Dans ce chapitre, je vous invite à modéliser les différentes composantes techniques qui permettront au service Active Directory de fonctionner. C’est à cette étape que vous allez dimensionner le nombre de serveurs et l’organisation de ces derniers afin de fournir un service d’annuaire performant et résilient.
Prenez en main Active Directory
Si vous êtes familiarisé avec LDAP (Lightweight Directory Access Protocol), Active Directory (AD) n’aura pas de secrets pour vous. Sinon, pas de panique, il suffit de s’imaginer l’entreprise que je vous ai proposée en exemple, Gift S.A., du chapitre précédent.
Vous avez représentée Gift S.A. de façon hiérarchique ; eh bien Active Directory va vous permettre de faire la même chose, mais de façon informatisée.
Une entreprise sera donc représentée par « une forêt » AD. Une forêt est un ensemble de domaines Active Directory qui partagent une structure logique, un schéma de données, une configuration d’annuaire et des fonctionnalités identiques.
Même s’il est très courant de n’avoir qu’un domaine au sein d’une forêt, les entreprises de grande taille vont utiliser ce mode de fonctionnement pour identifier leurs différentes structures, par exemple par pays : fr.gift.sa, us.gift.sa…
Un domaine va représenter une partition d’une forêt (on parle de partition d’annuaire) au sein de laquelle vont pouvoir être créés des objets identifiés de manière unique sur le réseau. On parle alors de domaine de sécurité, car il va être possible d’y stocker, entre autres, des identités, des mots de passe ou des certificats.
À l’intérieur de ce domaine de sécurité, vous retrouverez des unités organisationnelles. Ce sont des conteneurs qui peuvent, par exemple, représenter les différents services d’une entreprise. À l’intérieur de ces différents conteneurs, vous allez retrouver des objets.
Ce sont ces objets qui permettent de représenter les utilisateurs, les imprimantes, les ordinateurs, bref, toutes les ressources d’une entreprise. Enfin, ces objets peuvent être regroupés au sein de groupes.
Le principe de domaines multiples au sein d’une forêt permet de segmenter les données au sein d’une entreprise, et donc d’en augmenter la sécurité. Cela permet par exemple d’avoir un domaine pour la filiale France au sein d’une multinationale.
Pour les très grandes multinationales, il est même possible de créer un niveau de hiérarchie supplémentaire avec les arbres qui regroupent un ensemble de domaines. Chacun des arbres faisant partie de la forêt.
Dans notre cas, nous n’utiliserons pas la notion d’arbre pour notre entreprise GIFT SA qui est bien trop petite.
Distinguez les rôles des contrôleurs de domaine
Active Directory, comme toute application informatique, est hébergée sur un serveur. Ce serveur porte le nom de contrôleur de domaine. Un contrôleur de domaine héberge les services d’Active Directory nommés Active Directory Domain Services (AD-DS).
AD-DS s’occupe de gérer le stockage des données d’annuaire, de gérer l’authentification et la réplication dans le cas où plusieurs contrôleurs de domaines sont présents.
Pour s’assurer de la cohérence des réplications et de l’unicité des objets, plusieurs rôles doivent être mis en œuvre :
le rôle de Maître de schéma ;
le rôle de Maître d'attribution de noms de domaine ;
le rôle d’Émulateur de Contrôleur de Domaine Principal ;
le rôle de Maître RID ;
le rôle de Maître d'infrastructure.
Chacun de ces cinq rôles permet de réaliser une action particulière au sein de l’annuaire. On les appelle Rôles d'opérations à maître unique flottant, ou plus simplement « rôles FSMO » pour Flexible Single Master Operation, et ils permettent de répartir la gestion de l’annuaire sur plusieurs contrôleurs de domaines. Voyons cela dans le détail !
Le rôle de Maître de schéma (Schema Master). Ce rôle contrôle les modifications apportées au schéma de données Active Directory.
En effet, comme toute base de données, l’Active Directory doit disposer d’un schéma qui permet de définir les différentes informations (attributs) qui vont être associées aux différents types d’objets. Il est primordial qu’il n’y ait qu’un seul et unique Schema Master dans un annuaire, donc dans une forêt AD.
Le rôle de Maître d'attribution de noms de domaine (Domain Naming Master). Ce rôle contrôle l'ajout et la suppression des noms de domaines dans une forêt.
Les noms des domaines au sein d’une forêt doivent être uniques, il convient donc de n’avoir qu’un seul et unique Domain Naming Master dans une forêt.
Le rôle d’Émulateur de Contrôleur de Domaine Principal (Primary Domain Controller Emulator).
Ce rôle est intéressant, car il permet le support de clients NT4 (Windows NT étant une des premières versions de Windows conçu pour fonctionner en réseau). Il fournit également l'horloge de référence du domaine via le protocole NTP.
Le rôle de Maître RID (Registered ID Master). Ce rôle fournit des tranches d'identifiants uniques aux autres contrôleurs de domaine.
Le RID est un identifiant unique relatif à un domaine, il fait partie du SID (Security Identifier), ou identifiant de sécurité. Le RID doit être unique afin que le SID soit lui aussi unique, de manière à garantir une identité immuable au sein des réseaux.
Maître d'infrastructure (Infrastructure Master).
Ce rôle permet de synchroniser les changements effectués sur les objets au sein des différents domaines, en gérant les réplications.
Cette partie, bien que très théorique , est primordiale pour comprendre le fonctionnement d’une forêt AD !
Chaque rôle permet de s’assurer de l’unicité des objets, de leur réplication, d’une unité de temps unique, et des attributs disponibles pour un objet.
N’ayez pas peur, Microsoft a fait en sorte de simplifier ces concepts de façon à permettre une gestion aussi visuelle que possible de vos annuaires !
Distinguez les différents objets de l’annuaire
Vous l’avez compris, il y a différents types d’objets dans un annuaire Active Directory (et dans tout type d’annuaire) :
les ressources ;
les groupes ;
et les UO (unités organisationnelles).
Je vous propose d'entrer un peu plus dans leur compréhension.
Les UO, unités organisationnelles, ou OU (pour Organisational Units) sont les premiers objets d’un annuaire. Ces objets permettent, comme leur nom l’indique, d’organiser et de structurer votre annuaire.
Les groupes permettent de simplifier la gestion des ressources en centralisant des objets selon des critères statiques ou dynamiques. Cela permet, par exemple, de regrouper les utilisateurs de la comptabilité devant avoir un accès à des ressources précises.
Les ressources sont le cœur de votre annuaire ! Elles permettent de lister les utilisateurs, les imprimantes, les ordinateurs avec plus ou moins d’informations appelées attributs.
Vous pouvez par exemple définir le nom, le prénom, l’adresse d’un objet utilisateur dans le schéma standard d'AD !
Différenciez les différents types d’installations
Bien, maintenant que vous avez toutes les bases, il ne vous reste plus qu’à vous lancer dans l’installation de votre premier annuaire Active Directory !
En fonction des différents éléments que vous avez vus précédemment, il convient de choisir si vous devez installer une nouvelle forêt avec un ou plusieurs domaines, ou si vous allez juste créer un nouveau domaine au sein d’une forêt existante.
Dans le cas que je vous propose, vous allez créer une nouvelle forêt pour représenter la société Gift S.A. Ce choix est le plus courant, il permet d'avoir un domaine unique, appelé domaine racine.
Ce domaine sera réparti sur deux contrôleurs de domaines. Pour le moment, vous n’aurez qu’un seul site. Cette notion de site permet de gérer finement les paramètres de réplication entre les différents contrôleurs de domaines, et est très utile lorsque des sites distants sont reliés avec des connexions à faible débit.
En effet, il est primordial de répliquer un annuaire sur au moins deux serveurs, afin de se prémunir des temps de maintenance inhérents à un serveur (mise à jour, sauvegarde, maintenance…) qui pourraient empêcher l’authentification des utilisateurs, ordinateurs ou autres ressources sur un réseau.
Je vous propose, dans le prochain cours, de vous attarder sur la notion de groupe sur laquelle vous allez pouvoir centraliser la sécurité, et vous faciliter la vie !
En résumé
Active Directory est composé de 5 rôles :
Schéma Master, RID Master, PDC Emulator, Infrastructure Master et Domain Naming Master.
Il y a 3 types d’objets au sein d'un AD :
des unités organisationnelles, des ressources et des groupes.
Il est conseillé d’avoir au moins deux contrôleurs de domaines pour une forêt, même avec un domaine unique, pour répartir la charge et garantir la disponibilité du service d’annuaire.
Ça y est, vous savez exactement de combien de serveurs vous aurez besoin et quels rôles auront ces serveurs. Dans la suite, vous allez voir comment structurer encore mieux votre annuaire en créant des groupes.
