä meihin tänään ja katso, miten Lepide auttaa valvomaan ja suojaamaan mainosta.

Vastaa

Sähköpostiosoitettasi ei julkaista.