Vous êtes sur la page 1sur 5

Active Directory : Prsentation gnrale

LActive Directory est lannuaire LDAP (Lightweight Directory Access Protocol) que
Microsoft a dvelopp pour centraliser et scuriser la gestion des accs aux services fournit au
sein du rseau informatique dune entreprise. Il succde Windows NT4 et dont la gestion
tait dcentralis (chaque poste ayant sa propre configuration) avec une premire version
livre nativement sur Windows 2000 Server. Il possde plusieurs points forts qui le
dmarquent de son prdcesseur :

Centralisation de la gestion
Enregistrement dynamique des informations grce au service DNS
Meilleur scurit (arriv de NTLM version 1)

Depuis, les versions dActive Directory ont continues dvoluer avec la sortie des versions
majeures des OS serveurs de la firme (on parle de version de schma), chaque version
apportant son lot de nouveaut et permettant de renforcer la scurit et la simplicit de
ladministration.
LActive Directory est une base de donnes construite sur le modle dun annuaire.
Lavantage dune base de donnes conue sous ce modle, comparativement une base de
donnes relationnelle, rside dans son optimisation pour la lecture des informations quelle
contient.
Tout comme une pice de monnaie, Active Directory deux faces que lon ne peut pas
sparer et qui jouent lune comme lautre un rle particulirement important. La premire face
dActive Directory concerne les lments physiques (les contrleurs de domaine) qui sont
rpartit sur les diffrentes zones gographique o sont regroups les utilisateurs amen se
connecter. Cette donne physique importe pour la scurit de votre environnement (accs
physique aux serveurs) ou encore pour la qualit du service rendu (lutilisation de votre
rseau).
La deuxime face dActive Directory concerne sa structure logique, cest--dire comment les
lments physiques vont communiquer les uns avec les autres. Cette face tant logique ,
elle existe sous la forme dobjet lintrieur de lActive Directory, par exemple dans la
console Sites et Services Active Directory (elle vous permet de dfinir quel contrleur de
domaine doit rpliquer avec quel autre et comment le faire).
Lorsque lon prvoit de mettre en uvre Active Directory, il est impratif de prendre en
compte ces deux aspects : le choix de linstallation physique dun contrleur de domaine va le
li un rseau, une bande passante.Et dans le mme temps, vous devrez assurer un accs
logique pour que chaque utilisateur communique avec le contrleur le plus proche de lui ou
bien que les rplications entre les diffrents contrleurs de domaine soient aussi efficace que
possible.

Le schma Active Directory


Le schma est la base de lActive Directory, cest dire sa structure intrinsque. En faisant
une analogie au jeu de LEGO, on peut dire quil constitue le catalogue des multiples briques
de tailles, couleurs, formes et matires diffrentes. Le schma contient donc toutes les

informations qui permettront ensuite de grer des objets (utilisateurs, ordinateurs,) et de


leurs dfinir des proprits (nom, droits,) tout en les organisant (Unit Organisationnelle).
Le schma sarticule autour de deux types de briques : les classes et les attributs.

En gnral, il nest pas ncessaire daccder au contenu du schma. Si vous deviez le faire,
sachez que le composant MMC correspondant ne sera pas disponible tant que vous naurez
pas dclar la librairie dynamique correspondante (la mthodologie est indique dans le
TechNet de Microsoft ici : http://technet.microsoft.com/fr-fr/library/cc732110.aspx ).
Certaines applications ncessite dapporter des modifications au schma, cest--dire de lui
ajouter de nouvelles classes et de nouveaux attributs. On parle alors dextension de schma,
comme par exemple lorsque vous souhaitez intgrer Microsoft Exchange votre systme

dinformation. Il existe aussi des scnarios de monte de version de schma, par exemple
lorsque vous ajoutez un contrleur de domaine excutant un OS de version suprieur ceux
existant.

Lorsque lon procde une modification de schma, que ce soit pour une extension ou une monte
de version, il nest pas possible de revenir en arrire. Les modifications sont donc permanentes. En
cas derreur, il faudra restaurer le schma de la fort, une opration que lon effectue normalement
dans un scnario de Disaster Recovery.

Les attributs
Cest au travers des attributs que lActive directory est structur. Ils ne sont dfini quune
seule fois dans le schma mais utilis de multiple fois dans les objets de lannuaire, ce qui
permet de crer un standard pour chaque objet. Par exemple, lorsque vous crer un compte
utilisateur, vous aurez toujours les attributs Prnom et Description associ lobjet
nouvellement cr ; lattribut Description sera dailleurs galement utilis pour la cration
dautres objets (ordinateur, imprimante, groupe,). Les attributs sont dfinis avec une
syntaxe et une tendue, cest--dire le type de donnes quils peuvent contenir et le format
accept. Ils disposent par ailleurs dun identifiant unique appel ID dobjet X.500 ou OID
(Object IDentifier) dont le numro est normalis par IANA. Enfin, il est possible dindexer
un attribut, cest--dire de faire en sorte que des recherches sur cet attribut donnent un rsultat
plus rapidement.

Notez galement que certains attributs ne vous permettent pas de modifier tous leurs
paramtres, comme par exemple rendre inactif lattribut name dans lexemple ci-dessus ;

cette limitation provient du fait que cet attribut est indissociable au bon fonctionnement de
lActive Directory (lattribut doit imprativement tre actif).

Lannuaire Active Directory est driv de la normalisation X.500 utilis pour les annuaires LDAP.
Cette normalisation a t dveloppe pour standardiser le mode de fonctionnement que devrait avoir
un annuaire LDAP. Il existe donc des diffrences entre lActive Directory de Microsoft et les
annuaires LDAP que lon peut trouver dans le monde Linux/Unix.

Les classes dobjet


Une classe dobjet reprsente un ensemble dattributs que lon peut dfinir pour un objet
prcis. Par exemple, la classe dobjet Utilisateur contient les attributs que lon peut
renseigner lorsque lon cre ou gre un compte utilisateur. Ces classes contiennent galement
des informations sur les attributs : est-il obligatoire ou facultatif, peut-il tre modifi ?
Certains attributs de la classe ne sont galement pas visibles au travers des consoles de
gestion : cest le cas par exemple de lattribut SID (Security IDentifier) dun compte
utilisateur quon ne peut pas voir au travers de la console Utilisateurs et Ordinateurs Active
Directory et qui ne peut jamais tre modifi, moins de changer de domaine.

En fait, il est possible de voir lattribut SID si vous activez les fonctions avances de la console MMC
et que vous vous positionnez sur longlet diteur dattributs ) : le SID est contenu dans lattribut
ObjectSID.

Fort et Domaine Active Directory


Active Directory permet de centraliser la gestion des permissions : il est donc essentiel de
mettre en place une structure qui dlimitera les primtres de scurit et simplifiera les tches
de dlgation de droits. Lorsque lon construit un environnement Active Directory, on parle
de fort, darborescence et de domaine Active Directory :

Une fort regroupe des arborescences


Les arborescences hirarchisent les relations entre les domaines
Les domaines grent la scurit des objets

Au sein dune fort, les relations sont hirarchiques : un droit donn au niveau dune fort est
valide pour tous les domaines de la fort (exemple : le groupe administrateur de lentreprise).
Cette hirarchie de droit sapplique galement dans la filiation de domaine (domaine parent /
domaine enfant).