[Active Directory] 9 Gestion des maîtres d'opérations
9.1 Présentation des maîtres d’opérations
Les modifications d’Active Directory peuvent être faites sur n’importe quel contrôleur de domaine. Il y a toutefois 5 exceptions pour lesquelles les modifications sont faites sur un et un seul contrôleur de domaine particulier : les 5 rôles des maîtres d’opérations.
Voici les cinq rôles des maîtres d’opérations :
- Contrôleur de schéma
- Maître d’attribution des noms de domaine
- Emulateur CPD
- Maître d’identificateur relatif
- Maître d’infrastructure.
Les deux premiers sont assignés au niveau de la forêt, les trois derniers au niveau du domaine. Ce qui implique s’il y a plusieurs domaines dans une forêt, autant de maîtres d’opérations pour les trois derniers rôles, que de domaines.
Par défaut le premier contrôleur de domaine d’une nouvelle forêt contient les cinq rôles.
9.1.1 Rôle du contrôleur de schéma
Il est le seul dans une forêt à pouvoir modifier le schéma. Il duplique les modifications aux autres contrôleurs de domaine dans la forêt lorsqu’il y a eut une modification du schéma. Le fait d’avoir un seul ordinateur qui gère le schéma évite tout risque de conflits.
Un seul groupe peut faire des modifications sur le schéma : le groupe « administrateurs du schéma ».
9.1.2 Maître d’attribution de nom de domaine
Seul le contrôleur de domaine ayant ce rôle, est habilité à ajouter un domaine dans une forêt. Si le maître d’opération d’attribution de nom de domaine n’est pas disponible, il est impossible d’ajouter ou de supprimer un domaine à la forêt.
Du fait de son rôle, le maître d’attribution de nom de domaine est aussi un serveur de catalogue global. En effet pour éviter tous problèmes, celui-ci doit connaître tous les noms des objets présents dans la forêt.
9.1.3 Emulateur CPD (PDC)
Ce rôle a été créé principalement dans un souci de permettre une compatibilité avec les versions antérieures de Windows 2000.
Rôle propre aux versions antérieures à Windows 2000 :
• Il permet la prise en charge des BDC Windows NT4.
• Il a la gestion des modifications des mots de passes pour des clients antérieurs à Windows 2000.
Autres Rôles :
• Authentification de secours: Lorsque vous avez modifié votre mot de passe sur votre ordinateur, et que vous vous connectez peu de temps après sur une autre machine, il se peut que la réplication du changement de votre mot de passe n’ait pas encore été effectuée. Dans ce cas, le DC qui vérifie votre mot de passe va demander à l’émulateur CPD si votre mot de passe n’a pas été changé avant de vous refuser l’accès.
• Synchroniser l’heure de tous les DC en fonction de son horloge.
• Elimine les risques d’écrasement d’objets GPO : par défaut la modification de GPO se fait sur ce DC.
9.1.4 Maître RID
Un SID est composé de deux blocs : un identificateur de domaine et un RID (Identificateur unique dans le domaine).
Pour qu’il ne puisse y avoir deux DC qui assignent le même SID à deux objets différents, le maître RID distribue une plage de RID à chacun des DC. Lorsque la plage de RID a été utilisée, le DC demande une nouvelle plage de RID au maître RID.
Le maître RID à aussi la charge des déplacements inter-domaines, pour éviter la duplication de l’objet.
9.1.5 Maître d’infrastructure
Le maître d’infrastructure sert à mettre à jour, dans son domaine, les références à des objets situés dans d’autres domaines. Si des modifications d’un objet du domaine surviennent (déplacement intra et extra domaine), alors si cet objet est lié à un ou plusieurs objets d’autres domaines, le maître d’infrastructure est responsable de la mise à jour vers les autres domaines. La mise à jour se fait par le biais d’une réplication.
Un Maître d’infrastructure ne peut être aussi un serveur de catalogue global.