Chapitre 1: Introduction au Service de

Domaine d’ Active directory AD DS

Prof : Mme Aissat

INSFP Immerzouken Arezki de Tizi Ouzou

MQ5 : Administration des services réseaux ASRI

Objectif pédagogique :

A la fin du cours, le stagiaire sera capable de :

- Présenter l’organisation des réseaux sous windows server 2012

- Donner le rôle d’Active Directory AD DS
- Donner la structure logique et physique d’Active Directory AD DS

Niveaux visés :

1 Connaissance 2 Compréhension 3 Application 4 Analyse 5 Synthèse 6 Evaluation

1
MQ5 : Administration des services réseaux ASRI

Table des matières

1. Introduction ............................................................................................................... 3

2. Définition .................................................................................................................. 3

3. Objectif ...................................................................................................................... 3

4. Rôles d’Active Directory .......................................................................................... 3

5. Active Directory Domain Name Service (ADDS) .................................................... 4

6. Rôles d’ Active Directory Domain Services ADDS ................................................. 5

7. Structure d’Active Directory ..................................................................................... 5

7.1. Structure physique (Les sites Active Directory)............................................................... 5

A. Contrôleur de domaine .................................................................................................. 5

B. Le fichier de base de données NTDS.dit ...................................................................... 6

C. Catalogue global ........................................................................................................... 6

7.2. Structure logique d’Active Directory ............................................................................... 6

A. Site ................................................................................................................................ 6

B. Objet :............................................................................................................................ 7

C. Unité organisationnelle (OU) :...................................................................................... 7

D. Schéma .......................................................................................................................... 8

E. Domaine : ...................................................................................................................... 8

F. Arbre : ........................................................................................................................... 9

G. Forêt : .......................................................................................................................... 10

8. Notion de niveau fonctionnel .................................................................................. 11

Résumé .............................................................................................................................. 12

2
MQ5 : Administration des services réseaux ASRI

1. Introduction

L'installation de Windows Serveur débute par l'installation du système d'exploitation lui-même ;

Une fois le système installé, on peut procéder à l'installation du ou des services (DNS, DHCP, AD,
...) ; Ces services peuvent être soit déjà présent au sein du système soit nécessiteront une
installation de composants supplémentaire.

Après l'installation vient la configuration; La configuration d'une machine en contrôleur de

domaine est un exemple typique de ce genre de service. Elle requière l'installation de Active
Directory et du service DNS si celui-ci n'est pas déjà implanté.

2. Définition

Active Directory est le service d'annuaire créé par la société Microsoft.

Active Directory est un système centralisé et standardisé qui automatise la gestion du réseau des
données utilisateur, de la sécurité et des ressources distribuées.

Active Directory est spécialement conçu pour les environnements réseau.

3. Objectif

L'objectif principal d'Active Directory est de fournir des services centralisés d'identification et
d'authentification à un réseau d'ordinateurs utilisant le système Windows.

lI permet également l'attribution et l'application de stratégies, la distribution de logiciels, et

l'installation de mises à jour critiques par les administrateurs.

Active Directory répertorie les éléments d'un réseau administré tels que les comptes des
utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc.

Ces Objectifs sont matérialisés sous forme de rôles.

4. Rôles d’Active Directory

Il existe différents rôle dans Active Directory.

ADDS : Active Directory Domain Services (Annuaire)

Il s'agit du composant principal qui va gérer les utilisateurs, ordinateurs, stratégies de groupe,
etc.

ADCS : Active Directory Certificate Services (PKI)

Il s'agit du composant d'autorité de certification. Il va permettre de générer des certificats de

sécurité pour les utilisateurs du réseau.
3
MQ5 : Administration des services réseaux ASRI

ADFS : Active Directory Federation Services. (Ressources partagées)

Active Directory Federation Service (AD FS) est une fonctionnalité du système d'exploitation
Windows Server qui d'établir des relations de confiance avec des partenaires externes à l’entreprise
(fournisseurs, fabricants, etc.) afin de leur donner un accès à certains des services internes de
manière contrôlée et sécurisée.

ADLDS : Active Directory Lightweight Directory Services (anciennement ADAM).

C'est ADDS mais allégé qui dispose de moins les fonctionnalités, tout en gardant l’essentiel
d’Active Directory.

ADRMS : Active Directory Rights Management Services. Ce composant permet de gérer les
droits de manière pointue dans l’entreprise. Il ne s'agit pas des droits sur le fichier mais sur le
contenu du fichier. Vous pouvez dire sur un document Word qu'il ne peut pas être imprimé,
transféré par e-mail, etc.

5. Active Directory Domain Name Service (ADDS)

Active Directory ADDS ou AD est un service d’annuaire ou une base de données qui contient
tous les objets du réseau : les utilisateurs, les groupes, les ressources partagées.

L’objectif étant de centraliser deux fonctionnalités essentielles : l’identification et

l’authentification au sein d’un système d’information.

ADDS

Apparu en 1996, Active Directory est le résultat de l’évolution de la base SAM (Security
Account Manager) et une mise en œuvre de LDAP (Lightweight Directory Access
Protocol).

4
MQ5 : Administration des services réseaux ASRI

6. Rôles d’ Active Directory Domain Services ADDS

AD permet de centraliser, de structurer, d’organiser et de contrôler les ressources réseau dans un

environnement windows.

Autrement, il permet :

 Administration centralisée et simplifiée

 Unifier l’authentification
 Identifier les objets sur le réseau
 Référencer les utilisateurs et ordinateurs sur le réseau.

7. Structure d’Active Directory

Dans la conception d'Active Directory, Microsoft a tenté d'être le plus proche possible de la
structure d'une entreprise. La structure d'une entreprise se compose en deux parties distinctes :
physique et logique.

Physique par son organisation géographique en différents sites et logique par sa hiérarchie.

7.1. Structure physique (Les sites Active Directory).

A. Contrôleur de domaine

Lorsque l’on crée un domaine, le serveur (la machine) depuis lequel

on effectue cette création est promu au rôle de « contrôleur de
domaine » du domaine créé.

C’est lui qui va

 vérifier les identifications des objets,

 traiter les demandes d’authentification,
 veiller à l’application des stratégies de groupe
 stocker une copie de l’annuaire Active Directory.

Un contrôleur de domaine est indispensable au bon fonctionnement du domaine, si l’on éteint le

contrôleur de domaine ou qu’il est corrompu, le domaine devient inutilisable.

De plus, lorsque on crée le premier contrôleur de domaine dans votre organisation, vous créez
également le premier domaine, la première forêt, ainsi que le premier site.

5
MQ5 : Administration des services réseaux ASRI

B. Le fichier de base de données NTDS.dit

Sur chaque contrôleur de domaine, on trouve une copie de la base de données de l’annuaire
Active Directory. Cette copie est symbolisée par un fichier « NTDS.dit » qui contient l’ensemble
des données de l’annuaire.

C. Catalogue global

Le catalogue global est un contrôleur de domaine qui dispose d’une version étendue de
l’annuaire Active Directory. (Notion à revoir ultérieurement)

7.2. Structure logique d’Active Directory

A. Site

Est un ensemble de sous-réseaux IP reliés.

En général, un site correspond à un réseau local.

Si 2 réseaux locaux sont reliés par une liaison WAN, on crée 2 sites qui peuvent faire partie du
même domaine ou non

Un seul domaine peut s’étendre sur plusieurs sites géographiques et un seul site géographique peut
inclure des comptes d’utilisateurs et d’ordinateurs appartenant à plusieurs domaines.

Site active directory

6
MQ5 : Administration des services réseaux ASRI

B. Objet :

Dans AD les ressources sont stockées sous forme d’objets.

Un objets Active Directory représente un utilisateur, un ordinateur, une imprimante,…

Les objets représentent les composants les plus élémentaire de la structure logique.

C. Unité organisationnelle (OU) :

Les unités d’organisations sont des objets conteneurs utilisés pour organiser d’autres
objets de telle manière qu’ils prennent en compte les objectifs administratifs.

7
MQ5 : Administration des services réseaux ASRI

D. Schéma

Le schéma contient la définition de toutes les classes et de tous les attributs disponibles et
autorisés au sein de votre annuaire. (Notion à revoir ultérieurement)

E. Domaine :

Les unités d’organisation organisent les objets à

l’intérieur d’un seul domaine représenté généralement par UO

un triangle

UO UO

Domaine

Un domaine contient toutes les informations sur les objets du réseau.

Un domaine est sécurisé, c’est à dire que l’accès aux objets est limité par des ACL (Access Control
List). Les ACL contiennent les permissions, associées aux objets, qui déterminent quels
utilisateurs ou quels types d’utilisateurs peuvent y accéder.

Un domaine est caractérisé par son nom qui est unique et qui est le nom DNS. Ce nom est de la
forme xxxxxx.xxxxx et dont la taille est de 255 caractères.

Insfp.lan

8
MQ5 : Administration des services réseaux ASRI

F. Arbre :

Les domaines sont organisés en une structure hiérarchique appelée

"arbre"

Même avec un seul domaine, il y a un arbre

Le premier domaine créé dans un arbre est le domaine

racine.

Lorsqu’on ajoute un second domaine à une arborescence, il

Domaine racine
devient enfant du domaine racine de l’arborescence. Le
domaine auquel un domaine enfant est attaché est appelé
domaine parent. Un domaine enfant peut à son tour avoir Parent.insfp
son propre domaine enfant

enfant

Le nom d’un domaine enfant est associé à celui de son domaine

parent pour former son nom DNS (Domain Name System)
unique. De cette manière, une arborescence a un espace de
Parent.insfp
noms contigu.

enfant.parent.insfp

9
MQ5 : Administration des services réseaux ASRI

Exemple :

La direction de la formation décide de créer son

premier domaine appelé DEFP.TO.

L’administrateur système décide de créer pour les DEFP.TO

INSFP et les Centres de formation des domaines
enfants vue que leurs stratégies est différente.

Les domaines enfants prennent le nom du domaine

parent et deviennent respectivement KERAD.DEFP.TO INSFP1.DEFP.TO
KERAD.INSFP.TO et INSFP1.DEFP.TO

G. Forêt :

Une forêt est un regroupement d’une ou plusieurs arborescences de domaine, autrement dit d’un
ou plusieurs arbres.

Le premier domaine de la forêt est appelé domaine racine de la forêt.

Les noms de domaines son disjoints (par exemple : INSFP_TO.LAN et INSFP_alger.LAN.

Les domaines d’une forêt fonctionnent indépendamment les uns des autres, mais les forêts
permettent la communication d’un domaine à l’autre grâce d’une relation d’approbation.

Schéma d'une forêt

Exemple de forêt avec une arborescence de deux domaines reliés par une relation d’approbation
bidirectionnelle.

10
MQ5 : Administration des services réseaux ASRI

8. Notion de niveau fonctionnel

Le niveau fonctionnel est une notion également à connaître lors de la mise en œuvre d’une
infrastructure Active Directory. À la création d’un domaine, un niveau fonctionnel est défini et il
correspond à la version du système d’exploitation serveur depuis lequel on crée le domaine.

Le niveau fonctionnel détermine les systèmes d'exploitation Windows Server exécuté sur les
contrôleurs de domaine du domaine ou de la forêt. Toutefois, les niveaux fonctionnels n'affectent
pas les systèmes d'exploitation exécutés sur les stations de travail et les serveurs membres joints
au domaine ou à la forêt.

 On ne pas définir le niveau fonctionnel du domaine sur une valeur inférieure au niveau
fonctionnel de la forêt.

Par exemple, si le niveau fonctionnel de la forêt sur Windows Server 2012, on peut définir
le niveau fonctionnel du domaine uniquement sur Windows Server 20012. Dans ce cas, les
valeurs du niveau fonctionnel du domaine Windows 2003 et Windows Server 2008 ne sont
pas disponibles.

 On peut définir le niveau fonctionnel du domaine sur une valeur supérieure au niveau
fonctionnel de la forêt.
Dans l’exemple on peut avoir un domaine dont le niveau fonctionnel supérieur tel que sur
Windows Server 2016.

11
MQ5 : Administration des services réseaux ASRI

Résumé
Sous windows server, les objets du réseau sont organisés en unité d’organisation elle
même organisé dans un domaine.

Un domaine

 est géré par un contrôleur de domaine.

 Identifié par un nom unique de la fomrme xxxx.xxx

Un domaine peut être parent d’autres domaines appelés domaines enfants. Cette
hiérarchie de domaines est appelée arborescence. Les domaine de cette dernière ont un
nom de domaine contiguë.

Plusieurs domaines constituent une forêt.

12