Active Directory (AD) er ganske mye go-to domain authentication services for bedrifter over hele verden, og har vært siden starten I Windows Server 2000.
DA VAR AD ganske usikret og hadde noen feil som gjorde det spesielt vanskelig å bruke. Hvis du for eksempel hadde flere domenekontrollere (DCs), ville de konkurrere om tillatelser for å gjøre endringer. Dette betydde at du kunne gjøre endringer, og noen ganger ville de bare ikke gå gjennom.
hva ER FSMO-roller I Active Directory
I Løpet Av De siste tiårene Har Microsoft introdusert mange forbedringer, oppdateringer og oppdateringer som har drastisk forbedret ANNONSEFUNKSJONALITET, pålitelighet og sikkerhet. En slik endring var å gå mot en «single Master Model» for AD hvor EN DC kunne gjøre endringer i domenet. De andre DCs oppfylte automatiseringsforespørsler.
men folk innså raskt at hvis master DC går ned, kunne ingen endringer gjøres i det hele tatt før den var oppe igjen. Microsoft måtte tenke nytt.
løsningen de kom opp med var å skille DC-ansvaret i mange roller. På den måten, hvis en Av DCs går ned, kan en annen ta over den manglende rollen. Dette er Kjent Som Fleksibel Single Master Operation (også kjent SOM FSMO Eller Fsmo Roller).
Få Den Gratis Veiledningen for Å Holde Active Directory Sikker
Takk For Nedlasting.
vennligst sjekk e-posten din (inkludert spam-mappen) for en link til whitepaper!
De 5 Fsmo-Rollene
Et Fullt Active Directory-system er delt inn i fem separate fsmo-roller. De 5 fsmo-rollene er som følger:
- Relativ ID (RID) Master
- PRIMÆR Domenekontroller (PDC) Emulator
- Infrastruktur Master
- Domain Naming Master
- Schema Master
Schema Masters og Domain Naming Masters er begrenset til en Per skog, mens resten er begrenset til en per domene.
de 5 Fsmo-Rollene I Active Directory
Relativ ID (RID) Master
hvis du vil opprette et sikkerhetsprinsipp, vil du sannsynligvis legge til tilgangstillatelser til det. Du kan ikke gi disse tillatelsene basert på navnet på en bruker eller gruppe fordi det kan endres. I stedet knytter du dem til en unik sikkerhets-ID (sid). En del av den unike identifikatoren kalles relativ ID (RID). FOR å forhindre at to objekter har samme SID, behandler EN RID-Hovedbehandler rid-utvalgsforespørsler fra DCs innenfor et enkelt domene og sikrer at HVERT SID er unikt.
PRIMÆR Domenekontroller (PDC) Emulator
Dette er den mest autoritative DC i domenet. ROLLEN TIL DENNE DC er å svare på godkjenningsforespørsler, administrerte passordendringer og administrerer Gruppepolicyobjekter (GPO). Brukere kan ikke engang endre sine passord uten godkjenning AV PDC Emulator. Det er en mektig posisjon!
Infrastructure Master
denne kontrolleren forstår den generelle IT-infrastrukturen i organisasjonen, inkludert hvilke objekter som finnes. Infrastructure master oppdaterer objektreferanser på lokalt nivå og sørger også for at den er oppdatert i kopier av andre domener. Det gjør dette gjennom unike identifikatorer, for eksempel SIDs.
Domain Naming Master
DENNE DC sikrer bare at Du ikke kan opprette et annet domene i samme skog med samme navn.
Schema Master
DENNE DC har en lese-skrive-kopi av ANNONSESKJEMAET. Skjema er i hovedsak alle attributter knyttet til et objekt(passord, roller, betegnelser, etc.). Så, hvis du trenger å endre en rolle på et brukerobjekt, må du gjøre det gjennom Skjemamalen.
5 Fsmo Roller: Pålitelighet Og Tilgjengelighet
de 5 Fsmo Roller er kritisk viktig som de går hånd i hånd med sikkerheten Til Active Directory. Domenekontrollere må derfor være online når tjenestene trengs. Heldigvis, avhengig AV FSMO-rollen, kan dette ikke være så ofte. For eksempel må dc bare være tilkoblet under oppdateringen for skjemamaler. PDC må imidlertid være online og tilgjengelig til enhver tid. Av den grunn må du gjøre de nødvendige trinnene for å sikre at PDC-emulatoren ikke faller over.
hvis du befinner deg i et scenario der EN av fsmo-rollene ikke er tilgjengelige (for eksempel PDC-emulatoren), må du handle raskt for å få ALLE dine fsmo-roller tilbake i gang igjen. Hvis du vet at en BESTEMT FSMO-rolle skal gjennomgå planlagt vedlikehold, bør DU overføre FSMO-rollen til en annen DC. Hvis det verste skulle skje, og DIN FSMO-rolle krasjer, kan DU alltid gripe FSMO-rollen til en annen domenekontroller som en siste utvei.
Det er helt avgjørende at Du proaktivt og kontinuerlig overvåker Active Directory-sikkerhet for å forhindre insider-trusler, privilegiemisbruk og brute force-angrep. Usikker på hvordan du gjør dette? Ta kontakt med oss i dag og se hvordan Lepide hjelper med å overvåke OG sikre ANNONSEN.