Active Directory

De Justine's wiki
Version datée du 25 février 2019 à 18:20 par Justine (discussion | contributions) (Page créée avec « = Généralités = Un annuaire est systèmes de stockage de données, dérivé des BDD hiérarchisées, permettant en particulier de conserver les données pérennes (pe... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

Généralités

Un annuaire est systèmes de stockage de données, dérivé des BDD hiérarchisées, permettant en particulier de conserver les données pérennes (peu mises à jour; historiquement sur une base annuelle, ce qui explique le nom "annuaire"). Cela peut être des coordonnées de personnes, des partenaires, des clients, des fournisseurs, des adresses électroniques... La norme utilisée est LDAP (Lightweight Directory Access Protocol) : c'est une structure arborescente, dont chaque noeud est constitué d'attrivuts associés à des valeurs (on a une notion de classes et d'attributs).

Objectif principaux d'AD

  • Partage des informations d'annuaire
  • Centralisation de l'authentification avec le SSO (Single Sign On)
  • Collaboration et partage de ressources (dossiers, imprimantes...)
  • Mise en place d'applicatifs (exchange)
  • Déploiement de logiciels.

AD a cependant de la concucrrence :

  • NetWare (Novel), plus supporté depuis 2010
  • Sun Java System Directory Server (pas de màj depuis 2011)
  • Et les solutions Opensource :
    • OpenLDAP
    • FusionDirectory
    • PhpLDAPAdmin
    • Apache Directory Studio

AD reste cependant largement leader du marché, et c'est un des 3 outils phare de Microsoft.

Objets, Domaines, Forêts

D'après : https://www.youtube.com/watch?v=nhW-0qZzjy4

Dans ses annuaires, AD regroupe des objets. On peut citer trois types d'objets :

  • Les utilisateurs (des personnes)
  • Les ressources (éléments matériels : PC, imprimante...)
  • Les groupes (listes d'utilisateurs établies pour attribuer des droits ou des services).

Les objets sont organisés en groupes et en sous-groupes. Les objets sont rassemblés dans des domaines, qui sont des entités autonomes de gestion (généralement représenté par un triangle). Au sein d'un domaine, les objets sont regroupés en OU (Unités d'Organisation), les cercles dans le triangle). Les OUs peuvent être des ressources, des métiers, des secteurs... Enfin, on parle d'arborescence AD : un arbre AD représente un domaine et toutes ses ramifications, soit ses domaines enfants. Une forêt est un ensemble d'arbres, qui comprend un domaine racine (root domain), mais aussi ses domaines enfants. Pour que les utilisateurs d'un domaine puissent accéder aux ressources d'un autre domaine, AD utilise des relations d'approbation. Elles peuvent être de nature multiple : intraforêt, interforêt, inter-sous-domaines de plusieurs forêts. Un utilisateur d'un domaine peut avoir des autorisations dans n'importe quel domaine de la forêt.

Quelques informations en vrac

La catalogue global

On a un contrôleur de domaine, qui conserve une copie complète de tous les objets de l'annuaire de son domaine, ainsi qu'une copie partielle de tous les objets d'une forêt. C'est utile pour la recherche. Le premier DC installé au sein d'une forêt est automatiquement serveur de catalogue global; il peut y avoir un seul catalogue global pour plusieurs domaines, mais il faut moins un catalogue global par forêt.

 

Niveaux fonctionnels de domaine et de forêt

Les niveaux de domaine et de forêt permettent d'activer des fonctionnalités à l'échelle d'un domaine ou d'une forêt dans l'environnement des services de domaine AD (AD DS). Différents niveaux de fonctionnalités des domaines et des forêts sont disponibles, selon votre environnement. L'augmentation d'un niveau fonctionnel de "WinServ 2003" à "Windows 2008" permet par exemple d'affiner la stratégie de mots de passe.

UPN (User Pincipal Name)

Il s'agit du nom d'utilisateur utilisé lors de l'authentification. Il est unique dans toute la forêt, et est composé de 2 parties distinctes séparées par le caractère @ :

  • Le préfixe UPN (par défaut le samaccountname)
  • Le suffixe UPN (par défaut le nom de domaine).

Il est par ailleurs possible de changer le préfixe et d'ajouter un suffixe de façon à ce que le login de l'utilisateur soit son adresse mail : changer l'UPN, ce n'est pas changer le samaccountname, et on peut d'ailleurs le changer sans impacter la session utilisateur, contrairement au samaccountname.

AD et la virtualisation

AD date d'avant la virtualisation, et à l'époque le processus de réplications ne prenait pas en compte le rollback que l'on peut faire aujourd'hui avec des VM. Il ne faut donc jamais faire de restauration d'image d'un DC, sinon on aura une désynchronisation de la base AD entre les différents serveurs. Ce problème a été résolu avec l'arrivée d'Hyper-V et WinServ 2012.

 

Récupérée de « https://wiki.squi.fr/index.php?title=Active_Directory&oldid=737 »