Active Directory (AD) is vrijwel de go-to domein authenticatie diensten voor bedrijven over de hele wereld en is sinds haar oprichting in Windows Server 2000.
toen was AD vrij onbeveiligd en had het een aantal fouten die het bijzonder moeilijk maakten om te gebruiken. Als u bijvoorbeeld meerdere domeincontrollers (DC ‘ s) had, zouden deze concurreren om machtigingen om wijzigingen aan te brengen. Dit betekende dat je kon het maken van veranderingen en soms zouden ze gewoon niet door te gaan.
wat zijn FSMO-rollen in Active Directory
de afgelopen decennia heeft Microsoft talrijke verbeteringen, patches en updates geïntroduceerd die de functionaliteit, betrouwbaarheid en beveiliging van advertenties drastisch hebben verbeterd. Een dergelijke verandering was om te gaan naar een “single Master Model” voor advertentie waar een DC wijzigingen aan het domein kon maken. De andere DCs voldeed aan automatiseringsverzoeken.
echter, mensen realiseerden zich al snel dat als de master DC uitvalt, er helemaal geen wijzigingen konden worden aangebracht totdat het weer aan de gang was. Dus, Microsoft moest heroverwegen.
de oplossing die zij bedachten was de verantwoordelijkheden van de DC in talrijke rollen te verdelen. Op die manier, als een van de DCs neergaat, kan een andere de ontbrekende rol overnemen. Dit staat bekend als flexibele Single Master operatie (ook bekend als FSMO of FSMO rollen).
download de gratis Gids Voor het beveiligen van Active Directory
Bedankt voor het downloaden.
controleer uw e-mail (inclusief spammap) voor een link naar het whitepaper!
de 5 FSMO-rollen
een volledig Active Directory-systeem is opgesplitst in vijf afzonderlijke FSMO-rollen. Deze 5 FSMO rollen zijn als volgt:
- Relative ID (RID) Master
- Primary Domain Controller (PDC) Emulator
- Infrastructure Master
- Domain Name Master
- Schema Master
Schema Masters en Domain Name Masters zijn beperkt tot één per forest, terwijl de rest beperkt is tot één per domein.
de 5 FSMO-rollen in Active Directory
Relative ID (RID) Master
Als u een beveiligingsprincipe wilt maken, wilt u er waarschijnlijk toegangsrechten aan toevoegen. U kunt deze machtigingen niet verlenen op basis van de naam van een gebruiker of groep, omdat dit kan veranderen. In plaats daarvan associeer je ze met een unieke security ID (SID). Een deel van die unieke identificatiecode staat bekend als de relatieve ID (rid). Om te voorkomen dat twee objecten dezelfde SID hebben, verwerkt een RID-Master RID-poolaanvragen van DCs binnen één domein en zorgt hij ervoor dat elke SID uniek is.
primaire domeincontroller (PDC) Emulator
dit is de meest gezaghebbende DC in het domein. De rol van deze DC is om te reageren op verificatieaanvragen, beheerde wachtwoordwijzigingen en groepsbeleidsobjecten (GPO) te beheren. Gebruikers kunnen zelfs hun wachtwoorden niet wijzigen zonder de goedkeuring van de PDC Emulator. Het is een krachtige positie!
Infrastructure Master
deze controller begrijpt de totale IT-infrastructuur in de organisatie, inclusief welke objecten er aanwezig zijn. De infrastructure master werkt objectverwijzingen op lokaal niveau bij en zorgt er ook voor dat deze up-to-date zijn in de kopieën van andere domeinen. Het doet dit door middel van unieke identifiers, zoals Sid ‘ s.
Domain Naming Master
deze DC zorgt er gewoon voor dat u niet in staat bent om een tweede domein aan te maken in hetzelfde forest met dezelfde naam.
Schema Master
deze DC bevat een read-write kopie van uw AD schema. Schema is in wezen alle attributen geassocieerd met een object (wachtwoorden, rollen, aanduidingen, enz.). Dus, als u een rol op een gebruikersobject moet wijzigen, moet u dit doen via de Schema-Master.
5 FSMO-rollen: betrouwbaarheid en beschikbaarheid
de 5 FSMO-rollen zijn van cruciaal belang omdat ze hand in hand gaan met de beveiliging van uw Active Directory. De domeincontrollers moeten daarom online zijn op het moment dat de services nodig zijn. Gelukkig, afhankelijk van de FSMO rol, dit kan niet zo vaak. Voor schema master, bijvoorbeeld, de DC hoeft alleen online te zijn tijdens de update. De PDC moet echter altijd online en toegankelijk zijn. Om die reden, je nodig hebt om de nodige stappen om ervoor te zorgen dat de PDC emulator niet omvalt maken.
als u zich in een scenario bevindt waarin een van de FSMO-rollen niet beschikbaar is (bijvoorbeeld de PDC-emulator), moet u snel handelen om al uw FSMO-rollen weer aan de praat te krijgen. Als u weet dat een bepaalde FSMO-rol gepland onderhoud gaat ondergaan, moet u de FSMO-rol overbrengen naar een andere DC. Als het ergste zou moeten gebeuren, en uw FSMO rol crasht, kunt u altijd grijpen de FSMO rol naar een andere domeincontroller als laatste redmiddel.
het is absoluut noodzakelijk dat u de Active Directory-beveiliging proactief en continu controleert om insiderbedreigingen, misbruik van privileges en brute force-aanvallen te voorkomen. Onzeker over hoe dit te doen? Neem vandaag nog contact met ons op en zie hoe Lepide helpt bij het monitoren en beveiligen van advertenties.