Académique Documents
Professionnel Documents
Culture Documents
Cours Ad 2008 R2
Cours Ad 2008 R2
II- Architecture.....................................................................................................................................................................................4
1- Domaines, Arborescence, Forts........................................................................................................................................... 4
2- Contrleurs de domaines multiples :.................................................................................................................................. 4
Active Directory
I- Principes
Active Directory est le service d'annuaire de Microsoft intgr aux versions
serveur de Windows.
Historiquement, Microsoft n'avait pas de service d'annuaire et beaucoup
d'entreprises utilisaient le NDS de Novell.
Ce service d'annuaire est bas sur le protocole le plus connu du domaine :
LDAP.
Ce protocole fonctionnant en TCP/IP, Microsoft a du utiliser cette pile de
protocoles en standard et faire reculer au second plan ses protocoles
historiques : Netbios, Wins, etc.
1- Annuaire LDAP
L'annuaire LDAP regroupe tous les objets dans un arbre.
La racine de cet arbre est le domaine (DNS).
Les branches sont des units d'organisations (pas des objets).
Les feuilles sont des objets (utilisateurs, groupes, ordinateurs, ...).
Un exemple d'arbre pour le domaine greta.fr :
greta.fr
Users
Groups
nico
...
Computers
...
2- Authentification Kerberos
L'annuaire LDAP ne fait que rfrencer les objets du domaine. Il n'intervient
pas dans l'authentification.
La partie authentification est gre par un protocole spcialis dans ce
domaine : Kerberos. Historiquement NTLM tait utilis mais des failles de
scurit importantes sont avres sur ce protocole. Il n'est plus utilis qu'en
cas d'incompatibilit.
Dernires modifications le 24/10/12
- Page 2 -
Active Directory
Wikipedia : http://fr.wikipedia.org/wiki/Kerberos
3- Tcp/Ip et DNS
Enfin Active Directory fonctionne obligatoirement sur TCP/IP et donc avec
DNS.
Les anciens protocoles (Netbios, WINS) n'existent plus sauf pour questions de
compatibilit avec les anciens logiciels.
Au moins un serveur DNS doit exister dans l'organisation, soit sur l'AD luimme, soit sur un autre serveur connu de l'AD.
Dernires modifications le 24/10/12
- Page 3 -
Active Directory
II- Architecture
1- Domaines, Arborescence, Forts
Dans un contexte Active Directory, trois termes sont retenir :
Domaine (ou sous-domaine) : Le domaine au sens de l'AD est le niveau le
plus bas. Il contient au moins un contrleur de domaine (Ldap +
Kerberos). Il reprsente une organisation ou une partie d'une
organisation.
Arborescence : Ensemble d'un domaine et de tous ses sous-domaines.
Fort :
Ensemble d'arborescences qui appartient la mme
organisation. Au choix de l'architecte rseau, deux arborescences
peuvent appartenir une mme fort ou pas.
Exemple :
greta.fr
gtn.fr
approbations
Domaines
sous-domaines
Arborescence
approbation
torcy.greta.fr
paris.greta.fr
Fort
Active Directory
IV- Approbations
Dans un contexte multi-domaine et/ou multi-forts, les annuaires peuvent
dialoguer entre eux en utilisant les approbations.
Cela permet aux utilisateurs de pouvoir utiliser certaines ressources dans
des domaines qui ne sont pas le leur d'origine.
Pour voir les approbations existantes dans le domaine, on peut utiliser la
console domain.msc.
1- Direction et transitivit :
Direction : Les relations d'approbation peuvent tre unidirectionnelles (le
domaine 1 est approuv sur le domaine 2 mais l'inverse est faux) ou
bidirectionnelles.
Transitivit : Si une relation est transitive, cela signifie que :
si un domaine 1 est approuv sur un domaine 2
et un domaine 2 est approuv sur un domaine 3
alors le domaine 1 est approuv sur le domaine 3
2- Types d'approbation :
Par dfaut, l'ajout d'un domaine, active directory dfinit les relations
d'approbation multidirectionnelles transitives suivantes :
Relation parent-enfant (ex : entre greta.fr et torcy.greta.fr)
Relation racine d'arborescence (ex : entre greta.fr et gtn.fr)
Active Directory
Active Directory
Catalogues globaux :
Dans un parc contenant plusieurs contrleurs de domaines, les serveurs de
catalogue global ont une copie complte des informations de tous les
contrleurs de domaine.
Il y a toujours au moins un CG dans une fort. Le premier serveur tre
install dans une fort est forcment un CG.
Ainsi, si un utilisateur de torcy.greta.fr veut se connecter sur le site de
Lognes (lognes.greta.fr) et que le serveur de Lognes n'est pas un CG, il devra
contacter son CG pour obtenir les informations du compte utilisateur.
DNS :
Active Directory est forcment li un ou plusieurs serveurs DNS.
Voir la documentation complte sur DNS.