Vous êtes sur la page 1sur 9

Cours sur Active Directory

Table des matires


Active Directory........................................................................................................................1
I- Principes............................................................................................................................2
1- Annuaire LDAP............................................................................................................2
2- Authentification Kerberos.........................................................................................3
3- Tcp/Ip et DNS..............................................................................................................4
II- Architecture.....................................................................................................................5
1- Domaines, Arborescence, Forts.............................................................................5
2- Contrleurs de domaines multiples :.......................................................................5
III- U.O., Utilisateurs, groupes...........................................................................................6
IV- Approbations..................................................................................................................6
1- Direction et transitivit :............................................................................................6
2- Types d'approbation :................................................................................................6
V- Matres (Rles FSMO) et catalogues globaux...........................................................7
1- Rles FSMO.................................................................................................................7
Catalogues globaux :....................................................................................................8
VI- Systmes de noms et chemins d'accs.....................................................................8
Netbios / Wins :...............................................................................................................8
DNS :................................................................................................................................. 8
Chemins d'accs rseau :.............................................................................................8

IPv6 sur les routeurs Cisco

I- Principes
Active Directory est le service d'annuaire de Microsoft intgr aux versions
serveur de Windows.
Historiquement, Microsoft n'avait pas de service d'annuaire et beaucoup
d'entreprises utilisaient le NDS de Novell.
Ce service d'annuaire est bas sur le protocole le plus connu du domaine :
LDAP.
Ce protocole fonctionnant en TCP/IP, Microsoft a du utiliser cette pile de
protocoles en standard et faire reculer au second plan ses protocoles historiques :
Netbios, Wins, etc.

1- Annuaire LDAP
L'annuaire LDAP regroupe tous les objets dans un arbre.
La racine de cet arbre est le domaine (DNS).
Les branches sont des units d'organisations (pas des objets).
Les feuilles sont des objets (utilisateurs, groupes, ordinateurs, ...).
Un exemple d'arbre pour le domaine greta.fr :
greta.fr
Users
nico

Groups
...

Computers

...

Le chemin d'accs l'utilisateur nico de cet annuaire LDAP s'crit de cette


manire : cn=nico,ou=Users,dc=greta,dc=local
Wikipedia : http://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol

Dernires modifications le 30/05/13

Page 2

IPv6 sur les routeurs Cisco

2- Authentification Kerberos
L'annuaire LDAP ne fait que rfrencer les objets du domaine. Il n'intervient pas
dans l'authentification.
La partie authentification est gre par un protocole spcialis dans ce
domaine : Kerberos. Historiquement NTLM tait utilis mais des failles de scurit
importantes sont avres sur ce protocole. Il n'est plus utilis qu'en cas
d'incompatibilit.
L'authentification pour un service rseau fonctionne en trois tapes :
1. Le client s'identifie l'aide de sa cl secrte sur le serveur d'authentification.
2. Le client demande un ticket pour un certain service et une certaine dure au
serveur de ticket.
3. Le client prsente au service le ticket qu'il a reu du serveur de ticket.

Wikipedia : http://fr.wikipedia.org/wiki/Kerberos

Dernires modifications le 30/05/13

Page 3

IPv6 sur les routeurs Cisco

3- Tcp/Ip et DNS
Enfin Active Directory fonctionne obligatoirement sur TCP/IP et donc avec DNS.
Les anciens protocoles (Netbios, WINS) n'existent plus sauf pour questions de
compatibilit avec les anciens logiciels.
Au moins un serveur DNS doit exister dans l'organisation, soit sur l'AD luimme, soit sur un autre serveur connu de l'AD.

Dernires modifications le 30/05/13

Page 4

IPv6 sur les routeurs Cisco

II- Architecture
1- Domaines, Arborescence, Forts
Dans un contexte Active Directory, trois termes sont retenir :
Domaine (ou sous-domaine) : Le domaine au sens de l'AD est le niveau le
plus bas. Il contient au moins un contrleur de domaine (Ldap + Kerberos).
Il reprsente une organisation ou une partie d'une organisation.
Arborescence : Ensemble d'un domaine et de tous ses sous-domaines.
Fort : Ensemble d'arborescences qui appartient la mme organisation.
Au choix de l'architecte rseau, deux arborescences peuvent appartenir
une mme fort ou pas.
Exemple :

greta.fr

gtn.fr

approbations
Domaines
sous-domaines

Arborescence

approbation

torcy.greta.fr

paris.greta.fr

Fort

2- Contrleurs de domaines multiples :


Plusieurs contrleurs de domaine peuvent tre installs dans une architecture.
Cela permet la tolrance de panne.
L'autre ou les autres serveurs peuvent lire et crire dans l'annuaire. Les
donnes de l'annuaire prsentes sur le sysvol sont rpliques par le protocole DFS
(historiquement par NTFRS) entre les serveurs.
L'un des serveurs est le matre des rles FSMO (voir le chapitre sur FSMO).

Dernires modifications le 30/05/13

Page 5

IPv6 sur les routeurs Cisco

III- U.O., Utilisateurs, groupes


L'annuaire permet notamment de crer :
des units d'organisation dans lesquelles on pourra crer des objets
(utilisateurs, groupes, imprimantes, ) et sur lesquelles on pourra appliquer
des stratgies de groupe (GPO).
des groupes qui permettent de regrouper les utilisateurs dans des
ensembles sur lesquels on pourra dfinir des droits de scurit NTFS.
des comptes utilisateurs qui permettent de dfinir individuellement le profil
de chaque utilisateur.

IV- Approbations
Dans un contexte multi-domaine et/ou multi-forts, les annuaires peuvent
dialoguer entre eux en utilisant les approbations.
Cela permet aux utilisateurs de pouvoir utiliser certaines ressources dans des
domaines qui ne sont pas le leur d'origine.
Pour voir les approbations existantes dans le domaine, on peut utiliser la
console domain.msc.

1- Direction et transitivit :
Direction : Les relations d'approbation peuvent tre unidirectionnelles (le
domaine 1 est approuv sur le domaine 2 mais l'inverse est faux) ou
bidirectionnelles.
Transitivit : Si une relation est transitive, cela signifie que :
si un domaine 1 est approuv sur un domaine 2
et un domaine 2 est approuv sur un domaine 3
alors le domaine 1 est approuv sur le domaine 3

2- Types d'approbation :
Par dfaut, l'ajout d'un domaine, active directory dfinit les relations
d'approbation multidirectionnelles transitives suivantes :
Relation parent-enfant (ex : entre greta.fr et torcy.greta.fr)
Dernires modifications le 30/05/13

Page 6

IPv6 sur les routeurs Cisco

Relation racine d'arborescence (ex : entre greta.fr et gtn.fr)

Les autres relations possibles sont :


Relation externe (avant Windows 2000)
Relation de domaine Kerberos (pour lier des Kerberos non Windows)
Relation entre forts (entre forts diffrentes)
Relation de raccourci (plusieurs domaines dans une seule fort)
Articles sur les relations d'approbation :
http://technet.microsoft.com/fr-fr/library/cc736874%28v=ws.10%29
http://www.labo-microsoft.org/articles/win/trust/

V- Matres (Rles FSMO) et catalogues globaux


1- Rles FSMO
Les rles de matre d'opration servent savoir quel est le serveur rfrence
qui va grer la rplication des modifications vers les autres serveur.
Les termes contrleur primaires et contrleur secondaire n'existent plus sauf
pour question de compatibilit (mulateur de PDC).
Dans une fort, il ne doit y avoir un moment donn qu'un serveur matre de
schma et un serveur matre d'attribution de noms de domaine.
Dans un domaine, il ne doit y avoir un moment donn qu'un serveur matre
RID, un serveur matre d'infrastructure et un mulateur de contrleur de domaine
principal.

Matre de schma : Responsable du schma d'annuaire LDAP.


Matre d'attribution de noms de domaine : Responsable de
l'ajout/suppression des noms de domaines.
Matre RID : Distribue les identifiants uniques aux objets de l'annuaire pour
une question de scurit (partie du SID).
Matre d'infrastructure : Gre les liens entre les utilisateurs et leurs groupes.
mulateur de PDC : Permet d'muler le rle de PDC et rplique les
changements de mots de passe utilisateurs.

Dernires modifications le 30/05/13

Page 7

IPv6 sur les routeurs Cisco

Catalogues globaux :
Dans un parc contenant plusieurs contrleurs de domaines, les serveurs de
catalogue global ont une copie complte des informations de tous les contrleurs de
domaine.
Il y a toujours au moins un CG dans une fort. Le premier serveur tre install
dans une fort est forcment un CG.
Ainsi, si un utilisateur de torcy.greta.fr veut se connecter sur le site de Lognes
(lognes.greta.fr) et que le serveur de Lognes n'est pas un CG, il devra contacter son
CG pour obtenir les informations du compte utilisateur.

VI- Systmes de noms et chemins d'accs


Netbios / Wins :
Historiquement, Windows utilisait les noms Netbios pour connatre les
machines. Le nom Netbios est celui qu'on retrouve dans les proprits systmes de
Windows.
Netbios n'est pas bas sur TCP/IP.
La rsolution de noms Netbios se fait par broadcast, ce qui empche son
utilisation au del du rseau local. Un serveur pouvait galement rsoudre les noms
Netbios, le serveur Wins qui n'est plus utilis aujourd'hui.

DNS :
Active Directory est forcment li un ou plusieurs serveurs DNS.
Voir la documentation complte sur DNS.

Chemins d'accs rseau :


Cette utilisation est spcifique Microsoft. Dans le monde TCP/IP, on utilise les
chemins URL.
\\nomdelordinateur\partage\chemin\ressource

\\ : Demande d'accs par le protocole smb (partage de fichiers MS).

nomdelordinateur : nom netbios (ex : pc1) ou nom DNS (ex : pc1.greta.fr)

partage : un des dossiers partags sur l'ordinateur.

chemin : un sous-rpertoire partir de ce partage.


Dernires modifications le 30/05/13

Page 8

IPv6 sur les routeurs Cisco

ressource : le fichier ou le rpertoire auquel vous voulez accder.

Dernires modifications le 30/05/13

Page 9