ActiveDirectory

I – Introduction

ActiveDirectory (AD) est un annuaire LDAP (Lightweight Directory Access Protocol) distribué par Microsoft. Cependant AD ne travaille pas nativement en LDAP avec les client Windows. AD embarque aussi des outils permettant la gestion des éléments qui sont sous sa responsabilité.

L'annuaire est une collection d'enregistrement (utilisateurs, groupes, ordinateurs, services...) compilée en arborescence représentant un ou plusieurs domaines.

ActiveDirectory peut être comparé, dans son principe, à d'autres protocoles similaires tels que LDAP ou X400.

II- Utilité

ActiveDirectory :

• gère (liste à un point nommé et dans la limite d'environ 10 millions d'objets) les ressources informatiques du réseau telles que :
  • utilisateurs
  • postes
  • serveurs
  • services
• gère l'authentification et l'autorisation à l'accès aux ressources.
• organise les ressources afin de faciliter leurs administrations.
• Contrôle l'environnement d'exécution des postes clients selon les propriété du compte utilisateur et des GPO (Group Policy Object) ou stratégies de groupe.

La norme Microsoft organise ActiveDirectory en domaine, schématisé la plupart du temps pas un triangle :

ActiveDirectory

III – Mise en place

Un domaine AD représente un ensemble dont la gestion de la sécurité et des ressources s'effectue de façon homogène. On parle d'un ensemble cohérent. Les domaines sont hiérarchisés via des relations d'approbation, mécanismes de sécurité qui autorise les utilisateurs d'un domaine à utiliser les ressources d'un autre domaine. Plusieurs domaines liés entre eux par des relations d'approbation forment une forêt. Le domaine principal donne son nom comme racine pour les sous-domaines.

Les sites sont un moyen artificiel (déclaratif) pour relier entre eux 2 postes indépendant des domaines mais internes à la forêt ( du genre d'un VPN rapide et sécurisé).

La forêt porte toujours le nom du domaine qui la engendrée. Dès que le premier domaine est créé, la forêt est créée en même temps. Par la suite, les autres domaines se joignent à la forêt existante ou créent une nouvelle forêt indépendante.

Attention : il ne faut pas confondre un domaine AD avec un domaine DNS !!

ActiveDirectory utilise fortement le réseau. Il est donc nécessaire d'alléger le trafic afin d'optimiser les transferts. De ce fait, il est recommandé d'utiliser un serveur WINS en collaboration avec AD et ce afin d'éviter les broadcast NetBIOS.

AD s'installe sur un serveur qui devient un contrôleur de domaine (CD). La SAM (Security Account Manager) gérant localement les utilisateurs en les groupes, n'est plus utilisable et est absorbée par AD (les utilisateurs et groupes créés au préalable apparaissent dans Utilisateurs et ordinateurs AD\nom_du_domaine\BuiltIn). Par souci de sécurité, les CD se réplique rapidement (5 min au sein d'un domaine, 15 min au sein d'une forêt) sous le contrôle de mécanisme de vérification évitant la réplication d'erreurs. Il y a obligatoirement un CD par domaine. Windows Server 2008 R2 prends en charge des RODC (CD en lecture seule) ; ces CD reçoivent les bases de données mais ne les utilisent pas pour mettre à jour les autres bases de données.

Modifications importantes lors de la mise en place d'un CD :

• Suppression de la SAM.
• Seuls les administrateurs peuvent se connecter à la console du CD.
• Les anciens comptes locaux sont transférés en compte de domaine.
• Création des dossiers partagés :
  • netlogon : pour les scripts d'ouverture de session d'utilisateur.
  • sysvol : pour les GPO.
• L'authentification se fait sous la forme :
  • nom_de_domaine_NetBIOS\utilisateur
  • utilisateur@nom_de_domaine_DNS
• Création d'un emplacement Domaine dans les paramètres du réseau et du pare-feu.
• Le serveur ne fait plus parti d'un groupe de travail mais d'un domaine.
• Création de consoles d'administration :
  • Utilisateurs et Ordinateurs AD (gère les utilisateurs, les groupes et les postes)
  • Sites et Services AD (contrôle la réplication des CD)
  • Domaines et Approbations AD (gère les domaines et les approbations)
  • Centre d'administration AD
  • Gestion de Stratégie de Groupe (gère les GPO)
  • Modification ADSI (permet de travailler dans les objets AD de façon granulaires)
  • Module AD pour PowerShell

Lorsqu'un poste se joint au domaine :

• sur le CD :
  • Création du compte d'ordinateur.
  • Ajout du poste au suffixe DNS principal.
• sur le client :
  • Création dans le groupe Utilisateurs de nom_de_domaine\Utilisateurs du domaine.