République Algérienne Démocratique et populaire

Ministère de l’enseignement Supérieur et de la Recherche Scientifique

Université des Sciences et de la Technologie Houari Boumediene

Chapitre 3
Service Active Directory
-Cours 1-
Mustapha HEMIS

Labo 06 FGE
E-mail: hemismustapha@yahoo.fr

©2023
1
Plan

 Introduction à Active Directory

 Active Directory ?
 Intérêt d’Active Directory ?
 Technologies prises en charge par Active Directory
 Conventions de nommage Active Directory
 Structure d’Active Directory
 Structure logique
o Domaine
o Unités d’organisation
o Arborescences et forêt
o Relation d’approbation
o Schéma
 Structure physique
o Site
o Contrôleur de domaines
Plan (suite)

 Structure logique et physique

 Rôles des contrôleurs de domaine spécifiques
o Catalogue global
o Opérations principales simples
Introduction à Active Directory
 Active Directory ?

 la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes
d'exploitation Windows.
 Le point focal pour organiser, contrôler et administrer l’ensemble des ressources d’un
réseau.
 Centraliser deux fonctionnalités essentielles :
 l’identification
 l’authentification
 Intérêt d’Active Directory ?
 Administration centralisée et simplifiée : la gestion des objets, notamment des
comptes utilisateurs et ordinateurs est simplifiée, car tout est centralisé dans l’annuaire
Active Directory.
 Unifier l’authentification : un utilisateur authentifié sur une machine pourra accéder
aux ressources stockées sur d’autres serveurs ou ordinateurs enregistrés dans
l’annuaire (à condition d’avoir les autorisations nécessaires). Un seul compte peut
permettre un accès à tout le système d’information.
 Identifier les objets sur le réseau : chaque objet enregistré dans l’annuaire est unique,
ce qui permet d’identifier facilement un objet sur le réseau et de le retrouver ensuite
dans l’annuaire.
 Référencer les utilisateurs et les ordinateurs : l’annuaire AD référence les utilisateurs,
les groupes et les ordinateurs d’une entreprise. On s’appuie sur cette base de données
pour réaliser de nombreuses opérations : authentification, identification, stratégie de
groupe, déploiement de logiciels, etc.
Technologies prises en charge par Active Directory

 TCP/IP: Transport réseau

 DNS: Gestion des noms d'hôte
 DHCP: Gestion des adresses de réseau
 SNTP: Service de gestion du temps distribué
 LDAP: Accès à l’annuaire
 Kerberos: Méthodes d'authentification
 Certificats X.509: Méthodes d'authentification
Conventions de nommage Active Directory

 Nom complet (DN)

 Chaque objet Active Directory porte un nom complet.
 Il identifie le domaine dans lequel est situé l'objet, en plus de son chemin d'accès
complet.
 Exemple: CN=David Dubois,OU=Users,DC=contoso,DC=msft
 Nom complet relatif (RDN)
 Il s’agit d’un élément du nom complet de l’utilisateur qui constitue un attribut de
l’objet.
 Exemple: David Dubois
Conventions de nommage Active Directory

 Nom principal d’utilisateur (UPN, User Principal Name)

 Pour un utilisateur, il s’agit de son nom d’ouverture de session suivi du nom de
domaine dans lequel il se trouve
 Exemple: DavidD@Contoso.msft.
 Identificateur unique global (GUID, Globally Unique Identifier)
 Attribué à l’objet lors de sa création.
 Chaîne de caractères de 128 bits unique et non modifiable,
 Ne change jamais, même si vous déplacez ou renommez l'objet.
 Utilisé par AD pour les opérations de recherche et de réplication
Structure d’Active Directory
Structure d’Active Directory

Structure logique Structure physique

Structure logique
Foret

Domaine
Unité d'organisation
Domaine
usthb.dz

enp.dz Arbre
jj
Arbre
ou
Domaine
ou v ou
Domaine
fei.usthb.dz gc.usthb.dz

gm.enp.dz
Structure logique -- Domaines

 Unité fondamentale de la structure logique d'Active Directory

 Unité d'administration: L'administrateur du domaine gère
l'ensemble de la sécurité sur son domaine. Il est le seul à
pouvoir accorder des permissions sur les objets de son
domaine.
 Limite de sécurité: chaque domaine dispose de ses propres Domaine
stratégies de sécurité.
 Unité de réplication: Tous les contrôleurs d'un domaine
participent à la duplication et contiennent une copie complète
de toutes les informations d'annuaire de leur domaine.
Structure logique – Unités d’organisation

 Une unité d'organisation est un objet conteneur utilisé

pour organiser les objets d'un domaine.
 La plus petite unité par laquelle, un administrateur peut
affecter des paramètres de stratégie de groupe ou des
autorisations de compte.
 Une Unité d'Organisation peut avoir plusieurs sous-OU
 Le contrôle administratif sur les objets présents dans une
unité d'organisation peut être délégué à un ou plusieurs
utilisateurs et groupes
Structure logique – Arborescences et forêt
Forêt
racine
Domaine parent

societe1.com

societe2.com Arbre

Domaines enfants
v
china.societe1.com france.societe1.com

 Une forêt est un regroupement  Une arborescence est une organisation

d'arborescences qui ne partagent hiérarchique de domaines partageant
pas un espace de noms contigu. un espace de noms contigu
Structure logique – Arborescences et forêt

 Voici quelques raisons justifiant la création de plusieurs domaines :

 Un grand nombre d'objets

 Des noms de domaine Internet différents
 Un meilleur contrôle de la duplication
 Une administration décentralisée du réseau
Structure logique – Relation d’approbation

 Les relations d'approbation sont des liens de confiance permettant aux utilisateurs
authentifiés dans leur domaine d'accéder aux ressources d'un autre domaine.
 Une relation d’approbation peut-être :
 Unidirectionnelle : l’accès aux ressources n’est disponible que dans un sens (A) ->
(B).
 Bidirectionnelle : l’accès aux ressources est disponible dans les deux sens (A) <-> (B).
 Transitive : si (A) et (B) ont une relation d’approbation transitive, si (B) approuve un
domaine (C) celui-ci sera approuvé dans (A).
Direction de l’accès

Direction de approbation

societe2.com societe1.com
Structure logique – Relation d’approbation

 Types de relations d'approbation:

 Les approbations prédéfinies: créées automatiquement durant les processus
d'extension d'une forêt ou d'un domaine. Elles sont bidirectionnelles et transitives.
 Les approbations raccourcies: créées manuellement dans le but d'améliorer la
qualité du réseau et surtout de faire gagner du temps aux utilisateur car dans le cas
d’une structure Active Directory complexe, il se peut que le calcul du chemin
d’accès soit extrêmement long en raison de l’imbrication de plusieurs domaines au
sein de différentes arborescences.
 Les approbations externes: permet de créer une approbation non transitive uni-
ou bidirectionnelle, avec un domaine situé à l’extérieur de la forêt.
 Les approbations forêt: permet à tous les domaines dans une forêt d’approuver de
manière transitive tous les domaines d’une autre forêt par le biais d’une liaison
d’approbation unique entre les deux domaines racines de forêt. Cette relation
d'approbation peut être uni- ou bidirectionnelle
Structure logique – Schéma
 Le schéma contient les définitions de tous les objets, tels que les ordinateurs, les
utilisateurs et les imprimantes stockés dans Active Directory.
 Les composantes basiques d’un schéma sont:
 Objet
 Attribut
 Classe
Exemples de Exemples d’attribut Exemples d’attributs
classes Utilisateur
sAMAccountName sAMAccountName
UserPrincipalName UserPrincipalName
description description
Personal-Title dhcpType
Personal-Title
macAddress
Printer-Name
Structure logique – Schéma

 Il n'y a qu'un seul schéma pour l'ensemble de la forêt, de sorte que tous les objets
créés dans Active Directory se conforment aux mêmes règles.
 Logiquement, le schéma est stocké dans une partition d'annuaire de la base de
données Active Directory.
 Le schéma est traité comme un objet Active Directory, dont le nom complet est le
suivant : CN=schéma, CN=configuration, DC=nom_domaine, DC=racine_domaine
 Lorsque vous installez Active Directory sur le premier contrôleur de domaine de votre
réseau, un schéma par défaut est créé avec la plupart des définitions d'objet
nécessaires à un réseau.
Structure logique – Schéma

 Le contrôleur de domaine possédant le rôle de contrôleur de schéma sera le seul

contrôleur de domaine autorisé à modifier le schéma.
 Le contrôleur de schéma remplit 4 fonctions:
 Il contrôle les mises à jour d’origine apportés au schéma.
 Il contient la liste des classes d’objets et des attributs utilisés pour la création
d’objet dans Active Directory.
 Il réplique les mises à jour apportés au schéma sur tous les autres contrôleur de
domaine de la forêt via la partition de schéma.
 Il autorise uniquement les administrateurs du schéma à modifier le schéma.
Structure physique

Site B
Contrôleur
de domaine
Site A

Liaison WAN

Sous
réseaux 1 Sous
réseaux 1

Sous
réseaux 2
Structure physique -- Site

 Un site est un emplacement d'un réseau qui contient des serveurs Active Directory.
 Un site est défini comme un ou plusieurs sous- réseaux TCP/IP
 Définir des sites permet de configurer l'accès à Active Directory et la manière dont la
réplication va se faire entre les contrôleurs de domaine.
 Un site contient au minimum un contrôleur de Domaine. Lorsqu'un utilisateur ouvre
une session, le client Active Directory recherche les serveurs Active Directory qui font
partie du même site que l'utilisateur.
 Il est conseillé de penser son réseau en Domaine, et de gérer ensuite les problèmes de
géographie physique par la notion de site, que de faire autant de domaines que de
sites géographiques.
 Structure physique -- Contrôleur de domaines
 Un contrôleur de domaine est un ordinateur exécutant Windows
Server qui stocke un réplica de l'annuaire.
Contrôleur
 Un domaine AD doit avoir au moins un contrôleur de domaine AD. de domaine
 Le contrôleur de domaine gère l'authentification des utilisateurs en
leur accordant l'accès au domaine et aux ressources qu'il contient. Domaine
 Les meilleures pratiques suggèrent qu'il y a au moins deux
contrôleurs de domaine dans un domaine afin que l'accès au
domaine puisse toujours être accordé si un contrôleur est en
panne.

 Modes des domaines:

 Mode mixte: prend en charge les contrôleurs de domaine qui exécutent Windows
2000 (et supérieur) et/ou Microsoft Windows NT.
 Mode natif: tous les contrôleurs de domaine exécutent Windows 2000 (et
supérieur).
 Structure logique et physique

 Aucune corrélation n'est nécessaire entre la structure physique de votre réseau

et la structure des domaines.

 Active Directory autorise plusieurs domaines dans un même site, ainsi que
plusieurs sites dans un même domaine.

 Aucune corrélation n'est nécessaire entre les espaces de noms des sites et des
domaines.
 Rôles des contrôleurs de domaine spécifiques

 Des rôles spéciaux sont affectés uniquement à des contrôleurs de domaine

spécifiques:
 Serveur de catalogue global
 Opérations principales simples (FSMO: Flexible Single Master Operation)
Rôles des contrôleurs -- Catalogue global

 Le catalogue global est un annuaire qui regroupe des éléments provenant de

l’ensemble de la forêt, c’est en quelque sorte un annuaire central.
 Le serveur de catalogue global est un contrôleur de domaine qui conserve :
 Une copie complète de tous les objets de l’annuaire pour son domaine hôte
 Une copie partielle (attributs principaux) en lecture seule de tous les objets pour
tous les autres domaines de la forêt.
 Le premier contrôleur de domaine que vous créez dans la foret est un serveur de
catalogue global.
 Le catalogue global remplit deux rôles d'annuaire importants:
 Trouver des informations Active Directory sur toute la forêt, quel que soit
l’emplacement de ces données.
 Utiliser des informations d’appartenance à des groupes universels pour ouvrir une
session sur le réseau.
Rôles des contrôleurs -- Opérations principales simples

 Active Directory prend en charge les mises à jour à plusieurs maîtres de l'annuaire
entre tous les contrôleurs de domaine d'un domaine.
 Certaines modifications sont irréalisables en mode de duplication à plusieurs maîtres
du fait du trafic généré par ce mode et des conflits potentiels sur certaines opérations
essentielles.
 Pour ces raisons, des rôles spécial FSMO sont affectés uniquement à des contrôleurs
de domaine spécifiques:
 Si un contrôleur de domaine chargé d'un de ces rôles n'est pas disponible, les
fonctions propres à ce rôle dans Active Directory ne le seront pas non plus.
Rôles des contrôleurs -- Opérations principales simples
 Maître d’opérations unique à l’intérieur d’une forêt
 Maitre de schéma: Responsable de la propagation des changements du schéma
auprès de tous les contrôleurs de domaine de la forêt. Il maintient donc à jour le
schéma.
 Maitre d’attribution de nom de domaine: Se charge de l’unicité des noms des
différents domaines présents dans la forêt.
 Maître d’opérations unique à l’intérieur d’un domaine
 Emulateur PDC (Primary Domain Controller): Ce rôle sert de point de référence
pour les horloges de tous les ordinateurs membres d'un domaine. Il fournit
également un support de compatibilité pour les anciens clients Windows NT.
 Maitre d’infrastructure: maintient la cohérence des noms d'objets de sécurité et
de groupe entre les domaines d'une forêt Active Directory. Il met également à jour
les informations d'attribution de groupe et de membre entre les domaines.
 Maitre RID: Ce rôle délivre des blocs d’identificateur aux contrôleurs de domaine
afin qu’ils puissent attribuer à chaque futur objet créé, un identifiant unique (SID).