Chapitre 4
Chapitre 4
Chapitre 4
L’Active Directory est un annuaire LDAP pour les systèmes d’exploitation Windows, le tout étant
créé par Microsoft.
Cet annuaire contient différents objets, de différents types (utilisateurs, ordinateurs, etc.), l’objectif
étant de centraliser deux fonctionnalités essentielles : l’identification et l’authentification au sein
d’un système d’information.
Active Directory est un annuaire global permettant d’administrer à partir d’un point unique toutes
les ressources (applications, serveurs, imprimantes, groupes, ordinateurs) Et les utilisateurs.
LDAP (Lightweight Directory Access Protocol) définit la méthode d’acces aux données sur le serveur
au niveau du client et non la manière avec laquelle les informations stockées. Ce protocole repose
sur TCP/IP.
Se connecter, se déconnecter,
Rechercher des informations,
Comparer des informations,
Insérer des entêtes,
Modifier des entrées,
Supprimer des entrées,
Etc. …
LDIF (LDAP Data Interchange Format) est un format standardisé d’échange de données contenues
dans un annuaire LDAP (AD).
Il permet aussi la représentation d’opération sur les données de l’annuaire telle que l’ajout, la
modification et la suppression.
Cet annuaire permet d’organiser le réseau et ses objets à l’aide d’entités telles que les domaines, les
arborescences, les forêts, les relations d’approbation, les unités d’organisations et les sites.
Lorsque l’on crée un domaine, le serveur depuis lequel on effectue cette création est promu au rôle
de « contrôleur de domaine » du domaine créé. Il devient contrôleur du domaine créé, ce qui
implique qu’il sera au cœur des requêtes à destination de ce domaine. De ce fait, il devra vérifier les
identifications des objets, traiter les demandes d’authentification, veiller à l’application des
stratégies de groupe ou encore stocker une copie de l’annuaire Active Directory.
Un arbre :
En effet, lorsqu’un domaine principal contient plusieurs sous-domaines, on parle alors d’arbre, où
chaque sous-domaine au domaine racine représente une branche de l’arbre. Un arbre est un
regroupement hiérarchique de plusieurs domaines.
Une forêt, c’est un ensemble d’arbres, alors vous avez déjà compris le principe de la notion de «
forêt » dans un environnement Active Directory.
En effet, une forêt est un regroupement d’une ou plusieurs arborescences de domaine, autrement
dit d’un ou plusieurs arbres. Ces arborescences de domaine sont indépendantes et distinctes bien
qu’elles soient dans la même forêt.
Un niveau fonctionnel : détermine les fonctionnalités des services de domaine Active Directory qui
sont disponibles dans un domaine ou une forêt.
Le niveau fonctionnel permet de limiter les fonctionnalités de l’annuaire au niveau actuel afin
d’assurer la compatibilité avec les plus anciennes versions des contrôleurs de domaine.
Plus le niveau fonctionnel est haut, plus on peut bénéficier des dernières nouveautés liées à l’Active
Directory et à sa structure. Ce qui rejoint la réponse à la question précédente.
Par ailleurs, on est obligé d’augmenter le niveau fonctionnel pour ajouter la prise en charge des
derniers systèmes d’exploitation Windows pour les contrôleurs de domaine.
Il y a deux niveaux fonctionnels différents, un qui s’applique au niveau du domaine et un autre qui
s’applique au niveau de la forêt. Le plus critique étant le niveau fonctionnel de la forêt, car il doit
correspondre au niveau minimum actuel sur l’ensemble des domaines de la forêt. De ce fait, il est
obligatoire d’augmenter le niveau fonctionnel des domaines avant de pouvoir augmenter le niveau
fonctionnel de la forêt.
Le protocole Kerberos est l’acteur principal de l’authentification au sein d’un domaine, il n’intervient
ni dans l’annuaire ni dans la résolution de noms.
Le protocole Kerberos est un protocole mature, Qui est aujourd’hui en version 5. Il Assure
l’authentification de manière sécurisée avec un mécanisme de distribution de clés.
Chaque contrôleur de domaine dispose d’un service de distribution de clés de sécurité, appelé «
Centre de distribution de clés (KDC) » et qui réalise deux services :
L’étendue d’un groupe correspond à sa portée au niveau de l’arborescence Active Directory, les
étendues peuvent aller d’une portée uniquement sur le domaine local, mais aussi s’étendre sur la
forêt entière.
Domaine local
Domaine globale
Domaine universelle
Un groupe qui dispose d’une étendue « domaine local » peut être utilisé uniquement dans le
domaine dans lequel il est créé. Avec ce type d’étendue, le groupe reste local au domaine où il est
créé.
Un groupe ayant une étendue « globale » pourra être utilisé dans le domaine local, mais aussi dans
tous les domaines approuvés par le domaine de base. Ainsi, si un « domaine A » approuve via une
relation un « domaine B », alors un groupe global créé dans le « domaine A » pourra être utilisé dans
le « domaine B ».
Un groupe disposant de l’étendue « universelle » à une portée maximale puisqu’il est accessible
dans l’ensemble de la forêt, ce qui implique qu’il soit disponible sur tous les domaines de la forêt. Un
groupe universel peut contenir des groupes et objets provenant de n’importe quel domaine de la
forêt. De la même manière, il est possible de l’utiliser pour définir l’accès aux ressources sur tous les
domaines de la forêt.
Le catalogue global est un contrôleur de domaine qui dispose d’une version étendue de l’annuaire
Active Directory. En fait, comme tout contrôleur de domaine, il dispose d’une copie complète de
l’annuaire Active Directory de son domaine, mais en supplément il dispose de :
Un répliqua partiel pour tous les attributs contenus dans tous les domaines de la forêt.
Toutes les informations sur les objets de la forêt.
Le catalogue global est un annuaire qui regroupe des éléments provenant de l’ensemble de la forêt,
c’est en quelque sorte un annuaire central.
On le différencie d’un contrôleur de domaine standard, car en temps normal, chaque contrôleur de
domaine contient une copie de l’annuaire de son domaine. Quant au catalogue global, il contient
une copie des attributs principaux de tous les domaines de la forêt.
Une relation d’approbation est un lien de confiance (Trust Relationship) établie entre deux
domaines Active Directory, voir même entre deux forêts Active Directory. Ces relations permettront
de faciliter l’accès aux ressources entre les domaines concernés, ce qui permet de mutualiser les
accès bien que les domaines disposent d’une base de données Active Directory différente.
Domaine
Contrôleur de domaine
Catalogue global
Site
Foret
Unité d’organisation