22/12/2024

Un annuaire Active Directory, pourquoi ?

I. L’Active Directory

L’Active Directory est un annuaire LDAP pour les systèmes d’exploitation Windows, le tout étant créé par Microsoft. Cet annuaire contient différents objets, de différents types (utilisateurs, ordinateurs, etc.), l’objectif étant de centraliser deux fonctionnalités essentielles : l’identification et l’authentification au sein d’un système d’information.

Ainsi, il va jouer un rôle clé et central dans un système d’information puisqu’il va permettre de gérer l’accès aux ressources (applications, partage de fichiers, imprimantes, etc.). Par exemple, lorsqu’un utilisateur souhaitera accéder à un fichier hébergé sur un partage, il sera nécessaire que ce dernier s’authentifie auprès de l’Active Directory. En fonction des permissions associées à son compte, l’accès au fichier lui sera autorisé ou refusé.

Depuis Windows Server 2000, les services d’annuaire Active Directory ont beaucoup évolué et ils continuent d’occuper une place importante au sein des organisations dans lesquelles ils sont mis en place. Pourtant, aujourd’hui, il existe des alternatives, dont le service de gestion des identités « Microsoft Entra ID », basé sur le Cloud.

Pour la petite histoire, l’Active Directory se nommait d’abord « NTDS » pour « NT Directory Services » que l’on peut traduire littéralement par « Service d’annuaire de NT », le tout à l’époque de Windows NT.

II. Les intérêts d’un annuaire

L’importante présence de l’Active Directory dans les entreprises suffit pour se convaincre de ses intérêts, mais alors, quels sont ces intérêts ?

cours-active-directory-1

- Administration centralisée et simplifiée : la gestion des objets, notamment des comptes utilisateurs et ordinateurs est simplifiée, car tout est centralisé dans l’annuaire Active Directory. De plus, on peut s’appuyer sur cet annuaire pour de nombreuses tâches comme l’attribution de permissions et le déploiement de stratégies de groupe sur ces objets (politique de configuration).

- Unifier l’authentification : un utilisateur authentifié sur une machine, elle-même authentifiée, pourra accéder aux ressources stockées sur d’autres serveurs ou ordinateurs enregistrés dans l’annuaire (à condition d’avoir les autorisations nécessaires). Ainsi, une authentification permettra d’accéder à tout un système d’information par la suite, surtout que de nombreuses applications sont capables de s’appuyer sur l’Active Directory pour l’authentification. Un seul compte peut permettre un accès à tout le système d’information, ce qui est fortement intéressant pour le contrôle des accès.

- Identifier les objets sur le réseau : chaque objet enregistré dans l’annuaire est unique, ce qui permet d’identifier facilement un objet sur le réseau et de le retrouver ensuite dans l’annuaire. S’il est nécessaire de « couper les accès » à un compte utilisateur, il suffira de désactiver ce compte, ce qui simplifie l’administration.

- Référencer les utilisateurs et les ordinateurs : l’annuaire s’apparente à une énorme base de données qui référence les utilisateurs, les groupes, les ordinateurs et les serveurs d’une entreprise. On s’appuie sur cette base de données pour réaliser de nombreuses opérations : authentification, identification, stratégie de groupe, déploiement de logiciels, politiques de sécurité, etc.

III. La structure de l’Active Directory

A. Les classes et les attributs

Au sein de l’annuaire Active Directory, il y a différents types d’objets, comme par exemple les utilisateurs, les ordinateurs, les serveurs, les unités d’organisation ou encore les groupes. En fait, ces objets correspondent à des classes, c’est-à-dire des objets disposant des mêmes attributs.

De ce fait, un objet ordinateur sera une instance d’un objet de la classe « Ordinateur » avec des valeurs spécifiques à l’objet concerné. La classe « Ordinateur » est partagée par les postes de travail et les serveurs inscrits dans l’annuaire Active Directory.

Certains objets peuvent être des containers d’autres objets, ainsi, les groupes permettront de contenir plusieurs objets de types utilisateurs afin de les regrouper et de simplifier l’administration. Une bonne pratique consiste à attribuer des permissions sur les groupes de sécurité, plutôt que sur les utilisateurs en direct.

Par ailleurs, les unités d’organisation sont des containers d’objets afin de faciliter l’organisation de l’annuaire et permettre une organisation avec plusieurs niveaux. C’est à l’administrateur de concevoir cette organisation et d’organiser les objets dans l’annuaire, bien qu’il y ait une structure de base.

Sans les unités d’organisation, l’annuaire ne pourrait pas être trié correctement et l’administration serait moins évidente. Comparez les unités d’organisation à des dossiers qui permettent de ranger les objets à l’intérieur, si cela est plus compréhensible pour vous.

B. Le schéma

Par défaut, tout annuaire Active Directory dispose de classes prédéfinies ayant chacune une liste d’attributs bien spécifique. Chaque annuaire Active Directory utilise cette structure de base comme point de départ. Elle est définie grâce à ce que l'on appelle le schéma Active Directory.

Le schéma contient la définition de toutes les classes et de tous les attributs disponibles et autorisés au sein de votre annuaire. Il est à noter que le schéma est évolutif, le modèle de base n’est pas figé et peut évoluer selon vos besoins, voir même pour répondre aux prérequis de certaines applications.

Par exemple, le serveur de messagerie Microsoft Exchange effectue des modifications au schéma lors de son installation.

Les modifications du schéma doivent être réalisées avec précaution, car l’impact est important et se ressentira sur toute la classe d’objets concernée. Pour preuve, le schéma est protégé et les modifications contrôlées, puisque seuls les membres du groupe de sécurité « Administrateurs du schéma » peuvent, par défaut, effectuer des modifications.

Console pour gérer le schéma de l'annuaire Active Directory
Console pour gérer le schéma de l'annuaire Active Directory

C. Les partitions d’annuaire

La base de données Active Directory est divisée de façon logique en trois partitions de répertoire (appelé « Naming Context »). Ces trois partitions sont la partition de schéma, la partition de configuration, et la partition de domaine.

La partition de schéma : cette partition contient l'ensemble des définitions des classes et des attributs d’objets, qu’il est possible de créer au sein de l'annuaire Active Directory. Cette partition est unique au sein d’une forêt.

La partition de configuration : cette partition contient la topologie de la forêt (informations sur les domaines, les liens entre les contrôleurs de domaines, les sites, etc.). Cette partition est unique au sein d’une forêt.

La partition de domaine : cette partition contient les informations de tous les objets d'un domaine (ordinateur, groupe, utilisateur, etc.). Cette partition est unique au sein d’un domaine, il y aura donc autant de partitions de domaine qu’il y a de domaines.

Certaines notions évoquées ici peuvent être inconnues à vos yeux (forêts, GPO,…), rassurez-vous ce cours est là pour cela et nous aborderons ces points au sein des prochains modules et chapitres. Dans un premier temps, nous allons enchaîner sur la notion de domaine et de contrôleur de domaine.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

7 commentaires sur “Un annuaire Active Directory, pourquoi ?

  • Merci , c’est bien expliquer
    Bonne continuation

    Répondre
  • Comme Dora 🙂

    Heureusement que vos cours existe, car ce n’est pas dans mes cours de BTS SIO SISR qu’on va expliquer ce qu’est exactement la notion de forêt, de domaine, de contrôleur de domaine… Par contre on n’hésite pas à vous donner des TPs à faire sur ça mais on oublie les explications théoriques.

    Plante un clou avec le marteau posé à côté de toi… Mais attend c’est quoi un marteau et c’est quoi un clou.

    Bref merci pour les explications :). Vos cours sont super intéressants et très bien expliqués.

    Répondre
  • Merci beaucoup,c’est un plaisir de lire vos article c’est bien expliqué ;bonne continuation

    Répondre
  • bonjour Florian
    j un petit soucis, j visionne un de tes tutoriels vidéos sur comment installe un Active directory. j bien suivie le procédure mais quand j’essaie de modifie le nom de l’ordinateur et accédée au domaine il y a un message qui apparait: l’erreur suivante s’est produit lors de la tentative de jonction au domaine *SAFI*. le domaine spécifie n’existe pas ou n’a pas pu etre contacte.
    merci bien

    Répondre
    • il lui manque surment le DNS, ajoute l’adresse dns de l’AD sur ton pc hote

      Répondre
  • Bonjour Florian, j’aime bien ces cours que je suis avec attention.
    J’ai une petite question au vue de tous ce qui précède. Dans quelle partition se trouve la base de donnée NTDS.dit de l’active directory?

    Merci pour les réponses.

    Répondre
  • Bonjour cher Florian ,oui tues cher parce que tu es parmi les meilleurs profs . merci beaucoup pour ton travail ça m’a beaucoup aidé, je reviendrai encore en privé

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.