15/11/2024

Domaine, arbre et forêt

Prenons un peu notre envol et intéressons-nous à la structure globale d’une architecture Active Directory, où l’on trouvera potentiellement plusieurs domaines, des arbres et une forêt.

Dans le chapitre précédent, nous avons déjà évoqué la notion de domaine, mais voyons ce qu’est un arbre et ce qu’est une forêt, et la position d’un domaine dans tout ça.

I. Domaine racine et domaines enfants

Active Directory est organisé en une hiérarchie de domaines, où un « domaine racine » est le premier domaine créé dans une forêt et constitue la base de la structure Active Directory.

Ce domaine racine peut avoir des « domaines enfants », qui sont des sous-domaines créés sous le domaine racine. Chaque domaine enfant peut disposer de ses propres utilisateurs, groupes et ressources. Ensemble, le domaine racine et les domaines enfants forment une hiérarchie logique facilitant la gestion et l'organisation des ressources et des utilisateurs dans un environnement étendu.

Nous allons schématiser cette relation entre un domaine parent et un ou plusieurs domaines enfants. En règle générale, lorsque vous verrez des schémas d’architecture Active Directory, vous verrez les domaines représentés par des triangles. Ainsi, notre domaine « it-connect.local » pourrait être schématisé ainsi :

cours-active-directory-5

Au sein du domaine schématisé ci-dessous, on retrouvera tout un ensemble d’Unités d’Organisation remplies d’objets de différentes classes : utilisateurs, ordinateurs, groupes, contrôleurs de domaine, etc.

Vous n’êtes pas sans savoir que de nombreuses entreprises ont plusieurs succursales, ce qui implique plusieurs sites sur différents emplacements géographiques. Selon l’importance de ces sites, on pourra envisager de créer un sous-domaine au domaine principal, voir même plusieurs sous-domaines selon le nombre de succursales. La segmentation peut s’avérer utile aussi pour la sécurisation de l’environnement.

Prenons un exemple. Nous partons du domaine racine nommé « it-connect.local », auquel nous ajoutons deux sous-domaines (soit deux domaines enfants) : « paris.it-connect.local » et « londres.it-connect.local » puisque nous avons deux succursales, une à Paris, l’autre à Londres. Voici la représentation de cette arborescence :

cours-active-directory-6

II. La notion d’arbre

La notion d’arbre doit vous faire penser à un ensemble avec différentes branches, si c’est le cas, vous êtes sur la bonne voie. En effet, lorsqu’un domaine racine contient plusieurs sous-domaines, nous parlons alors d’un arbre, où chaque sous-domaine au domaine racine représente une branche de l’arbre.

Un arbre est un regroupement hiérarchique de plusieurs domaines.

Par exemple, la schématisation des domaines utilisés précédemment représente un arbre :

cours-active-directory-7

Les domaines d’un même arbre partagent un espace de nom contigu et hiérarchique, comme c’est le cas avec l’exemple du domaine « it-connect.local ».

III. La notion de forêt

Si vous êtes d’accord avec moi pour dire qu’une forêt c’est un ensemble d’arbres, alors vous avez déjà compris le principe de la notion de « forêt » dans un environnement Active Directory.

En effet, une forêt est un regroupement d’une ou plusieurs arborescences de domaine, autrement dit d’un ou plusieurs arbres. Ces arborescences de domaine sont indépendantes et distinctes bien qu’elles soient dans la même forêt.

L’exemple que nous utilisons jusqu’à maintenant avec le domaine principal et les deux sous domaines représente une forêt. Seulement, cette forêt ne contient qu’un seul arbre.

Imaginons maintenant que nous rachetons la société « Learn-Online » et que nous décidons de créer un domaine racine « learn-online.local », ainsi que trois sous-domaines pour les deux succursales situées à Paris et Rennes, et un troisième sous-domaine pour un environnement de développement situé à Rennes.

Nous obtiendrons alors : paris.learn-online.local, rennes.learn-online.local et dev.rennes.learn-online.local. Donc, nous obtiendrons un arbre dont la racine est « learn-online.local».

Voici l’arbre obtenu :

cours-active-directory-8

Pour simplifier l’administration, les accès et unifier le système d’information, nous pouvons décider de créer cet arbre « Learn-Online » dans la même forêt que celle où se situe l’arbre « IT-Connect ».

Nous pouvons alors affirmer que les différentes arborescences d’une forêt ne partagent pas le même espace de nom et la même structure.

Ainsi, nous pouvons schématiser notre forêt de cette façon :

cours-active-directory-9

Quel est l’intérêt de créer une forêt ?

Il semble légitime de s’interroger sur l’intérêt de regrouper les domaines entre eux et de l’apport de cette configuration.

  • Tous les arbres d’une forêt partagent un schéma d’annuaire Active Directory commun, ce qui garantit une structure uniforme à travers tous les domaines.
  • Tous les domaines d’une forêt partagent un « Catalogue Global » commun (nous verrons par la suite ce qu’est un catalogue global).
  • Bien que les domaines d’une forêt fonctionnent de manière indépendante, la forêt facilite les communications et les interactions entre eux, notamment en permettant l'accès aux ressources d'autres domaines.
  • Les relations d'approbation entre les différents domaines de la forêt sont créées automatiquement.
  • Simplification de l’administration et flexibilité. Un utilisateur du domaine « paris.it-connect.local » pourra accéder à des ressources situées dans le domaine « rennes.learn-online.local » ou se connecter sur une machine du domaine « paris.learn-online.local », si les autorisations le permettent.

IV. Le niveau fonctionnel

Le niveau fonctionnel est une notion également à connaître lors de la mise en œuvre d’une infrastructure Active Directory.

À la création d’un domaine, un niveau fonctionnel est défini et il correspond généralement à la version du système d’exploitation depuis lequel on crée le domaine (à moins d’avoir une contrainte technique spécifique).

Par exemple, si nous effectuons la création du domaine depuis un serveur sous Windows Server 2025, le niveau fonctionnel le plus élevé disponible sera « Windows Server 2025 ».

Dans un environnement existant, on est souvent amené à faire évoluer notre infrastructure, notamment les systèmes d’exploitation, ce qui implique le déclenchement d’un processus de migration. Une étape incontournable lors de la migration d’un Active Directory vers une version plus récente et le changement du niveau fonctionnel. Ainsi, il est important de savoir à quoi il correspond et les conséquences de l’augmentation du niveau.

A. Un niveau fonctionnel, c’est quoi ?

Un niveau fonctionnel détermine les fonctionnalités des services de domaine Active Directory disponibles dans un domaine ou une forêt. Par exemple, la fonctionnalité de « Corbeille Active Directory » nécessite un niveau fonctionnel de « Windows Server 2008 R2 » ou supérieur.

Le niveau fonctionnel permet de limiter les fonctionnalités de l’annuaire au niveau actuel afin d’assurer la compatibilité avec les plus anciennes versions des contrôleurs de domaine.

B. Pourquoi augmenter le niveau fonctionnel ?

Plus le niveau fonctionnel est haut, plus vous pourrez bénéficier des dernières nouveautés liées à l’Active Directory et à sa structure. Ce qui rejoint la réponse à la question précédente.

Pour bénéficier des nouveautés Active Directory introduite dans Windows Server 2025, cette version doit correspondre au niveau fonctionnel.

Par ailleurs, vous serez obligé d’augmenter le niveau fonctionnel pour ajouter la prise en charge des derniers systèmes d’exploitation Windows pour les contrôleurs de domaine.

Par exemple, si le niveau fonctionnel est « Windows Server 2016 », vous ne pourrez pas ajouter un nouveau contrôleur de domaine sous « Windows Server 2012 R2 » et les versions plus anciennes. Ce niveau fonctionnel implique d’utiliser « Windows Server 2016 » ou une version supérieure.

Ce phénomène implique qu’il est bien souvent inévitable d’augmenter le niveau fonctionnel lorsque l’on effectue une migration, afin de pouvoir supporter les nouveaux OS utilisés. Il est important de préciser également que vous ne pouvez pas avoir un niveau fonctionnel plus haut que la version de votre contrôleur de domaine le plus récent.

Visualiser ou augmenter le niveau fonctionnel du domaine via la console « Utilisateurs et ordinateurs Active Directory »

Le niveau fonctionnel peut être augmenté à partir de l’interface graphique de Windows, mais il ne sera pas possible de revenir à un niveau inférieur. Si vous avez besoin d’effectuer ce retour arrière, vous serez contraint d’utiliser des commandes PowerShell.

C. Quelle est la portée d’un niveau fonctionnel ?

Il y a deux niveaux fonctionnels différents, un qui s’applique au niveau du domaine et un autre qui s’applique au niveau de la forêt. Le plus critique étant le niveau fonctionnel de la forêt, car il doit correspondre au niveau minimum actuel sur l’ensemble des domaines de la forêt.

De ce fait, il est obligatoire d’augmenter le niveau fonctionnel des domaines avant de pouvoir augmenter le niveau fonctionnel de la forêt.

V. Domaine, arbre, forêt : conclusion

Gardez à l’esprit qu’une forêt est un ensemble d’arbres, qu’un arbre est constitué d’une racine et potentiellement de branches qui sont représentées par des domaines et des sous-domaines.

Tous les domaines pourraient être créés indépendamment les uns des autres, mais cela compliquerait l’administration plutôt que de la rendre plus simple. En effet, le fait de créer cette arborescence et de regrouper les architectures (les arbres) au sein d’une même forêt facilite grandement la relation entre les différents acteurs. À l’inverse, cette cassure est parfois nécessaire pour des raisons de sécurité, donc tout dépend du contexte et des besoins.

D’ailleurs, les relations entre les différents éléments s’appellent des « relations d’approbations », mais nous verrons cela dans une autre partie du cours sur l’Active Directory.

Chapitre Précédent
Retour au Module
Module Suivante
author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

PowerShell : Activer la protection des OUs sur tout l’Active Directory

Florian BURNEL 0

Tips & tricks avec le shebang sous Linux

Philippe PIERRE 0

Le nouveau ransomware RedAlert s’attaque aux serveurs VMware ESXi

Florian BURNEL 1