Module 2 : Présentation

des services de domaine

Active Directory
Vue d'ensemble du module
• Vue d'ensemble d'AD DS

• Vue d'ensemble des composants logiques AD DS

• Vue d'ensemble des composants physiques AD DS

• Rôles serveur
Leçon 1 : Vue d'ensemble d'AD DS
• Pourquoi déployer AD DS ?

• Qu'est-ce que l'authentification ?

• Qu'est-ce qu'une autorisation ?

• Utilisation d'AD DS pour centraliser la gestion réseau

• Vue d'ensemble des composants AD DS

Pourquoi déployer AD DS ?

AD DS fournit un système centralisé pour la gestion

des utilisateurs, des ordinateurs et d'autres ressources
sur un réseau

Les fonctionnalités AD DS sont les suivantes :

• Annuaire centralisé

• Accès via authentification unique

• Sécurité intégrée

• Évolutivité

• Interface de gestion commune

Qu'est-ce que l'authentification ?

L'authentification est un processus qui consiste à vérifier

l'identité d'un utilisateur sur un réseau

L'authentification comporte deux composants :

• Ouverture de session • Authentification réseau :

interactive : autorise autorise l'accès aux
l'accès à l'ordinateur ressources réseau
local
Qu'est-ce qu'une autorisation ?

L'autorisation est un processus qui consiste à vérifier qu'un

utilisateur authentifié a l'autorisation d'exécuter une action

Les entités de sécurité Des jetons de sécurité

sont émises en tant sont émis pour les comptes
qu'identificateurs de d'utilisateurs au cours
sécurité (SID) lorsque de l'authentification et ils
le compte est créé incluent le SID de l'utilisateur
ainsi que les SID de tout
groupe connexe

Les ressources partagées sur Le jeton de sécurité est

un réseau incluent des listes comparé à la liste DACL
de contrôle d'accès (ACL) qui sur la ressource et l'accès
définissent qui peut accéder est accordé ou refusé
à la ressource
Utilisation d'AD DS pour centraliser la gestion réseau

AD DS permet de centraliser la gestion réseau en

fournissant les éléments suivants :
• Emplacement unique et jeu d'outils pour la gestion
des comptes d'utilisateurs et des comptes de groupes

• Emplacement unique pour l'autorisation d'accès

à des ressources réseau partagées

• Service d'annuaire pour les applications utilisées

avec AD DS

• Options pour la configuration de stratégies de sécurité

qui s'appliquent à tous les utilisateurs et à tous les
ordinateurs

• Stratégies de groupe pour la gestion des bureaux

d'utilisateurs et des paramètres de sécurité
Vue d'ensemble des composants AD DS

AD DS se compose à la fois de composants physiques

et logiques

Composants physiques Composants logiques

• Magasin de données • Partitions

• Contrôleurs de domaine • Schéma

• Serveur de catalogue global • Domaines

• Contrôleur de domaine • Arborescences de domaine

en lecture seule
• Forêts

• Sites

• Unités d'organisation
Leçon 2 : Vue d'ensemble des composants
logiques AD DS

• Qu'est-ce que le schéma AD DS ?

• Qu'est-ce qu'un domaine ?

• Que sont les approbations AD DS ?

• Qu'est-ce qu'une arborescence de domaine ?

• Qu'est-ce qu'une forêt ?

• Qu'est-ce qu'une unité d'organisation ?

• Discussion : Scénarios pour l'implémentation de composants

logiques AD DS
• Que sont les objets AD DS ?

• Démonstration : Outils pour la gestion du composant

logique AD DS
Qu'est-ce que le schéma AD DS ?

Le schéma AD DS :
• Définit chaque type d'objet qui peut être stocké
dans AD DS
• Applique des règles relatives à la création et
la configuration d'objet

Types d'objet Fonction Exemples

Définit les nouveaux objets • Classe utilisateur

Objet de classe qui peuvent être créés
dans l'annuaire • Classe ordinateur

Définit les informations qui

Objet attribut peuvent être stockées pour • Nom complet
chaque classe d'objet
Qu'est-ce qu'un domaine ?

Les domaines sont des composants d'annuaire

logiques qui permettent de regrouper et de gérer
les objets AD DS dans une organisation
Contoso.com

Les domaines fournissent :

• Une limite administrative pour l'application de stratégies
à des groupes d'objets

• Une limite de réplication pour la réplication de données entre

des contrôleurs de domaine

• Une limite d'authentification et d'autorisation qui constitue

un moyen de limiter l'étendue de l'accès aux ressources
Que sont les approbations AD DS ?

Les approbations fournissent un mécanisme qui permet aux

utilisateurs d'accéder aux ressources d'un autre domaine

Types
d'approbations Description Diagramme

La direction de l'approbation Accès

Directionnelle va du domaine approuvé vers
le domaine d'approbation APPROBATION

La relation d'approbation
s'étend au-delà d'une Approbation
Transitive approbation à deux domaines & Accès
pour inclure d'autres
domaines approuvés

• Tous les domaines d'une forêt approuvent toutes les autres

domaines de la forêt
• Les approbations peuvent s'étendre en dehors de la forêt
Qu'est-ce qu'une arborescence de domaine ?

Ecobank.com
Une arborescence de domaine est
une hiérarchie de domaines dans AD DS

ML.Ecobank.com CI.Ecobank.com

Tous les domaines de l'arborescence de domaine :

• Possèdent un espace de noms contigu avec le domaine
parent

• Peuvent avoir des domaines enfants supplémentaires

ajoutés à l'espace de noms

• Possèdent une approbation transitive bidirectionnelle

avec d'autres domaines de l'arborescence
Qu'est-ce qu'une forêt ?

Une forêt est une collection d'une ou

de plusieurs arborescences de domaine

Les forêts :
• Partagent un schéma commun

• Partagent une partition de configuration commune

• Partagent un catalogue global commun pour permettre

les recherches

• Permettent les approbations entre tous les domaines

de la forêt

• Partagent les groupes Administrateurs de l'entreprise

et Administrateurs du schéma
Qu'est-ce qu'une unité d'organisation ?

Les unités d'organisation sont des conteneurs Active Directory

qui peuvent contenir des utilisateurs, des groupes,
des ordinateurs et d'autres unités d'organisation

Les unités d'organisation peuvent être utilisées pour :

• Représenter votre organisation sous forme hiérarchique
et logique

• Gérer une collection d'objets de manière cohérente

• Déléguer des autorisations pour l'administration

de groupes d'objets

• Appliquer des stratégies

 Que sont les objets AD DS ?
Objet Description
Utilisateur • Permet l'accès aux ressources réseau pour un utilisateur

• Utilisé essentiellement pour affecter des adresses

Contacts de messagerie à des utilisateurs externes
• Ne permet pas l'accès réseau

Groupes • Utilisé pour simplifier l'administration du contrôle d'accès

• Permet l'authentification et l'audit de l'accès

Ordinateurs
d'un ordinateur aux ressources

• Utilisé pour simplifier le processus de localisation et

Imprimantes
de connexion aux imprimantes

• Permet aux utilisateurs de rechercher des dossiers

Dossiers partagés
partagés à partir de propriétés
Leçon 3 : Vue d'ensemble des composants
physiques AD DS
• Que sont les contrôleurs de domaine AD DS ?

• Vue d'ensemble du service DNS et d'AD DS

• Que sont les serveurs de catalogue global ?

• Qu'est-ce que le magasin de données AD DS ?

• Qu'est-ce que la réplication AD DS ?

• Que sont les sites ?

Que sont les contrôleurs de domaine AD DS ?

Un contrôleur de domaine est un serveur sur lequel le rôle

serveur AD DS est installé

Les contrôleurs de domaine :

• Hébergent une copie du magasin d'annuaire AD DS

• Fournissent des services d'authentification et

d'autorisation

• Répliquent les mises à jour sur d'autres contrôleurs

de domaine dans le domaine et la forêt

• Autorisent l'accès d'administration pour la gestion

des comptes d'utilisateurs et des ressources réseau

Windows Server 2016 AD DS prend en charge les contrôleurs

de domaine en lecture seule
Vue d'ensemble du service DNS et d'AD DS

AD DS requiert une Les noms de domaine

infrastructure DNS AD DS doivent être
des noms de
domaine DNS
Nom de
domaine DNS

DNS

Les enregistrements de Les zones DNS peuvent

contrôleur de domaine être stockées dans AD DS
AD DS doivent être comme les zones intégrées
inscrits dans DNS afin à Active Directory
de permettre aux autres
contrôleurs de domaine
et aux ordinateurs clients Zone
de localiser les contrôleurs DNS
de domaine
Que sont les serveurs de catalogue global ?

Les serveurs de catalogue global sont des contrôleurs de

domaine qui stockent également une copie du catalogue global

Le catalogue global :

• Contient une copie de tous les objets AD DS dans

une forêt qui inclut uniquement certains attributs
pour chaque objet de la forêt

• Améliore l'efficacité des recherches d'objet en évitant

les référence inutiles aux contrôleurs de domaine

• Est requis pour que les utilisateurs puissent ouvrir

une session sur un domaine
Qu'est-ce que le magasin de données AD DS ?

Le magasin de données AD DS contient les fichiers de

base de données et les processus qui stockent et gèrent
les informations d'annuaire relatives aux utilisateurs,
aux services et aux applications

Le magasin de données AD DS :
• Comporte le fichier Ntds.dit

• Est stocké par défaut dans le dossier

%SystemRoot%\NTDS sur tous les contrôleurs
de domaine

• Est uniquement accessible à partir des processus et

des protocoles de contrôleur de domaine
Qu'est-ce que la réplication AD DS ?

La réplication AD DS copie toutes les mises à jour de la base

de données AD DS sur tous les autres contrôleurs de domaine
dans un domaine ou une forêt

La réplication AD DS :
• Vérifie que tous les contrôleurs de domaine disposent
des mêmes informations

• Utilise un modèle de réplication multimaître

• Peut être gérée par la création de sites AD DS

La topologie de réplication AD DS est créée automatiquement

au fur et à mesure que de nouveaux contrôleurs de domaine
sont ajoutés au domaine
Que sont les sites ?

Un site AD DS est utilisé pour représenter un segment réseau

dans lequel tous les contrôleurs de domaine sont connectés
via une connexion réseau rapide et fiable

Les sites sont :

• Associés à des sous-réseaux IP

• Utilisés pour gérer le trafic de réplication

• Utilisés pour gérer le trafic d'ouverture de session client

• Utilisés par des applications orientées site telles que

le système de fichiers DFS (Distributed File Systems)
ou Exchange Server

• Utilisés pour attribuer des objets de stratégie de groupe

à tous les utilisateurs et à tous les ordinateurs sur un site
d'entreprise
Leçon 4 : Rôles serveur
• Éditions Windows Server 2008

• Que sont les rôles serveur ?

• Que sont les rôles services d’infrastructure Windows ?

• Que sont les rôles services de plateforme d’applications

Windows ?
• Que sont les rôles serveur Active Directory ?

• Intégration des services de domaine AD à d’autres rôles

serveur Active Directory
• Que sont les fonctionnalités serveur ?

• Qu’est-ce que Server Core ?

 Que sont les rôles serveur ?

Les rôles serveur décrivent la fonction principale du serveur.

Services de domaine Serveur DNS Services de fichiers

Active Directory

Services d’impression Serveur Web IIS

Que sont les rôles services d’infrastructure Windows ?
Les rôles services d’infrastructure Windows comprennent :
• Services de certificats Active Directory

• Services AD RMS

• Serveur DHCP

• Serveur DNS

• Serveur de télécopie

• Services de fichiers

• Hyper-V

• Stratégie réseau et services d’accès

• Services d’impression

• Services Terminal Server

• Services de déploiement Windows

 Que sont les rôles serveur Active Directory ?

Rôle serveur Description

Services de domaine Un annuaire centralisé pour la gestion des ordinateurs et
Active Directory des utilisateurs, et l’authentification d’un réseau
(AD DS) Windows Server 2016

Services AD LDS Un service d’annuaire LDAP qui assure le stockage et la

(Active Directory récupération de données pour les applications utilisant un
Lightweight annuaire, sans nécessiter le déploiement de domaines ou de
Directory Services) contrôleurs de domaine
Une solution permettant de protéger les informations
Services de
stockées dans des documents, des courriers électroniques
certificats Active
et des sites Web contre toute utilisation, modification ou
Directory (AD CS)
consultation non autorisée
Services AD RMS
Une technologie de protection des informations utilisée avec
(Active Directory
les applications AD RMS pour préserver les informations
Rights Management
numériques contre toute utilisation non autorisée
Services)
Un rôle serveur dans Windows Server 2016 qui fournit des
Services ADFS
technologies d’authentification unique pour le Web afin
(Active Directory
d’authentifier un utilisateur de plusieurs applications Web
Federation Services)
tout au long d’une solution en ligne unique
Intégration des services de domaine AD à
d’autres rôles serveur Active Directory

• AD DS est la base d’un

réseau fonctionnel.
AD FS
• La plupart des rôles serveur
s’appuient sur AD DS pour
fournir des informations
AD RMS concernant les utilisateurs et
les ressources aux autres
rôles serveur.
AD CS
• AD DS fournit également des
services d’authentification et
d’autorisation.

AD DS
Qu’est-ce que Server Core ?
Server Core est une installation de Windows Server 2008
qui :
• dispose de services minimaux ;
• ne possède aucune interface graphique ;
• améliore la sécurité ;
• peut être configurée dans un nombre de rôles limité.
Contrôle des acquis et éléments à retenir
• Questions de contrôle des acquis

• Résumé des services de domaine Active Directory