WINDOWS SERVEUR

– ACTIVE
DIRECTORY
Mustapha BOUNIF
SOMMAIRE
• Annuaire
• Pourquoi ADDS ?
• Authentification
• SID
• Autorisation
• Centralisation
• Composants
• Schéma
• Domaine
2022 Mustapha BOUNIF 2
SOMMAIRE
• Approbations
• Arborescence
• Forêt
• Niveau Fonctionnel
• Unité d’organisation
• Objets
• Contrôleur de domaine
• RODC
• Catalogue Global
2022 Mustapha BOUNIF 3
SOMMAIRE
• Magasin de données
• Réplication
• Maitre d’attribution
• Contrôleur de Schéma
• Maitre RID
• Maitre d’Infrastructure
• Emulateur PDC
• DistinguishedName
• GUID
2022 Mustapha BOUNIF 4
 ANNUAIRE

On appelle un annuaire le rôle « Active Directory ».

Autrefois appelé « NTDS » (NT Directory Services)
Sa première utilisation date de Windows 2000 Server.
C’est l’évolution de la base de données qui gèrent les
comptes SAM (Security Account Manager)

Il se base sur le protocole LDAP (Lightweight

Directory Access Protocol) en TCP sur le port 389.
Microsoft s’est inspiré de l’annuaire Novell NDS
2022 Mustapha BOUNIF 5
 POURQUOI ADDS ?

Active Directory Domain Services

On utilise l’annuaire pour:

• Centraliser l’administration à l’aide d’une interface

• Authentification unique pour les utilisateurs (SSO)

• Consulter ou Définir les droits

• Gestion des Objets

2022 Mustapha BOUNIF 6

 POURQUOI ADDS ?

L’Active Directory est capable de :

• Gérer 2.15 Milliards d’objets

• D’avoir Plusieurs Contrôleurs de Domaine

• Réplication (Multi-Maître)

2022 Mustapha BOUNIF 7

 AUTHENTIFICATION

L’authentification est un processus qui permet de

vérifier
l’identité d’un utilisateur sur le réseau.

Elle comporte deux composants:

• Ouverture de session – Autorise l’accès à l’ordinateur
local
2022
• Authentification réseau – Autorise l’accès aux
Mustapha BOUNIF 8
 AUTHENTIFICATION

Ne pas confondre LDAP avec authentification !

Pour l’authentification, on utilise le protocole Kerberos.
Il repose sur deux types de tickets fournis par le centre
de distribution de clés (KDC):
• Authentification - TGT
• Service d’émission de Tickets - TGS

2022 Mustapha BOUNIF 9

 AUTORISATION

L’autorisation va nous permettre de vérifier qu’un

utilisateur authentifié puisse être autoriser à exécuter
une action.

 Un identificateur de sécurité unique (SID) est crée

lors de la création d’un compte/Objet
 Un jeton de sécurité est émis pour un utilisateur lors
de l’authentification
 Les ressources partagées comprennent des ACL qui
indique l’accès à la ressource
 Le jeton de sécurité est comparé à l’ACL pour savoir
si un accès est permis ou refusé.

2022 Mustapha BOUNIF 10

 SID

Un identificateur de sécurité est utilisé dans windows

pour identifier de manière unique un compte, groupe,
objet.

On le reconnait avec une suite de caractères

alphanumériques
commençant par un « S », Il se compose du SID et du
RID.

Exemple: S-1-5-21-1004336348-1177238915-
682003330-512

• Un niveau de révision (1)

2022 • Autorité d’identificateur (5, autorité NT)
Mustapha BOUNIF 11
 CENTRALISATION

L’annuaire Active Directory va nous permettre de

centraliser:
• Console Unique pour la gestion des Utilisateurs et
Groupes
• Endroit Unique pour l’autorisation d’accès aux
ressources
• Configurer les stratégies de sécurité qui s’appliquent

2022
aux utilisateurs et ordinateurs
Mustapha BOUNIF 12
 COMPOSANTS

Microsoft définit deux types de composants:

• Composants Physiques
• Composants Logiques

Pour les Composants Physiques:

• Magasin de données (annuaire – Information sur les
objets)
• Contrôleur de Domaine

2022
• Contrôleur de Domaine en Lecture Seule (RDOC)
Mustapha BOUNIF 13
 COMPOSANTS

Pour les Composants Logiques:

• Schéma
• Domaine
• Forêt
• Site
• Arborescence de domaine
• Unité d’organisation

2022 Mustapha BOUNIF 14

 SCHÉMA

Le Schéma Active directory va permettre de définir:

• La Classe (Utilisateur)
• L’attribut (Exemple : Nom Prénom)
d’un objet.

On peut vulgariser en disant que c’est une table et

champ dans une base de données.
2022 Mustapha BOUNIF 15
 DOMAINE

Un domaine est représenté par un triangle.

On l’utilise pour gérer une organisation(Entreprise)

Elle permet de:

• Définir une limite administrative pour la mise en
oeuvre des stratégies
• Définir une limite d’authentification/autorisation au
niveau des ressources
• Définir une limite de replication entre les contrôleurs
de domaine.

2022 Mustapha BOUNIF 16

 APPROBATIONS

Une approbation va permettre aux utilisateurs d’un

domaine d’accéder aux ressources d’un autre domaine.

On a trois types d’approbations:

• Unidirectionnelle
C’est la relation d’un domaine vers un autre domaine
• Bi-directionnelle
C’est la relation entre deux domaines
• Transitive
La relation dépasse deux domaines pour inclure
d’autres domaines approuvés
2022 Mustapha BOUNIF 17
 ARBORESCENCE

Une arborescence (arbre) est une hiérarchie de

domaine.

On parle alors de domaine parent et domaine

enfant.
Tous les domaines de cette arborescence:
• Possèdent un espace de nom identique avec le
parent
• Peuvent créer des domaines enfants

2022
supplémentaires
Mustapha BOUNIF 18
 FORÊT

Une Forêt est un regroupement de plusieurs

arborescences de domaine.

Dans une Forêt, on :

• Partage un schema commun
• Partage un catalogue global commun
• Autorise les approbations entre tous les domaines
• Définit les groupes “Administrateur de l’entreprise” et
“Administrateur du schéma”
2022 Mustapha BOUNIF 19
 NIVEAU FONCTIONNEL

On parle de niveau fonctionnel au niveau

d’un domaine ou une forêt.

Plus le niveau est élevé, plus il offre de nouvelles

fonctionnalités ainsi que le support des nouvelles
versions serveurs.

Attention, le fait d’augmenter le niveau fait que le

serveur le plus ancien doit être du même niveau.
Sinon il ne fonctionnera plus.

2022 Mustapha BOUNIF 20

 UNITÉ D’ORGANISATION

Une unité d’organisation est considéré comme un

conteneur qui peuvent être des utilisateurs, des
groupes, des ordinateurs ou encore d’autres unités
d’organisations.

Elles peuvent:
• Mettre en forme hiérarchique votre entreprise.
• Déléguer des autorisations pour l’administration.
• Appliquer des stratégies

2022 Mustapha BOUNIF 21

 OBJETS
Les principaux objets utilisés sont les suivants:
• Utilisateur
• Groupe
• Ordinateur
• Unité d’Organisation

Vous pouvez aussi jetez un coup d’oeil aux classes:

• Imprimantes
• Contacts
• Dossiers partagés
2022 Mustapha BOUNIF 22
 CONTRÔLEUR DE DOMAINE

Un DC est un serveur ou on a installé le rôle AD DS.

Il permet de :
• Héberger une copie de l’annuaire Active Directory
• Répliquer les mises à jour sur d’autres DC dans le
domaine et la forêt.
• Fournir les services d’authentification et
d’autorisation
2022
• Autorise l’administration des comptes utilisateurs et
Mustapha BOUNIF 23
 CONTRÔLEUR DE DOMAINE LECTURE
SEULE
Un RODC (Read Only Domain Controller)
permet à un site distant depuis Windows Server 2008
a être en lecture seule.

• L’idée est de préciser les mots de passe qui seront

administrables.
• Réduire les demandes d’authentification.
• Il ne peut donc être répliqué.

2022 Mustapha BOUNIF 24

 CATALOGUE GLOBAL

Un Catalogue Global est un Contrôleur de domaine,

sa fonction supplémentaire est de stocker une copie du
GC.

Son rôle est de:

• Contenir tous les objets AD dans une forêt
• Rechercher les objets sans solliciter les autres DC
• Ouvrir des sessions sur un domaine

2022 Mustapha BOUNIF 25

 MAGASIN DE DONNÉES

Il va contenir la base de données qui stockent les

informations de l’annuaire comme les utilisateurs, les
services…

Ce magasin:
• Contient le fichier [Link]
• Est situé dans %Systemroot%\NTDS présent sur tous
les DC
• Est accessible via les DC
2022 Mustapha BOUNIF 26
 RÉPLICATION

La réplication va se charger de synchroniser toutes les

modifications de la base de données au niveau d’un
domaine et d’une forêt.

• Il vérifie que tous les DC disposent de la même

information
• Utilise un modèle de réplication multi-maitre

Elle se base sur les protocoles suivants:

2022 Mustapha BOUNIF 27
 RÔLES FSMO

L’Active Directory étant un système Multi-Maitre,

Chaque contrôleur peut modifier les données et
transmettre ces modifications aux autres contrôleurs.

Pour éviter qu’un objet soit modifié en même temps,

Microsoft décide de créer des rôles spéciaux.

Ces 5 rôles sont appelés Flexible Single Master

Opération

2022 Mustapha BOUNIF 28

 MAITRE D’ATTRIBUTION DES NOMS DE
DOMAINE

• Unique au sein d’une forêt

• Il administre l’ajout et la suppression de domaine

dans la forêt

• A chaque création de domaine, ce maitre

d’attribution est interrogé. En cas d’indisponibilité,

2022 aucune action est possible.

Mustapha BOUNIF 29
 CONTRÔLEUR DE SCHÉMA

• Il détient la liste des classes et des attributs

• Il réplique les mises à jour du schéma sur tous les

autres DC

• Seul les administrateurs du schéma peuvent modifier.

• Il vérifie les modifications du schéma.

2022 Mustapha BOUNIF 30

 MAITRE RID

• Se charge de distribuer un RID unique pour que SID

soit unique.

• Distribue les RID aux autres DC en cas

d’indisponibilité de celui-ci, la création d’objet peut

continuer tant que la réserve n’est pas finie.

2022 Mustapha BOUNIF 31

 MAITRE D’INFRASTRUCTURE

• Maintient la cohérence entre les objets et les ACL

• Se charge des anomalies sur les comptes pour mettre

à jour

• Unique au niveau d’un domaine

2022 Mustapha BOUNIF 32

 EMULATEUR PDC

• Va s’occuper du verrouillage et du changement de

mot de passe au niveau des comptes utilisateurs
• Synchronisation horaire entre les DC qui permet à
Kerberos de fonctionner
• Synchronisation des stratégies de groupe du domaine
• Compatibilité avec les DC

2022 Mustapha BOUNIF 33

 DISTINGUISHEDNAME

On utilise le “Distinguishedname” avec le protocole

LDAP,
il permet de définir l’emplacement de l’objet en
question.

Exemple du domaine [Link]

dc=ais,dc=lan
2022 Exemple d’un apprenant
Mustapha BOUNIF 34
 GUID

• Le SID date des années 2000.

On s’est rendu compte que si on changeait de domaine,
le SID change…
Pour cela on a introduit le GUID qui est codé sur 128bits
et qui garantit l’unicité dans une forêt.

2022 Mustapha BOUNIF 35

 QUESTIONS ?

2022 Mustapha BOUNIF 36