Active Directory : transférer les rôles FSMO

Transférer les rôles FSMO dans Active Directory – via l’interface graphique, ntdsutil.exe et PowerShell, avec vérification avant/après.

1 December 2025 348 words Reading: 2 min

Loïs Dutour

Table of Contents

Les rôles FSMO (Flexible Single Master Operations) sont des rôles uniques dans une forêt ou un domaine AD. Ce mémo couvre leur transfert via trois méthodes : interface graphique, ntdsutil.exe et PowerShell.

Les 5 rôles FSMO

Rôle	Portée	Rôle
Contrôleur de schéma	Forêt	Gère les modifications du schéma AD
Maître des noms de domaine	Forêt	Gère l’ajout/suppression de domaines
PDC Emulator	Domaine	Synchronisation de l’heure, mots de passe, GPO
Gestionnaire du pool RID	Domaine	Attribution des SID aux nouveaux objets
Maître d’infrastructure	Domaine	Cohérence des références inter-domaines

Vérifier la répartition actuelle

netdom query FSMO

Exemple de sortie avec tous les rôles sur un seul DC :

Contrôleur de schéma          SRV-AD-01.infra.lan
Maître des noms de domaine    SRV-AD-01.infra.lan
Contrôleur domaine princip.   SRV-AD-01.infra.lan
Gestionnaire du pool RID      SRV-AD-01.infra.lan
Maître d'infrastructure       SRV-AD-01.infra.lan
L'opération s'est bien déroulée.

Méthode 1 – Interface graphique

Ouvrir dsa.msc (Utilisateurs et ordinateurs Active Directory)
Clic droit sur le domaine → Modifier le contrôleur de domaine
Sélectionner le DC cible
Clic droit sur le domaine → Maîtres d’opérations…
Cliquer sur Modifier puis confirmer le transfert

Méthode 2 – PowerShell

Transférer un rôle spécifique :

Move-ADDirectoryServerOperationMasterRole -Identity "SRV-AD-02" -OperationMasterRole PDCEmulator

Transférer plusieurs rôles en une commande :

Move-ADDirectoryServerOperationMasterRole -Identity "SRV-AD-02" `
  -OperationMasterRole PDCEmulator, RIDMaster, InfrastructureMaster

Valeurs possibles pour -OperationMasterRole :

Valeur	Rôle
`SchemaMaster`	Contrôleur de schéma
`DomainNamingMaster`	Maître des noms de domaine
`PDCEmulator`	Émulateur PDC
`RIDMaster`	Gestionnaire du pool RID
`InfrastructureMaster`	Maître d’infrastructure

Méthode 3 – ntdsutil.exe

ntdsutil.exe
> roles
> connections
> connect to server SRV-AD-02
> quit
> transfer PDC
> quit
> quit

Vérification après transfert

netdom query FSMO

Exemple après transfert partiel (PDC, RID et Infrastructure vers SRV-AD-02) :

Contrôleur de schéma          SRV-AD-01.infra.lan
Maître des noms de domaine    SRV-AD-01.infra.lan
Contrôleur domaine princip.   SRV-AD-02.infra.lan
Gestionnaire du pool RID      SRV-AD-02.infra.lan
Maître d'infrastructure       SRV-AD-02.infra.lan
L'opération s'est bien déroulée.

⚠️ Transfert vs Saisie (Seize) – le transfert est une opération planifiée et coordonnée entre les deux DCs. La saisie (ntdsutil > seize) est une opération d’urgence quand le DC source est irrécupérable – elle laisse l’ancien DC dans un état incohérent et ne doit pas être utilisée si le DC source est encore accessible.

Les 5 rôles FSMO#

Vérifier la répartition actuelle#

Méthode 1 – Interface graphique#

Méthode 2 – PowerShell#

Méthode 3 – ntdsutil.exe#

Vérification après transfert#