Professional Documents
Culture Documents
Active Directory
Qu'est-ce qu'un service d'annuaire?
Un annuaire est une base de donnes hirarchique, optimise pour la
lecture, et consultable travers un rseau.
Les donnes d'un annuaire sont de nature diverses. L'objectif de l'annuaire
est de centralise les donnes d'une organisation, vitant ainsi la
redondance, garantissant la mise jour des donnes, et rduisant les cots
d'administration.
Le service d'annuaire devient ds lors la tour de contrle du systme
d'exploitation distribu.
2
AD : Caractristiques
Caractristiques
Centralisation des donnes : les donnes rsident dans une base de
donnes distribue, accessible aux utilisateurs travers le rseau.
La centralisation des donnes rduit les cots d'administration, vite la
redondance des donnes, diminue les cots de rplication. Amliore
l'organisation des donnes.
AD : Caractristiques
AD : Caractristiques
Gestion centralise des clients : Afin de diminuer les cots
d'administration des clients, AD offre des technologies pour la
configuration des clients ou la mobilit des utilisateurs.
Administration base sur des stratgies : Les stratgies dans AD
dfinissent les actions ralisables par les utilisateurs (notamment la
dlgation), facilitent le dploiement d'applications, les mises jour...
Rplication des informations : Active Directory utilise la rplication
multimaitre pour rpliquer les donnes qu'il stocke. Tolrance de panne,
disponibilit
AD : Caractristiques
Scurit intgre : base sur les ACL, permet le contrle d'accs aux
objets, offre des mcanismes d'authentification comme kerberos, ssl/tls
Interoprabilit avec d'autres systmes d'annuaire, AD repose sur le
standard LDAP V3.
Structure Logique
Structure logique
L'organisation des ressources dans AD, se fait travers une structure
logique, reflet du modle organisationnel de votre environnement. Cette
structure logique rend transparent pour les utilisateurs, la structure
physique du rseau.
Structure Logique
Fort
Domaine
Domaine
Domaine
Domaine
Domaine
OU
OU
OU
OU
OU
OU
9
Structure Logique
Domaine :
Unit fondamentale de la structure logique, un domaine peut contenir
plusieurs millions d'objets. Les objets sont les ressources du rseau.
Chaque domaine stocke uniquement les informations sur les objets qu'il
contient.
Tous les objets du rseau existent dans un domaine
10
Structure Logique
11
Structure Logique
Niveau fonctionnel :
Windows 2000 mixte
Permet la compatibilit entre des contrleurs de domaine Windows NT4
et windows 2000 2003
Windows 2000 natif
Permet d'entrer en interaction avec des contrleurs de domaine Windows
2000 ou Windows 2003
Windows server 2003
permet uniquement l'interaction entre des contrleurs de domaine
windows 2003.
12
Structure Logique
Arborescences :
On parle d'arborescence quand on a une organisation hirarchique de
domaines.
La structure hirarchique est base sur des relations parent/enfant entre
les domaines. Les domaines d'une arborescence, partagent un espace de
nom contigu. Cet espace de nom est bas sur la norme DNS.
L'arborescence que vous voulez crer doit reflter l'organisation de votre
entreprise.
13
Structure Logique
Forts :
Une fort est un regroupement d'une ou plusieurs arborescences de
domaines, totalement indpendantes.
Tous les domaines d'une fort partagent le mme schma
Tous les domaines d'une fort partagent un catalogue global commun.
14
Structure Logique
Tous les domaines d'une fort sont lis par des relations d'approbation
transitives et bidirectionnelles.
Les arborescences d'une fort possdent des structures de nommage
diffrentes en fonction de leur domaine d'appartenance.
Les domaines d'une fort fonctionnent indpendamment les uns des
autres, mais la fort autorise la communication sur l'ensemble de
l'organisation.
15
Structure Logique
16
Structure Logique
France
Paris
Nice
USA
N-York
Boston
17
Structure Logique
Direction
RH
Finance
Dvel
System
Appli
18
Structure Logique
Users
Users
Computers
Groupes
Stations
Serveurs
Ressources
Printers
Appli
19
Structure Logique
France
Admin
Devel
USA
Admin
Devel
Structure OU mixte
20
Structure physique
Structure physique
Sites et contrleurs de domaine constituent les lments physiques
d'Active Directory.
21
Structure physique
Sites
Un site est une combinaison de sous-rseaux IP relis par une liaison
fiable et rapide. En gnral, un site les mmes limites qu'un rseau
local.
Les sites ne font pas partie de l'espace de nom d'Active Directory. Un site
ne contient que des objets ordinateurs et des connexions.
Un domaine peut s'tendre sur plusieurs sites.
Un site peut contenir plusieurs domaines.
22
Structure physique
Contrleurs de domaine
Un DC est un ordinateur qui excute Windows 2003 server et AD
Un service KDC (authentification KERBEROS)
le stockage des partitions de l'annuaire
les partitions de l'annuaire sont les segments logiquement distribus
d'AD et rpliqus.
une partition pour le domaine (plusieurs domaines par fort)
une partition pour le schma (un schema par fort)
une partition pour le conteneur de configuration :(1 par fort)
23
Structure physique
24
Structure physique
Les rplications entre contrleurs du domaine sont automatiques et
s'effectuent intervalles rguliers, paramtrables et dfinis par
l'administrateur.
Certaines mises jour sont immdiates comme la dsactivation d'un
compte.
Active Directory utilise la rplication dite multimatre. Aucun contrleur
de domaine n'est matre. Les contrleurs de domaine peuvent contenir des
informations diffrentes pendant un temps trs court jusqu'au moment de
la synchronisation.
La mise en place de plusieurs contrleurs de domaines sur le rseau
permet de faire la tolrance aux pannes.
25
Structure physique
Informations rpliques :
Les informations stockes dans l'annuaire (ntds.dit) sont logiquement
partitionnes en 4 catgories. Une partition d'annuaire est considre
comme un contexte de nommage.
Partition de schma : Cette partition dfinit les objets qui peuvent tre
crs dans l'annuaire et les attributs dont ils peuvent tre dots. Ce sont
des donnes communes tous les domaines d'une fort.
26
Structure physique
La partition de configuration : dcrit la structure logique du
dploiement, y compris les donnes telles que la structure du domaine ou
la topologie de rplication.
La partition de domaine : dcrit tous les objets du domaine.
La partition d'application : stocke les donnes spcifiques aux
applications. Cette partition peut contenir tout type d'objets l'exception
des entits de scurit (utilisateurs, groupes et ordinateurs).
27
Structure physique
28
Structure physique
29
Structure physique
Le catalogue global:
C'est le dpt central des informations relatives aux objets d'une
arborescence ou d'une fort. Par dfaut un catalogue global est cr sur le
premier contrleur de domaine d'une fort. Ce contrleur de domaine est
serveur de catalogue global.
Il permet un utilisateur d'ouvrir une session sur le rseau en fournissant
au contrleur de domaine concern des informations d'appartenance des
groupes universels lors du processus d'ouverture de session.
Il permet de retrouver des informations d'annuaire quelque soit le
domaine de la fort contenant les vritablement les donnes.
30
31
32
33
34
mulateur PDC:
Si le domaine contient des contrleurs de domaine secondaire Windows
NT4, l'mulateur PDC joue le rle de contrleur de domaine Principal.
Matre d'infrastructure :
Le matre d'infrastructure est responsable de la mise jour des rfrences
groupe-utilisateur, aprs un renommage ou un dplacement par exemple
d'un membre d'un groupe.
35
F
36
Relations d'approbation
Relations d'approbation
Ce mcanisme de relation d'approbation permet aux processus
d'authentification de chaque domaine d'assurer aussi l'authentification
pour tous les autres domaines.
ATTENTION: l'authentification est diffrent du contrle d'accs.
37
Relations d'approbation
38
Relations d'approbation
utilisateur authentifi de A
accde aux ressources de C
utilisateur authentifi de C
accde aux ressources de B
B
39
Relations d'approbation
Il y a approbation complte entre tous les domaines. Des Relations
d'approbation non transitives peuvent tre cres entre Domaines mais de
faon explicite.
Les Relations d'approbation sous W2K rduisent le temps de gestion en
diminuant leur nombre et du fait qu'elles sont automatiques.
voici un schma quivalent, de relations d'approbation dans un modle
NT
40
Relations d'approbation
A
41
Relations d'approbation
42
Relations d'approbation
A
Ra
cc
ou
r
ci
E
43
Relations d'approbation
Parent-enfant: tablie pour un nouveau domaine dans un arbre
cre automatiquement
entre deux domaines dans le mme arbre et dans le
mme espace de noms.
le domaine parent est toujours approuv par le domaine
enfant
elle est transitive et bidirectionnelle.
La nature transitive et bidirectionnelle des RA permet la rplication
de l'information de l'annuaire global dans toute la hirarchie.
44
Relations d'approbation
45
Relations d'approbation
46
Relations d'approbation
47
48
49
50
52
exemple:
DN: cn=bob dylan, ou=users, dc=domain,dc=com
UPN = bdylan@domain.com
53
54
55
56
57
59
60
61
62
63
64
65
68
69
71
Les groupes
Un groupe est un ensemble de comptes utilisateurs auxquels sont
assigns droits et permissions.
Un utilisateur peut faire partie de plusieurs de plusieurs groupes.
Un groupe peut hberger d'autres groupes.
72
73
75
78
80
81
82
85
86
87
88
Paramtres du logiciel :
Ce noeud prsent dans la configuration utilisateur et ordinateur,
permet de spcifier la manire d'installer des applications.
Deux mthodes : Assignation et Publication
La publication n'est pas possible pour un ordinateur.
89
Paramtres Windows :
Ce noeud permet de spcifier des scripts de dmarrage ou de
fermeture/arrt.
Il offre aussi la possibilit grer la scurit.
Pour un utilisateur ce noeud permet de rediriger les dossiers.
90
93
95
96
Aucun remplacement :
Si un GPO est dfini avec l'option aucun remplacement, aucun de
ses paramtres ne sera cras par les paramtres des GPO
enfant.
Le paramtre le plus haut dans la hirarchie est donc prioritaire.
97
Bloquer l'hritage :
Le blocage de l'hritage est appliqu au site, au domaine, l'OU,
mais pas au GPO.
Le blocage de l'hritage, arrte tout paramtre provenant d'un
emplacement plus haut de la hirarchie.
98
2
Site
domaine.com
aucun remplacement
France
Admin
Devt
OU Devt 1,2,3,4,5
OU Devel 6,7
USA
Admin
4
5
6
bloquer l'hritage
Devel
99