Présentation des rôles de maîtres d'opérations sous Windows Server 2003 (FSMO) Accueil > Articles > Système
Auteur  Camille BEFFARA MGI CONSULTANTS Ingénieur système et réseau  Tous les articles de cet auteur Mathieu MANSION EXAKIS Ingénieur d'études  Tous les articles de cet auteur Nicolas MILBRAND LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT Ingénieur systèmes et réseaux  Tous les articles de cet auteur		3,2/5 Assez Bien 217899 565/1824

3. Le maitre RID

Dès qu'un contrôleur de domaine crée une entité de sécurité (un objet tel qu'un utilisateur, un groupe, un ordinateur), il attribut à cet objet un identificateur de sécurité unique, le SID (Security IDentifier). ce SID est composé de deux blocs : un SID de domaine (identique pour tous les objets du domaine), et un identifiant relatif (RID), qui est unique pour chaque SID d'objet créé dans le domaine.

Composition du SID d'un utilisateur

C'est le SID qui permet d'identifier les différents utilisateurs et objets, et donc par conséquent de leur appliquer les permissions NTFS, se qui explique que deux utilisateurs peuvent avoir le même nom d'utilisateur sans qu'il y ai de conflits. Un SID étant unique, il est alors impossible de recréer un compte utilisateur supprimé en le nommant par le même nom que le compte précédant car les permissions NTFS se basent sur le SID et non pas le nom affiché.

NB : Le compte Administrateur possède un SID se terminant toujours par 500, le renommer devient donc inutile à des fins sécuritaire, une attaque se fera toujours par une recherche inversé du SID vers le nom d'utilisateur.

3.2 Le GUID

Attention, il ne faut pas confondre le SID (Secure IDentifier) et le GUID, Global Unique IDentifier ou  identificateur globalement unique!

Ils sont tout deux uniques au sein de la forêt, mais contrairement au SID, le GUID ne changera jamais. En effet, un objet peut être identifié de plusieurs façons :

• Son DN (Distinguish name) : cn=Loïc, OU=Labo-Microsoft, dc=supinfo,dc=lan

• Son SID : ci-dessus

• Son GUID

Le DN peut être très long, et peut changer très fréquemment, lors du déplacement de l'objet inter et intra domaine, de la modification de son RDN (nom relatif), lors du renomage d'une unité d'organisation et d'un domaine (possible en niveau fonctionnel de forêt Windows 2003 server).
Le SID est passible de changements également lors du déplacement de l'objet d'un domaine à un autre. Il peut donc être utile de disposer de moyens de retrouver les objets d'une autre manière que par leurs SID ou DN qui sont modifiables afin de pouvoir récupérer des objets même si son DN exact est inconnu.

Afin de simplifier le processus de recherche, Active Directory permet des requêtes par attributs. Lors de la création d'un objet, celui-ci se voit attribuer un GUID, un nombre codé sur 128 bits enregistré dans l'attribut objectGUID. Cet attribut est obligatoire pour chaque objet, il ne peut être ni modifier, ni supprimé.

Le contrôleur de domaine possédant le rôle de maître RID, ou maître des identificateurs relatifs se charge d'allouer des blocs d'identificateurs relatifs à chaque contrôleur de domaine du domaine. Chaque contrôleur de domaine possède donc un pool de RID unique à attribuer aux nouveau objets créés. Lorsqu'un contrôleur de domaine à épuisé son pool d'identificateurs relatif, il contacte de maître RID par un dérivé du protocole RPC qui lui alloue une nouvelle plage d'identificateurs.

Si le maître RID ne peut être joint, la création d'un objet est impossible sur un contrôleur de domaine dont la réserve d'identificateurs relatifs est épuisée. L'utilitaire dcdiag situé dans le dossier \Support\Tools du cd-rom de Windows 2003 server permet d'afficher la réserve d'identifiants relatifs du contrôleur de domaine.

résultat de la commande dcdiag /test:ridmanager /v

Par défaut, les plages allouées contiennent 500 RID, mais se nombre peut être modifié grâce à une clé dans la base de registre du contrôleur de domaine ayant le rôle de Maître RID : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values\RID Block Size

On ne peut pas spécifier un nombre plus petit que 500, dans ce cas, c'est la valeur par défaut qui sera utilisé, on peut par contre spécifier un nombre plus élevé, sans limite de taille. Il n'est pas nécessaire d'effectuer cette modification sur les autres contrôleurs de domaine du domaine, mais il est conseillé de le faire, en effet lors d' un éventuel transfert de rôle à un autre contrôleur, la taille du pool restera cohérente.

Un contrôleur de domaine sous Windows 2000 pré SP4 demande un nouveau pool d'identifiant relatif lorsqu'il ne lui reste que 20% de sa plage de RID à distribuer. Sous Windows 2000 SP4 et supérieur, la demande est effectuée lorsque 50% de la plage de RID est utilisé. Cette modification permet une tolérance de panne du maître RID plus élevé.

N.B : Le nombre de RID total d'un domaine n'est pas infini, on peut créer environ 2^30 (1 073 741 824) entités de sécurité par domaine!!
Il n'est pas conseillé de mettre une valeur trop élevé, car il faut savoir que si un contrôleur de domaine est rétrogradé, son pool de RID est perdu, il ne sera pas réutilisé, il en va de même lors d'une restauration, un contrôleur de domaine ayant subit une restauration se verra attribuer un nouveau pool afin d'éviter de distribuer des RID déjà utilisés.

Une fois tous les RIDs utilisés, il devient impossible de créer des nouveaux objets dans le domaine.

Le déplacement des objets d'un domaine à un autre doit s'effectuer OBLIGATOIREMENT sur le maître RID, dans le cas contraire, un message d'erreur "Movetree failed" apparaîtra. En effet, lors d'un déplacement, le maître RID supprime l'objet du domaine d'origine afin d'éviter une duplication. Si on déplace l'objet sans qu'il soit supprimé, cet objet pourra être déplacé à nouveau vers un autre domaine ce qui entraînerai des doublons.

- Par l'interface graphique : ouvrir la console MMC Utilisateurs et ordinateurs Active Directory, cliquer droit sur le nom du domaine et sélectionner Maîtres d'opérations.

- En ligne de commande : taper dsquery server -hasfsmo rid

Sommaire 1. Maitre d'attribution des noms de domaine        1.1 Son rôle        1.2 Problèmes        1.3 Où l'identifier 2. Contrôleur de schéma        2.1 Son rôle        2.2 Si il n'est pas disponible        2.3 Modifier le schéma        2.4 Le catalogue global        2.5 Où l'identifier 3. Maître RID        3.1 SID        3.2 GUID        3.2 Rôle        3.3 Où l'identifier 4. Maître d'infrastructure        4.1 Les objets fantomes        4.2 Rôle        4.3 Où l'identifier 5. Emulateur PDC        5.1 Son rôle

5.2 Verrouillage des comptes        5.3 Changement des mots de passe        5.4 Gestion des GPO        5.5 Mecanisme horaire        5.6 Localisation par les clients        5.7 Comment l'identifier        5.8 Positionnement 6. Transfert de rôle        6.1 Transférer le rôle de controleur de schéma        6.2 Transférer le rôle de maître d'attribution des noms de domaine        6.3 Transférer les autres maîtres        6.4 Transfert en ligne de commande 7. Prise de rôle        7.1 Le maître RID        7.2 L'émulateur PDC        7.3 Le maître d'infrastructure        7.4 Le maître d'attribution des noms de domaine        7.5 Le maître de schéma Conclusion

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft