Guide complet sur Active Directory : Concepts et Structure

La fonctionnalité du service d'annuaire

Active Directory fournit une fonctionnalité de service d'annuaire permettant d'organiser, de gérer et de contrôler de façon centralisée l'accès aux ressources du réseau.

• La topologie physique du réseau et les protocoles sont ici négligés.
• Il est organisé en sections permettant le stockage d'un grand nombre d'objets.
• Vous pouvez étendre Active Directory selon les besoins de votre organisation.
• Il offre un contrôle centralisé de l'accès aux ressources, permettant aux utilisateurs de se connecter une seule fois pour obtenir un accès complet.

Objets du service d'annuaire

Les objets représentent les ressources réseau.

• Un administrateur unique contrôle ces ressources de manière centralisée dans une base de données distribuée.
• Lorsque vous créez un objet, ses propriétés ou attributs sont stockés dans le répertoire.
• Les utilisateurs peuvent rechercher des objets via leurs attributs spécifiques.
• Une fonction importante d'un objet est de pouvoir contenir d'autres objets.

Schéma du service d'annuaire

Le schéma contient les définitions de tous les objets.

• Dans Windows 2000, il existe un schéma unique.
• Les deux types de définitions de schéma sont les attributs et les classes d'objets.
• Les classes d'objets décrivent les objets d'annuaire pouvant être créés.
• Chaque classe est un ensemble d'attributs définis indépendamment.
• Chaque attribut est défini une seule fois et peut être réutilisé dans plusieurs classes.

La base de données stocke le schéma Active Directory, ce qui implique que celui-ci :

• Est dynamiquement disponible pour les applications : les utilisateurs peuvent lire le schéma pour découvrir les objets et propriétés disponibles.
• Peut être mis à jour dynamiquement pour ajouter de nouveaux attributs et classes.
• Utilise des listes de contrôle d'accès (DACL) pour protéger les objets et attributs.

Active Directory : Structure logique

Dans Active Directory, la structure logique est distincte de la structure physique.

• La structure logique organise les ressources, tandis que la structure physique gère le trafic réseau.
• La structure physique définit le trafic de réplication et de connexion.
• La structure logique est flexible et hiérarchique.

Les composants logiques sont :

• Domaines
• Unités d'organisation (UO)
• Arbres
• Forêts

Domaine

Le domaine est l'unité centrale de la structure logique d'Active Directory.

• C'est un ensemble d'ordinateurs partageant une base de données d'annuaire commune.
• Il possède un nom unique et permet une gestion centralisée des comptes utilisateurs et groupes.
• Il sert de limite de sécurité.
• Les domaines sont des unités de réplication : les contrôleurs de domaine synchronisent les informations au sein du même domaine.
• Le mode de fonctionnement peut être mixte (compatibilité avec d'anciens contrôleurs) ou natif (fonctions avancées). Le passage au mode natif est irréversible.

Arbres et forêts

Le premier domaine créé est appelé le domaine racine de la forêt.

• Un arbre est une organisation hiérarchique de domaines partageant un espace de noms contigu.
• Une forêt est un ensemble d'un ou plusieurs arbres ne partageant pas nécessairement un espace de noms contigu, mais partageant un schéma et un catalogue commun.
• Chaque domaine racine d'arbre possède une relation d'approbation transitive avec le domaine racine de la forêt.

Relations d'approbation (Trust)

• Une fiducie est un lien de communication sécurisé entre domaines.
• Une approbation bidirectionnelle permet des échanges dans les deux sens.
• Une approbation transitive étend la relation de confiance à tous les domaines faisant confiance au domaine initial.

Unités d'organisation (UO)

• Les UO sont des objets utilisés pour organiser les ressources du domaine.
• Elles permettent de déléguer le contrôle administratif sur des objets spécifiques à des groupes d'utilisateurs.

Catalogue Global

Le catalogue global est un référentiel contenant un sous-ensemble d'attributs de tous les objets de la forêt.

• Il permet de localiser des objets dans toute la forêt.
• Il facilite l'authentification et la recherche d'informations.
• Le premier contrôleur de domaine devient automatiquement serveur de catalogue global.

Structure physique

La structure physique optimise le trafic réseau et le processus d'ouverture de session.

Contrôleur de domaine

Ordinateur exécutant Windows Server qui stocke une réplique de l'annuaire.

• Il gère les modifications et les réplique vers les autres contrôleurs.
• Il utilise un modèle de réplication multi-maître.
• La base de données est divisée en trois partitions : Domaine, Configuration et Schéma.

Sites

Un site est une combinaison d'un ou plusieurs sous-réseaux IP reliés par une liaison à haute vitesse.

• Ils servent à optimiser le trafic de réplication et à garantir une authentification efficace.
• Les structures logiques et physiques sont indépendantes.

Caractéristiques de domaine

Le domaine offre une approche centralisée de la gestion des ressources réseau.

• Single Sign-On (SSO) : Une seule connexion pour accéder à toutes les ressources.
• Gestion centralisée : Comptes et ressources gérés depuis un emplacement unique.
• Stabilité : Adapté aux grands réseaux.
• Délégation : Possibilité d'attribuer des privilèges administratifs ciblés.