Archives par mot-clé : Windows Server

Active Directory : comprendre les points clés

L’Active directory est un concept souvent utilisé en informatique. On sait de l’AD qu’il sert à authentifier les utilisateurs et les applications. Mais hormis cette fonctionnalité, on ne sait presque rien de cette technologie Microsoft. Dans cette vidéo, je vais répondre aux questions suivantes :

  • Qu’est ce que l’Active Directory ?
  • Quel est le rôle de l’AD et quelles sont ses fonctionnalités ?
  • Comment est organisé l’AD ?
  • Qu’est qu’un arbre AD, une forêt AD, une OU (Organizationnal Unit) et un objet AD ?
  • QU’est ce qu’une GPO (ou Stratégie de Groupe), comment et à quel niveau s’applique t-elle?
  • Qu’est ce que l’arborescence AD ?
  • Qu’est ce qu’un Domaine Controller (DC) ou un Read Only Domain Controller (RODC) ?

 

 

Qu’est ce que l’Active Directory?

L’Active Directory, c’est :

  • Un annuaire qui répertorie et organise les informations concernant le monde Microsoft (les utilisateurs, les machines ou les applications par exemple).
  • Le système centralisé d’authentification des utilisateurs. Autrement dit, l’AD permet aux utilisateurs, une fois connectés, de retrouver et d’accéder à une ressource.

Les informations qui sont répertoriés sont appelés objets AD et sont regroupés en 3 types :

  • Les utilisateurs
  • Les ressources qui représentent les éléments matériel de l’entreprise (par exemple imprimantes et ordinateurs)
  • Les groupes qui sont destinés à établir des listes d’utilisateurs pour leur attribuer des droits ou des services

La gestion des objets AD :

  • Les objets AD sont contenus dans des domaine, qui sont des entités autonomes de gestion. Les objets AD sont classés en Unités d’Organisation (ou UO en anglais pour Organizational Unit). 
  • Les OU peut représenter toute sorte de choses dans une entreprise : métiers, filiales, ressources informatiques, type d’utilisateurs, périmètres géographiques, etc.

L’administration et la sécurité via GPO (Group Policy Objects) ou stratégie de groupe :

  • Les GPO permettent de restreindre les actions : accès restreints à certaines ressources ou certains dossiers, la désactivation de l’utilisation de certains exécutables, etc. Les GPO peuvent s’appliquer à l’ensemble du domaine ou sur les UO.
  • L’AD est donc un outil d’administration et de gestion du réseau car il permet d’avoir une représentation des ressources et des droits associés.

Une organisation en arborescence :

  • Un arbre AD correspond à un domaine et toutes ses ramifications, c’est-à-dire ses domaines enfants

  • Cet arbre AD fait partie d’une forêt : Une forêt AD comprend le domaine racine ( ou root domain en anglais)  mais aussi l’ensemble de ses domaines enfants.

Des relations d’approbation multiples dans l’AD :

  • Afin de permettre aux utilisateurs d’un domaine d’accéder aux ressources d’un autre domaine, l’AD utilise un mécanisme de relations d’approbation : elles permettent d’accorder des permissions dans un domaine différent de celui qui contient le compte de l’utilisateur.
  • Les relations d’approbations peuvent être de natures multiples: intra forêt, inter forêt, inter sous domaines de plusieurs forêts, etc.
  • Un utilisateur d’un domaine peut avoir des permissions dans n’importe quel domaine de la forêt
  • Chaque domaine connait les relations qu’il a avec les autres domaines de la forêt

 

 

Le rôle des Domain Controllers

  • Une architecture AD repose sur des serveurs sur lesquels sont installés les domaines controllers ou DC. Les DC sont des serveurs avec un système d’exploitation de la famille Windows Server 
  • Les DC synchronisent les données d’annuaire entre eux , assurant ainsi la cohérence des informations dans toute la forêt en permanence. On dit alors que l’AD est un système distribué puisque tout changement réalisé par un administrateur sur un objet de l’annuaire via n’importe quel DC sera automatiquement répliqué sur l’ensemble des DC de la forêt
  • Enfin, Les DC assurent les communications entre les utilisateurs et les domaines, à savoir les processus d’ouverture de session d’utilisateur, l’authentification et les recherches d’annuaire

Enfin, il existe un type particuler de domain controller : ce sont les RODC (pour Read Only Domain Controleller) Ce sont donc des DC en lecture seule

C

Les RODC sont utilisés dans le cas des sites distant permettant aux utilisateurs d’accèder aux ressources réseau beaucoup plus rapidement, tout en garantissant la sécurité et l’intégrité de l’Active Directory.