az Active Directory (AD) nagyjából a go-to domain hitelesítési szolgáltatás a vállalatok számára a világ minden tájáról, és a Windows Server 2000-ben való megjelenése óta.
akkoriban az AD meglehetősen nem volt biztonságos, és volt néhány hibája, ami különösen megnehezítette a használatát. Például, ha több tartományvezérlővel (DCs) rendelkezik, akkor versenyeznek az engedélyekért a módosítások elvégzéséhez. Ez azt jelentette, hogy változtatásokat hajthat végre, és néha egyszerűen nem mennek keresztül.
mik az FSMO szerepkörök az Active Directory-ban
az elmúlt néhány évtizedben a Microsoft számos olyan fejlesztést, javítást és frissítést vezetett be, amelyek drasztikusan javították a hirdetési funkciókat, a megbízhatóságot és a biztonságot. Az egyik ilyen változás az volt, hogy az AD “egyetlen Mestermodellje” felé indult, ahol az egyik DC módosíthatja a domaint. A többi DCs teljesítette az automatizálási kéréseket.
az emberek azonban gyorsan rájöttek, hogy ha a master DC lemegy, akkor egyáltalán nem lehet változtatni, amíg újra nem készül. Tehát a Microsoftnak át kellett gondolnia.
a megoldás, amellyel előálltak, az volt, hogy a DC felelősségét számos szerepre osztották. Így, ha az egyik DC lemegy, egy másik átveheti a hiányzó szerepet. Ez az úgynevezett rugalmas Single Master művelet (más néven FSMO vagy FSMO szerepek).
töltse le az ingyenes útmutatót az Active Directory biztonságos kezeléséhez
Köszönjük, hogy letöltötte.
kérjük, ellenőrizze az e-mail (beleértve a spam mappát) egy linket a whitepaper!
az 5 FSMO szerep
a teljes Active Directory rendszer öt különálló FSMO szerepkörre oszlik. Azok 5 FSMO szerepek a következők:
- Relative ID (RID) Master
- Primary Domain Controller (PDC) Emulator
- Infrastructure Master
- Domain Naming Master
- Schema Master
a Schema Masters és a Domain Naming Masters erdőnként egy, míg a többi tartományonként egy.
az Active Directory 5 FSMO-szerepe
relatív azonosító (RID) mester
ha biztonsági elvet szeretne létrehozni, akkor valószínűleg hozzáférési engedélyeket szeretne hozzáadni hozzá. Ezeket az engedélyeket nem adhatja meg egy felhasználó vagy csoport neve alapján, mert ez megváltozhat. Ehelyett egy egyedi biztonsági azonosítóval (Sid) társítja őket. Az egyedi azonosító egy része relatív azonosító (rid) néven ismert. Annak megakadályozása érdekében, hogy két objektum azonos SID-vel rendelkezzen, a RID-mester feldolgozza a DCs-k RID-készletkéréseit egyetlen tartományon belül, és biztosítja, hogy minden SID egyedi legyen.
elsődleges tartományvezérlő (PDC) emulátor
ez a tartomány leghitelesebb DC-je. Ennek a DC-nek a feladata, hogy válaszoljon a hitelesítési kérelmekre, a kezelt jelszóváltoztatásokra és a Csoportházirend-objektumok (csoportházirend-objektumok) kezelésére. A felhasználók a PDC emulátor jóváhagyása nélkül sem változtathatják meg jelszavukat. Ez egy erős pozíció!
Infrastructure Master
ez a vezérlő megérti a szervezet teljes informatikai infrastruktúráját, beleértve a jelen lévő objektumokat is. Az infrastruktúra-főkiszolgáló helyi szinten frissíti az objektumhivatkozásokat, és gondoskodik arról is, hogy azok naprakészek legyenek más tartományok másolataiban. Ezt egyedi azonosítók, például SIDs segítségével teszi.
Domain Naming Master
ez a DC egyszerűen biztosítja, hogy nem tud létrehozni egy második tartományt ugyanabban az erdőben ugyanazzal a névvel.
Schema Master
ez a DC tartalmazza a hirdetési séma írható-olvasható példányát. A séma lényegében az objektumhoz társított összes attribútum (jelszavak, szerepek, megnevezések stb.). Tehát, ha meg kell változtatnia egy szerepkört egy felhasználói objektumon, akkor azt a Sémamesteren keresztül kell elvégeznie.
5 FSMO szerepkör: megbízhatóság és elérhetőség
az 5 FSMO szerepkör kritikus fontosságú, mivel kéz a kézben járnak az Active Directory biztonságával. A tartományvezérlőknek tehát online kell lenniük, amikor a szolgáltatásokra szükség van. Szerencsére az FSMO szerepétől függően ez nem lehet olyan gyakran. A schema master esetében például a DC-nek csak a frissítés során kell online lennie. A PDC-nek azonban mindig online és hozzáférhetőnek kell lennie. Ezért meg kell tennie a szükséges lépéseket annak biztosítására, hogy a PDC emulátor ne essen át.
ha olyan helyzetben találja magát, hogy az FSMO-szerepek egyike nem érhető el (például a PDC-emulátor), gyorsan kell cselekednie, hogy az összes FSMO-szerepkör újra működjön. Ha tudja, hogy egy adott FSMO szerepkör ütemezett karbantartáson megy keresztül, akkor az FSMO szerepkört át kell helyeznie egy másik DC-re. Ha a legrosszabb történik, és az FSMO-szerepkör összeomlik, végső megoldásként az FSMO-szerepkört mindig egy másik tartományvezérlőhöz csatolhatja.
rendkívül fontos, hogy proaktívan és folyamatosan figyelemmel kísérje az Active Directory biztonságát a bennfentes fenyegetések, a privilégiumokkal való visszaélések és a brute force támadások megelőzése érdekében. Nem biztos abban, hogyan kell ezt megtenni? Vegye fel velünk a kapcsolatot még ma, és nézze meg, hogyan segíti a Lepide a hirdetések figyelését és biztonságát.