Ch2: Services de domaine Active Directory

I. Présentation
1. Service ADDS
C’est un annuaire implémenté sur les systèmes d’exploitation Microsoft depuis Windows 2000
Server. Il s’appuie sur la norme LDAP. Il comprend généralement l’ensemble des comptes
nécessaires à l’authentification des ordinateurs et utilisateurs d’une entreprise.

2. Composants Logiques d’un Actvie directory

Il est possible de trouver les composants suivants :

 Domaine: permet la mise en place d'une limite administrative pour les objets utilisateurs et
ordinateurs.
 Arborescence de domaine: contient une suite de domaine qui partage un espace de noms
DNS contigu. La relation entre les domaines d'une même arborescence est de type
parent/enfant.
 Forêt Active Directory: contient l'ensemble des domaines Active Directory. Il contient
une seule configuration et un seul schéma partagés par l'ensemble des contrôleurs de
domaine présents dans la forêt.
 Site Active Directory: permet de découper un domaine en plusieurs parties, ceci afin de
limiter et contrôler la réplication entre deux sites distants.
 Unité d'organisation: permet d'appliquer une stratégie de groupe mais également de
mettre en place une délégation.
 Schéma Active Directory: contient les attributs de tous les objets qui peuvent être créés
dans Active Directory.
Remarque: Par défaut le logiciel enfichable Schéma Active Directory est caché. Pour pouvoir
l'activer, il est nécessaire de taper la commande regsvr32 schmmgmt.dll dans la console
Exécuter.

3. Composants Physiques Actvie directory

Peuvent être matériels ou logiciels :
 Contrôleur de domaine: contient une copie de la base de données Active Directory.
 Base de données et le dossier sysvol: contiennent l'ensemble des informations d'Active
Directory (propriétés des comptes utilisateurs, ordinateurs…). Chaque contrôleur de
domaine du domaine Active Directory en contient une copie.
 Catalogue global: contient une copie partielle des attributs (nom, prénom, adresse de
l'utilisateur…) des objets de la forêt. Il permet d'effectuer des recherches rapides sur un des
attributs d'un objet d'un domaine différent de la forêt.

4. Partitions
 Partition de domaine : elle contient les informations des différents objets qui ont
été créés sur le domaine (attributs de compte utilisateur et ordinateur…).
1
  Partition de configuration : la topologie de l’annuaire (liste complète des
domaines, arborescences) est décrite dans cette partition.
 Partition de schéma : elle contient tous les attributs et classes de tous les objets
qui peuvent être créés.
 Partition DNS : l’ensemble des zones et donc des enregistrements est stocké dans
cette partition.
N.B.: Ces partitions sont stockées dans la base de données, cette dernière se trouve dans le
répertoire %systemroot%\NTDS.

5. Maîtres d’opération FSMO (Flexible Single Master

Operation)
 Rôle maître de schéma : ce rôle est donné à un seul serveur de la forêt. Ce dernier est le
seul à posséder des droits d’écriture sur le schéma. Néanmoins pour effectuer cette
opération, il est nécessaire que le compte utilisé soit membre du groupe Administrateurs du
schéma. Les autres serveurs ont uniquement un accès en lecture.
 Rôle Maître de dénomination de domaine : comme pour le maître de schéma, ce rôle se
trouve uniquement sur un seul contrôleur de domaine de la forêt. Le maître de
dénomination de domaine est nécessaire lors de l’ajout ou la suppression d’un domaine de
la forêt. Ce serveur est contacté afin d’assurer la cohérence des noms de domaines.
Les prochains rôles maître RID, maître infrastructure et le maître émulateur PDC sont
présents sur chaque domaine de la forêt.
 Rôle Maître RID : il permet l’allocation de blocs d’identificateur relatifs (RID) aux
différents contrôleurs de domaine de son domaine. Cet identifiant unique est associé au
SID du domaine afin de créer le SID (identifiant de sécurité) de l’objet. C’est à l’aide de
cet identifiant qu’un objet est reconnu.
 Rôle Maître infrastructure : son rôle est la surveillance d’objets étrangers à son domaine,
qui sont présents dans des groupes de sécurité ou dans des ACL. Exemple : l’objet Nicolas
BONNET fait partie du domaine FR.Formation.local mais il est membre du groupe
G_ComptaUS qui est présent dans le domaine US.Formation.local.
 Rôle Maître émulateur PDC : il assure une compatibilité applicative, en émulant un
serveur PDC NT4. Il a ainsi permis la migration entre Windows 2000 (utilisation de
contrôleur de domaine Active Directory) et Windows NT4

6. RODC
Un contrôleur de domaine en lecture seule (Read Only Domain Controller) contient toutes les
informations d’un contrôleur de domaine classique à l’exception du mot de passe des
utilisateurs.
Ces informations sont stockées en lecture seule uniquement et aucune modification au niveau
du domaine ne peut être initiée depuis un RODC.

7. Centre d’Administration Active Directory

2
 Une nouvelle console de gestion de l’Active Directory remplaçant la console Utilisateurs
et Ordinateurs Active Directory.
Cette console est un shell graphique pour PowerShell. Après avoir choisi vos
modifications de façon graphique via cette console, la commande PowerShell
correspondante s’affiche à l’écran puis s’exécute.

Atelier N1 : Installer le service ADDS sur votre serveur WS2012 R2 (voir annexe)

II. Jointure des clients au domaine

Un ordinateur est configuré par défaut pour être membre d’un environnement Peer-to-Peer
(Groupe de travail sous Windows). Après installation du service ADDS sur votre serveur, il
devient le premier membre du domaine (Environnement domaine). Il faut par la suite adhérer les
postes clients du réseau au domaine.

1. Jonction au domaine en mode déconnecté (Offline

domain join)
La commande djoin permet de pré-provisionner un compte ordinateur sur un contrôleur de
domaine et de créer le blob associé (Binary Large Object). Ce blob pourra alors être
déployé sur le poste client (via le registre ou le fichier VHD) permettant ainsi une jonction
automatique du poste client au domaine (après redémarrage). Cette jonction sera possible
même si l’ordinateur client ne se trouve pas sur le réseau d’entreprise lors de son
redémarrage.

Atelier N2-1 : Joindre un client au domaine (jointure en ligne) (voir annexe)

Atelier N2-2 : Joindre un client au domaine (jointure hors ligne) (voir annexe)

III. Objets du Domaine Active Directory

Un domaine est un regroupement logique de comptes utilisateurs, ordinateurs ou de groupes. Les
objets qui sont créés sont stockés dans une base de données présente sur tous les contrôleurs de
domaine Active Directory.
Remarque :
Pour un domaine on peut avoir plusieurs contrôleurs de domaines : principal, secondaire et
RODC. La synchronisation des bases de données des différents contrôleurs de domaine se fait via
le processus de réplication.

Cette base de données peut stocker plusieurs types d’objets, tels que :

 Compte utilisateur qui permet d’effectuer une authentification et d’autoriser des accès
aux différentes ressources partagées. Il représente une personne physique ou une
application.

 Compte ordinateur qui permet d’authentifier la machine sur laquelle l’utilisateur ouvre
une session.
3
  Groupes qui permettent de regrouper des comptes utilisateurs et ordinateurs dans le but de
leur autoriser l’accès à une ressource, de mettre en place une délégation de contrôle.

 Unité d’organisation : qui permet d’Organiser les objets AD, de Déléguer

l’administration et d’Appliquer des stratégies de sécurité.

La gestion de ces objets est disponible par le biais de différentes méthodes :

 Utilisateurs et ordinateurs Active Directory
 Centre d’administration Active Directory
 Commandes DOS et PowerShell
1. Conventions de nommage (RFC 1779 & RFC 2247)

Elle permet de nommer les objets de l’annuaire Active Directory.

 Nom unique (DN-DISTINGUISHED NAME)
Identifie l’objet de façon unique par rapport au point d’entrée de l’annuaire.
(DC: composant de nom de domaine, OU: Nom de l’unité d’organisation, CN: nom
commun)

 Nom unique relatif (RDN-RELATIVE DISTINGUISHED NAME)

Identifie l’objet de façon unique par rapport à son conteneur.
 Nom canonique : nom de l’objet

Exemple :

2. Corbeille
4
 Si vous supprimez un objet de l’AD (compte utilisateur ou autre), celui-ci sera placé dans
la corbeille du contrôleur de domaine durant 180 jours. Vous pouvez alors aisément
restaurer cet objet ainsi que tous ses attributs via un clic droit.
Pour que cette option soit effective, le niveau fonctionnel de la forêt doit nécessairement
être WS2008 R2 (tous les DC doivent donc être sous WS 2008 R2 ou plus)

3. Processus d’ouverture de session avec Active Directory

Lors de l’ouverture d’une session sur un domaine Active Directory, le système recherche les
enregistrements de type SRV dans le DNS afin de trouver le contrôleur de domaine approprié le
plus proche.
Si l’authentification est réussie, l’autorité de sécurité locale (LSA Local Security Authority) génère
un jeton d’accès puis l’attribue à l’utilisateur. Ce jeton contient l’identifiant de sécurité (SID) de
l’utilisateur ainsi que l’ensemble des groupes auxquels il est membre. L’utilisateur se voit
également attribuer un ticket appelé TGT (TicketGranting Ticket) par le contrôleur de domaine.
Lors de la tentative d’accès à une ressource sur le réseau, l’utilisateur envoie son ticket TGT au
contrôleur de domaine. Ce dernier lui répond par l’attribution d’un autre ticket qui l’autorise à
accéder à la ressource.

IV. Gestion des comptes utilisateurs

Chaque objet AD possède selon le schéma AD un ensemble d’attributs (obligatoire ou facultatif).
Exemples:
 nom d’ouverture de session antérieur à Windows 2000 (SAMAccountName) qui
est construit sous la forme NomDeDomaineNetbios\NomUtilisateur
 UPN (User Principal Name / champ nom d’ouverture de session de l’utilisateur) est
construit lui sous la forme NomOuvertureDeSession@Domaine
 Nom, prénom
 Organisation, poste, tél, adresse
 Horaire d’accès, ordinateurs autorisés
Pour gérer les comptes utilisateurs, plusieurs possibilités existent:
 Console « Utilisateurs et Ordinateurs Active Directory »
 Console « Centre d’administration Active Directory »
 Commandes PowerSHELL (scripts ps)
 Commande DOS dsadd user (scripts batch)
 Pour importer/exporter des informations depuis/vers Active Directory
 Commande DOS csvde (création)
 Commande DOS ldifde (création/ modification)

Atelier N3-1 : Créer des comptes utilisateurs en utilisant les consoles (voir annexe)
Atelier N3-2 : Créer des comptes utilisateurs en utilisant les commandes DOS (voir annexe)
Atelier N3-3 : Créer des comptes utilisateurs en utilisant les commandes PowerShell (voir
annexe)

V. Gestion des groupes

5
 1. Type de groupe
Groupe de distribution: utilisé par des serveurs de messagerie (Exchange par exemple). Aucun
SID n’est attribué au groupe, il est donc impossible de le positionner dans la liste de contrôle
d’accès d’une ressource. Lors de l’envoi d’un mail à ce groupe, l’ensemble des membres reçoit ce
mail.
Groupe de sécurité: possède un SID (Security IDentifier), ceci donne la possibilité de le
positionner dans une ACL. Ainsi, les membres de ce groupe se voient octroyer une permission
pour l’accès à la ressource. Sa deuxième fonction est de servir de groupe de distribution pour un
logiciel de messagerie.

2. Etendue du groupe
Contrôle la portée des groupes et la nature des objets que vous pouvez y placer.
Groupes Locaux du domaine : utilisables uniquement sur le domaine local où ils résident.
Membres peuvent êtres des comptes utilisateurs de n’importe quel domaine de la forêt, des
groupes globaux ou universels de n’importe quel domaine de la forêt, et/ou des groupes de
domaine local du même domaine.
Groupes Globaux : Usage global, donc utilisable sur tout domaine de la forêt. Ils ne peuvent
contenir que des comptes du domaine local (utilisateur ou ordinateur). Peuvent contenir des
groupes globaux du domaine local.
Groupes Universels : Usage global, donc utilisable sur tout domaine de la forêt. Ils Peuvent
contenir des membres de n’importe quel domaine de la forêt. Ils sont physiquement stockés sur les
contrôleurs de domaine catalogue globaux.

N.B: Pour changer l’étendu du groupe de « Global » à « Local du domaine », il faut le changer
au préalable à l’étendu « Global »

3. Règles
 Eviter d’assigner les autorisations directement aux comptes utilisateurs ou ordinateurs.
L’utilisation des groupes de sécurité est plus souple et simple à gérer
 Créer une convention de nommage afin d’identifier facilement leur rôle et/ou cadre
d’utilisation.
 Utiliser une convention de nommage propre aux groupes contenant des comptes
d’ordinateurs uniquement

FORMULE MAGIQUE: AGLP (Account/Global group/Local group/Permission)

Il est conseillé de:
 placer les comptes utilisateur dans des groupes globaux
 placer des groupes globaux dans des groupes universels
 placer des groupes universels dans des groupes locaux de domaine
 accorder les autorisations aux groupes locaux du domaine

6
 4. Gestion des groupes
Pour gérer les groupes, plusieurs possibilités existent:
 Console « Utilisateurs et Ordinateurs Active Directory »
 Console « Centre d’administration Active Directory »
 Commande DOS dsadd group (scripts batch)
 Commandes PowerSHELL (scripts ps)

Pour importer/exporter des informations depuis/vers Active Directory

 Commande DOS csvde (création)
 Commande DOS ldifde (création/ modification)

Atelier N4-1 : Créer des groupes en utilisant les consoles (voir annexe)
Atelier N4-2 : Créer des groupes en utilisant les commandes DOS (voir annexe)
Atelier N4-3 : Créer des groupes en utilisant les commandes PowerShell (voir annexe)

VI. Délégation du contrôle

Transmettre le contrôle administratif sur des objets (Domaine, Conteneur, Unité d’organisation)
de l’annuaire Active Directory à des utilisateurs et/ou des groupes d’utilisateurs. Chaque objet
dans AD DS dispose de sa propre liste de contrôle d'accès.
Exemple: Qui peut réinitialiser les mots de passe des objets utilisateur

 Dans des environnements AD DS, il est courant de créer des unités d'organisation pour
apporter une structure départementale ou géographique aux objets en réseau, et pour
activer la configuration de la délégation administrative.
 Les autorisations que vous attribuez à une unité d'organisation sont héritées par tous les
objets dans l'unité d'organisation.
 L’option Inclure les autorisations pouvant être héritées du parent de cet objet activée.
 Les autorisations AD DS effectives:
o Les autorisations attribuées aux utilisateurs et aux groupes se cumulent
o La meilleure pratique consiste à affecter des autorisations à des groupes et non à
des utilisateurs individuels
o En cas de conflits

7
  Refuser des autorisations est prioritaire par rapport à autoriser des
autorisations
 Les autorisations explicites ont priorité sur les autorisations héritées

 Pour évaluer les autorisations effectives, vous pouvez utiliser :

o L'onglet Autorisations effectives
o L'analyse manuelle