Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Les 5 rôles FSMO dans Active Directory

Les rôles FSMO vous garantissent que votre domaine pourra assurer sans interruption la fonction première consistant à authentifier les utilisateurs et les autorisations. Obtenez des informations complémentaires dès aujourd'hui. 
Michael Buckbee
3 minute de lecture
Publié 23 avril 2018
Dernière mise à jour 10 février 2023

Depuis sa sortie à la fin de l'année 1999 (dans Windows Server 2000), Active Directory (AD) est devenu pour les entreprises le standard de fait en matière de services d'authentification de domaine. Il a depuis bénéficié de plusieurs améliorations et mises à jour, ce qui fait de lui le système d'authentification stable et sûr utilisé actuellement.

À des débuts, AD présentait certains défauts plutôt flagrants. Si votre domaine comportait plusieurs contrôleurs de domaine, les modifications faites par chacun pouvaient provoquer des conflits. Vos modifications étaient parfois conservées, parfois elles ne l'étaient pas... Pour renforcer AD et empêcher les contrôleurs de domaine d'entrer continuellement en conflit, Microsoft a implémenté la stratégie « last writer wins » (dernière version valide). Si cette technique peut s'avérer bénéfique, elle risque néanmoins de donner le dernier mot à la gaffe qui désorganisera toutes les autorisations.

Obtenir l'e-book gratuit sur les tests d'intrusion
dans les environnements Active Directory

À Albuquerque, Microsoft a ensuite changé de direction et présenté un « modèle à maître unique » pour AD. Ce contrôleur de domaine peut modifier le domaine, alors que les autres se limitent à traiter les demandes d'authentification. Malheureusement, lorsque le contrôleur de domaine maître tombe en panne, aucune modification ne peut être apportée au domaine avant sa remise en route.

Pour surmonter ce défaut fondamental, Microsoft a séparé les responsabilités d'un contrôleur de domaine en rôles multiples. Les administrateurs distribuent ces rôles à plusieurs contrôleurs de domaine, et si l'un d'entre eux tombe en rade, un autre assumera les rôles manquants ! Cela signifie que les services de domaine mettent en œuvre un clustering intelligent qui intègre la redondance et la résilience.

Microsoft appelle ce modèle FSMO (Flexible Single Master Operation).

Rôles FSMO : quels sont-ils ?

Microsoft répartit les responsabilités d'un contrôleur de domaine en 5 rôles séparés qui, ensemble, constituent un système AD complet.

RÔLES FSMO

Les 5 rôles FSMO sont les suivants :

  • Maître du schéma – un par forêt
  • Maître d'attribution des noms de domaine – un par forêt
  • Maître RID (ID relatif) – un par domaine
  • Émulateur PDC (contrôleur principal de domaine) – un par domaine
  • Maître d'infrastructure – un par domaine

Rôles FSMO : que font-ils ?

Maître du schéma : le rôle du maître du schéma consiste à gérer la copie en lecture-écriture du schéma de votre Active Directory. Le schéma AD définit tous les attributs – tels que l'ID, le numéro de téléphone, l'adresse électronique et l'identifiant de connexion d'un employé – pouvant être associés à un objet dans la base de données de votre AD.

Maître d'attribution des noms de domaine : le maître d'attribution des noms de domaine garantit que vous ne pouvez pas créer dans une même forêt un domaine ayant le même nom qu'un autre. Il s'agit du maître de vos noms de domaine. Comme il n'est pas fréquent de créer de nouveaux domaines, c'est le rôle le plus susceptible d'être tenu par un contrôleur de domaine assumant un autre rôle.

Maître RID : le maître d'ID relatif attribue des blocs d'identifiants de sécurité (SID) à différents contrôleurs de domaine ; ceux-ci peuvent ensuite les utiliser pour les objets nouvellement créés. Dans AD, chaque objet dispose d'un SID, et les derniers chiffres de ce SID correspondent à la partie relative. Pour empêcher que plusieurs objets aient le même SID, le maître RID accorde à chaque contrôleur de domaine le privilège d'attribuer certains SID.

Émulateur PDC : le contrôleur de domaine ayant le rôle d'émulateur de contrôleur principal de domaine est celui qui fait autorité dans le domaine. L'émulateur PDC répond aux demandes d'authentification, modifie les mots de passe et gère les objets de stratégie de groupe. Et l'émulateur PDC donne l'heure à tout le monde ! C'est agréable d'être le PDC...

Maître d'infrastructure : le rôle de maître d'infrastructure consiste à traduire d'un domaine à l'autre les identifiants globalement uniques (GUID), les SID et les noms distinctifs. Si votre forêt comporte plusieurs domaines, le maître d'infrastructure est le Babelfish qui agit entre eux. Si le maître d'infrastructure ne remplit pas correctement son rôle, vous verrez dans vos listes de contrôle d'accès (LCA) des SID au lieu de noms résolus.

Le modèle FSMO vous garantit que votre domaine pourra assurer sans interruption la fonction première consistant à authentifier les utilisateurs et les autorisations (avec les réserves standard, comme le fonctionnement du réseau).

Il est important de surveiller AD afin d'empêcher les attaques par force brute ou les tentatives d'élévation de privilèges – deux vecteurs d'attaques souvent utilisés pour voler des données. Vous voulez voir comment procéder ? Nous allons vous montrer comment faire. Bénéficiez d'une démonstration vous montrant comment Varonis protège AD des menaces internes et externes.

 

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
les-identités-gérées-sur-azure :-définitions,-types,-avantages-et-démo
Les identités gérées sur Azure : définitions, types, avantages et démo
Utilisez ce guide pour en savoir plus sur les identités gérées sur Azure : à quoi cela correspond, combien de types existent, quels avantages elles offrent et comment elles fonctionnent.
12 bonnes-pratiques-en-matière-de-stratégies-de-groupe :-paramètres-et-conseils-pour-les-administrateurs
12 bonnes pratiques en matière de stratégies de groupe : paramètres et conseils pour les administrateurs
Les stratégies de groupe permettent de configurer les paramètres, comportements et privilèges des utilisateurs et des ordinateurs. Parcourez cet article pour découvrir nos bonnes pratiques concernant leur utilisation.
sécurisation-du-stockage-blob-azure-:-guide-de-configuration
Sécurisation du stockage Blob Azure : guide de configuration
Découvrez comment sécuriser votre stockage Blob en configurant quelques paramètres dans votre compte de stockage Azure, tels que le chiffrement, les pare-feu et l’accès anonyme.
présentation-des-modèles-arm-:-tutoriel-sur-azure-resource-manager
Présentation des modèles ARM : tutoriel sur Azure Resource Manager
Les modèles ARM sont le langage d’infrastructure as code natif de Microsoft. Découvrez les différents composants ARM et déployez votre premier modèle ARM.