1

Active Directory : Prsentation gnrale

LActive Directory est lannuaire LDAP (Lightweight Directory Access Protocol) que Microsoft a dvelopp pour centraliser et scuriser la gestion des accs aux services fournit au

sein du rseau informatique dune entreprise. Il succde Windows NT4 et dont la gestion tait dcentralis (chaque poste ayant sa propre configuration) avec une premire version

livre nativement sur Windows 2000 Server. Il possde plusieurs points forts qui le

dmarquent de son prdcesseur :

Centralisation de la gestion

Enregistrement dynamique des informations grce au service DNS

Meilleur scurit (arriv de NTLM version 1)

Depuis, les versions dActive Directory ont continues dvoluer avec la sortie des versions majeures des OS serveurs de la firme (on parle de version de schma), chaque version

apportant son lot de nouveaut et permettant de renforcer la scurit et la simplicit de

ladministration.

LActive Directory est une base de donnes construite sur le modle dun annuaire. Lavantage dune base de donnes conue sous ce modle, comparativement une base de donnes relationnelle, rside dans son optimisation pour la lecture des informations quelle contient.

Tout comme une pice de monnaie, Active Directory deux faces que lon ne peut pas sparer et qui jouent lune comme lautre un rle particulirement important. La premire face dActive Directory concerne les lments physiques (les contrleurs de domaine) qui sont rpartit sur les diffrentes zones gographique o sont regroups les utilisateurs amen se

connecter. Cette donne physique importe pour la scurit de votre environnement (accs

physique aux serveurs) ou encore pour la qualit du service rendu (lutilisation de votre rseau).

La deuxime face dActive Directory concerne sa structure logique, cest--dire comment les lments physiques vont communiquer les uns avec les autres. Cette face tant logique ,

elle existe sous la forme dobjet lintrieur de lActive Directory, par exemple dans la console Sites et Services Active Directory (elle vous permet de dfinir quel contrleur de

domaine doit rpliquer avec quel autre et comment le faire).

Lorsque lon prvoit de mettre en uvre Active Directory, il est impratif de prendre en compte ces deux aspects : le choix de linstallation physique dun contrleur de domaine va le li un rseau, une bande passante.Et dans le mme temps, vous devrez assurer un accs logique pour que chaque utilisateur communique avec le contrleur le plus proche de lui ou

bien que les rplications entre les diffrents contrleurs de domaine soient aussi efficace que

possible.

Le schma Active Directory

Le schma est la base de lActive Directory, cest dire sa structure intrinsque. En faisant une analogie au jeu de LEGO, on peut dire quil constitue le catalogue des multiples briques de tailles, couleurs, formes et matires diffrentes. Le schma contient donc toutes les

2

informations qui permettront ensuite de grer des objets (utilisateurs, ordinateurs,) et de leurs dfinir des proprits (nom, droits,) tout en les organisant (Unit Organisationnelle). Le schma sarticule autour de deux types de briques : les classes et les attributs.

En gnral, il nest pas ncessaire daccder au contenu du schma. Si vous deviez le faire, sachez que le composant MMC correspondant ne sera pas disponible tant que vous naurez pas dclar la librairie dynamique correspondante (la mthodologie est indique dans le

TechNet de Microsoft ici : http://technet.microsoft.com/fr-fr/library/cc732110.aspx ).

Certaines applications ncessite dapporter des modifications au schma, cest--dire de lui ajouter de nouvelles classes et de nouveaux attributs. On parle alors dextension de schma, comme par exemple lorsque vous souhaitez intgrer Microsoft Exchange votre systme

3

dinformation. Il existe aussi des scnarios de monte de version de schma, par exemple lorsque vous ajoutez un contrleur de domaine excutant un OS de version suprieur ceux

existant.

Lorsque lon procde une modification de schma, que ce soit pour une extension ou une monte de version, il nest pas possible de revenir en arrire. Les modifications sont donc permanentes. En cas derreur, il faudra restaurer le schma de la fort, une opration que lon effectue normalement dans un scnario de Disaster Recovery.

Les attributs

Cest au travers des attributs que lActive directory est structur. Ils ne sont dfini quune seule fois dans le schma mais utilis de multiple fois dans les objets de lannuaire, ce qui permet de crer un standard pour chaque objet. Par exemple, lorsque vous crer un compte

utilisateur, vous aurez toujours les attributs Prnom et Description associ lobjet nouvellement cr ; lattribut Description sera dailleurs galement utilis pour la cration dautres objets (ordinateur, imprimante, groupe,). Les attributs sont dfinis avec une syntaxe et une tendue, cest--dire le type de donnes quils peuvent contenir et le format accept. Ils disposent par ailleurs dun identifiant unique appel ID dobjet X.500 ou OID (Object IDentifier) dont le numro est normalis par IANA. Enfin, il est possible dindexer un attribut, cest--dire de faire en sorte que des recherches sur cet attribut donnent un rsultat plus rapidement.

Notez galement que certains attributs ne vous permettent pas de modifier tous leurs

paramtres, comme par exemple rendre inactif lattribut name dans lexemple ci-dessus ;

4

cette limitation provient du fait que cet attribut est indissociable au bon fonctionnement de

lActive Directory (lattribut doit imprativement tre actif).

Lannuaire Active Directory est driv de la normalisation X.500 utilis pour les annuaires LDAP. Cette normalisation a t dveloppe pour standardiser le mode de fonctionnement que devrait avoir

un annuaire LDAP. Il existe donc des diffrences entre lActive Directory de Microsoft et les annuaires LDAP que lon peut trouver dans le monde Linux/Unix.

Les classes dobjet

Une classe dobjet reprsente un ensemble dattributs que lon peut dfinir pour un objet prcis. Par exemple, la classe dobjet Utilisateur contient les attributs que lon peut renseigner lorsque lon cre ou gre un compte utilisateur. Ces classes contiennent galement des informations sur les attributs : est-il obligatoire ou facultatif, peut-il tre modifi ?

Certains attributs de la classe ne sont galement pas visibles au travers des consoles de

gestion : cest le cas par exemple de lattribut SID (Security IDentifier) dun compte utilisateur quon ne peut pas voir au travers de la console Utilisateurs et Ordinateurs Active Directory et qui ne peut jamais tre modifi, moins de changer de domaine.

En fait, il est possible de voir lattribut SID si vous activez les fonctions avances de la console MMC et que vous vous positionnez sur longlet diteur dattributs ) : le SID est contenu dans lattribut ObjectSID.

5

Fort et Domaine Active Directory

Active Directory permet de centraliser la gestion des permissions : il est donc essentiel de

mettre en place une structure qui dlimitera les primtres de scurit et simplifiera les tches

de dlgation de droits. Lorsque lon construit un environnement Active Directory, on parle de fort, darborescence et de domaine Active Directory :

Une fort regroupe des arborescences

Les arborescences hirarchisent les relations entre les domaines

Les domaines grent la scurit des objets

Au sein dune fort, les relations sont hirarchiques : un droit donn au niveau dune fort est valide pour tous les domaines de la fort (exemple : le groupe administrateur de lentreprise). Cette hirarchie de droit sapplique galement dans la filiation de domaine (domaine parent / domaine enfant).