o Active Directory (AD) é praticamente o domínio de autenticação de serviços para empresas em todo o mundo e tem sido desde a sua criação no Windows 2000 Server.
naquela época, o anúncio era bastante inseguro e tinha algumas falhas que o tornavam particularmente difícil de usar. Por exemplo, se você tivesse vários controladores de domínio (DCS), eles competiriam por permissões para fazer alterações. Isso significava que você poderia estar fazendo mudanças e às vezes elas simplesmente não passariam.
quais são as funções do FSMO no Active Directory
nas últimas décadas, a Microsoft introduziu vários aprimoramentos, patches e atualizações que melhoraram drasticamente a funcionalidade, a confiabilidade e a segurança do anúncio. Uma dessas mudanças foi ir em direção a um” modelo mestre único ” para AD, onde um DC poderia fazer alterações no domínio. Os outros DCs atenderam às solicitações de automação.
no entanto, as pessoas rapidamente perceberam que, se o master DC caísse, nenhuma alteração poderia ser feita até que ele voltasse a subir. Então, a Microsoft teve que repensar.
a solução que eles criaram foi separar as responsabilidades do DC em vários papéis. Dessa forma, se um dos DCs cair, outro pode assumir o papel que falta. Isso é conhecido como operação mestre única flexível (também conhecida como funções FSMO ou FSMO).
Obter Gratuitamente o Guia para Manter o Active Directory Seguro
Obrigado por Baixar.
por favor, verifique o seu e-mail (incluindo pasta de spam) para um link para o whitepaper!
as 5 funções FSMO
um sistema completo do Active Directory é dividido em cinco funções FSMO separadas. Os 5 funções FSMO são como segue:
- ID Relativo (RID) Master
- Controlador de Domínio Primário (PDC) do Emulador
- Mestre de Infra-estrutura
- Mestre de Nomeação de Domínio
- Mestre de Esquema
Esquema de Mestrado e de atribuição de nomes de Domínio Mestres são limitadas a uma por floresta, enquanto o resto são limitadas a uma por domínio.
As 5 Funções FSMO no Active Directory
ID Relativo (RID) Master
Se você deseja criar um princípio de segurança que você provavelmente deseja adicionar permissões de acesso a ele. Você não pode conceder essas permissões com base no nome de um usuário ou grupo porque isso pode mudar. Em vez disso, você os associa a um ID de segurança exclusivo (SID). Parte desse identificador exclusivo é conhecido como ID relativo (RID). Para evitar que dois objetos tenham o mesmo SID, um mestre RID processa solicitações de pool RID de DCs dentro de um único domínio e garante que cada SID seja único.
emulador de controlador de domínio primário (PDC)
este é o DC mais autoritário do domínio. A função deste DC é responder a solicitações de autenticação, alterações de senha gerenciadas e gerenciar objetos de Diretiva de grupo (GPO). Os usuários não podem nem alterar suas senhas sem a aprovação do emulador PDC. É uma posição poderosa!
Infrastructure Master
este controlador entende A infraestrutura geral de TI na organização, incluindo quais objetos estão presentes. O mestre de infraestrutura atualiza referências de objetos em um nível local e também garante que ele esteja atualizado nas cópias de outros domínios. Ele faz isso por meio de identificadores exclusivos, como SIDs.
Domain Naming Master
este DC simplesmente garante que você não é capaz de criar um segundo domínio na mesma floresta com o mesmo nome.
Schema Master
este DC contém uma cópia de leitura e gravação do seu esquema de anúncio. O esquema é essencialmente todos os atributos associados a um objeto (senhas, funções, designações, etc.). Portanto, se você precisar alterar uma função em um objeto de usuário, terá que fazê-lo por meio do mestre de esquema.
5 funções FSMO: confiabilidade e Disponibilidade
as 5 funções FSMO são extremamente importantes à medida que andam de mãos dadas com a segurança do seu Active Directory. Os controladores de domínio, portanto, precisam estar online no momento em que os Serviços são necessários. Felizmente, dependendo da função FSMO, isso pode não ser tão frequente. Para o schema master, por exemplo, o DC só precisa estar online durante a atualização. O PDC, no entanto, precisará estar online e acessível o tempo todo. Por esse motivo, você precisa fazer as etapas necessárias para garantir que o emulador PDC não caia.
se você se encontrar em um cenário em que uma das funções do FSMO não está disponível (por exemplo, o emulador PDC), você precisa agir rapidamente para fazer com que todas as suas funções do FSMO voltem a funcionar. Se você sabe que uma determinada função FSMO vai passar por manutenção programada, você deve transferir a função FSMO para um DC diferente. Se o pior ocorrer e sua função FSMO travar, você sempre poderá aproveitar a função FSMO para outro controlador de domínio como último recurso.
é absolutamente vital que você esteja monitorando proativa e continuamente a segurança do Active Directory para evitar ameaças internas, abuso de privilégios e ataques de Força bruta. Não tem certeza sobre como fazer isso? Entre em contato conosco hoje e veja como o Lepide ajuda a monitorar e proteger anúncios.