📌 Active Directory - Rôles FSMO

📋 Les 5 rôles FSMO

Rôles au niveau forêt (1 par forêt) :

1. Schema Master
   • Contrôle les modifications du schéma AD
   • Peu critique - Panne acceptable pendant longtemps
   • Nécessaire uniquement pour modifier le schéma
2. Domain Naming Master
   • Gère l'ajout/suppression de domaines dans la forêt
   • Critique pendant l'ajout de domaines uniquement
   • Contrôle les noms de domaine uniques

Rôles au niveau domaine (1 par domaine) :

3. PDC Emulator
   • Émulation pour clients NT4
   • Maître du temps du domaine
   • Gestion des verrouillages de compte
   • Point d'entrée principal pour les changements de mot de passe
4. RID Master
   • Distribue les blocs de RID (Relative ID)
   • Critique pour la création de nouveaux objets
   • Empêche les SID dupliqués
5. Infrastructure Master
   • Met à jour les références aux objets d'autres domaines
   • Ne doit pas être sur un catalogue global
   • Sauf si tous les DC sont des GC

🌐 Étendue des rôles

👁️ Consulter les détenteurs

Via commandes :

# netdom - méthode rapide
netdom query fsmo

# PowerShell - détails complets
Get-ADForest | select-object SchemaMaster,DomainNamingMaster
Get-ADDomain | select-object PDCEmulator,RIDMaster,InfrastructureMaster

# GUI - Outils graphiques
# Schema Master : regedit → Schema Console
# Domain Naming Master : Active Directory Domains and Trusts
# PDC, RID, Infrastructure : Active Directory Users and Computers

🔄 Transférer un rôle

Transfert planifié (normal) :

# Via PowerShell
Move-ADDirectoryServerOperationMasterRole -Identity "NewDC" -OperationMasterRole SchemaMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NewDC" -OperationMasterRole DomainNamingMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NewDC" -OperationMasterRole PDCEmulator
Move-ADDirectoryServerOperationMasterRole -Identity "NewDC" -OperationMasterRole RIDMaster
Move-ADDirectoryServerOperationMasterRole -Identity "NewDC" -OperationMasterRole InfrastructureMaster

# Tous les rôles en une fois
Move-ADDirectoryServerOperationMasterRole -Identity "NewDC" -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster

Via ntdsutil :

ntdsutil
roles
connections
connect to server NewDC
quit
transfer schema master
transfer naming master
transfer PDC
transfer RID master
transfer infrastructure master
quit
quit

⚠️ Saisir un rôle

La saisie de rôle est une opération d'urgence qui force le transfert sans coordination avec l'ancien détenteur :

# Saisie via ntdsutil
ntdsutil
roles
connections
connect to server NewDC
quit
seize schema master
seize naming master
seize PDC
seize RID master
seize infrastructure master
quit
quit

# Cleanup après saisie
# Supprimer les métadonnées de l'ancien DC
ntdsutil
metadata cleanup
remove selected server

⚠️ Ne saisir un rôle qu'en dernier recours. L'ancien détenteur ne doit jamais revenir en ligne après une saisie.

✅ Bonnes pratiques

Distribution des rôles :

• Petite forêt (1-2 domaines) : Tous les rôles sur un seul DC
• Forêt moyenne : Séparer Schema Master et Domain Naming Master du reste
• Grande forêt : Distribution selon les besoins et la charge

Recommandations de placement :

Surveillance :

# Vérification régulière
dcdiag /test:knowsofroleholders
repadmin /showrepl
netdom query fsmo

# Monitoring automatisé
Get-ADForest | select SchemaMaster,DomainNamingMaster
Get-ADDomain | select PDCEmulator,RIDMaster,InfrastructureMaster