L’Active Directory est l’annuaire Windows. Il répertorie les utilisateurs, les ordinateurs ainsi que tout autre ressource et permet de les organiser. Il est installé sur un serveur tournant sur Windows Server connecté au réseau de l’organisme qui gère ses utilisateurs.
A l’installation d’un PC Windows, ce dernier est par défaut lié à un Groupe de travail nommé « Workgroup ». Il dispose de sa propre base d’utilisateur local (Administrateur, prenom.nom, invité…), ne permettant pas ainsi de retrouver ce compte utilisateur sur un autre ordinateur.
Afin d’accéder à ce même utilisateur sur un autre ordinateur, il ne faut pas le connecter à un groupe de travail mais à un Domaine : c’est par exemple là où l’Active Directory intervient. Ce dernier en tant qu’annuaire permet de répertoriés tous les utilisateurs ainsi que les ressources informatique, afin de les organiser, leur attribuer des droits et gérer leur accès aux applications.
Administration des utilisateurs et ressources
L’active Directory est donc un annuaire LDAP permettant de gérer les utilisateurs qui y sont rassemblés dans un même Domaine.
« Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole d’application permettant d’utiliser différents services d’annuaire. Les services d’annuaire, tels qu’Active Directory, stockent les informations d’utilisateur et de compte, ainsi que les informations de sécurité telles que les mots de passe »
https://learn.microsoft.com/fr-fr/entra/architecture/auth-ldap
Il y est disponible via un Controleurs de Domaines (ou DC), qui designe généralement le serveur Windows Server 2XXX gérant l’AD.
Il est nécessaire dans toute organisation ayant de nombreux utilisateurs (personnes utilisatrices), ordinateurs (fixe, laptop) et ressources (applications) qui doivent être répertorié est organisé. L’AD est utile car il permet de gérer l’identification, l’authentification et les droits d’utilisations des différents objets qu’il organise.
Les Contrôleurs de Domaines
Une architecture ADs classique se base sur plusieurs CDs synchronisant les données entre eux.
Cela est impératif car en cas de panne d’un Contrôleur de Domaine, cela empêchera une personne de se connecter à son ordinateur : en effet, son authentification sera impossible.
Le premier contrôleur de domaine initialise donc l’organisation des Objets (utilisateurs, équipements, droits) répartie dans l’Arbre des domaines de l’organisation. Ensuite sur un second serveur est installé un nouveau contrôleur de domaine qui possède cette copie.
Architecture des données
Tous ces éléments sont rassemblé dans :
- La Forêt AD, obéissant à un même schéma et lié à un « catalogue globale ». Tous les utilisateurs d’une forêt pourront accéder aux autres domaines. Cette dernière contenant…
- Des Arbres ADs, contenant…
- Des Domaines, symbolisé par un triangle, contenant…
- Des Unités d’Organisation, contenant…
- des Objects Ads
Les fonctionnalité de l’AD sont définis sur un niveau Fonctionnel dépendant de la version de Windows Serveur. Si un seul contrôleur de domaine est en 2008, alors tous les controleurs de domaines (même plus recents) devront être définis sur 2008.
Le schéma de l’active directory contient la définition de toutes les classes de bases qui serviront à créer des objets ADs.
Les Objets ADs
Lors de mise à jour, le schéma peut évoluer faisant ainsi évoluer les classes et leur attribut. Les objetcs ADs sont des instances de ces classes contenant des attributs.
Les classes disponibles dans l’ADs sont celle-ci :
- Les Utilisateurs : les utilisateurs de l’organisation (entreprise, association etc.)
- Les Ressources : les éléments matériels (imprimantes, ordinateurs)
- Les Groupes : Liste d’utilisateurs selon des services (permettant d’y lier des droits).
Ces informations sont stockées dans la Partition de domaine, l’une des trois partition de l’active Directory.
GPO
Enfin, un ensemble de règle concernant l’accès ou l’interdiction est définissable dans les GPOs (Groupe Policies Object, ou Stratégie de groupe). Les GPOs peuvent être appliquées à l’ensemble d’un domaine ou à des UOs précis