Chapitre 4

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 5

Chapitre 4 : Active Directory

L’Active Directory est un annuaire LDAP pour les systèmes d’exploitation Windows, le tout étant
créé par Microsoft.

Cet annuaire contient différents objets, de différents types (utilisateurs, ordinateurs, etc.), l’objectif
étant de centraliser deux fonctionnalités essentielles : l’identification et l’authentification au sein
d’un système d’information.

Active Directory est un annuaire global permettant d’administrer à partir d’un point unique toutes
les ressources (applications, serveurs, imprimantes, groupes, ordinateurs) Et les utilisateurs.

LDAP (Lightweight Directory Access Protocol) définit la méthode d’acces aux données sur le serveur
au niveau du client et non la manière avec laquelle les informations stockées. Ce protocole repose
sur TCP/IP.

LDAP fournit à l’utilisateur des méthodes lui permettant de :

 Se connecter, se déconnecter,
 Rechercher des informations,
 Comparer des informations,
 Insérer des entêtes,
 Modifier des entrées,
 Supprimer des entrées,
 Etc. …

LDIF (LDAP Data Interchange Format) est un format standardisé d’échange de données contenues
dans un annuaire LDAP (AD).

Il permet aussi la représentation d’opération sur les données de l’annuaire telle que l’ajout, la
modification et la suppression.

Cet annuaire permet d’organiser le réseau et ses objets à l’aide d’entités telles que les domaines, les
arborescences, les forêts, les relations d’approbation, les unités d’organisations et les sites.

Les intérêts de l’Active Directory sont :


Un contrôleur de domaine :

Lorsque l’on crée un domaine, le serveur depuis lequel on effectue cette création est promu au rôle
de « contrôleur de domaine » du domaine créé. Il devient contrôleur du domaine créé, ce qui
implique qu’il sera au cœur des requêtes à destination de ce domaine. De ce fait, il devra vérifier les
identifications des objets, traiter les demandes d’authentification, veiller à l’application des
stratégies de groupe ou encore stocker une copie de l’annuaire Active Directory.

Un contrôleur de domaine est indispensable au bon fonctionnement du domaine, si l’on éteint le


contrôleur de domaine ou qu’il est corrompu, le domaine devient inutilisable.

Un arbre :

La notion d’arbre nous fait penser à un ensemble avec différentes branches.

En effet, lorsqu’un domaine principal contient plusieurs sous-domaines, on parle alors d’arbre, où
chaque sous-domaine au domaine racine représente une branche de l’arbre. Un arbre est un
regroupement hiérarchique de plusieurs domaines.
Une forêt, c’est un ensemble d’arbres, alors vous avez déjà compris le principe de la notion de «
forêt » dans un environnement Active Directory.

En effet, une forêt est un regroupement d’une ou plusieurs arborescences de domaine, autrement
dit d’un ou plusieurs arbres. Ces arborescences de domaine sont indépendantes et distinctes bien
qu’elles soient dans la même forêt.

Mais alors, une forêt pour quoi faire ?

 Tous les arbres d’une forêt partagent un schéma d’annuaire commun.


 Tous les domaines d’une forêt partagent un « Catalogue Global » commun (nous verrons
plus tard ce qu’est un catalogue global).
 Les domaines d’une forêt fonctionnent de façon indépendante, mais la forêt facilite les
communications entre les domaines, c’est-à-dire dans toute l’architecture.
 Création de relations entre les différents domaines de la forêt.

Un niveau fonctionnel : détermine les fonctionnalités des services de domaine Active Directory qui
sont disponibles dans un domaine ou une forêt.

Le niveau fonctionnel permet de limiter les fonctionnalités de l’annuaire au niveau actuel afin
d’assurer la compatibilité avec les plus anciennes versions des contrôleurs de domaine.

Plus le niveau fonctionnel est haut, plus on peut bénéficier des dernières nouveautés liées à l’Active
Directory et à sa structure. Ce qui rejoint la réponse à la question précédente.

Par ailleurs, on est obligé d’augmenter le niveau fonctionnel pour ajouter la prise en charge des
derniers systèmes d’exploitation Windows pour les contrôleurs de domaine.
Il y a deux niveaux fonctionnels différents, un qui s’applique au niveau du domaine et un autre qui
s’applique au niveau de la forêt. Le plus critique étant le niveau fonctionnel de la forêt, car il doit
correspondre au niveau minimum actuel sur l’ensemble des domaines de la forêt. De ce fait, il est
obligatoire d’augmenter le niveau fonctionnel des domaines avant de pouvoir augmenter le niveau
fonctionnel de la forêt.

Le protocole Kerberos est l’acteur principal de l’authentification au sein d’un domaine, il n’intervient
ni dans l’annuaire ni dans la résolution de noms.

Le protocole Kerberos est un protocole mature, Qui est aujourd’hui en version 5. Il Assure
l’authentification de manière sécurisée avec un mécanisme de distribution de clés.

Chaque contrôleur de domaine dispose d’un service de distribution de clés de sécurité, appelé «
Centre de distribution de clés (KDC) » et qui réalise deux services :

 Un service d’authentification (Authentication Service – AS)


 Un service d’émission de tickets (Ticket- Granting Service - TGS)

L’étendue d’un groupe correspond à sa portée au niveau de l’arborescence Active Directory, les
étendues peuvent aller d’une portée uniquement sur le domaine local, mais aussi s’étendre sur la
forêt entière.

Il existe trois étendues différentes :

 Domaine local
 Domaine globale
 Domaine universelle

Un groupe qui dispose d’une étendue « domaine local » peut être utilisé uniquement dans le
domaine dans lequel il est créé. Avec ce type d’étendue, le groupe reste local au domaine où il est
créé.

Un groupe ayant une étendue « globale » pourra être utilisé dans le domaine local, mais aussi dans
tous les domaines approuvés par le domaine de base. Ainsi, si un « domaine A » approuve via une
relation un « domaine B », alors un groupe global créé dans le « domaine A » pourra être utilisé dans
le « domaine B ».

Un groupe disposant de l’étendue « universelle » à une portée maximale puisqu’il est accessible
dans l’ensemble de la forêt, ce qui implique qu’il soit disponible sur tous les domaines de la forêt. Un
groupe universel peut contenir des groupes et objets provenant de n’importe quel domaine de la
forêt. De la même manière, il est possible de l’utiliser pour définir l’accès aux ressources sur tous les
domaines de la forêt.
Le catalogue global est un contrôleur de domaine qui dispose d’une version étendue de l’annuaire
Active Directory. En fait, comme tout contrôleur de domaine, il dispose d’une copie complète de
l’annuaire Active Directory de son domaine, mais en supplément il dispose de :

 Un répliqua partiel pour tous les attributs contenus dans tous les domaines de la forêt.
 Toutes les informations sur les objets de la forêt.

Le catalogue global est un annuaire qui regroupe des éléments provenant de l’ensemble de la forêt,
c’est en quelque sorte un annuaire central.

On le différencie d’un contrôleur de domaine standard, car en temps normal, chaque contrôleur de
domaine contient une copie de l’annuaire de son domaine. Quant au catalogue global, il contient
une copie des attributs principaux de tous les domaines de la forêt.

Une relation d’approbation est un lien de confiance (Trust Relationship) établie entre deux
domaines Active Directory, voir même entre deux forêts Active Directory. Ces relations permettront
de faciliter l’accès aux ressources entre les domaines concernés, ce qui permet de mutualiser les
accès bien que les domaines disposent d’une base de données Active Directory différente.

Les composants logiques sont :

 Domaine
 Contrôleur de domaine
 Catalogue global

Les composants physiques sont :

 Site
 Foret
 Unité d’organisation

Vous aimerez peut-être aussi