PRESENTATION DU SERVICE

ACTIVE DIRECTORY
Active Directory

Active Directory est un annuaire Microsoft qui permet de centraliser la gestion des identités et des accès
d’une entreprise. Ce composant du réseau se présente sous la forme d’un rôle serveur. Un serveur
hébergeant le rôle de Active Directory est appelé contrôleur de domaine.
Service d’annuaire.

Les services de domaine Active Directory (AD DS : Active Directory Domain Services) sont basés sur une
architecture d’annuaire LDAP (Lightweight Directory Access Protocol). Cet annuaire permet notamment
l’enregistrement de l’ensemble des informations des utilisateurs, des groupes, des ordinateurs, des
imprimantes, des dossiers partagés.

Les applications utilisent le protocole LDAP basé sur la suite de protocole TCP/IP pour interroger le service
d’annuaire Active Directory.
Administrer Active Directory

Lors de l’installation du rôle de serveur AD DS, un service nommé services de domaine active directory est
crée avec un type de démarrage automatique.

Gestion des identités et des accès.

L’une des principales fonctions des services de domaine Active Directory est de gérer l’authentification et la
gestion des droits d’accès d’un domaine. Pour ce faire, un contrôleur de domaine utilise la gestion des ACL
et un protocole d’authentification kerberos (protocole d’authentification par défaut de Windows).
L’authentification consiste à vérifier si la combinaison nom d’utilisateur et mot de passe lors d’une tentative
de connexion au domaine est correcte.
 Contrôleur de
domaine
Client

Kerberos

Serveur de
fichiers

1. L’utilisateur s’authentifie sur le domaine et les informations de connexion sont enregistrées par un
contrôleur de domaine.
2. Le serveur kerberos valide les informations communiquées par le client et lui renvoie un jeton d’accès
appelé TGT.
3. Le serveur d’authentification émet une requête kerberos en présentant le TGT de l’utilisateur de
domaine.
4. Le contrôleur de domaine répond à l’utilisateur en lui communiquant un TGS.
5. L’utilisateur présente le TGS au serveur de fichiers qui valide ensuite l’accès de l’utilisateur.
6. L’utilisateur peut désormais ouvrir les ressources présentées sur le serveur de fichiers.
Gestion des stratégies de groupe
Les stratégies de groupe qui sont également appelées GPO (Group Policy Object), sont des objets de
l’annuaire Active Directory qui permettent d’appliquer des paramètres personnalisés aux objets d’une unité
d’organisation.
La gestion des stratégies de groupe se fait dans la console gestion des stratégies de groupe, disponible dans
les outils d’administration ou via la ligne de commande gpmc.msc
Pour créer un objet de stratégie de groupe, on utilise la console Editeur de gestion des stratégie de groupe.
Foret
Une foret est un regroupement de plusieurs domaines Active Directory. Le premier domaine installé dans
une foret est appelé domaine racine de la foret.

Domaine Domaine

Entreprise.ca Services.ca

Domaine
Domaine
It.services.ca
it.Entreprise.ca

Domaine
Un domaine est une entité administrative de l’active Directory au sein de laquelle certaines fonctionnalités
et caractéristiques sont partagées. Cette entité de sécurité héberge utilisateurs et ordinateurs et représente
un périmètre dans lequel des stratégies sont définies.

Domaine

Entreprise.ca
Arbre de domaine.
Un arbre de représente un ensemble de domaine partageant le même espace de nom. Plusieurs domaines
situés sous un domaine unique et utilisant un espace de nom continu forme un arbre.

Domaine

Entreprise.ca

Domaine

IT.Entreprise.ca

Domaine

Mail.IT.Entreprise.ca
Gestion des comptes d’utilisateurs
Le système d’exploitation Windows server gère deux types de comptes utilisateurs :
-Les comptes d’utilisateurs locaux
-Les comptes d’utilisateurs de domaine
Les comptes d’utilisateurs locaux permettent de gérer l’accès aux ressources locales du serveur.
Les comptes d’utilisateurs du domaine permettent d’accéder aux ressources du domaine complet.