Active Directory

1 L’annuaire Active Directory

Dans Win NT, on trouvait la notion d'annuaire : il permettait de mémoriser les utilisateurs, les groupes, etc ... Il était
stocké et géré par le contrôleur principal du domaine (CPD) et pouvait être dupliqué sur les différents contrôleurs
secondaire du domaine (CSD).

Pour Win 2000/2003, l'annuaire est géré à l'aide d’AD qui permet la configuration et la gestion des propriétés de
différents objets :
 comptes d'utilisateurs,
 groupes,
 ordinateurs,
 imprimantes,
 dossiers,
 applications,
 domaines,
 sites,
 unités d'organisation,
 stratégies de sécurité.

L’AD permet de simplifier

l’administration des objets du
domaine (plusieurs millions d’objets) et d’avoir une tolérance de pannes , car elle est distribuée
sur chacun des contrôleurs de domaines.
Tous les contrôleurs contiennent les mêmes informations : réplication « multi-maître ».
Le fonctionnement d'Active Directory est basé sur des protocoles standards
de l’Internet :
 TCP/IP : protocole réseau.
 DNS : l’espace de nom des domaines
Windows 2000 se base sur ce service.
 DHCP : ce protocole de distribution de
configuration IP va permettre d’allouer un adressage IP aux
clients qui en font la demande, ainsi que de renseigner le
DNS à propos des adresses distribuées.
 Kerberos version 5: permet
l’authentification.
 LDIF : permet la synchronisation de
l’annuaire.
 SNTP : protocole de distribution de l’heure. Il est impératif que toutes les machines
Windows 2000 soient synchronisées du fait de la méthode d’authentification Kerberos qui se base sur un ticket
d’accès horodaté.
 LDAP : ce protocole permet l’accès à l’annuaire. Lors d’une recherche dans Active
Directory, vous faites d’abord appel au serveur LDAP.

2 Active Directory et DNS

L'annuaire ne peut fonctionner sans DNS . Il est donc impératif d'avoir au moins un serveur DNS pour le domaine.
C'est entre autre la raison pour laquelle, lors de l'installation d'un serveur contrôleur de domaine, Win 2000/2003
propose l'installation d'un serveur DNS.
Sous Win 2000/2003, le serveur DNS :
 accepte la mise à jour dynamique des enregistrements lors de l'ouverture de
session d'un client Win 2003 (même si ce client est aussi client DHCP),
 permet l’intégration des zones dans Active Directory (les zones ne sont plus alors les
fichiers "*.dns", mais deviennent des objets directement intégrés dans l'annuaire),
 permet à un client qui veut ouvrir une session d'obtenir la liste du (des) serveur(s) de
son domaine (enregistrement DNS de type SRV) qui validera son ouverture de session.
1
3 Active Directory et DNS
La notion de CPD et CSD n'existe plus. Il n'y a que des contrôleurs de domaine (par sécurité, au moins deux
contrôleurs par domaine).
L'annuaire est identique sur tous les contrôleurs du domaine et, à quelques rares exceptions près, il est
modifiable à partir de n'importe quel contrôleur du domaine.
Toute modification de l'annuaire à partir d'un contrôleur de domaine est automatiquement copiée sur les
autres contrôleurs du domaine.
4 Structure logique d’AD : domaine, unité d’organisation (UO), forêt, arbre

Active Directory est composée de forêts, d’arbres, de domaines et d’unités d’organisation (UO).

Une forêt contient un à n arbres .

Un arbre contient un à n domaines .
Un domaine contient n Unités d’Organisation .
Une unité d’organisation contient n objets .

4.1 Domaine
Pour Win 2000/2003, un domaine :
 est une structure logique (et non pas physique),
 qui regroupe de manière logique des ordinateurs,
 partage la même base d'annuaire : pour un domaine, un seul
annuaire.
 possède un nom de type DNS : "ma-societe.fr"
(GROUPEn.local)

L'annuaire est géré au niveau du domaine : « un domaine = un seul

annuaire ».
Tous les contrôleurs de domaine de ce domaine ont le même
annuaire (une réplication de cet annuaire s'effectue entre
les contrôleurs du domaine).

Le domaine "ma-societe.fr" possède ici deux contrôleurs de domaine.

Si un contrôleur de domaine tombe en panne, les utilisateurs du domaine peuvent continuer à travailler.

L'administration du domaine et des ses objets se fait au sein du domaine (et non pas à partir d'un autre domaine).
Pour une grosse entreprise qui possède plusieurs domaines, cela permet une séparation
et un cloisonnement des pouvoirs d'administration.
Pour une PME - PMI mono -domaine, cela n'amène finalement pas de gros changements par rapport à Win NT,
hormis le nom du domaine qui sera pour Win 2000/2003 de type DNS .

Dans le cas d'une entreprise qui aurait besoin de

deux domaines "ma-societe.fr" et
"fabrication.ma-societe.fr", chaque domaine
possède :
 sa base d'annuaire,
 au moins un contrôleur de domaine,
 ses postes clients.

2
Il n'y a pas forcement de lien entre les domaines et la structure physique de l'entreprise (l'usine de fabrication peut très
bien être au même endroit que les autres services de l'entreprise).

Rappel : nous utilisons les conventions DNS, donc :

 "ma-societe.fr" est le domaine parent (ou domaine père ou domaine racine),
 "fabrication.ma-societe.fr" est un domaine enfant du domaine "ma-societe.fr".
4.2 Arborescence, forêt, schéma, catalogue global
4.2.1 Arbre
Un arbre regroupe un ou plusieurs domaines qui partagent le
même espace de nom (au sens DNS bien sûr).
4.2.2 Forêt
Une forêt regroupe un ou plusieurs arbres . Tous les
domaines d'une forêt partagent le même catalogue global .
4.2.3 Schéma
Le schéma du service d'annuaire Active Directory contient les
définitions de tous les objets, tels que les
ordinateurs, les utilisateurs et les imprimantes stockés dans Active
Directory.
Il existe deux types de définitions dans le schéma :
 les classes
 les attributs
Les classes, également appelées classes d'objets , décrivent les objets d'annuaire qui peuvent être crées.
Chaque classe est une collection d'attributs.
Les attributs sont définis indépendamment des classes. Chaque attribut est défini une seule fois et peut être
utilise dans plusieurs classes.
Exemple : l’attribut Description est utilise dans de nombreuses classes, mais il n'est défini qu une seule fois dans le
schéma.

Lorsque vous créez un objet, les attributs de cet objet contiennent des informations qui
décrivent l’objet. Les utilisateurs peuvent rechercher des objets dans Active Directory en
recherchant des attributs spécifiques .
Exemple : un utilisateur peut rechercher une imprimante dans un bâtiment donné en effectuant une recherche sur
l’attribut Emplacement de la classe d'objet des imprimantes.

Dans Windows 2000, il n'y a qu'un seul schéma pour l’ensemble de la forêt.
Le schéma est stocké dans la base de données AD.
Lorsque vous installez AD sur le premier contrôleur de domaine d’une forêt, un schéma est créé sur ce contrôleur.

Le fichier de la base de données Active Directory s'appelle Ntds.dit et se trouve dans %systemroot%\Ntds

4.2.4 Le catalogue global

C’est un référentiel d'informations qui
contient un sous-ensemble d'attributs relatifs à
tous les objets Active Directory. Par défaut, les attributs
stockés dans le catalogue global sont les plus
fréquemment utilisés dans les requêtes (par
exemple, le prénom, le nom, le nom d'ouverture de
session et le mot de passe d'un utilisateur).
Un serveur de catalogue global est un
contrôleur de domaine qui conserve une copie du
catalogue global et traite les requêtes qui lui sont
destinées.

Le catalogue global remplit deux rôles d'annuaire

importants, il permet à un utilisateur :

3
 d'ouvrir une session sur le réseau en fournissant à un contrôleur de domaine des informations
sur l’adhésion aux différents groupes lorsqu'un processus d'ouverture de session est lancé.
 de trouver des informations d'annuaire dans la forêt entière, quel que soit l’emplacement
des données.

Exemples de structures :

Ici, on n'a qu'un seul espace de nom "ma-soc.fr", avec 4 Ici, on a deux espaces de noms :
domaines enfants .  "ma-soc.fr", avec 3 domaines enfants,
 "ma-soc.es" (Espagne), sans domaine enfant.
On n'a donc qu'un seul arbre . On a deux arbres mais une seule forêt
De même, on n'a qu'une seule forêt . qui regroupe ces deux arbres.

4.3 Unité d'organisation (UO)

Une unité d'organisation est :
 une structure hiérarchique logique (et non pas physique),
 créée dans un domaine (et donc gérée grâce à l'annuaire), qui va permettre de représenter une
structure géographique ou des services de l'entreprise.

Les unités d’organisation peuvent être fondées sur :

 l’administration ou les objets
 les zones géographiques
 les activités de l’entreprise
 les services de l’entreprise
 des projets

Les UO sont de conteneurs (des "dossiers") dans lesquels on peut créer les utilisateurs, des
groupes et sur lesquels on va appliquer des stratégies de groupe, déléguer des
droits d’administration…

5 Contrôleur de domaine : Mode mixte ou natif

En mode mixte, un client Win NT peut être
authentifié :
 soit par un contrôleur de domaine
Win 2000/2003 Server,
 soit par un CSD Win NT.
En mode natif, tous les contrôleurs de
domaine sont en Win 2000/2003 Server.
L'installation par défaut d’AD se fait en mode
mixte .
4
Pour passer en mode natif :
Démarrer \ Programmes \ Outils d'administration \ Utilisateurs et ordinateurs Active Directory \ sélectionner le domaine
à basculer \ clic droit \ Propriétés \ Changer de mode.
Attention : on ne peut pas revenir du mode natif au mode mixte.

6 Installation des contrôleurs

L'installation de Win 2000/2003 Server sur un ordinateur permet de faire de ce serveur :

 un "Serveur Autonome " : serveur (de fichiers, d'applications, d'impression par exemple)
présent dans un groupe de travail ,
 ou un "Serveur Membre " : serveur (de fichiers, d'applications, d'impression par exemple)
présent dans un domaine .
Seule l'installation ultérieure d'Active Directory sur ce serveur le fera devenir contrôleur de domaine

Lorsque vous installez Active Directory sur un ordinateur exécutant Windows 2000 Server, vous spécifiez dans quel
domaine cet ordinateur jouera le rô1e de contrôleur de domaine.

5
7 TP Installation d’un domaine

7.1 Installation du domaine

Deux solutions possible :
- A) par lancement d’une application sous la console DOS
Tapez dcpromo.exe dans Démarrer, Menu Exécuter,
ou
- B) par l’assistant graphique de Windows
Outils d'administration, Configurer votre serveur, Sélectionner Active Directory,
En bas de la page : Démarrer l'assistant

Les postes clients sont prêts

Vous êtes connectés en tant qu’administrateur

 Démarrer/exécuter : saisir DCPROMO
 L’assistant démarre : suivant
 Vérifier que contrôleur de domaine pour un nouveau domaine est sélectionné : suivant
 Vérifier que créer un nouveau domaine dans une nouvelle forêt est sélectionné :suivant
 Saisir le nom de domaine : exemple euromedia.local
 Le nom de domaine doit être un nom DNS valide (nom.ext.)
 Dans la zone nom de domaine NetBios validez sur EUROMEDIA.
 Donner l’emplacement de la base de données et du journal de AD : Suivant.

Remarque : il est conseillé de les stocker à des emplacements différents.

 Vérifier que installer et configurer le serveur DNS sur cet ordi…..est sélectionné :Suivant.
 Sélectionnez Autorisations compatibles uniquement W2003 : Suivant.
 Saisir le mot de passe.
 Insérer, si cela est demandé, le cd W2003 pour terminer l’installation.
 Redémarrer l’ordinateur.

2 Configuration du service DNS

Windows Server 2003 dispose de plusieurs types de zones. Ces zones sont utilisées au sein d’un domaine dans le but
d’améliorer le trafic des requêtes DNS. Ces zones seront mises en place sur un serveur DNS car un serveur DNS est
capable d'héberger différents types de zones pour fournir une tolérance de panne et répartir la résolution de noms et la
charge de travail.
Elles servent à enregistrer dans une base de données ou un fichier suivant la zone considérée des noms ou des
portions de domaine. Windows Server 2003 intègre également des enregistrements de ressources pour chaque zone.
Bien que le DNS dynamique créer de nombreux enregistrements de ressources pour la base de données DNS, dans
certains cas vous aurez besoin d’en créer manuellement.

Un mécanisme de résolution de noms permet de traduire des noms en adresses IP et inversement.

Pour que le système fonctionne de manière optimale il faut modifier la configuration du serveur DNS
 Ouvrir une session en tant qu’administrateur du domaine : EUROMEDIA
(Ou tapez dans la zone Exécuter : dnsmgmt.msc)
 Démarrer/Outils d’administration : icône DNS
 Le nom de votre serveur doit y apparaître.

2.1 Zones de recherche directes

 Développez votre serveur DNS et cliquez Zones de recherche directes

Il va falloir compléter les zones DNS intégrées à AD pour le domaine concerné.
Une zone de recherche directe contient des mappages nom d'hôte / adresse IP

6
 Dans le cas d'une recherche directe, le serveur DNS commence par analyser le suffixe DNS pour trouver la
zone dans laquelle est située le nom d'hôte, puis recherche ensuite le mappage à l'intérieur de cette zone.

La console de gestion du service DNS présente une arborescence simple. Les deux premiers conteneurs listent les zones de
recherches alors que le troisième liste les évènements relatifs au service DNS (ex. : Le serveur DNS a démarré)

 clic droit sur la racine de votre domaine : euromedia.local

 choisir propriétés

 Dans l’onglet Serveurs de noms, vérifier que le nom du serveur correspond à votre serveur DNS et que l’adresse Ip
apparaît.

Attention : deux cas peuvent apparaître.

Cas N°1 : l’adresse Ip n’apparaît

 pas cliquez sur Modifier

 saisir l’adresse IP et validez sur Ajouter

 Validez autant de fois sur les boutons Ok successifs, pour finir.

Cas N°2 : Le nom du serveur n’apparaît pas dans la zone Serveurs de noms

 Clic bouton Ajouter puis Bouton Parcourir

7
  Double clic sur le nom du serveur

 Double clic sur zones de recherche directes

 Clic sur le nom du domaine (euromedia.local) pour le mettre en vidéo inversée.

 Validez sur le bouton Ok

 Choisir le nom du serveur

 Validez sur le bouton Ok, et encore Ok

2.2 Zone de recherche inversée.

Une zone de recherche inversée contient des mappages adresse IP / nom d'hôte

Dans le cas d'une recherche indirecte, le serveur DNS ne connaît que l'adresse IP de l'hôte. Il ne peut donc pas utiliser
la hiérarchie de l'espace de noms pour retrouver le nom d'hôte. En effet si le serveur devait interroger toutes les zones
DNS pour trouver le nom d'hôte, la recherche indirecte prendrait trop de temps et de ressources pour être réellement
efficace.

C'est pourquoi un domaine spécifique, nommé in-addr.arpa a été réservé dans l'espace de noms DNS. Ce domaine est
subdivisé en sous-domaines correspondant chacun à un réseau donné. Ainsi le domaine contenant tous les mappages
adresse IP / nom d'hôte du réseau privé de classe C (la page des adresses IP privées de classe C va de 192.168.0.1 à

8
192.168.255.254) se nomme 168.192.in-addr.arpa. Par exemple, lorsqu'un serveur DNS recherche le nom d'hôte
correspondant à l'adresse IP 172.16.16.1, il s'adresse à la zone nommée 16.172.in-addr.arpa.

 Sélectionnez zone de recherche inversée.

 Dans le menu Action sélectionnez nouvelle zone , puis bouton Suivant.

 Dans la nouvelle fenêtre, cliquez sur Zone principale

 et laissez cochée Enregistrer la zone dans Active directory : bouton Suivant.
 Conserver vers tous les contrôleurs de domaine Active directory : bouton Suivant.
 Sous zone ID réseau, saisir l’adresse de votre réseau (ex :192 ). bouton Suivant
 Conservez n’autoriser que les mises à jour dynamiques sécurisées : bouton Suivant pour terminer.

Voici le résultat

3 Intégration d’un poste client dans le domaine

Cette procédure s’effectue sur chaque poste de travail lors de son intégration dans le domaine
1. Se connecter en tant qu’administrateur
2. Clic droit sur poste de travail/propriétés
3. Onglet nom de l’ordinateur/modifier
4. Dans la zone membre de :sélectionner Domaine. : Exemple euromedia (ne pas mettre l’extension du domaine).
5. Validez.
Si tout se passe bien, un message de bienvenue signale votre inscription au domaine sur le serveur.
Redémarrez le poste pour intégrer le domaine.

Vérification au niveau AD du serveur :

1. Démarrer/programmes/outils d’administration
2. Utilisateurs et ordinateurs
3. Clic sur la croix située à gauche du domaine concerné
4. Clic sur dossier computers : votre poste doit s’y trouver.

9
 8 Présentation des objets de l'annuaire
Démarrer/outils d’administration/Utilisateurs et ordinateurs Active Directory.

Les objets et conteneurs crées par défaut sont :

Builtin : contient les groupes de domaines locaux prédéfinis du domaine utilisés pour attribuer des
autorisations par défaut aux utilisateurs chargés d’exécuter un rôle administratif. Dans le
domaine.
Computers : contient tous les ordinateurs qui font partie du domaine( ayant un compte d’ordinateur).
Domain controllers : contient les contrôleurs de domaine qui font partie du domaine .
Users : contient tous les utilisateurs et groupes globaus prédéfinis du domaine

6 Les protocoles supporté par d’Active Directory

– TCP/IP : protocole réseau

– DNS : la gestion des noms de domaine Windows 2000 repose sur ce service.
– DHCP : Distribution d'adresses IP. Il renseigne le DNS sur les adresses distribuées (DHCP dynamique).
– SNTP : protocole de distribution de l'heure. Toutes les machines W2k doivent être synchronisées car
l'authentification Kerberos se base sur un ticket horodaté.
– LDAP : protocole d'accès à l'annuaire
– KERBEROS : permet l'authentification
– LDIF : permet la synchronisation de l'annuaire (Lightweight Data Interchange Format)

7 Les objets de l'Active Directory


Icône Dossier Description :

Domaine Le nœud racine du composant logiciel enfichable représente le domaine administré.

Ordinateurs Contient tous les ordinateurs Windows NT et Wi2k qui font partie du domaine.

Système Contient les informations concernant les systèmes et les services Active Directory, tels que RPC ou WinSock,
ainsi que d'autres informations.

Utilisateurs Contient tous les utilisateurs du domaine. Pendant une mise à niveau, tous les utilisateurs du domaine précédent
font l'objet d'une migration. Tout comme les ordinateurs, les objets utilisateur peuvent être déplacés.

Utilisateur Un objet utilisateur est un objet de l’annuaire auquel s’appliquent des règles de sécurité. Un utilisateur peut se
connecter au réseau avec ces références et disposer d'autorisations d'accès.

Contact Un objet contact est un compte qui ne dispose d’aucune autorisation de sécurité. Vous ne pouvez pas vous
connecter au réseau en tant que contact. Les contacts représentent les utilisateurs externes dans le cadre de la
messagerie.
Ordinateur Un objet qui représente un ordinateur sur le réseau. Pour les stations de travail et serveurs Windows NT, il s'agit
du compte d’ordinateur.

10
 Unité Les unités organisationnelles sont utilisées comme conteneurs pour organiser de façon logique des objets
organisationnelle d'annuaire tels que les utilisateurs, les groupes et les ordinateurs. Elles sont comparables aux dossiers que vous
utilisez pour organiser les fichiers sur votre disque dur.
Groupe Les groupes peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes. Les groupes simplifient la
gestion d'un grand nombre d'objets.
Dossier partagé Un dossier partagé est un objet partagé sur le réseau qui a été publié dans l'annuaire.

Imprimante Une imprimante partagée est une imprimante réseau qui a été publiée dans l'annuaire.
partagée

8 Les outils : Les consoles d'administration

L'administration de Windows 2003 Server s'effectue à l'aide de

consoles.

A l'installation des consoles sont pré créées (msc pour MicroSoft

Console)

On retrouve certaines de ces consoles dans les outils d'administration du

menu démarrer

11