Active Directory : définition et mode de fonctionnement
Microsoft Active Directory pour les réseaux Windows vous permet de gérer de manière centralisée les ressources informatiques internes, de modifier les droits et les stratégies et de surveiller divers services. Nous expliquons les caractéristiques du service d’annuaire et comment fonctionne Active Directory de Windows.
- 1 certificat SSL Wildcard par contrat
- Fonction incluse Domain Connect pour une configuration DNS simplifiée
Active Directory : définition
Active Directory (AD) est un service d’annuaire développé par Microsoft pour les réseaux Windows. AD joue un rôle important pour les entreprises disposant de ressources informatiques complexes, de droits d’utilisateur et de groupes de travail hiérarchiques : en fait, Active Directory peut être considéré comme un carnet d’adresses et un annuaire téléphonique, à la différence près qu’il dispose de beaucoup plus d’options dédiées aux administrateurs pour gérer, modifier, interroger et structurer les données utilisateur et objet stockées. L’infrastructure informatique d’une organisation peut être subdivisée en « domaines » à l’aide du service d’annuaire de façon à en obtenir une représentation claire.
Mission et fonction d’Active Directory
La meilleure façon d’illustrer le fonctionnement d’Active Directory dans les serveurs de réseaux Windows et les tâches dont il s’acquitte est de s’appuyer sur un exemple : imaginez une grande entreprise de 150 employés. Tous les employés dépendent des composantes de l’infrastructure informatique de l’entreprise, tels que les comptes d’utilisateur, les imprimantes, les scanners et le partage des autorisations sur les ordinateurs dans différents groupes de travail. Pour éviter de gérer les ressources informatiques au cas par cas pour chaque poste de travail, Active Directory peut représenter les structures d’entreprise, sauvegarder les données utilisateur et objet, gérer et distribuer les autorisations de manière centralisée.
Par exemple, il est ainsi inutile de modifier le mot de passe sur chaque périphérique, mais une seule fois suffit dans AD. Les mises à jour et les mises à niveau du système peuvent également être effectuées de manière centralisée. L’administration AD et l’accès en écriture aux ressources informatiques sont entre les mains des administrateurs système. Les tâches de Microsoft Active Directory englobent :
- l’organisation hiérarchique et la représentation des ressources TI internes, des utilisateurs et objets (matériel, logiciels, rôles d’utilisateur et composants/périphériques/services de réseau) ;
- la gestion et l’organisation de l’espace de stockage ;
- le partage et le verrouillage des droits d’accès et d’application (par exemple : sur les annuaires et les services) ;
- la sauvegarde et la protection du réseau de l’entreprise
Mettez les avantages de Windows Active Directory à profit pour votre entreprise avec Microsoft 365 de IONOS, qui englobe tous les services Windows.
Structure élémentaire d’Active Directory dans les réseaux Windows
Un Active Directory est constitué de trois composants centraux : schéma, configuration et domaine. Les domaines qui contiennent toutes les informations importantes sur les ressources TI et les utilisateurs et qui constituent le réseau sont la clef de voûte du système. La base de données et ses objets sont tout aussi importants pour la structure globale. Examinons les différents composants à la suite.
Schéma
Comme son nom l’indique, le schéma AD sert de modèle aux classifications et types d’entrées AD requis et autorisés. Il s’agit notamment des objets, y compris les attributs, les classes et la syntaxe des attributs. Le schéma utilise des définitions pour déterminer quels objets sont disponibles ou peuvent être mis à disposition dans le réseau.
Configuration
Tandis que le schéma définit les contenus possibles, la configuration AD représente la structure d’Active Directory et de tous les objets, rôles d’utilisateur et partages contenus. Elle regroupe, entre autres, les domaines existants qui subdivisent les groupes de travail dans le réseau informatique. Les contenus et les informations spécifiques au domaine ne sont disponibles à leur tour que par le biais des contrôleurs de domaine internes du domaine concerné. Ils contiennent un catalogue global contenant toutes les informations importantes et des informations partielles sur le schéma, la configuration et les autres domaines du même réseau. Le catalogue global peut être utilisé pour rechercher et consulter des informations partielles importantes sur tous les domaines.
Domaine
Les domaines constituent dans Active Directory la base de la structure hiérarchique des objets, des groupes de travail et des utilisateurs gérés par les administrateurs. Tout comme les répertoires et les sous-répertoires, un domaine contient toutes les informations sur les objets et les attributs qui concernent uniquement le domaine. Les informations spécifiques au domaine ne peuvent être consultées à partir d’autres domaines que si elles sont contenues dans le catalogue global. Toutes les autres informations sont disponibles uniquement sur le contrôleur de domaine interne. Un domaine sert donc d’élément structurant important, qui délimite les unités de gestion et de réseau sous la forme de divisions réelles, de groupes de travail et de services, et organise les autorisations de manière hiérarchique. Les noms de domaine sont attribués comme des serveurs DNS classiques.
Base de données et objets
Comme un serveur Microsoft Exchange, la base de données d’Active Directory est basée sur le moteur Microsoft Jet. Elle est basée sur des objets et est structurée de manière hiérarchique. Les objets représentent les enregistrements respectifs et les stratégies de groupe pour les ressources informatiques. Leurs propriétés sont appelées attributs et leurs types sont définis en conséquence. Les objets sont divisés en catégories « Comptes » (par ex. : comptes de service et d’utilisateur pour les employés, les groupes ou les périphériques) et « Ressources » (par ex. : partage d’applications et de services).
On distingue les objets à leur tour entre les « conteneurs », qui contiennent d’autres objets prédéfinis ou autodéfinis, et les « non-conteneurs », qui ne contiennent aucun autre objet et sont également appelés nœuds terminaux/feuilles.
Quatre composants techniques AD principaux
Quatre standards fondamentaux sont utilisés pour permettre une communication unifiée entre les ordinateurs, les applications, les services, les répertoires AD et les domaines :
- LDAP (Lightweight Directory Access Protocol) : protocole pour les requêtes unifiées soumises aux répertoires Active Directory
- Protocole Kerberos : protocole pour l’authentification centralisée et unifiée et les droits d’accès des utilisateurs sur les serveurs AD
- SMB (Server Message Block) : protocole pour les droits d’accès tels que les stratégies de groupe ou les scripts de connexion aux fichiers dans le réseau AD et les serveurs
- DNS (Domain Name System) : système pour l’adressage uniformisé des noms d’ordinateurs et des domaines dans Active Directory
Voici comment fonctionne la hiérarchie dans Active Directory
Au premier abord, il est difficile de discerner Active Directory entre toutes les arborescences. Au-delà de ce qui peut s’apparenter à un mauvais jeu de mots, la structure globale d’AD est effectivement appelée forêt et peut contenir plusieurs arbres sous forme de domaines racines et de sous-domaines d’un espace DNS. Les conteneurs organisés en domaines sont considérés comme l’unité la plus élémentaire. Les domaines fédérés représentent la structure organisationnelle et les ressources de l’entreprise, mais peuvent toutefois être configurés indépendamment des structures physiques et logiques de l’entreprise. On peut ainsi regrouper plusieurs sites dans un domaine ou gérer différents domaines sur un site.
Les informations disponibles pour tous les utilisateurs AD sont :
- le schéma,
- la configuration,
- les informations de domaine dans le catalogue global.
Les données spécifiques au domaine, en revanche, ne sont accessibles que par l’intermédiaire des contrôleurs de domaine internes mentionnés plus haut. Un domaine possède généralement deux contrôleurs, ce qui empêche la perte de données grâce à la réplication multimaître, c’est-à-dire le contrôleur de sauvegarde et les copies AD.
Les droits d’utilisateur, les domaines et les contrôleurs de domaine sont organisés et configurés par l’administrateur compétent.
Avantages d’Active Directory
Tour d’horizon des avantages d’Active Directory pour les réseaux Windows complexes en entreprise :
- gestion et configuration centralisées des partages, des droits et des stratégies pour les utilisateurs, les groupes, les services et les applications
- protection contre les pannes et la perte de données grâce à la réplication multimaître au sein de la structure de domaine
- représentation et configuration centralisée de la structure organisationnelle des réseaux informatiques Windows
- extension et mise à l’échelle flexibles des structures de domaine
- protection de l’information par délimitation hiérarchique entre les divisions, les services et les groupes de travail ayant des droits d’accès différents
- compatibilité avec d’autres services d’annuaire
- réduction des coûts et des tâches grâce à une administration centralisée
- Modifiez, partagez et stockez vos fichiers
- Data centers européens certifiés ISO
- Sécurité élevée des données, conforme au RGPD