Skip to content

Cours sur Active Directory

I- Principes

Active Directory est le service d'annuaire de Microsoft intégré aux versions serveur de Windows.

Historiquement, Microsoft n'avait pas de service d'annuaire et beaucoup d'entreprises utilisaient le NDS de Novell.

Ce service d'annuaire est basé sur le protocole le plus connu du domaine : LDAP.

Ce protocole fonctionnant en TCP/IP, Microsoft a du utiliser cette pile de protocoles en standard et faire reculer au second plan ses protocoles historiques : Netbios, Wins, etc.

1- Annuaire LDAP

L'annuaire LDAP regroupe tous les objets dans un arbre.

  • La racine de cet arbre est le domaine (DNS).
  • Les branches sont des unités d'organisations (pas des objets).
  • Les feuilles sont des objets (utilisateurs, groupes, ordinateurs, ...).

Un exemple d'arbre pour le domaine greta.local :

greta.local
|
---Users
   |----Nico
   |----...
---Groups
---Computers
---...

Le chemin d'accès à l'utilisateur nico de cet annuaire LDAP s'écrit de cette manière : cn=nico,ou=Users,dc=greta,dc=local

Wikipedia : http://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol

2- Authentification Kerberos

L'annuaire LDAP ne fait que référencer les objets du domaine. Il n'intervient pas dans l'authentification.

La partie authentification est gérée par un protocole spécialisé dans ce domaine : Kerberos. Historiquement NTLM était utilisé mais des failles de sécurité importantes sont avérées sur ce protocole. Il n'est plus utilisé qu'en cas d'incompatibilité.

L'authentification pour un service réseau fonctionne en trois étapes :

  1. Le client s'identifie à l'aide de sa clé secrète sur le serveur d'authentification.
  2. Le client demande un ticket pour un certain service et une certaine durée au serveur de ticket.
  3. Le client présente au service le ticket qu'il a reçu du serveur de ticket.

http://fr.wikipedia.org/wiki/Kerberos

3- Tcp/Ip et DNS

Enfin Active Directory fonctionne obligatoirement sur TCP/IP et donc avec DNS.

Les anciens protocoles (Netbios, WINS) n'existent plus sauf pour questions de compatibilité avec les anciens logiciels.

Au moins un serveur DNS doit exister dans l'organisation, soit sur l'AD lui-même, soit sur un autre serveur connu de l'AD.

II- Architecture

1- Domaines, Arborescence, Forêts

Dans un contexte Active Directory, trois termes sont à retenir :

  • Domaine (ou sous-domaine) : Le domaine au sens de l'AD est le niveau le plus bas. Il contient au moins un contrôleur de domaine (Ldap + Kerberos). Il représente une organisation ou une partie d'une organisation.
  • Arborescence : Ensemble d'un domaine et de tous ses sous-domaines.
  • Forêt : Ensemble d'arborescences qui appartient à la même organisation. Au choix de l'architecte réseau, deux arborescences peuvent appartenir à une même forêt ou pas.

2- Contrôleurs de domaines multiples :

Plusieurs contrôleurs de domaine peuvent être installés dans une architecture. Cela permet la tolérance de panne.

L'autre ou les autres serveurs peuvent lire et écrire dans l'annuaire. Les données de l'annuaire présentes sur le sysvol sont répliquées par le protocole DFS (historiquement par NTFRS) entre les serveurs.

L'un des serveurs est le maître des rôles FSMO (voir le chapitre sur FSMO).

III- U.O., Utilisateurs, groupes

L'annuaire permet notamment de créer :

  • des unités d'organisation dans lesquelles on pourra créer des objets (utilisateurs, groupes, imprimantes, ...) et sur lesquelles on pourra appliquer des stratégies de groupe (GPO).
  • des groupes qui permettent de regrouper les utilisateurs dans des ensembles sur lesquels on pourra définir des droits de sécurité NTFS.
  • des comptes utilisateurs qui permettent de définir individuellement le profil de chaque utilisateur.

IV- Approbations

Dans un contexte multi-domaine et/ou multi-forêts, les annuaires peuvent dialoguer entre eux en utilisant les approbations.

Cela permet aux utilisateurs de pouvoir utiliser certaines ressources dans des domaines qui ne sont pas le leur d'origine.

Pour voir les approbations existantes dans le domaine, on peut utiliser la console domain.msc.

1- Direction et transitivité :

Direction : Les relations d'approbation peuvent être unidirectionnelles (le domaine 1 est approuvé sur le domaine 2 mais l'inverse est faux) ou bidirectionnelles.

Transitivité : Si une relation est transitive, cela signifie que :

  • si un domaine 1 est approuvé sur un domaine 2
  • et un domaine 2 est approuvé sur un domaine 3
  • alors le domaine 1 est approuvé sur le domaine 3

2- Types d'approbation :

Par défaut, à l'ajout d'un domaine, active directory définit les relations d'approbation multidirectionnelles transitives suivantes :

  • Relation parent-enfant (ex : entre greta.local et torcy.greta.local)
  • Relation racine d'arborescence (ex : entre greta.local et gtn.local)

Les autres relations possibles sont :

  • Relation externe (avant Windows 2000)
  • Relation de domaine Kerberos (pour lier des Kerberos non Windows)
  • Relation entre forêts (entre forêts différentes)
  • Relation de raccourci (plusieurs domaines dans une seule forêt)

Articles sur les relations d'approbation :

http://technet.microsoft.com/fr-fr/library/cc736874%28v=ws.10%29

http://www.labo-microsoft.org/articles/win/trust/

V- Maîtres (Rôles FSMO) et catalogues globaux

1- Rôles FSMO

Les rôles de maître d'opération servent à savoir quel est le serveur référence qui va gérer la réplication des modifications vers les autres serveur.

Les termes contrôleur primaires et contrôleur secondaire n'existent plus sauf pour question de compatibilité (émulateur de PDC).

Dans une forêt, il ne doit y avoir à un moment donné qu'un serveur maître de schéma et un serveur maître d'attribution de noms de domaine.

Dans un domaine, il ne doit y avoir à un moment donné qu'un serveur maître RID, un serveur maître d'infrastructure et un émulateur de contrôleur de domaine principal.

  • Maître de schéma : Responsable du schéma d'annuaire LDAP.
  • Maître d'attribution de noms de domaine : Responsable de l'ajout/suppression des noms de domaines.
  • Maître RID : Distribue les identifiants uniques aux objets de l'annuaire pour une question de sécurité (partie du SID).
  • Maître d'infrastructure : Gère les liens entre les utilisateurs et leurs groupes.
  • Émulateur de PDC : Permet d'émuler le rôle de PDC et réplique les changements de mots de passe utilisateurs.

Catalogues globaux :

Dans un parc contenant plusieurs contrôleurs de domaines, les serveurs de catalogue global ont une copie complète des informations de tous les contrôleurs de domaine.

Il y a toujours au moins un CG dans une forêt. Le premier serveur à être installé dans une forêt est forcément un CG.

Ainsi, si un utilisateur de torcy.greta.local veut se connecter sur le site de Lognes (lognes.greta.local) et que le serveur de Lognes n'est pas un CG, il devra contacter son CG pour obtenir les informations du compte utilisateur.

VI- Systèmes de noms et chemins d'accès

Netbios / Wins :

Historiquement, Windows utilisait les noms Netbios pour connaître les machines. Le nom Netbios est celui qu'on retrouve dans les propriétés systèmes de Windows.

Netbios n'est pas basé sur TCP/IP.

La résolution de noms Netbios se fait par broadcast, ce qui empêche son utilisation au delà du réseau local. Un serveur pouvait également résoudre les noms Netbios, le serveur Wins qui n'est plus utilisé aujourd'hui.

DNS :

Active Directory est forcément lié à un ou plusieurs serveurs DNS.

Voir la documentation complète sur DNS.

Chemins d'accès réseau  :

Cette utilisation est spécifique à Microsoft. Dans le monde TCP/IP, on utilise les chemins URL.

nomdelordinateurpartagecheminressource

  • **** : Demande d'accès par le protocole smb (partage de fichiers MS).
  • nomdelordinateur : nom netbios (ex : pc1) ou nom DNS (ex : pc1.greta.local)
  • partage : un des dossiers partagés sur l'ordinateur.
  • chemin : un sous-répertoire à partir de ce partage.
  • ressource : le fichier ou le répertoire auquel vous voulez accéder.