..

..
..
..
..

Brevet de Technicien Suprieur

Informatique de gestion
Session 2001 2002

Benot HAMET

Prsentation de Active
Directory
.

Prsentation dActive
Directory

Prambule.....................................................................................4
Introduction ..................................................................................5
Dfinitions ..............................................................................5
Qu'est-ce qu'un service d'annuaire ........................................5
Quel est l'intrt de disposer d'un service d'annuaire ?.........5
Qu'est- ce que Active Directory ?...........................................6
Concepts importants ..................................................................7
Porte.....................................................................................7
Espace de noms ....................................................................7
Objet.......................................................................................7
Conteneur ..............................................................................7
Arbre.......................................................................................7
Nom........................................................................................8
Domaine.................................................................................8
Fort .......................................................................................9
Schma ..................................................................................9
Modle de donnes................................................................9
Fonctionnalits techniques de Active Directory .................10
Service de localisation .........................................................10
Nommage d'objet .................................................................10
Accs AD ..........................................................................10
Protocoles supports : .........................................................10

Catalogue global ..................................................................11

Propagation des mises jour ..............................................11
Scurit Dlgation...........................................................11
Prsentation technique de la scurit de Windows 2000 ....11
Rsum .......................................................................................13
Bibliographie ..............................................................................14

Prambule

Aujourd'hui, les systmes informatiques sont devenus le cur de toutes les entreprises.
Par consquents, ils doivent tre fiables, scuriss et disponibles tout en ncessitant de
moins en moins de maintenance.
Dans ce contexte, la mise en uvre d'un service d'annuaire permet de rpondre un
maximum de besoin tout en librant les personnels ncessaire la gestion des ressources
informatiques pour les assigner des tches plus ??? tout en permettant les utilisateurs
d'tre plus indpendants dans l'utilisation quotidienne des outils mis leur disposition.

L'utilisation du systme d'exploitation Windows 2000 permet de bnficier d'outils

permettant de rpondre ces contraintes tout en conservant une interface connue par les
utilisateurs. L'un de ces outils est le service d'annuaire Active Directory.

Cependant, l'utilisation du service d'annuaire de Microsoft ncessite sur l'ensemble des

postes clients et serveurs du systme d'exploitation Windows 2000 afin de profiter des
fonctionnalits offertes. Egalement, l'utilisation de service d'annuaire, quel qu'il soit, n'est
envisageable que pour certaines structures ayant un parc informatique moyen
important ( partir d'une cinquantaine de poste) ou clat sur plusieurs sites.

Ainsi l'utilisation de service d'annuaire permet de centraliser l'administration des

l'ensemble des ressources, librant de tches rbarbatives les administrateurs, tout en
amliorant leur utilisation par les utilisateurs mais cet outils n'est utilisable que pour des
structures disposant d'un parc relativement important ou pour des utilisations spcifiques,
telles que l'accs aux donnes internes partir de rseau public.

Introduction
Dfinitions
Le terme Active Directory (AD) est apparu avec le systme d'exploitation Microsoft
Windows 2000. Ce terme recouvre les technologies mises en uvre par Microsoft dans le
dveloppement d'outils visant simplifier l'administration de rseaux informatiques bass
sur le systme d'exploitation Windows 2000 (Professionnel pour les stations et Serveur
pour les serveurs).
Dans la pratique, il s'agit d'un service d'annuaire inclut dans l'OS Windows 2000,
famille serveur uniquement.

Qu'est-ce qu'un service d'annuaire

Un annuaire est une source d'informations utilise pour stocker des donnes propres
certains objets, par exemple l'annuaire tlphonique est un service d'annuaire contenant
l'ensemble des abonnes au tlphone et comprenant diverses informations.
Dans un systme d'informatique distribu ou un rseau informatique public comme
internet, il existe de nombreux objets intressants, comme des imprimantes, des serveurs
de base de donnes, des applications que les utilisateurs veulent pouvoir utiliser et
retrouver facilement tandis que les administrateurs veulent contrler leur utilisation. La
mise en uvre d'un service d'annuaire, tel que AD permet de rpondre ces besoins. AD
joue le rle d'annuaire tlphonique mais pour des enregistrements concernant des
ressources (matrielles et logicielles) connects en rseau.

Quel est l'intrt de disposer d'un service d'annuaire ?

On peut se poser la question de l'intrt d'un tel service puisqu'il existe des logiciels
pouvant aisment rpondre aux besoins exprims savoir la localisation simple des
ressources par l'utilisateur, le contrle de l'utilisation par les administrateurs.
L'intrt rside d'une part dans l'intgration l'OS ; il ne s'agit donc pas d'une
surcouche logicielle applique pour tel besoin spcifique, cela entrane une plus grande
stabilit. De plus, cette intgration permet d'effectuer des conomies d'argent puisque
cette surcouche aurait t achete en plus du systme d'exploitation, conomies de temps
de maintenance et de d'indisponibilit des serveurs pour l'installation
Enfin, ce service permet la centralisation de l'administration de lensemble des ressources
rseau, ce qui tait difficile avec l'utilisation de logiciels tiers.
Un service d'annuaire peut :
9

Appliquer les consignes de scurit dfinies par les administrateurs

Distribuer un annuaire de nombreux ordinateurs sur le rseau

Dupliquer un annuaire pour le rendre accessible un nombre accru

d'utilisateurs tout en augmentant le temps de disponibilit

Partitionner un annuaire pour permettre l'enregistrement d'un trs grand

nombre d'objets.

Un service d'annuaire est la fois un outils d'administration et un outils destin

l'utilisateur final des ressources informatiques. Il constitue la plaque tournante de tout
systme distribu important.

Qu'est- ce que Active Directory ?

Active Directory est le service d'annuaire fourni par Windows 2000 Server. Il tend
les fonctionnalits des services d'annuaire prcdemment fournis par Microsoft et offre en
outre des fonctionnalits entirement nouvelles, rendant aise la navigation parmi
d'importants volumes d'informations et facilite leur gestion et leur intgration grce
l'utilisation de standard (LDAP, Kerberos, X500, TCP/IP)

Concepts importants
Certains termes (ou concepts) utiliss pour dcrire AD sont nouveaux, d'autres non
et dans ce cas, il peut exister diffrentes dfinitions ; il est donc important de les remettre
dans le contexte Active Directory.

Porte
La porte d'AD est vaste ; il peut inclure tout objet isol (imprimante, poste de travail,
fichier), tout serveur ou tout domaine d'un rseau tendu (WAN) il peut aussi inclure
plusieurs rseaux tendus associs. La porte d'AD peut donc aller d'un ordinateur isol
de multiples rseaux informatiques associs.

Espace de noms
Active Directory est essentiellement un espace de noms, comme c'est le cas de tout
service d'annuaire. N'importe quelle zone dlimite au sein de laquelle un nom donn peut
tre rsolu constitue un espace de noms. La rsolution de nom consiste passer d'un nom
l'objet ou l'information que ce nom reprsente.

Objet
Un objet est un ensemble d'attributs nomm et circonscrit qui reprsente un lment
concret, comme un utilisateur, une imprimante ou une application. Les attributs
comportent des donnes (comme par exemple, le nom, le prnom d'un utilisateur ou
l'emplacement d'une imprimante) qui dcrivent le sujet identifi par l'objet.

Figure 1 - Un objet utilisateur et ses attributs

Conteneur
Un conteneur est semblable un objet dans la mesure o il possde des attributs et
fait partie de l'espace de noms de l'AD. Toutefois, il ne reprsente rien de concret ; ce
n'est qu'un rceptacle pour un ensemble d'objets ou pour d'autres conteneurs.

Arbre
L'arbre est employ, dans le contexte d'AD, pour dcrire une hirarchie d'objets et de
conteneurs ; les feuilles de l'arbre sont en gnral des objets. Les nuds de l'arbre
(endroits d'o partent les branches) sont des conteneurs.
Un arbre montre comment des objets sont relis entre eux, c'est--dire le chemin d'accs
d'un objet un autre.

Figure 2 - Reprsentation d'un arbre

Nom
Chaque objet dans AD est identifi par un nom ; il existe deux sortes de noms
diffrentes :
9

Nom unique
Chaque objet dans Active Directory possde un nom unique (Distinguished
Name). Le nom unique identifie le domaine qui contient l'objet, ainsi que le
chemin d'accs complet permettant d'y accder travers la hirarchie des
conteneurs (exemple de nom unique :
/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith, ce DN
correspond l'utilisateur James Smith dans le domaine microsoft.com)

Figure 3 - Reprsentation graphique d'un nom unique

Nom relatif distinct

Le nom relatif distinct (Relative Distinguished Name) d'un objet est la
partie du nom qui constitue un attribut de l'objet proprement parler. Dans
l'exemple prcdent, le nom relatif distinct de l'objet utilisateur est James
Smith.

Domaine
Un domaine est dfini par une limite de scurit unique dans le cadre d'un rseau
informatique tournant sous Windows NT (NT 4.0 ou 2000).
Active Directory est constitu d'un ou plusieurs domaines ; un domaine peut recouvrir
plusieurs sites physiques. Chaque domaine ayant sa propre politique de scurit et ses
propres relations d'approbation avec les autres domaines. Lorsque plusieurs domaines
sont connects par des relations d'approbation et partagent un mme schma, une mme
configuration et un mme catalogue global, on obtient un arbre de domaine. Active
Directory est un arbre ou un ensemble de plusieurs arbres ; il y a deux faons de visualiser
un arbre :
9

Reprsentation par le biais des relations d'approbation

On peut dessiner un arbre en reprsentant les domaines individuellement et
leurs relations d'approbation mutuelles. Windows 2000 tablit des relations
8

d'approbation entre domaines en se basant sur le protocole de scurit

Kerberos. L'approbation Kerberos est transitive et hirarchique, c'est dire
que si le domaine A approuve le domaine B et que B approuve C alors A
approuve galement C.

Figure 4 - Reprsentation d'un arbre en terme de relation d'approbation

Reprsentation par le biais de l'espace de noms

On peut aussi dessiner les arbres en fonction de leur espace de nom. On peut
dterminer le nom relatif distinct d'un objet en suivant son chemin d'accs
jusqu' l'espace de noms de son arbre. Cette reprsentation est utile pour la
reprsentation hirarchique des objets de manire logique.

Figure 5 - Reprsentation d'un arbre sous la forme d'un espace de nom

Fort
Une fort est constitue d'un ou plusieurs arbre(s) ne constituant pas un espace de
nom contigu. Tous les arbres d'une fort partagent le mme schma, une mme
configuration et un mme catalogue global. Ils s'accordent une confiance mutuelle par
l'intermdiaire des relations Kerberos. Une fort existe en tant qu'ensemble d'objets de
rfrences croises et de relation d'approbation, et ne ncessite pas de nommage distinctif.

Schma
Le schma AD est implment comme un ensemble d'lments de classes d'objets
stocks dans l'annuaire. Le schma peut tre mis jour dynamiquement, c'est dire
qu'une application peut tendre le schma en lui ajoutant de nouveaux attributs et de
nouvelles classes et les utiliser immdiatement. Ces modifications sont protges par des
listes de contrle d'accs (ACL) comme toute les ressources rseaux gres.

Modle de donnes
Le modle de donnes de Active Directory est driv du modle de donnes de la
norme X.500. L'annuaire contient des objets reprsentant des lments de diffrents types
dcrits par des attributs. Le schma dfinit l'univers des objets pouvant tre stocks dans
l'annuaire ; pour chaque classe d'objet, le schma dfinit les attributs qu'un lment de la
classe doit possder ainsi que ses attributs facultatifs.

Fonctionnalits techniques de Active Directory

AD est troitement intgr au systme de nom de domaine (DNS). Le DNS est
l'espace de nom distribu utilis sur Internet pour rsoudre les noms d'ordinateurs et de
services en adresse TCP/IP. La plupart des rseau intranet des entreprises utilisent DNS
comme service de rsolution de noms. Active Directory utilise le DNS comme service de
localisation. Ceci permet AD de trouver naturellement sa place dans des
environnements inter- intranet. Les clients trouvent rapidement et facilement les serveurs
d'annuaire.

Service de localisation
Les serveurs AD publient leurs adresses de telle sorte que les clients puissent les
trouver partir de leur seul nom de domaine ; ils sont publis dans le DNS via des
enregistrements de ressources de service il s'agit d'un mappage entre le nom d'un
service et le serveur le proposant. Son nom a la forme suivante:
service.protocole.domaine
Active Directory utilise le protocole Lightweight Directory Access Protocol (LDAP)
pour publier les ressources, via TCP.
Comme les adresses IP sont sujettes modification, les serveurs AD vrifient
priodiquement leurs donnes.

Nommage d'objet
Chaque objet possde un nom unique (DN). Ce DN contient assez d'informations
pour que le client puisse rcuprer l'objet dans l'annuaire et peut parfois tre long, et est
sujet modification ; des fins de simplification des recherches, AD dfinit 2 proprits
pratiques :
9 Un Globally Unique Identifer, nombre cod sur 128 bits, qui ne change pas et
est attribu la cration de l'objet. Il ne change pas mme si l'objet change de
DN ou est dplac.
9 Un User Principal Name, plus court et plus convivial que le DN ; il s'agit d'un
DN "abrg". Par exemple, pour l'utilisateur James Smith de l'arbre
microsoft.com, son DN est
/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith tandis que
son UPN peut tre j.smith@microsoft.com.
Active Directory ne permet pas que 2 objets distincts possdent le mme nom relatif
distinct, et comme le DN est compos partir de ce nom relatif il y a unicit des GUID.

Accs AD
L'accs l'annuaire s'effectue partir de protocoles cbls ; ces protocoles dfinissent
les formats des messages et des interactions client/serveur.

Protocoles supports :
9 LDAP : est le protocole central de AD. Il s'agit d'un standard de protocole rseau
conu pour fournir un accs des services d'annuaire. L'utilisation de ce
standard permet une interoprabilit entre AD et les annuaires concurrents ou
applications tierces utilisant galement LDAP (NDS de Novell par exemple).

10

LDAP est dcrit selon 4 modles de base :

Information
Nommage
Fonctionnalits
Scurit
La combinaison de ces modles introduit une nomenclature dcrivant toutes les
entres et leurs attributs, et fournit des mthodes d'interrogation et de
manipulation des valeurs.
9 MAPI RPC : interfaces d'appels de procdure distante (Remote Procedure Call)
grant les interfaces MAPI (Message Application Programming Interface).
9 X.500 : protocole dfinissant plusieurs protocoles non implments dans AD
(daprs des recommandation du Comit Consultatif International Tlphonique
et Tlgraphique pour les services dannuaire distribu) (Directory Access
Protocol accs aux annuaires ; Directory System Protocol systme d'annuaire
; Dircetory Information Shadowing Protocol rplication d'annuaire ; DOP
gestion de liaison oprationnelle). Ils ne sont pas implments parce que
prsentant peu d'intrt, peu implments, requiert le modle rseau ISO/OSI
(alternative TCP/IP) peu implment ou LDAP offre les fonctionnalits de
DAP et DSP.

Catalogue global
Le catalogue global permet aux utilisateurs et aux applications de trouver des objets
dans l'arbre de domaine AD, pour peu qu'ils connaissent un ou plusieurs attributs de
l'objet recherch. Le systme de duplication de AD gnre automatiquement ce catalogue
et la topologie de duplication.

Propagation des mises jour

Le systme de duplication de l'annuaire n'utilise pas l'horodatage c'est dire une
synchronisation temporelle des serveurs pour propager les modifications l'ensemble
des serveurs d'annuaire de l'arbre de domaine ; il utilise des numros de squence de mise
jour (USN) qui sont incrments chaque modification. Lors de la rplication chaque
serveur reoit l'ensemble des USN, qui est suprieur la dernire valeur reue, de ses
partenaires de duplication. Dans la mesure o l'USN de la table est mis jour au cours
d'une opration groupe lors de la duplication, la reprise aprs chec est simple il suffit
de ritrer la demande pour les USN suprieurs la dernire entre valide.

Scurit Dlgation
Le modle de scurit de Active Directory est celui de Windows 2000, utilisant une
authentification par contrleur de domaine approuv, la dlgation dapprobation entre les
services et le contrle daccs par objet. Les fonctionnalits centrales de scurit incluent
lintgration avec Active Directory, la prise en charge du protocole Kerberos pour
lauthentification des utilisateurs, les certificats de cls publiques (PKI) pour les
utilisateurs externes, le systme Encrypting File System pour la protection des donnes
locales et lutilisation du protocole IPSec pour la mise en uvre de communications
scurises en utilisant des rseaux publics (VPN).

Prsentation technique de la scurit de Windows 2000

Les services de scurit distribus de Windows 2000 prennent en
charge les conditions ncessaires essentielles. La scurit est base sur
lauthentification des utilisateurs louverture des sessions et lautorisation
qui seffectue suivant les listes de contrle daccs (ACL) des objets et les
entres de lannuaire AD. Ceci permet aux utilisateurs daccder de
nimporte quel poste du rseau aux ressources auxquelles ils sont autoriss
daccder et dutiliser.

11

Active Directory joue un rle majeur dans la scurit des rseaux

en offrant un emplacement central pour enregistrer les utilisateurs,
matriels, applications et donnes rseaux ; il enregistre galement les
informations ncessaires lauthentification et lautorisation des
utilisateurs pour garantir laccs aux ressources. Egalement, il est intgr
aux services de scurisation de Windows, tels que Kerberos, EFS ou IPSec.
Le protocole Kerberos fournit une authentification mutuelle plus
rapide et une approbation transitive pour lauthentification partir de
nimporte quel point daccs du rseau.
Tous les objets de l'annuaire sont protgs par des Access Control List (ACL) qui
dterminent qui a droit quoi. Elle est stocke avec l'objet qu'elle protge.
Active Directory permet une fonctionnalit importante au niveau scuritaire ; il s'agit de
la dlgation. La dlgation permet aux administrateurs d'accorder des droits spcifiques
sur des conteneurs et des sous-arbres des utilisateurs ou groupes. Cela permet la
dlgation de tches d'administrations.

12

Rsum
Lintroduction dActive Directory est une amlioration majeure de lOS Windows
2000. Il permet de centraliser et de simplifier ladministration rseau en enregistrant en un
point unique lensemble des informations ncessaires aux administrateurs des systmes
informatiques ainsi quen intgrant les fonctions de scurit ncessaire la bonne marche
des rseaux.
Egalement, la dlgation permet de soulager les administrateurs dans leurs tches
quotidiennes, ils peuvent ainsi se concentrer sur les points importants du rseau
(scurisation, disponibilit).
Enfin, lutilisation des standards permet une intgration de lannuaire AD avec les autres
services dannuaire et applications tierces dj mis en uvre au sein de lentreprise.

13

Bibliographie

Sites web de Microsoft

www.microsoft.com/france/technet/produits/win2000s
www.microsoft.com/france/windows/2000/server
www.microsoft.com/france/technet/themes/secur
www.microsoft.com/France/technet
ainsi que les sites anglais correspondants

Site web du magazine Systems Journal

www.mysystemsjournal.com
TechProGuild "Windows NT / 2000 Administrator Report" (11/2000)

14