Académique Documents
Professionnel Documents
Culture Documents
Active Directory v2 PDF
Active Directory v2 PDF
I- Principes
1- Annuaire LDAP
L'annuaire LDAP regroupe tous les objets dans un arbre.
– La racine de cet arbre est le domaine (DNS).
– Les branches sont des unités d'organisations (pas des objets).
– Les feuilles sont des objets (utilisateurs, groupes, ordinateurs, ...).
greta.fr
Wikipedia : http://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol
2- Authentification Kerberos
L'annuaire LDAP ne fait que référencer les objets du domaine. Il n'intervient pas
dans l'authentification.
La partie authentification est gérée par un protocole spécialisé dans ce
domaine : Kerberos. Historiquement NTLM était utilisé mais des failles de sécurité
importantes sont avérées sur ce protocole. Il n'est plus utilisé qu'en cas
d'incompatibilité.
L'authentification pour un service réseau fonctionne en trois étapes :
1. Le client s'identifie à l'aide de sa clé secrète sur le serveur d'authentification.
2. Le client demande un ticket pour un certain service et une certaine durée au
serveur de ticket.
3. Le client présente au service le ticket qu'il a reçu du serveur de ticket.
Wikipedia : http://fr.wikipedia.org/wiki/Kerberos
3- Tcp/Ip et DNS
Enfin Active Directory fonctionne obligatoirement sur TCP/IP et donc avec DNS.
Les anciens protocoles (Netbios, WINS) n'existent plus sauf pour questions de
compatibilité avec les anciens logiciels.
Au moins un serveur DNS doit exister dans l'organisation, soit sur l'AD lui-
même, soit sur un autre serveur connu de l'AD.
II- Architecture
Exemple :
approbation
greta.fr gtn.fr
Arborescence
approbations
sous-domaines
Domaines
torcy.greta.fr paris.greta.fr
Forêt
IV- Approbations
1- Direction et transitivité :
2- Types d'approbation :
Par défaut, à l'ajout d'un domaine, active directory définit les relations
d'approbation multidirectionnelles transitives suivantes :
– Relation parent-enfant (ex : entre greta.fr et torcy.greta.fr)
1- Rôles FSMO
Les rôles de maître d'opération servent à savoir quel est le serveur référence
qui va gérer la réplication des modifications vers les autres serveur.
Dans une forêt, il ne doit y avoir à un moment donné qu'un serveur maître de
schéma et un serveur maître d'attribution de noms de domaine.
Dans un domaine, il ne doit y avoir à un moment donné qu'un serveur maître
RID, un serveur maître d'infrastructure et un émulateur de contrôleur de domaine
principal.
Catalogues globaux :
Netbios / Wins :
Historiquement, Windows utilisait les noms Netbios pour connaître les
machines. Le nom Netbios est celui qu'on retrouve dans les propriétés systèmes de
Windows.
Netbios n'est pas basé sur TCP/IP.
La résolution de noms Netbios se fait par broadcast, ce qui empêche son
utilisation au delà du réseau local. Un serveur pouvait également résoudre les noms
Netbios, le serveur Wins qui n'est plus utilisé aujourd'hui.
DNS :
Active Directory est forcément lié à un ou plusieurs serveurs DNS.
Voir la documentation complète sur DNS.