Qu’est-ce qu’Active Directory et comment fonctionne-t-il ?
Active Directory (AD) est le service d’annuaire propriétaire de Microsoft. Il fonctionne sur Windows Server et permet aux administrateurs de gérer les autorisations et l’accès aux ressources réseau.
Active Directory stocke les données sous forme d’objets. Un objet est un élément unique, tel qu’un utilisateur, un groupe, une application ou un périphérique tel qu’une imprimante. Les objets sont normalement définis comme des ressources, telles que des imprimantes ou des ordinateurs, ou des principes de sécurité, tels que des utilisateurs ou des groupes.
Active Directory classe les objets de répertoire par nom et attributs. Par exemple, le nom d’un utilisateur peut inclure la chaîne de noms, ainsi que des informations associées à l’utilisateur, telles que des mots de passe et des clés Shell sécurisées.
Le service principal d’Active Directory est les services de domaine (AD DS), qui stockent les informations d’annuaire et gèrent l’interaction de l’utilisateur avec le domaine. AD DS vérifie l’accès lorsqu’un utilisateur se connecte à un appareil ou tente de se connecter à un serveur via un réseau. AD DS contrôle les utilisateurs ayant accès à chaque ressource, ainsi que les stratégies de groupe. Par exemple, un administrateur a généralement un niveau d’accès aux données différent de celui d’un utilisateur final.
D’autres produits du système d’exploitation Microsoft et Windows, tels que Exchange Server et SharePoint Server, s’appuient sur AD DS pour fournir un accès aux ressources. Le serveur qui héberge AD DS est le contrôleur de domaine.
Services Active Directory
Plusieurs services différents comprennent Active Directory. Le service principal est les services de domaine, mais Active Directory inclut également les Services d’annuaire légers (AD LDS), le Protocole LDAP (Lightweight Directory Access Protocol), les Services de certificat ou AD CS, les Services de fédération (AD FS) et les Services de Gestion des droits (AD RMS). Chacun de ces autres services étend les capacités de gestion des répertoires du produit.
- Les services d’annuaire légers ont la même base de code qu’AD DS, partageant des fonctionnalités similaires, telles que l’interface du programme d’application. AD LDS, cependant, peut s’exécuter dans plusieurs instances sur un serveur et contient des données de répertoire dans un magasin de données à l’aide d’un protocole d’accès aux répertoires léger.
- Le protocole d’accès à l’annuaire léger est un protocole d’application utilisé pour accéder et maintenir des services d’annuaire sur un réseau. LDAP stocke des objets, tels que des noms d’utilisateur et des mots de passe, dans des services d’annuaire, tels qu’Active Directory, et partage ces données d’objet sur le réseau.
- Certificate Services génère, gère et partage des certificats. Un certificat utilise le cryptage pour permettre à un utilisateur d’échanger des informations sur Internet en toute sécurité avec une clé publique.
- Les services de fédération Active Directory authentifient l’accès des utilisateurs à plusieurs applications, même sur différents réseaux, à l’aide de l’authentification unique (SSO). Comme son nom l’indique, l’authentification unique exige que l’utilisateur ne se connecte qu’une seule fois, plutôt que d’utiliser plusieurs clés d’authentification dédiées pour chaque service.
- Les services de gestion des droits contrôlent les droits et la gestion de l’information. AD RMS crypte le contenu, tel que les e-mails ou les documents Microsoft Word, sur un serveur pour en limiter l’accès.
Principales fonctionnalités des services de domaine Active Directory
Les services de domaine Active Directory utilisent une structure de mise en page à plusieurs niveaux composée de domaines, d’arbres et de forêts pour coordonner les éléments en réseau.
Les domaines sont les plus petits des niveaux principaux, tandis que les forêts sont les plus grandes. Différents objets, tels que les utilisateurs et les appareils, qui partagent la même base de données seront sur le même domaine. Une arborescence est un ou plusieurs domaines regroupés avec des relations de confiance hiérarchiques. Une forêt est un groupe d’arbres multiples. Les forêts fournissent des limites de sécurité, tandis que les domaines – qui partagent une base de données commune – peuvent être gérés pour des paramètres tels que l’authentification et le cryptage.
- Un domaine est un groupe d’objets, tels que des utilisateurs ou des périphériques, qui partagent la même base de données AD. Les domaines ont un système de noms de domaine
- Une arborescence est un ou plusieurs domaines regroupés. L’arborescence utilise un espace de noms contigu pour rassembler la collection de domaines dans une hiérarchie logique. Les arborescences peuvent être considérées comme des relations de confiance dans lesquelles une connexion sécurisée, ou confiance, est partagée entre deux domaines. Il est possible de faire confiance à plusieurs domaines où un domaine peut faire confiance à un deuxième et le deuxième domaine peut faire confiance à un troisième. En raison de la nature hiérarchique de cette configuration, le premier domaine peut implicitement faire confiance au troisième domaine sans avoir besoin d’une confiance explicite.
- Une forêt est un groupe d’arbres multiples. Une forêt se compose de catalogues partagés, de schémas de répertoires, d’informations d’application et de configurations de domaine. Le schéma définit la classe et les attributs d’un objet dans une forêt. De plus, les serveurs de catalogue globaux fournissent une liste de tous les objets d’une forêt. Selon Microsoft, la forêt est la limite de sécurité d’Active Directory.
- Les unités organisationnelles (UO) organisent les utilisateurs, les groupes et les périphériques. Chaque domaine peut contenir sa propre unité d’organisation. Cependant, les UO ne peuvent pas avoir d’espaces de noms distincts, car chaque utilisateur ou objet d’un domaine doit être unique. Par exemple, un compte utilisateur avec le même nom d’utilisateur ne peut pas être créé.Les conteneurs
- sont similaires aux unités d’organisation, mais les objets de stratégie de groupe ne peuvent pas être appliqués ou liés aux objets conteneur.
Terminologie de confiance
Active Directory s’appuie sur des approbations pour modérer les droits d’accès des ressources entre les domaines. Il existe plusieurs types de fiducies:
- Une approbation unidirectionnelle est lorsqu’un premier domaine autorise des privilèges d’accès aux utilisateurs d’un deuxième domaine. Cependant, le deuxième domaine ne permet pas l’accès aux utilisateurs du premier domaine.
- Une confiance bidirectionnelle est lorsqu’il y a deux domaines et que chaque domaine permet l’accès aux utilisateurs de l’autre domaine.
- Un domaine de confiance est un domaine unique qui permet à l’utilisateur d’accéder à un autre domaine, appelé domaine de confiance.
- Une confiance transitive peut s’étendre au-delà de deux domaines et permettre l’accès à d’autres domaines approuvés dans une forêt.
- Une confiance intransitive est une confiance unidirectionnelle limitée à deux domaines.
- Une approbation explicite est une approbation unidirectionnelle non transitive créée par un administrateur réseau.
- Une confiance croisée est un type de confiance explicite. Les approbations de liens croisés ont lieu entre les domaines dans 1) la même arborescence, sans relation enfant-parent entre les deux domaines, ou 2) des arborescences différentes.
- Une fiducie forestière s’applique aux domaines de la forêt entière et peut être unidirectionnelle, bidirectionnelle ou transitive.
- Un raccourci relie deux domaines appartenant à des arbres distincts. Les raccourcis peuvent être unidirectionnels, bidirectionnels ou transitifs.
- Un royaume est une confiance transitive, intransitive, unidirectionnelle ou bidirectionnelle.
- Une approbation externe est une approbation qui relie des domaines à travers des forêts distinctes ou des domaines qui ne sont pas AD. Les fiducies externes peuvent être non transitoires, unidirectionnelles ou bidirectionnelles.
- Une confiance PAM (private access management) est une confiance unidirectionnelle créée par Microsoft Identity Manager entre une forêt de production et une forêt de bastion.
Historique et développement d’Active Directory
Microsoft a offert un aperçu d’Active Directory en 1999 et l’a publié un an plus tard avec Windows 2000 Server. Microsoft a continué à développer de nouvelles fonctionnalités à chaque version successive de Windows Server.
Windows Server 2003 comprenait une mise à jour notable pour ajouter des forêts et la possibilité de modifier et de modifier la position des domaines dans les forêts. Les domaines sur Windows Server 2000 n’ont pas pu prendre en charge les mises à jour PUBLICITAIRES plus récentes exécutées dans Server 2003.
Windows Server 2008 a introduit AD FS. De plus, Microsoft a rebaptisé l’annuaire pour la gestion de domaine en AD DS, et AD est devenu un terme générique pour les services basés sur des répertoires qu’il prenait en charge.
Windows Server 2016 a mis à jour AD DS pour améliorer la sécurité des publicités et migrer les environnements PUBLICITAIRES vers des environnements cloud ou hybrides. Les mises à jour de sécurité comprenaient l’ajout de PAM.
PAM a surveillé l’accès à un objet, le type d’accès accordé et les actions effectuées par l’utilisateur. PAM a ajouté bastion AD forests pour fournir un environnement forestier sécurisé et isolé supplémentaire. Windows Server 2016 a mis fin à la prise en charge des périphériques sur Windows Server 2003.
En décembre 2016, Microsoft a publié Azure AD Connect pour rejoindre un système Active Directory sur site avec Azure Active Directory (Azure AD) afin d’activer l’authentification unique pour les services cloud de Microsoft, tels qu’Office 365. Azure AD Connect fonctionne avec les systèmes exécutant Windows Server 2008, Windows Server 2012, Windows Server 2016 et Windows Server 2019.
Domaines par rapport aux groupes de travail
Le groupe de travail est le terme utilisé par Microsoft pour désigner les machines Windows connectées sur un réseau peer-to-peer. Les groupes de travail sont une autre unité d’organisation pour les ordinateurs Windows dans les réseaux. Les groupes de travail permettent à ces machines de partager des fichiers, un accès Internet, des imprimantes et d’autres ressources sur le réseau. La mise en réseau Peer-to-peer élimine le besoin d’un serveur pour l’authentification. Il existe plusieurs différences entre les domaines et les groupes de travail:Les domaines
- , contrairement aux groupes de travail, peuvent héberger des ordinateurs de différents réseaux locaux.Les domaines
- peuvent être utilisés pour héberger beaucoup plus d’ordinateurs que de groupes de travail. Les domaines peuvent inclure des milliers d’ordinateurs, contrairement aux groupes de travail, qui ont généralement une limite supérieure proche de 20.
- Dans les domaines, au moins un serveur est un ordinateur utilisé pour contrôler les autorisations et les fonctions de sécurité pour chaque ordinateur du domaine. Dans les groupes de travail, il n’y a pas de serveur et les ordinateurs sont tous des pairs.
- Les utilisateurs de domaine ont généralement besoin d’identifiants de sécurité tels que les identifiants de connexion et les mots de passe, contrairement aux groupes de travail.
Principaux concurrents d’Active Directory
D’autres services d’annuaire sur le marché qui offrent des fonctionnalités similaires à AD incluent Red Hat Directory Server, Apache Directory et OpenLDAP.
Red Hat Directory Server gère l’accès des utilisateurs à plusieurs systèmes dans des environnements Unix. Comme pour AD, Red Hat Directory Server inclut un identifiant utilisateur et une authentification basée sur un certificat pour restreindre l’accès aux données du répertoire.
Apache Directory est un projet open source qui s’exécute sur Java et fonctionne sur n’importe quel serveur LDAP, y compris les systèmes sous Windows, macOS et Linux. Le répertoire Apache comprend un navigateur de schéma et un éditeur et navigateur LDAP. Le répertoire Apache prend en charge les plugins Eclipse.
OpenLDAP est un répertoire LDAP open source basé sur Windows. OpenLDAP permet aux utilisateurs de parcourir, de rechercher et de modifier des objets sur un serveur LDAP. Les fonctionnalités d’OpenLDAP incluent la copie, le déplacement et la suppression d’arborescences dans l’annuaire, ainsi que l’activation de la navigation dans les schémas, de la gestion des mots de passe et de la prise en charge du protocole SSL LDAP (Secure Sockets Layer).
Lisez cet aperçu pour en savoir plus sur les bases d’Active Directory.
Découvrez quelles techniques peuvent être utilisées pour résoudre les problèmes courants dans Active Directory et des conseils sur le dépannage de la réplication.