Active directory

Logo Active Directory

Active Directory est le service d'annuaire mis en place depuis Windows 2000.
Il nous offre une conception plus étendue de la gestion du réseau, limitée aux domaines sous NT4. Nous ne parlerons donc plus de domaines maîtres, domaines de ressources, ou relations d'approbations (trust relationship) à sens unique. Afin de faciliter la migration (et aussi parce que ce modèle avait fait ses preuves malgré ses limites), Microsoft n'a pas totalement abandonné le modèle de domaines, mais l'a élargit aux notions de forêt, d'arbre, d'O.U. (Organisational Units), et s'est inspiré du modèle X500, notamment pour les O.U.

Contents Haut

Service d'annuaire

Protocoles de services d'annuaires

Un annuaire est un ensemble distribué de pointeurs vers des informations (par exemple : l'objet utilisateur) organisées selon un schéma qui définit les propriétés à enregistrer (nom, prénom, mot de passe, etc.).
Les différentes bases de données (DB) sont réparties sur les machines qui fournissent les services, et les informations sont dupliquées entre elles, le tout pour former une base de données hiérarchique permettant la localisation et l'administration des ressources (applications, serveurs d'infrastructure, imprimantes, etc.).

Un service d'annuaire respecte généralement ce type de structure :
Des protocoles de communications sont établis entre les bases de données elles-même (réplications, etc.), et entre les bases de données et le client (pour définir l'accès du client au service d'annuaire).

Contents Haut

Quelques différences entre Windows NT4 et Windows 2000

Microsoft Windows NT4 | Microsoft Windows 2000 |
Limites de 4000 et 25000 objets. | Plusieurs millions d'objets. |
Les attributs ne sont pas extensibles, et nous ne pouvons modifier le schéma (L'ajout d'attributs nous est interdit). | Accès au schéma possible pour des ajouts et modifications. |
Namespace (espace de nommage) unique. | Namespace par container (notion de hiérarchie) |
Trust relationship (relations d'aprobation) unidirectionnel et non transitif. | Notions de hiérarchie (tree-forest-O.U.) |
Nom de domaine : mondomaine | Nom de domaine : mondomaine.com (DNS) |
Sécurité par la SAM | Informations dans le DIT |

PDC et BDC

Dans les réseaux Windows NT4, c'est le modèle de domaine (inspiré du modèle LAN Manager) qui est d'application : plusieurs serveurs peuvent exister dans un domaine NT4, avec un annuaire commun (la DB des comptes utilisateurs).

Les créations et modifications des données (par exemple sur les droits d'accès, l'appartenance à un groupe, etc.) sont réalisées depuis le PDC (Primary Domain Controler), puis les données sont répliquées vers les BDC (Backup Domain Controler).
Pour les clients du domaine, peu importe que le travail soit effectué par l'un ou l'autre, vu que les requêtes se font du poste client aussi bien vers le PDC que vers un des BDC.

Relations d'approbation

Windows NT4 travaille selon un modèle hiérarchique à deux niveaux maximum grâce à la notion d'aprobation.
Un domaine peut approuver un autre domaine. Cette relation est à sens unique (si le domaine A approuve le domaine B, cela ne signifie pas pour autant que le domaine B approuve le domaine A) mais peut être doublée (le domaine B peut spécifier qu'il approuve aussi le domaine A).
Il faut aussi être attentif au fait que ces relations sous NT4 ne sont pas transitives : si le domaine A approuve le domaine B, et que le domaine B approuve le domaine C, cela ne signifie pas pour autant que le domaine A approuve le domaine C.

Contents Haut

Domaines

Active Directory (depuis Windows 2000) s'inspire du modèle utilisé sous NT4, par l'utilisation de domaines et de controleurs de domaines, mais sans les notions de PDC et BDC. Tous les contrôleurs de domaine ont la même importance, et sont dorénavant organisés au sein d'une structure hiérarchique, devenant des conteneurs (container). Une modification effectuée sur un des Domain Controler d'un réseau Windows 2000 est répercutée à l'ensemble des contrôleurs de domaine du réseau.
Un domaine est une structure logique qui contient généralement des machines, des utilisateurs, et des informations. C'est avant tout un ensemble de systèmes similaires.

Contents Haut

Arbres

Active Directory permet une structure en arborescence des domaines (organisation selon plusieurs niveaux hiérarchiques).
La notion de transitivité dans les relations d'approbation permet l'utilisation de cette arborescence pour générer nativement des liens.
Retournons à notre exemple de relations entre trois domaines : si A est le domaine parent de B, lui même parent de C, alors les utilisateurs du domaine A peuvent accéder (selon leurs droits d'accès) aux ressources du domaine C, et réciproquement.

Une arborescence de domaine est un ensemble de domaines qui s'approuvent mutuellement, et appartiennent à un même namespace.

Namespace

Active Directory nous permet donc une gestion transparente de structures complexes, depuis n'importe quel Domain Controler. Il est donc impératif de pouvoir nommer de manière unique chaque domaines, et de fournir les indications relatives à sa position dans le niveau hiérarchique de l'arborescence (déterminer les pères du domaine).

C'est le DNS (Domain Name Service, protocole de résolution de noms de domaines) qui apporte la solution.
En effet, Active Directory structure les noms de domaines de la même manière que les domaines que vous rencontrez sur internet.
Exemples de noms avec A parent de B, lui même parent de C :

  • A : domainA.mil
  • B : domainB.domainA.mil
  • C : domainC.domainB.domainA.mil


Le namespace est un espace de nommage homogène contigu, limité à l'arborescence de domaine (l'arbre). Il est donc possible d'intégrer dans l'arborescence un domaine D de nom "domainD.mil", mais pas un domaine nommé "domainD.be". Nous avons donc là un petit truc pour retenir ce qu'est un arbre : l'ensemble des domaines de même racine (domainA.mil dans notre cas).
Pour intégrer ce domaine (domainD.be), un autre niveau de structure existe : la forêt.

Contents Haut

Forêts

Une forêt (forest) est une structure composée de plusieurs arborescences de domaines d'Namespace Active Directory différents, mais qui partagent un même schéma, une configuration et un catalogue global commun.
C'est la notion de transitivité d'approbation d'Active Directory qui lie les domaines d'une forêt.

AttentionWindows 2000 ne permet pas de fusionner plusieurs forêts ou schémas (tous les domaines d'une forêt doivent partager le même schéma).

Contents Haut

O.U. (Organisational Unit)

Angl : Organisational Unit (O.U.)
Fr : Unité Organisationnelle

Les vastes domaines peuvent présenter des difficultés d'administration.
Microsoft s'est inspiré des caractéristiques de X500 pour la création de structures hiérarchiques au sein d'Active Directory, les unités organisationnelles (O.U.), qui clarifient le travail dans les annuaires.

L'O.U. est un objet conteneur, car il peut être composé d'objets ou d'autres O.U. Par cette définition récursive, nous pouvons nous rendre compte de l'étendue des possibilités de ce genre de structure, qui peut se présenter sous la forme d'une arborescence, ou de grappes (structure granulaire).

Les unités organisationnelles permettent donc de délimiter les délégations d'autorisations administratives. En effet, un O.U. peut représenter un groupes de bureaux, un site, une partie d'un domaine, etc.
AttentionAttention cependant à ne pas confondre un O.U. avec un groupe.

Contents Haut

Schéma

Le schéma est la partie interne d'Active Directory qui définit les relations entre les classes d'objets. En gros, le schéma reprend les définitions des objets qui peuvent être créés dans la forêt.

Comme dans un modèle orienté objet, les classes peuvent hériter d'autres classes, et à chaque classe sont associés des attributs.

Depuis Windows 2000 et Active Directory, nous pouvons modifier le schéma pour créer de nouvelles classes, ou de nouveaux attributs (par exemple ajouter les attributs "Grade" et "Numéro de matricule" à l'objet individu).

Une DB par Domain Controler 
Domain | Objets et attribus créés dans le domaine. |
Schema | Définition des objets qui peuvent être créés dans la forêt. |
Configuration | Organisation, structure de la forêt. |

Contents Haut

Directory Information Tree

Angl : Directory Information Tree

La SAM (Security Accounts Manager) est une DB qui contient les informations de sécurité relatives aux utilisateurs d'un domaine ou d'une machine, aux utilisateurs, groupes, machines d'un domaine. La SAM est liée à la base de registre (Registry Database), et se trouve limitée à cette dernière.

Sous Windows 2000, dans le répertoire %systemroot%\ntds, c'est le fichier ntds.dit (L'extension .dit provient de "Directory Information Tree") qui contient la plupart des données de l'annuaire, qui assure ce rôle tennu par la SAM sous NT4.

L'arborescence d'information d'annuaire (Directory Information Tree, ou DIT) stocke donc les informations dans ce fichier, qui est répliqué sur tous les contrôleurs du domaine.

Le DIT est basé sur le moteur de la DB Microsoft Jet (identique à celui utilisé par Exchange Server).

Contents Haut

Global Catalog

Domain | Le domaine comporte -> plusieurs Global Catalog | Global Catalog |
| | Global Catalog |
| | Global Catalog |
Schema | Unique au sein de la forêt. | |
Configuration | | |

Le catalogue global mémorise la localisation exacte des informations, c'est une sorte d'index des arborescences de domaines.
Il est préférable d'implémenter plusieurs catalogues globaux (sur les différents contrôleurs de domaines), ils permettent alors la recherche d'informations au sein d'Active Directory par des requêtes locales.

Contents Haut

Active Directory & Windows Server 2003

Fonction | Technologie | Info |
Socle technologique | Base hiérarchique | Technologie propriétaire Microsoft |
Requêtes | | Méthodes d'accès les plus répendues |
Interface d'administration | Group Policy Management Console | Gestion des consultations et mises à jour des Group Policies au travers de requêtes LDAP (les modifications d'attributs répercutées plus facilement) |
Services | Annuaire Web service UDDI | UDDI : Universal Description, Discovery and Integration |
Réplication | Active Directory Application Mode | Module de création de sous-annuaires par projet |
Intégration | Microsoft Metadirectory Services | Connexions avec d'autres annuaires |

English translation

You have asked to visit this site in English. For now, only the interface is translated, but not all the content yet.

If you want to help me in translations, your contribution is welcome. All you need to do is register on the site, and send me a message asking me to add you to the group of translators, which will give you the opportunity to translate the pages you want. A link at the bottom of each translated page indicates that you are the translator, and has a link to your profile.

Thank you in advance.

Document created the 30/05/2003, last modified the 03/02/2021
Source of the printed document:https://www.gaudry.be/en/windows2000-active-directory.html

The infobrol is a personal site whose content is my sole responsibility. The text is available under CreativeCommons license (BY-NC-SA). More info on the terms of use and the author.