[Active Directory] 1 Introduction à l'infrastructure Active Directory
1.1 Présentation d’Active Directory
Active Directory permet de centraliser, de structurer, d’organiser et de contrôler les ressources réseau dans les environnements Windows 2008. La structure Active Directory permet une délégation de l’administration très fine pouvant être définie par types d’objets.
1.1.1 Définition d’Active Directory
Active Directory est un annuaire des objets du réseau, il permet aux utilisateurs de localiser, de gérer et d’utiliser facilement les ressources.
Il permet de réaliser la gestion des objets sans liens avec la disposition réelle ou les protocoles réseaux employés. Active Directory organise l’annuaire en sections, ce qui permet de suivre le développement d’une société allant de quelques objets à des millions d’objets.
Combiné aux stratégies de groupes, Active directory permet une gestion des postes distants de façon complètement centralisée.
1.1.2 Objets Active Directory
Active Directory stocke des informations sur les objets du réseau. Il existe plusieurs types d’objets :
- serveurs
- domaines
- sites
- utilisateurs
- ordinateurs
- imprimantes
- …
Chaque objet possède un ensemble d’attributs regroupant diverses informations permettant par exemple d’effectuer des recherches précises dans l’annuaire (trouver l’emplacement physique d’une imprimante, le numéro de téléphone ou l’adresse d’un utilisateur, le système d’exploitation d’un serveur…).
1.1.3 Schéma Active Directory
Le schéma Active Directory stocke la définition de tous les objets d’Active Directory (ex : nom, prénom pour l’objet utilisateur).
Il n’y a qu’un seul schéma pour l’ensemble de la forêt, ce qui permet une homogénéité de l’ensemble des domaines.
Le schéma comprend deux types de définitions :
- Les classes d’objets : Décrit les objets d’Active Directory qu’il est possible de créer. Chaque classe est un regroupement d’attributs.
- Les attributs : Ils sont définis une seul fois et peuvent être utilisés dans plusieurs classes (ex : Description).
Le schéma est stocké dans la base de données d’Active Directory ce qui permet des modifications dynamiques exploitables instantanément.
1.1.4 Catalogue global
Le catalogue global contient une partie des attributs les plus utilisés de tous les objets Active Directory. Il contient aussi les informations nécessaires pour déterminer l’emplacement de tout objet de l’annuaire.
Le catalogue global permet aux utilisateurs d’effectuer 2 tâches importantes :
- Trouver des informations Active Directory sur toutes la forêt, quel que soit l’emplacement des ces données.
- Utiliser des informations d’appartenance à des groupes universels pour ouvrir une session sur le réseau.
Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue global et peut ainsi traiter les requêtes qui lui sont destinées. Le premier contrôleur de domaine installé au sein d’une forêt est automatiquement serveur de catalogue global. Il est possible de configurer d’autres contrôleurs de domaine en tant que serveur de catalogue global afin de réguler le trafic.
L’authentification d’ouverture de session ne peut se faire que sur un contrôleur de domaine.
1.1.5 Protocole LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole du service d’annuaire utilisé pour interroger et mettre à jour Active Directory.
Chaque objet de l’annuaire est identifié par une série de composants qui constituent son chemin d’accès LDAP au sein d’Active Directory (CN=Loïc GODELIER, OU=Direction, DC=learning, DC=lan).
- DC : Composant de domaine (lan, com, learning, …)
- OU : Unité d’organisation (contient des objets)
- CN : Nom usuel ou nom commun(Nom de l’objet)
Les chemins d’accès LDAP comprennent les éléments suivants :
- Les noms uniques : le nom unique identifie le domaine dans lequel est situé l’objet, ainsi que son chemin d’accès complet (ex : CN=Eric PRASEUTH, OU=Direction, DC=learning, DC=lan)
- Les noms uniques relatifs : partie du nom unique qui permet d’identifier l’objet dans son conteneur (ex : Eric PRASEUTH).