Active Directory 中的 5 个 FSMO 角色：它们是什么以及它们做什么

Active Directory (AD) 几乎是全世界企业首选的域身份验证服务，自 Windows Server 2000 中诞生以来一直如此。

当时，AD 相当不安全，并且存在一些缺陷，使其特别难以使用。例如，如果您有多个域控制器 (DC)，它们会竞争进行更改的权限。这意味着您可能会做出一些改变，但有时它们根本无法完成。

Active Directory 中的 FSMO 角色是什么

在过去的几十年中，Microsoft 推出了大量增强功能、补丁和更新，极大地提高了 AD 功能、可靠性和安全性。其中一项变化是朝着 AD 的“单一主模型”方向发展，其中一个 DC 可以对域进行更改。其他 DC 满足了自动化要求。

然而，人们很快意识到，如果主 DC 出现故障，在它再次恢复之前根本无法进行任何更改。因此，微软不得不重新思考。

他们提出的解决方案是将 DC 的职责划分为多个角色。这样，如果其中一个 DC 出现故障，另一个 DC 可以接替缺失的角色。这称为灵活的单主操作（也称为 FSMO 或 FSMO 角色）。

Active Directory 中的 5 个 FSMO 角色

完整的 Active Directory 系统分为五个独立的 FSMO 角色。这 5 个 FSMO 角色如下：

1. 相对 ID (RID) 主控
2. 主域控制器 (PDC) 模拟器
3. 基础设施大师
4. 域名命名大师
5. 模式大师

架构大师和域命名大师仅限于每个林一名，而其余的则仅限于每个域一名。

1. 相对ID（RID）主控

如果您想创建一个安全原则，您可能需要为其添加访问权限。您不能根据用户或组的名称授予这些权限，因为该名称可能会更改。相反，您可以将它们与唯一的安全 ID (SID) 相关联。该唯一标识符的一部分称为相对 ID (RID)。为了防止两个对象具有相同的 SID，RID Master 处理来自单个域内的 DC 的 RID 池请求，并确保每个 SID 是唯一的。

2. 主域控制器 (PDC) 模拟器

这是该领域最权威的DC。此 DC 的作用是响应身份验证请求、管理密码更改并管理组策略对象 (GPO)。未经 PDC 仿真器的批准，用户甚至无法更改密码。这是一个强大的位置！

3. 基础设施大师

该控制器了解组织中的整体 IT 基础设施，包括存在哪些对象。基础结构主机在本地级别更新对象引用，并确保它在其他域的副本中是最新的。它通过唯一标识符（例如 SID）来实现这一点。

4. 域名命名大师

此 DC 只是确保您无法在同一林中创建具有相同名称的第二个域。

5. 模式大师

此 DC 保存 AD 架构的读写副本。模式本质上是与对象关联的所有属性（密码、角色、名称等）。因此，如果您需要更改用户对象的角色，则必须通过架构主机来完成。

FSMO 角色：可靠性和可用性

5 个 FSMO 角色至关重要，因为它们与 Active Directory 的安全密切相关。因此，域控制器需要在需要服务时保持在线状态。值得庆幸的是，根据 FSMO 的角色，这种情况可能不会那么频繁。例如，对于 schema master，DC 只需要在更新期间在线。然而，PDC 需要始终在线且可访问。因此，您需要采取必要的步骤来确保 PDC 模拟器不会翻倒。

如果您发现自己处于其中一个 FSMO 角色不可用的场景（例如 PDC 模拟器），则需要迅速采取行动，使所有 FSMO 角色重新恢复并运行。如果您知道特定 FSMO 角色将进行定期维护，则应将该 FSMO 角色转移到其他 DC。如果发生最坏的情况，并且您的 FSMO 角色崩溃，您始终可以将 FSMO 角色夺取到另一个域控制器，作为最后的手段。

结论

主动、持续地监控 Active Directory 更改以防止内部威胁、特权滥用和暴力攻击至关重要。不确定如何执行此操作？立即与我们的一位工程师安排演示，了解 Lepide Active Directory Auditor 如何帮助监控和保护 AD。

使用 Lepide Active Directory Auditor 监控和保护 AD