Qu'est-ce que le RID Master ?
Introduction
Le RID Master (Relative ID Master) est l'un des cinq rôles FSMO (Flexible Single Master Operations) dans un environnement Active Directory de Microsoft.
Son rôle est essentiel pour garantir l'unicité des identifiants des objets (SID) dans un domaine.
Voici les points clés à connaître :
1. Qu'est-ce qu'un SID et à quoi sert le RID ?
- SID (Security Identifier) : C'est un identifiant unique attribué à chaque objet de sécurité dans un environnement Windows (utilisateurs, groupes, ordinateurs).
- RID (Relative Identifier) : Chaque SID est composé d'une partie commune (l'ID du domaine) et d'une partie variable (le RID). Le RID Master distribue des « pools de RIDs » aux différents contrôleurs de domaine pour qu'ils puissent générer des SIDs uniques lorsqu'ils créent de nouveaux objets.
2. Rôle exact du RID Master
- Le RID Master attribue par blocs (ou « pools ») des ensembles de RIDs aux contrôleurs de domaine (DC).
- Quand un DC crée un nouvel objet (ex. un compte utilisateur), il utilise l'un des RIDs de son pool pour générer le SID correspondant.
- Une fois que le pool d'un DC est épuisé, il demande au RID Master un nouveau pool.
- Le RID Master s'assure ainsi qu'aucun RID n'est utilisé deux fois, ce qui évite la duplication de SIDs et garantit l'unicité de chaque objet dans le domaine.
3. Où se situe le RID Master ?
- Dans chaque domaine Active Directory, il ne peut y avoir qu'un seul RID Master à la fois.
- Habituellement, le RID Master se trouve sur le même contrôleur de domaine que le PDC Emulator (un autre rôle FSMO) dans les petites infrastructures.
- Il peut toutefois être placé sur un contrôleur de domaine dédié dans des environnements plus grands ou plus complexes.
4. Pourquoi est-il important ?
- Sans le RID Master, les contrôleurs de domaine ne pourraient pas obtenir de nouveaux RIDs, ce qui bloquerait la création de nouveaux objets (comptes d'utilisateurs, groupes, etc.).
- Des problèmes de RID Master (panne, indisponibilité prolongée) peuvent entraîner l'impossibilité de créer de nouveaux comptes ou des erreurs de création si tous les pools de RIDs alloués aux DC sont épuisés.
5. Bonnes pratiques
1. Surveillance et redondance :
- Surveiller l'état du RID Master pour s'assurer qu'il est toujours opérationnel.
- Maintenir au moins un contrôleur de domaine de secours capable de prendre le rôle en cas de panne (opération de transfert ou de saisie de rôle).
2. Transfert et saisie (Seize) de rôle :
- Un transfert de rôle se fait lorsque le propriétaire actuel est en ligne et qu'on décide manuellement de changer le détenteur.
- Une saisie de rôle (ou « seize ») se fait lorsque le contrôleur de domaine d'origine est définitivement hors service, et qu'il faut forcer l'attribution du rôle à un autre DC.
3. Ne pas abuser du Rehosting :
- Éviter de déplacer trop souvent le rôle RID Master d'un DC à un autre sans raison valable, pour ne pas perturber la gestion de RIDs.
4. Dimensionnement approprié :
- Dans un petit domaine, laisser le rôle RID Master sur un contrôleur de domaine principal, souvent avec le PDC Emulator et l'Infrastructure Master.
- Dans un grand domaine, envisager de séparer les rôles si la charge est importante.
6. Résumé
- Le RID Master gère la distribution des identifiants relatifs (RIDs) aux contrôleurs de domaine, permettant de générer des SIDs uniques pour chaque nouvel objet de sécurité.
- Il est critique pour la création de comptes dans un domaine Active Directory, car sans lui, aucun nouveau compte ne peut être créé après l'épuisement des pools de RIDs.
- Il doit exister un seul RID Master par domaine et il est important de s'assurer de sa disponibilité ou de pouvoir assumer rapidement son rôle en cas de panne.
En quelques mots
Le RID Master est le gardien des RIDs, indispensable pour générer de nouveaux objets (comptes utilisateurs, groupes, ordinateurs) avec des SIDs uniques dans un environnement AD.
Sans lui, on ne pourrait plus créer de comptes une fois les RIDs en stock épuisés.
C'est donc un rôle vital pour la bonne gestion du domaine.