Pas toujours facile de se rappeler à quoi peut bien servir chaque rôle FSMO qui compose un domaine Active Directory ?
Je vous propose cet aperçu sur l’utilité de chaque rôle FSMO.
FSMO signifie Flexible Single Master Operation, nous y retrouvons 5 rôles au total:
FSMO |
Emplacement |
Rôle |
Maître d’attribution des noms de domaine | Unique au sein d’une forêt | Inscription de domaines dans la forêt |
Contrôleur de schéma | Unique au sein d’une forêt | Gère la modification du schéma Active Directory |
Maître RID | Unique au sein d’un domaine | Distribue des plages RID pour les SIDs |
Maître d’infrastructure | Unique au sein d’un domaine | Gère le déplacement des objets |
Emulateur CPD | Unique au sein d’un domaine | Garantie une compatiblité avec les anciens systèmes |
- Maître d’attribution des noms de domaine :
Le maître d’opération est unique dans une forêt, il se charge de contrôler l’ajout ou la suppression de domaines dans la forêt.
Il est le seul contrôleur de domaine capable d’ajouter un nouveau domaine.
Si jamais ce serveur se retrouve injoignable alors il vous sera impossible d’ajouter ou de supprimer un domaine.
- Contrôleur de schéma :
Le contrôleur de schéma intervient lors d’une mise à jour, d’une modification d’un objet de l’Active Directory. Il est le seul contrôleur de domaine apte à modifier le schéma Active Directory. C’est donc pour cela qu’il est conseillé de ne mettre qu’un seul contrôleur de schéma, afin d’éviter les conflits de mise à jour simultanée du schéma.
Le contrôleur de schéma rempli 4 fonctions au sein d’une forêt Active Directory
- Il contrôle les mises à jour apportées au schéma.
- Il contient la liste des classes d’objets et des attributs utilisés pour la création d’objet dans Active Directory.
- Il réplique les mises à jour apportées au schéma sur tous les autres contrôleurs de domaine de la forêt via la partition de schéma.
- Il autorise uniquement les administrateurs du schéma à modifier le schéma.
- Maitre RID :
Le contrôleur de domaine possédant le rôle de maître RID, ou maître des identificateurs relatifs se charge d’allouer des blocs d’identificateurs relatifs à chaque contrôleur de domaine du domaine.
Nous retrouvons sur chaque contrôleur de domaine un pool RID unique à attribuer aux nouveaux objets créés.
Lorsque le contrôleur épuise son pool RID, il fait une demande au contrôleur qui est maître RID afin que celui-ci lui alloue une nouvelle plage d’identificateurs.
Si le maître RID est injoignable et que le pool est épuisé sur un contrôleur, alors il sera impossible de créer d’objet sur ce serveur contrôleur en question.
- Maître d’infrastructure :
Active Directory utilise des objets appelés « objets fantômes », afin de référencer les utilisateurs de domaines différents. Ces objets ne peuvent être observés par aucuns outils d’exploration LDAP.
Ils sont identifiés par le nom unique, le SID, le GUID.
Lorsque l’on ajoute un membre d’un domaine différent dans un groupe, le contrôleur de domaine local qui contient le groupe crée cet objet fantôme pour l’utilisateur étranger.
Si le nom de cet utilisateur est modifié, ou bien supprimer, l’objet fantôme doit être mis à jour ou bien supprimé du groupe sur tous les contrôleurs de domaine du domaine contenant cette référence. C’est le rôle du maître d’infrastructure.
- Emulateur CPD :
Lors de l’installation d’un nouveau domaine, le premier contrôleur de domaine endosse le rôle d’émulateur PDC (Primary Domain Controller). Ce rôle est particulièrement important au bon fonctionnement de chaque domaine de la forêt.
Il ne peut exister qu’un seul émulateur PDC au sein d’un domaine.
Le maître émulateur PDC assure 4 fonctions au sein d’un domaine Active Directory :
- Il permet la compatibilité avec des contrôleurs de domaine du type Windows NT et réplique les mises à jour à destination des contrôleurs secondaire de domaine NT (Backup DomainController).
- La gestion du verrouillage des comptes utilisateurs et du changement des mots de passe.
- Les mécanismes de synchronisation horaire sur tous les contrôleurs de domaine du domaine
- Il est utilisé pour réaliser les modifications des stratégies de groupe du domaine (Groupe Policy Object) afin d’interdire toute possibilité d’écrasement et de conflit.