Découverte de Active Directory Service

Active Directory Services a été la grande nouveauté de Windows 2000, consolidé dans Windows Server 2003 puis dans chaque nouvelle version de Windows Serveur. Il s’agit en d’un service d’annuaires.

1 – Principe

Ce service d’annuaires permet l’enregistrement hiérarchique des informations à l’aide d’entités telles que les domaines, les arborescences, les forêts, les relations d’approbation, les unités d’organisation et les sites.

L’objectif d’AD est de fournir un service ouvert et interconnectable à d’autres produits, souvent appelé par Microsoft l’interopérabilité.

ADS est très étroitement lié à DNS, et par conséquent les conventions de nommage des PC et ressources réseau utilisent la même structure : à chaque domaine AD corresponds un domaine DNS (ex: organisation.com) et tous les PC aussi (monPC.organisation.com).

Active Directory utilise des requêtes LDAP (Lightweight Directory Access Protocol) pour communiquer

ADARCH02_thumb[5]
Comparaison des racines des espaces de noms DNS et Active Directory (source Microsoft)

AD est composé d’objets, eux mêmes faisant partie d’un schéma. Chaque objet possède un nom complet LDAP (par exemple, mailAddress et machinePasswordChangeInterval) et un nom commun (SMTP-Mail-Address et Machine-Password-Change-Interval, par exemple) et un Identificateur d’objet (OID) unique attribué par l’ISO.

Représentant le chemin complet vers un objet, composé du nom de l’objet et de tous ses objets parents jusqu’à la racine du domaine, le nom unique permet d’identifier un objet unique dans l’arborescence de domaines. Chaque nom RDN est stocké dans la base de données Active Directory et contient une référence à son parent. Au cours d’une opération LDAP, le nom unique est construit entièrement en suivant les références à la racine. Dans un nom unique LDAP complet, le nom RDN de l’objet à identifier commence sur la gauche avec le nom de la feuille et se termine sur la droite avec le nom de la racine, comme le montre l’exemple suivant :
cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com
Le nom RDN de l’objet Utilisateur MDurand est cn=MDurand, celui de Widget (l’objet parent de MDurand) est ou=Widgets, etc.

Noms d’URL LDAP
Active Directory prend en charge l’accès de tous les clients LDAP à l’aide du protocole LDAP. Une telle URL est composée du préfixe «LDAP», du nom du serveur contenant les services Active Directory, suivi du nom attribué à l’objet (le nom unique). Par exemple :
LDAP://serveur1.France.NomOrg.com/cn=MDurand, ou=Widgets,ou=Fabrication,dc=France,dcNomOrg,dc=com

Noms canoniques LDAP de Active Directory

Par défaut, les outils d’administration de Active Directory affichent les noms des objets au format de nom canonique, qui répertorie les noms RDN à partir de la racine, sans les descripteurs d’attribut d’affectation de nom

Nom unique LDAP :
cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com

Nom canonique :
France.NomOrg.com/Fabrication/Widgets/MDurand

Windows attribue aussi un SID à chaque objet sécurité (nom utilisateur, groupe et ordinateur)

GUID d’objets

Parallèlement à son nom unique LDAP, chaque objet Active Directory possède un identificateur globalement unique (GUID), un numéro à 128 bits assigné par l’Agent système d’annuaire lors de la création de l’objet. Le GUID, qui ne peut être ni modifié ni supprimé, est enregistré dans un attribut, objectGUID, requis pour chaque objet. À la différence des noms uniques et RDN susceptibles d’être modifiés, le GUID ne change jamais.

Si vous enregistrez une référence à un objet Active Directory dans un magasin de données externe (par exemple, une base de données Microsoft SQL Server™), vous devez utiliser l’attribut objectGUID.

Noms UPN

Dans Active Directory, chaque compte d’utilisateur possède un nom UPN (nom utilisateur principal) au format <utilisateur>@<nom-domaine-DNS>. Un nom UPN est un nom convivial assigné par un administrateur. Il est plus court que le nom unique LDAP utilisé par le système et plus facile à mémoriser. Le nom UPN d’un objet Utilisateur est indépendant de son nom unique, si bien que le déplacement et la modification du nom de l’objet n’affectent pas le nom d’ouverture de session de l’utilisateur. Lors d’une connexion par nom UPN, les utilisateurs ne sont plus invités à sélectionner un domaine dans une liste dans la boîte de dialogue d’ouverture de session.

Les noms UPN se composent de trois parties : le préfixe UPN (nom d’ouverture de session de l’utilisateur), le caractère @ puis le suffixe UPN (en général, un nom de domaine). Le suffixe UPN par défaut d’un compte d’utilisateur est le nom DNS du domaine Active Directory dans lequel se trouve le compte. Par exemple, le nom UPN de l’utilisateur Marc Durand, qui possède un compte d’utilisateur dans le domaine NomOrg.com (si NomOrg.com est le seul domaine de l’arborescence), est MDurand@NomOrg.com. C’est un attribut (userPrincipalName) de l’objet entité de sécurité. Si l’attribut userPrincipalName d’un objet Utilisateur n’a pas de valeur, l’objet a le nom UPN par défaut nomUtilisateur@NomDomaineDns.

Si votre organisation possède une arborescence de domaines composée de nombreux domaines, organisés par départements et régions, les noms UPN par défaut peuvent s’avérer encombrants. Par exemple, le nom UPN par défaut d’un utilisateur pourrait être ventes.coteouest.company.com. Le nom d’ouverture de session des utilisateurs dans ce domaine serait utilisateur@ventes.coteouest.company.com. Au lieu d’accepter le nom de domaine DNS par défaut comme suffixe UPN, vous pouvez simplifier l’administration et les processus de connexion utilisateur en fournissant un suffixe UPN unique pour tous les utilisateurs. (Le suffixe UPN est utilisé uniquement au sein du domaine Windows 2000 et il ne correspond pas nécessairement à un nom de domaine DNS valide.) Vous pouvez décider d’utiliser votre nom de domaine de messagerie comme suffixe UPN — nomUtilisateur@nomEntreprise.com. Le nom UPN de l’utilisateur de notre exemple devient alors utilisateur@company.com.

Lors d’une ouverture de session par nom UPN, un catalogue global peut s’avérer nécessaire, selon l’identité de l’utilisateur qui se connecte et l’appartenance de l’ordinateur de l’utilisateur au domaine. C’est le cas si l’utilisateur se connecte à l’aide d’un nom UPN différent du nom par défaut et si le compte d’ordinateur de l’utilisateur se trouve dans un autre domaine que son compte d’utilisateur. C’est-à-dire si, au lieu d’accepter le nom de domaine DNS par défaut comme suffixe UPN (comme dans l’exemple précédent, utilisateur@ventes.coteouest.company.com), vous fournissez un suffixe UPN unique pour tous les utilisateurs (l’utilisateur a alors pour nom utilisateur@ company.com).

L’outil Domaines et approbations Active Directory permet de gérer les suffixes UPN d’un domaine. Les noms UPN sont assignés lors de la création d’un utilisateur. Si vous avez créé des suffixes supplémentaires pour un domaine, vous devez sélectionner le suffixe de votre choix dans une liste lorsque vous créez le compte d’utilisateur ou de groupe. Les suffixes sont répertoriés dans l’ordre suivant :

  • autres suffixes (s’il en existe, le dernier créé apparaît en tête de liste) ;
  • domaine racine ;
  • domaine actif.

Noms de comptes SAM

Un nom de compte SAM (Security Account Manager) est requis pour la compatibilité avec les domaines Windows NT 3.x et Windows NT 4.0. Dans l’interface utilisateur après Windows 2000, un nom de compte SAM est appelé «Nom d’ouverture de session de l’utilisateur (avant l’installation de Windows)».

Ces noms sont aussi parfois appelés noms plan car, contrairement aux noms DNS, ils ne sont pas affectés hiérarchiquement. Comme les noms SAM sont plan, chacun doit être unique dans le domaine.

Mise à jour de l’annuaire :

La mise à jour s’appelle une publication. Couramment Active Directory est utilisé pour des publications de partage, afin de partager un volume, ou des publications d’imprimantes.

Vous pouvez également publier des imprimantes non-Windows 2000 (c’est-à-dire des imprimantes sur des serveurs d’impression autres que Windows 2000) dans Active Directory. Pour ce faire, utilisez l’outil Utilisateurs et ordinateurs Active Directory pour entrer le chemin UNC de l’imprimante.

Pour publier une information dans Active Directory celle ci doit être utile ou intéressante pour une partie importante de la communauté des utilisateurs et quand elle doit être facilement accessible. Elle doit aussi être relativement statique et structurée.

Les développeurs et les administrateurs réseau expérimentés peuvent étendre dynamiquement le schéma Active Directory en définissant de nouvelles classes et de nouveaux attributs pour les classes existantes. Il est conseillé d’étendre le schéma Active Directory par programme, via l’interface ADSI (Active Directory Service Interface). Vous pouvez également utiliser l’utilitaire LDIFDE (LDAP Data Interchange Format).

L’outil Schéma Active Directory, fourni par Microsoft conçu à des fins de développement et de test, vous permet d’afficher et de modifier le schéma Active Directory. Cette opération reste une opération délicate et avancée.

Domaines : arborescences, forêts, approbations et unités d’organisation

Active Directory est constitué d’un ou de plusieurs domaines. La création du contrôleur de domaine initial dans un réseau crée également le domaine. Vous ne pouvez pas avoir de domaine sans au moins un contrôleur de domaine. Chaque domaine de l’annuaire est identifié par un nom de domaine DNS. L’outil Domaines et approbations Active Directory permet de gérer les domaines.

Les domaines sont utilisés pour réaliser les objectifs de gestion de réseau suivants :

    • Délimitation de la sécurité. Les domaines AD définissent une limite de sécurité. Les stratégies et les paramètres de sécurité ne passent pas d’un domaine à un autre. Active Directory peut inclure un ou plusieurs domaines, possédant tous leurs propres stratégies de sécurité.

 

    • Réplication des informations. Un domaine est une partition d’annuaire AD. Ces partitions sont les unités de réplication. Chaque domaine enregistre uniquement les informations concernant les objets qu’il contient. Chaque contrôleur d’un domaine peut recevoir les modifications apportées à des objets et répliquer ces modifications vers tous les autres contrôleurs du même domaine.

 

    • Application des stratégies de groupe. Un domaine représente une étendue possible de stratégie (les paramètres de stratégie de groupe peuvent aussi être appliqués à des unités d’organisation ou à des sites). La Stratégie de groupe (GPO, Group Policy Object) du domaine définit la manière dont les ressources du domaine peuvent être configurées et utilisées. Par exemple, vous pouvez employer une stratégie de groupe pour contrôler les paramètres du bureau, comme par exemple le déploiement d’applications et de verrouillages. Ces stratégies sont appliquées uniquement au sein d’un même domaine. Elles ne sont pas transmises d’un domaine à un autre.

 

    • Structure du réseau. Comme un domaine Active Directory peut englober de nombreux sites et contenir des millions d’objets, la plupart des organisations n’ont pas besoin de créer de domaines distincts pour refléter leurs différents départements et divisions. Normalement, vous ne devriez pas avoir à créer d’autres domaines pour traiter des objets supplémentaires. Toutefois, certaines organisations requièrent plusieurs domaines pour prendre en charge, par exemple, des unités professionnelles indépendantes ou complètement autonomes qui ne veulent pas qu’une personne extérieure à leur unité dispose d’autorisations sur leurs objets. De telles organisations peuvent créer des domaines supplémentaires et les organiser en une forêt Active Directory. Il peut également être utile de séparer le réseau en domaines distincts si deux parties de votre réseau sont séparées par un lien si lent que vous refusez que le trafic de réplication l’emprunte. (Dans le cas de liens lents encore capables de prendre en charge le trafic de réplication de manière moins fréquente, vous pouvez configurer un simple domaine avec plusieurs sites).

 

    • Délégation de l’autorité d’administration. Sur les réseaux Windows 2000/2003, vous pouvez déléguer l’autorité d’administration d’unités d’organisation et de domaines individuels, ce qui réduit le nombre requis d’administrateurs disposant d’une autorité d’administration élevée. Comme un domaine est une limite de sécurité, les autorisations d’administration d’un domaine sont restreintes au domaine par défaut. Par exemple, un administrateur ayant l’autorisation de définir les stratégies de sécurité d’un domaine n’est pas automatiquement autorisé à faire de même dans tout autre domaine de l’annuaire.

 

Dans Active Directory, une arborescence est un ensemble d’un ou de plusieurs domaines avec noms contigus. S’il existe plusieurs domaines, vous pouvez les associer en arborescences. Il est parfois nécessaire de posséder plusieurs arborescences dans une forêt ; par exemple, si une division de votre organisation possède son propre nom DNS et utilise ses propres serveurs DNS.

La relation parent-enfant entre domaines d’une même arborescence est une relation d’affectation de nom et une relation d’approbation. Les administrateurs d’un domaine parent ne sont pas automatiquement ceux des domaines enfants et les stratégies définies dans un domaine parent ne sont pas appliquées automatiquement aux domaines enfants.

Une forêt Active Directory est une base de données distribuée, composée de nombreuses bases de données partielles enregistrées sur des ordinateurs différents. La distribution de la base de données augmente l’efficacité du réseau en permettant de placer les données là où elles sont le plus utilisées. Les partitions de la base de données de la forêt sont définies par des domaines, ce qui signifie qu’une forêt est composée d’un ou plusieurs domaines.

Le domaine racine de chaque arborescence de domaines de la forêt établit une relation d’approbation transitive Il est donc possible d’établir des relations d’approbation entre toutes les arborescences de la forêt.

Souvent, une forêt unique, simple à créer et à entretenir, suffit à répondre aux besoins d’une organisation. Dans ce cas, les utilisateurs n’ont pas besoin de connaître la structure d’annuaire car ils voient tous un annuaire unique par l’intermédiaire du catalogue global. Lors de l’ajout d’un nouveau domaine dans la forêt, aucune configuration d’approbation supplémentaire n’est requise. En effet, tous les domaines d’une même forêt sont connectés par des relations d’approbation transitives bidirectionnelles. Dans une forêt de plusieurs domaines, les modifications de configuration n’ont besoin d’être appliquées qu’une seule fois pour affecter tous les domaines.

Ne créez pas de forêt supplémentaire, à moins que vous n’en ayez vraiment besoin, car chaque forêt que vous créez entraîne une surcharge de travail de gestion.

Important : Il est facile d’ajouter de nouveaux domaines à une forêt. Toutefois, vous ne pouvez pas déplacer les domaines Windows 2000 Active Directory d’une forêt à une autre. Vous pouvez supprimer un domaine d’une forêt uniquement s’il ne possède pas de domaine enfant. Une fois que le domaine racine d’une arborescence a été défini, vous ne pouvez pas ajouter à la forêt un domaine avec un nom de niveau supérieur. Il est impossible de créer un parent pour un domaine existant ; vous pouvez uniquement créer un enfant.

La mise en œuvre d’arborescences de domaines et de forêts vous permet d’utiliser à la fois les conventions d’affectation de nom contigu et non contigu. Cette souplesse peut être utile, par exemple, dans des sociétés composées de divisions indépendantes qui veulent toutes conserver leur propre nom DNS, comme Microsoft.com et MSNBC.com.

Au-delà des approbations bidirectionnelles et transitives générées automatiquement à l’échelle de la forêt par le Windows Serveur, vous pouvez créer explicitement les deux types de relations d’approbation suivants :

Les approbations raccourcies : qui permettent à deux domaines de 2 arbres différents mais dans le même forêt de s’approuver de manière unidirectionnelle ou bi directionnelle.

Les approbations externes : permettent d’établir des relations entre deux arbres non reliés ou vers des domaines NT4.

Dans Windows NT 4.0 et les versions antérieures de ce système d’exploitation, les relations d’approbation étaient unidirectionnelles et l’approbation était limitée aux deux domaines entre lesquels elle était établie (elle n’était pas transitive).

Les unités d’organisation vous permettent essentiellement de déléguer l’autorité administrative sur des groupes d’utilisateurs, de groupes et de ressources. Par exemple, vous pouvez créer une unité d’organisation qui contient tous les comptes d’utilisateur de votre société. Après avoir créé des unités d’organisation pour déléguer des pouvoirs d’administration, vous pouvez leur appliquer des paramètres de stratégie de groupe pour définir des configurations de bureau pour les utilisateurs et les ordinateurs. Dans la mesure où vous utilisez des unités d’organisation pour déléguer des pouvoirs administratifs, la structure que vous créez reflètera probablement davantage votre modèle administratif que l’organisation technique de votre entreprise.

Les sites permettent de regrouper les utilisateur par entité physique : ceci permet d’utiliser la bande passante et les sous réseaux IP au mieux.

2 – Mise en œuvre

Pour transformer un serveur en contrôleur de domaine, il suffit d’installer Active Directory Services . La définition d’un serveur comme contrôleur de domaine à l’aide de l’Assistant Installation de Active Directory entraîne la création d’un domaine ou l’ajout de contrôleurs de domaine supplémentaires à un domaine existant.

Par défaut tous les contrôleurs de domaines sont identiques, il n’y a plus de PDC, BDC mais des serveurs homologues.

Depuis Windows 2000, on introduit la notion de catalogue global, une base de données conservée sur un ou plusieurs contrôleurs de domaine. Il joue un rôle majeur dans la connexion des utilisateurs et le mécanisme des requêtes.

Par défaut, un catalogue global est créé automatiquement sur le contrôleur de domaine initial de la forêt AD et chaque forêt doit en posséder au moins un. Si vous utilisez plusieurs sites, il est logique d’affecter un contrôleur de domaine comme catalogue global sur chaque site, car un tel catalogue est nécessaire pour terminer le processus d’authentification d’ouverture de session (il détermine le groupe d’appartenance d’un compte) dans le cadre des domaines en mode natif.

Rôles de maitre d’opérations

Lorsque vous créez le premier domaine d’une nouvelle forêt, cinq rôles sont assignés automatiquement au premier contrôleur de ce domaine. Dans une forêt Active Directory de petite taille contenant un seul domaine et un seul contrôleur de domaine, ce dernier tiendra tous les rôles de maitre d’opérations. Dans un réseau de plus grande taille, d’un ou de plusieurs domaines, vous pouvez ré attribuer ces rôles à un ou à plusieurs autres contrôleurs de domaine. Certains rôles doivent être tenus dans chaque forêt, d’autres dans chaque domaine d’une forêt.

Les deux rôles suivants doivent être uniques au niveau d’une forêt, ce qui signifie que seul l’un des deux peut être appliqué sur l’ensemble d’une forêt :

  • Contrôleur de schéma. Le contrôleur de domaine qui tient le rôle de contrôleur de schéma contrôle toutes les mises à jour et les modifications appliquées au schéma. Le schéma définit chaque objet (et ses attributs) qui peut être enregistré dans l’annuaire. Pour mettre à jour le schéma d’une forêt, vous devez avoir accès au contrôleur de schéma.

 

  • Maitre d’affectation de nom de domaine. Le contrôleur de domaine qui tient le rôle de maitre d’affectation de nom de domaine contrôle l’ajout et la suppression de domaines dans la forêt.

 

Les trois rôles suivants doivent être uniques au niveau de chaque domaine. Seul un rôle peut être tenu par domaine dans la forêt :

    • Maitre RID (Relative ID). Le maitre RID alloue des séquences d’identificateurs relatifs (RID) à chaque contrôleur de son domaine. Chaque fois qu’un contrôleur de domaine crée un objet Utilisateur, Groupe ou Ordinateur, il attribue à l’objet un identificateur unique de sécurité (SID). Cet identificateur est composé d’un identificateur de sécurité de domaine (identique pour tous les SID créés dans le domaine) et d’un identificateur relatif (unique pour chaque SID créé dans le domaine). Lorsque le contrôleur de domaine a épuisé son pool de RID, il en demande un autre au maitre RID.

 

    • Émulateur PDC. Si le domaine contient des ordinateurs fonctionnant sans le logiciel client Windows 2000 ou des contrôleurs de domaine secondaires Windows NT, l’émulateur PDC (Primary Domain Controller) agit comme un contrôleur de domaine principal Windows NT. Il traite les changements de mots de passe client et réplique les mises à jour vers les contrôleurs BDC. L’émulateur PDC reçoit la réplication préférentielle des changements de mots de passe effectués par d’autres contrôleurs du domaine. En cas d’échec d’authentification d’ouverture de session au niveau d’un autre contrôleur de domaine en raison d’un mot de passe incorrect, le contrôleur transmet la demande d’authentification à l’émulateur PDC avant de rejeter la tentative d’ouverture de session.

 

    • Maitre d’infrastructure. Le maitre d’infrastructure est responsable de la mise à jour de toutes les références croisées des domaines lors du déplacement d’un objet référencé par un autre. Par exemple, chaque fois que des membres de groupes sont renommés ou modifiés, le maitre d’infrastructure met à jour les références des groupes aux utilisateurs. Lorsque vous renommez ou déplacez un membre d’un groupe (et que ce membre réside dans un autre domaine que le groupe), le groupe risque de ne pas contenir ce membre temporairement. Le maitre d’infrastructure du domaine du groupe en question est responsable de la mise à jour du groupe, qui connait ainsi le nouveau nom ou le nouvel emplacement du membre.(n’existe pas dans le cas d’un serveur unique).

 

Administration : Composants logiciels enfichables Active Directory voir la page Outils.

3 – Applications

Délégation :

Active Directory permet la délégation d’un certain nombre de droits à des groupe d’utilisateurs, jusqu’au niveau de l’unité d’organisation du site ou du domaine.

 

Tâches courantes de domaine que vous pouvez déléguer     

Tâches courantes d’unité d’organisation que vous pouvez déléguer

Associer un ordinateur à un domaine
Administrer les liens de stratégie de groupe

 

Créer, supprimer et administrer les comptes d’utilisateur
Réinitialiser les mots de passe des comptes d’utilisateur
Lire toutes les données utilisateur
Créer, supprimer et administrer les groupes
Modifier l’appartenance à un groupe
Administrer les imprimantes
Créer et supprimer des imprimantes
Administrer les liens de stratégie de groupe

Stratégies de groupe

Les stratégies de groupe définit une gamme très large de composants gérables par les administrateurs dans l’environnement utilisateur. Parmi ces composants se trouvent des paramètres pour les stratégies de registre, des options de sécurité, des options de déploiement de logiciel, des scripts (pour le démarrage et l’arrêt des ordinateurs et pour la connexion et la déconnexion des utilisateurs) et une redirection de dossiers spéciaux.

4 – Outils

Active Directory™ Migration Tool :

Cet outil est fourni par Microsoft en téléchargement.

Il s’agit d’un outil permettant de migrer les objets entre deux forets tout en préservant les SID et historiques.

5 – Conclusions

Active Directory est une innovation majeure apportée depuis Windows 2000.

Il s’agit de services complets d’annuaire nécessaires à l’administration d’un réseau Windows et des autres applications. Les évolutions ont permis de véritables services de redondance, de tolérance aux pannes ainsi qu’au renforcement de la sécurité.

Microsoft s’emploie désormais à permettre l’interconnexion des domaines d’entreprises avec ses services Cloud (Office 365, Azure, InTune)….

2 comments to Découverte de Active Directory Service

Leave a Reply

  

  

  

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.