10 Fév

Active Directory

L’installation n’est pas compliquée en soit, il suffit souvent de cliquer sur suivant, mais il est préférable de comprendre comment ca marche, les protocoles liés comme DNS et LDAP et les précautions qu’il faut prendre.

Suite à l’installation d’un dns simple dns-simple, un 1er TP pour la 1er-domaine

Une gestion des utilisateurs basée sur Active Directory nécessite que les contrôleurs soient mis en redondance.  Installation d’un controleur de domaine secondaire

La gestion elle même repose sur outils complémentaires que sont les  GPO et Gestion des utilisateurs,  et pour aller plus loin, il faut utiliser des  Scripts Powershell.

Comprendre

Active Directory répertorie les éléments d’un réseau administré, il permet d’organiser un réseau de façon logique en 3 sortes d’objets : les ressources (par exemple les imprimantes, les partages réseaux), les services (par exemple le courrier électronique) et les utilisateurs (comptes utilisateurs et groupes). L’AD fournit des informations sur les objets, il les organise et contrôle les accès et la sécurité.

L’AD s’appuie sur les protocoles DNS et LDAP (http://general.sio57.info/wp/?p=902) qu’il est plus judicieux de connaitre avant de se lancer dans son utilisation.La bonne compréhension de ces protocoles permet de s’adapter facilement aux différentes évolutions apportées au fil des versions de Windows serveur.

Un serveur hébergeant un AD est appelé « contrôleur de domaine ». Comme les environnements et accès des utilisateurs dépendent de l’AD, les serveurs doivent bien sûr être redondants- répartis sur différents serveurs-hotes.

Les domaines d’entreprise sont souvent installés depuis longtemps, aussi on intervient en entreprise sur des structures en place. Cependant avec la virtualisation chacun peut mettre en place une structure d’entrainement et comprendre les concepts de cet outil puissant.

L’installation d’un domaine de test est très simple : il suffit d’installer le rôle AD-DS puis de faire suivant – en étant vigilant sur les paramètres saisiqui doivent être cohérent et s’appuyer sur un serveur DNS.

Il faut bien comprendre les concepts de foret et de sous domaines et la façon dont ils répondent aux besoins de collaboration entre les sites.

L’AD offre une gestion de l’environnement des utilisateurs de façon extrêmement précise grâce aux stratégies de groupe qui sont probablement la raison du succès de l’AD. L’environnement des utilisateurs étant majoritairement Windows, les stratégies permettent de régler n’importe quel élément du poste de travail et de la suite Office largement utilisée aussi.

Présentation Active Directory

Active Directory est un service d’annuaire créé par Microsoft. Il permet de gérer tous les éléments d’un réseau. Active Directory est sorti pour la première fois en 1999 avec Windows 2000 server Edition. Depuis il a été plusieurs fois mis à jour dans les nouvelles versions de Windows. Les informations que contient Active Directory sont directement stockées dans une base de données centralisée. Il est conçu pour fonctionner quelle que soit la taille du réseau et ainsi faciliter grandement la tache des administrateurs ainsi que des utilisateurs finaux.

Services fournis :

  • Identification et authentification d’utilisateurs du réseau
  • Application de stratégies
  • Distribution de logiciels
  • Installation de mises à jour.

Objets

Active Directory est structuré en objets. Chaque objet représente une entité du réseau tel que les utilisateurs, les imprimantes, ou encore les services de messagerie. Les objets sont classés en 3 groupes :

  • Les ressources
  • Les services
  • Les utilisateurs

Les objets possèdent chacun des attributs qui les caractérisent. Par exemple un utilisateur sera défini avec un nom, un prénom, une adresse… Certains objets sont des conteneurs. Ils ne représentent pas une entité réseau mais ne servent qu’à l’organisation des objets. Un conteneur peut stocker ainsi des objets mais également d’autres conteneurs. Celui-ci possède également ses propres attributs.

Forêts

La forêt représente un ensemble de domaines liés entre eux par des relations d’approbation bidirectionnelles et transitives Kerberos. Elle est caractérisé par la présence d’un domaine dit racine équivalent au premier domaine installé dans la forêt. Il s’agit d’un point de référence pour tous les autres domaines de la forêt. Une forêt contient des arbres qui partagent un même schéma, une même configuration et un même catalogue global. Lorsqu’un domaine ne partage pas le même espace de nom qu’un domaine parent, il est considéré comme une nouvelle arborescence. Sinon il s’agit d’un domaine enfant.

Domaines

Un domaine est défini par une limite de sécurité. AD peut posséder un ou plusieurs domaines. Un domaine peut rassembler des entités situées sur plusieurs sites physiques différents. Chaque domaine a sa propre politique face aux autres domaines.

Unités organisationnelles

Les Unités Organisationnelles permettent de structurer hiérarchiquement un domaine :

  • pour organiser les différents objets
  • pour déléguer le contrôle d’une partie du domaine
  • pour appliquer des stratégies communes (stratégies de groupe)

Les Unités Organisationnelles fournissent un moyen facile pour déléguer l’administration. Des stratégies de groupe peuvent êtres appliqués pour l’ensemble d’une Unité Organisationnelle et les membres vont automatiquement les hériter.

Les sites

Les sites permettent de regrouper les utilisateurs par entité physique : ceci permet d’utiliser la bande passante et les sous réseaux IP au mieux. Cette définition est basée sur l’idée que des ordinateurs possédant la même adresse de sous-réseau sont connectés au même segment de réseau, typiquement un LAN.

Architecture

Le modèle d’Active Directory est dérivé du modèle X.500. L’annuaire contient des éléments décrits par des attributs qui le caractérisent. Le schéma définit l’ensemble des éléments pouvant être stockés dans l’annuaire. A la différence d’autres annuaires, Active Directory ne stock pas ses données dans un fichier mais directement dans l’annuaire. Le schéma peut être mis à jour dynamiquement ce qui signifie que des modifications apportée peuvent être consultables immédiatement. Les objets du schéma sont protégés par des listes de contrôle d’accès afin que seuls les utilisateurs autorisés puissent les modifier. Ce la permet d’avoir une administration déléguée où des utilisateurs seront responsable de l’administration d’un sous arbre précis d’Active Directory.

Intégration au DNS

Active Directory est étroitement intégré au système de nom de domaine (DNS – Domain Name System). Le DNS est l’espace de noms distribué utilisé sur Internet pour résoudre les noms d’ordinateurs et de services en adresses TCP/IP. La plupart des sociétés exploitant des intranets utilisent le DNS comme service de résolution de noms. Active Directory utilise le DNS comme service de localisation Son intégration étroite au DNS permet à Active Directory d’être intégré dans des environnements Internet et intranet. Les clients trouvent les serveurs d’annuaire rapidement et facilement. Les entreprises peuvent connecter des serveurs Active Directory directement à Internet pour faciliter la mise en œuvre de communications et d’applications de commerce électronique sécurisées avec leurs clients et leurs partenaires.

Sécurité

Protection des objets

Tous les objets dans Active Directory sont protégés par des listes de contrôle d’accès (ACL). Les ACL déterminent qui peut voir un objet et quelles actions chaque utilisateur a le droit d’effectuer sur l’objet. L’existence d’un objet n’est jamais révélée à un utilisateur qui n’a pas le droit de le voir. Chaque ACL contient un identificateur de sécurité (SID), qui identifie le principe (utilisateur ou groupe) auquel ACLs’applique et comporte des informations sur quel type d’accès l’ACL autorise ou interdit.

Délégation

La délégation est l’une des fonctionnalités de sécurité les plus importantes de Active Directory. La délégation permet à une autorité administrative supérieure d’accorder des droits de gestion spécifiques sur des conteneurs et des sous-arbres à des individus ou à des groupes. Cela évite le besoin d’avoir des “administrateurs de domaine” disposant d’une autorité totale sur de larges portions de la population d’utilisateurs.

Stratégies de groupe

Les stratégies de groupe sont des ensembles de paramètres applicables à des utilisateurs et/ou des ordinateurs. Contrairement à ce que pourrait sous-entendre leur nom, elles ne s’appliquent pas au niveau des groupes, mais au niveau d’un objet conteneur qui contient un ensemble d’objets de type utilisateurs ou ordinateurs, sur lesquels s’appliquent des stratégies communes. Elles se définissent donc au niveau d’un site, d’un domaine, des unités d’organisations, et sont applicables à tous les objets utilisateurs et/ou ordinateurs situés dans le conteneur sur lequel la stratégie est liée. Les stratégies de groupe offrent des fonctionnalités essentielles :

  • restreindre le bureau des utilisateurs
  • appliquer des stratégies de comptes et de mots de passe
  • déployer des applications
  • publication et attribution
  • mise à jours et correctifs
  • paramétrer la sécurité
  • d’exécuter des scripts
  • mettre en œuvre des audits
  • changer les droits des utilisateurs …

Les stratégies de groupe sont représentées comme des objets d’Active Directory. On les appelle plus communément les GPO (Group Policy Object). Un GPO est constitué de deux parties stockées dans des emplacements différents :

  • Un GPC (Group Policy Container) est un objet Active Directory représentant les attributs du GPO. On retrouve les GPC dans Active Directory en passant par la console Utilisateurs et ordinateurs d’Active Directory.
  • UN GPT (Group Policy Template) est un dossier stocké dans le répertoire sysvol qui sert comme gabarit pour les paramètres applicables dans un GPO.

Avoir une vue d’ensemble de l’Active Directory : http://technet.microsoft.com/fr-fr/library/hh831484.aspx

Comment :

AD -Gestion des utilisateurs

Unités d’organisation, création d’utilisateurs en masse, GPO, profils itinérants et obligatoires.

Approfondir

Scripts et powershell

Migration : A lire avant  les Rôles FSMO des contrôleurs de domaines :  http://support.microsoft.com/kb/223346/fr

Une réflexion au sujet de « Active Directory »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.