REPUBLIQUE DU SENEGAL

Un peuple-Un But-Une Foi

Institut Supérieur d’Informatique

Rapport sur les catalogues globaux, maitres d’opération et

les relations d’approbations sur Active Directory
Windows 2012 Server

Présentés par

 Mr Mame Cheikh Ibra NIANG

 Mamadou Lamine DIAO
 Latifa BARRY Professeur : Mr LO
Master 1 Réseaux et Systèmes Informatiques

Année académique : 2015-2016

Introduction

Active Directory est le service d'annuaire de Microsoft intégré aux versions serveur de
Windows. Historiquement, Microsoft n'avait pas de service d'annuaire et beaucoup
d'entreprises utilisaient le NDS de Novell. Ce service d'annuaire est basé sur le protocole le plus
connu du domaine : LDAP. Ce protocole fonctionnant en TCP/IP, Microsoft a dû utiliser cette
pile de protocoles en standard et faire reculer au second plan ses protocoles historiques :
NETBIOS, WINS
Ainsi, nous allons parler dans cette présentation des catalogues globaux, maitres d’opération et
les relations d’approbations sur Active Directory

Catalogue Global

Définition
Le catalogue global est l’ensemble de tous les objets d’une forêt AD DS (Active Directory
Domain Services). Un serveur de catalogue global est un contrôleur de domaine qui enregistre
une copie complète de tous les objets de l’annuaire pour son domaine hôte et une copie partielle
en lecture seule de tous les objets pour tous les autres domaines de la forêt. Les serveurs de
catalogue global répondent aux demandes de catalogue global.

Information
Lorsque vous installez les services de domaine Active Directory (Active Directory Domain
Services), le catalogue global pour une nouvelle forêt est créé automatiquement sur le premier
contrôleur de domaine de la forêt. Vous pouvez ajouter la fonctionnalité de catalogue global à
des contrôleurs de domaine supplémentaires. Vous pouvez également supprimer le catalogue
global d’un contrôleur de domaine.
Un serveur de catalogue global :

 recherche des objets.

Le catalogue global permet aux utilisateurs d’effectuer des recherches d’informations

d’annuaire dans tous les domaines d’une forêt, quel que soit l’emplacement de
stockage des données. Les recherches dans une forêt sont effectuées avec une rapidité
maximale et un trafic réseau minimal.

Lorsqu’un utilisateur recherche des personnes ou des imprimantes à partir du

menu Démarrer ou qu’il sélectionne l’option Tout l’annuaire dans une requête, cet
utilisateur effectue une recherche dans l’ensemble du catalogue global. Après qu’un
utilisateur a entré une demande de recherche, celle-ci est acheminée vers le port 3268
du catalogue global par défaut et envoyée à un serveur de catalogue global en vue de
sa résolution.

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

  fournit une authentification des noms d’utilisateurs principaux.

Un serveur de catalogue global résout un nom d’utilisateur principal (UPN, User

Principal Name) lorsque le contrôleur de domaine authentificateur n’a pas
connaissance du compte d’utilisateur. Par exemple, si le compte d’un utilisateur se
trouve dans sales1.cohovineyard.com et que l’utilisateur se connecte avec un nom
UPN de luis@sales1.cohovineyard.com depuis un ordinateur situé dans
sales2.cohovineyard.com, le contrôleur de domaine dans sales2.cohovineyard.com ne
peut pas trouver le compte de l’utilisateur et doit contacter un serveur de catalogue
global pour effectuer le processus d’ouverture de session.

 valide les références d’objets dans une forêt.

Les contrôleurs de domaine utilisent le catalogue global afin de valider les références
aux objets d’autres domaines dans la forêt. Lorsqu’un contrôleur de domaine détient
un objet d’annuaire avec un attribut qui contient une référence à un objet situé dans un
autre domaine, le contrôleur de domaine valide la référence en contactant un serveur
de catalogue global.

 fournit des informations sur l’appartenance aux groupes universels dans un

environnement à domaines multiples.

Un contrôleur de domaine peut toujours découvrir les appartenances aux groupes

globaux et aux groupes locaux de domaine pour tout utilisateur dans son domaine, et
l’appartenance à ces groupes n’est pas répliquée dans le catalogue global. Dans une
forêt à domaine unique, un contrôleur de domaine peut toujours découvrir les
appartenances aux groupes universels. Toutefois, les groupes universels peuvent avoir
des membres dans différents domaines. Pour cette raison, l’attribut member des
groupes universels, qui contient la liste des membres du groupe, est répliqué dans le
catalogue global. Lorsqu’un utilisateur d’une forêt à domaines multiples ouvre une
session sur un domaine où les groupes universels ne sont pas autorisés, le contrôleur
de domaine doit contacter un serveur de catalogue global afin de récupérer toute
appartenance de l’utilisateur aux groupes universels dans d’autres domaines.

Si aucun serveur de catalogue global n’est disponible lorsqu’un utilisateur ouvre une
session sur un domaine où des groupes universels sont disponibles, l’ordinateur client
de l’utilisateur peut utiliser des informations d’identification mises en cache pour
ouvrir une session si l’utilisateur s’est déjà connecté au domaine auparavant. Si
l’utilisateur ne s’est encore jamais connecté au domaine, il peut ouvrir une session
uniquement sur l’ordinateur local.

Attributs répliqués dans le catalogue global

Les copies partielles en lecture seule des objets qui composent le catalogue global sont décrites
comme « partielles » car elles incluent un ensemble limité d’attributs : ceux qui sont requis par
le schéma plus ceux qui sont le plus couramment utilisés dans les opérations de recherche
d’utilisateur. Ces attributs sont marqués pour inclusion dans le jeu d’attributs partiel dans le
cadre de leurs définitions de schéma. Le fait de stocker les attributs les plus souvent recherchés
de tous les objets de domaine dans le catalogue global rend les recherches plus performantes

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

pour les utilisateurs sans toutefois affecter les performances réseau avec des références inutiles
vers des contrôleurs de domaine et sans exiger qu’un catalogue global ne stocke de grandes
quantités de données inutiles.

Maitres d’opération

Définition
Le Maître d’opérations (master operation en anglais) désigne certains types de contrôleurs
de domaine dans Active Directory, de Microsoft. Ce sont ceux qui jouent un rôle nécessitant
un maître unique pour la réplication entre contrôleurs de domaine ; certains rôles sont uniques
pour tous les domaines de la forêt ; d’autres rôles sont plus simplement uniques à l’intérieur
d’un domaine.

Information
Nous avons les types de maitres d’opération suivant :

Maître d’opérations unique à l’intérieur d’une forêt de domaine

 Le maître de schéma qui gère la modification du schéma sur le serveur et sa réplication sur
les autres contrôleurs de domaine. À un instant donné, il ne peut y avoir qu’un seul maître
de schéma dans une forêt de domaines.
 Le maître d’attribution de noms de domaine (Domain Naming Master) qui gère l’ajout et
la suppression de domaine dans une forêt. À un instant donné, il ne peut y avoir qu’un seul
maître de ce type dans une forêt de domaines.
Maître d’opérations unique à l’intérieur d’un simple domaine

 Le maître RID (Relative IDentifier) qui alloue un identificateur relatif à l’intérieur d’un
domaine (pour un utilisateur, un groupe ou tout autre objet géré par Active Directory).
L’association de ce RID avec l’identificateur du domaine forme le SID (l’identificateur de
sécurité). Le maître RID gère aussi le déplacement d’un objet d’un domaine à un autre, à
l’intérieur de la forêt.
À un instant donné, il ne peut y avoir qu’un seul maître RID dans un domaine.

 Le maître d’infrastructure qui maintient les SID (identificateurs de sécurité) et

les GUID. Le plus souvent, il s’agit seulement de maintenir les liens entre les
utilisateurs et les groupes auxquels ils appartiennent.
 Émulateur d'un contrôleur de domaine principal de NT 4.0 (en anglais, un PDC Primary
Domain Controller, voir (en) Primary Domain Controller). C'est aussi ce contrôleur de
domaine qui est choisi préférentiellement pour

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

  la réplication vers les autres contrôleurs de domaine pour les changements de mots
de passe
 comme serveur de temps, w32time, basé sur le protocole SNTP (Simple NTP)
Ces différents rôles peuvent facilement être déplacés d'un contrôleur de domaine à un autre
en utilisant

 Outils Utilisateurs et ordinateurs Active Directory (dsa.msc)

Pour l'acronyme DSA, voir (en) Directory System Agent ; pour l'extension MSC,
voir (en) MMC (Microsoft Management Console)

 L'outil ntdsutil : Un utilitaire en ligne de commande

Maître d’opérations et Catalogue Global

Lors de la création d’une forêt de domaines, le premier contrôleur de domaine créé est aussi par
défaut le serveur de Catalogue Global. Le Catalogue Global a plusieurs fonctions : Il stocke les
informations sur tous les objets, gère les requêtes sur ces objets et leurs attributs, il autorise ou
refuse la connexion d’un utilisateur à un domaine
Certains maîtres d’opérations peuvent être aussi serveur de Catalogue Global ou, indirectement,
dépendre d’un serveur de Catalogue Général. Par exemple, il est préférable qu'un maître
d’infrastructure ne soit pas hébergé par le même contrôleur de domaine que le serveur de
Catalogue Global dans une forêt de domaines (à moins que tous les contrôleurs de domaine ne
soient aussi serveurs de Catalogue Global).
À l’inverse, un maître d’attribution de noms de domaine devrait être hébergé seulement sur un
contrôleur de domaine qui est aussi serveur de Catalogue Global.

Les maîtres d’opérations entre eux

Lors de la création d’une forêt de domaines, le premier contrôleur de domaine créé est par
défaut le maître d’opération pour chacun des différents rôles. C’est une situation transitoire,
que l’administrateur a intérêt à changer par la suite. Microsoft recommande de faire très
attention à la répartition des rôles de maîtres d’opérations sur les différents contrôleurs de
domaine. En cas de panne d’un serveur ayant un des rôles maîtres d’opérations, il faut
pouvoir transmettre ce rôle à l’un des autres contrôleurs de domaine.
Il est mieux de mettre l’émulateur de PDC et le maître RID sur le même contrôleur de
domaine. De même, il est mieux de mettre le maître de schéma et le maître d’attribution de
noms de domaine sur le même contrôleur de domaine.

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

Relations d’approbation

Définition
Une approbation est une relation entre des domaines qui permet aux utilisateurs d’un domaine
d’être authentifiés par un contrôleur de domaine de l’autre domaine.
Toutes les approbations Active Directory entre les domaines d’une forêt sont transitives
bidirectionnelles. Les deux domaines d’une relation d’approbation sont donc approuvés.
Comme le montre l’illustration ci-après, cela signifie que si le domaine A approuve le domaine
B et que le domaine B approuve le domaine C, les utilisateurs du domaine C peuvent accéder
aux ressources du domaine A (à condition que les autorisations adéquates leur aient été
attribuées). Seuls les membres du groupe Admins du domaine peuvent gérer les relations
d’approbation.

Information
Les objets de domaine approuvé (TDO) sont des objets représentant chaque relation
d’approbation dans un domaine donné. Chaque fois qu’une relation d’approbation est établie,
un objet de domaine approuvé unique est créé et stocké dans son domaine (dans le conteneur
système). Les attributs, tels que la transitivité de l’approbation, le type de l’approbation et les
noms de domaine réciproques, sont représentés dans l’objet de domaine approuvé.

Notion de transitivité d’approbation

La transitivité détermine si une approbation peut être étendue en dehors des deux domaines
avec lesquels elle a été formée. Une approbation transitive peut être utilisée pour étendre des
relations d’approbation avec d’autres domaines et une approbation non transitive, pour refuser
des relations d’approbation avec d’autres domaines.

Chaque fois que vous créez un nouveau domaine dans une forêt, une relation d’approbation
transitive bidirectionnelle est automatiquement créée entre le nouveau domaine et son domaine
parent. Si les domaines enfants sont ajoutés à un nouveau domaine, le chemin d’approbation se
déplace vers le haut dans la hiérarchie de domaine en étendant le chemin d’approbation initial
créé entre le nouveau domaine et son domaine parent.
Les relations d’approbation transitives se déplacent vers le haut dans une arborescence de
domaine au fur et à mesure de sa formation, créant ainsi des approbations transitives entre tous
les domaines de l’arborescence de domaine.
Les demandes d’authentification suivent ces chemins d’approbation. Par conséquent, les
comptes provenant d’un domaine de la forêt peuvent être authentifiés dans n’importe quel autre

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

domaine de la forêt. Grâce à un processus d’ouverture de session unique, les comptes disposant
des autorisations adéquates peuvent accéder aux ressources de n’importe quel domaine de la
forêt.
Outre les approbations transitives par défaut établies dans une forêt Active Directory, vous
pouvez créer manuellement les approbations transitives suivantes à l’aide de l’Assistant
Nouvelle approbation :

 Raccourci d’approbation : approbation transitive entre deux domaines de la même

arborescence ou dans la même forêt, utilisée pour raccourcir le chemin d’approbation
dans une arborescence de domaine ou une forêt longue et complexe.

 Approbation de forêt : approbation transitive entre deux domaines racines de forêt.

 Approbation de domaine : approbation transitive entre un domaine Active Directory

et un domaine Kerberos V5. Pour plus d’informations sur les domaines Kerberos V5,
voir Authentification Kerberos V5

Configuration de l’approbation de domaine

Prérequis

DNS
Active directory

Ensuite il faut configurer des redirecteurs sur le DNS de chaque serveur

Serveur 1 Serveur 2
nom serv projet
adresse 192.168.0.5 192.168.0.2
domaine mchniang.sn mldiao.sn

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

Pour le premier serveur, on fait clic droit sur le serveur, dans les propriétés il y’a l’onglet
redirecteurs

Cliquer sur modifier et indiquer l’adresse du serveur secondaire, la résolution sera faite

Ensuite cliquer sur OK

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

Faites la même chose pour le serveur 2, il faut aussi créer un redirecteur vers le serveur 1

Après cela, nous allons passer à la création de la relation d’approbation depuis le serveur 2

Aller sur Domaines et Approbations Active Directory (à partir du menu démarrer)

Ensuite clic droit sur le serveur et propriétés
Dans propriétés aller sur l’onglet approbations et cliquer sur nouvelle approbation

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

 Indiquer le domaine à approuver et cliquer sur suivant

Choisir le type d’approbation et cliquer sur suivant

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

 A ce stade, on choisit le mode bidirectionnel

Pour le sens de l’approbation, choisir : ce domaine et le domaine spécifié

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

 Il faudra s’authentifier au serveur du domaine à joindre en spécifiant son login et mot
de passe

Choisir le niveau d’authentification pour toutes les ressources (Domaine local)

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

 Choisir le niveau d’authentification pour toutes les ressources (Domaine spécifié)

Résumé de l’installation de l’approbation

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

 A ce stade, choisir de configurer l’approbation sortante

Cette étape met fin à l’installation de l’approbation

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

 Une fois l’installation terminée, il faut valider l’approbation entrante et sortante
Pour cela cliquer sur l’approbation et sur l’approbation sortante et aller dans propriétés

Cliquer sur valider

Donner le login et le mot de passe de l’administrateur du domaine distant et cliquer

sur ok

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

 La validation a été bien faite

On fait la même chose pour l’approbation sortante.

Même procédé que pour l’entrante

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

La relation d’approbation a bien été validée et on peut voir sur le serveur distant que la relation
a été créée vu qu’on a configuré une approbation bidirectionnelle

A partir de ce moment, un client intégré dans le domaine mldiao, peut joindre le domaine
mchniang et vice versa. Nous allons tester cela avec un client Windows 7 qu’on va intégrer au
domaine mchniang

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

Sur le serveur de mldiao, nous avons l’utilisateur latifa

Donc nous allons nous joindre au domaine mchniang et se connecter avec latifa du domaine
mldiao
La machine est intégrée au domaine mchniang

A première vue, la machine nous propose de nous connecter sur le domaine mchniang dans la
mesure où c’est le domaine dans lequel est intégré le client

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

Mais nous allons nous connecter avec le domaine mldiao pour tester l’approbation

Et ça marche

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo

Par exemple avec xp, les domaines disponibles sont automatiquement récupérés

Conclusion

De nos jours, il est possible de faire communiquer deux domaines distincts par le biais d’active
directory plus précisément grâce au service d’approbation de domaine. En définitive, dans le
monde de technologie, le réseau évolue à une très grande vitesse et une besoin d’interconnexion
se fait sentir de plus en plus. La relation d'Approbation et d'active Directory permettent de près
comme de loin aux utilisateurs d’un domaine précédemment crées d'avoir la possibilité et la
facilité à accéder au domaine approuvé d'effectuer ou de prendre tout ce qui lui attribué à
n'importe quel domaine sans se rendre compte de son changement de domaine de partout où il
se trouve dans le réseau.

Sources

http://www.it-connect.fr/cours-tutoriels/administration-systemes/windows-
server/windows-active-directory/ 01/09/2016

http://www.it-connect.fr/cours-tutoriels/administration-systemes/windows-
server/windows-active-directory/ 01/09/2016

https://technet.microsoft.com/fr-fr/library/cc754626(v=ws.11).aspx 01/09/2016

https://www.google.sn/search?q=transitivite+approbation+active+directory&oq=transiti
vite+approbation+active+directory&aqs=chrome..69i57.15099j0j4&sourceid=chrome&e
s_sm=122&ie=UTF-8 03/09/2016

https://technet.microsoft.com/fr-fr/library/cc731335(v=ws.11).aspx 03/09/2016

Master 1 Réseaux et Systèmes Informatiques Professeur : Mr Lo