Active Directory (AD) este destul de mult du-te-la serviciile de autentificare domeniu pentru întreprinderile din întreaga lume și a fost încă de la începuturile sale în Windows Server 2000.
pe atunci, AD era destul de nesigur și avea unele defecte care îl făceau deosebit de dificil de utilizat. De exemplu, dacă ați avea mai multe controlere de domeniu (DCs), acestea ar concura peste permisiuni pentru a face modificări. Acest lucru a însemnat că ați putea face schimbări și, uneori, pur și simplu nu ar trece prin.
care sunt rolurile FSMO în Active Directory
în ultimele decenii, Microsoft a introdus numeroase îmbunătățiri, corecții și actualizări care au îmbunătățit drastic funcționalitatea, fiabilitatea și securitatea anunțurilor. O astfel de schimbare a fost să ne îndreptăm către un „Model Master unic” pentru AD, unde un DC ar putea face modificări domeniului. Celelalte DCs au îndeplinit cererile de automatizare.
cu toate acestea, oamenii și-au dat seama rapid că, dacă master DC se prăbușește, nu se pot face modificări până când nu se va întoarce din nou. Deci, Microsoft a trebuit să regândească.
soluția cu care au venit a fost să separe responsabilitățile DC în numeroase roluri. În acest fel, dacă unul dintre DCs coboară, altul poate prelua rolul lipsă. Aceasta este cunoscută sub numele de operațiune Master unică flexibilă (cunoscută și sub numele de roluri FSMO sau FSMO).
obțineți ghidul gratuit pentru păstrarea securității Active Directory
Vă mulțumim pentru descărcarea.
vă rugăm să verificați e-mailul (inclusiv dosarul spam) pentru un link către whitepaper!
cele 5 roluri FSMO
un sistem complet Active Directory este împărțit în cinci roluri FSMO separate. Aceste 5 roluri FSMO sunt după cum urmează:
- Id relativ (RID) Master
- emulator controler de domeniu primar (PDC)
- Master infrastructură
- Master Denumire domeniu
- Master schemă
masterat schemă și masterat Denumire domeniu sunt limitate la unul pe pădure, în timp ce restul sunt limitate la unul pe domeniu.
cele 5 roluri FSMO din Active Directory
Id relativ (RID) Master
dacă doriți să creați un principiu de securitate, probabil că veți dori să adăugați permisiuni de acces la acesta. Nu puteți acorda aceste permisiuni pe baza numelui unui utilizator sau grup, deoarece acest lucru se poate schimba. În schimb, le asociați cu un ID de securitate unic (Sid). O parte din acel identificator unic este cunoscut sub numele de ID-ul relativ (RID). Pentru a preveni două obiecte care au același SID, un Master rid procesează cererile rid pool de la DCs într-un singur domeniu și se asigură că fiecare SID este unic.
emulator de controler de domeniu primar (PDC)
acesta este cel mai autoritar DC din domeniu. Rolul acestui DC este de a răspunde la cererile de autentificare, de a gestiona modificările parolei și de a gestiona obiectele de politică de grup (GPO). Utilizatorii nici măcar nu își pot schimba parolele fără aprobarea emulatorului PDC. Este o poziție puternică!
Infrastructure Master
acest controler înțelege infrastructura IT globală din organizație, inclusiv ce obiecte sunt prezente. Comandantul infrastructurii actualizează referințele obiectelor la nivel local și, de asemenea, se asigură că este actualizat în copiile altor domenii. Face acest lucru prin identificatori unici, cum ar fi SIDs.
Domain Naming Master
acest DC vă asigură pur și simplu că nu puteți crea un al doilea domeniu în aceeași pădure cu același nume.
Schema Master
acest DC conține o copie de citire-scriere a schemei dvs. de anunțuri. Schema este în esență toate atributele asociate unui obiect (parole, roluri, denumiri etc.). Deci, dacă trebuie să schimbați un rol pe un obiect utilizator, va trebui să o faceți prin Schema Master.
5 roluri FSMO: fiabilitate și disponibilitate
cele 5 roluri FSMO sunt extrem de importante, deoarece merg mână în mână cu securitatea Active Directory. Prin urmare, controlorii de domeniu trebuie să fie online în momentul în care sunt necesare serviciile. Din fericire, în funcție de rolul FSMO, acest lucru nu poate fi tot ceea ce de multe ori. Pentru Schema master, De exemplu, DC trebuie să fie online numai în timpul actualizării. Cu toate acestea, PDC va trebui să fie online și accesibil în orice moment. Din acest motiv, trebuie să faceți pașii necesari pentru a vă asigura că emulatorul PDC nu cade.
dacă vă aflați într-un scenariu în care unul dintre rolurile FSMO nu este disponibil (să zicem, de exemplu, emulatorul PDC), trebuie să acționați rapid pentru ca toate rolurile FSMO să funcționeze din nou. Dacă știți că un anumit rol FSMO va fi supus unei întrețineri programate, ar trebui să transferați rolul FSMO într-un DC diferit. Dacă ar trebui să apară cel mai rău și rolul dvs. FSMO se blochează, puteți oricând să profitați de rolul FSMO unui alt controler de domeniu ca ultimă soluție.
este absolut vital să monitorizați în mod proactiv și continuu securitatea Active Directory pentru a preveni amenințările din interior, abuzul de privilegii și atacurile cu forță brută. Nu sunteți sigur cum să faceți acest lucru? Luați legătura cu noi astăzi și vedeți cum Lepide ajută la monitorizarea și securizarea anunțurilor.