Home  News


Présentation des rôles de maître d’opérations (FR)
 
Active Directory définit cinq rôles de maîtres d’opérations :
  • Le contrôleur de schéma.
  • Le maître d’attribution de noms de domaine.
  • L’émulateur PDC (Primary Domain Controller).
  • Le maître des identificateurs relatifs (RID, Relative Identifier).
  • Le maître d’infrastructure.

1-     Définition d’un contrôleur de schéma :

 
Le contrôleur de schéma exécute les rôles suivants :
  • Il contrôle toutes les mises à jour d’origine apportées au schéma.
  • Il contient la liste principale des classes d’objets et des attributs utilisés pour la création de tous les objets Active Directory.
  • Il réplique les mises à jour apportées au schéma Active Directory sur tous les contrôleurs de domaine de la forêt en utilisant la réplication de la partition du schéma.
  • Il autorise uniquement les membres du groupe Administrateurs du schéma à modifier le schéma
Chaque forêt possède un seul contrôleur de schéma. Cela permet d’éviter les conflits qu’entraîneraient des tentatives de mise à jour simultanées du schéma par plusieurs contrôleurs de domaine. Si le contrôleur de schéma n’est pas disponible, vous ne pouvez pas modifier le schéma ou installer des applications qui le modifient.
 
2-     Définition d’un maître d’attribution de noms de domaine :
 
Le maître d’attribution de noms de domaine contrôle l’ajout ou la suppression de domaines dans la forêt. Il n’existe qu’un maître d’attribution de noms de domaine dans chaque forêt.
 
Lorsque vous ajoutez un domaine à la forêt, seul le contrôleur de domaine possédant le rôle de maître d’attribution des noms de domaine peut ajouter le nouveau domaine. Le maître d’attribution empêche que plusieurs domaines portant le même nom soient ajoutés à la forêt. Si le maître d’attribution des noms de domaine est indisponible, vous n’avez pas la possibilité d’ajouter ni de supprimer des domaines.
 
Remarque : Le maître d’attribution de noms de domaine est unique dans une forêt.
 
3-     Définition de l’émulateur PDC :
 
L’émulateur PDC agit comme un contrôleur de domaine principal Microsoft Windows NT pour prendre en charge les contrôleurs de domaines secondaires de domaine exécutant Windows NT dans un domaine en mode mixte. A la création d’un domaine, Active Directory attribue ce rôle d’émulateur PDC au premier contrôleur de domaine du nouveau domaine.
 
L’émulateur PDC exécute les rôles suivants :
  • Il agit en tant que contrôleur de domaine principal pour tous les contrôleurs secondaires de domaine existants. Si un domaine contient des contrôleurs secondaires de domaine ou des ordinateurs clients exécutant Windows NT 4.0 ou une version antérieure, l’émulateur PDC fonctionne en tant que contrôleur de domaine principal Windows NT ; l’émulateur PDC réplique les modifications apportées à l’annuaire sur tous les contrôleurs secondaires de domaines exécutant Windows NT.
  • Il gère les modifications de mot de passe. Active Directory inscrit directement les modifications de mot de passe dans l’émulateur PDC.
  • Il minimise la latence de réplication des modifications de mot de passe. Le délai nécessaire pour qu’un contrôleur de domaine reçoive une modification apportée à un autre contrôleur de domaine est appelée latence de réplication. Lorsque le mot de passe d’un ordinateur client exécutant Windows 2000 ou une version ultérieure est modifié sur un contrôleur de domaine, ce dernier transmet immédiatement la modification à l’émulateur PDC. Si une authentification de connexion échoue sur un autre contrôleur de domaine du fait d’un mauvais mot de passe, ce contrôleur de domaine transmet ka demande d’authentification à l’émulateur PDC avant de rejeter la tentative de connexion.
  • Il synchronise l’heure de tous les contrôleurs de domaine du domaine en fonction de son heure. Le protocole d’authentification Kerberos version 5 exige que l’heure des contrôleurs de domaine soient synchrones pour autoriser l’authentification. Les ordinateurs clients d’un domaine synchronisent également leur heure sur celle du contrôleur de domaine authentifiant l’utilisateur. Les clients du domaine Active Directory utilisent, par défaut, ce contrôleur de domaine pour la synchronisation de leurs horloges.
  • Il interdit toute possibilité  d’écrasement des Objets de stratégie de groupe (GPO, Group Policy Object). Par défaut, la Stratégie de groupe réduit les risques de conflits de réplication en s’exécutant sur le contrôleur de domaine jouant le rôle d’émulateur PDC pour ce domaine.
Remarque : L’émulateur PDC est unique dans un domaine.
 
4-     Définition d’un maître RID :
 
Le maître des identificateurs relatifs (ou maître RID) est un contrôleur de domaine qui alloue des blocs d’identificateurs relatifs à chaque contrôleur de domaine du domaine. Chaque fois qu’un contrôleur de domaine crée une nouvelle entité de sécurité, telle qu’un objet utilisateur, groupe ou ordinateur, il attribue un identificateur de sécurité (SID, Security Identifier) à cet objet. Cet identificateur consiste en un identificateur de sécurité de domaine, qui est le même pour toutes les entités de sécurité créées dans le domaine, et en un identificateur relatif qui est unique pour chaque entité de sécurité créée dans le domaine.
 
Le maître RID prend en charge la création et les déplacements d’objets comme suit :
  • Création d’objets. Pour permettre à une opération multimaître de créer des objets sur un contrôleur de domaine, le maître RID alloue un bloc d’identificateurs relatifs à un contrôleur de domaine. Lorsqu’un contrôleur de domaine requiert un bloc d’identificateurs relatifs supplémentaires, il contacte le maître RID qui lui alloue un nouveau bloc d’identificateurs relatifs, puis les attribue à de nouveaux objets.
  • Déplacement d’objets. Lorsque vous déplacez un objet d’un domaine à l’autre, le déplacement est initié sur le maître RID qui contient l’objet. De cette façon, il n’y a pas de duplication des objets. Si vous déplaciez un objet sans qu’un seul maître conserve cette information, vous pourriez déplacer l’objet avec plusieurs domaines sans savoir qu’un déplacement précédent a déjà eu lieu.
Remarque : Le maître RID est unique dans un domaine.
 
5-     Définition d’un maître d’infrastructure :
 
Le maître d’infrastructure est un contrôleur de domaine qui met à jour les références des objets de son domaine qui pointent vers les objets d’un autre domaine. La référence contient l’identificateur global unique (GUID, Globally Unique Identifier) de l’objet, son nom unique er éventuellement un identificateur de sécurité (SID). Active Directory met régulièrement à jour le nom unique et l’identificateur de sécurité afin de refléter les modifications apportées à l’objet, par exemple lorsqu’un objet a été déplacé au sein d’un domaine ou entre des domaines ou qu’il a été supprimé.
 
Si l’identificateur de sécurité ou le nom unique d’un compte d’utilisateur ou d’un groupe est modifié dans un autre domaine, Active Directory doit mettre à jour l’appartenance de groupe de votre domaine faisant référence à l’utilisateur ou au groupe modifié. Le maître d’infrastructure du domaine dans lequel réside le groupe (ou la référence) met à jour l’appartenance au groupe en répliquant la modification sur l’ensemble du domaine.
 
Le maître d’infrastructure met à jour l’identification de l’objet en fonction des règles suivantes :
  • Si l’objet est déplacé, son nom unique change car il représente son emplacement exact dans l’annuaire.
  • Si l’objet est déplacé au sein du domaine, son identificateur de sécurité ne  change pas.
  • Si l’objet est déplacé vers un autre domaine, l’identificateur de sécurité change afin de refléter le nouvel identificateur de sécurité du domaine.
  • L’identificateur global unique ne change pas quel que soit l’emplacement car il est unique sur tous les domaines

Remarque : Le maître d’infrastructure est unique dans un domaine.

 

Source : Microsoft Official Course : Planification, implémentation et maintenance d’une infrastructure Active Directory Microsoft Windows Server 2003