Active directory

Logo Active Directory

Active Directory est le service d'annuaire mis en place depuis Windows 2000.
Il nous offre une conception plus étendue de la gestion du réseau, limitée aux domaines sous NT4. Nous ne parlerons donc plus de domaines maîtres, domaines de ressources, ou relations d'approbations (trust relationship) à sens unique. Afin de faciliter la migration (et aussi parce que ce modèle avait fait ses preuves malgré ses limites), Microsoft n'a pas totalement abandonné le modèle de domaines, mais l'a élargit aux notions de forêt, d'arbre, d'O.U. (Organisational Units), et s'est inspiré du modèle X500, notamment pour les O.U.

 

Service d'annuaire

Protocoles de services d'annuaires

Un annuaire est un ensemble distribué de pointeurs vers des informations (par exemple : l'objet utilisateur) organisées selon un schéma qui définit les propriétés à enregistrer (nom, prénom, mot de passe, etc.).
Les différentes bases de données (DB) sont réparties sur les machines qui fournissent les services, et les informations sont dupliquées entre elles, le tout pour former une base de données hiérarchique permettant la localisation et l'administration des ressources (applications, serveurs d'infrastructure, imprimantes, etc.).

Un service d'annuaire respecte généralement ce type de structure :
Des protocoles de communications sont établis entre les bases de données elles-même (réplications, etc.), et entre les bases de données et le client (pour définir l'accès du client au service d'annuaire).

 

Quelques différences entre Windows NT4 et Windows 2000

Microsoft Windows NT4 Microsoft Windows 2000
Limites de 4000 et 25000 objets. Plusieurs millions d'objets.
Les attributs ne sont pas extensibles, et nous ne pouvons modifier le schéma (L'ajout d'attributs nous est interdit). Accès au schéma possible pour des ajouts et modifications.
Namespace (espace de nommage) unique. Namespace par container (notion de hiérarchie)
Trust relationship (relations d'aprobation) unidirectionnel et non transitif. Notions de hiérarchie (tree-forest-O.U.)
Nom de domaine : mondomaine Nom de domaine : mondomaine.com (DNS)
Sécurité par la SAM Informations dans le DIT

PDC et BDC

Dans les réseaux Windows NT4, c'est le modèle de domaine (inspiré du modèle LAN Manager) qui est d'application : plusieurs serveurs peuvent exister dans un domaine NT4, avec un annuaire commun (la DB des comptes utilisateurs).

Les créations et modifications des données (par exemple sur les droits d'accès, l'appartenance à un groupe, etc.) sont réalisées depuis le PDC (Primary Domain Controler), puis les données sont répliquées vers les BDC (Backup Domain Controler).
Pour les clients du domaine, peu importe que le travail soit effectué par l'un ou l'autre, vu que les requêtes se font du poste client aussi bien vers le PDC que vers un des BDC.

Relations d'approbation

Windows NT4 travaille selon un modèle hiérarchique à deux niveaux maximum grâce à la notion d'aprobation.
Un domaine peut approuver un autre domaine. Cette relation est à sens unique (si le domaine A approuve le domaine B, cela ne signifie pas pour autant que le domaine B approuve le domaine A) mais peut être doublée (le domaine B peut spécifier qu'il approuve aussi le domaine A).
Il faut aussi être attentif au fait que ces relations sous NT4 ne sont pas transitives : si le domaine A approuve le domaine B, et que le domaine B approuve le domaine C, cela ne signifie pas pour autant que le domaine A approuve le domaine C.

 

Domaines

Active Directory (depuis Windows 2000) s'inspire du modèle utilisé sous NT4, par l'utilisation de domaines et de controleurs de domaines, mais sans les notions de PDC et BDC. Tous les contrôleurs de domaine ont la même importance, et sont dorénavant organisés au sein d'une structure hiérarchique, devenant des conteneurs (container). Une modification effectuée sur un des Domain Controler d'un réseau Windows 2000 est répercutée à l'ensemble des contrôleurs de domaine du réseau.
Un domaine est une structure logique qui contient généralement des machines, des utilisateurs, et des informations. C'est avant tout un ensemble de systèmes similaires.

 

Arbres

Active Directory permet une structure en arborescence des domaines (organisation selon plusieurs niveaux hiérarchiques).
La notion de transitivité dans les relations d'approbation permet l'utilisation de cette arborescence pour générer nativement des liens.
Retournons à notre exemple de relations entre trois domaines : si A est le domaine parent de B, lui même parent de C, alors les utilisateurs du domaine A peuvent accéder (selon leurs droits d'accès) aux ressources du domaine C, et réciproquement.

Une arborescence de domaine est un ensemble de domaines qui s'approuvent mutuellement, et appartiennent à un même namespace.

Namespace

Active Directory nous permet donc une gestion transparente de structures complexes, depuis n'importe quel Domain Controler. Il est donc impératif de pouvoir nommer de manière unique chaque domaines, et de fournir les indications relatives à sa position dans le niveau hiérarchique de l'arborescence (déterminer les pères du domaine).

C'est le DNS (Domain Name Service, protocole de résolution de noms de domaines) qui apporte la solution.
En effet, Active Directory structure les noms de domaines de la même manière que les domaines que vous rencontrez sur internet.
Exemples de noms avec A parent de B, lui même parent de C :

  • A : domainA.mil
  • B : domainB.domainA.mil
  • C : domainC.domainB.domainA.mil


Le namespace est un espace de nommage homogène contigu, limité à l'arborescence de domaine (l'arbre). Il est donc possible d'intégrer dans l'arborescence un domaine D de nom "domainD.mil", mais pas un domaine nommé "domainD.be". Nous avons donc là un petit truc pour retenir ce qu'est un arbre : l'ensemble des domaines de même racine (domainA.mil dans notre cas).
Pour intégrer ce domaine (domainD.be), un autre niveau de structure existe : la forêt.

 

Forêts

Une forêt (forest) est une structure composée de plusieurs arborescences de domaines d'espaces de nommage différents, mais qui partagent un même schéma, une configuration et un catalogue global commun.
C'est la notion de transitivité d'approbation d'Active Directory qui lie les domaines d'une forêt.

AttentionWindows 2000 ne permet pas de fusionner plusieurs forêts ou schémas (tous les domaines d'une forêt doivent partager le même schéma).

 

O.U. (Organisational Unit)

Angl : Organisational Unit (O.U.)
Fr : Unité Organisationnelle

Les vastes domaines peuvent présenter des difficultés d'administration.
Microsoft s'est inspiré des caractéristiques de X500 pour la création de structures hiérarchiques au sein d'Active Directory, les unités organisationnelles (O.U.), qui clarifient le travail dans les annuaires.

L'O.U. est un objet conteneur, car il peut être composé d'objets ou d'autres O.U. Par cette définition récursive, nous pouvons nous rendre compte de l'étendue des possibilités de ce genre de structure, qui peut se présenter sous la forme d'une arborescence, ou de grappes (structure granulaire).

Les unités organisationnelles permettent donc de délimiter les délégations d'autorisations administratives. En effet, un O.U. peut représenter un groupes de bureaux, un site, une partie d'un domaine, etc.
AttentionAttention cependant à ne pas confondre un O.U. avec un groupe.

 

Schéma

Le schéma est la partie interne d'Active Directory qui définit les relations entre les classes d'objets. En gros, le schéma reprend les définitions des objets qui peuvent être créés dans la forêt.

Comme dans un modèle orienté objet, les classes peuvent hériter d'autres classes, et à chaque classe sont associés des attributs.

Depuis Windows 2000 et Active Directory, nous pouvons modifier le schéma pour créer de nouvelles classes, ou de nouveaux attributs (par exemple ajouter les attributs "Grade" et "Numéro de matricule" à l'objet individu).

Une DB par Domain Controler
Domain Objets et attribus créés dans le domaine.
Schema Définition des objets qui peuvent être créés dans la forêt.
Configuration Organisation, structure de la forêt.

 

Directory Information Tree

Angl : Directory Information Tree

La SAM (Security Accounts Manager) est une DB qui contient les informations de sécurité relatives aux utilisateurs d'un domaine ou d'une machine, aux utilisateurs, groupes, machines d'un domaine. La SAM est liée à la base de registre (Registry Database), et se trouve limitée à cette dernière.

Sous Windows 2000, dans le répertoire %systemroot%\ntds, c'est le fichier ntds.dit (L'extension .dit provient de "Directory Information Tree") qui contient la plupart des données de l'annuaire, qui assure ce rôle tennu par la SAM sous NT4.

L'arborescence d'information d'annuaire (Directory Information Tree, ou DIT) stocke donc les informations dans ce fichier, qui est répliqué sur tous les contrôleurs du domaine.

Le DIT est basé sur le moteur de la DB Microsoft Jet (identique à celui utilisé par Exchange Server).

 

Global Catalog

Domain Le domaine comporte -> plusieurs Global Catalog Global Catalog
Global Catalog
Global Catalog
Schema Unique au sein de la forêt.
Configuration

Le catalogue global mémorise la localisation exacte des informations, c'est une sorte d'index des arborescences de domaines.
Il est préférable d'implémenter plusieurs catalogues globaux (sur les différents contrôleurs de domaines), ils permettent alors la recherche d'informations au sein d'Active Directory par des requêtes locales.

 

Active Directory & Windows Server 2003

Fonction Technologie Info
Socle technologique Base hiérarchique Technologie propriétaire Microsoft
Requêtes Méthodes d'accès les plus répendues
Interface d'administration Group Policy Management Console Gestion des consultations et mises à jour des Group Policies au travers de requêtes LDAP (les modifications d'attributs répercutées plus facilement)
Services Annuaire Web service UDDI UDDI : Universal Description, Discovery and Integration
Réplication Active Directory Application Mode Module de création de sous-annuaires par projet
Intégration Microsoft Metadirectory Services Connexions avec d'autres annuaires

 

Document créé le 30/05/03 22:46, dernière modification le 28/06/17 14:26
Source du document imprimé : https://www.gaudry.be/windows2000-active-directory.html

L'infobrol est un site personnel dont le contenu n'engage que moi. Le texte est mis à disposition sous licence CreativeCommons(BY-NC-SA). Plus d'info sur les conditions d'utilisation et sur l'auteur.