Serveur d'impression

Active Directory – Wikipedia – Bien choisir son serveur d impression

Le 3 mai 2019 - 36 minutes de lecture

Active Directory (UN D) est un service de répertoire mis au point par Microsoft pour les réseaux du domaine Windows. Il est inclus dans la plupart des systèmes d'exploitation Windows Server en tant qu'ensemble de processus et de services.[1][2] Initialement, Active Directory était uniquement chargé de la gestion centralisée du domaine. À partir de Windows Server 2008, cependant, Active Directory est devenu un titre générique pour une large gamme de services liés aux identités basés sur l'annuaire.[3]

Un serveur exécutant le service de domaine Active Directory (AD DS) est appelé contrôleur de domaine. Il authentifie et autorise tous les utilisateurs et ordinateurs d'un réseau de type domaine Windows: attribution et application de stratégies de sécurité pour tous les ordinateurs et installation ou mise à jour de logiciels. Par exemple, lorsqu'un utilisateur se connecte à un ordinateur faisant partie d'un domaine Windows, Active Directory vérifie le mot de passe soumis et détermine s'il est un administrateur système ou un utilisateur normal.[4] En outre, il permet la gestion et le stockage des informations, fournit des mécanismes d'authentification et d'autorisation et établit une structure pour déployer d'autres services connexes: services de certificats, services de fédération Active Directory, services Lightweight Directory Services et services de gestion des droits.[5]

Active Directory utilise les versions 2 et 3 du protocole LDAP (Lightweight Directory Access Protocol), la version Microsoft de Kerberos et DNS.

L'histoire[[[[modifier]

Active Directory, à l'instar de nombreux efforts informatiques, est né d'une démocratisation de la conception à l'aide de Request for Comments ou de RFC. Le groupe de travail d'ingénierie Internet (IETF), qui supervise le processus RFC, a accepté de nombreux RFC initiés par de nombreux participants. Active Directory incorpore des décennies de technologies de communication dans le concept global Active Directory, puis les améliore.[[[[citation requise] Par exemple, LDAP sous-tend Active Directory. Les répertoires X.500 et l'unité d'organisation ont également précédé le concept Active Directory qui utilise ces méthodes. Le concept LDAP a commencé à émerger avant même la création de Microsoft en avril 1975, avec les RFC dès 1971. Les RFC contribuant à LDAP incluent RFC 1823 (sur l'API LDAP, août 1995),[6]RFC 2307, RFC 3062 et RFC 4533.[7][8][9]

Microsoft a prévisualisé Active Directory en 1999, l'a d'abord publié avec l'édition Windows 2000 Server et l'a révisé pour étendre les fonctionnalités et améliorer l'administration de Windows Server 2003. Des améliorations supplémentaires ont été apportées aux versions ultérieures de Windows Server. Dans Windows Server 2008, des services supplémentaires ont été ajoutés à Active Directory, tels que les services de fédération Active Directory.[10] La partie de l'annuaire chargée de la gestion des domaines, qui était auparavant une partie essentielle du système d'exploitation,[10] a été renommé ADDS (Active Directory Domain Services) et est devenu un rôle de serveur comme les autres.[3] "Active Directory" est devenu le titre générique d'une gamme plus large de services basés sur des annuaires.[11] Selon Bryon Hynes, tout ce qui concerne l'identité a été placé sous la bannière d'Active Directory.[3]

Services Active Directory[[[[modifier]

Les services Active Directory comprennent plusieurs services d'annuaire. Les plus connus sont les services de domaine Active Directory, généralement abrégés en AD DS ou simplement AD.[12]

Services de domaine[[[[modifier]

Les services de domaine Active Directory (AD DS) constituent la pierre angulaire de chaque réseau de domaine Windows. Il stocke des informations sur les membres du domaine, y compris les périphériques et les utilisateurs, vérifie leurs informations d'identification et définit leurs droits d'accès. Le serveur qui exécute ce service s'appelle un contrôleur de domaine. Un contrôleur de domaine est contacté lorsqu'un utilisateur se connecte à un périphérique, accède à un autre périphérique sur le réseau ou exécute une application de style Metro pour une entreprise tout autant que celle-ci est chargée dans un périphérique.

D'autres services Active Directory (à l'exception de LDS, comme décrit ci-dessous) ainsi que la plupart des technologies de serveur Microsoft reposent sur ou utilisent des services de domaine; les exemples incluent la stratégie de groupe, le système de fichiers crypté, BitLocker, les services de nom de domaine, les services Bureau à distance, Exchange Server et SharePoint Server.

Services de répertoire légers[[[[modifier]

Services d'annuaire Active Directory Lightweight (AD LDS), anciennement connu sous le nom Mode d'application Active Directory (ADAM),[13] est une implémentation légère d'AD DS.[14] AD LDS s'exécute en tant que service sur Windows Server. AD LDS partage la base de code avec AD DS et fournit la même fonctionnalité, y compris une API identique, mais ne nécessite pas la création de domaines ou de contrôleurs de domaine. Il fournit un Magasin de données pour le stockage des données de répertoire et un Service d'annuaire avec un LDAP Interface de service d'annuaire. Contrairement à AD DS, toutefois, plusieurs instances AD LDS peuvent s'exécuter sur le même serveur.

Services de certificat[[[[modifier]

Les services de certificats Active Directory (AD CS) établissent une infrastructure de clé publique locale. Il peut créer, valider et révoquer des certificats de clé publique pour les utilisations internes d'une organisation. Ces certificats peuvent être utilisés pour chiffrer des fichiers (lorsqu'ils sont utilisés avec Encrypting File System), des courriers électroniques (selon la norme S / MIME) et le trafic réseau (lorsqu'ils sont utilisés par des réseaux privés virtuels, le protocole Transport Layer Security ou le protocole IPSec).

AD CS est antérieur à Windows Server 2008, mais son nom était simplement Services de certificats.[15]

AD CS nécessite une infrastructure AD DS.[16]

Services de fédération[[[[modifier]

Les services AD FS (Active Directory Federation Services) sont un service d'authentification unique. Avec une infrastructure AD FS en place, les utilisateurs peuvent utiliser plusieurs services Web (forum Internet, blog, achats en ligne, messagerie Web, par exemple) ou ressources réseau en utilisant un seul ensemble d'informations d'identification stockées dans un emplacement central, au lieu d'être obligés de s'accorder. un ensemble d'informations d'identification dédié pour chaque service. L'objectif d'AD FS est une extension de celui d'AD DS: ce dernier permet aux utilisateurs de s'authentifier et d'utiliser les périphériques faisant partie du même réseau, à l'aide d'un ensemble d'informations d'identification. Le premier leur permet d'utiliser le même ensemble d'informations d'identification dans un réseau différent.

Comme son nom l'indique, AD FS fonctionne sur le concept d'identité fédérée.

AD FS nécessite une infrastructure AD DS, même si son partenaire de fédération ne le peut pas.[17]

Services de gestion des droits[[[[modifier]

Services de gestion des droits Active Directory (AD RMS, connu comme Services de gestion des droits ou RMS avant Windows Server 2008) est un logiciel serveur de gestion des droits d’information fourni avec Windows Server. Il utilise le cryptage et une forme de refus sélectif des fonctionnalités pour limiter l'accès aux documents tels que les courriers électroniques d'entreprise, les documents Microsoft Word et les pages Web, ainsi que les opérations que les utilisateurs autorisés peuvent effectuer sur ceux-ci.

Structure logique[[[[modifier]

En tant que service d'annuaire, une instance Active Directory se compose d'une base de données et du code exécutable correspondant, chargé de traiter les demandes et de maintenir la base de données. La partie exécutable, appelée agent de système de répertoire, est un ensemble de services et de processus Windows s'exécutant sous Windows 2000 et versions ultérieures.[1] Les objets des bases de données Active Directory sont accessibles via LDAP, ADSI (une interface de modèle d'objet composant), l'API de messagerie et les services Security Accounts Manager.[2]

Objets[[[[modifier]

Un exemple simplifié du réseau interne d'une maison d'édition. La société dispose de quatre groupes avec des autorisations variables sur les trois dossiers partagés du réseau.

Les structures Active Directory sont des arrangements d'informations sur les objets. Les objets se divisent en deux grandes catégories: les ressources (par exemple, les imprimantes) et les entités de sécurité (comptes d’utilisateur ou d’ordinateur et groupes). Les identificateurs de sécurité uniques (SID) sont attribués aux entités de sécurité.

Chaque objet représente une seule entité (utilisateur, ordinateur, imprimante ou groupe) et ses attributs. Certains objets peuvent contenir d'autres objets. Un objet est identifié de manière unique par son nom et possède un ensemble d'attributs (les caractéristiques et les informations qu'il représente) définis par un schéma, qui détermine également les types d'objets pouvant être stockés dans Active Directory.

L'objet schéma permet aux administrateurs d'étendre ou de modifier le schéma si nécessaire. Toutefois, comme chaque objet de schéma fait partie intégrante de la définition des objets Active Directory, la désactivation ou la modification de ces objets peut fondamentalement modifier ou interrompre un déploiement. Les modifications de schéma se propagent automatiquement dans tout le système. Une fois créé, un objet peut uniquement être désactivé, pas supprimé. La modification du schéma nécessite généralement une planification.[18]

Forêts, arbres et domaines[[[[modifier]

La structure Active Directory contenant les objets peut être visualisée à plusieurs niveaux. La forêt, l'arborescence et le domaine sont les divisions logiques d'un réseau Active Directory.

Dans un déploiement, les objets sont regroupés dans des domaines. Les objets d'un seul domaine sont stockés dans une base de données unique (qui peut être répliquée). Les domaines sont identifiés par leur structure de noms DNS, l'espace de noms.

Un domaine est défini comme un groupe logique d’objets réseau (ordinateurs, utilisateurs, périphériques) partageant la même base de données Active Directory.

Une arborescence est une collection d'un ou plusieurs domaines et arborescences de domaines dans un espace de noms contigu et est liée dans une hiérarchie d'approbation transitive.

Au sommet de la structure se trouve le forêt. Une forêt est une collection d'arbres partageant un catalogue global, un schéma de répertoire, une structure logique et une configuration de répertoire communs. La forêt représente la limite de sécurité à l'intérieur de laquelle les utilisateurs, ordinateurs, groupes et autres objets sont accessibles.

Exemple d'organisation géographique de zones d'intérêt au sein d'arbres et de domaines.

Unités d'organisation[[[[modifier]

Les objets contenus dans un domaine peuvent être regroupés en unités d'organisation (OU).[19] Les unités d'organisation peuvent fournir une hiérarchie à un domaine, simplifier son administration et ressembler à la structure de l'organisation en termes de gestion ou géographiques. Les unités d'organisation peuvent contenir d'autres unités d'organisation. Les domaines sont des conteneurs dans ce sens. Microsoft recommande d'utiliser des unités d'organisation plutôt que des domaines pour la structure et pour simplifier la mise en œuvre des stratégies et l'administration. L'unité d'organisation est le niveau recommandé pour appliquer les stratégies de groupe, qui sont des objets Active Directory officiellement nommés Objets de stratégie de groupe (GPO), bien que les stratégies puissent également être appliquées à des domaines ou des sites (voir ci-dessous). L'OU est le niveau auquel les pouvoirs administratifs sont généralement délégués, mais la délégation peut également être effectuée sur des objets ou des attributs individuels.

Les unités organisationnelles n'ont pas chacune un espace de noms séparé. Par conséquent, pour des raisons de compatibilité avec les implémentations Legacy NetBios, les comptes utilisateur avec un sAMAccountName identique ne sont pas autorisés dans le même domaine, même si les objets de compte se trouvent dans des unités d'organisation distinctes. Cela est dû au fait que sAMAccountName, un attribut d'objet utilisateur, doit être unique dans le domaine.[20]. Toutefois, deux utilisateurs appartenant à différentes unités d'organisation peuvent avoir le même nom commun (CN), le nom sous lequel ils sont stockés dans le répertoire lui-même, par exemple "fred.staff-ou.domain" et "fred.student-ou.domain". où "staff-ou" et "student-ou" sont les OU.

En général, la raison de ce manque de tolérance pour les noms en double dans le placement hiérarchique de répertoires est que Microsoft s’appuie principalement sur les principes de NetBIOS, une méthode de gestion des objets réseau basée sur des fichiers plats qui, pour les logiciels Microsoft, remonte jusqu’à Windows NT 3.1 et le gestionnaire de réseau local MS-DOS. Autoriser la duplication des noms d'objet dans l'annuaire ou supprimer complètement l'utilisation des noms NetBIOS empêcherait la rétrocompatibilité avec les logiciels et équipements hérités. Toutefois, le fait de ne pas autoriser les noms d’objet en double de cette manière constitue une violation des RFC LDAP sur lesquels est censé être basé Active Directory.

À mesure que le nombre d'utilisateurs d'un domaine augmente, des conventions telles que "première initiale, deuxième prénom, nom de famille" (ordre occidental) ou l'inverse (ordre oriental) échouent pour les noms de famille courants tels que Li (李), Forgeron ou Garcia. Les solutions incluent l'ajout d'un chiffre à la fin du nom d'utilisateur. Les solutions de rechange incluent la création d'un système d'identifiant distinct composé de numéros d'identification d'employé / étudiant uniques à utiliser comme noms de compte à la place des noms d'utilisateur réels, et permettant aux utilisateurs de désigner leur séquence de mots préférée dans le cadre d'une politique d'utilisation acceptable.

Du fait que les noms d'utilisateur en double ne peuvent pas exister dans un domaine, la génération du nom de compte pose un défi important aux grandes organisations qui ne peuvent pas être facilement subdivisées en domaines distincts, tels que les étudiants d'un système scolaire public ou d'une université qui doivent pouvoir utiliser n'importe quel ordinateur du réseau.

Groupes d'ombres[[[[modifier]

Dans Active Directory, les unités d'organisation (UO) ne peuvent pas être attribuées en tant que propriétaires ou administrateurs. Seuls les groupes peuvent être sélectionnés et les membres des unités d'organisation ne peuvent pas se voir attribuer collectivement des droits sur des objets de répertoire.

Dans Active Directory de Microsoft, les unités d'organisation ne confèrent pas d'autorisations d'accès et les objets placés dans des unités d'organisation ne se voient pas automatiquement attribuer de privilèges d'accès en fonction de leur unité d'organisation. Il s'agit d'une limitation de conception spécifique à Active Directory. D'autres annuaires concurrents, tels que Novell NDS, peuvent attribuer des privilèges d'accès par le biais du placement d'objet dans une unité d'organisation.

Active Directory nécessite une étape distincte pour qu'un administrateur affecte un objet dans une unité d'organisation en tant que membre d'un groupe, également au sein de cette unité d'organisation. Se fier uniquement à l'emplacement de l'unité d'organisation pour déterminer les autorisations d'accès n'est pas fiable, car l'objet n'a peut-être pas été affecté à l'objet groupe pour cette unité d'organisation.

Une solution de contournement courante pour un administrateur Active Directory consiste à écrire un script personnalisé PowerShell ou Visual Basic pour créer et gérer automatiquement une groupe d'utilisateurs pour chaque unité d'organisation dans leur répertoire. Les scripts sont exécutés périodiquement pour mettre à jour le groupe afin qu'il corresponde à l'appartenance au compte de l'unité d'organisation, mais ne peuvent pas mettre à jour instantanément les groupes de sécurité à chaque modification de l'annuaire, comme cela se produit dans les répertoires concurrents où la sécurité est directement implémentée. Ces groupes sont appelés Groupes d'ombres. Une fois créés, ces groupes d'ombres peuvent être sélectionnés à la place de l'unité d'organisation dans les outils d'administration.

Microsoft fait référence aux groupes d'ombres dans la documentation de Server 2008, mais n'explique pas comment les créer. Il n'y a pas de méthodes serveur intégrées ni de composants logiciels enfichables pour la console permettant de gérer les groupes d'ombres.[21]

La division de l'infrastructure d'information d'une organisation en une hiérarchie d'un ou plusieurs domaines et unités d'organisation de niveau supérieur est une décision clé. Les modèles courants sont par unité commerciale, par lieu géographique, par service informatique ou par type d'objet et leurs hybrides. Les unités d'organisation doivent être structurées principalement pour faciliter la délégation administrative et, secondairement, pour faciliter l'application de la stratégie de groupe. Bien que les unités d'organisation forment une limite administrative, la seule véritable limite de sécurité est la forêt elle-même et un administrateur de tout domaine de la forêt doit être approuvé sur tous les domaines de la forêt.[22]

Des partitions[[[[modifier]

La base de données Active Directory est organisée en des cloisons, chacun contenant des types d'objet spécifiques et suivant un modèle de réplication spécifique. Microsoft appelle souvent ces partitions «contextes de nommage».[23] La partition 'Schema' contient la définition des classes d'objets et des attributs dans la forêt. La partition 'Configuration' contient des informations sur la structure physique et la configuration de la forêt (telles que la topologie du site). Les deux répliquent sur tous les domaines de la forêt. La partition 'Domaine' contient tous les objets créés dans ce domaine et ne se réplique que dans son domaine. ,,

Structure physique[[[[modifier]

Des sites sont des regroupements physiques (plutôt que logiques) définis par un ou plusieurs sous-réseaux IP.[24] AD contient également les définitions des connexions, en distinguant les liaisons à faible vitesse (par exemple, WAN, VPN) des liaisons à haute vitesse (par exemple, LAN). Les définitions de site sont indépendantes du domaine et de la structure de l'unité d'organisation et sont communes à l'ensemble de la forêt. Les sites permettent de contrôler le trafic réseau généré par la réplication et de diriger les clients vers les contrôleurs de domaine les plus proches. Microsoft Exchange Server 2007 utilise la topologie de site pour le routage du courrier. Les stratégies peuvent également être définies au niveau du site.

Physiquement, les informations Active Directory sont conservées sur un ou plusieurs contrôleurs de domaine homologues, remplaçant ainsi le modèle NT PDC / BDC. Chaque contrôleur de domaine possède une copie de Active Directory. Les serveurs membres d'Active Directory qui ne sont pas des contrôleurs de domaine sont appelés serveurs membres.[25] Un sous-ensemble d'objets de la partition de domaine est répliqué sur des contrôleurs de domaine configurés en tant que catalogues globaux. Les serveurs de catalogue global (GC) fournissent une liste globale de tous les objets de la forêt.[26][27]

Les serveurs de catalogue global se répliquent tous les objets de tous les domaines et fournissent donc une liste globale des objets de la forêt. Toutefois, pour réduire le trafic de réplication et conserver la base de données du GC réduite, seuls les attributs sélectionnés de chaque objet sont répliqués. C'est ce qu'on appelle le jeu d'attributs partiel (PAS). Le PAS peut être modifié en modifiant le schéma et en marquant les attributs pour la réplication sur le GC.[28] Les versions antérieures de Windows utilisaient NetBIOS pour communiquer. Active Directory est entièrement intégré au DNS et requiert TCP / IP — DNS. Pour être pleinement fonctionnel, le serveur DNS doit prendre en charge les enregistrements de ressources SRV, également appelés enregistrements de service.

Réplication[[[[modifier]

Active Directory synchronise les modifications à l'aide de réplication multi-maîtres.[29] La réplication par défaut est «extraire» plutôt que «pousser», ce qui signifie que les réplicas extraient les modifications du serveur sur lequel la modification a été effectuée.[30] le Vérificateur de cohérence des connaissances (KCC) crée une topologie de réplication de liens du site en utilisant le défini des sites gérer le trafic. La réplication intra-site est fréquente et automatique suite à la notification de modification, ce qui incite les pairs à commencer un cycle de réplication par extraction. Les intervalles de réplication intersite sont généralement moins fréquents et n'utilisent pas la notification de modification par défaut, bien que celle-ci soit configurable et puisse être identique à la réplication intrasite.

Chaque lien peut avoir un «coût» (par exemple, DS3, T1, RNIS, etc.) et le KCC modifie la topologie de lien de site en conséquence. La réplication peut se produire de manière transitoire via plusieurs liens de site sur le même protocole ponts de liens de sites, si le coût est faible, bien que KCC coûte automatiquement un lien direct de site à site inférieur aux connexions transitives. La réplication de site à site peut être configurée pour se produire entre serveur tête de pont dans chaque site, qui réplique ensuite les modifications sur les autres contrôleurs de domaine du site. La réplication pour les zones Active Directory est automatiquement configurée lorsque DNS est activé dans le domaine basé sur le site.

La réplication d'Active Directory utilise les appels de procédure distante (RPC) sur IP (RPC / IP). SMTP entre sites peut être utilisé pour la réplication, mais uniquement pour les modifications apportées aux GC des schémas, de la configuration ou du jeu d'attributs partiel (catalogue global). SMTP ne peut pas être utilisé pour répliquer la partition de domaine par défaut.[31]

la mise en oeuvre[[[[modifier]

En général, un réseau utilisant Active Directory dispose de plus d'un ordinateur serveur Windows sous licence. La sauvegarde et la restauration d’Active Directory sont possibles pour un réseau avec un seul contrôleur de domaine,[32] mais Microsoft recommande à plusieurs contrôleurs de domaine de fournir une protection de basculement automatique de l'annuaire.[33] Les contrôleurs de domaine sont également idéalement destinés à un usage unique pour les opérations de répertoire et ne doivent exécuter aucun autre logiciel ou rôle.[34]

Certains produits Microsoft tels que SQL Server[35][36] et échange[37] peut interférer avec le fonctionnement d'un contrôleur de domaine, ce qui nécessite d'isoler ces produits sur des serveurs Windows supplémentaires. Leur combinaison peut rendre plus difficile la configuration ou le dépannage du contrôleur de domaine ou des autres logiciels installés.[38] Il est donc recommandé aux entreprises souhaitant implémenter Active Directory d'acheter un certain nombre de licences de serveur Windows, de fournir au moins deux contrôleurs de domaine distincts et, éventuellement, des contrôleurs de domaine supplémentaires pour les performances ou la redondance, un serveur de fichiers séparé, un serveur Exchange séparé, un serveur SQL séparé,[39] et ainsi de suite pour prendre en charge les différents rôles de serveur.

L'utilisation de la virtualisation permet de réduire les coûts liés au matériel physique pour de nombreux serveurs distincts, bien que, pour garantir une protection adéquate contre le basculement, Microsoft recommande de ne pas exécuter plusieurs contrôleurs de domaine virtualisés sur le même matériel physique.[40]

Base de données[[[[modifier]

La base de données Active-Directory, le magasin de répertoire, dans Windows 2000 Server, utilise le moteur ESE98 (Extensible Storage Engine) basé sur JET Blue et est limité à 16 téraoctets et à 2 milliards d’objets (mais seulement à un milliard d’entités de sécurité) dans la base de données de chaque contrôleur de domaine. Microsoft a créé des bases de données NTDS avec plus de 2 milliards d'objets.[41] (Le gestionnaire de compte de sécurité de la NT4 ne pouvait pas supporter plus de 40 000 objets). Appelé NTDS.DIT, il comporte deux tables principales: tableau de données et le table de liens. Windows Server 2003 a ajouté une troisième table principale pour l'instanciation simple de descripteur de sécurité.[41]

Les programmes peuvent accéder aux fonctionnalités d'Active Directory[42] via les interfaces COM fournies par Interfaces de service Active Directory.[43]

Opérations à serveur unique[[[[modifier]

Les rôles flexibles d'opérations maître unique (FSMO, ou «fizz-mo») sont également appelés rôles d'opérateurs maîtres. Bien que les contrôleurs de domaine autorisent les mises à jour simultanées à plusieurs endroits, certaines opérations ne sont prises en charge que sur un seul serveur. Ces opérations sont effectuées à l'aide des rôles énumérés ci-dessous:

Nom de rôle Portée La description
Maître de schéma 1 par forêt Modifications de schéma
Domain Naming Master 1 par forêt Ajout et suppression de domaines si présents dans le domaine racine
PDC Emulator 1 par domaine Fournit une compatibilité ascendante pour les clients NT4 pour les opérations PDC (telles que les modifications de mot de passe). Le PDC exécute des processus spécifiques à un domaine, tels que le SDP (Security Descriptor Propagator), et constitue le serveur de temps maître au sein du domaine. Il gère également les approbations externes, le contrôle de cohérence DFS, conserve les mots de passe actuels et gère tous les objets de stratégie de groupe en tant que serveur par défaut.
Maître RID 1 par domaine Alloue des pools d'identifiants uniques aux contrôleurs de domaine à utiliser lors de la création d'objets
Maître d'infrastructure 1 par domaine / partition Synchronise les modifications d'appartenance à un groupe inter-domaines. Le maître d'infrastructure ne doit pas être exécuté sur un serveur de catalogue global (GCS) sauf si tous les contrôleurs de domaine sont également des GC, ou si l'environnement est constitué d'un seul domaine.

le Maître d'infrastructure Le rôle décrit ci-dessus ne concerne que la partition du domaine (contexte de nommage par défaut), requête netdom fsmo et ntdsutil interrogera uniquement la partition de domaine. Cependant, chaque partition d'application, y compris les zones de domaine DNS au niveau de la forêt et du domaine, possède son propre maître d'infrastructure. Le titulaire de ce rôle est stocké dans le fSMORoleOwner attribut du Infrastructure objet dans la racine de la partition, il peut être modifié avec ADSIEdit, par exemple, on peut modifier le fSMORoleOwner attribut du CN = Infrastructure, DC = DomainDnsZones, DC = votre domaine, DC = tld objecter à CN = NTDSSettings, CN = Nom_de_DC, CN = Serveurs, CN = DRSite, CN = Sites, CN = Configuration, CD = Votre domaine, CD = TLD.[44]

Confiant[[[[modifier]

Pour permettre aux utilisateurs d'un domaine d'accéder aux ressources d'un autre, Active Directory utilise des approbations.[45]

Les approbations au sein d'une forêt sont automatiquement créées lors de la création de domaines. La forêt définit les limites de confiance par défaut, et la confiance transitive implicite est automatique pour tous les domaines d'une forêt.

Terminologie[[[[modifier]

Confiance à sens unique
Un domaine autorise l'accès aux utilisateurs d'un autre domaine, mais l'autre domaine n'autorise pas l'accès aux utilisateurs du premier domaine.
Confiance bidirectionnelle
Deux domaines permettent l'accès aux utilisateurs des deux domaines.
Domaine de confiance
Le domaine de confiance; dont les utilisateurs ont accès au domaine de confiance.
Confiance transitive
Une approbation qui peut s'étendre au-delà de deux domaines à d'autres domaines approuvés de la forêt.
Confiance intransitive
Une confiance à sens unique qui ne s'étend pas au-delà de deux domaines.
Confiance explicite
Une confiance créée par un administrateur. Ce n'est pas transitif et est à sens unique.
Confiance croisée
Une confiance explicite entre des domaines de différentes arborescences ou de la même arborescence lorsqu'aucune relation descendant / ancêtre (enfant / parent) n'existe entre les deux domaines.
Raccourci
Joint deux domaines dans des arbres différents, transitif, un ou deux voies.
Confiance de la forêt
S'applique à toute la forêt. Transitive, un ou deux voies.
Domaine
Peut être transitif ou non transitif (intransitif), un ou deux voies.
Externe
Connectez-vous à d'autres forêts ou domaines non AD. Non transitive, un ou deux voies.[46]
Confiance PAM
Approbation unidirectionnelle utilisée par Microsoft Identity Manager d'une forêt de production (éventuellement de bas niveau) à une forêt 'bastion' (au niveau de la fonctionnalité Windows Server 2016), qui émet des appartenances à un groupe limitées dans le temps.[47][48]

Fonds forestiers[[[[modifier]

Windows Server 2003 a introduit le confiance de racine de forêt. Cette approbation peut être utilisée pour connecter des forêts Windows Server 2003 si elles fonctionnent au niveau fonctionnel de la forêt 2003. L'authentification via ce type d'approbation est basée sur Kerberos (par opposition à NTLM).

Les approbations de forêts sont transitives pour tous les domaines des forêts approuvées. Cependant, les fiducies forestières sont ne pas transitif entre les forêts.

ExempleSupposons qu’une approbation de forêt transitive bidirectionnelle existe entre les domaines racine de la forêt A et B et qu’une autre approbation de forêt transitive bidirectionnelle existe entre les domaines racine de la forêt B et C. Une telle configuration permet aux utilisateurs de La forêt B accède aux ressources de n’importe quel domaine de la forêt A ou de la forêt C, et les utilisateurs de la forêt A ou C peuvent accéder aux ressources de n’importe quel domaine de la forêt B. ne pas laisser les utilisateurs de la forêt A accéder aux ressources de la forêt C, ou inversement. Pour permettre aux utilisateurs de Forest A et de Forest C de partager des ressources, une approbation transitive à double sens doit exister entre les deux forêts.

Solutions de gestion[[[[modifier]

Les outils de gestion Microsoft Active Directory incluent:

  • Utilisateurs et ordinateurs Active Directory,
  • Domaines et approbations Active Directory,
  • Sites et services Active Directory,
  • ADSI Edit,
  • Utilisateurs et groupes locaux,
  • Composants logiciels enfichables Schéma Active Directory pour Microsoft Management Console (MMC),

Ces outils de gestion peuvent ne pas fournir suffisamment de fonctionnalités pour un flux de travail efficace dans les grands environnements. Certaines solutions tierces étendent les capacités d'administration et de gestion. Ils fournissent des fonctionnalités essentielles pour des processus d'administration plus pratiques, tels que l'automatisation, les rapports, l'intégration à d'autres services, etc.

Intégration Unix[[[[modifier]

Des niveaux variables d'interopérabilité avec Active Directory peuvent être atteints sur la plupart des systèmes d'exploitation de type Unix (y compris Unix, Linux, Mac OS X ou Java et les programmes Unix) via des clients LDAP conformes aux normes, mais ces systèmes n'interprètent généralement pas de nombreux attributs. associés à des composants Windows, tels que la stratégie de groupe et la prise en charge des approbations à sens unique.

Les tiers proposent une intégration Active Directory pour les plates-formes de type Unix, notamment:

  • Services d'identité PowerBroker, autrefois également (BeyondTrust, anciennement Likewise Software) – Permet à un client non-Windows de rejoindre Active Directory[49]
  • ADmitMac (Systèmes logiciels de jeu)[49]
  • Samba – Peut agir en tant que contrôleur de domaine[50][51]

Les ajouts de schéma fournis avec Windows Server 2003 R2 incluent des attributs qui correspondent suffisamment à la RFC 2307 pour être généralement utilisables. L'implémentation de référence de RFC 2307, nss_ldap et pam_ldap fournie par PADL.com, prend directement en charge ces attributs. Le schéma par défaut pour l'appartenance à un groupe est conforme à la RFC 2307bis (proposée).[52] Windows Server 2003 R2 comprend un composant logiciel enfichable Microsoft Management Console qui crée et modifie les attributs.

Une autre option consiste à utiliser un autre service d'annuaire en tant que clients non-Windows qui s'authentifient auprès de ce service, tandis que les clients Windows s'authentifient auprès de AD. Les clients non-Windows incluent 389 Directory Server (anciennement Fedora Directory Server, FDS), ViewDS Identity Solutions – Répertoire ViewDS v7.2 XML activé et Sun Microsystems Sun Java System Directory Server. Ces deux derniers peuvent effectuer une synchronisation bidirectionnelle avec AD et fournir ainsi une intégration "déviée".

Une autre option consiste à utiliser OpenLDAP avec son translucide superposition, qui peut étendre les entrées de n’importe quel serveur LDAP distant avec des attributs supplémentaires stockés dans une base de données locale. Les clients pointés sur la base de données locale voient les entrées contenant à la fois les attributs distant et local, alors que la base de données distante reste complètement intacte.[[[[citation requise]

L'administration (interrogation, modification et surveillance) d'Active Directory peut être réalisée via de nombreux langages de script, notamment PowerShell, VBScript, JScript / JavaScript, Perl, Python et Ruby.[53][54][55][56] Les outils d'administration AD gratuits et non-libres peuvent aider à simplifier et éventuellement automatiser les tâches de gestion AD.

Depuis octobre 2017, Amazon AWS offre une intégration avec Microsoft Active Directory.[57]

Voir également[[[[modifier]

Références[[[[modifier]

  1. ^ une b "Agent de système d'annuaire". Bibliothèque MSDN. Microsoft. Récupéré 23 avril 2014.
  2. ^ une b Salomon, David A .; Russinovich, Mark (2005). "Chapitre 13". Internals Microsoft Windows: Microsoft Windows Server 2003, Windows XP et Windows 2000 (4 e éd.). Redmond, Washington: Microsoft Press. p. 840. ISBN 0-7356-1917-4.
  3. ^ une b c Hynes, Byron (novembre 2006). "L'avenir de Windows: services d'annuaire dans Windows Server" Longhorn"". Magazine TechNet. Microsoft.
  4. ^ "Active Directory sur un réseau Windows Server 2003". Collection Active Directory. Microsoft. 13 mars 2003. Récupéré 25 décembre 2010.
  5. ^ "Installer les services de domaine Active Directory sur Windows Server 2008 R2 Enterprise 64 bits". 27 avril 2016. Récupéré 22 septembre 2016.
  6. ^ "L'interface du programme d'application LDAP". Récupéré 26 novembre 2013.
  7. ^ "Une approche pour utiliser LDAP en tant que service d’information réseau". Récupéré 26 novembre 2013.
  8. ^ "LDAP Password Modify Extended Operation". Récupéré 26 novembre 2013.
  9. ^ "Opération de synchronisation de contenu LDAP (Lightweight Directory Access Protocol)". Récupéré 26 novembre 2013.
  10. ^ une b Thomas, Guy. "Windows Server 2008 – Nouvelles fonctionnalités". ComputerPerformance.co.uk. Computer Performance Ltd.
  11. ^ "Quoi de neuf dans Active Directory dans Windows Server". Centre technique Windows Server 2012 R2 et Windows Server 2012. Microsoft.
  12. ^ Services Active Directory technet.microsoft.com
  13. ^ "AD LDS". Microsoft. Récupéré 28 avril 2009.
  14. ^ "AD LDS versus AD DS". Microsoft. Récupéré 25 février 2013.
  15. ^ Zacker, Craig (2003). "11: Création et gestion de certificats numériques". À Harding, Kathy; Jean, Trenary; Linda, Zacker (éd.). Planification et maintenance d'une infrastructure réseau Microsoft Windows Server 2003. Redmond, Washington: Microsoft Press. pp. 11–16. ISBN 0-7356-1893-3.
  16. ^ "Vue d'ensemble des services de certificats Active Directory". Microsoft TechNet. Microsoft. Récupéré 24 novembre 2015.
  17. ^ "Étape 1: Tâches de préinstallation". TechNet. Microsoft. Récupéré 24 novembre 2015.
  18. ^ Windows Server 2003: Infrastructure Active Directory. Microsoft Press. 2003. pp. 1–8–1–9.
  19. ^ "Unités d'organisation". Kit de ressources pour systèmes distribués (TechNet). Microsoft. 2011. Une unité d'organisation dans Active Directory est analogue à un répertoire dans le système de fichiers
  20. ^ "sAMAccountName est toujours unique dans un domaine Windows… ou l'est-il?". Joeware. 4 janvier 2012. Récupéré 18 septembre 2013. exemples de création de plusieurs objets AD avec le même nom sAMAccountName
  21. ^ Référence de Microsoft Server 2008, traitant des groupes d'ombre utilisés pour les stratégies de mot de passe affinées: https://technet.microsoft.com/en-us/library/cc770394%28WS.10%29.aspx
  22. ^ "Spécification des limites de sécurité et administratives". Microsoft Corporation. 23 janvier 2005. Cependant, les administrateurs de services ont des capacités qui transcendent les limites de domaine. Pour cette raison, la forêt est la limite de sécurité ultime, pas le domaine.
  23. ^ Andreas Luther. "Trafic de réplication Active Directory". Microsoft Corporation. Récupéré 26 mai 2010. Active Directory est composé d'un ou de plusieurs contextes ou partitions d'appellation.
  24. ^
    "Aperçu des sites". Microsoft Corporation. 21 janvier 2005. Un site est un ensemble de sous-réseaux bien connectés.
  25. ^ "Planification des contrôleurs de domaine et des serveurs membres". Microsoft Corporation. 21 janvier 2005. […] serveurs membres, […] appartiennent à un domaine mais ne contiennent pas de copie des données Active Directory.
  26. ^ "Qu'est-ce que le catalogue global?". Microsoft Corporation. 10 décembre 2009. […] un contrôleur de domaine ne peut localiser que les objets de son domaine. […] Le catalogue global offre la possibilité de localiser des objets de n'importe quel domaine. […]
  27. ^ "Catalogue global". Microsoft Corporation.
  28. ^ "Attributs inclus dans le catalogue global". Microsoft Corporation. 26 août 2010. L'attribut isMemberOfPartialAttributeSet d'un objet attributeSchema est défini sur TRUE si cet attribut est répliqué sur le catalogue global. […] Lorsque vous décidez de placer ou non un attribut dans le catalogue global, n'oubliez pas que vous négociez une réplication accrue et un stockage sur disque accru sur les serveurs de catalogue global pour des performances de requête potentiellement plus rapides.
  29. ^ "Magasin de données d'annuaire". Microsoft Corporation. 21 janvier 2005. Active Directory utilise quatre types de partition d'annuaire distincts pour stocker […] Les données. Directory partitions contain domain, configuration, schema, and application data.
  30. ^ "What Is the Active Directory Replication Model?". Microsoft Corporation. 28 March 2003. Domain controllers request (pull) changes rather than send (push) changes that might not be needed.
  31. ^ "What Is Active Directory Replication Topology?". Microsoft Corporation. 28 March 2003. SMTP can be used to transport nondomain replication […]
  32. ^ "Active Directory Backup and Restore". TechNet. Microsoft. Récupéré 5 février 2014.
  33. ^ "AD DS: All domains should have at least two functioning domain controllers for redundancy". TechNet. Microsoft. Récupéré 5 février 2014.
  34. ^ Posey, Brien (23 August 2010). "10 tips for effective Active Directory design". TechRepublic. CBS Interactive. Récupéré 5 février 2014. Whenever possible, your domain controllers should run on dedicated servers (physical or virtual).
  35. ^ "You may encounter problems when installing SQL Server on a domain controller (Revision 3.0)". Soutien. Microsoft. 7 January 2013. Récupéré 5 février 2014.
  36. ^ Degremont, Michel (30 June 2011). "Can I install SQL Server on a domain controller?". Microsoft SQL Server blog. Récupéré 5 février 2014. For security and performance reasons, we recommend that you do not install a standalone SQL Server on a domain controller.
  37. ^ "Installing Exchange on a domain controller is not recommended". TechNet. Microsoft. 22 March 2013. Récupéré 5 février 2014.
  38. ^ "Security Considerations for a SQL Server Installation". TechNet. Microsoft. Récupéré 5 février 2014. After SQL Server is installed on a computer, you cannot change the computer from a domain controller to a domain member. You must uninstall SQL Server before you change the host computer to a domain member.
  39. ^ "Exchange Server Analyzer". TechNet. Microsoft. Récupéré 5 février 2014. Running SQL Server on the same computer as a production Exchange mailbox server is not recommended.
  40. ^ "Running Domain Controllers in Hyper-V". TechNet. Microsoft. Planning to Virtualize Domain Controllers. Récupéré 5 février 2014. You should attempt to avoid creating potential single points of failure when you plan your virtual domain controller deployment.frank
  41. ^ une b
    efleis (8 June 2006). "Large AD database? Probably not this large". Blogs.technet.com. Récupéré 20 November 2011.
  42. ^ Berkouwer, Sander. "Active Directory basics". Veeam Software.
  43. ^

    Active Directory Service Interfaces, Microsoft

  44. ^ TechNet: ForestDNSZones and DomainDNSZones have wrong infrastructure role record
  45. ^ "Domain and Forest Trusts Technical Reference". Microsoft Corporation. 28 March 2003. Trusts enable […] authentication and […] sharing resources across domains or forests
  46. ^ "Domain and Forest Trusts Work". Microsoft Corporation. 11 December 2012. Récupéré 29 January 2013. Defines several kinds of trusts. (automatic, shortcut, forest, realm, external)
  47. ^ Microsoft Identity Manager: Privileged Access Management for Active Directory Domain Services
  48. ^ TechNet: MIM 2016: Privileged Access Management (PAM) – FAQ
  49. ^ une b Edge, Charles S., Jr; Smith, Zack; Hunter, Beau (2009). "Chapter 3: Active Directory". Enterprise Mac Administrator's Guide. New York City: Apress. ISBN 978-1-4302-2443-3.
  50. ^ "Samba 4.0.0 Available for Download". SambaPeople. SAMBA Project. Archived from the original on 15 November 2010. Récupéré 9 août 2016.
  51. ^ "The great DRS success!". SambaPeople. SAMBA Project. 5 October 2009. Archived from the original on 13 October 2009. Récupéré 2 novembre 2009.
  52. ^ "RFC 2307bis". Archived from the original on 27 September 2011. Récupéré 20 November 2011.
  53. ^ "Active Directory Administration with Windows PowerShell". Microsoft. Récupéré 7 June 2011.
  54. ^ "Using Scripts to Search Active Directory". Microsoft. Récupéré 22 May 2012.
  55. ^ "ITAdminTools Perl Scripts Repository". ITAdminTools.com. Récupéré 22 May 2012.
  56. ^ "Win32::OLE". Perl Open-Source Community. Récupéré 22 May 2012.
  57. ^ https://aws.amazon.com/blogs/security/introducing-aws-directory-service-for-microsoft-active-directory-standard-edition/

Liens externes[[[[modifier]


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.