Tartampion website - Introduction à Active Directory

Administration

Articles les plus lus

Derniers articles

Introduction à Active Directory

Écrit par Cgohann

23-01-2008

Microsoft propose trois versions réseau :

Groupe de travail : il ne comporte pas de serveur dédié ; chaque machine peut réaliser des partages ; l'authentification s'effectue sur chacune des machines.
Domaine : ce mode correspond à la gestion centralisée des ressources avec des serveurs NT4. Son principal défaut est la rigidité de sa structure (SAM).
Active Directory : ce mode étend la solution Domaine. L'unité de gestion reste le domaine mais il est possible de gérer plusieurs domaines au sein d'une même entité Active Directory (AD). Il abandonne la structure SAM pour une structure BDD.

Étudions de plus près ce dernier mode.

1 - Active Directory

    1.1 Aspect logique

    Active Directory permet une centralisation complète de la gestion des ressources réseaux. Il permet aussi la délégation de la gestion d'objets finement ciblée.
Active Directory est un annuaire des objets réseau. Chaque objet est gérable à travers sa classe (son type) et ses attributs (ses caractéristiques).
Cette gestion est de deux types :
    - Administrative : gestion de la ressource.
    - Utilisatrice : recherche d'un objet en fonction de critères.

Les objets réels d'Active Directory :

    1.2 Aspect physique

    Active Directory (AD) utilise pour le suivi de la gestion, des machines nommées contrôleur de domaine (DC). Il peut exister plusieurs contrôleurs de domaine Active Directory. Un contrôleur de domaine possède une copie de la base Active Directory et permet la gestion de celle-ci.

    Les sites assurent la réalité de communication WAN entre les contrôleurs de domaine. En effet, la réplication de la base Active Directory peut être problématique dans le cas de liaisons lentes. Les sites et leur configuration tiennent compte de cette aspect réel de la réplication.
Active Directory s'appuie sur le protocole X500 pour le nommage des objets, LDAP pour la communication avec les bases Active Directory et sur un protocole propriétaire pour le mécanisme de réplication des bases Annuaires.

    Avec Active Directory, on trouve trois entités qui participent à l'organisation de la base Annuaire :
    - Le Directory Information Tree
    - Le Schéma de la base
    - Les classes d'objets et les attributs affectés aux objets

    1.3 Le Directory Information Tree

    Les données X500 sont structurées dans une arborescence hiérarchique que l'on peut comparer au système de fichiers.

La base de données SAM de NT4 étant une ruche de la base de registre, elle se trouve limitée par l'évolutivité même du registre.
Dans les contrôleurs de domaines Windows 200X, le Directory Information Tree (DIT) ou arborescence d'information d'annuaire remplace la base SAM. Le Directory Information Tree est basé sur le moteur de base de données Microsoft Jet et est identique à celui qu'utilise Exchange Server.
Le fichier ntds.dit, qui se trouve dans le dossier %systemroot%\ntds est l'équivalent Windows 200X du fichier SAM. C'est lui qui stocke la plupart des données de l'annuaire. On nomme contrôleur de domaine une machine ayant une copie du fichier dit pour le domaine. Dans un domaine, le contenu du fichier ntds.dit se duplique entre tous les contrôleurs de domaines.

    1.4 Le catalogue global

    La recherche d'informations dans Active Directory peut s'avérer complexe. Le catalogue global permet donc de trouver facilement les informations. Il s'agit d'un index de toutes les arborescences de domaines d'une forêt.
En règle générale, le catalogue global est stocké sur un à deux serveurs par site. Ainsi, la recherche d'informations dans l'annuaire peut s'effectuer dans tous les cas par le biais de requêtes locales.

    1.5 Le schéma de la base et les classes d'objets

     L'ensemble des définitions relatives aux objets que sait gérer un serveur LDAP s'appelle le schéma. Il décrit les classes d'objets, leurs types d'attributs et leur syntaxe.

2 - Les composants logiques d'Active Directory

    Active Directory est structuré autour de trois structures :
       - Domaine
       - Arbre
       - Forêt

    2.1 Domaine

    Dans Active Directory, il est possible d'organiser les domaines au sein d'une structure hiérarchique. Les domaines constituent toujours l'élément central et servent de conteneurs au sein de la structure globale d'Active Directory. Un domaine peut contenir des machines, des utilisateurs et d'autres informations. Il s'agit de la structure logique modélisant l'entreprise. Lors de la mise en place d'Active Directory, ils doivent avoir été considérés du point de vue logique, puisqu'ils doivent regrouper des objets formant un ensemble.

    2.2 Arbre

    Il s'agit d'une structure à l'intérieur de laquelle sont organisés les domaines. Dans une arborescence, les domaines peuvent être organisés entre eux selon différents niveaux de hiérarchie. Contrairement aux versions précédentes de Windows NT, la nouvelle version prend également en charge les relations d'approbation transitives.
    Une arborescence de domaine est un ensemble de domaines qui s'approuvent mutuellement et appartiennent à un seul espace de noms contigüe.

    2.3 Forêt

    Une forêt est une arborescence de domaines ayant des espaces de noms contigus séparés. Une forêt est donc le regroupement de plusieurs arborescences parallèles de domaines ou de plusieurs domaines isolés. À l'intérieur d'une forêt, des relations d'approbation transitives sont appliqués entre les domaines.
    Une forêt est constituée d'une ou plusieurs arborescences de domaines ne formant pas d'espace de noms contigu mais partageant un schéma, une configuration et un catalogue global commun.

3 - Les rôles FSMO (rôle de maître d'opérations)

    3.1 Les deux rôles suivants doivent être uniquesau niveau d'une forêt

    Contrôleur de schéma : le contrôleur de domaine qui tient le rôle de contrôleur de schéma contrôle toutes les mises à jour et les modifications appliqués au schéma.

    Maître d'affectation de nom de domaine : le contrôleur de domaine qui tient le rôle de maître d'affectation de nom de domaine contrôle l'ajout et la suppression de domaines dans la forêt. (Il est aussi catalogue global).

    3.2 Les trois rôles suivants doivent être assurés au niveau de chaque domaine

    Maître RID (Relative ID) : Le maître RID alloue des tranches d'identificateurs relatifs (RID) à chaque contrôleur de son domaine. Les RID identifient chaque objet Active Directory. Pour éviter un duplicata de RID, un serveur est chargé de distribuer des tranches uniques de RID vers les autres serveurs. Lors de la création d'un objet, le serveur qui reçoit la requête adresse l'objet selon sa tranche RID. Puisque la tranche d'un serveur est unique pour un domaine donné, la valeur du RID est forcément unique.

    Émulateur PDC : Si le domaine contient des clients non Windows 2000 ou des contrôleurs de domaine secondaires Windows NT, l'émulateur PDC agit comme un contrôleur de domaine principal Windows NT. Ce rôle garantit aussi le temps (date) sur le domaine.

    Maître d'infrastructure : Le maître d'infrastructure est responsablede la mise à jour de toutes les références croisées des domaines lors du déplacement d'un objet référencé par un autre. Il ne doit pas être catalogue global.

    3.3 Modification de rôles de domaine

    La modification des rôles se réalise par l'outil Utilisateurs et ordinateurs Active Directory.
Le menu contextuel du domaine Active Directory propose Maîtres d'opérations. On y trouve les trois rôles pour le domaine.

4 - Niveaux fonctionnels

    La compatibilité est toujours un problème.

    4.1 Niveau fonctionnel d'un domaine

    Le niveau fonctionnel par défaut d'un domaine est Windows 2000 mixte. Il existe deux autres niveaux fonctionnels disponibles sous Windows 2003 Server.

Windows 2000 mixte : supporte la prise en charge des contrôleurs secondaires de domaine Windows NT 4.0 (BDC).
Windows 2000 natif : supporte les groupes universels, les imbrications de groupes et l'historique SID.
Windows Server 2003 : supporte le changement du nom d'un contrôleur de domaine, la mise à jour du cachet d'ouverture de session, le numéro de version des clés Kerberos KDC et un mot de passe utilisateur sur l'objet InetOrgPerson.

4.2 Niveau fonctionnel d'une forêt

Le niveau fonctionnel d'une forêt active des fonctionnalités spécifiques dans tous les domaines de cette forêt. Voici les trois niveaux fonctionnels disponibles pour une forêt ainsi que la liste des systèmes d'exploitation utilisables pour chaque niveau :

Windows 2000 (niveau par défaut) : contrôleur de domaine exécutant Windows NT 4.0, 2000 Server ou 2003 Server.
Windows Server 2003 provisoire : contrôleur de domaine exécutant Windows NT 4.0 ou 2003 Server.
Windows Server 2003 : contrôleur de domaine exécutant Windows 2003 Server uniquement.

    4.3 Augmentation du niveau fonctionnel

       4.3.1 Pour un domaine

    Il est possible d'augmenter le niveau fonctionnel d'un domaine. Cette opération se réalise dans la console Domaines et approbations Active Directory (accessible en tapant domain.msc dans la boîte de dialogue Exécuter) ou bien dans la console Utilisateurs et ordinateurs Active Directory (accessible en tapant dsa.msc dans la boîte de dialogue Exécuter). Pour réaliser cette opération, vous devez être membre du groupe Admins du domaine ou Administrateurs de l'entreprise.
    Avant d'augmenter le niveau fonctionnel d'un domaine, il est nécessaire de vérifier que les contrôleurs de domaines exécutent le système d'exploitation requis. En effet, une fois le niveau fonctionnel augmenté, il est impossible de revenir en arrière sans désinstaller le service d'annuaire sur l'ensemble des contrôleurs de domaine du domaine. Voici la liste des systèmes d'exploitation utilisables pour chaque niveau fonctionnel :

Windows 2000 mixte : contrôleurs de domaine exécutant Windows NT 4.0, 2000 Server ou 2003 Server.
Windows 2000 natif : contrôleurs de domaine exécutant Windows 2000 Server ou 2003 Server.
Windows Server 2003 : contrôleurs de domaine exécutant Windows 2003 Server uniquement.
Windows Server 2003 version préliminaire : contrôleurs de domaine exécutant NT 4.0 et des contrôleurs de domaine sous Windows Server 2003. Ce niveau fonctionnel est uniquement utilisé dans le cadre d'une migration de Windows NT 4.0 vers Windows Server 2003 (ou vers Windows Server 2003 R2).

    Ainsi, pour augmenter le niveau fonctionnel d'un domaine vers le niveau Windows Server 2000 natif, il faudra impérativement effectuer une mise à jour du système d'exploitation de tous contrôleurs de domaine du domaine ou de la forêt fonctionnant avec Windows NT 4.0 ou une version antérieure.
    Une fois le niveau fonctionnel du domaine augmenté, les contrôleurs de domaine exécutant des versions antérieures du système d'exploitation ne peuvent pas être introduits dans le domaine. Par exemple, si vous augmentez le niveau fonctionnel du domaine à Windows Server 2003, les contrôleurs de domaine exécutant Windows Server 2000 ne peuvent pas être ajoutés à ce domaine.

       4.3.2 Pour une forêt

    Lorsque tous les domaines d'une forêt ont le même niveau fonctionnel, il est possible d'augmenter le niveau fonctionnel de la forêt. Seul un membre du groupe Administrateurs de l'entreprise peut réaliser cette opération.
    Une fois le niveau fonctionnel de la forêt augmenté, les contrôleurs de domaine exécutant des versions antérieures du système d'exploitation ne peuvent pas être introduits dans la forêt. Par exemple, si vous augmentez le niveau fonctionnel de la forêt à Windows Server 2003, les contrôleurs de domaine exécutant Windows Server 2000 ne peuvent pas être ajoutés à cette forêt.
    Dans le cadre de la migration vers Windows Server 2003 d'un domaine exclusivement composé de machines sous Windows NT 4.0, il est possible d'utiliser le niveau Windows Server 2003 provisoire. Ce niveau ne prend pas en charge les contrôleurs de domaine sous Windows Server 2000.

Commentaires

Ajouter un nouveau

Rechercher