Active Directory (AD) är ganska mycket go-to domänautentiseringstjänster för företag över hela världen och har varit sedan starten i Windows Server 2000.
då var annonsen ganska osäker och hade några brister som gjorde det särskilt svårt att använda. Om du till exempel hade flera domänkontrollanter (DCs) skulle de tävla om behörigheter för att göra ändringar. Detta innebar att du kunde göra förändringar och ibland skulle de helt enkelt inte gå igenom.
vad är FSMO-roller i Active Directory
under de senaste decennierna har Microsoft introducerat många förbättringar, korrigeringar och uppdateringar som drastiskt har förbättrat ANNONSFUNKTIONALITET, tillförlitlighet och säkerhet. En sådan förändring var att gå mot en” single Master Model ” för AD där en DC kunde göra ändringar i domänen. De andra DCs uppfyllde automatiseringsförfrågningar.
men folk insåg snabbt att om master DC går ner, kunde inga ändringar göras alls förrän det var tillbaka igen. Så, Microsoft var tvungen att tänka om.
lösningen de kom fram till var att separera DC: s ansvar i många roller. På det sättet, om en av DCs går ner, kan en annan ta över den saknade rollen. Detta är känt som Flexibel single Master Operation (även känd som FSMO eller FSMO roller).
få gratis Guide för att hålla Active Directory säker
Tack för nedladdning.
kontrollera din e – post (inklusive spam mapp) för en länk till whitepaper!
de 5 FSMO-rollerna
ett fullständigt Active Directory-system är uppdelat i fem separata FSMO-roller. De där 5 FSMO roller är som följer:
- relativ ID (RID) mästare
- primär domänkontrollant (PDC) Emulator
- Infrastrukturmästare
- Domännamnmästare
- Schemamaster
Schemamaster och Domännamnmästare är begränsade till en per skog, medan resten är begränsade till en per domän.
de 5 FSMO-rollerna i Active Directory
Relative ID (RID) Master
om du vill skapa en säkerhetsprincip kommer du förmodligen att vilja lägga till åtkomstbehörigheter till den. Du kan inte bevilja dessa behörigheter baserat på namnet på en användare eller grupp eftersom det kan ändras. Istället associerar du dem med ett unikt Säkerhets-ID (SID). En del av den unika identifieraren kallas relative ID (RID). För att förhindra att två objekt har samma SID, bearbetar en RID-mästare rid-poolförfrågningar från DCs inom en enda domän och säkerställer att varje SID är unikt.
primär domänkontrollant (PDC) Emulator
Detta är den mest auktoritativa DC i domänen. Rollen för denna DC är att svara på autentiseringsförfrågningar, hanterade lösenordsändringar och hanterar grupppolicyobjekt (GPO). Användare kan inte ens ändra sina lösenord utan godkännande av PDC-emulatorn. Det är en kraftfull position!
Infrastructure Master
denna styrenhet förstår den övergripande IT-infrastrukturen i organisationen, inklusive vilka objekt som finns. Infrastrukturmästaren uppdaterar objektreferenser på lokal nivå och ser också till att den är uppdaterad i kopior av andra domäner. Det gör detta genom unika identifierare, till exempel SIDs.
Domain Naming Master
denna DC säkerställer helt enkelt att du inte kan skapa en andra domän i samma skog med samma namn.
Schemamaster
denna DC har en läs-och skrivkopia av ditt annonsschema. Schema är i huvudsak alla attribut som är associerade med ett objekt (lösenord, Roller, beteckningar etc.). Så om du behöver ändra en roll på ett användarobjekt måste du göra det via Schemamästaren.
5 FSMO-roller: tillförlitlighet och tillgänglighet
de 5 FSMO-rollerna är kritiskt viktiga eftersom de går hand i hand med säkerheten i din Active Directory. Domänkontrollanterna måste därför vara online när tjänsterna behövs. Tack och lov, beroende på FSMO-rollen, kanske det inte är så ofta. För schema master, till exempel, behöver DC bara vara online under uppdateringen. PDC måste dock vara online och tillgänglig hela tiden. Av den anledningen måste du göra nödvändiga steg för att säkerställa att PDC-emulatorn inte faller över.
om du befinner dig i ett scenario där en av FSMO-rollerna inte är tillgänglig (säg till exempel PDC-emulatorn) måste du agera snabbt för att få alla dina FSMO-roller igång igen. Om du vet att en viss FSMO-roll kommer att genomgå schemalagt underhåll, bör du överföra FSMO-rollen till en annan DC. Om det värsta skulle inträffa, och din FSMO-Roll kraschar, kan du alltid ta FSMO-rollen till en annan domänkontrollant som en sista utväg.
det är absolut nödvändigt att du proaktivt och kontinuerligt övervakar Active Directory-säkerhet för att förhindra insiderhot, missbruk av privilegier och brute force-attacker. Osäker på hur man gör detta? Kontakta oss idag och se hur Lepide hjälper till att övervaka och säkra annonser.