Active Directory

Table des matires

Active Directory..........................................................................................................................................................................................1
I- Principes................................................................................................................................................................................................2
1- Annuaire LDAP....................................................................................................................................................................................... 2
2- Authentification Kerberos........................................................................................................................................................... 2
3- Tcp/Ip et DNS........................................................................................................................................................................................ 3

II- Architecture.....................................................................................................................................................................................4
1- Domaines, Arborescence, Forts........................................................................................................................................... 4
2- Contrleurs de domaines multiples :.................................................................................................................................. 4

III- U.O., Utilisateurs, groupes...................................................................................................................................................5

IV- Approbations................................................................................................................................................................................5

1- Direction et transitivit :................................................................................................................................................................ 5

2- Types d'approbation :.................................................................................................................................................................... 5

V- Matres (Rles FSMO) et catalogues globaux...................................................................................................6

1- Rles FSMO.............................................................................................................................................................................................. 6
Catalogues globaux :........................................................................................................................................................................... 7

VI- Systmes de noms et chemins d'accs..................................................................................................................7

Netbios / Wins :.......................................................................................................................................................................................... 7
DNS :.................................................................................................................................................................................................................... 7
Chemins d'accs rseau :................................................................................................................................................................. 7

Active Directory

I- Principes
Active Directory est le service d'annuaire de Microsoft intgr aux versions
serveur de Windows.
Historiquement, Microsoft n'avait pas de service d'annuaire et beaucoup
d'entreprises utilisaient le NDS de Novell.
Ce service d'annuaire est bas sur le protocole le plus connu du domaine :
LDAP.
Ce protocole fonctionnant en TCP/IP, Microsoft a du utiliser cette pile de
protocoles en standard et faire reculer au second plan ses protocoles
historiques : Netbios, Wins, etc.

1- Annuaire LDAP
L'annuaire LDAP regroupe tous les objets dans un arbre.
La racine de cet arbre est le domaine (DNS).
Les branches sont des units d'organisations (pas des objets).
Les feuilles sont des objets (utilisateurs, groupes, ordinateurs, ...).
Un exemple d'arbre pour le domaine greta.fr :
greta.fr
Users

Groups

nico

...

Computers

...

Le chemin d'accs l'utilisateur nico de cet annuaire LDAP s'crit de cette

manire : cn=nico,ou=Users,dc=greta,dc=local
Wikipedia :
http://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol

2- Authentification Kerberos
L'annuaire LDAP ne fait que rfrencer les objets du domaine. Il n'intervient
pas dans l'authentification.
La partie authentification est gre par un protocole spcialis dans ce
domaine : Kerberos. Historiquement NTLM tait utilis mais des failles de
scurit importantes sont avres sur ce protocole. Il n'est plus utilis qu'en
cas d'incompatibilit.
Dernires modifications le 24/10/12
- Page 2 -

Active Directory

L'authentification pour un service rseau fonctionne en trois tapes :

1. Le client s'identifie l'aide de sa cl secrte sur le serveur
d'authentification.
2. Le client demande un ticket pour un certain service et une certaine dure
au serveur de ticket.
3. Le client prsente au service le ticket qu'il a reu du serveur de ticket.

Wikipedia : http://fr.wikipedia.org/wiki/Kerberos

3- Tcp/Ip et DNS
Enfin Active Directory fonctionne obligatoirement sur TCP/IP et donc avec
DNS.
Les anciens protocoles (Netbios, WINS) n'existent plus sauf pour questions de
compatibilit avec les anciens logiciels.
Au moins un serveur DNS doit exister dans l'organisation, soit sur l'AD luimme, soit sur un autre serveur connu de l'AD.
Dernires modifications le 24/10/12
- Page 3 -

Active Directory

II- Architecture
1- Domaines, Arborescence, Forts
Dans un contexte Active Directory, trois termes sont retenir :
Domaine (ou sous-domaine) : Le domaine au sens de l'AD est le niveau le
plus bas. Il contient au moins un contrleur de domaine (Ldap +
Kerberos). Il reprsente une organisation ou une partie d'une
organisation.
Arborescence : Ensemble d'un domaine et de tous ses sous-domaines.
Fort :
Ensemble d'arborescences qui appartient la mme
organisation. Au choix de l'architecte rseau, deux arborescences
peuvent appartenir une mme fort ou pas.
Exemple :

greta.fr

gtn.fr

approbations
Domaines
sous-domaines

Arborescence

approbation

torcy.greta.fr

paris.greta.fr

Fort

2- Contrleurs de domaines multiples :

Plusieurs contrleurs de domaine peuvent tre installs dans une
architecture. Cela permet la tolrance de panne.
L'autre ou les autres serveurs peuvent lire et crire dans l'annuaire. Les
donnes de l'annuaire prsentes sur le sysvol sont rpliques par le
protocole DFS (historiquement par NTFRS) entre les serveurs.
L'un des serveurs est le matre des rles FSMO (voir le chapitre sur FSMO).

Dernires modifications le 24/10/12

- Page 4 -

Active Directory

III- U.O., Utilisateurs, groupes

L'annuaire permet notamment de crer :
des units d'organisation dans lesquelles on pourra crer des objets
(utilisateurs, groupes, imprimantes, ) et sur lesquelles on pourra
appliquer des stratgies de groupe (GPO).
des groupes qui permettent de regrouper les utilisateurs dans des
ensembles sur lesquels on pourra dfinir des droits de scurit NTFS.
des comptes utilisateurs qui permettent de dfinir individuellement le
profil de chaque utilisateur.

IV- Approbations
Dans un contexte multi-domaine et/ou multi-forts, les annuaires peuvent
dialoguer entre eux en utilisant les approbations.
Cela permet aux utilisateurs de pouvoir utiliser certaines ressources dans
des domaines qui ne sont pas le leur d'origine.
Pour voir les approbations existantes dans le domaine, on peut utiliser la
console domain.msc.

1- Direction et transitivit :
Direction : Les relations d'approbation peuvent tre unidirectionnelles (le
domaine 1 est approuv sur le domaine 2 mais l'inverse est faux) ou
bidirectionnelles.
Transitivit : Si une relation est transitive, cela signifie que :
si un domaine 1 est approuv sur un domaine 2
et un domaine 2 est approuv sur un domaine 3
alors le domaine 1 est approuv sur le domaine 3

2- Types d'approbation :
Par dfaut, l'ajout d'un domaine, active directory dfinit les relations
d'approbation multidirectionnelles transitives suivantes :
Relation parent-enfant (ex : entre greta.fr et torcy.greta.fr)
Relation racine d'arborescence (ex : entre greta.fr et gtn.fr)

Dernires modifications le 24/10/12

- Page 5 -

Active Directory

Les autres relations possibles sont :

Relation externe (avant Windows 2000)
Relation de domaine Kerberos (pour lier des Kerberos non Windows)
Relation entre forts (entre forts diffrentes)
Relation de raccourci (plusieurs domaines dans une seule fort)
Articles sur les relations d'approbation :
http://technet.microsoft.com/fr-fr/library/cc736874%28v=ws.10%29
http://www.labo-microsoft.org/articles/win/trust/

V- Matres (Rles FSMO) et catalogues globaux

1- Rles FSMO
Les rles de matre d'opration servent savoir quel est le serveur
rfrence qui va grer la rplication des modifications vers les autres
serveur.
Les termes contrleur primaires et contrleur secondaire n'existent plus
sauf pour question de compatibilit (mulateur de PDC).
Dans une fort, il ne doit y avoir un moment donn qu'un serveur matre de
schma et un serveur matre d'attribution de noms de domaine.
Dans un domaine, il ne doit y avoir un moment donn qu'un serveur matre
RID, un serveur matre d'infrastructure et un mulateur de contrleur de
domaine principal.

Matre de schma : Responsable du schma d'annuaire LDAP.

Matre d'attribution de noms de domaine : Responsable de
l'ajout/suppression des noms de domaines.
Matre RID : Distribue les identifiants uniques aux objets de l'annuaire
pour une question de scurit (partie du SID).
Matre d'infrastructure : Gre les liens entre les utilisateurs et leurs
groupes.
mulateur de PDC : Permet d'muler le rle de PDC et rplique les
changements de mots de passe utilisateurs.

Dernires modifications le 24/10/12

- Page 6 -

Active Directory

Catalogues globaux :
Dans un parc contenant plusieurs contrleurs de domaines, les serveurs de
catalogue global ont une copie complte des informations de tous les
contrleurs de domaine.
Il y a toujours au moins un CG dans une fort. Le premier serveur tre
install dans une fort est forcment un CG.
Ainsi, si un utilisateur de torcy.greta.fr veut se connecter sur le site de
Lognes (lognes.greta.fr) et que le serveur de Lognes n'est pas un CG, il devra
contacter son CG pour obtenir les informations du compte utilisateur.

VI- Systmes de noms et chemins d'accs

Netbios / Wins :
Historiquement, Windows utilisait les noms Netbios pour connatre les
machines. Le nom Netbios est celui qu'on retrouve dans les proprits
systmes de Windows.
Netbios n'est pas bas sur TCP/IP.
La rsolution de noms Netbios se fait par broadcast, ce qui empche son
utilisation au del du rseau local. Un serveur pouvait galement rsoudre
les noms Netbios, le serveur Wins qui n'est plus utilis aujourd'hui.

DNS :
Active Directory est forcment li un ou plusieurs serveurs DNS.
Voir la documentation complte sur DNS.

Chemins d'accs rseau :

Cette utilisation est spcifique Microsoft. Dans le monde TCP/IP, on utilise
les chemins URL.
\\nomdelordinateur\partage\chemin\ressource

\\ : Demande d'accs par le protocole smb (partage de fichiers MS).

nomdelordinateur : nom netbios (ex : pc1) ou nom DNS (ex : pc1.greta.fr)
partage : un des dossiers partags sur l'ordinateur.
chemin : un sous-rpertoire partir de ce partage.
ressource : le fichier ou le rpertoire auquel vous voulez accder.
Dernires modifications le 24/10/12
- Page 7 -