Un annuaire Active Directory, pourquoi ?

I. L’Active Directory

L’Active Directory est un annuaire LDAP pour les systèmes d’exploitation Windows, le tout étant créé par Microsoft. Cet annuaire contient différents objets, de différents types (utilisateurs, ordinateurs, etc.), l’objectif étant de centraliser deux fonctionnalités essentielles : l’identification et l’authentification au sein d’un système d’information.

Depuis Windows Server 2000, le service d’annuaire Active Directory ne cesse d’évoluer et de prendre de l’importance au sein des organisations dans lesquelles il est mis en place. De ce fait, il est notamment utilisé pour le déploiement de stratégie de groupe, la distribution des logiciels ou encore l’installation des mises à jour Windows.

Pour la petite histoire, l’Active Directory se nommait d’abord « NTDS » pour « NT Directory Services » que l’on peut traduire littéralement par « Service d’annuaire de NT », le tout à l’époque de Windows NT.

II. Les intérêts d’un annuaire

L’importante présence de l’Active Directory dans les entreprises suffit pour se convaincre de ses intérêts, mais alors, quels sont ces intérêts ?

- Administration centralisée et simplifiée : la gestion des objets, notamment des comptes utilisateurs et ordinateurs est simplifiée, car tout est centralisé dans l’annuaire Active Directory. De plus, on peut s’appuyer sur cet annuaire pour de nombreuses tâches annexes comme le déploiement de stratégies de groupe sur ces objets .

- Unifier l’authentification : un utilisateur authentifié sur une machine, elle-même authentifiée, pourra accéder aux ressources stockées sur d’autres serveurs ou ordinateurs enregistrés dans l’annuaire (à condition d’avoir les autorisations nécessaires). Ainsi, une authentification permettra d’accéder à tout un système d’information par la suite, surtout que de nombreuses applications sont capables de s’appuyer sur l’Active Directory pour l’authentification. Un seul compte peut permettre un accès à tout le système d’information, ce qui est fortement intéressant pour les collaborateurs.

- Identifier les objets sur le réseau : chaque objet enregistré dans l’annuaire est unique, ce qui permet d’identifier facilement un objet sur le réseau et de le retrouver ensuite dans l’annuaire.

- Référencer les utilisateurs et les ordinateurs : l’annuaire s’apparente à une énorme base de données qui référence les utilisateurs, les groupes et les ordinateurs d’une entreprise. On s’appuie sur cette base de données pour réaliser de nombreuses opérations : authentification, identification, stratégie de groupe, déploiement de logiciels, etc.

III. La structure de l’Active Directory

A. Les classes et les attributs

Au sein de l’annuaire Active Directory, il y a différents types d’objets, comme par exemple les utilisateurs, les ordinateurs, les serveurs, les unités d’organisation ou encore les groupes. En fait, ces objets correspondent à des classes, c’est-à-dire des objets disposant des mêmes attributs.

De ce fait, un objet ordinateur sera une instance d’un objet de la classe « Ordinateur » avec des valeurs spécifiques à l’objet concerné.

Certains objets peuvent être des containers d’autres objets, ainsi, les groupes permettront de contenir plusieurs objets de types utilisateurs afin de les regrouper et de simplifier l’administration. Par ailleurs, les unités d’organisation sont des containers d’objets afin de faciliter l’organisation de l’annuaire et permettre une organisation avec plusieurs niveaux.

Sans les unités d’organisations, l’annuaire ne pourrait pas être trié correctement et l’administration serait moins efficace. Comparez les unités d’organisations à des dossiers qui permettent de ranger les objets à l’intérieur, si cela est plus compréhensible pour vous.

B. Le schéma

Par défaut, tout annuaire Active Directory dispose de classes prédéfinies ayant chacune une liste d’attributs bien spécifique, et propre à tout annuaire, cela est défini grâce à un schéma.

Le schéma contient la définition de toutes les classes et de tous les attributs disponibles et autorisés au sein de votre annuaire. Il est à noter que le schéma est évolutif, le modèle de base n’est pas figé et peut évoluer selon vos besoins, voir même pour répondre aux prérequis de certaines applications.

Par exemple, l’application de messagerie Microsoft Exchange effectue des modifications au schéma lors de son installation.

Les modifications du schéma doivent être réalisées avec précaution, car l’impact est important et se ressentira sur toute la classe d’objets concernée. Pour preuve, le schéma est protégé et les modifications contrôlées, puisque seuls les membres du groupe « Administrateurs du schéma » peuvent, par défaut, effectuer des modifications.

C. Les partitions d’annuaire

La base de données Active Directory est divisée de façon logique en trois partitions de répertoire (appelé « Naming Context »). Ces trois partitions sont la partition de schéma, la partition de configuration, et la partition de domaine.

• La partition de schéma : cette partition contient l'ensemble des définitions des classes et attributs d’objets, qu’il est possible de créer au sein de l'annuaire Active Directory. Cette partition est unique au sein d’une forêt.

• La partition de configuration : cette partition contient la topologie de la forêt (informations sur les domaines, les liens entre les contrôleurs de domaines, les sites, etc.). Cette partition est unique au sein d’une forêt.

• La partition de domaine : cette partition contient les informations de tous les objets d'un domaine (ordinateur, groupe, utilisateur, etc.). Cette partition est unique au sein d’un domaine, il y aura donc autant de partitions de domaine qu’il y a de domaines.

Certaines notions évoquées ici peuvent être inconnues à vos yeux (forêts, GPO,…), rassurez-vous ce cours est là pour cela et nous aborderons ces points au sein des prochains modules et chapitres. Dans un premier temps, nous allons enchaîner sur la notion de domaine et de contrôleur de domaine.