[Active Directory] 1 Introduction à l'infrastructure Active Directory
1.2 Structure logique d’Active Directory
La structure logique d’Active Directory offre une méthode efficace pour concevoir une hiérarchie.
Les composants logiques de la structure d’Active Directory sont les suivants :
1.2.1 Les Domaines
Unité de base de la structure Active Directory, un domaine est un ensemble d’ordinateurs et/ou d’utilisateurs qui partagent une même base de données d’annuaire. Un domaine a un nom unique sur le réseau.
Dans un environnement Windows 2008, le domaine sert de limite de sécurité. Le rôle d’une limite de sécurité est de restreindre les droits d’un administrateur ou de tout autre utilisateur avec pouvoir uniquement aux ressources de ce domaine et que seuls les utilisateurs explicitement promus puissent étendre leurs droits à d’autres domaines.
Dans un domaine Windows 2008, tous les serveurs maintenant le domaine (contrôleurs de domaine) possèdent une copie de l’annuaire d’Active Directory. Chaque contrôleur de domaine est capable de recevoir ou de dupliquer les modifications de l’ensemble de ses homologues du domaine.
1.2.2 Les Unités d’organisation
Une unité d’organisation est un objet conteneur utilisé pour organiser les objets au sein du domaine. Il peut contenir d’autres objets comme des comptes d’utilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que d’autres unités d’organisation.
Les unités d’organisation permettent d’organiser de façon logique les objets de l’annuaire (ex : représentation physique des objets ou représentation logique).
Les unités d’organisation permettent aussi de faciliter la délégation de pouvoir selon l’organisation des objets et de contrôler l’environnement des utilisateurs et ordinateurs grâce à l’application de stratégies de groupe (GPO)
1.2.3 Les Arborescences
Le premier domaine installé est le domaine racine de la forêt. Au fur et à mesure que des domaines lui sont ajoutés, cela forme la structure de l’arborescence ou la structure de la forêt, selon les exigences pour les noms de domaine.
Une arborescence est un ensemble de domaines partageant un espace de nom contigu. Par exemple, egilia.lan est le domaine parent du domaine consulting.egilia.lan et du domaine learning.egilia.lan (les deux domaines enfant et le domaine parent ont la chaîne de caractère egilia.lan en commun).
La relation d’approbation entre un domaine enfant et son domaine parent est de type bidirectionnel transitif.
Une relation bidirectionnelle permet à deux domaines de s’approuver mutuellement. Ainsi le domaine A approuve le domaine B et le domaine B approuve le domaine A.
On dispose de trois domaines nommés A, B et C. A approuve B et B approuve C. La relation d’approbation transitive implique donc que A approuve C.
1.2.4 Les forêts
Une forêt est un ensemble de domaines (ou d’arborescences) n’ayant pas le même nom commun mais partageant un schéma et un catalogue global commun. Par exemple, une même forêt peut rassembler deux arborescences différentes comme consulting.com et egilia.lan.
Par défaut, les relations entre les arborescences ou les domaines au sein d’une forêt sont des relations d’approbation bidirectionnelles transitives. Il est possible de créer manuellement des relations d’approbation entre deux domaines situés dans deux forêts différentes. De plus Windows Server 2008 propose un niveau fonctionnel permettant de définir des relations d’approbations entre différentes forêts.
1.2.5 Les rôles de maîtres d’opération
Avec Windows NT 4.0, les contrôleurs de domaine suivent un schéma maître/esclave. Ainsi on distingue les contrôleurs de domaine primaires ou PDC (Primary Domain Controler) accessibles en lecture/écriture et les contrôleurs de domaine secondaires ou BDC (Backup Domain Controler) uniquement accessibles en lecture.
Dans un domaine Windows 2000/2008, cette notion n’existe plus, on parle de contrôleurs de domaine multi-maîtres. En effet, les modifications d’Active Directory peuvent être faîtes sur n’importe quel contrôleur de domaine. Cependant, il existe des exceptions pour lesquelles les modifications sont réalisées sur un contrôleur de domaine spécifiques. Ces exceptions sont nommées rôles de maître d’opération et sont au nombre de cinq :
- Contrôleur de schéma : C’est le seul contrôleur de domaine habilité à modifier et à mettre à jour le schéma.
- Maître d’attribution des noms de domaine : Il permet d’ajouter ou de supprimer un domaine dans une forêt.
- Emulateur PDC : Il ajoute la compatibilité avec les BDC sous Windows NT 4.0. Il gère également le processus de verrouillage des comptes utilisateurs, les changements de mots de passe et toutes les modifications faites sur des objets de stratégie de groupe.
- Maître d’identificateur relatif ou maître RID : Il distribue des plages d’identificateurs relatifs (RID) à tous les contrôleurs de domaine afin de générer les identificateurs de sécurité (SID)..
- Maître d’infrastructure : Il permet de mettre à jour les éventuelles références d’un objet dans les autres domaines lorsque cet objet est modifié (déplacement, suppression,…).
Les deux premiers rôles sont assignés au niveau de la forêt et les trois derniers au niveau du domaine. Ainsi pour chaque domaine crée dans une forêt, il faut définir le ou les contrôleurs de domaine qui auront les rôles émulateur PDC, maître RID et maître d’infrastructure.
Par défaut le premier contrôleur de domaine d’une nouvelle forêt cumule les cinq rôles.