Bonjour,

L’allocation des RID permet de créer des objets dans la forêt comme des objets utilisateurs, groupes, ou comptes machines. Afin d’optimiser l’allocation des RID, quelques améliorations ont été apportées dans Windows 2012 afin d’éviter les phénomènes d’utilisation massives des RID comme :

. script mal codé qui crée et supprime des milliers d’objets

. promotion et dépromotion des DC

. Restauration massive des objets

 

Il y a des sécurités supplémentaires pour limiter et pour prévenir des allocations massives de RID.

 

1. Plafonner l’allocation des RID

Normalement, un DC peut allouer 500 RID à la fois, c’est une valeur par défaut. Cependant, on peut contourner cette limite avec la clef de registre suivante :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values RID Block Size

Avant Windows 2012, on pouvait mettre cette clef à la valeur : 0xffffffff ou 4294967295

A partir de Windows 2012, on ne peut dépasser la valeur 0x3A98 (soit 15000 RID à la fois)

 

2. L’espace global des RID

Avant Windows 2012, cet espace est limité à 2^30, soit 1.073.741.823 de RID

A partir de Windows 2012, on peut utiliser le 31è bit, soit 2^31, ce qui fait 2.147.483.648 de RID possibles

Pour déverrouiller ce 31è bit, voici la manipulation à faire sur le DC Windows 2012 ayant le rôle de RID Master

Lancer LDP.exe
Cliquer Connection et cliquer Connect pour le Windows Server 2012 RID Master sur le port 389, puis cliquer Bind en tant que “domain administrator”.
Cliquer Browse menu et cliquer Modify.
Le DN doit être vide.
Dans Edit Entry Attribute, entrer: SidCompatibilityVersion

Dans Values, mettre: 1

image

Vérifier que la modification est effective avec la commande ci-dessous, cela doit retourner une valeur > 2 milliards.

image

 

3. Les alertes

il existe des événements dans les journaux d’événements qui vous alertent de l’utilisation des RID, ces alertes seront de plus en plus fréquentes au fur et à mesure que l’allocation des RID progresse.

 

Huu Duc LÊ