Active Directory : définition et mode de fonctionnement

Microsoft Active Directory pour les réseaux Windows vous permet de gérer de manière centralisée les ressources informatiques internes, de modifier les droits et les stratégies et de surveiller divers services. Nous expliquons les caractéristiques du service d’annuaire et comment fonctionne Active Directory de Windows.

Active Directory (AD) est un service d’annuaire développé par Microsoft pour les réseaux Windows. AD joue un rôle important pour les entreprises disposant de ressources informatiques complexes, de droits d’utilisateur et de groupes de travail hiérarchiques : en fait, Active Directory peut être considéré comme un carnet d’adresses et un annuaire téléphonique, à la différence près qu’il dispose de beaucoup plus d’options dédiées aux administrateurs pour gérer, modifier, interroger et structurer les données utilisateur et objet stockées. L’infrastructure informatique d’une organisation peut être subdivisée en « domaines » à l’aide du service d’annuaire de façon à en obtenir une représentation claire.

Un Active Directory est constitué de trois composants centraux : schéma, configuration et domaine. Les domaines qui contiennent toutes les informations importantes sur les ressources TI et les utilisateurs et qui constituent le réseau sont la clef de voûte du système. La base de données et ses objets sont tout aussi importants pour la structure globale. Examinons les différents composants à la suite.

Comme son nom l’indique, le schéma AD sert de modèle aux classifications et types d’entrées AD requis et autorisés. Il s’agit notamment des objets, y compris les attributs, les classes et la syntaxe des attributs. Le schéma utilise des définitions pour déterminer quels objets sont disponibles ou peuvent être mis à disposition dans le réseau.

Tandis que le schéma définit les contenus possibles, la configuration AD représente la structure d’Active Directory et de tous les objets, rôles d’utilisateur et partages contenus. Elle regroupe, entre autres, les domaines existants qui subdivisent les groupes de travail dans le réseau informatique. Les contenus et les informations spécifiques au domaine ne sont disponibles à leur tour que par le biais des contrôleurs de domaine internes du domaine concerné. Ils contiennent un catalogue global contenant toutes les informations importantes et des informations partielles sur le schéma, la configuration et les autres domaines du même réseau. Le catalogue global peut être utilisé pour rechercher et consulter des informations partielles importantes sur tous les domaines.

Les domaines constituent dans Active Directory la base de la structure hiérarchique des objets, des groupes de travail et des utilisateurs gérés par les administrateurs. Tout comme les répertoires et les sous-répertoires, un domaine contient toutes les informations sur les objets et les attributs qui concernent uniquement le domaine. Les informations spécifiques au domaine ne peuvent être consultées à partir d’autres domaines que si elles sont contenues dans le catalogue global. Toutes les autres informations sont disponibles uniquement sur le contrôleur de domaine interne. Un domaine sert donc d’élément structurant important, qui délimite les unités de gestion et de réseau sous la forme de divisions réelles, de groupes de travail et de services, et organise les autorisations de manière hiérarchique. Les noms de domaine sont attribués comme des serveurs DNS classiques.

Comme un serveur Microsoft Exchange, la base de données d’Active Directory est basée sur le moteur Microsoft Jet. Elle est basée sur des objets et est structurée de manière hiérarchique. Les objets représentent les enregistrements respectifs et les stratégies de groupe pour les ressources informatiques. Leurs propriétés sont appelées attributs et leurs types sont définis en conséquence. Les objets sont divisés en catégories « Comptes » (par ex. : comptes de service et d’utilisateur pour les employés, les groupes ou les périphériques) et « Ressources » (par ex. : partage d’applications et de services).

On distingue les objets à leur tour entre les « conteneurs », qui contiennent d’autres objets prédéfinis ou autodéfinis, et les « non-conteneurs », qui ne contiennent aucun autre objet et sont également appelés nœuds terminaux/feuilles.

Quatre standards fondamentaux sont utilisés pour permettre une communication unifiée entre les ordinateurs, les applications, les services, les répertoires AD et les domaines :

• LDAP (Lightweight Directory Access Protocol) : protocole pour les requêtes unifiées soumises aux répertoires Active Directory
• Protocole Kerberos : protocole pour l’authentification centralisée et unifiée et les droits d’accès des utilisateurs sur les serveurs AD
• SMB (Server Message Block) : protocole pour les droits d’accès tels que les stratégies de groupe ou les scripts de connexion aux fichiers dans le réseau AD et les serveurs
• DNS (Domain Name System) : système pour l’adressage uniformisé des noms d’ordinateurs et des domaines dans Active Directory

Au premier abord, il est difficile de discerner Active Directory entre toutes les arborescences. Au-delà de ce qui peut s’apparenter à un mauvais jeu de mots, la structure globale d’AD est effectivement appelée forêt et peut contenir plusieurs arbres sous forme de domaines racines et de sous-domaines d’un espace DNS. Les conteneurs organisés en domaines sont considérés comme l’unité la plus élémentaire. Les domaines fédérés représentent la structure organisationnelle et les ressources de l’entreprise, mais peuvent toutefois être configurés indépendamment des structures physiques et logiques de l’entreprise. On peut ainsi regrouper plusieurs sites dans un domaine ou gérer différents domaines sur un site.

Les informations disponibles pour tous les utilisateurs AD sont :

• le schéma,
• la configuration,
• les informations de domaine dans le catalogue global.

Les données spécifiques au domaine, en revanche, ne sont accessibles que par l’intermédiaire des contrôleurs de domaine internes mentionnés plus haut. Un domaine possède généralement deux contrôleurs, ce qui empêche la perte de données grâce à la réplication multimaître, c’est-à-dire le contrôleur de sauvegarde et les copies AD.

Tour d’horizon des avantages d’Active Directory pour les réseaux Windows complexes en entreprise :

• gestion et configuration centralisées des partages, des droits et des stratégies pour les utilisateurs, les groupes, les services et les applications
• protection contre les pannes et la perte de données grâce à la réplication multimaître au sein de la structure de domaine
• représentation et configuration centralisée de la structure organisationnelle des réseaux informatiques Windows
• extension et mise à l’échelle flexibles des structures de domaine
• protection de l’information par délimitation hiérarchique entre les divisions, les services et les groupes de travail ayant des droits d’accès différents
• compatibilité avec d’autres services d’annuaire
• réduction des coûts et des tâches grâce à une administration centralisée