• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 29/05/2019

Planifiez l’installation de l’annuaire

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Dans ce chapitre, je vous invite à modéliser les différentes composantes techniques qui permettront au service Active Directory de fonctionner. C’est à cette étape que vous allez dimensionner le nombre de serveurs et l’organisation de ces derniers afin de fournir un service d’annuaire performant et résilient.

Prenez en main Active Directory

Si vous êtes familiarisé avec LDAP, Active Directory (AD) n’aura pas de secrets pour vous. Si non, pas de panique, il suffit de s’imaginer l’entreprise que je vous ai proposée en exemple, Gift S.A., du chapitre précédent.

Vous l’avez représentée de façon hiérarchique et bien Active Directory va vous permettre de faire la même chose, mais de façon informatisée.

Une entreprise sera donc représentée par « une forêt » AD. Une forêt est un ensemble de domaines Active Directory qui partagent une structure logique, un schéma de données, une configuration d’annuaire et des fonctionnalités identiques.

Même s’il est très courant de n’avoir qu’un domaine au sein d’une forêt, les entreprises de grande taille vont utiliser ce mode de fonctionnement pour identifier leurs différentes structures, par exemple, par pays : fr.gift.sa, us.gift.sa...

Un domaine va représenter une partition d’une forêt (on parle de partition d’annuaire) au sein de laquelle vont pouvoir être créés des objets identifiés de manière unique sur le réseau. On parle alors de domaine de sécurité, car il va être possible d’y stocker, entre autres, des identités, des mots de passe ou des certificats.

À l’intérieur de ce domaine de sécurité, vous retrouverez des unités organisationnelles. Ce sont des conteneurs qui peuvent, par exemple, représenter les différents services d’une entreprise. À l’intérieur de ces différents conteneurs, vous allez retrouver des objets.

Ce sont ces objets qui permettent de représenter les utilisateurs, les imprimantes, les ordinateurs, bref, toutes les ressources d’une entreprise. Enfin, ces objets peuvent être regroupés au sein de groupes.

Le principe de domaines multiples au sein d’une forêt permet de segmenter les données au sein d’une entreprise et donc d’en augmenter la sécurité. Cela permet par exemple d’avoir un domaine pour la filiale France au sein d’une multinationale.

Distinguez les services qui composent Active Directory

Active Directory, comme toute application informatique, est hébergée sur un serveur. Ce serveur porte le nom de contrôleur de domaine. Un contrôleur de domaine héberge les services d’Active Directory nommés Active Directory Domain Services (AD-DS).

AD-DS s’occupe de gérer le stockage des données d’annuaire, de gérer l’authentification et la réplication dans le cas ou plusieurs contrôleurs de domaines sont présents.

Pour s’assurer de la cohérence des réplications et de l’unicité des objets, plusieurs rôles doivent être mis en œuvre :

  • Le rôle de Maître de schéma

  • Le rôle de Maître d'attribution de noms de domaine

  • Le rôle d’Émulateur de Contrôleur de Domaine Principal

  • Le rôle de Maître RID

  • Maître d'infrastructure

Voyons cela dans le détail !

  • Le rôle de Maître de schéma (Schema Master). Ce rôle contrôle les modifications apportées au schéma de données Active Directory.

En effet comme toute base de données, l’Active Directory doit disposer d’un schéma qui permet de définir les différentes informations (attributs) qui vont être associées aux différents types d’objets. Il est primordial qu’il n’y ait qu’un seul et unique Schema Master dans un annuaire, donc dans une forêt AD.

  • Le rôle de Maître d'attribution de noms de domaine (Domain Naming Master). Ce rôle contrôle l'ajout et la suppression des noms de domaines dans une forêt.

Les noms des domaines au sein d’une forêt doivent être uniques, il convient donc de n’avoir qu’un seul et unique Domain Naming Master dans une forêt.

  • Le rôle d’Émulateur de Contrôleur de Domaine Principal (Primary Domain Controler Emulator).

Ce rôle est intéressant, car il permet le support de clients NT4 (Windows NT étant une des premières versions de Windows conçu pour fonctionner en réseau). Il fournit également l'horloge de référence du domaine via le protocole NTP.

  • Le rôle de Maître RID (Registered ID Master). Ce rôle fournit des tranches d'identifiants uniques aux autres contrôleurs de domaine.

Le RID est un identifiant unique relatif à un domaine, il fait partie du SID (Security Identifier) ou Identifiant de sécurité. Le RID doit être unique afin que le SID soit lui aussi unique afin de garantir une identité immuable au sein des réseaux.

  • Maître d'infrastructure (Infrastructure Master)

Ce rôle permet de synchroniser les changements effectués sur les objets au sein des différents domaines en gérant les réplications.

Cette partie, bien que très théorique o_O, est primordiale pour comprendre le fonctionnement d’une forêt AD !

Chaque rôle permet de s’assurer de l’unicité des objets, de leur réplication, d’une unité de temps unique et des attributs disponibles pour un objet.

N’ayez pas peur, Microsoft a fait en sorte de simplifier ces concepts de façon à permettre une gestion aussi visuelle que possible de vos annuaires !

Distinguez les différents objets de l’annuaire

Vous l’avez compris, il y a différents types d’objet dans un annuaire Active Directory (et dans tout type d’annuaire) :

  • Les ressources,

  • Les groupes,

  • Et les UO (Unités organisationnelles).

Je vous propose d'entrer un peu plus dans leur compréhension.

Les UO, unités organisationnelles, ou OU (pour Organisational Units) sont les premiers objets d’un annuaire. Ces objets permettent, comme leurs noms l’indiquent, d’organiser et de structurer votre annuaire.

Les groupes permettent de simplifier la gestion des ressources en centralisant des objets selon des critères statiques ou dynamiques. Cela permet, par exemple, de regrouper les utilisateurs de la comptabilité devant avoir un accès à des ressources précises.

Les ressources sont le cœur de votre annuaire ! Elles permettent de lister les utilisateurs, les imprimantes, les ordinateurs avec plus ou moins d’information appelés attributs.

Vous pouvez par exemple définir le nom, le prénom, l’adresse d’un objet utilisateur dans le schéma standard d'AD !

Différenciez les différents types d’installations

Bien, maintenant que vous avez toutes les bases, il ne vous reste plus qu’à vous lancer dans l’installation de votre premier annuaire Active Directory !

En fonction des différents éléments que vous avez vus précédemment, il convient de choisir si vous devez installer une nouvelle forêt avec un ou plusieurs domaines ou si vous allez juste créer un nouveau domaine au sein d’une forêt existante.

Dans le cas que je vous propose, vous allez créer une nouvelle forêt pour représenter la société Gift S.A.. Ce choix est le plus courant, il permet d'avoir un domaine unique, appelé domaine racine.

Ce domaine sera réparti sur deux contrôleurs de domaine. Pour le moment, vous n’aurez qu’un seul site. Cette notion de site permet de gérer finement les paramètres de réplication entre les différents contrôleurs de domaines et est très utile lorsque des sites distants sont reliés avec des connexions à faible débit.

Schéma de l’Active Directory de la société fictive
Schéma de l’AD de Gift S.A.

En effet, il est primordial de répliquer un annuaire sur au moins deux serveurs afin de se prémunir des temps de maintenance inhérents à un serveur (mise à jour, sauvegarde, maintenance …) qui pourraient empêcher l’authentification des utilisateurs, ordinateur ou autres ressources sur un réseau.

Je vous propose, dans le prochain cours, de vous attarder sur la notion de groupe sur laquelle vous allez pouvoir centraliser la sécurité et vous faciliter la vie :) !

En résumé

  • Active Directory est composé de 5 rôles :

    • Schéma Master, RID Master, PDC Emulator, Infrastructure Master et Domain Naming Master

  • Il y a 3 types d’objets au sein d'un AD :

    • des Unités Organisationnelles, des ressources et des groupes

  • Il est conseillé d’avoir au moins deux contrôleurs de domaines pour une forêt, même avec un domaine unique pour répartir la charge et garantir la disponibilité du service d’annuaire

Exemple de certificat de réussite
Exemple de certificat de réussite