ACTIVE DIRECTORY
1 Auteur : CHARLES Watson BTS SIO
Table des matières Active directory ....................................................................................................................................... 2
Domaine .................................................................................................................................................. 2
Arbres de domaines ................................................................................................................................ 2
a. Relation d’approbations .............................................................................................................. 2
b. Représentation de l’espace de nom ............................................................................................ 3
Forêt ........................................................................................................................................................ 3
Intégration au DNS ................................................................................................................................. 4
Service de localisation ................................................................................................................. 4
Les Rôles FSMO ....................................................................................................................................... 5
Installation d’Active Directory ............................................................................................................... 6
Configuration Active Directory ............................................................................................................... 8
Phase de Test .................................................................................................................................... 11
ACTIVE DIRECTORY
2 Auteur : CHARLES Watson BTS SIO
Active directory
Active Directory est la mise en œuvre par Microsoft des services d’annuaires LDAP pour les
systèmes d’exploitation Windows. Ce rôle appelé AD DS fournit une base de donnée
distribuée qui stocke et gère des informations sur les ressources réseau. Ce rôle permet à un
administrateur d’organiser les éléments d’un réseau, tels que les utilisateurs, les ordinateurs
et les autres périphériques dans une structure hiérarchique. Dans cette structure
hiérarchique on trouve une foret Active Directory, les domaines inclut dans cette foret et les
unités d’organisation de chaque domaine (OU).Un serveur qui exécute le rôle AD DS est
appelé contrôleur de domaine.
Quand on crée un premier contrôleur de domaine, on crée le premier domaine et la
première foret de celle-ci. Une foret se compose d’un ou de plusieurs domaines ayant en
commun un schéma et un catalogue global.
Domaine
Un domaine est défini par une limite de sécurité unique dans le cadre d’un réseau
informatique qui tourne sous Windows NT ou Windows 2000. Au sein d’un domaine, on
retrouvera tout un ensemble d’unités d’organisation remplies d’objets de différentes
classes : utilisateurs, ordinateurs, groupes, contrôleur de domaines. Active Directory est
constitué d’un ou de plusieurs domaines. Un domaine peut recouvrir plusieurs sites distants
dans une entreprise. Chaque domaine a sa propre politique de sécurité et ses propres
relations de sécurité avec les autres domaines. La connexion de plusieurs domaines qui
partagent un même schéma, une même configuration et un même catalogue, on a ce qu’on
appelle un « arbre de domaines ».
Arbres de domaines
Un arbre de domaines (arbre) est constitué de plusieurs domaines qui partagent un même
schéma et une même configuration, formant un espace de noms continu. Les domaines sont
également liés entre eux par des relations d’approbations. Active directory est un arbre ou
un ensemble de plusieurs arbres. Il existe deux façons de visualiser un arbre :
par le biais des relations d’approbation entre domaines
par l’espace de noms
a. Relation d’approbations
Une relation d’approbation entre deux domaines permet à un utilisateur d’un domaine
d’accéder aux ressources d’un autre domaine, et à un administrateur, le pouvoir de gérer les
ressources d’un autre domaine.
Windows 2000 établit des réservations d’approbation entre domaines en se basant sur le
protocole de sécurité appelée Kerberos.L’approbation Kerberos est transitive et
hiérarchique : si le domaine approuve le domaine A approuve le domaine B et que le
domaine B approuve le domaine C alors le domaine A approuve lui aussi le domaine C.
ACTIVE DIRECTORY
3 Auteur : CHARLES Watson BTS SIO
b. Représentation de l’espace de nom
Un arbre de domaines peut être aussi dessiné en fonction de son espace de noms. En suivant
le chemin d’accès jusqu’à l’espace de noms de son arbre de domaines, on peut déterminer le
nom relatif distinct d’un objet. L’avantage principal d’un espace de noms est qu’une
recherche approfondie à partir de la racine de l’espace de noms se fera dans l’ensemble de
la hiérarchie.
Forêt
Une forêt est un regroupement d’une ou plusieurs arborescences de domaines, autrement
dit plusieurs arbres. Ces arborescences de domaine sont indépendantes et distinctes bien
qu’elles soient dans la même foret. Tous les arbres d'une forêt partagent un même schéma,
une même configuration et un même catalogue global. Tous les arbres d'une forêt donnée
s'accordent une confiance mutuelle par l'intermédiaire de relations d'approbation Kerberos
transitives et hiérarchiques. Les domaines d’une foret fonctionnent de façon indépendante
mais la foret facilite la communication entre les domaines. Avec les autorisations
nécessaires, l’utilisateur d’un domaine peut accéder aux ressources d’un autre domaine ou
se connecter aux machines de ce domaine.
ACTIVE DIRECTORY
4 Auteur : CHARLES Watson BTS SIO
Intégration au DNS
DNS (Domain Name Server) est une base de donnée permettant la traduction des noms
d’hôtes en adresse IP.DNS résout le problème essentiel lors de la connexion d’ordinateurs à
un intranet ou Internet. Un serveur met en correspondance ou convertir les noms NET BIOS
en adresse IP.
Les Zones
Les ressources de chaque domaine sont stockées dans des enregistrements de ressources.
Pour gérer en interne les ressources d’un domaine on utilise un fichier de zone DNS. Un
fichier de zone DNS est une base de données. Chaque domaine ou groupe de domaine inclus
dans un fichier de zone est membre de la même zone DNS .Il existe de type de Zones
standard : les zones de recherche directes et les zones de recherche indirectes.
-Une zone de recherche directe se base sur la résolution nom vers adresse IP. Les types de
ressources sont variés (échangeurs de courrier, adresses d’hôtes…..).
-Une zone de recherche inversée s’appuie sur la résolution adresse IP vers ressource.
Active Directory est étroitement intégré au système de nom de domaine (DNS : Domain
Name System).Le DNS est l’espace de nom distribué utilisé sur internet pour résoudre les
noms d’ordinateurs et des services en adresses TCP/IP. Active Directory utilisa le DNS
comme service de localisation. Les noms de domaine de Windows 2000 sont des noms de
DNS. Le service d’ouverture de session réseau utilise les serveurs DNS nouvellement pris en
charge pour inscrire les contrôleurs de domaine dans votre espace de noms de domaines
DNS.
Service de localisation
Les serveurs Active Directory publient leurs adresses de telle sorte que les clients puissent les trouver
à partir de leurs seuls nom de domaine .Les serveurs Active Directory sont publiés dans le DNS via
des enregistrements de ressources de services (SRV RR : Service Resource Record).L’enregistrement
de ressources de service est un enregistrement DNS utilisé pour mapper le nom d’un service sur
l’adresse proposant ce service. Son nom est de la forme
<service>.<protocole>.<domaine>
Les serveurs Active Directory proposent le service LDAP (Lightweight Directory Access Protocol) via le
protocole TCP afin que les noms publiés prennent : ldap.tcp
ACTIVE DIRECTORY
5 Auteur : CHARLES Watson BTS SIO
Ainsi l’enregistrement de ressources de service pour « domaineA.com » est
« ldap.tcp.domaineA.com ».Cet enregistrement contient d’autres informations telles que la priorité
et le poids accordé à ce serveur, ce qui permet au client au client de choisir le serveur qui correspond
le mieux à ses besoins.
Les Rôles FSMO
FSMO (Flexible Single Master Opération) Ce sont des rôles que Microsoft à implémenter à
l’annuaire Active Directory afin de minimiser les risques de conflits entre les
différents contrôleurs de domaine d’une forêt. Ces rôles permettent de limiter les
modifications de certaines données internes à l’annuaire Active Directory. Il existe cinq rôles
FSMO
1. Maitres d’attribution des noms de domaines
2. Contrôleur de schéma
3. Maitre RID
4. Maitre d’infrastructure
5. Emulateur PDC
Le Maitre d’attribution des noms de domaine : ce rôle est unique est unique au sein de la
foret. Il est le seul autorisé à distribuer des noms de domaines aux contrôleurs de domaine,
lors de la création d’un nouveau domaine. Il est utilisé lors de la création d’un nouveau
domaine et des renommages des noms de domaine. Pour effectuer ces actions le contrôleur
de domaine à l’initiative doit être en mesure de contacter le contrôleur de domaine qui
détient ce rôle.
Contrôleur de schéma : Le schéma désigne la structure de l’annuaire active directory. Ce
rôle est unique au sein de la foret, le contrôleur de domaine qui détient ce rôle est le seul à
pourvoir initier des changements au niveau de la structure de l’annuaire (schéma).
Maitre RID : tous les objets créés au sein de l’annuaire Active Directory dispose de plusieurs
identifiants unique notamment. Parmi eux, il y a notamment le GUID et le
DistinguishedName mais aussi l’identifiant de sécurité unique « SID »
Le RID est un identifiant relatif qui est unique au sein de chaque SID, afin d’être sûr d’avoir
un SID unique pour chaque objet de l’annuaire. Le SID est constitué d’une partie commune
qui correspond au domaine donc le RID est essentiel pour rendre unique chaque SID.
Ce rôle est unique au sein d’un domaine, il se charge d’allouer des blocs d’identificateurs
relatifs uniques à chaque contrôleur de domaine du domaine qu’il pourra attribuer aux
futurs objets crées dans l’annuaire.
Maitre d’infrastructure : Unique au sein d’un domaine, le contrôleur qui dispose ce rôle a
pour objectif de gérer les références entre plusieurs objets. Ces références sont aussi
appelées « objets fantômes » et permettent au contrôleur de domaine de faciliter les liens
entre les différents objets. Si un objet est modifié ou supprimé, le Maitre d’infrastructure
ACTIVE DIRECTORY
6 Auteur : CHARLES Watson BTS SIO
devra se charger de déclencher la mise à jour de l’objet fantôme auprès des autres
contrôleurs de domaine.
Emulateur PDC (Primary Domain Controller) : Ce rôle est unique au sein d’un domaine et se
doit d’assurer cinq missions principales :
1. La modification des stratégies de groupe du domaine (éviter les conflits et les
écrasements)
2. La synchronisation des horloges sur tous les contrôleurs de domaine
3. La Gestion des verrouillages des comptes
4. Changements des mots de passe
5. Assurer la comptabilité avec tous les contrôleurs de domaine Windows NT
Installation d’Active Directory
Dans Pool de serveurs
Cocher le rôle Service AD DS /Active Directory Domain System
ACTIVE DIRECTORY
7 Auteur : CHARLES Watson BTS SIO
Il faut ajouter ces fonctionnalités qui sont associés à Active Directory
On peut maintenant « installer »
ACTIVE DIRECTORY
8 Auteur : CHARLES Watson BTS SIO
Configuration Active Directory
Nous allons maintenant promouvoir notre serveur en tant que contrôleur de domaine
Cliquer sur « Promouvoir ce serveur en contrôleur de domaine »
Ici nous allons ajouter une nouvelle foret et ajouter le nom de la foret
ACTIVE DIRECTORY
9 Auteur : CHARLES Watson BTS SIO
Active Directory installe et configure par son serveur DNS, il faut tout laisser par défaut et
taper le mot de passe de restauration de l’annuaire qui nous servira lors d’une maintenance
sur la base de données NTDS.DIT
Le nom NetBIOS est la partie gauche du DNS, lors de l’installation l’assistant se charge de
vérifier l’unicité du nom de domaine NetBIOS
ACTIVE DIRECTORY
10 Auteur : CHARLES Watson BTS SIO
Emplacement de la base de données Active Directory
En cliquant sur afficher le script, nous pourrons exporter ce script afin d’automatiser
l’installation de contrôleurs de domaines supplémentaires
ACTIVE DIRECTORY
11 Auteur : CHARLES Watson BTS SIO
Toutes les vérifications ont été effectuées on peut maintenant passer à l’installation
Une fois l’installation terminée, le serveur redémarre et devient contrôleur de domaine.
Phase de Test
Notre domaine watcha.loc est bien présent dans notre annuaire Active Directory