[Active Directory] – Comment définir un "domaine" Active Directory? Explications…

Donner une définition au terme « Domaine » n’est pas forcément la chose la plus simple lorsque nous employons le vocabulaire lié à l’annuaire Microsoft! Comment le définir?

L’approche la plus classique pour expliquer ce qu’est un domaine Active Directory consiste à le présenter comme un domaine de sécurité en spécifiant qu’il utilise la réplication multimaître. Jusqu’ici tout va bien! En effet, c’est exact mais un peu trop simple 😉 et pas franchement éclairant…essayons d’aller un peu plus loin.

Si nous nous tournons dans le monde des réseaux, chacun d’entre eux, quelque soit le type – un bon exemple que tout le monde connaît et utilise au quotidien, votre bonne veille borne WiFi! –  doit conserver une liste d’informations des utilisateurs (noms, mots de passe et autorisations). Si j’ai maintenant plusieurs ordinateurs qui souhaiterai communiquer ensemble, je tombe sur un os; comment partager cette liste contenant tous les ordinateurs qui sont connectés sur mon réseau? Il vous faut pour cela des serveurs appelés « contrôleurs de domaine », chacun d’entre eux possédant une base de données de vos utilisateurs, ordinateurs, etc. appelé NTDS.DIT (New Technology Directory Information Service . Directory Information Tree).

Les serveurs et ordinateurs clients possèdent toujours leur fameuse liste de comptes d’utilisateurs locaux (la base SAMSecurity Account Manager), mais ceux-ci sont très rarement utilisés… Si vous me suivez toujours, vous êtes peut-être en train de vous dire « mais alors un domaine Active Directory est une base SAM géante? c’est à dire à l’échelle de l’entreprise? » Ca va beaucoup plus loin…

 

  • Définition d’Active Directory

Active Directory est un annuaire des objets du réseau, il permet aux utilisateurs de localiser, gérer et d’utiliser les ressources de l’entreprise.

 

  • Que stocke la base de données NTDS.DIT?

Utilisateurs, ordinateurs, groupes, unités d’organisations, sites, GPOs, partages de fichiers, partages d’imprimantes, informations DNS, contacts! Pour résumé, toutes les informations liés à votre domaine seront stockés dans cette base de données!

 

  • Processus simplifié d’authentification

Lorsque qu’une personne s’installe devant un ordinateur et se présente comme étant membre de votre domaine, votre ordinateur récupère le nom d’utilisateur et le mot de passe que vous avez fournis et les transmet au contrôleur de domaine de la façon suivante;

1) Est-ce qu’il s’agit d’un nom d’utilisateur et d’un mot de passe valide dans la base de données de votre domaine?

2) Si le contrôleur de domaine indique que la combinaison « nom d’utilisateur + mot de passe » est valide, alors l’ordinateur se fie au contrôleur de domaine considérant qu’il dit la vérité.

 

  • Dans quel language communique Active Directory?

Active Directory utilise un langage de requête. Les deux principaux langages dont se sert Active Directory pour communiquer sont LDAP – Lightweight Directory Access Protocol (protocole standard) et ADSI – Active Directory Service Interfaces (protocole propriétaire à Microsoft).

 

  • Est-ce que la base de données Active Directory à une taille limitée?

Les domaines NT4 (domaine propriétaire Microsoft avant Active Directory) avaient une taille limitée à 5000 objets par domaine. C’est bien souvent pour cela que les entreprises qui utilisaient ce système à l’époque mettaient en place plusieurs domaines alors que vous avez très certainement remarqué que les entreprise actuelles n’ont bien souvent ce que nous appelons dans le vocabulaire Active Directory une architecture « mono-domaine ». En effet, la limitation des 5000 objets par domaine provenant du monde NT4 à évolué et Active Directory permet de stocker aujourd’hui plusieurs centaines de millions d’objets dans un même domaine. 

 

  • Fondamentaux de la base de données Active Directory

 * Les bases de données avec plusieurs serveurs de bases de données doivent parvenir à préserver l’intégrité des informations entre les différents serveurs. Le système de réplication multimaître d’Active Directory est intéressant mais vous le découvrirez dans un prochain article, vous rencontrez des problèmes lorsqu’un contrôleur de domaine ne peut tout simplement pas se mettre à jour avec les autres contrôleurs.

* Les bases de données doivent êtres sécurisées, il faut pouvoir contrôler qui modifie quoi, où et quand! Active Directory permet de gérer la sécurité jusqu’au niveau d’un enregistrement. Par exemple, « Jordan ne pourra modifier que le compte de Michel qui se trouve sur le site de Genève ».

* Les bases de données doivent être dotées de plans de récupération après incident.

* Active Directory doit être défragmenté régulièrement et sa mémoire nettoyée. Une grosse partie de ce travail est faite automatiquement mais vous pouvez personnaliser ce système de nettoyage avec NTDSUTIL.exe (NTDS Utility).

Non classé

jordanlaurent

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *