Services de domaine Active Directory

Introduction aux services AD DS

Les services Active Directory représentent la solution d’annuaire professionnelle de Microsoft visant à centraliser l’administration des ressources et la gestion des identités et des accès. Tout serveur de l’infrastructure sur lequel est installé le rôle Services de domaine AD DS est appelé contrôleur de domaine, ou DC (l’appellation est issue de l’anglais Domain Controller).

Les services de domaine Active Directory (AD DS : Active Directory Domain Services en anglais) sont basés sur une architecture d’annuaire LDAP (Lightweight Directory Access Protocol). Cet annuaire permet notamment d’enregistrer l’ensemble des informations concernant les utilisateurs, les groupes, les ordinateurs, les imprimantes, les contacts, les dossiers partagés ou d’autres types d’objets. Chaque type d’objet possède un ensemble d’attributs et de propriétés définis dans un schéma propre au fonctionnement d’Active Directory. Ce schéma permet de définir les différentes classes d’objets et d’attributs que peut contenir la base de données de l’annuaire.

Pour interroger un service d’annuaire Active Directory, les applications utilisent le protocole LDAP basé sur la suite de protocoles TCP/IP. Le protocole LDAP permet donc d’interroger la base de données Active Directory via le port TCP 389 (quand il s’agit d’un simple contrôleur de domaine), et le port TCP 3268 (lorsqu’il s’agit d’un contrôleur de domaine faisant office de catalogue global). Dans les environnements où la sécurité doit être accrue, les protocoles de communication d’un annuaire Active Directory peuvent être renforcés à l’aide de LDAPS (LDAP over SSL). Lors de l’activation du protocole de communication sécurisé de LDAP, les échanges s’opèrent alors via le port de communication TCP 636 pour un contrôleur de domaine standard, et le port TCP 3269 pour un contrôleur de domaine faisait office de catalogue global.

Administration d’Active Directory

Lors de l’installation du rôle de serveur AD DS, un service Windows nommé Services de domaine Active Directory est créé avec un type de démarrage automatique. Il est ainsi plus facile d’effectuer une maintenance de la base de données Active Directory en arrêtant tout simplement le service Windows associé.

L’arrêt de ce service entraîne également l’arrêt des services suivants :

Le processus d’installation du rôle de serveur AD DS copie plusieurs composants logiciels enfichables destinés à l’administration des services de domaines AD DS, dont la console Utilisateurs et ordinateurs Active Directory, disponible dans les outils d’administration ou une nouvelle MMC. Il est également possible d’installer ces consoles sur un serveur ne disposant pas du composant Active Directory, voire même sur un poste client doté d’un système d’exploitation Microsoft comme Windows 7, 8, 8.1 ou 10, en installant les outils d’administration RSAT (Remote System Administration Tools). Pour faire appel à cette console, il est également possible de taper la commande dsa.msc dans une invite de commande, dans la zone de recherche d’applications ou dans une fenêtre Exécuter.

Il est également possible de cliquer sur l’icône Utilisateurs et ordinateurs...

Partitions Active Directory

La base de données Active Directory est divisée en plusieurs partitions logiques :

Le schéma est extensible. Il peut donc être modifié afin de lui rajouter de nouveau attributs ou classes d’objets (la modification du schéma nécessite l’utilisation d’un compte administrateur appartenant au groupe Administrateur du schéma). Pour visualiser le contenu du schéma, il faut utiliser le composant logiciel enfichable Schéma Active Directory. Cette console n’étant pas disponible par défaut, il est nécessaire d’enregistrer la dll correspondante en tapant la commande suivante dans...

Gestion des identités et des accès

L’une des principales fonctions des services de domaine Active Directory est de gérer l’authentification et la gestion des droits d’accès au sein d’un domaine. Pour ce faire, un contrôleur de domaine (également appelé DC, comme Domain Controller en anglais) utilise la gestion des ACL (Access Control List) et également un protocole d’authentification tel que NTLM (NT LAN Manager en anglais) ou Kerberos (protocole d’authentification par défaut de Windows). L’authentification d’un utilisateur consiste à vérifier si la combinaison du nom d’utilisateur et du mot de passe fourni, lors d’une tentative de connexion au domaine, est correcte.

Pour accroître la sécurité au sein du réseau, Microsoft utilise par défaut le protocole d’authentification Kerberos (version 5). Ce protocole d’authentification des utilisateurs fonctionne à l’aide d’un système de tickets (également appelés jetons d’accès) et d’un processus d’échange de clés secrètes protégées à l’aide d’un cryptage symétrique. Grâce à ce procédé, un utilisateur qui accède à un réseau Microsoft peut, lors de son authentification, demander un ticket...

Gestion des unités d’organisation

Afin d’organiser une infrastructure Active Directory, l’ensemble des objets d’un domaine est stocké dans un conteneur appelé unité d’organisation (OU pour Organizational Unit). Une unité d’organisation permet, à l’instar d’une arborescence de dossiers, d’organiser l’ensemble des objets :

Les unités d’organisation peuvent être gérées au travers des éléments suivants :

1. Ajouter une OU via l’interface graphique

Pour ajouter une nouvelle unité d’organisation via la console graphique Utilisateurs et ordinateurs Active Directory, il suffit de suivre la procédure suivante :

 Ouvrez la console Utilisateurs et ordinateurs Active Directory via les outils d’administration ou en tapant la commande suivante dans une invite de commandes : dsa.msc

 Sélectionnez le domaine ou une unité d’organisation existante, faites un clic droit et cliquez sur Nouveau, puis Unité d’organisation :

 Tapez le nom que vous souhaitez donner à l’unité...

Stratégies de groupe (GPO)

Les stratégies de groupe, qui sont également appelées GPO (Group Policy Object), sont des objets de l’annuaire Active Directory qui permettent d’appliquer des paramètres personnalisés aux objets d’une unité d’organisation. Il est ainsi possible de gérer des objets utilisateurs ou ordinateurs afin de définir par exemple, des stratégies de mot de passe utilisateur ou des stratégies de sécurité locale d’un ordinateur. Il existe une multitude de paramètres qui peuvent être configurés afin d’être appliqués à l’ensemble des objets utilisateurs ou ordinateurs d’une unité d’organisation.

1. Création d’un GPO

La gestion des stratégies de groupe s’effectue via la console d’administration Gestion des stratégies de groupe (ou GPMC : Group Policy Management Console pour la version anglophone). Cette console est disponible dans les outils d’administration via le composant logiciel enfichable GPMC.msc :

Cette console permet de créer et de lier des objets de stratégies de groupe à une unité d’organisation. Tous les objets contenus dans l’OU seront impactés par l’ensemble des paramètres définis dans la GPO. Pour créer un objet de stratégie de groupe, on utilise la console Éditeur de gestion des stratégies de groupe :

Par défaut, lors de la création d’un nouveau domaine Active Directory, deux GPO sont créées :

• Default Domain Policy : cette GPO est liée au domaine. Elle fixe tous les paramètres qui s’appliqueront à tous les utilisateurs et ordinateurs du domaine.

• Default Domain Controllers Policy : cette GPO ne s’applique qu’aux contrôleurs de domaine.

Par défaut, les stratégies de groupe sont stockées sur chaque contrôleur de domaine à l’emplacement suivant (d’après les Best Practice Microsoft, il est recommandé de spécifier un emplacement différent de la partition système pour le stockage du répertoire SYSVOL) : %SYSTEMROOT%\SYSVOL\domain\Policies

Chaque GPO créée est visible dans un dossier de cet emplacement qui porte un nom d’identificateur...

Forêts et domaines Active Directory

Une infrastructure Active Directory fonctionne selon une hiérarchie qui représente une entité de sécurité hébergeant utilisateurs et ordinateurs. Cette infrastructure forme ainsi une arborescence composée de domaines, d’arbres de domaine ou de forêts. Les différents domaines constituants une arborescence communiquent entre eux via des relations d’approbation.

1. Forêts

Une forêt est un regroupement de plusieurs domaines Active Directory et possède un seul schéma. Le premier domaine installé dans une forêt est appelé domaine racine de la forêt. Plusieurs arbres de domaines dont l’espace de noms n’est pas contigu représentent une forêt.

2. Domaines

Un domaine est une entité administrative de l’Active Directory au sein de laquelle certaines fonctionnalités et caractéristiques sont partagées. Cette entité de sécurité héberge utilisateurs et ordinateurs et représente un périmètre dans lequel des stratégies sont définies.

3. Arbres de domaines

Un arbre représente un ensemble de domaines partageant le même espace de noms. Plusieurs domaines situés sous un domaine unique et utilisant un espace de noms continu forment un arbre. Un domaine peut posséder un sous-domaine, constituant ainsi un arbre d’une infrastructure Active Directory (exemple : us.infonovice.priv, fr.infonovice.priv). Le domaine racine est le domaine au sommet de l’arbre. Si l’espace de noms n’est pas contigu, on parle alors de forêt.

Rôles FSMO

Les rôles FSMO sont également appelés rôles de maître d’opérations. Il existe cinq rôles FSMO :

Le moyen le plus rapide d’identifier les contrôleurs de domaine hébergeant les maîtres d’opérations sur un domaine Active Directory est d’utiliser la commande DOS suivante : netdom query fsmo

Description des rôles FSMO

Contrôleur de schéma

Le contrôleur de schéma est chargé d’apporter des changements au schéma de la forêt. Tous les autres contrôleurs de domaine contiennent des réplicas en lecture seule du schéma. Pour modifier le schéma ou installer une application qui modifie le schéma, il est recommandé de le faire sur le contrôleur de schéma. Dans le cas contraire, les changements demandés doivent être envoyés au contrôleur de schéma pour qu’il les inscrive dans le schéma. Le contrôleur de schéma doit...

Catalogue global

Le catalogue global est une partition d’Active Directory qui contient des informations sur tous les objets de l’annuaire. Le catalogue global contient en réalité une réplique partielle des objets de l’annuaire afin que n’importe quel utilisateur puisse retrouver une information sur l’ensemble de la forêt. C’est une sorte d’index qui permet de localiser des objets dans l’annuaire. Un contrôleur de domaine qui héberge le catalogue global est appelé serveur de catalogue global.

Cette partition a un rôle important dans un domaine car, en plus d’aider à retrouver n’importe quel objet de la forêt, elle sert également dans les processus d’ouverture de session interdomaines, ou encore dans la vérification de l’appartenance d’un compte d’utilisateur à un groupe universel. Sans serveur de catalogue global, plusieurs applications comme la messagerie Microsoft Exchange ne pourraient pas fonctionner.

Par défaut, le premier contrôleur de domaine installé dans une forêt Active Directory est un serveur de catalogue global. Pour vérifier qu’un contrôleur de domaine est un catalogue global, il faut ouvrir la console d’administration Sites et services Active Directory, puis éditer les propriétés du serveur :

Dans la propriété...