Le 14 septembre 2017, nous avons publié une version actualisée de notre Politique de confidentialité. En utilisant video2brain.com vous vous engagez à respecter ces documents mis à jour. Veuillez donc prendre quelques minutes pour les consulter.

Windows Server 2016 : Les stratégies de groupe et l'Active Directory

S'initier aux maîtres d'opérations FSMO

TESTEZ LINKEDIN LEARNING GRATUITEMENT ET SANS ENGAGEMENT

Tester maintenant Afficher tous les abonnements
Les maîtres d'opérations sont des contrôleurs de domaine AD ayant un rôle FSMO (Flexible Single Master Operation, maître d'opérations unique). Vous apprendrez ici qu'il y a des rôles uniques pour la forêt et d'autres pour l'intérieur d'un domaine.
05:45

Transcription

Une forêt peut se composer d'un ou de plusieurs domaines. Comme on peut voir ici, on a une forêt avec trois domaines ici. Les maîtres d'opérations, quant à eux, désignent certains types de contrôleurs de domaines dans Active Directory qui détiennent un rôle FSMO. FSMO pour Flexible Single Master Operation. Certains rôles sont uniques pour la forêt, d'autres rôles sont plus simplement uniques à l'intérieur d'un domaine. Voyons maintenant les rôles au niveau forêt. Donc, deux rôles principaux au niveau forêt, le premier, le maître de schéma, donc, lui, il gère l'ensemble des mises à jour et des modifications de schéma. Il ne peut y avoir qu'un seul maître de schéma par forêt, et les modifications ne seront effectuées qu'avec un groupe de sécurités spécifiques qui s'appelle l'Administrateur du schéma. Second rôle au niveau de la forêt, le maître d'attribution des noms, le Maître de nommage. Quant à lui, il contrôle simplement les ajouts, la suppression de domaine dans la forêt et il est également en charge de la création et ou de la suppression de relation avec des domaines externes. Enfin, il gère aussi les objets qui servent à établir le lien entre les différentes partitions et le domaine lui-même. Ensuite, au niveau de chacun des domaines, ici, chaque domaine héberge trois rôles FSMO principaux. Le premier rôle FSMO : le Maître RID, RID pour Relative Identifier. Ce rôle est chargé d'attribuer à chaque objet Active Directory : utilisateur, groupe, ordinateur, quel que soit l'objet, du moment que c'est un objet de sécurité, un identifiant unique de sécurité. Donc, de générer tout simplement un SID, un Security Identifier qui est unique. Il est structuré, ce SID, avec un numéro de révision, un identificateur de sécurité qui en théorie est l'identificateur de sécurité du domaine. Donc, c'est le domaine SID. Et enfin un RID, un Relative Identifier. Et en fait, ce maître RID va affecter des plages complètes de RID à l'ensemble des contrôleurs de domaines de son domaine. Lorsque cette plage est épuisée, une demande est effectuée auprès du Maître RID tout simplement, afin de renouveler cette plage. Attention, il ne peut y avoir qu'un seul maître RID par domaine. Encore une fois, tous les rôles FSMO sont uniques. L'Emulateur PDC, quant à lui, il est chargé de la réplication entre autre des mots de passe. Il agit aussi comme serveur de temps car il assure tout simplement la synchronisation des horloges clientes avec les différents contrôleurs de domaine, bien sûr. Et le service de temps est utilisé notamment dans le cadre de l'authentification des services d'annuaire Active Directory avec le protocole d'authentification qui s'appelle Kerberos, car Kerberos nécessite un horodatage des paquets d'authentification. Donc, il a un rôle vraiment essentiel. Il a un réel impact sur les performances d'une infrastructure Active Directory. Les simples défaillances du rôle Emulateur PDC c'est simple, pourrait entraîner carrément l'impossibilité pour les serveurs antérieurs, les serveurs NT4 par exemple, et les clients antérieurs à Windows 2000 de s'authentifier. Un arrêt de la réplication pour tous les domaines NT4, l'impossibilité de verrouiller les comptes utilisateurs, une éventuelle perte de synchronisation entre les contrôleurs de domaine, des problèmes d'authentification Kerberos entre les utilisateurs et les contrôleurs de domaine. Des problèmes pour charger ou changer ou modifier ou appliquer des stratégies de groupe. Donc, c'est vraiment un rôle essentiel, l'Emulateur PDC. Et enfin, dernier rôle que l'on retrouve au niveau de chaque domaine, le Maître d'infrastructure, donc, l'infrastructure master. Quant à lui, ce rôle, il maintient à jour l'ensemble des références d'objets entre les différents domaines. Si un utilisateur par exemple, d'un domaine X est ajouté dans un groupe d'un autre domaine, un domaine Y, ce rôle sera responsable de répliquer cette référence sur l'ensemble du domaine Y, donc, domaine cible qui contient le groupe. Et il ne peut y avoir, encore une fois, qu'un seul maître d'infrastructure par domaine. Il met à jour des références d'objets à partir des informations situées sur les catalogues globaux, d'autres domaines dans la forêt. Alors, c'est un rôle qui peut devenir vite inutile sous certaines conditions. Par exemple, vu que c'est un rôle qui doit mettre à jour des références dans les autres domaines, si je suis dans une forêt monodomaine, donc, je n'ai qu'un seul domaine, ce rôle ne sert à rien. D'accord, autre point, si je suis dans une forêt multi-domaines et que tous les contrôleurs de domaine de tous les domaines sont également serveurs de catalogue global, ce rôle ne sert à rien également, puisque tous les contrôleurs de domaine ont toutes les informations de tous les objets, on va dire pas tous les objets mais les PAS, les Partial Attribute Set de tous les objets de tous les domaines dans la forêt. Donc, ce rôle devient inutile également si en mode multi-domaines dans ma forêt, tous les contrôleurs de domaine sont serveurs de catalogues globaux. Voilà, pour les rôles FSMO, et ce qu'on retrouve dans l'infrastructure et dans la topologie des services d'annuaire Active Directory.

Windows Server 2016 : Les stratégies de groupe et l'Active Directory

Prenez en main les services de ​l’annuaire Active Directory et les stratégies de groupe dans Windows Server. Paramétrez, analysez et diagnostiquez les stratégies de groupe, etc.

3h54 (37 vidéos)
Aucun commentaire n´est disponible actuellement
 

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !