Présentation d’Active Directory

1. Définition de l’Active directory

Il s’agit d’un annuaire (une base de données) centralisé contenant les objets du
réseau et qui permet aux utilisateurs de localiser, de gérer et d’exploiter aisément
les ressources.
Active directory permet de centraliser, de structurer, d’organiser et de contrôler les
ressources réseau dans les environnements Windows. Parmi ses principales
vocations, nous pouvons citer l’authentification des utilisateurs et des ressources,
permettant l’ouverture d’une session sur un domaine, ou encore la définition et
l’application de stratégies de groupes.

Active Directory se définit sur trois ensembles :

_ Le stockage : Active Directory enregistre de façon hiérarchique les informations
relatives aux objets du réseau et met ces informations à la disposition des
administrateurs, des utilisateurs et des applications.

_ La structure : Active Directory permet d’organiser le réseau et ses objets à l’aide

d’entités telles que les domaines, les arborescences, les forêts, les relations
d’approbation, les unités d’organisation et les sites.
_ L’intercommunication : Si une organisation possède des agences éloignées
géographiquement, Active Directory assure une cohérence et une disponibilité des
informations contenues dans sa base, en répliquant les informations relatives à la
structure logique entre tous les contrôleurs de domaines de la forêt.

2. Objet active directory

Active Directory stocke des informations sur les objets du réseau. Les principaux
types d’objet que l’on rencontre sont :

_ Serveurs
_ Domaines
_ Sites
_ Utilisateurs
_ Ordinateurs
_ Imprimantes
_ Groupe
Chaque objet possède un ensemble d’attributs regroupant diverses informations
permettant par exemple d’effectuer des recherches précises dans l’annuaire
(trouver l’emplacement physique d’une imprimante, l’adresse d’un utilisateur, le
système d’exploitation d’un serveur ...etc).

3. Structure de la base de données Active directory

La base de données active directory est désignée par le fichier NTDS. Qui est situé
dans le répertoire c: /windows /NTDS. Cette base contient toutes les informations
relatives à l’annuaire, elle est stockée sur chaque contrôleur de domaine de la forêt
et contient quatre partitions : partition de schéma, partition de configuration,
partition de domaine et partition d’application. Les partitions de schéma et de
configuration sont répliquées sur tous les contrôleurs de la forêt. La partition de
domaine n’est répliquée que sur le contrôleur de domaine d’un même domaine.

4. Schéma active directory

Le schéma est le composant Active Directory qui définit tous les objets et attributs
utilisés par le service d’annuaire pour stocker des données.

Le schéma Active directory comprend deux types de définitions :

1. Les classes d’objets : elles décrivent les objets active directory qu’il est
possible de créer. Chaque classe est un regroupement d’attributs.
 2. Les attributs : ils sont définis une seul fois et peuvent être employés dans
plusieurs classes.

5. Catalogue global

Le catalogue global est l’ensemble de tous les objets AD (Active Directory). Il

contient aussi les informations nécessaires pour déterminer l’emplacement de tout
objet de l’annuaire. Le catalogue global permet aux utilisateurs d’effectuer 2 tâches
importantes :
• Trouver des informations AD sur toute la forêt, quel que soit l’emplacement
de ces données.
• Utiliser des informations d’appartenance à des groupes universels pour ouvrir
une session sur le réseau.

Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie
du catalogue global et peut ainsi traiter les requêtes qui lui sont destinées.
Le premier contrôleur de domaine installé au sein d’une forêt est automatiquement
promu comme catalogue global afin de réguler le trafic. L’authentification lors de
l’ouverture de session ne peut se faire sans catalogue global.

6. Protocole LDAP

Le protocole LDAP (Lightweight directory access protocol) est un protocole de

communication internet standard pour les réseaux TCP/IP. Il est spécifiquement
conçu pour accéder au service de l’annuaire en utilisant le moins de ressource
système possible. LDAP définit également les opérations qui peuvent être utilisées
pour demander et modifier les informations de l’annuaire. Chaque fois qu’ils
ouvrent une session sur le réseau ou cherchent des ressources partagées, les clients
Active directory emploient le protocole LDAP pour communiquer avec des
ordinateurs
Active directory.

7. Structures logique d’Active directory

La structure logique d’Active Directory est modulaire et offre une méthode de
conception de hiérarchie d’annuaire cohérente, à la fois pour ses utilisateurs et ses
administrateurs.
Les composants logiques de la structure d’Active Directory sont illustré dans la
figure suivante :

7.1. Unités d’organisation

Une unité d’organisation est un type d’objet annuaire particulièrement utile,

contenu dans les domaines. Les unités d’organisation sont des conteneurs Active
directory dans lesquels sont placés des utilisateurs, des groupes, des ordinateurs et
même autres unités d’organisation. Une unité d’organisation ne peut pas contenir
des objets d’autres domaines. Avec les unités d’organisations, on peut créer des
contenants à l’intérieur d’un domaine afin de représenter les structures
hiérarchiques et logiques d’une organisation.

7.2. Domaines

Il s’agit de l’unité fondamentale de la structure logique d’Active Directory. Un

domaine est un ensemble d’ordinateurs et/ou d’utilisateurs défini par un
administrateur qui partagent une même base de données d’annuaire.

Un domaine a un nom unique sur le réseau. L’administrateur d’un domaine dispose

des autorisations et des droits nécessaires pour effectuer des tâches
d’administration uniquement au sein de ce domaine.
7.3. Arborescences de domaines

L’arborescences de domaines est un ensemble de domaines partageant un espace

de nom contigu.

7.4. Forêt de domaines

Une forêt de domaines est le contenant de plus haut niveau. On y stocke des objets
des classes d’objet et des attributs. Parmi ces objets se trouvent les domaines, les
unités d’organisation, les ordinateurs, les utilisateurs, les groupes, les imprimantes,
les ressources partagées mais aussi les sites, les sous-réseaux, les liens de
réplication et bien d’autre encore. La forêt est dédiée à la supervision de tous les
objets qu’elle contient.

La forêt est composée d’un ou plusieurs domaines, le premier domaine est appelé le
domaine racine. Elle comprend également une ou plusieurs arborescences de
domaines. La forêt est une base de données distribuée entre tous les contrôleurs de
domaines appartenant à celle-ci. Cette base de données est composée de plusieurs
bases de données partielles enregistrées sur des serveurs différents. Dans une forêt
active directory, les domaines partagent :
• Des informations de configuration communes.
• Un schéma commun.
• Un catalogue global commun.

8. Structure Physique d’Active Directory

Les structures physiques simplifient la communication sur le réseau et définissent

les limites physiques autour des ressources réseau. Les structures physiques qui
aident à mapper la structure physique du réseau sont les suivantes :
8.1. Contrôleurs de domaine

Un contrôleur de domaine est un ordinateur exécutant Windows Server (2000,

2003, 2008, etc) qui stocke un répliqua de l’annuaire. Il assure la propagation des
modifications faites sur l’annuaire. Il assure l’authentification et l’ouverture des
sessions des utilisateurs, ainsi que les recherches dans l’annuaire. Un domaine peut
posséder un ou plusieurs DC.
Dans le cas d’une société constituée de plusieurs entités dispersées
géographiquement, on aura besoin d’un DC dans chacune de ses entités.

8.2. Sites

Un site est une combinaison d’un ou plusieurs sous réseaux connectés entre eux par
une liaison à haut débit fiable (liaison LAN). Définir des sites permet à Active
Directory d’optimiser la duplication et l’authentification afin d’exploiter au mieux
les liaisons les plus rapides. Deux raisons fondamentales justifient la création de
sites :
• Optimiser le trafic lié à la duplication
• Permettre aux utilisateurs de se connecter à un contrôleur de domaine en
utilisant une connexion rapide fiable.

9. Active Directory et DNS

Les services de domaine Active Directory (AD DS) utilisent des services de
résolution de noms de système de noms de domaine (DNS) pour permettre aux
clients de localiser les contrôleurs de domaine qui hébergent le service d’annuaire
pour communiquer les uns avec les autres.

AD DS permet une intégration facile de l’espace de noms Active Directory dans un

espace de noms DNS existant. Des fonctionnalités telles que les zones DNS intégrées
à Active Directory vous permettent de déployer le DNS en éliminant la nécessité de
configurer des zones secondaires, puis de configurer les transferts de zones. DNS et
AD utilisent tous deux une base de données pour la résolution des noms.
 • DNS est un service de résolution de noms d’hôtes. Il résout les noms de
domaines et les noms d’ordinateurs en renvoyant les adresses IP via les
demandes reçues par les serveurs DNS en tant que requêtes sur la base de
données DNS. DNS n’a pas besoin d’Active Directory pour fonctionner.

• Active Directory utilise le protocole LDAP pour permettre la recherche

d’objets de domaine. Afin d’exécuter des recherches dans une architecture
complexe. Active Directory utilise le service DNS comme localisateur pour
résoudre des noms de domaines, de sites ou de services.
En résumé, active directory est intégré à DNS avec déférentes manières :

• Les domaines Active Directory et DNS sont organisés suivant des structures
hiérarchiques identiques. Bien qu’ils diffèrent et soient mis en oeuvre
différemment pour des objectifs séparés, les espaces de noms d’une
organisation pour ces deux types de domaines ont une structure identique.

• Les zones DNS peuvent être enregistrées dans Active Directory. Si on utilise le
service DNS de Windows 2008, les zones principales peuvent être
enregistrées dans Active Directory pour être répliquées vers d’autres
contrôleurs de domaine Active Directory et pour assurer une meilleure
sécurité du service DNS.

• Les clients Active Directory utilisent DNS pour localiser les contrôleurs de
domaine. Dans le cas d’un domaine particulier, les clients Active Directory
demandent à leur serveur DNS les enregistrements de ressources spécifiques.