ACTIVE DIRECTORY

Qu’est-ce qu’un service d’annuaire ?

Un annuaire est une source d’informations distribuée. Par exemple, un annuaire téléphonique contient des
informations sur des abonnés au téléphone.
Dans un système informatique distribué ou un réseau informatique, l’annuaire contient des informations sur
des ressources, comme des applications, des imprimantes, des bases de données, des ordinateurs, des
comptes d’utilisateurs, etc.
Les utilisateurs veulent trouver et utiliser ces ressources, et les administrateurs veulent contrôler leur
utilisation.

Quel est l’intérêt de disposer d’un service d’annuaire ?

Un service d’annuaire est l’un des éléments essentiel d’un système informatique. Il arrive souvent que les
utilisateurs et les administrateurs ne connaissent pas le nom exact des ressources qui les intéressent. Avec un
peu d’information sur cette ressource, ils peuvent interroger l’annuaire pour obtenir une liste des ressources
correspondant à leur recherche.

Un service d’annuaire peut :

Centraliser les ressources disponibles sur un réseau.
Distribuer un annuaire à de nombreux ordinateurs au sein d’un réseau.
Dupliquer un annuaire pour le rendre disponible à beaucoup d’utilisateurs et pallier une éventuelle
défaillance.

Qu’est-ce que Active Directory ?

Active Directory est le service d’annuaire fourni par Microsoft. Il est intégré au système d’exploitation
Windows 2000 Server. Grâce à lui, il est beaucoup plus facile de gérer et d’administrer un réseau
informatique, car il peut contenir toutes les informations relatives aux ressources du réseau.
Par exemple, une petite entreprise de dix personnes n’aura peut-être pas besoin d’utiliser
Active Directory. Par contre, lorsqu’on dépasse ce nombre de personne, il devient très difficile de gérer les
utilisateurs sur chaque poste de travail. Active Directory permet de centraliser la gestion des utilisateurs
dans un réseau informatique.

3.2 COMPOSANTS
3.2.1 Objet et attribut (Object and attribute)
Dans la section précédente, les ressources correspondent aux éléments qui peuvent être stockés dans le
service d’annuaire. Ces ressources constituent les objets d’ActiveDirectory.
Un objet est un ensemble d’attributs nommés et distincts qui représente une ressource réseau. Les attributs
décrivent les caractéristiques des objets dans l’annuaire. Par exemple, les attributs d’un compte utilisateur
peuvent être le prénom et le nom de l’utilisateur, ainsi que son adresse électronique.

Les objets peuvent être organisés en classes, autrement dit les regrouper en fonction d’une logique
particulière. Les comptes d’utilisateurs, groupes et ordinateurs sont des exemples de classe.

3.2.2 Compte d’utilisateurs (Users account)

Un compte d’utilisateur donne à un utilisateur la possibilité de se connecter à un domaine afin d’accéder aux
ressources réseau ou de se connecter à un ordinateur afin d’accéder aux ressources de cet ordinateur.

Il existe deux types de comptes d’utilisateurs :

Comptes d’utilisateurs locaux : Ces comptes permettent uniquement aux utilisateurs de se connecter à
l’ordinateur où un compte d’utilisateur local est présent et d’accéder à ses ressources.
Lorsqu’un compte d’utilisateur local est créé, Windows 2000 crée uniquement le compte dans la base de
donnée locale de sécurité de cet ordinateur.
Windows 2000 ne transmet pas les comptes locaux sur le contrôleur de domaine.
Il n’est pas possible de créer des comptes d’utilisateurs locaux sur un contrôleur de domaine.
De plus, l’administrateur du domaine ne peut ni gérer les propriétés d’un compte d’utilisateur local, ni
accorder d’autorisations d’accès aux ressources de ce domaine à moins qu’il ne se connecte à l’ordinateur
local par le biais d’Active Directory de la manière suivante : Active Directory Users and Computers, puis en
sélectionnant l’ordinateur concerné dans Computers.
Ensuite, pour accéder à la gestion de l’ordinateur, il suffit de cliquer sur Manage.

Comptes d’utilisateurs de domaine : Ces comptes d’utilisateurs de domaine permettent aux utilisateurs de
se connecter au domaine et d’accéder aux ressources, quel que soit leur emplacement sur le réseau. Ils sont
créés dans Active Directory sur le contrôleur de domaine, puis répliqués sur tous les contrôleurs du
domaine.
La figure 3.3 illustre les différents types de comptes d’utilisateurs à l’intérieur d’un domaine.

En plus de ces deux comptes d’utilisateurs, il existe un troisième type de compte appelé compte intégré. Ils
sont créés automatiquement par Windows 2000. Les plus fréquents sont Administrator et Guest.

3.2.3 Groupe d’utilisateurs (Users group)

Un groupe est un ensemble de compte. Les groupes simplifient l’administration en permettant d’attribuer
des autorisations et des droits à un groupe d’utilisateurs plutôt qu’à chaque compte d’utilisateur individuel.
Sur un ordinateur unique, les groupes d’utilisateurs sont appelés groupes locaux. Un groupe local sert à
accorder des autorisations d’accès aux ressources de l’ordinateur sur lequel le groupe a été créé.

Dès que l’on possède un réseau d’ordinateur (domaine), il existe deux types de groupes :

Groupes de sécurité : Ces groupes permettent d’attribuer des autorisations d’accès aux ressources. Ils
possèdent toutes les caractéristiques des groupes de distribution.
Utilisés pour gérer la sécurité des ressources du ou des domaines.
Groupes de distribution : utilisés par exemple pour envoyer des messages électroniques à l'ensemble des
utilisateurs de ces groupes. Ces groupes ne peuvent pas être utilisés pour la sécurité.

Après avoir défini le type du groupe, il faut spécifier l’étendue du groupe. Les étendues des groupes
permettent d’utiliser les groupes de différentes façons pour attribuer des autorisations. L’étendue détermine
à quel endroit du réseau on utilise le groupe pour lui attribuer des autorisations.
Deux étendues des groupes sont disponibles et sont résumés sous forme de tableau :
La figure 3.4 illustre l’Ecole d’Ingénieurs de Genève (EIG) sous forme de domaine
(§ 3.3.1). L’accès aux ressources est représenté par les trois étendues des groupes.
De nouveau, il n’est pas possible de créer des groupes locaux sur un contrôleur de domaine.
3.3 STRUCTURE LOGIQUE
La structure logique d’Active Directory est représentée par les composants suivants : domaines et unités
d’organisation.
Active Directory a pour objectif de permettre la gestion des comptes, des ordinateurs, des ressources et de la
sécurité de façon centralisée, dans le cadre d’un domaine.
L’annuaire contient notamment des objets comptes d’ordinateurs, les utilisateurs, les groupes, mais
également objets contacts, imprimantes, dossiers partagés…

3.3.1 Domaine (Domain)

Un domaine est défini par une limite de sécurité unique dans le cadre d’un réseau informatique tournant
sous Windows 2000/2003.
Active Directory est constitué d’un ou plusieurs domaines. Un domaine peut recouvrir plusieurs sites
physiques. Chaque domaine a sa propre politique de sécurité et ses propres relations de sécurité avec les
autres domaines.

Chez Microsoft, un domaine est une entité logique vue comme une enveloppe étiquetée. Il représente le plus
souvent une organisation hiérarchique dans une entreprise. Par exemple, le domaine "COMPTA" désigne
l'ensemble des machines réseau (stations, imprimantes, ...) du service Comptabilité, et les comptes
utilisateurs qui sont autorisés à s'y connecter.

Le domaine permet à l'administrateur réseau de gérer plus efficacement les utilisateurs des stations
déployées au sein de l'entreprise car toutes ces informations sont centralisées dans une même base de
données. Cette base de donnée est stockée sur des serveurs particuliers (Windows Server NT4, 2000, 2003),
appelés Contrôleurs de Domaine (Domain Controller, en anglais).

Active Directory est donc une structure hiérarchique. La forêt regroupe des arborescences qui regroupent
des domaines. Le premier domaine créé dans la forêt est le domaine racine. De ce domaine dépendent
l’administration de la forêt et l’ajout de nouveaux domaines.

3.3.2 Unité d’organisation (Organizational Unit)

Une unité d’organisation est un conteneur qui sert à organiser les objets d’un domaine en groupes
administratifs logiques qui représentent la structure fonctionnelle.
Une unité organisationnelle peut contenir des comptes d’utilisateurs, des groupes, des ordinateurs, des
applications et des partages de fichiers, ainsi que d’autres unités d’organisation du même domaine.
Il est aussi possible de déléguer l’administration des utilisateurs et des ressources.

La figure 3.5 représente des unités d’organisation sous deux formes :

La première est une capture d’écran d’Active Directory avec les cinq objets par défaut (Buitin,
Computers, Domain Controllers, ForeignSecurityPrincipals et Users). Deux unités d’organisation sont
ajoutées qui sont Professeurs et Etudiants.
La seconde est un schéma de la première figure. L’avantage de cette figure est l’illustration de la
hiérarchie des unités d’organisation. Par contre, les objets par défaut ne sont pas dessinés pour plus de
clarté.
3.4 STRUCTURE PHYSIQUE

3.4.1 Contrôleur de domaine (Domain Controller)

Un contrôleur de domaine est un ordinateur sur lequel est installé Windows 2000 Server et Active
Directory.
Chaque contrôleur de domaine stocke soit une partie, soit toutes les informations d’Active Directory
relatives à ce domaine, gère les modifications apportées à ces informations et les répliques vers les autres
contrôleurs du même domaine.
Il s’occupe aussi des ouvertures de session, de l’authentification et de la recherche dans l’annuaire.
Il faut au minium un contrôleur de domaine par domaine.

Conclusion :

Toutes les informations du réseau sont stockées dans un annuaire centralisé appelé Active Directory.
Active Directory facilite la recherche et l’administration des ressources présentes dans un réseau.

L’audit fait partit de la sécurité de Windows 2000/2003 serveur. Il permet d’enregistrer tout ce qui se passe
sur un réseau du changement d’attributs jusqu’aux modifications d’autorisations.

Beaucoup de particuliers utilisent Windows 2000/2003 serveur, par contre peu d’entreprises ont migrés leur
parc informatique sous Windows 2000/2003 serveur.
Windows 2000/2003 serveur est très vaste et très complet, il est donc impossible de l’étudier en quelques
jours ou semaines. De plus, l’évolution des systèmes d’exploitation utilisés pour des réseaux va très vite.

Pour finir, je dirais que Windows 2000/2003 serveur est une grande évolution dans les systèmes
d’exploitation dédiés aux réseaux informatiques.

Travail à faire :

Les étapes d’administration réseaux :

- crée les comptes utilisateurs avec les droits et les permissions.
- Créer les zones de partage sur disque serveur.
- Attribuer les droits d’accès aux zones de partage.
- Créer des imprimantes partagées.
- Configurer les postes clients.