Académique Documents
Professionnel Documents
Culture Documents
Chapitre 3
Service Active Directory
-Cours 1-
Mustapha HEMIS
Labo 06 FGE
E-mail: hemismustapha@yahoo.fr
©2023
1
Plan
la mise en œuvre par Microsoft des services d'annuaire LDAP pour les systèmes
d'exploitation Windows.
Le point focal pour organiser, contrôler et administrer l’ensemble des ressources d’un
réseau.
Centraliser deux fonctionnalités essentielles :
l’identification
l’authentification
Intérêt d’Active Directory ?
Administration centralisée et simplifiée : la gestion des objets, notamment des
comptes utilisateurs et ordinateurs est simplifiée, car tout est centralisé dans l’annuaire
Active Directory.
Unifier l’authentification : un utilisateur authentifié sur une machine pourra accéder
aux ressources stockées sur d’autres serveurs ou ordinateurs enregistrés dans
l’annuaire (à condition d’avoir les autorisations nécessaires). Un seul compte peut
permettre un accès à tout le système d’information.
Identifier les objets sur le réseau : chaque objet enregistré dans l’annuaire est unique,
ce qui permet d’identifier facilement un objet sur le réseau et de le retrouver ensuite
dans l’annuaire.
Référencer les utilisateurs et les ordinateurs : l’annuaire AD référence les utilisateurs,
les groupes et les ordinateurs d’une entreprise. On s’appuie sur cette base de données
pour réaliser de nombreuses opérations : authentification, identification, stratégie de
groupe, déploiement de logiciels, etc.
Technologies prises en charge par Active Directory
Domaine
Unité d'organisation
Domaine
usthb.dz
enp.dz Arbre
jj
Arbre
ou
Domaine
ou v ou
Domaine
fei.usthb.dz gc.usthb.dz
gm.enp.dz
Structure logique -- Domaines
societe1.com
societe2.com Arbre
Domaines enfants
v
china.societe1.com france.societe1.com
Les relations d'approbation sont des liens de confiance permettant aux utilisateurs
authentifiés dans leur domaine d'accéder aux ressources d'un autre domaine.
Une relation d’approbation peut-être :
Unidirectionnelle : l’accès aux ressources n’est disponible que dans un sens (A) ->
(B).
Bidirectionnelle : l’accès aux ressources est disponible dans les deux sens (A) <-> (B).
Transitive : si (A) et (B) ont une relation d’approbation transitive, si (B) approuve un
domaine (C) celui-ci sera approuvé dans (A).
Direction de l’accès
Direction de approbation
societe2.com societe1.com
Structure logique – Relation d’approbation
Il n'y a qu'un seul schéma pour l'ensemble de la forêt, de sorte que tous les objets
créés dans Active Directory se conforment aux mêmes règles.
Logiquement, le schéma est stocké dans une partition d'annuaire de la base de
données Active Directory.
Le schéma est traité comme un objet Active Directory, dont le nom complet est le
suivant : CN=schéma, CN=configuration, DC=nom_domaine, DC=racine_domaine
Lorsque vous installez Active Directory sur le premier contrôleur de domaine de votre
réseau, un schéma par défaut est créé avec la plupart des définitions d'objet
nécessaires à un réseau.
Structure logique – Schéma
Site B
Contrôleur
de domaine
Site A
Liaison WAN
Sous
réseaux 1 Sous
réseaux 1
Sous
réseaux 2
Structure physique -- Site
Un site est un emplacement d'un réseau qui contient des serveurs Active Directory.
Un site est défini comme un ou plusieurs sous- réseaux TCP/IP
Définir des sites permet de configurer l'accès à Active Directory et la manière dont la
réplication va se faire entre les contrôleurs de domaine.
Un site contient au minimum un contrôleur de Domaine. Lorsqu'un utilisateur ouvre
une session, le client Active Directory recherche les serveurs Active Directory qui font
partie du même site que l'utilisateur.
Il est conseillé de penser son réseau en Domaine, et de gérer ensuite les problèmes de
géographie physique par la notion de site, que de faire autant de domaines que de
sites géographiques.
Structure physique -- Contrôleur de domaines
Un contrôleur de domaine est un ordinateur exécutant Windows
Server qui stocke un réplica de l'annuaire.
Contrôleur
Un domaine AD doit avoir au moins un contrôleur de domaine AD. de domaine
Le contrôleur de domaine gère l'authentification des utilisateurs en
leur accordant l'accès au domaine et aux ressources qu'il contient. Domaine
Les meilleures pratiques suggèrent qu'il y a au moins deux
contrôleurs de domaine dans un domaine afin que l'accès au
domaine puisse toujours être accordé si un contrôleur est en
panne.
Active Directory autorise plusieurs domaines dans un même site, ainsi que
plusieurs sites dans un même domaine.
Aucune corrélation n'est nécessaire entre les espaces de noms des sites et des
domaines.
Rôles des contrôleurs de domaine spécifiques
Active Directory prend en charge les mises à jour à plusieurs maîtres de l'annuaire
entre tous les contrôleurs de domaine d'un domaine.
Certaines modifications sont irréalisables en mode de duplication à plusieurs maîtres
du fait du trafic généré par ce mode et des conflits potentiels sur certaines opérations
essentielles.
Pour ces raisons, des rôles spécial FSMO sont affectés uniquement à des contrôleurs
de domaine spécifiques:
Si un contrôleur de domaine chargé d'un de ces rôles n'est pas disponible, les
fonctions propres à ce rôle dans Active Directory ne le seront pas non plus.
Rôles des contrôleurs -- Opérations principales simples
Maître d’opérations unique à l’intérieur d’une forêt
Maitre de schéma: Responsable de la propagation des changements du schéma
auprès de tous les contrôleurs de domaine de la forêt. Il maintient donc à jour le
schéma.
Maitre d’attribution de nom de domaine: Se charge de l’unicité des noms des
différents domaines présents dans la forêt.
Maître d’opérations unique à l’intérieur d’un domaine
Emulateur PDC (Primary Domain Controller): Ce rôle sert de point de référence
pour les horloges de tous les ordinateurs membres d'un domaine. Il fournit
également un support de compatibilité pour les anciens clients Windows NT.
Maitre d’infrastructure: maintient la cohérence des noms d'objets de sécurité et
de groupe entre les domaines d'une forêt Active Directory. Il met également à jour
les informations d'attribution de groupe et de membre entre les domaines.
Maitre RID: Ce rôle délivre des blocs d’identificateur aux contrôleurs de domaine
afin qu’ils puissent attribuer à chaque futur objet créé, un identifiant unique (SID).