Vous êtes sur la page 1sur 4

Chapitre 2 : Introduction aux services Active Directory

Introduction

Active Directory est un service d’annuaire implémenté sur les systèmes d'exploitation Microsoft
depuis Windows 2000 Server.

Un service d'annuaire peut être comparé à un agenda téléphonique, celui- ci contient au départ des
noms et des n° de téléphone, puis il peut s'enrichir d'autres éléments, comme des adresses postales
ou Email...

Un annuaire offre le moyen de stocker des informations sur les ressources du réseau afin de
simplifier la recherche de ces informations.

Un annuaire offre le moyen de gérer ces ressources par l'intégration de tous les service nécessaires

La structure logique d’Active Directory dans un Domaine:

Un domaine Active Directory est un regroupement logique de comptes utilisateurs, ordinateurs ou


de groupes.

Les objets qui sont créés sont stockés dans une base de données présente sur tous les contrôleurs
de domaine Active Directory. Cette base de données peut stocker plusieurs types d'objets :
– Le compte utilisateur qui permet d'effectuer une authentification et d'autoriser des accès aux
différentes ressources partagées.

– Le compte ordinateur qui permet d'authentifier la machine sur laquelle l'utilisateur ouvre une
session.

– Enfin les groupes qui permettent de regrouper des comptes utilisateurs et ordinateurs dans le but
de leur autoriser l'accès à une ressource, une délégation…

 Active Directory est essentiellement un espace de noms. La résolution de nom consiste à


passer d'un nom à l'objet ou l'information que ce nom représente.

 Un annuaire téléphonique constitue un espace de noms dans lequel les noms des abonnés
peuvent être résolus en numéros de téléphone. Active Directory constitue un espace de
noms dans lequel le nom d'un objet de l'annuaire peut être résolu pour obtenir l'objet lui-
même.

Active Directory & DNS

 Active Directory nécessite un serveur DNS par Domaine. Dans le cas ou on souhaite créer
deux Domaines indépendant, il suffit d'avoir à disposition pour chaque domaine un serveur
DNS gérant cet espace de nom.

 Il ne faut pas confondre le problème de plusieurs domaines, avec la problématique de


plusieurs Contrôleurs pour le même Domaine...

Les objets et leurs noms

Les Objets dans Active Directory peuvent être des données, des utilisateurs, des imprimantes, des
serveurs, des bases de donnée, des groupes, des ordinateurs, des stratégies de sécurité. Un Objet est
donc un ensemble d'attributs nommé et circonscrit qui représente un élément concret

2. Vue d’ensemble d’Active Directory

Le rôle Service de domaine Active Directory contient des composants physiques et logiques.

Les composants physiques vont englober plusieurs éléments clés dans un domaine Active Directory :

– Le contrôleur de domaine, qui contient une copie de la base de données Active Directory.

– La base de données et le dossier sysvol, qui vont contenir l'ensemble des informations
d'Active Directory, chaque contrôleur de domaine du domaine Active Directory en
contiennent une copie.

– Le serveur catalogue global, il contient une copie partielle des attributs des objets de la
forêt. Il permet d'effectuer des recherches rapides sur un des attributs d'un objet d'un
domaine différent de la forêt.
3. La structure logique d’active Directory

Le domaine Active Directory est un regroupement logique de comptes utilisateurs, ordinateurs ou de


groupes. Les objets qui sont créés sont stockés dans une base de données présente sur tous les
contrôleurs de domaine Active Directory. Cette base de données peut stocker plusieurs types
d'objets :

– Le compte utilisateur qui permet d'effectuer une authentification et d'autoriser des accès aux
différentes ressources partagées.

– Le compte ordinateur qui permet d'authentifier la machine sur laquelle l'utilisateur ouvre une
session.

– Enfin les groupes qui permettent de regrouper des comptes utilisateurs et ordinateurs dans le but
de leur autoriser l'accès à une ressource, une délégation…

Active Directory est un annuaire au sens informatique et technique chargé de répertorier tout ce
qui touche au réseau comme le nom des utilisateurs, des imprimantes, des serveurs, des dossiers
partagés, etc. L'utilisateur peut ainsi trouver facilement des ressources partagées, et les
administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de
duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées.

Il est possible d'interroger l'annuaire pour obtenir une liste des objets possédant des attributs, en
formulant par exemple une requête du type :

" Trouver toutes les imprimantes couleur de l'étage 3 ".

possédant des attributs, en formulant par exemple une requête du type : " Trouver toutes les
imprimantes couleur de l'étage 3 ".

La Gestion des groupes :

-Les types de groupe Lorsque l’on crée un groupe, il est possible de choisir entre deux types de
groupes : « Sécurité » et « Distribution ». Chacun des deux types ne rempli pas les mêmes fonctions.
Type Distribution : La tâche d’un groupe de type distribution est d’offrir une ressource ou un
service mais avec la particularité de ne pas inclure de mécanisme de sécurité. Le groupe de
distribution servira par exemple à créer une liste de distribution pour une adresse électronique ou
l’utilisation d’une application à des fins autres que le contrôle d’accès

La Gestion des utilisateurs:

Lorsqu’un utilisateur démarre sa station de travail, celui est invité à s’authentifier auprès du serveur
et renseignant :

1) Son nom utilisateur, qui est le compte qui aura été créé au préalable sur le serveur.

2) Son mot de passe. Cette information est vitale car c’est grâce à celle-ci que l’on prouve bien être la
personne que l’on prêtant être. D’ou l’intérêt de ne pas la communiquer à outrance, sous peine de se
faire « voler » son identité.
3) Le domaine, cette information représente l’entité logique à laquelle on souhaite se rattacher. Il est
possible de choisir entre le domaine auquel on est attaché ou localement en utilisant les comptes
locaux.

Il est souvent nécessaire d’utiliser la combinaison des touches CTRL+ALT+SUPPR pour faire apparaître
cette bannière de login.

A partir du moment où l’authentification a été validée, toutes les opérations effectuées ainsi que les
droits accordés à l’utilisateur se feront par rapport à ce compte.

L’outil utilisé pour gérer les comptes d’utilisateurs et groupes est appelé « Utilisateurs et Ordinateurs
Active Directory ». L’annuaire « Active Directory » est la base de données contenant l’ensemble des
objets constituant le domaine.

La Gestion des Droits

Il est possible d’attribuer des permissions pour contrôler les actions des utilisateurs. Une fois qu’un
dossier est partagé, les utilisateurs qui en ont la permission ont accès à tous les fichiers et dossiers
contenus dans le dossier partagé.

Les dossiers partagés servent à autoriser/interdire les utilisateurs à accéder aux ressources du
réseau. Dans un souci de facilité, la gestion des accès

L'Active Directory Sous Windows

attribués se fera en attribuant les droits non pas directement aux comptes d’utilisateurs mais aux
groupes que l’on aura pris soins de constituer.

Il existe deux endroits pour définir la sécurité à accorder à ces groupes :

Les permissions de dossier partagé :

Ces permissions sont les droits qui sont accordés à l’utilisateur quand celui-ci passe à travers le
réseau. Elles sont définissables en passant par un clic droit et choisir « Partage et sécurité », on
choisit « Partager ce dossier », on renseigne son nom et on clique sur le bouton autorisations afin de
définir les différents droits applicables.

Les permissions NTFS :

Ces permissions sont stockées sur le disque du serveur et sont accessibles via un clic droit et l’onglet
sécurité. Il apparaît alors une boite de dialogue séparée en deux parties. La première partie, en haut,
contient la liste des groupes/utilisateurs impliqués et la partie du bas les droits correspondant à ces
groupes/utilisateurs. Pour modifier cela, on clique sur ajouter/supprimer pour ajouter le
groupe/utilisateur puis on choisit sur la partie inférieure les droits que l’on va accorder.

Les permissions effectives pour un utilisateur seront le cumul des permissions affectées à ces deux
endroits. De plus, cet utilisateur bénéficiera aussi du cumul des permissions attribuées aux groupes
auxquels il appartient. Il est à noter que le droit « Refuser », s’il est coché, prime sur « Autoriser » et
fait partie des droits cumulés.