Vous êtes sur la page 1sur 6

Connexion client

Gérez votre licence


Upgrade de votre licence
Renouvelez votre maintenance
Que cherchez-vous ?

IT Explained:
Supervision d’Active Directory

RETOUR AU SOMMAIRE

Contenu

Qu’est-ce qu’Active Directory ?


 
Active Directory (AD) est un service d’annuaire destiné aux environnements Windows Server. Il s’agit
d’une base de données distribuée et hiérarchisée qui partage des informations relatives à
l’infrastructure permettant de localiser, de sécuriser, de gérer et d’organiser des ressources
ordinateur et réseau ressources dont des fichiers, utilisateurs, groupes, périphériques et appareils
réseau.
Active Directory est le service d’annuaire développé par Microsoft à destination des domaines
Windows. Outre les fonctions d’authentification et d’autorisation dont il est doté, il fournit un cadre
aux autres services de ce type. L’annuaire est en réalité une base de données LDAP qui contient des
objets interconnectés. Active Directory utilise le système d’exploitation Windows Server.
Quand quelqu’un parle d’Active Directory, il se réfère généralement à Active Directory Domain
Services, qui fournit des protocoles d’authentification et d’autorisation intégrés et de grande ampleur.
Avant Windows 2000, le modèle d’authentification et d’autorisation de Microsoft avait besoin de
diviser un réseau en domaines, puis de corréler ces domaines par l’entremise d’un système
complexe, et parfois imprévisible, de simple ou double approbation. Active Directory a été intégré à
Windows 2000 afin de fournir des services d’annuaire taillés pour des environnements plus grands, et
plus complexes.

Autres services d’Active Directory


Au fil du temps, Microsoft a enrichi l’offre Active Directory de plusieurs services.
Active Directory Lightweight Directory Services
Cette version allégée fait l’impasse sur certaines des fonctionnalités avancées qui compliquent
l’usage de Domain Services pour intégrer les fonctions d’annuaire les plus rudimentaires, sans
recours aux contrôleurs de domaine, aux forêts ou aux domaines. C’est ainsi une version tout
indiquée pour les réseaux de petite taille ou à ceux destinés à un seul et même bâtiment.
Services de certificats Active Directory (AD CS)
Ces services fournissent des certificats numériques qui sont générés dans une infrastructure à clés
publiques, ou PKI. Celle-ci peut stocker, approuver, créer et révoquer des clés publiques
d’identification utilisée à des fins de cryptage plutôt que de générer des clés de façon externe ou
locale.
Active Directory Federation Services (ADFS)
ADFS est un service web d’authentification et d’autorisation unique (SSO) qui s’adresse en premier
lieu aux entreprises. Grâce à lui, un prestataire peut se connecter à son propre réseau et être habilité
à accéder à celui de son client également.
Active Directory Rights Management Services (ADRMS)
Ce service de gestion des droits décompose l’autorisation au-delà d’un modèle d’accès octroyé ou
refusé et restreint les actions qu’un utilisateur peut effectuer sur des fichiers ou documents
spécifiques. Dans ce système, les droits et restrictions sont associés au document plutôt qu’à
l’utilisateur. Ces droits servent généralement à interdire l’impression, la copie ou la réalisation de
captures d’écran d’un document.

Structure d’Active Directory


Active Directory se distingue par sa capacité à déléguer les autorisations et par l’efficacité de son
système de réplication. Chaque partie de la structure organisationnelle d’AD restreint soit
l’autorisation, soit la réplication, au périmètre qu’elle délimite.
Forêt
La forêt est le sommet de l’organisation hiérarchique d’AD. Une forêt est une limite de sécurité au
sein d’une organisation, et permet la séparation des délégations d’autorité au sein d’un même
environnement. Ainsi, l’administrateur a accès à l’ensemble des droits et permissions, mais
uniquement à un sous-ensemble précis de ressources. On peut se contenter d’utiliser une seule forêt
sur un réseau. Les informations qui y sont associées sont stockées sur tous les contrôleurs de
domaine, sur tous les domaines, au sein de la forêt.
Arborescence
Une arborescence correspond à un groupe de domaines. Les domaines qui appartiennent à une
arborescence ont le même espace de nom racine. Si elles partagent un même espace de nom, les
arborescences n’en constituent pas pour autant des limites de sécurité ou de réplication.
Domaines
Chaque forêt contient un domaine racine. Les autres peuvent servir à créer d’autres partitions au sein
d’une forêt. L’objet d’un domaine est de décomposer le répertoire en petits fragments afin d’en
maitriser la réplication. Un domaine limite la réplication de données Active Directory aux seuls
contrôleurs de domaine qui y appartiennent. Cela évite ainsi, par exemple, à un bureau parisien de
dupliquer les données AD d’un autre situé à Dijon, ce qui serait parfaitement inutile. On économise
ainsi de la bande passante, tout en limitant les dégâts en cas de faille de sécurité.
Chaque contrôleur appartenant à un domaine possède une copie identique de sa base de données
Active Directory. Celle-ci reste à jour grâce à la réplication en continu.
Si les domaines étaient déjà présents dans le précédent modèle conçu pour Windows-NT et font
aujourd’hui encore office de barrière de sécurité, il est recommandé de les utiliser pour contrôler la
réplication des données, mais aussi de leur préférer les unités organisationnelles (UO) pour
regrouper et limiter les autorisations de sécurité.
Unités organisationnelles (UO)
Une unité organisationnelle permet de regrouper l’autorité dans un sous-ensemble de ressources
d’un domaine. Une UO assure la fonction de barrière de sécurité pour les privilèges élevés et les
autorisations, mais elle ne limite pas la réplication d’objets AD.
Les UO permettent de déléguer le contrôle au sein de regroupements fonctionnels. Elles doivent être
utilisées pour mettre en place et limiter la sécurité et les rôles au sein des groupes, tandis que les
domaines servent à contrôler la réplication d’Active Directory.
 

Contrôleurs de domaine
Les contrôleurs de domaine sont des serveurs Windows qui contiennent la base de données Active
Directory et s’acquittent des fonctions liées à ce système, notamment d’authentification et
d’autorisation. On entend par « contrôleur de domaine » tout serveur Windows configuré pour assurer
ce rôle.
Chaque contrôleur de domaine enregistre une copie de la base de données d’Active Directory
renfermant les informations sur tous les objets appartenant à un même domaine. Chacun d’entre eux
sauvegarde par ailleurs le schéma de l’ensemble de la forêt, ainsi que des informations au sujet de
cette dernière. Un contrôleur de domaine ne sauvegardera pas de copie d’un schéma ou d’une forêt
autres, même s’ils se trouvent sur le même réseau.
Les rôles des contrôleurs de domaine spécialisés
Les rôles des contrôleurs de domaine spécialisés servent à accomplir des fonctions spécifiques qui
sont indisponibles sur les contrôleurs de domaine de base. Ces rôles de maîtres sont attribués au
premier contrôleur de domaine créé dans chaque forêt ou domaine. L’administrateur a cependant la
possibilité de redistribuer les rôles manuellement.
Le maître de schéma
Il y a un seul maître de schéma par forêt. Celui-ci contient la copie maître du schéma qu’utilisent tous
les autres contrôleurs de domaine. Cette copie maître est le gage que tous les objets seront définis
de la même manière.
Le maître d’attribution des noms de domaine (Domain Naming Master)
Chaque forêt compte un seul maître d’attribution des noms de domaine. Celui-ci veille à ce que tous
les noms d’objets soient uniques et, si nécessaire, fait une analyse croisée des objets stockées dans
d’autres annuaires.
Le maître d’infrastructure (Infrastructure Master)
Il y a un seul maître d’infrastructure par domaine. Celui-ci garde la trace des objets supprimés et
maintient à jour les références d’objets entre les différents domaines.
Le maître des ID relatifs (RID Master)
Il y a un seul maître des ID relatifs par domaine. Celui-ci est chargé de mémoriser l’attribution et la
création des identifiants uniques de sécurité (SID) dans le domaine.
Émulateur du contrôleur principal de domaine (PDC Emulator)
Il y a un seul émulateur du contrôleur principal de domaine (PDC Emulator) par domaine. Celui-ci est
chargé d’assurer la rétrocompatibilité avec les contrôleurs de domaines des anciens systèmes de
nom de domaine basés sur Windows NT. Il traite les requêtes reçues par un PDC comme un ancien
PDC l’aurait fait.
Data Store
Le stockage et la récupération des données sur tout contrôleur de domaine sont assurés par le
magasin de données. Celui-ci se compose de trois couches. La couche inférieure est la base de
données elle-même. La couche intermédiaire contient les composants de service, l’agent du service
d’annuaire (DSA), la couche de base de données, et le moteur d’enregistrement extensible (ESE). La
couche supérieure, enfin, est celle des services d’annuaire, de LDAP (Lightweight Directory Access
Protocol), de l’interface de réplication, de l’API de messagerie (MAPI), et du Responsable de la
sécurité des comptes (SAM).
 

DNS
Active Directory contient des informations relatives à la localisation des objets stockés dans la base
de données, mais il s’appuie sur le système DNS pour localiser les contrôleurs de domaine.
Au sein de l’annuaire actif, tous les domaines ont un nom de domaine DNS et chaque ordinateur
raccordé a un nom DNS au sein du même domaine.
Objets
Tous les éléments de l’annuaire actif y sont stockés en tant qu’objets. La classe se définit comme le
« type » d’objet dans le schéma. Les attributs désignent pour leur part les composants de l’objet. Les
attributs d’un objet sont donc définis par sa classe.
Les objets doivent être définis dans le schéma avant que les données ne soient stockées dans
l’annuaire. Une fois définies, les données sont conservées au sein de l’annuaire actif en tant qu’objets
individuels. Chacun d’entre eux doit être singulier et représenter une chose unique, comme un
utilisateur, un ordinateur, ou un groupe précis de choses (par exemple, un groupe d’utilisateurs).
Les deux principaux types d’objets sont les ressources et les entités de sécurité. Ces dernières se
voient assigner des ID de sécurité ID (SID), contrairement aux ressources.
 

Réplication
Active Directory utilise plusieurs contrôleurs de domaine à diverses finalités, notamment pour la
répartition de la charge ou la tolérance aux pannes. Pour assurer ces fonctions, tous les contrôleurs
doivent posséder une copie complète de la base de données AD du domaine lui-même. La réplication
garantit que chaque contrôleur possède une copie actuelle de la base de données.
La réplication se confine aux frontières du domaine. Deux contrôleurs rattachés à des domaines
différents ne répliquent pas les données de l’autre, même s’ils appartiennent à la même forêt. Tous
les contrôleurs sont égaux. Contrairement aux précédentes versions de Windows, Active Directory ne
s’appuie pas sur le système de contrôleurs primaires et secondaires. Il peut parfois y avoir confusion
du fait de la reprise par Active Directory du nom « contrôleur de domaine », issu de l’ancien système
d’approbations.
La réplication fonctionne sur le principe de l’extraction : le contrôleur de domaine demande ou « 
extraie » les informations des autres au lieu de transmettre ses données aux autres. Par défaut, la
réplication entre contrôleurs de domaine se fait toutes les 15 secondes. Certains événements
nécessitant un haut niveau de sécurité déclenchent une réplication immédiate, comme la
déconnexion d’un compte.
Seules les modifications sont répliquées. Pour s’assurer de la correspondance parfaite des données
sur un système comptant plusieurs maîtres, chaque contrôleur de domaine garde la trace des
changements effectués, et extrait seulement les éléments qui ont été modifiés depuis la dernière
réplication. Les changements sont répliqués dans l’ensemble du domaine par le biais d’un
mécanisme de stockage et de retransmission de manière à ce que toute modification soit répliquée
quand la demande en est faite, même si la modification n’émane pas du contrôleur qui répond à la
demande de réplication.
Ce système empêche l’explosion du trafic et peut être configuré de sorte que chaque contrôleur de
domaine demande ses données de réplication auprès du serveur le plus approprié. Par exemple, un
site éloigné disposant d’une connexion haut débit et d’une connexion bas débit à d’autres sites dotés
de contrôleurs de domaine peut fixer un « coût » à chaque connexion. Ce faisant, la demande de
réplication transitera par la connexion la plus rapide.
 
 
 

Références
Active Directory Structure
Active Directory Collection
Understanding Active Directory
Active Directory Domain Services Overview
Domain Trees

Accueil > IT Explained > Supervision d’Active Directory


À PROPOS DE PAESSLER AG

Depuis 1997, nous proposons des solutions de supervision destinées


aux entreprises de tous les secteurs d'activité, quelle que soit leur taille,
des PME aux grandes entreprises. Nous sommes persuadés que la
supervision joue un rôle primordial en réduisant la consommation des
ressources naturelles de la planète. Nos produits aident nos clients à
optimiser leurs infrastructures IT, OT et IoT et à réduire ainsi leur
consommation énergétique ou leurs émissions – pour notre avenir et
pour notre environnement.

En savoir plus sur Paessler

Restez informé avec notre newsletter


PRODUITS LIENS UTILES CONTACT

PRTG Network Monitor Études de cas Thurn-und-Taxis-Str. 14,


90411 Nuremberg, Allemagne
PRTG Enterprise Monitor Manuel de PRTG
info@paessler.com
PRTG Hosted Monitor Knowledge Base
PRTG Desktop Contacter le support +49 911 93775-0

PRTG Apps Blog +49 911 93775-409

©2021 Paessler AG  · Conditions  · Politique de confidentialité  · Cookies Settings  · Informations légales  ·

Vous aimerez peut-être aussi