Active Directory (AD) jest w zasadzie usługą uwierzytelniania domen dla przedsiębiorstw na całym świecie i od samego początku działa w systemie Windows Server 2000.
wtedy reklama była dość niezabezpieczona i miała pewne wady, które szczególnie utrudniały korzystanie z niej. Na przykład, jeśli masz wiele kontrolerów domeny (DC), będą one konkurować o uprawnienia do wprowadzania zmian. Oznaczało to, że można wprowadzać zmiany, a czasami po prostu nie przejść.
jakie są role FSMO w usłudze Active Directory
w ciągu ostatnich kilku dekad firma Microsoft wprowadziła liczne ulepszenia, poprawki i aktualizacje, które drastycznie poprawiły funkcjonalność, niezawodność i bezpieczeństwo reklam. Jedną z takich zmian było skierowanie się w stronę „modelu pojedynczego Mistrza” dla reklamy, w którym jedno DC mogło wprowadzić zmiany w domenie. Pozostałe DCs spełniły żądania automatyzacji.
jednak ludzie szybko zdali sobie sprawę, że jeśli master DC upadnie, nie można wprowadzić żadnych zmian, dopóki nie zostanie ponownie uruchomiony. Microsoft musiał więc to przemyśleć.
rozwiązaniem, które wymyślili, było rozdzielenie obowiązków DC na liczne role. W ten sposób, jeśli jeden z DCs upadnie, inny może przejąć brakującą rolę. Jest to znane jako elastyczna operacja pojedynczego mistrza (znana również jako role FSMO lub FSMO).
Pobierz bezpłatny przewodnik dotyczący bezpieczeństwa usługi Active Directory
dzięki za pobranie.
sprawdź swoją pocztę (w tym folder spam), aby znaleźć link do białej księgi!
5 ról FSMO
pełny system Active Directory jest podzielony na pięć oddzielnych ról FSMO. Te 5 ról FSMO są następujące:
- Relative ID (RID) Master
- Emulator głównego kontrolera domeny (PDC)
- Mistrz infrastruktury
- Mistrz nazwy domeny
- Mistrz schematu
Mistrz schematu i mistrz nazwy domeny są ograniczone do jednego na las, podczas gdy reszta jest ograniczona do jednego na domenę.
5 ról FSMO w Active Directory
relative ID (RID) Master
jeśli chcesz utworzyć zasadę bezpieczeństwa, prawdopodobnie będziesz chciał dodać do niej uprawnienia dostępu. Nie można przyznać tych uprawnień na podstawie nazwy użytkownika lub grupy, ponieważ może to ulec zmianie. Zamiast tego można je powiązać z unikalnym identyfikatorem zabezpieczeń (Sid). Część tego unikalnego identyfikatora jest znana jako względne ID (RID). Aby zapobiec dwóm obiektom mającym ten sam SID, Mistrz RID przetwarza żądania puli RID z DCs w obrębie jednej domeny i zapewnia, że każdy SID jest unikalny.
Emulator głównego kontrolera domeny (PDC)
jest to najbardziej autorytatywny DC w domenie. Rolą tego DC jest reagowanie na żądania uwierzytelniania, zarządzane zmiany haseł i zarządzanie obiektami zasad grupy (GPO). Użytkownicy nie mogą nawet zmienić swoich haseł bez zgody emulatora PDC. To potężna pozycja!
Infrastructure Master
ten kontroler rozumie ogólną infrastrukturę IT w organizacji, w tym obecne obiekty. Mistrz infrastruktury aktualizuje odwołania do obiektów na poziomie lokalnym, a także upewnia się, że są one aktualne w kopiach innych domen. Robi to za pomocą unikalnych identyfikatorów, takich jak SIDs.
Mistrz nazewnictwa domen
ten DC po prostu zapewnia, że nie jesteś w stanie utworzyć drugiej domeny w tym samym lesie o tej samej nazwie.
Mistrz schematu
ten DC posiada kopię do odczytu i zapisu twojego schematu reklam. Schema to zasadniczo wszystkie atrybuty związane z obiektem (hasła, role, oznaczenia itp.). Tak więc, jeśli chcesz zmienić rolę na obiekcie użytkownika, musisz to zrobić za pomocą wzorca schematu.
5 ról FSMO: niezawodność i dostępność
pięć ról FSMO jest niezwykle ważnych, ponieważ idą w parze z bezpieczeństwem usługi Active Directory. Dlatego kontrolerzy domeny muszą być online w czasie, gdy potrzebne są usługi. Na szczęście, w zależności od roli FSMO, może to nie być tak często. Dla wzorca schematu, na przykład, DC musi być tylko online podczas aktualizacji. PDC będzie jednak musiało być dostępne przez cały czas w Internecie. Z tego powodu należy wykonać niezbędne kroki, aby upewnić się, że emulator PDC nie przewróci się.
jeśli znajdziesz się w sytuacji, w której jedna z ról FSMO jest niedostępna (na przykład emulator PDC), musisz działać szybko, aby przywrócić wszystkie role FSMO. Jeśli wiesz, że dana rola FSMO zostanie poddana zaplanowanej konserwacji, powinieneś przenieść rolę FSMO do innego DC. Jeśli wystąpi najgorsze i rola FSMO ulegnie awarii, zawsze możesz przejąć rolę FSMO do innego kontrolera domeny w ostateczności.
aktywne i ciągłe monitorowanie bezpieczeństwa usługi Active Directory jest absolutnie niezbędne, aby zapobiec zagrożeniom wewnętrznym, nadużyciom uprawnień i atakom typu brute force. Nie jesteś pewien, jak to zrobić? Skontaktuj się z nami już dziś i zobacz, jak Lepide pomaga monitorować i zabezpieczać reklamy.