Skip to content
Published 22 avril 2019

Microsoft a conçu Active Directory de manière à ce que vous puissiez effectuer la plupart des opérations de configuration à partir de n’importe quel contrôleur de domaine car il y a de très fortes chances que vous ayez plusieurs contrôleurs de domaine. De ce fait, tous les contrôleurs de domaine disposent d’un accès en écriture sur l’annuaire.

A noter

Les services de domaine Active Directory (AD DS) prennent en charge la réplication multi maitre de données d'annuaire, ce qui signifie que tout contrôleur de domaine peut accepter les modifications d'annuaire et les répliquer sur tous les autres contrôleurs de domaine.

Cependant, certaines tâches sont plus sensibles que d’autres, et il serait dangereux d’autoriser la modification de certaines données sur deux contrôleurs de domaine différents, en même temps. Pour minimiser les risques de conflits, certaines modifications des fonctions internes à l’annuaire Active Directory sont limitées à des contrôleurs de domaine spécifiques, appelés serveurs FSMO (Flexible Single Master Operations) ou simplement maîtres d’opérations (les maitres d’Operations Le maitre d’opération est le contrôleur de domaine qui détient un ou plusieurs rôles FSMO.

On dit qu’un contrôleur de domaine Détient un rôle, lorsqu’il est capable de réaliser une action particulière au sein de l’annuaire. Il ne peut pas y avoir plusieurs maîtres d’opérations pour le même rôle FSMO, au sein d’un domaine ou d’une forêt.

Depuis Windows Server 2000, Microsoft a intégré la notion de rôle FSMO au sein d’un environnement Active Directory. On compte cinq différents rôles FSMO ayant chacun un objectif précis. 3 de ces rôles (IM- RID-Emulateur PDC) sont situés à la racine de chaque domaine et les 2 restant (SM- DNM) sont situés à la racine de la foret.

Dans ce blog post, nous allons voir chacun de ces cinq rôles en détail.

Schema master (SM)

Domain naming master (DNM)

PDC emulator

Infrastructure master (IM)

RID master

I. Maître de schéma

Il s’agit d’une base de données de configuration qui décrit tous les types d’objet et de fonction disponibles dans la forêt Active Directory, il contient la seule copie accessible en écriture du schéma Active Directory (le seul contrôleur de domaine qui a les droits d’écritures sur le schéma AD). Il gère l’ensemble des mises à jour et modifications du schéma. Il assure également les réplications sur l’ensemble des contrôleurs de domaines.

Il est unique au sein d’une forêt et gère la structure du schéma.

Pour modifier le schéma, vous devez être membre du groupe Administrateurs de schéma. Par défaut le premier administrateur du premier contrôleur de domaine que vous avez créé dans votre structure Active Directory est le seul administrateur de schéma et c’est la seule personne par défaut qui peut modifier le schéma.

Pour afficher le schéma à l’aide de la console MMC, vous devez activer le fichier .dll en exécutant la commande regsvr32 schmmgmt.dll à partir d’une invite de commande.

regsvr32 schmmgmt.dll

Un seul contrôleur de domaine de la forêt détient ce rôle.

Pour rappel le schéma désigne la structure de l’annuaire Active Directory, il est donc un élément critique au sein de l’environnement Active Directory.

II. Maître d’attribution des noms de domaine

Il est unique au sein d’une forêt et attribue les noms de domaine.il est le seul autorisé à distribuer des noms de domaine aux contrôleurs de domaine, lors de la création d’un nouveau domaine.

Ce serveur doit être en ligne lors de l’ajout ou de la suppression d’un domaine dans une forêt.

Un seul contrôleur de domaine dans la forêt tient ce rôle. Il contrôle les ajouts et suppressions de domaines dans la forêt. S’il n’est pas disponible, aucun ajout ou suppression de domaine ne sera possible. En conséquence, un serveur de secours avec une réplication directe de maître à partenaire est nécessaire. Il a également pour mission de renommer les noms de domaine

III. Émulateur PDC

L’émulateur PDC (Primary Domain Controller) est unique au sein d’un domaine et Assure la compatibilité avec les contrôleurs de domaine Windows NT, tels que les ordinateurs clients Windows NT 4.0, s’authentifiant auprès du domaine.

Aujourd’hui, l’émulateur PDC gère les opérations de connexion des clients hérités et de maintenance des annuaires, notamment les modifications d’objet ou même les modifications de mot de passe.

Une fonction plus actuelle et critique pour ce rôle consiste à agir en tant que maître de synchronisation temporelle pour synchroniser l’heure sur les contrôleurs de domaine restants du domaine.

Un contrôleur de domaine dans chaque domaine détient ce rôle. Si vous envisagez une maintenance sur ce serveur, vous pouvez envisagez de transférer le rôle d’émulateur PDC vers un autre contrôleur de domaine du domaine à l’aide de ntdsutil.exe. Il est unique au sein d’un domaine

IV. Maître d’infrastructure

Unique au sein d’un domaine, le contrôleur de domaine qui dispose du rôle de Maître d’infrastructure a pour objectif de gérer les références entre plusieurs objets. Met à jour les références dans son domaine à partir d’objets tels que appartenances à un groupe de domaine à des objets situés dans d’autres domaines. Si vous ajoutez des utilisateurs d’autres domaines dans un groupe de votre domaine, vous remarquerez peut-être qu’à l’origine, le SID du compte d’utilisateur est affiché dans le groupe.

Ce serveur traite les modifications dans les objets de la forêt reçus des serveurs de catalogue global et réplique les modifications apportées aux autres contrôleurs de domaine de son domaine. Un contrôleur de domaine dans chaque domaine détient ce rôle.

Supposons qu’un utilisateur d’un domaine 1 soit ajouté au sein d’un groupe du domaine 2. Le contrôleur de domaine « Maître d’infrastructure » deviendra responsable de cette référence et devra s’assurer de la réplication de cette information sur tous les contrôleurs de domaine du domaine.

En d’autres termes, il facilite les processus de communication entre les contrôleurs de domaine.

V. Maître RID

Lorsque nous créons un objet dans Active Directory et si cet objet est un objet basé sur la sécurité, L’objet obtient ce qu’on appelle un SID ou identifiant de sécurité. Alors maintenant, lorsque cet objet va accéder à une ressource Active Directory ou va accéder à une ressource sur une machine dans l’environnement.

Nous vérifions le jeton d’accès pour vérifier que cet objet, SID, a été ajouté à la liste d’accès, puis des autorisations, des privilèges et des droits me sont attribués.

Donc, ce qui se passe est que, lorsque je crée l’objet, celui-ci reçoit un SID. Le SID est composé de 2 composants. Un domaine SID et RID.

Le maitre RID permet d’associer un SID à un ensemble de machine pour faire la gestion des différents objets de l’Active Directory.

Il est unique au sein d’un domaine et attribue des blocs de RID aux contrôleurs de domaine pour assurer que les SID des objets soient uniques.

VI. La gestion des maîtres d’opération

Par défaut, le premier contrôleur de domaine du domaine détient les cinq rôles FSMO, par faute de choix. Cependant, il est possible de transférer les rôles si vous souhaitez les répartir entre plusieurs contrôleurs de domaine.

Pour transférer un rôle d’un contrôleur de domaine vers un autre, on pourra utiliser l’interface graphique de Windows ou encore l’utilitaire « ntdsutil ».

Ntdsutil.exe est un outil de ligne de commande utilisé pour gérer le domaine Active Directory.

Les Administrateurs devraient prendre des précautions lors de l’utilisation de Ntdsutil. Ntdsutil.exe est le plus couramment utilisé dans les situations suivantes:

■ Effectuer la maintenance de la base de données.

■ Effectuer des restaurations faisant autorité d’objets supprimés.

■ Modifier virtuellement n’importe quel attribut d’un objet de la base de données.

■ Gérer et modifier les rôles FSMO. Cela peut inclure le transfert des rôles FSMO entre les serveurs en ligne ou de saisir des rôles si un CD contenant un ou plusieurs rôles échouent de manière inattendue. Prendre des rôles vous permettra de forcer un DC spécifique à posséder un rôle FSMO spécifique.

QUELQUES COMMANDES UTILES
netdom query fsmo
ntdsutil
ntdsutil
NOTE. Sans les maîtres d'opérations en fonctionnement, un administrateur ne pourra pas

Promouvoir des serveurs supplémentaires en tant que contrôleurs de domaine.

One Comment

  1. Un tuto hyper interessant pour la gestion d’une infrastructure Active directory

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *