Délégation des roles FSMO / FSMO delegation

Posted on by Mehdi Jerbi

OBJECTIF :

La délégation des rôles FSMO permet de donner le pouvoir de transférer les rôles FSMO afin de donner une partie des tâches d’un administrateur de domaine Active Directory sans pour autant donner les droits BUILTIN\Administrateurs de domaine.

Nous utiliserons pour notre test le domaine jerbi.fr  (DC=Jerbi,DC=fr)

PREREQUIS :

Pour pouvoir faire ces changements il vous faut :

  • Être membre du groupe  “Administrateurs de domaine” dans chaque domaine si vous avez plusieurs domaines
  • Être membre du groupe “Maitre du schéma”
  • Savoir où sont hébergés chaque rôle

=> Pour retrouver quels contrôleurs de domaine herbent les rôles FSMO, il suffit de lancer la commande “nltest query fmso” dans une fenêtre CMD.

 

METHODE:

Voici la méthode pour la permission de transférer chaque rôle :

  • Emulateur PDC

Lancer la console dsa.msc (utilisateurs et groupes active directory).

Clique droit à la racine du domaine / onglet sécurité .

Ajouter l’utilisateur ou le groupe qui recevra la délégation et lui donner la permission “Change PDC”.

 

image9

 

  • Maître d’infrastructure

Il suffit de se connecter en ADSI (adsiedit.msc) avec un compte “Administrateurs du domaine”.

Se connecter au point de connexion / connexion point  : CN=Infrastructure,DC=Jerbi,DC=fr.

Et en sélectionnant le contrôleur de domaine qui détient le rôle “Maître d’infrastructure”.

image13

Il suffit ensuite de faire un clique droit sur l’objet  CN=Infrastructure,DC=Jerbi,DC=fr et aller dans l’onglet sécurité.

Ajouter le groupe ou le compte qui recevra la nouvelle délégation et lui donner le privilège changer Maître d’infrastructure.

image11

  • Maitre RID

Il suffit de se connecter en ADSI (adsiedit.msc) avec un compte “Administrateurs du domaine”.

Se connecter au point de connexion / connexion point  : CN=RID Manager$,CN=System,DC=Jerbi,DC=fr.

Et sélectionner le contrôleur de domaine qui détient le RID.

 

Il suffit ensuite de faire un clique droit sur l’objet  CN=RID Manager$,CN=System,DC=Jerbi,DC=fr et aller dans l’onglet sécurité.

Ajouter le groupe ou le compte qui recevra la nouvelle délégation et lui donner le privilège changer maître RID.

image10

………….Les 2 rôles restants sont en cours de rédaction……………….

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.