1 - Les Fondamentaux Active-Directory

Active Directory
Les fondamentaux
__________________________________________________________________________________
Auteur(s) : Jean-Paul Batsik, Dunkerque Date de création : 01/2018
Page : 1 Dernière mise à jour :
Table des matières
Qu’est-ce qu’ActiveDirectory ? ............................................................................................................... 3
L’annuaire. ........................................................................................................................................... 3
Comment fonctionne Active Directory ? ............................................................................................. 4
Qu’est-ce qu’un service d’annuaire ? .................................................................................................. 5
Qu’est-ce qu’un domaine Active Directory ? .......................................................................................... 5
Qu’est-ce qu’un contrôleur de domaine ? .......................................................................................... 6
La notion d’arbres et forêts. .................................................................................................................... 7
Les arbres. ........................................................................................................................................... 7
La forêt ................................................................................................................................................ 8
Qu’est-ce qu’un niveau fonctionnel ? ................................................................................................... 10
__________________________________________________________________________________
Qu’est-ce qu’ActiveDirectory ?
L’annuaire.
Bien qu’ils existent depuis le début des années 80, les annuaires se sont démocratisés avec
l’arrivée des systèmes Windows NT 3.5 dans le milieu des années 90.
L’active Directory n’est pas une invention Microsoft puisqu’elle a commencée à être définie et
standardisée par l’ISO en 1988 sous l’appellation X500.
Bien que Microsoft se soit inspiré très largement de ce standard, l’éditeur ne respecte pas
forcément toutes les RFC découlant de X500.
L’Active Directory peut être comparé à un annuaire, tel les pages jaunes ou blanches que nous
connaissons en France.
Si l’annuaire papier regroupe des informations concernant des entreprises ou des personnes, il n’a
qu’un seul but : localiser l’entité recherchée.
Bien que beaucoup plus complexe qu’un annuaire papier, la raison d’être d’Active Directory est
identique : il permet de stocker et localiser des objets de différentes natures dans un système
d’annuaire.
Physiquement, ces objets sont stockés dans une base de données définie par X500.
Le protocole Ldap propose quant à lui une méthode relativement simple, via TCP-IP, pour
interroger cette base.
Imaginez une entreprise de très grande taille disposant de milliers de périphériques réseaux.
Vous recherchez une imprimante réseau couleur avec du papier disponible pour imprimer votre
rapport.
Comment rechercher et localiser une imprimante sans connaitre son nom ou sa localisation ?
__________________________________________________________________________________
Comment fonctionne Active Directory ?
Comme vous pouvez le constater dans la capture précédente, nous avons fait une recherche sur
un objet « Imprimante » avec les attributs « Papier disponible » et « Prend en charge l’impression
couleur » actifs.
L’AD est structuré de la même façon.
Il regroupe les objets (périphériques, utilisateurs, …) ainsi que leurs différents attributs, une
recherche multicritères est alors possible.
Notons enfin que les attributs sont typés, c’est-à-dire qu’ils mémorisent une information d’un
certain genre.
Ainsi, par exemple, l’attribut « Description » mémorisera du type Texte tandis que l’attribut
« badPwdCount » mémorisera un nombre entier.
Par extension, nous pouvons dire que l’AD mémorise tous les objets de l’entreprise ainsi que
toutes les caractéristiques de ces objets.
La présence de ces objets et leurs caractéristiques respectives définissent le schéma
Active Directory.
C’est-à-dire la structure même de cette base de données.
Selon les versions utilisées de Windows Server, le schéma sera différent.
Ainsi, une migration de Windows 2008 server vers 2012 engendrera également une migration du
schéma.
De plus, certaines applications comme Exchange par exemple ont également besoin d’objets
spécifiques non définis dans le schéma de base de l’A.D.
l’A.D.
Remarque : Certains attributs d’objets ne sont disponibles qu’en lecture, c’est le cas par exemple
des attributs systèmes qui ne sont accessibles en écriture que par l’OS lui-même.
__________________________________________________________________________________
Qu’est-ce qu’un service d’annuaire ?
L’annuaire est une source d’informations précieuse pour l’entreprise.
Si l’annuaire contient une mine d’informations, son existence est rendue possible grâce aux
nombreux services qui tournent en tache de fond et qui rendent cette source d’informations
exploitable par les utilisateurs, comme répondre à une requête par exemple.
Les services d’annuaire sont essentiels au bon fonctionnement d’un réseau Microsoft.
Outre la gestion des objets, ils permettent de garantir la sécurité au sein de réseau en les
protégeant.
Ils permettent également de distribuer la base de données d’annuaire entre différents serveurs et
d’assurer la réplication.
L’authentification, l’application de stratégie, la gestion des mises à jour,… les exemples
foisonnent, et des nouveautés apparaissent à chaque nouvelle version.
Les services Active Directory peuvent être comparés à une colonne vertébrale, sans eux, point de
salut !
Et l’A.D dans tout cela ?
Vous l’avez deviné, l’Active Directory est l’ensemble des services d’annuaire fourni par Microsoft
avec ses OS serveur.
A chaque version, Microsoft étend ses services et fonctionnalités pour répondre aux besoins des
entreprises.
On trouve aujourd’hui des fonctions entièrement nouvelles telles que la gestion des
infrastructures à clefs publiques (PKI), le Single Sign On, l’authentification Carte à puce et
rétinienne, SMB 3.0, DHCP Failover,…
Qu’est-ce qu’un domaine Active Directory ?

La notion de domaine est fondamentale dans la compréhension d’A.D.
Un domaine est par définition un ensemble logique d’objets partageant le même

annuaire.
Le domaine permet également de définir une limite administrative ou une zone d’administration.
Il est tout à fait possible de déléguer l’administration d’un domaine à une personne en particulier.
Ainsi, la connexion d’un poste de travail sur un domaine va définir l’appartenance de cet objet au
domaine.
L’architecture des domaines est généralement le reflet de la structure de l’entreprise.
Le domaine est intimement lié au DNS.

S’il est impossible de construire un domaine sans serveur DNS, la réciproque est fausse.
Lorsque l’on paramètre un domaine, il faut le nommer de la même manière qu’un domaine
Internet par exemple.
__________________________________________________________________________________
On retrouvera donc l’extension du domaine (.net, .com, .fr, .gouv, …) ainsi que le nom du
domaine proprement dit (afpa, tsrit, google, …). Pour faire référence à un domaine, il suffit de
faire référence à son nom.
Qu’est-ce qu’un contrôleur de domaine ?

Nous avons vu qu’un domaine regroupe toutes sortes d’objets, eux-mêmes stockés dans une base
de données.
Lorsque l’on crée un premier domaine sur un serveur, la machine est promue contrôleur de
domaine (le premier contrôleur est aussi appelé PDC, soit le contrôleur principal de domaine).
A ce contrôleur sont attribuées diverses fonctions, dont la principale est le stockage de l’annuaire.
D’autres fonctions font également partie de l’attribution du contrôleur, comme l’exécution des
services A.D, la réplication, l’authentification des ouvertures de session, …
Pour faire face aux éventuels pannes, il est conseillé d’utiliser plusieurs contrôleurs pour un même
domaine.
En effet, lorsque l’on utilise plusieurs contrôleurs, une réplication de l’A.D sera effectuée sur tous
les contrôleurs du même domaine.
Ainsi, si une panne survient, les autres contrôleurs pourront garantir une continuité de service.
__________________________________________________________________________________
La notion d’arbres et forêts.
Les arbres.
Il se peut que pour répondre aux besoins d’une entreprise un seul domaine ne suffise pas.
Vous serez donc peut être amené à créer un arbre, voire une forêt.
En effet, pour des raisons géographiques ou pour répondre à des questions de sécurité ou de
délégation par exemple, on peut être amené à créer de multiples domaines.
Le regroupement de ces différents domaines s’opère de façon hiérarchique et structurée.
Un arbre est un regroupement hiérarchique de domaines partageant le même espace de

nom.
Lorsque l’on construit un arbre, il faut dans un premier temps partir d’un domaine racine (en
général le premier domaine créé) puis il faut relier les sous-domaines au domaine racine.
Supposons que les centres de formation d’une entreprise soient éparpillés entre le nord et le sud
de la France, nous choisirons alors un « éclatement » géographique pour représenter l’entreprise.
Exemple de représentation d’un arbre
__________________________________________________________________________________
Qu’implique ce schéma ? Nous voyons que l’entité Afpa est scindée en plusieurs domaines, ce
qui signifie que :
 Chaque domaine possède son propre contrôleur (au moins 1). En cas de contrôleurs
multiples, une réplication sera effectuée.
 L’administration du domaine peut-être déléguée. Si la charge administrative devient trop
importante, il convient de déléguer une partie à d’autres administrateurs. Chaque domaine
possède ainsi sa propre autonomie d’administration.
 Les domaines créés partagent le même espace de nom DNS.
 Les règles de sécurités peuvent être dissociées au sein de la même entreprise.
 Si je dois ajouter un domaine supplémentaire à la branche sud.afpa.local, j’obtiendrais par
exemple tssr.sud.afpa.local
Important : MS utilise abusivement le terme « forêt » pour désigner un arbre. Bien que ces 2
notions soient très proches, il convient tout de même de savoir faire la distinction.
La forêt
Si l’on ajoute un nouveau domaine avec un espace de nom différent, nous créons alors une forêt.
Une forêt regroupe plusieurs domaines et plusieurs arbres pour une même structure.
Ce type de représentation démontre déjà une certaine complexité.

Travailler sur une forêt relève d’une entreprise d’une très grande taille.
Dans le cas du rachat d’une autre entité par exemple, on peut être amené à faire un
« rapprochement » entre deux entreprises distinctes pour en obtenir une seule, ce qui facilite
grandement la gestion.
Qu’en est-il des ressources propres à chacun des domaines ?
Un utilisateur de domaine Sud peut-il accéder aux ressources du domaine nord ? Entre les
différents domaines, une relation de confiance est établie. Par défaut, la relation entre domaines
est de type bidirectionnel transitif, mais elle peut être modifiée à tout moment par
l’administrateur.
__________________________________________________________________________________
En langage usuel, cela veut dire « Je t’approuve mais j’approuve également les domaines que tu
décides d’approuver », ou encore plus vulgairement « l’ami de mon ami est mon ami ! ».
Dans sa structure, A.D n’est pas si différent que cela d’un système de fichier.
A.D possède une structure hiérarchique où une forêt joue le rôle d’un container (cf. un dossier
pour un système de fichier) regroupant plusieurs domaines (des objets) eux-mêmes structurés
dans une arborescence contenant d’autres objets.
__________________________________________________________________________________
Qu’est-ce qu’un niveau fonctionnel ?
A chaque sortie d’un nouvel OS serveur, Microsoft apporte son lot de nouveautés, si bien que
lorsque l’on a un contrôleur tournant sous Windows 2000 server, on ne pourra naturellement pas
profiter des nouveautés de Windows 2012 server, c’est ce que l’on appelle une compatibilité
descendante. Le niveau fonctionnel s’applique au niveau d’une forêt.
L’objectif de ce cours n’est pas d’exposer les nouveautés apportées à chaque version. Il faut
simplement retenir qu’un A.D de « base » est commun à toutes les versions et que chaque version
a ses spécificités.
Le schéma ci-dessus nous montre plusieurs scénarios possibles, prenons un exemple :
 Si le niveau fonctionnel 2008 est choisi, alors il faudra au minimum des contrôleurs dans
leur version 2008. Pour les versions 2012 installées, ils fonctionneront dans un mode de
rétrocompatibilité 2008 et les nouveautés 2012 ne seront pas exploitées.
 Les contrôleurs en 2000 et 2003 ne seront alors plus compatibles et il faudra migrer ces
contrôleurs dans la version 2008 ou bien ils seront inutiles.
 Dans notre cas de figure, si l’on ne veut effectuer aucune migration et conserver
l’existant, nous devrons utiliser le mode Windows 2000 pour profiter de tous les
contrôleurs, mais pas de leurs nouvelles fonctionnalités !
__________________________________________________________________________________
Qu’est-ce qu’un catalogue global ?
Chaque domaine d’une forêt possède une copie de l’AD (de son propre domaine) stockée sur un
contrôleur de domaine.
Comme nous l’avons vu, l’AD est répliqué entre contrôleurs du même domaine.
Mais que se passe-t-il si l’on recherche un objet appartenant un à autre domaine de la forêt ?
Comment faire pour ne pas solliciter systématiquement les contrôleurs des autres domaines ?
Un domaine ne connait que les ressources de son propre domaine.

Pour répondre à ce problème, Microsoft a mis en place le catalogue global.
Un catalogue global fonctionne comme un index géant au niveau forêt.
Le CG contient tous les objets de la forêt en version « light », en ne stockant que les attributs les
plus usités de l’objet.
Lorsque l’on fait une requête sur un objet d’un autre domaine, ce sera le CG qui répondra et non
les contrôleurs étrangers à son domaine.
Vous devez avoir au minimum un CG par domaine.
Le CG est stocké sur un contrôleur de domaine.
__________________________________________________________________________________
Qu’est-ce qu’un site Active Directory ?
La notion de site est assez méconnue de l’utilisateur puisqu’elle implique une notion de distance
et de rapidité des liens.
Un site A.D est une représentation géographique du réseau.
Les contrôleurs d’un même site doivent être reliés par un lien rapide (ex : FastEthernet) tandis
qu’un lien Wan (ADSL, Lignes spécialisées) relie les sites distants.
Définir des sites permet de mettre en place des stratégies de réplication entre contrôleurs dans le
but d’optimiser les couts et les débits.
Par exemple, nous pouvons planifier la réplication durant les heures de fermeture d’un bureau
pour profiter d’une bande passante plus généreuse.
Nous pouvons trouver plusieurs sites pour un même domaine, voire un site pour plusieurs
domaines.
La réplication
La réplication intra-site.
La réplication intra-site concerne un ensemble de contrôleurs reliés par un lien rapide.
Dans notre exemple, nous avons le site de Paris qui contient plusieurs contrôleurs reliés par un
lien rapide.
Ici, l’ensemble des contrôleurs concerne le même domaine mais, ce n’est pas toujours le cas.
Imaginez qu’un client se connecte sur son domaine tssr.local.

L’utilisateur souhaite modifier son mot de passe, il enverra sa requête à DC1 par exemple.
Si l’utilisateur se reconnecte, il se peut que DC2 prenne en charge son ouverture de session, donc
DC2 doit être au « courant » du changement de mot de passe.
__________________________________________________________________________________
La réplication intra-site se fait très rapidement. Il n’y a aucune configuration à effectuer car l’AD
se charge de tout.
L’AD a été conçu pour effectuer des réplications en anneau et de cette manière, chaque
contrôleur joue un rôle dans la réplication de la base de données.
La réplication inter-sites.
Pour relier deux sites AD distants, il faut créer manuellement un SiteLink.
Une fois le SiteLink créé, une tête de pont (Bridge Head) sera désignée automatiquement pour
assurer la réplication avec une autre tête de pont du site distant.
Une tête de pont est donc un contrôleur de domaine qui aura la charge de répliquer les données
de l’AD vers le site distant.
Si une tête de pont tombe en panne, AD va en choisir une autre automatiquement.
Heureusement, Il est tout de même possible pour l’administrateur de forcer l’élection de la tête de
pont.
__________________________________________________________________________________
Les rôles FSMO (Flexible Single Master Operation)
Nous connaissons maintenant le rôle d’un contrôleur de domaine dans la gestion des objets A.D.
Seulement, leur rôle ne s’arrête pas là.
En effet, chaque contrôleur joue un rôle particulier dans la gestion du domaine ou de la forêt.
Il y a 5 rôles bien distincts appelés rôle FSMO, dont 2 rôles concernant la forêt et 3 autres rôles
concernant le domaine.
Voyons à quoi correspondent ces rôles :
Au niveau forêt :
• Schema Master (maitre de schéma) : Nous avons vu au début du cours que le schéma
définit la structure des objets A.D.
Pour une « bonne compréhension » entre contrôleurs, ils doivent reposer sur la même base, avec
des objets identiques et utiliser un langage commun.
Modifier un objet sur le Schema Master entrainera une modification sur l’ensemble des objets de
la forêt.
Exchange par exemple nécessite des objets bien particuliers pour la gestion des mails. Les objets
exchange seront propagés au niveau de la forêt à l’aide du Schema Master. Attention !!! Il ne
peut y avoir qu’un seul Schema Master par forêt et lorsque l’on ajoute un objet il n’est pas
possible de revenir en arrière !
• Domain Naming Master (maitre d’attribution des noms de domaine) : Ce rôle est
relativement simple puisqu’il s’assure uniquement de l’unicité des noms de domaine au niveau de
la forêt. Il n’y a qu’un seul DNM par forêt.
Ces 2 rôles ne sont finalement que très peu utilisés puisque la modification de la structure de
l’AD n’est pas chose courante.
Au niveau domaine :
• RID Master (Relative Identifier) : Les objets sous A.D sont identifiés par un numéro
unique. Lorsque l’A.D traite un objet, il travaille en réalité avec son identifiant.
Par exemple, lorsqu’un utilisateur se connecte, son login ne sera pas envoyé au contrôleur mais
son SID (identifiant unique de domaine). De même, lorsque l’on modifie le nom d’un utilisateur,
son SID reste inchangé et seul le nom changera.
Mais quelle est la différence entre un RID et un SID ? Ces deux notions sont complémentaires.
En effet, Lorsque l’on crée un objet au niveau d’un même domaine, le SID sera identique pour
tous les objets. Cette méthode permet en quelque sorte de situer l’appartenance au domaine.
Le RID lui se comporte comme un « pool DHCP ». Pour chaque domaine, le RID master
allouera et distribuera un pool d’identifiant qui permettra de construire un numéro unique. Ce
pool est une valeur de départ qui s’incrémentera à la création de chaque objet.
__________________________________________________________________________________
 PDC Emulator (Primary Domain Controler Emulator) : Ce rôle est devenu presque
obsolète. Il s’agissait à l’époque de faire communiquer un contrôleur principal NT4 avec une
version plus récente. Depuis Windows server 2008, les DC NT4 ne sont plus supportés.
Cependant, quelques tâches incombent encore au PDC emulator, à savoir le maintien et la
synchronisation de l’heure et de la date au niveau de domaine. Le PDC emulator doit être
synchronisé avec un serveur de temps NTP et les autres DC se synchronisent sur le PDC
Emulator. La station cliente se synchronise également avec le DC qui l’a prise en charge.
 Infrastructure Master (Maitre d’infrastructure) : Si vous travaillez sur un domaine unique,

ce rôle ne vous sera pas utile. Sinon, si vous supprimez ou renommez des objets, ce rôle
assure la propagation des objets au travers des domaines de la forêt.
Remarque : Si un DC sous Win2000 ou Win2003 est la fois Catalogue global et Infrastructure
Master, vous risquez de sérieux problèmes. Ce bug est recensé chez MS et a été corrigé lors de la
sortie de Windows 2008.
Pour connaitre les rôles installés sur les DC, tapez la commande suivante dans votre Shell :
 dcdiag /test:knowsofroleholders /v
__________________________________________________________________________________

1 - Les Fondamentaux Active-Directory

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

1 - Les Fondamentaux Active-Directory

Transféré par

Droits d'auteur :

Formats disponibles

Active Directory

Et l’A.D dans tout cela ?

Qu’est-ce qu’un domaine Active Directory ?

Un domaine est par définition un ensemble logique d’objets partageant le même

Le domaine est intimement lié au DNS.

Qu’est-ce qu’un contrôleur de domaine ?

Un arbre est un regroupement hiérarchique de domaines partageant le même espace de

Exemple de représentation d’un arbre

Ce type de représentation démontre déjà une certaine complexité.

Le schéma ci-dessus nous montre plusieurs scénarios possibles, prenons un exemple :

Un domaine ne connait que les ressources de son propre domaine.

Imaginez qu’un client se connecte sur son domaine tssr.local.

Voyons à quoi correspondent ces rôles :

 Infrastructure Master (Maitre d’infrastructure) : Si vous travaillez sur un domaine unique,

Vous aimerez peut-être aussi