Active Directory

par Andr Boumso Enseignant, Formation continue Cgep de Ste-Foy Septembre 2011

Plan de prsentation

Environnement de rseau sous Windows Domaine NT4 et domaine Active Directory Concepts de base Active Directory Installation de Active Directory Gestion dActive Directory

Environnement de rseau

Dans un environnement dordinateurs Windows ont peut concevoir deux types de rseau ou modle de rseau:

Le groupe de travail Le domaine

Groupe de travail: cest un groupe logique dordinateurs en rseau qui partagent leurs ressources et chacun des ordinateurs tant responsable de ses ressources. Cest un rseau dit de poste poste ou dgal gal qui obit aux caractristiques suivantes:

Il est de petite taille et facile concevoir et dployer. Aucune scurit nest requise pour joindre le groupe. Les comptes sont locaux chaque ordinateur. Ils utilisent la rsolution de noms NetBIOS. Toute modification de compte doit se faire sur tous les ordinateurs du groupe de travail.

Environnement de rseau

Le Domaine: cest un groupe logique dordinateurs en rseau qui partagent une base de donnes centrale. Il est de grande taille, et dans un domaine:

La gestion des comptes utilisateurs, des ordinateurs membres, des autres ressources et de la scurit est centralise. Lannuaire se trouve sur les contrleurs de domaine. Louverture de session est unique.

Il existe 2 types de domaines

Domaine NT4 Active Directory

Environnement de rseau

Domaine NT4: groupe dordinateurs partageant une mme base de donne SAM(Security Account Manager) du contrleur de domaine (Windows NT4). Elle ne peut contenir uniquement que les objets suivants: les comptes utilisateurs, les groupes et les ordinateurs membres du domaine.

Il a une structure un seul niveau. Il utilise la rsolution de nom NetBIOS pour communiquer. Le nombre d objets maximal est de 40 000.

Environnement de rseau

Active Directory: Groupe dordinateurs partageant une mme base de donnes dannuaire. Active Directory offre le moyen de coordonner les ressources dun rseau en les prsentant comme une source centralise dinformation. Dans les rseaux complexes, Active directory offre un moyen efficace de grer, chercher, et accder aux ressources du rseau ordinateurs, usagers, imprimantes, dossiers partags, etc.

Environnement de rseau

Active Directory est un annuaire qui prend en charge les normes TCP/IP existants:

Utilise la rsolution des noms DNS. Intgration des protocoles LDAP, HTTP. Formats de noms standards UNC, url http et ldap.

Il a une structure arborescente. Possde une compatibilit avec NetBIOS. Il est prsent sur tous les contrleurs de domaines 2000,2003,2008 et contient toutes sortes dobjets.

Avantages dActive Directory

Une bonne implmentation du service dannuaire doit fournir les bnfices suivants:

Centralisation Lvolutivit Standardisation Extensibilit Scurit Sparation du rseau physique

Structure et objets Active Directory

Les ressources rseau dfinies dans AD(utilisateurs, ordinateurs, imprimantes...) constituent les objets Active Directory: Ils ont des caractristiques: attributs. Les types dobjets dAD sont dfinis dans un schma: ce sont des attributs ou des classes.

Composants Active Directory

AD utilise des composants pour laborer une structure la fois logique et physique qui rponde aux besoins de votre entreprise. Les composants de la structure logique: Domaines, unit dorganisation, forts, arbres. Les composants de la structure Physique: Sous-rseau, segment dun rseau. Sites, groupes de sous-rseaux lis par une liaison rapide.

Composants AD
Domaine: cest la composante de base de la structure logique dAD. Unit dOrganisation: Conteneur qui sert organiser les objets dun domaine AD en groupes logiques refltant la structure fonctionnelle ou commerciale de lentreprise. Cest la plus petite entit laquelle on peut donner des pouvoirs administratifs:

Dlguer le contrle dune partie du domaine. Appliquer des stratgies de groupes communes.

Composants AD

Les arborescences: structure hirarchique de domaines construit partir dun domaine parent. Les membres dune arborescence partent le mme espace de nom. La fort: regroupement ou structure hirarchique dun ou de plusieurs arbres indpendants entre lesquels existent des relations dapprobation bidirectionnelles transitives.

Une fort regroupe des domaines disjoints.

Concepts de base dActive Directory

Contrleur de domaine: tout serveur sur lequel sexcute win2k3 et ou est install une base de donnes Active Directory. En plus dtre contrleur de domaine, un serveur peu avoir plusieurs fonctions:

Serveur de catalogue global Serveur matre de domaine

Serveur de Catalogue Global: hberge le catalogue global, une copie de tous les contextes de nom de domaines dune fort. Un catalogue global est un rfrentiel contenant les informations des objets dun arbre ou dune fort.

Concepts de base Active Directory

Le domaine possde des contrleurs de domaine Multimatre. Chaque contrleur assure un ou plusieurs rles uniques dans larchitecture, ou joue une fonction de rplication. On distingue les rles uniques de matre dopration contenus dans le tableau de lactate suivante:

Nom du rle Matre de schma (Schema Master) Matre d'attribution de noms de domaine

Position 1 par fort

Description
Contrle les modifications apportes au schma de donnes Active Directory. Contrle l'ajout et la suppression des noms de domaines dans une fort afin de garantir leur unicit.

1 par fort

mulateur de PDC

1 par domaine

Se comporte comme un contrleur de domaine NT4 pour permettre le support de

clients NT4

Matre RID (RID Master)

1 par domaine

Fournit des tranches d'identifiants uniques aux autres contrleurs de domaine.

Matre d'infrastructure

1 par domaine

Synchronise les changements

inter-domaines.

Concepts de base Active Directory

Rplication: elle consiste rpercuter les modifications survenues sur contrleur de domaine aux autres contrleurs du mme domaine. Relation dapprobation: relation tablie entre deux domaines ou lun assure lauthentification de louverture de session lautre. Il y a deux types de relation dapprobation: Transitive bidirectionnelle implicite: relation parent-enfant, domaine de niveau un dune fort. Non transitive unidirectionnelle explicite: relation entre domaines darbres diffrents.

Concepts de base AD

Mode de domaine AD: il dtermine le type de domaine qui est mis en place. On distingue deux modes:

Mode mixte: il permet au contrleur de domaine dinteragir avec des contrleurs de domaine dune version antrieur Windows 2003. Mode natif: tous les contrleurs du domaine seront uniquement des serveurs 2003.

Installation de Active Directory

Elle seffectue partir dun serveur membre dun domaine existant ou dun serveur autonome. Le serveur devient contrleur de domaine. La base de donnes SAM est remplace par la celle NTDS.DIT de Active Directory. Elle ncessite un serveur DNS et une partition NTFS.

Installation de Active Directory

Connatre le rle du serveur dans structure Active Directory:

Membre dun domaine existant ou dun nouveau domaine. Sil est membre dun nouveau domaine:

lment dune arborescente existante ou dune nouvelle.

Installation de Active Directory

Pour installer Active Directory

Aller dans dmarrer, excuter et taper dcpromo.exe Slectionnez contrleur de domaine pour un nouveau domaine, puis suivant. Crez une nouvelle arborescence Crez une nouvelle fort darborescence de domaine, puis tapez suivant. Entrez le nom DNS du domaine

Installation de Active Directory

Entrer le nom NetBIOS ou acceptez le nom par dfaut. Indiquer si ncessaire le nom du chemin o stocker la base de donnes Active Directory sinon accepter le rpertoire par dfaut %system%\ntds. Entrez le chemin pour le volume systme partag(sysvol) lequel contient des informations des stratgies de groupes, les scripts et des informations de rplications. Slectionnez autorisations compatibles uniquement avec les systmes dexploitation serveur 2000/2003.

Installation de Active Directory

Entrez le mot de passe pour la restauration de la base dannuaire. Terminer et redmarrer lordinateur.

Ajout dun contrleur de domaine

Pour ajouter un contrleur de domaine au domaine dj cre faire les tapes suivante:

Excutez dcpromo.exe Slectionnez contrleur de domaine pour domaine existant. Indiquez le domaine, mot de passe avec pouvoir, DNS. Entrez le chemin pour la base de donnes et pour le volume partag sysvol.

Autres oprations

Dautres oprations peuvent galement tre entreprise avec Active Directory.

Lajout dun domaine enfant. Lajout dune arborescence dans une fort existante. La dsinstallation de Active Directory.

Autres rfrences

http://www.laboratoiremicrosoft.org/articles/win/trust/ http://fr.wikipedia.org/wiki/Active_Directory http://www.laboratoiremicrosoft.org/articles/win/startad/3/Default.asp http://technet.microsoft.com/enus/library/cc778414(WS.10).aspx http://technet.microsoft.com/enus/library/cc778084(WS.10).aspx