Active Directory est le nom du service d'annuaire de Microsoft. Le terme de service d'annuaire doit être entendu au sens large, c'est-à-dire qu'il s'agit d'un annuaire référençant :
En permettant de recenser de nombreuses informations concernant le réseau, Active Directory constitue le noyeau central de toute l'architecture réseau. Cela permet :
La structure d'Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d'entreprises répartis sur de multiples sites éloignés géographiquement.
Pour utiliser Active Directory, il faut un ordinateur utilisant une version Windows Server 2k (2008, 2008 R2, 2012 R2, 2016, 2019, 2022) sur lequel est installé le rôle Active Directory. Il devient alors contrôleur de domaine.
Par sécurité, il doit y avoir au moins deux contrôleurs dans un domaine pour :
Active Directory est un outil destiné aux utilisateurs mais dans la mesure où il permet une représentation globale de l'ensemble des ressources et des droits/accés associés il constitue également un outil d'administration et de gestion du réseau. Il fournit à ce titre des outils permettant de gérer :
Comme les annuaires actuels, le mécanisme de recherche et d'index qui permet aux utilisateurs de localiser facilement des ressources publiées, est basé sur le protocole LDAP (Lightweight Directory Access Protocol).
Active Directory utilise le système de noms de domaine DNS afin d'échanger des informations avec n'importe quel annuaire qui utilise les protocoles LDAP. Il faut donc un serveur DNS sur le réseau.
Le fonctionnement d'Active Directory est basé sur des protocoles standards de l’Internet :
Active Directory est composée de forêts, d’arbres, de domaines et d’unités d’organisation (UO).
Un domaine est une structure logique (et non pas physique), qui regroupe de manière logique des ordinateurs, en partageant la même base d'annuaire. L'annuaire est géré au niveau du domaine : « un domaine = un seul annuaire » qui possède un nom de type DNS : “ma-soc.fr” Tous les contrôleurs de domaine de ce domaine ont le même annuaire (réplication).
Les relations d'approbation facilitent l’accès, pour un utilisateur d’un domaine, à une ressource d'un autre domaine car son compte sera approuvé. L'utilisateur aura accès aux ressources, en fonction des autorisations définies sans devoir s'authentifier à nouveau.
Des relations d'approbation sont créées automatiquement et hiérarchiquement entre domaine d'un même arbre. Un arbre est constitué d'un ensemble de domaines et de sous-domaines qui partagent un espace de nom contigu.
Les relations d'approbation doivent être créées manuellement entre différent arbres.
Les relations d'approbation sont transitives.
Tous les domaines d'une forêt partagent le même catalogue global.
Il y a dans cet annuaire Active Directory il y a deux espaces de noms :
On a deux arbres mais une seule forêt qui regroupe ces deux arbres.
Relations d'approbation automatiques et hiérarchiques : 1 & 2
Relation d'approbation établie manuellement : 4
Relations d'approbation implicites (transitivité) : 3, 5 & 6
Le Schéma du service d'annuaire Active Directory contient les définitions de tous les objets, tels que les ordinateurs, les utilisateurs et les imprimantes. Il existe deux types de définitions dans le schéma :
Les utilisateurs peuvent rechercher des objets dans Active Directory en recherchant des attributs spécifiques. Exemple : un utilisateur peut rechercher une imprimante dans un bâtiment donné en effectuant une recherche sur l’attribut Emplacement de la classe d'objet des imprimantes.
Il n'y a qu'un seul schéma pour l’ensemble de la forêt, schéma qui est stocké dans la base de données AD.
C’est un référentiel d'informations qui contient un sous-ensemble d’attributs relatifs à tous les objets Active Directory. Il s'agit des attributs qui sont les plus fréquemment utilisés dans les requêtes (par exemple, le prénom, le nom, le nom d'ouverture de session et le mot de passe d'un utilisateur).
Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue global et traite les requêtes qui lui sont destinées.
Le catalogue global remplit deux rôles d'annuaire importants, il permet à un utilisateur :
Pour de très grandes organisations ou pour permettre une séparation et un cloisonnement des pouvoirs d'administration, il peut y avoir une gestion de plusieurs domaines. Sinon un seul domaine suffit et l'utilisation des unités d'organisation permet de gérer d'organiser l'annuaire pour qu'il corresponde aux besoins de l'organisation.
Une unité d'organisation est une structure hiérarchique logique (et non pas physique), créée dans un domaine pour représenter une structure géographique ou des services de l'entreprise. Les unités d’organisation peuvent être fondées sur :
Les OU sont des conteneurs (des “dossiers”) dans lesquels on peut créer des objets, définir des stratégies de groupe et déléguer droits d’administration.
L'utilsation des logiciels Windows nécessite l'acquisition d'une licence d'utilisation :
La console d'administration Utilisateurs et ordinateurs Active Directory permet de gérer plusieurs types d'objets. Cette console contient les dossiers suivants :
Les groupes d'utilisateurs permettent de rassembler des utilisateurs devant bénéficier des mêmes droits ou autorisations. Il existe 2 types de groupe :
Il y a 3 étendues de groupe :
Attention : les stations Windows ainsi que les serveurs Windows membre d'un domaine conservent une gestion locale des comptes, c'est à dire la gestion d'utilisateurs locaux et de groupes locaux.
La gestion d'un domaine peut se faire par niveau de fonctionnalité afin de pouvoir intégrer des serveurs anciens avec des serveurs plus récents.
En mode natif il est possible d'imbriquer des groupes dans d'autres groupes, c'est à dire qu'un groupe peut être membre d'un autre groupe.
Un utilisateur peut être membre de plusieurs groupes.
Démarche préconisée par Microsoft (dans un contexte de domaine unique, sans forêt) :
On ne met pas d'autorisations d'accès directement sur les utilisateurs sauf si l'utilisateur est vraiment unique (dossier personnel / répertoire de base).
Un profil utilisateur contient tous les informations qui définissent l'environnement de travail d'un l'utilisateur.
Le répertoire de base (dossier personnel) peut être créé automatiquement en utilisant la variable %username% sur les partitions NTFS (CT pour l'administrateur et l'utilisateur).
A la différence d'une gestion en groupe de travail, il est nécessaire d'intégrer la station Windows au domaine. De cette manière, la gestion de l'authentification se se fait plus au niveau du PC mais au niveau du contrôleur de domaine.
Si la procédure réussie, un compte d'ordinateur sera créé dans Active Directory.
La démarche à suivre de vérifier au préalable la configuration IP:
Il s'agit de paramètres applicables à des utilisateurs, des groupes d'utilisateurs ou des ordinateurs. Ces stratégies se définissent au niveau d'un site, d'un domaine, d'une OU.
Les stratégies de groupe correspondent à des clés du registre qui vont être modifiées ou crées pour être appliquées à la configuration de l'ordinateur ou à l'environnement de l'utilisateur à l'ouverture de session.
L'environnement de travail d'un utilisateur est caractérisé par les différents éléments qui apparaissent à l'écran ou dans les menus (couleurs du fonds d'écran, icônes sur le bureau, personnalisation du menu Démarrer, raccourcis, lecteurs réseaux…).
Cet environnement de travail peut-être personnalisé à l'aide de scripts (fichiers de commandes du SE : .bat, .cmd, .vbs) ou de programmes exécutables et cela de manière automatique et personnalisée grâce à des stratégies de groupe.
Les stratégies de groupe permettent ainsi d'effectuer de nombreuses tâches d'administration :