Académique Documents
Professionnel Documents
Culture Documents
Présentés par
Active Directory est le service d'annuaire de Microsoft intégré aux versions serveur de
Windows. Historiquement, Microsoft n'avait pas de service d'annuaire et beaucoup
d'entreprises utilisaient le NDS de Novell. Ce service d'annuaire est basé sur le protocole le plus
connu du domaine : LDAP. Ce protocole fonctionnant en TCP/IP, Microsoft a dû utiliser cette
pile de protocoles en standard et faire reculer au second plan ses protocoles historiques :
NETBIOS, WINS
Ainsi, nous allons parler dans cette présentation des catalogues globaux, maitres d’opération et
les relations d’approbations sur Active Directory
Catalogue Global
Définition
Le catalogue global est l’ensemble de tous les objets d’une forêt AD DS (Active Directory
Domain Services). Un serveur de catalogue global est un contrôleur de domaine qui enregistre
une copie complète de tous les objets de l’annuaire pour son domaine hôte et une copie partielle
en lecture seule de tous les objets pour tous les autres domaines de la forêt. Les serveurs de
catalogue global répondent aux demandes de catalogue global.
Information
Lorsque vous installez les services de domaine Active Directory (Active Directory Domain
Services), le catalogue global pour une nouvelle forêt est créé automatiquement sur le premier
contrôleur de domaine de la forêt. Vous pouvez ajouter la fonctionnalité de catalogue global à
des contrôleurs de domaine supplémentaires. Vous pouvez également supprimer le catalogue
global d’un contrôleur de domaine.
Un serveur de catalogue global :
Les contrôleurs de domaine utilisent le catalogue global afin de valider les références
aux objets d’autres domaines dans la forêt. Lorsqu’un contrôleur de domaine détient
un objet d’annuaire avec un attribut qui contient une référence à un objet situé dans un
autre domaine, le contrôleur de domaine valide la référence en contactant un serveur
de catalogue global.
Si aucun serveur de catalogue global n’est disponible lorsqu’un utilisateur ouvre une
session sur un domaine où des groupes universels sont disponibles, l’ordinateur client
de l’utilisateur peut utiliser des informations d’identification mises en cache pour
ouvrir une session si l’utilisateur s’est déjà connecté au domaine auparavant. Si
l’utilisateur ne s’est encore jamais connecté au domaine, il peut ouvrir une session
uniquement sur l’ordinateur local.
Maitres d’opération
Définition
Le Maître d’opérations (master operation en anglais) désigne certains types de contrôleurs
de domaine dans Active Directory, de Microsoft. Ce sont ceux qui jouent un rôle nécessitant
un maître unique pour la réplication entre contrôleurs de domaine ; certains rôles sont uniques
pour tous les domaines de la forêt ; d’autres rôles sont plus simplement uniques à l’intérieur
d’un domaine.
Information
Nous avons les types de maitres d’opération suivant :
Le maître de schéma qui gère la modification du schéma sur le serveur et sa réplication sur
les autres contrôleurs de domaine. À un instant donné, il ne peut y avoir qu’un seul maître
de schéma dans une forêt de domaines.
Le maître d’attribution de noms de domaine (Domain Naming Master) qui gère l’ajout et
la suppression de domaine dans une forêt. À un instant donné, il ne peut y avoir qu’un seul
maître de ce type dans une forêt de domaines.
Maître d’opérations unique à l’intérieur d’un simple domaine
Le maître RID (Relative IDentifier) qui alloue un identificateur relatif à l’intérieur d’un
domaine (pour un utilisateur, un groupe ou tout autre objet géré par Active Directory).
L’association de ce RID avec l’identificateur du domaine forme le SID (l’identificateur de
sécurité). Le maître RID gère aussi le déplacement d’un objet d’un domaine à un autre, à
l’intérieur de la forêt.
À un instant donné, il ne peut y avoir qu’un seul maître RID dans un domaine.
Lors de la création d’une forêt de domaines, le premier contrôleur de domaine créé est aussi par
défaut le serveur de Catalogue Global. Le Catalogue Global a plusieurs fonctions : Il stocke les
informations sur tous les objets, gère les requêtes sur ces objets et leurs attributs, il autorise ou
refuse la connexion d’un utilisateur à un domaine
Certains maîtres d’opérations peuvent être aussi serveur de Catalogue Global ou, indirectement,
dépendre d’un serveur de Catalogue Général. Par exemple, il est préférable qu'un maître
d’infrastructure ne soit pas hébergé par le même contrôleur de domaine que le serveur de
Catalogue Global dans une forêt de domaines (à moins que tous les contrôleurs de domaine ne
soient aussi serveurs de Catalogue Global).
À l’inverse, un maître d’attribution de noms de domaine devrait être hébergé seulement sur un
contrôleur de domaine qui est aussi serveur de Catalogue Global.
Lors de la création d’une forêt de domaines, le premier contrôleur de domaine créé est par
défaut le maître d’opération pour chacun des différents rôles. C’est une situation transitoire,
que l’administrateur a intérêt à changer par la suite. Microsoft recommande de faire très
attention à la répartition des rôles de maîtres d’opérations sur les différents contrôleurs de
domaine. En cas de panne d’un serveur ayant un des rôles maîtres d’opérations, il faut
pouvoir transmettre ce rôle à l’un des autres contrôleurs de domaine.
Il est mieux de mettre l’émulateur de PDC et le maître RID sur le même contrôleur de
domaine. De même, il est mieux de mettre le maître de schéma et le maître d’attribution de
noms de domaine sur le même contrôleur de domaine.
Définition
Une approbation est une relation entre des domaines qui permet aux utilisateurs d’un domaine
d’être authentifiés par un contrôleur de domaine de l’autre domaine.
Toutes les approbations Active Directory entre les domaines d’une forêt sont transitives
bidirectionnelles. Les deux domaines d’une relation d’approbation sont donc approuvés.
Comme le montre l’illustration ci-après, cela signifie que si le domaine A approuve le domaine
B et que le domaine B approuve le domaine C, les utilisateurs du domaine C peuvent accéder
aux ressources du domaine A (à condition que les autorisations adéquates leur aient été
attribuées). Seuls les membres du groupe Admins du domaine peuvent gérer les relations
d’approbation.
Information
Les objets de domaine approuvé (TDO) sont des objets représentant chaque relation
d’approbation dans un domaine donné. Chaque fois qu’une relation d’approbation est établie,
un objet de domaine approuvé unique est créé et stocké dans son domaine (dans le conteneur
système). Les attributs, tels que la transitivité de l’approbation, le type de l’approbation et les
noms de domaine réciproques, sont représentés dans l’objet de domaine approuvé.
Chaque fois que vous créez un nouveau domaine dans une forêt, une relation d’approbation
transitive bidirectionnelle est automatiquement créée entre le nouveau domaine et son domaine
parent. Si les domaines enfants sont ajoutés à un nouveau domaine, le chemin d’approbation se
déplace vers le haut dans la hiérarchie de domaine en étendant le chemin d’approbation initial
créé entre le nouveau domaine et son domaine parent.
Les relations d’approbation transitives se déplacent vers le haut dans une arborescence de
domaine au fur et à mesure de sa formation, créant ainsi des approbations transitives entre tous
les domaines de l’arborescence de domaine.
Les demandes d’authentification suivent ces chemins d’approbation. Par conséquent, les
comptes provenant d’un domaine de la forêt peuvent être authentifiés dans n’importe quel autre
Prérequis
DNS
Active directory
Serveur 1 Serveur 2
nom serv projet
adresse 192.168.0.5 192.168.0.2
domaine mchniang.sn mldiao.sn
Cliquer sur modifier et indiquer l’adresse du serveur secondaire, la résolution sera faite
Après cela, nous allons passer à la création de la relation d’approbation depuis le serveur 2
A partir de ce moment, un client intégré dans le domaine mldiao, peut joindre le domaine
mchniang et vice versa. Nous allons tester cela avec un client Windows 7 qu’on va intégrer au
domaine mchniang
Donc nous allons nous joindre au domaine mchniang et se connecter avec latifa du domaine
mldiao
La machine est intégrée au domaine mchniang
A première vue, la machine nous propose de nous connecter sur le domaine mchniang dans la
mesure où c’est le domaine dans lequel est intégré le client
Et ça marche
Conclusion
De nos jours, il est possible de faire communiquer deux domaines distincts par le biais d’active
directory plus précisément grâce au service d’approbation de domaine. En définitive, dans le
monde de technologie, le réseau évolue à une très grande vitesse et une besoin d’interconnexion
se fait sentir de plus en plus. La relation d'Approbation et d'active Directory permettent de près
comme de loin aux utilisateurs d’un domaine précédemment crées d'avoir la possibilité et la
facilité à accéder au domaine approuvé d'effectuer ou de prendre tout ce qui lui attribué à
n'importe quel domaine sans se rendre compte de son changement de domaine de partout où il
se trouve dans le réseau.
Sources
http://www.it-connect.fr/cours-tutoriels/administration-systemes/windows-
server/windows-active-directory/ 01/09/2016
http://www.it-connect.fr/cours-tutoriels/administration-systemes/windows-
server/windows-active-directory/ 01/09/2016
https://technet.microsoft.com/fr-fr/library/cc754626(v=ws.11).aspx 01/09/2016
https://www.google.sn/search?q=transitivite+approbation+active+directory&oq=transiti
vite+approbation+active+directory&aqs=chrome..69i57.15099j0j4&sourceid=chrome&e
s_sm=122&ie=UTF-8 03/09/2016
https://technet.microsoft.com/fr-fr/library/cc731335(v=ws.11).aspx 03/09/2016