Vous êtes sur la page 1sur 9

Active Directory

Structure logique

Service d'annuaire Base d'annuaire distribue des ressources rseau :


comptes utilisateurs, groupes, ordinateurs, imprimantes, dossiers partags, ...

Forts Arborescences Domaines Units d'organisation

Administration centralise Tolrance de panne Protocoles standard => interoprabilit (clients) Produit propritaire => pas de serveur AD non microsoft

Un annuaire permet de localiser, rechercher, grer des ressources reprsentes par des objets de l'annuaire. Il offre des mcanismes de scurit pour protger ses informations. Active Directory est un annuaire permettant de grer des ressources lies la gestions du rseau (domaines, comptes utilisateurs, stratgies de scurit, ...). La base de donnes d'AD est distribue ce qui lui amliore la tolrance de pannes. Son mode de fonctionnement multi-matre permet de conserver une gestions centralise. AD respecte le standard LDAP V3. Il est donc capable d'interagir avec des clients et des serveurs LDAP d'autres origines. Les protocoles d'change entre serveurs AD sont propritaires et non publics. Un contrleur de domaine ne pourra donc pas tre une machine avec un annuaire d'un fournisseur tier. Certaines produits microsoft sont intalles par dfaut (ou fortement conseills lors de l'installation): DNS, serveur WeB. D'autres bnficient d'une forte intgration avec AD (serveur de courrier Exchange). Quelques soient les qualits des produits concurrents (Serveur WeB Apache, annuaire open-ldap ou novell, serveur dns bind, ...) leur mise en place sera forcment moins naturelle que celles des produits microsoft. Tout en tant un excellent produit, AD est l'un des maillons de la conqute du march des serveurs par microsoft. Le support par AD d'un certain nombre de procoles standard a pour but de fdrer l'ensemble des ressources rseau autour de serveurs microsoft.

Il est important de planifier la structure avant de l'implanter. La structure logique: dcomposition de l'entreprise en domaines, arborescences, units d'organisation. Cette dcomposition pourra tre guide par la structure de l'entreprise et, surtout, par les besoins d'administrations : Limites de scurit (qui est responsable de quoi) : domaines Possibilit de dlgation d'administration : units d'organisation Autorisation d'accs aux ressources Contraintes ou configurations des comptes et des sessions des utilisateurs ... Nous allons dtailler les outils qui sont la dispositions de l'architecte du rseau pour crer sa structure logique. Plus tard, nous parlerons de lments qui l'inciteront adopter une structure plutt qu'une autre: dlgation de tout ou partie de l'administration de tout ou partie d'un ensemble d'utilisateurs et, dans un autre chapitre, les stratgies de groupes (imposer des configurations aux utilisateurs et aux ordinateurs).

Domaine

Units d'organisations

Limite de scurit Unit d'administration Unit de rplication Mode d'un domaine: mixte ou natif (dpend de l'OS des contrleurs de domaine)

Organisation logique l'intrieur d'un domaine Contient des objet active directory Permet

De dlguer des pouvoirs De simplifier la scurit D'appliquer une stratgie des ordinateurs ou utilisateurs

Rend obsolte la construction usuelle domaine de compte/domaine de ressources NT4

Limite de scurit: chaque domaine dispose de ses propres stratgies de scurit. Unit d'administration: L'administrateur du domaine gre l'ensemble de la scurit sur son domaine. Il est le seul pouvoir accorder des permissions sur les objets de son domaine. Sauf autorisation accorde explicitement, il ne gre rien en dehors de son domaine. Unit de rplication: les donnes actives directory sont rpliques sur tous les contrleurs de domaine toutes les 5 mn. Mode d'un domaine: mode mixte: s'il reste des contrleur de domaine NT4. Certaines fonctionnalits ne sont pas disponibles. Mode natif: si tous les contrleurs de domaine sont en W2K. L'OS des ordinateurs non contrleur du domaine n'influe pas sur le mode. Il est possible de passer du mode mixte au mode natif mais pas l'inverse.

Une unit d'organisation (UO) est un container pouvant contenir des utilisateurs, des ordinateurs, des groupes, ... et d'autres units d'organisation. Une unit d'organisation doit tre utilise quand on souhaite dlguer des pouvoirs ou appliquer une stratgie particulire un sous-ensembles des objets du domaine. Il est possible de donner tout ou partie des droits d'administration sur les objets d'une UO certains utilisateurs. En crant une unit d'organisation regroupant les ordinateurs du domaine, on peut dlguer leur gestion un utilisateur qui n'aura pas de droit sur les comptes utilisateurs. On vite de mettre en place deux domaines ressources/comptes comme sous NT4. Sans UO, les utilisateurs sont dans le container Users (qui n'est pas une UO) et les ordinateurs dans un container Computers qui n'est pas une UO.

Arborescences

Forts

Arbre ou arborescence: ensemble de domaines appartenant une mme hirarchie de nom DNS Domaine racine: premier domaine cr, non renommable, non supprimable Domaine enfant

Toto.org

Fort: ensemble d'arborescences

fr.toto.org

uk.toto.org Toto.org

S1.fr.toto.org

S2.fr.toto.org

Foo.org fr.toto.org fr.foo.org uk.foo.org uk.toto.org

L'ajout d'un nouveau domaine se fait en crant un domaine enfant un domaine existant de l'arborescence. Le nom complet (DNS) du nouveau domaine est obtenu en concatnant son nom au nom du domaine parent. Ainsi, le nom de S1 est S1.fr.toto.org.

Une fort est un ensemble d'arborescences ayant des noms appartenant des espaces non contigus. Les arborescences d'une fort partagent une configuration, un schma et un catalogue global communs. Le nom de la fort est le nom de l'arborescence racine (premire arborescence cre dans la fort). Une fort peut ne contenir qu'une seule arborescence.

Relations d'approbation

Relation d'approbation sous W2K

Dlguer l'authentification Permettre d'autoriser des utilisateurs d'un autre domaine utiliser des ressources de son domaine
A Domaine approuvant Ressource B Domaine approuv Compte

Relation bidirectionnelles/unidirectionnelles, transitives, implicites, manuelles/automatiques, raccourcies


Relation automatiquebidirectionnelle transitive (rabt) Relation manuelle unidirectionnelle non transitive
io lat Re n te ici pl im bt

Toto.org
Rabt Rabt

Foo.org
Rabt Rabt

fr.toto.org

uk.toto.org

fr.foo.org

uk.foo.org
Relation raccourcie manuelle transitive unidirectionnelle

Une relation d'approbation permet l'administrateur d'un domaine A de dlguer l'authentification de certains utilisateurs un autre domaine B. L'administrateur du domaine A peut accorder l'accs certaines ressources (ouvrir une session, accs des ressources, ...) aux utilisateurs valids par le domaine B. Cet accs doit tre explicitement donn par l'admin de A qui reste donc matre chez lui. Parallle avec la vie courante : une mdiathque dpartementale peut accepter les cartes dlivres par les bibliothques municipales pour identifier certains de ses lecteurs. Dans ce cas, la mdiathque joue le rle du domaine approuvant et les bibliothques municipales jouent le rle du domaine approuv. La mdiathque est libre de dcider l'accs ses ressources qu'elle laisse aux membres des bibliothques municipales tout comme l'administrateur du domaine A est libre de dcider l'accs qu'il laisse aux membres du domaines B (en gnral, l'accs est donn aux membres d'un groupe de B, pas des utilisateurs individuels).

Une relation entre un domaine A et un domaine B est bidirectionnelle si A approuve B et si B approuve A. Une relation est transitive si A approuve B, B approuve C alors A approuve C mme s'il n' y a pas de relation d'approbation explicite entre A et C. Au sein d'un fort, des relations d'approbations bidirectionnelles transitives entre domaine parent et domaines enfantset entre arborescences et racine sont automatiquement mises en place lors de la cration des arborescences et des domaines. Il est possible de crer manuellement des relations raccourcies qui vitent le parcours complet du chemin entre deux domaines. De telles relations sont unidirectionnelles et transitives. Les relations d'approbations externes peuvent tre cres manuellement entre deux domaines de deux forts diffrentes ou entre un domaine W2K et un domaine non W2K. Ces relations externes sont unidirectionnelles et non transitives.

Structure physique

Excution multimatres (W2K) vs matre unique (NT 4)

Sites Contrleurs de domaines

Sous NT4: un contrleur principal (original en lecture/criture) et des contrleurs secondaires (copie en lecture) Sous W2K: des contrleurs de domaines identiques, une base en lecture/criture sur chaque contrleur W2K: Oprations en matres unique : maitres d'oprations

La structure physique d'active directory est distincte de sa structure logique. La structure physique vous permet de grer et d'optimiser le trafic de votre rseau. Elle se compose de deux lments: les contrleurs de domaine et les sites: Un site est un ensemble de plusieurs sous rseaux IP relis entre eux par des liaisons haut dbit. Les liaisons entre sites peuvent tre plus lentes ou plus coteuses. Dfinir des sites, c'est donner des informations windows 2000 qui lui permettront d'optimiser le trafic li la duplication entre contrleurs de domaines et la vitesse de la liaison entre les utilisateurs et leur contrleur de domaine. La notion de site est indpendante de la notion de domaine: un domaine peut contenir plusieurs sites e un site peut contenir plusieurs domaines. Un contrleur de domaine est un ordinateur sous windows 2000 server qui stocke et gre une copie de la base d'active directory. Il duplique les modifications de l'annuaire vers les autres contrleurs. Le processus d'ouverture de session des 'utilisateurs met forcment en jeux au moins un contrleur de domaine. Il est donc important que tout utilisateur puisse avoir une liaison rapide et fiable avec au moins un contrleur de domaine. Pour concevoir une structure physique cohrente, il faut matriser le fonctionnement de la rplication entre contrleurs de domaine et les rles des matres d'oprations.

Sous windows NT4, un contrleur de domaine particulier appel le contrleur principal du domaine hbergeait les informations du domaine (scurit, ...) et y avait un accs en lecture/criture. Les contrleurs secondaire avaient une copie de ces informations. Un contrleur secondaire pouvait servir consulter les informations mais pas les modifier. Les modifications devaient avoir forcment lieu sur le contrleur principal (changement de mot de passe, cration d'utilisateurs, ...) Sous W2K, les contrleurs de domaines sont globalement tous quivalents et hbergent une copie des informations de la base d'annuaire accessible en lecture/criture. La base d'annuaire est duplique et distribue sur chaque contrleur de domaine (rplication multimatres). Les oprations usuelles (crations de comptes, changement de mot de passe, ...) peuvent tre ralises sur n'importe quel contrleur du domaine. Dans certains cas, si des modifications incompatibles sont ralises sur des contrleurs un moment o ils sont coups du rseau, seule l'une de ces modification sera prise en compte. W2K a t conu pour limiter au maximum ce type de problmes. Certaines oprations critiques sont prises en charges par un seul contrleur de domaine. Pour ces quelques oprations, on retrouve un fonctionnement en matre unique (mais une copie en lecture est accessible sur tout ou partie des autres contrleurs). Les ordinateurs ralisant ces oprations critiques sont appels des matres d'oprations (ou FSMO : Flexible Single Master Operation).

Partition d'annuaire

Matres d'oprations

Partition d'annuaire : portion de l'espace de noms de l'annuaire Sert rpartir les donnes de l'annuaire Sous arbres :

Matre de schma Matre d'attribution de noms de domaine Le matre mulateur CPD Le matre de RID (identifiants relatifs) Le matre d 'infrastructure

Configuration Schema Domaine

Consultez le tome 6 du kit de ressources techniques pour plus d'information sur la parition d'annuaire: reskit tome 6 page 99 et suivantes

Matre de schma: modification sur le schma d'annuaire. Un par fort. Matre d'attribution de nouveau noms de domaine:permet d'ajouter/retirer un domaine de la fort et les objets de rfrence croisse avec les annuaires externes. Un par fort. S'il est indisponible, les fonctions qu'il assure ne sont plus assure. Le rle peut tre transfr dfinitivement un autre contrleur. Matre mulateur CPD: sert de contrleur principal de domaine aux ordinateurs w9x ou NT membres du domaines sur lesquels le client Active Directory n'a pas t install. Il y en a un par domaine. S'il est indisponible, les changements de mot de passe depuis des ordinateurs w9x et NT sans client active directory seront impossibles. Certaines ouvertures de sessions seront perturbes (cf reskit chap. 7). Matre des identificateurs relatifs : distribue des paquets d'identificateurs relatifs aux contrleurs de domaine. Les contrleurs de domaines peuvent ainsi utiliser ces identifiants relatifs lors de la cration des principaux de scurit (utilisateurs, groupes ou ordinateurs). Quand un contrleur de domaine a puis son stock d'identifiants relatifs, il doit contacter le matre RID pour en obtenir de nouveaux. Si le matre RID est indisponible, il ne sera plus possible de crer de nouveaux principaux sur ce contrleur. Il y a un matre RID par domaine. Le matre RID sert aussi lors du transferts de principaux d'un domaine dans un autre l'aide de l'utilitaire movetree. L'utilitaire DCDIAG permet d'afficher l'allocation des paquets (option /v, test RidManager, cf reskit tome 6, chapitre 10 et dcdiag /?) -> cf diapo suivante pour la suite.

Exemple

Placement des rles de matre d'opration

Arborescence de domaines : toto.fr, s1.toto.fr et s2.toto.fr Indiquez les rles de matre d'opration de cette fort (11 rles)

3 soucis :

Contrler la charge rseau Augmenter les performances et la fiabilit Permettre un remplacement rapide en cas de dfaillance Ntdsutil: pour transfrer un rle en ligne de commande Repadmin: diagnostique de la rplication (vrification de la mise jour)

Transfert de rle:

Matre d'infrastructure:Quand un utilisateur et un groupe sont dans deux domaines diffrents, le changement de nom de l'utilisateur n'est pas pris en compte tout de suite au niveau du groupe. le matre d'infrastructure est responsable de la rfrence transdomaine groupe-utilisateur de faon mettre jour le nom de l'utilisateurs l o il est utilis dans les autres domaine. Il y a un matre d'infrastructure par domaine. Le matre d'infrastructure compare ses donnes celles du serveur de catalogue global. Les deux rles ne doivent pas tre assurs par le mme ordinateur. En cas d'indisponibilit du matre d'infrastructure, les mises jour seront retardes. Rponse de l'exemple: au niveau de la fort toto.fr: 1 matre de schma et un matre d'appellation de domaines. Au niveau de chaque domaine : un mulateur CPD, un matre d'infrastructure et un matre des RID (soit 3*3=9 rles).

En cas de dfaillance d'un rle, il est possible de transfrer le rle un contrleur existant. Pour viter les pertes d'informations, il est utile de reprer les contrleurs de domaines qui sont partenaires de rplication de chaque matre d'opration. En tant que partenaire direct, ces ordinateurs auront la base de donnes la plus jour possible et sont des remplaants idaux. Le placement par dfaut des rles convient bien aux domaines de petite taille. Pour les domaines de grande taille, on peut planifier le placement des rles : La planification prendra en compte la topologie du rseau et les actions mener en cas de dfaillance. Pour plus d'information, consultez le kit de ressources techniques, tome 6 pages 400 et suivantes.

Serveurs du catalogue global

Serveurs du catalogue global

Mmorise une copie partielle des donnes Active Directory de tous les domaines de la fort Utile pour l'ouverture de session des utilisateurs :

Sites et services Active Directory pour passer un contrleur de domaine serveur de catalogue global Ouverture de session en cas d'indisponibilit des serveurs du catalogue global.

Appartenance aux groupes universels Domaine d'un nom principal d'utilisateur

Localisation d'objets dans la fort Un contrleur de domaine peut devenir serveur de catalogue global (action manuelle) Conseil: au moins un serveur de catalogue global par site et par domaine
Pour passer serveur de catalogue global un contrleur de domaine, il faut utiliser Sites et Services Active Directory et cocher l'option ad hoc dans les proprits de NTDS Settings. En cas d'indisponibilit de tous les serveurs de catalogue global : Un membre du groupe administrateurs du domaine peut ouvrir une session Pour les autres utilisateurs, la connexion s'appuie sur les informations mises en cache : si l'utilisateur s'est dj connect sur le domaine, il peut ouvrir une session. S'il ne s'est jamais connect sur le domaine, il ne peut y ouvrir de session. Il peut nanmoins ouvrir une session sur l'ordinateur local.

Un serveur de catalogue global est un contrleur de domaine possdant une copie en lecture seule des attributs les plus utiliss de tous les objets de la fort. Le premier contrleur de la fort est serveur de catalogue global. Les administrateurs de domaines peuvent transformer n'importe quel contrleur de domaine en serveur de catalogue global. Le serveur de catalogue global va tre utilis pour des recherches l'chelle de la fort. Il est conseill d'avoir un serveur de catalogue global par site pour viter l'utilisation de liaison lentes et d'avoir un serveur de catalogue global par domaine. Sans serveur de catalogue global, les recherches s'effectuent sur chaque contrleur de domaine de la fort. Le serveur de catalogue global est consult pendant l'ouverture de session des utilisateurs. Il fournit les informations sur l'appartenance de l'utilisateur des groupes universels ncessaires la cration du jeton de scurit de l'utilisateur. Si l'utilisateur a fourni un nom principal (petit@ueve.world) pour l'ouverture de session au lieu du couple identifiant/domaine ou nom SAM (UEVE\petit), c'est le serveur de catalogue global qui fournit le nom de domaine (UEVE) associ au nom principal. Le serveur de catalogue global est consult en cas d'ajout d'un utilisateur ou d'un groupe d'un domaine diffrent un groupe du domaine.

Bibliographie

Structure logique AD: reskit tome 6 chap. 1 Matres d'opration, catalogue global : reskit tome 6, chapitre 1, chapitre 7 Les RFC concernant LDAP : cf http://www.rfceditor.org/ pour le texte des RFCs et l'annexe B du tome 6 du reskit pour la liste des RFCs concernes. Scurit: reskit tome 6 chap. 12