Active directory
Active Directory est le service d'annuaire mis en place depuis Windows 2000.
Il nous offre une conception plus étendue de la gestion du réseau, limitée aux domaines sous NT4. Nous ne parlerons donc plus de domaines maîtres, domaines de ressources, ou relations d'approbations (trust relationship) à sens unique. Afin de faciliter la migration (et aussi parce que ce modèle avait fait ses preuves malgré ses limites), Microsoft n'a pas totalement abandonné le modèle de domaines, mais l'a élargit aux notions de forêt, d'arbre, d'O.U. (Organisational Units), et s'est inspiré du modèle X500, notamment pour les O.U.
Service d'annuaire
Un annuaire est un ensemble distribué de pointeurs vers des informations (par exemple : l'objet utilisateur) organisées selon un schéma qui définit les propriétés à enregistrer (nom, prénom, mot de passe, etc.).
Les différentes bases de données (DB) sont réparties sur les machines qui fournissent les services, et les informations sont dupliquées entre elles, le tout pour former une base de données hiérarchique permettant la localisation et l'administration des ressources (applications, serveurs d'infrastructure, imprimantes, etc.).
Un service d'annuaire respecte généralement ce type de structure :
Des protocoles de communications sont établis entre les bases de données elles-même (réplications, etc.), et entre les bases de données et le client (pour définir l'accès du client au service d'annuaire).
Quelques différences entre Windows NT4 et Windows 2000
PDC et BDC
Dans les réseaux Windows NT4, c'est le modèle de domaine (inspiré du modèle LAN Manager) qui est d'application : plusieurs serveurs peuvent exister dans un domaine NT4, avec un annuaire commun (la DB des comptes utilisateurs).
Les créations et modifications des données (par exemple sur les droits d'accès, l'appartenance à un groupe, etc.) sont réalisées depuis le PDC (Primary Domain Controler), puis les données sont répliquées vers les BDC (Backup Domain Controler).
Pour les clients du domaine, peu importe que le travail soit effectué par l'un ou l'autre, vu que les requêtes se font du poste client aussi bien vers le PDC que vers un des BDC.
Relations d'approbation
Windows NT4 travaille selon un modèle hiérarchique à deux niveaux maximum grâce à la notion d'aprobation.
Un domaine peut approuver un autre domaine. Cette relation est à sens unique (si le domaine A approuve le domaine B, cela ne signifie pas pour autant que le domaine B approuve le domaine A) mais peut être doublée (le domaine B peut spécifier qu'il approuve aussi le domaine A).
Il faut aussi être attentif au fait que ces relations sous NT4 ne sont pas transitives : si le domaine A approuve le domaine B, et que le domaine B approuve le domaine C, cela ne signifie pas pour autant que le domaine A approuve le domaine C.
Domaines
Active Directory (depuis Windows 2000) s'inspire du modèle utilisé sous NT4, par l'utilisation de domaines et de controleurs de domaines, mais sans les notions de PDC et BDC. Tous les contrôleurs de domaine ont la même importance, et sont dorénavant organisés au sein d'une structure hiérarchique, devenant des conteneurs (container). Une modification effectuée sur un des Domain Controler d'un réseau Windows 2000 est répercutée à l'ensemble des contrôleurs de domaine du réseau.
Un domaine est une structure logique qui contient généralement des machines, des utilisateurs, et des informations. C'est avant tout un ensemble de systèmes similaires.
Arbres
Active Directory permet une structure en arborescence des domaines (organisation selon plusieurs niveaux hiérarchiques).
La notion de transitivité dans les relations d'approbation permet l'utilisation de cette arborescence pour générer nativement des liens.
Retournons à notre exemple de relations entre trois domaines : si A est le domaine parent de B, lui même parent de C, alors les utilisateurs du domaine A peuvent accéder (selon leurs droits d'accès) aux ressources du domaine C, et réciproquement.
Une arborescence de domaine est un ensemble de domaines qui s'approuvent mutuellement, et appartiennent à un même namespace.
Namespace
Active Directory nous permet donc une gestion transparente de structures complexes, depuis n'importe quel Domain Controler. Il est donc impératif de pouvoir nommer de manière unique chaque domaines, et de fournir les indications relatives à sa position dans le niveau hiérarchique de l'arborescence (déterminer les pères du domaine).
C'est le DNS (Domain Name Service, protocole de résolution de noms de domaines) qui apporte la solution.
En effet, Active Directory structure les noms de domaines de la même manière que les domaines que vous rencontrez sur internet.
Exemples de noms avec A parent de B, lui même parent de C :
- A : domainA.mil
- B : domainB.domainA.mil
- C : domainC.domainB.domainA.mil
Le namespace est un espace de nommage homogène contigu, limité à l'arborescence de domaine (l'arbre). Il est donc possible d'intégrer dans l'arborescence un domaine D de nom "domainD.mil", mais pas un domaine nommé "domainD.be". Nous avons donc là un petit truc pour retenir ce qu'est un arbre : l'ensemble des domaines de même racine (domainA.mil dans notre cas).
Pour intégrer ce domaine (domainD.be), un autre niveau de structure existe : la forêt.
Forêts
Une forêt (forest) est une structure composée de plusieurs arborescences de domaines d'Namespace Active Directory différents, mais qui partagent un même schéma, une configuration et un catalogue global commun.
C'est la notion de transitivité d'approbation d'Active Directory qui lie les domaines d'une forêt.
Windows 2000 ne permet pas de fusionner plusieurs forêts ou schémas (tous les domaines d'une forêt doivent partager le même schéma).
O.U. (Organisational Unit)
Angl : Organisational Unit (O.U.)
Fr : Unité Organisationnelle
Les vastes domaines peuvent présenter des difficultés d'administration.
Microsoft s'est inspiré des caractéristiques de X500 pour la création de structures hiérarchiques au sein d'Active Directory, les unités organisationnelles (O.U.), qui clarifient le travail dans les annuaires.
L'O.U. est un objet conteneur, car il peut être composé d'objets ou d'autres O.U. Par cette définition récursive, nous pouvons nous rendre compte de l'étendue des possibilités de ce genre de structure, qui peut se présenter sous la forme d'une arborescence, ou de grappes (structure granulaire).
Les unités organisationnelles permettent donc de délimiter les délégations d'autorisations administratives. En effet, un O.U. peut représenter un groupes de bureaux, un site, une partie d'un domaine, etc.
Attention cependant à ne pas confondre un O.U. avec un groupe.
Schéma
Le schéma est la partie interne d'Active Directory qui définit les relations entre les classes d'objets. En gros, le schéma reprend les définitions des objets qui peuvent être créés dans la forêt.
Comme dans un modèle orienté objet, les classes peuvent hériter d'autres classes, et à chaque classe sont associés des attributs.
Depuis Windows 2000 et Active Directory, nous pouvons modifier le schéma pour créer de nouvelles classes, ou de nouveaux attributs (par exemple ajouter les attributs "Grade" et "Numéro de matricule" à l'objet individu).
Directory Information Tree
Angl : Directory Information Tree
La SAM (Security Accounts Manager) est une DB qui contient les informations de sécurité relatives aux utilisateurs d'un domaine ou d'une machine, aux utilisateurs, groupes, machines d'un domaine. La SAM est liée à la base de registre (Registry Database), et se trouve limitée à cette dernière.
Sous Windows 2000, dans le répertoire %systemroot%\ntds, c'est le fichier ntds.dit (L'extension .dit provient de "Directory Information Tree") qui contient la plupart des données de l'annuaire, qui assure ce rôle tennu par la SAM sous NT4.
L'arborescence d'information d'annuaire (Directory Information Tree, ou DIT) stocke donc les informations dans ce fichier, qui est répliqué sur tous les contrôleurs du domaine.
Le DIT est basé sur le moteur de la DB Microsoft Jet (identique à celui utilisé par Exchange Server).
Global Catalog
Le catalogue global mémorise la localisation exacte des informations, c'est une sorte d'index des arborescences de domaines.
Il est préférable d'implémenter plusieurs catalogues globaux (sur les différents contrôleurs de domaines), ils permettent alors la recherche d'informations au sein d'Active Directory par des requêtes locales.
Active Directory & Windows Server 2003
Version en cache
18/12/2024 15:12:15 Cette version de la page est en cache (à la date du 18/12/2024 15:12:15) afin d'accélérer le traitement. Vous pouvez activer le mode utilisateur dans le menu en haut pour afficher la dernère version de la page.Document créé le 30/05/2003, dernière modification le 03/02/2021
Source du document imprimé : https://www.gaudry.be//windows2000-active-directory.html
L'infobrol est un site personnel dont le contenu n'engage que moi. Le texte est mis à disposition sous licence CreativeCommons(BY-NC-SA). Plus d'info sur les conditions d'utilisation et sur l'auteur.