Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Les services AD LDS
  3. Présentation des partitions d’annuaire
Extrait - Les services AD LDS Mise en oeuvre d'un annuaire LDAP sur Windows Server 2019
Extraits du livre
Les services AD LDS Mise en oeuvre d'un annuaire LDAP sur Windows Server 2019 Revenir à la page d'achat du livre

Présentation des partitions d’annuaire

Introduction

Microsoft AD LDS dans son ensemble est extrêmement complexe. Il existe de nombreux concepts que nous ignorons et qui ont été mis en place afin que l’AD LDS puisse remplir correctement sa mission. Les partitions d’annuaire en font partie.

Les partitions AD LDS organisent et séparent essentiellement les données en fonction de leur usage et de leur type. Il y a trois types de partitions (Naming Contexte, pour contexte de dénomination) qui ont chacun un rôle précis : la partition d’annuaire de schéma, la partition d’annuaire de configuration et la partition d’annuaire d’application. Chaque instance AD LDS possède à tout moment au moins ces trois partitions. Ces dernières sont répliquées sur l’ensemble des serveurs qui appartiennent au même jeu de configuration.

L’entrée RootDSE

Un serveur d’annuaire doit fournir certaines informations qui le concerne, telles que la version du protocole LDAP, les mécanismes de sécurité, le schéma, etc. Ceci est représenté sous forme d’un groupe d’attributs qui appartiennent à une entrée appelée RootDSE (Root Directory Server Agent Specific Entry).

RootDSE est une entrée sans nom (DN vide) qui se trouve à la racine de l’arborescence d’annuaire et qui indique les caractéristiques qu’un serveur AD LDS peut gérer.

Comme illustré sur la figure ci-dessous, l’outil LDP permet de visualiser l’entrée RootDSE ainsi que ses attributs :

images/07RI01.PNG

Les attributs de l’entrée RootDSE peuvent également être interrogés via PowerShell, mais ils seront soumis aux restrictions de contrôle d’accès. La cmdlt Get-ADRootDSE est redoutablement plus efficace pour lister tous les attributs de l’entrée RootDSE.

Pour atteindre le ou les attributs concernés, la cmdlt Get-ADRootDSE fonctionne avec des paramètres classiques que vous pouvez retrouver dans d’autres contextes.

Paramètre

Description

-AuthType

Indique la méthode d’authentification à utiliser. Il existe deux valeurs possibles : Negotiate (0) ou Basic (1). Par défaut, la valeur...

Les partitions d’annuaire

Les données de l’annuaire sont cloisonnées dans des espaces logiques différents, ce qui permet d’améliorer la gestion et la sécurité de l’annuaire. Grâce à cette approche, un administrateur peut créer autant de partitions d’application qu’il veut sans impacter la structure interne des services AD LDS. Physiquement, tous les objets de l’annuaire sont stockés dans un seul fichier de base de données nommé adamntds.dit, quelle que soit la partition à laquelle ils appartiennent.

Le schéma ci-dessous illustre le partitionnement logique de la base AD LDS :

images/07RI02.PNG

1. La partition de schéma

Un schéma AD LDS fait référence à l’ensemble des définitions de tous les objets et attributs qui sont présents dans l’annuaire. C’est le schéma qui définit la manière dont les services AD LDS doivent stocker et modifier les données des utilisateurs, des groupes et d’autres types d’objets afin qu’ils aient une apparence et une structure cohérentes dans l’annuaire.

Le schéma est protégé à l’aide d’une liste de contrôle d’accès discrétionnaire (DACL) et il est responsable de fournir les attributs nécessaires pour chaque objet AD LDS.

Il faut être très prudent lors de la délégation de contrôle de schéma aux administrateurs. Modifier manuellement le schéma revient à réaliser une chirurgie cérébrale sur l’AD LDS. Une erreur grave peut potentiellement impacter les données de votre instance.

Voici quelques éléments à retenir à propos du schéma AD LDS :

  • Seuls les membres du groupe Administrateur de l’instance peuvent modifier le schéma.

  • Il est possible d’ajouter des classes ou des attributs personnalisés au schéma.

  • Il est possible de désactiver les classes et les attributs personnalisés.

  • Il est fortement déconseillé de modifier ou de désactiver les classes ou les attributs par défaut du schéma.

  • Si une classe ou un attribut est désactivé, les objets...

Le fournisseur Active Directory

1. Les fournisseurs

Une des multiples façons de gérer un annuaire AD LDS est l’utilisation de fournisseur PowerShell. Cette méthode ne sera très probablement pas celle que vous utiliserez, mais elle a le mérite d’exister et a donc sa place dans ce chapitre.

Le module Active Directory contient un fournisseur (PSProvider) qui vous permet de parcourir le contenu de votre annuaire AD LDS de manière similaire à l’exploration d’une arborescence de répertoires et de fichiers.

Un PSProvider est un programme .NET qui permet de connecter Windows PowerShell à un système externe spécifique. Celui-ci est représenté en tant que magasin de données hiérarchique grâce à un lecteur PSDrive.

Pour lister l’ensemble des fournisseurs qui existent dans une session PowerShell, il faut utiliser la cmdlet Get-PSProvider :

PS > Get-PSProvider 
 
Name             Capabilities                              Drivers 
----             ------------                              ------- 
Registry         ShouldProcess, Transactions               {HKLM, HKCU} 
Alias            ShouldProcess                             {Alias} 
Environment      ShouldProcess                             {Env} 
FileSystem       Filter, shouldProcess, Credentials        {C...

Gestion de la base de données AD LDS

1. Présentation

La gestion de la base de données AD LDS doit devenir une des préoccupations majeures des administrateurs système lors de la mise en œuvre de ce type de solution.

Comme pour la plupart de ses produits, Microsoft a fait le choix de s’appuyer sur le moteur de stockage ESE. Les informations du service d’annuaire AD LDS sont stockées dans une base de données transactionnelle, qui offre un accès rapide et maintient la cohérence des données même en cas de panne système. 

La base de données Adamntds.dit utilise des journaux de transaction pour enregistrer toutes les modifications apportées à l’annuaire. Ces journaux de transaction sont essentiels pour le processus de restauration.

La base de données AD LDS se compose d’un ensemble de fichiers qui permet de stocker de manière persistante les données des instances. Nous distinguons généralement quatre types de fichiers.

  • Adamntds.dit : ce fichier de données stocke toutes les informations relatives aux différentes partitions d’annuaire (schéma, configuration, application) dans un format propriétaire. ADLDS enregistre chaque transaction dans un ou plusieurs fichiers.

  • Edb.chk : ce fichier de contrôle (checkpoint pour point de contrôle) permet de vérifier...

Conclusion

Dans ce chapitre, nous avons mis l’accent sur le fonctionnement des partitions d’annuaire et nous avons expliqué les différences entre chacune d’elles. Les fournisseurs PowerShell s’avèrent certainement plus pratiques dès lors que des accès aux partitions d’annuaire sont nécessaires (navigation, création des objets, etc.). Ils apportent un niveau d’abstraction élevé permettant d’exécuter et d’automatiser les tâches d’administration, y compris les plus complexes.

Le fichier de données Adamntds.dit est l’élément essentiel pour le stockage et la restitution des données de l’annuaire AD LDS. Les fichiers journaux sont quant à eux vitaux pour le bon fonctionnement de l’instance.