Active Directory – Wikipedia, l'encyclopédie gratuite – Bien choisir son serveur d impression

Active Directoryde

(référé àde

UN Dde

. Chine continentale traduite par "Active Directory", Taïwan ne maintient pas l'anglais) est Microsoft Windows Server, responsable des services de gestion centralisée de répertoires (services de répertoire) dans l'environnement réseau à grande échelle, intégré à Windows 2000 Server intégré à Windows Server In. le produit, il traite les objets de réseau dans l'organisation. Les objets peuvent être des utilisateurs, des groupes, des ordinateurs, des stations de contrôle de domaine, des mails, des profils, des unités d'organisation, des systèmes d'arborescence, etc., tant qu'ils se trouvent dans le fichier de définition de structure Active Directory. Les objets définis dans (schéma) peuvent être stockés dans le fichier de données Active Directory et accessibles à l'aide de l'interface de service Active Directory. En fait, de nombreux outils de gestion Active Directory utilisent cette interface pour appeler et utiliser les données Active Directory. .

Active Directory est également utilisé en tant que structure de données pour certains logiciels et domaines de serveur Microsoft, tels que Microsoft Exchange Server 2003-2007, qui utilise AD pour stocker ses données de boîte aux lettres personnelles (en créant un nouveau schéma Active Directory) et will AD est répertorié comme condition préalable à la création d’un serveur Exchange.

Active Directory est apparu en 1996 et a été introduit pour la première fois dans Windows 2000. Le code de développement estde

Cascadede

Et après l’évolution de Windows 2000 et Windows Server 2003, AD est devenu un composant de service d’annuaire mature. Dans Windows Server 2008, AD a étendu son rôle à cinq services (notamment informations d'identification, fédération, contrôle d'accès et poids léger). Service, etc.).

Structure du répertoire[[[[de

modifier]

Active Directory (AD) utilise une structure de données sous forme d'arborescence pour former des informations sur les services réseau. Dans un environnement réseau simple (comme une petite entreprise), il n'y a généralement qu'un seul domaine, dans un réseau de taille moyenne ou grande, le domaine. Il peut y avoir beaucoup d’entre elles, ou interconnectées avec AD de d’autres sociétés ou organisations (ce lien est appelé relation de confiance, comme expliqué plus loin).

objet[[[[de

modifier]

La plus petite unité de stockage d'Active Directory est un objet. Chaque objet a son propre attribut de schéma, qui peut stocker différents matériaux, tels que des utilisateurs, des groupes, des ordinateurs, des boîtes aux lettres ou d'autres objets de base.

Les éléments de base sous un domaine AD sont:

• Les contrôleurs de domaine, qui sont les stations de contrôle de domaine (contrôleurs de domaine et contrôleurs de domaine) auxquels le domaine appartient.
• Ordinateurs, qui stockent les objets informatiques ajoutés au domaine.
• Builtin, stocke le groupe de comptes intégré.
• Utilisateurs, stocke les objets utilisateur dans AD.

Si l'entreprise doit gérer son compte dans différentes structures organisationnelles, une ou plusieurs unités d'organisation peuvent être établies dans l'ANNONCE. L'unité d'organisation est un objet Active Directory doté de fonctionnalités de stockage (au format ADSI). C’est l’interface IADsContainer), vous pouvez stocker des objets AD dans l’OU, y compris des utilisateurs, des groupes, des ordinateurs, etc., de sorte que la structure organisationnelle puisse être réellement reflétée dans AD et faciliter une autre fonction dans l’application de stratégie de groupe du groupe AD – Group. gestion centralisée.

Arbre et multi-domaine[[[[de

modifier]

La structure d'une arborescence de domaine Active Directory

La structure d'une arborescence de domaine Active Directory avec des sous-domaines

Si l'environnement réseau de l'organisation est assez volumineux et complexe, il peut y avoir de nombreux domaines. Dans AD, il peut y avoir un ou plusieurs domaines et une grande entreprise peut utiliser une succursale ou un bureau pour s'organiser. Les objets de domaine, par conséquent, il y aura plusieurs domaines dans AD. Si vous devez partager des données dans le domaine ou déléguer des paramètres de gestion et de configuration, vous devez établir une relation organisationnelle entre eux. La relation entre les domaines est hiérarchique, appelée l'arborescence du domaine. L'arborescence du domaine se distingue par l'identification DNS. Par exemple, une entreprise peut avoir un département commercial, un département d’ingénierie et un département de gestion. Lorsque vous créez un domaine, vous pouvez le faire (comme indiqué à droite):

• Acme.com.tw: domaine racine.
• Sales.acme.com.tw: Unité de gestion.
• Engineering.acme.com.tw: Département d'ingénierie.
• Admin.acme.com.tw: Département de gestion.

De cette manière, la structure de l'organisation peut être reflétée dans AD. De même, différents domaines peuvent être établis dans le domaine. Par exemple, s'il est divisé en département logiciel et département matériel dans le département d'ingénierie, il peut également s'agir d'un département d'ingénierie. Établi dans le domaine:

• Software.engineering.acme.com.tw: domaine du département logiciel.
• Hardware.engineering.acme.com.tw: domaine du service du matériel.

Les paramètres du département logiciel et du département matériel hériteront automatiquement du paramètre de principe de groupe du domaine de réseau du département d’ingénierie, et la configuration du département logiciel n’affectera pas le département matériel (peut être configurée pour s’appliquer).

forêt[[[[de

modifier]

Une structure de forêt Active Directory

Dans un environnement multi-domaines, l'échange et le partage de données peuvent être requis entre différents domaines, tels que les paramètres de configuration, les comptes d'utilisateur et les paramètres de stratégie de groupe. Pour le moment, un rôle est requis en tant que rôle. Le rôle de l'échange d'informations entre différents domaines doit également être conforme à la spécification de la structure de l'arborescence AD. Par conséquent, Microsoft a créé un rôle intermédiaire entre plusieurs domaines, appelé Forest, qui ne peut être utilisé que dans une organisation. Il y a une forêt, sous la forêt se trouve leur arborescence de domaine respective et dans le domaine ou l'arborescence de domaine sous la forêt, vous pouvez partager des informations.

Structure physique[[[[de

modifier]

Derrière Active Directory se trouve un service réseau et une méthode de communication basés sur l’infrastructure réseau Windows Server. Ces services réseau et méthodes de communication rendent Active Directory hautement évolutif et rétrocompatible. Les administrateurs réseau doivent configurer et surveiller correctement ces services réseau et méthodes de communication pour permettre à Active Directory de fonctionner correctement et en douceur.

Dans l'environnement de domaine Windows NT précédent, la structure physique du domaine est divisée en trois rôles, à savoir le contrôleur de domaine principal, le contrôleur de domaine de secours (BDC) et le serveur membre. (Membre serveur) trois types de données de domaine sont stockés dans le PDC et le BDC, et échangent des données entre le PDC et le BDC, mais les méthodes de déploiement du PDC et du BDC ne conviennent pas (un domaine ne peut avoir qu'un seul PDC), dans des environnements différents. Le PDC ne peut pas être défini dans l'environnement géographique et toutes les requêtes de domaine seront dirigées vers le PDC. Cela peut facilement entraîner une congestion du trafic pour la connexion et l’accès au domaine. Ce problème a été amélioré dans Active Directory, c’est-à-dire qu’il n’existe plus de BDC (rôles de contrôleur de domaine et de serveur membre uniquement). Toute station de contrôle de domaine du domaine peut gérer la requête de domaine à partir du client. Elle sera donc assez flexible dans le déploiement distribué. .

Catalogue global[[[[de

modifier]

Dans la structure physique de la DA, le rôle le plus important est le catalogue non global.^[1](Global Directory, appelé GC), il stocke les données de structure Active Directory les plus complètes. Il constitue également la cible principale des applications utilisant un annuaire pour les requêtes AD, et généralement dans différents emplacements géographiques. (Par exemple, lorsqu'il existe des succursales en Chine, à Taiwan, aux États-Unis et au Royaume-Uni, chacune avec un domaine), le GC joue un rôle important dans la structure de la mémoire cache. Si un employé de Taiwan se rend dans une succursale du Royaume-Uni et tente de se connecter au domaine. Windows recherchera d'abord le serveur de catalogue global le plus proche (fourni par les paramètres DNS). S'il n'est pas trouvé, il se connectera au GC dans d'autres régions, mais si le réseau de la branche est lent, cet accès AD Data croisé affectera directement le temps de connexion. Il est donc très important que le déploiement du GC soit minutieux. pour la mise en œuvre de AD.

Opération Masters[[[[de

modifier]

Operation Masters (également appelé FSMO)^[2]C'est une station de contrôle de domaine qui est définie pour jouer un rôle spécifique. Dans chaque domaine Active Directory, il existe au moins trois rôles de l'hôte en exploitation.

• Maître d'émulateur de contrôleur de domaine principal: définit la station de contrôle de domaine comme ce rôle, qui peut être appelé par le contrôleur de domaine de sauvegarde Windows NT (le contrôleur de domaine de sauvegarde) qui existe toujours dans le domaine en tant que contrôleur de domaine principal. Il est également utilisé en tant qu'hôte pour assurer la synchronisation de l'heure du service de temps Windows dans le système d'arborescence.
• Maître RID: l'ID relatif de l'objet AD est stocké dans la station de contrôle de domaine, qui peut distribuer le trafic de la requête basée sur RID.
• Maître d'infrastructure: responsable de la gestion des références d'objet aux domaines actuels, ainsi que des références d'objet pour d'autres domaines, ainsi que de la gestion des modifications apportées aux objets AD (telles que les suppressions et le changement de nom).

Deux rôles comportent également des fonctionnalités supplémentaires mais ne sont pas obligatoires pour le déploiement sur le domaine:

• Maître de schéma: responsable de gérer toutes les modifications apportées à la structure des objets du domaine.
• Domaine de dénomination de domaine: responsable du traitement de la division du répertoire dans le domaine et de son application.

Site[[[[de

modifier]

Active Directory (site) fait référence à l'emplacement réseau d'une entité. Il peut y avoir plusieurs stations de contrôle de domaine dans une station. La réplication des données du domaine AD est basée sur la plate-forme. Le traitement effectif de la copie est appelé C’est KCC (vérificateur de cohérence des connaissances), qui synchronise les données du domaine de la station à une heure précise. L'activité de réplication est divisée en réplication intra-site et en réplication externe (ou réplication inter-site, intra-copie est l'échange d'informations entre les stations de contrôle du même domaine, la réplication externe est définie par l'administrateur du réseau, via la communication spécifiée. method (IP ou SMTP) et la topologie est copiée.

Par défaut, la méthode de communication de la station utilise IP (c'est-à-dire, RPC sur IP) pour communiquer. Cette méthode est la plus rapide et le protocole TCP / IP peut être utilisé pour effectuer des appels et un traitement à distance, mais s’il s’agit de données hors domaine (la méthode de communication SMTP d’architecture peut être utilisée pour la copie, la définition et la mise à jour du répertoire des catégories générales, c’est-à-dire sans Objet AD. Cependant, cette méthode doit établir un autre service d'informations d'identification au niveau de l'entreprise avant de pouvoir être utilisée, afin de garantir que les données SMTP puissent être confirmées et enregistrées.

Dans les environnements réseau de moyenne et grande envergure, une répartition appropriée du trafic réseau et une conception de la topologie du réseau sont importants. KCC utilisera le coût de communication réseau défini pour choisir le réseau à utiliser. Copiez, par exemple, il peut y avoir une ligne T1 et RNIS à 64 Kbps entre la société et le bureau, et le coût T1 est défini sur 500 (car il y aura beaucoup de trafic), et lorsque le RNIS n’est que de 100, le KCC choisira le RNIS pour la réplication, ce qui signifie le réseau. L’administrateur peut choisir le réseau à utiliser pour la réplication. L'algorithme de réplication KCC déterminera quel réseau convient le mieux pour répliquer les données AD. En plus du coût, AD supporte également la structure d'un pont. La capacité de pontage de pont permet de disperser le coût de la réplication et de répartir le trafic de réplication du même GC. Il convient également à la réplication d'informations AD entre différentes zones géographiques. Travailler avec la distribution. .

DNS[[[[de

modifier]

Active Directory s'appuie fortement sur DNS, car DNS permet à AD de présenter une structure arborescente hiérarchique et peut également être connecté à des normes d'annuaire ouvertes. Ainsi, lors de la création d'un domaine, le service DNS (ou un autre serveur DNS) doit exister sur le réseau ou la station de contrôle de domaine, l’AD utilise l’enregistrement SRV pour identifier la station de contrôle de domaine afin de fournir le service de traitement de domaine. Contrairement au domaine Windows NT, Windows NT utilise le protocole NetBIOS, mais AD utilise TCP / IP, mais fournit toujours une interopérabilité au format de compte Windows NT (DOMAIN User) et au format de compte AD (utilisateur @ domaine).

Stockage physique[[[[de

modifier]

Active Directory utilise le moteur de base de données Microsoft Jet amélioré (basé sur le projet Microsoft Jet Blue), le moteur ESE98 (Extensible Storage Engine), qui peut stocker jusqu'à 16 téraoctets de données, contenant en principe un milliard d'objets de domaine, sous le nom de fichier NTDS. Ensuite, il est stocké dans le répertoire% racine_système% NTDS (le disque contenant le répertoire doit également être au format NTFS), contient la table de données objet et la table de données de liaison et ajoute une nouvelle information de sécurité dans Windows Server 2003. . Fiche technique.

Les enregistrements dans les données de mise à jour AD sont stockés dans edb * .log, le nom par défaut est edb.log, les autres fichiers sont enregistrés à l'aide de "edb" + numéro + ".log", et edb.chk est également utilisé. En tant que fichier journal de point de contrôle, ainsi que Res1.log et Res2.log en tant que fichiers réservés du système.

Les composants stockés dans l'entité AD ont^[3]:

• Interface supérieure: en tant qu'interface de connexion du client du service d'annuaire ou d'autres serveurs du service d'annuaire, tels que LDAP, REPL, MAPI et SAM.
• Agent de service d'annuaire: implémenté dans NTDSA.DLL, responsable de la réception et du traitement des demandes du client ou d'autres exigences du serveur (telles que les exigences KCC).
• Couche d'inventaire des données: contenue dans ntdsa.dll, responsable de l'accès direct à la base de données.
• Moteur de stockage extensible: responsable du traitement des enregistrements correspondant à leur base de données (DN).
• Fichier de base de données: NTDS.dit et le fichier journal responsable de la gestion des transactions non approuvées.

La station de contrôle de domaine retregreget NTDS.dit régulièrement (la valeur par défaut est 12 heures) et efface les déchets dans le fichier de données. Avant la réorganisation, il vérifie si l’espace disque est 1,5 fois plus grand que le fichier de base de données. . S'il n'y a pas assez d'espace libre dans le répertoire où se trouve la base de données, déplacez la base de données vers un autre emplacement. Toutefois, dans la mesure où Windows 2000 et Windows Server 2003 diffèrent par le mécanisme du service VSS, le processus de déplacement peut échouer. Pour Windows 2000, les fichiers journaux et les bases de données peuvent être stockés sur différents disques, mais Windows Server 2003 doit être sur le même disque. Pour déplacer la base de données, vous devez redémarrer le serveur, passer en mode de restauration Active Directory et utiliser l'outil ntdsutil pour le déplacer.

Station de contrôle de domaine en lecture seule[[[[de

modifier]

Dans Windows Server 2008, un nouveau rôle de station de contrôle de domaine, appelé contrôleur de domaine en lecture seule (RODC), a été ajouté. Le contrôleur de domaine en lecture seule peut être utilisé en tant que succursale, succursale ou bureau d’une entreprise, c’est une unité temporaire, etc. Lorsque le poste de commande de domaine est placé à cet emplacement, des problèmes de sécurité ou des risques se posent. Comme son nom l'indique, le contrôleur de domaine en lecture seule n'écrira aucune donnée dans Active Directory et la réplication avec d'autres domaines est limitée. Seul le compte sous le contrôle de la stratégie de réplication de mot de passe définie par l'administrateur système pourra mettre en cache les mots de passe et autres. les fonctions.

Pour ajouter une station de contrôle de domaine en lecture seule à AD, le niveau fonctionnel du domaine doit être supérieur à Windows Server 2003.

La sécurité d'Active Directory peut être divisée en l'identification de la sécurité des objets, la sécurité de la hiérarchie et la relation de confiance entre les forêts.

Identification de sécurité[[[[de

modifier]

AD utilise Kerberos V5 comme architecture principale pour la vérification de la sécurité et chaque objet AD possède un identificateur de sécurité (SID) unique. L'exemple de format est le S-1-5-21-7623811015-3361044348-030300820. -1013, chaque ensemble de code a sa signification, cet ensemble de code d'identification est stocké dans l'attribut objectSid de AD.

Sécurité hiérarchique[[[[de

modifier]

Dans AD, différents niveaux d'unités d'organisation peuvent définir différentes informations de sécurité et différents droits d'utilisateur, et différents groupes d'utilisateurs peuvent définir différents droits d'utilisateur. Les administrateurs peuvent également utiliser des modèles de gestion de la sécurité (Modèle de sécurité) pour définir différentes informations de sécurité ou utiliser la stratégie de groupe pour les définir. Dans les grands réseaux, l'utilisation des principes de groupe sera plus pratique que le modèle de sécurité et les deux seront combinés. Peut atteindre le double du résultat avec la moitié des efforts nécessaires (par exemple, intégration avec Microsoft Base Security Analyzer).

La sécurité définie dans la classe parent peut être héritée de la classe enfant.

relation de confiance[[[[de

modifier]

Dans un environnement de réseau étendu, il peut y avoir des partenariats entre organisations ou une coopération entre projets. Lors du partage ou de l'autorisation d'accès entre deux forêts, des relations de confiance peuvent être utilisées pour établir une confiance entre les forêts. Pour autoriser l'accès entre les arborescences respectives, l'environnement AD de Windows Server 2003 et des versions ultérieures peut prendre en charge quatre relations de confiance:

• Raccourci confiancede

  C'est une méthode de confiance conçue pour accélérer le processus de vérification. Dans un domaine à plusieurs niveaux, les utilisateurs peuvent se connecter en se connectant au domaine le plus proche. Il n'est pas nécessaire de transférer le message sur le serveur racine autorisé.

• Confiance externede

  C'est une méthode d'autorisation entre forêts.

• La confiance du royaumede

  En mode de confiance avec un service d'annuaire LDAP authentifié non-Kerberos et un domaine Windows.

• Confiance de la forêtde

  Il s'agit d'une méthode d'approbation externe améliorée pouvant être approuvée via une approbation de forêt intermédiaire, telle que acme.com.tw trust aspvendor.com, et contoso.com.tw font également confiance à aspvendor.com, puis acme.com .tw peut obtenir une relation de confiance avec contoso.com.tw.

La relation de confiance peut être divisée en un sens et en un sens. La confiance unidirectionnelle signifie que la partie de confiance peut accéder aux ressources de la partie de confiance, tandis que la confiance bidirectionnelle peut accéder les unes aux autres. H.

La relation de transfert de confiance peut être divisée en deux types: transitif et non transitif. Le terme récursif signifie que le domaine qui établit la relation de confiance peut également être utilisé pour établir la confiance dans d'autres domaines du même arbre. Les informations de confiance dans le domaine relationnel ne peuvent pas être récursives pour indiquer que seul le domaine qui établit la relation de confiance (qu'il existe ou non une hiérarchie) peut utiliser les informations de confiance.

Système de nom[[[[de

modifier]

La convention de dénomination pour Active Directory est basée sur la version LDAP (Lightweight Directory Access Protocol) du protocole X.500 (fournie par le fournisseur de services d'annuaire ADSI LDAP). Pour AD, un service d’annuaire de cette taille, LDAP Un protocole avec fonction de reconnaissance hiérarchique convient très bien comme protocole d’accès aux services d’annuaire, mais AD peut également prendre en charge le format UNC de l’ère NT (fourni par le fournisseur de services d’annuaire ADSI Windows NT ). La conversion entre les noms UNC et LDAP est gérée par ADSI.IADsNameTranslateInterface à fournir.

Nom distingué[[[[de

modifier]

Chaque objet AD a un nom composé de LDAP, appelé nom distinctif (DN). Ce nom distinctif est utilisé comme nom d'identification de l'objet dans l'annuaire AD à l'aide de LDAP. Son format est similaire à celui-ci:

LDAP: // cn = John Smith, ou = génie logiciel, dc = ingénierie, dc = acme, dc = com, dc = tw
LDAP: // cn = COMP1024, ou = ordinateurs, dc = acme, dc = com, dc = tw

Les pronoms qui sont souvent utilisés dans les chaînes LDAP sont:

• DCde

  : domaineComposant

• CNde

  :Nom commun

• OUde

  :Nom de l'unité organisationnelle

• Ode

  :nom de l'organisation

• RUEde

  :adresse de rue

• Lde

  : localityName

• STde

  : stateOrProvinceName

• Cde

  :nom du pays

• UIDde

  :identifiant d'utilisateur

Lorsque le client figure dans la chaîne de requête LDAP, si le nom distinctif LDAP de l'objet AD ne peut pas être satisfait, les données ne seront pas trouvées. Le code LDAP peut également être utilisé pour la recherche (IADsDSObject et ADsDSObject (), voir Entrée de l'interface de service Active Directory).

Nom général[[[[de

modifier]

Chaque objet dans AD aura un nom général, également appelé nom canonique. L'attribut dans Schema est cn (nom commun), mais l'unité d'organisation (OU) est fondamentalement une exception. Il a sa propre génération. Le mot ou est utilisé comme identifiant.

Nom d'identification associé[[[[de

modifier]

Afin d'identifier le conteneur et l'objet, un nom distinctif relatif (RDN) est défini dans le schéma et stocké dans l'attribut rDnAttId, qui peut rapidement correspondre aux objets du conteneur lors de la recherche d'AD.

GUID[[[[de

modifier]

Chaque objet a un identifiant d'objet GUID unique stocké dans l'attribut objectGUID, qui est codé de la même manière que le GUID.

Autre nom[[[[de

modifier]

• Système de noms d’utilisateur Windows NT: système de noms de SAM (Gestionnaire de comptes de sécurité), stocké dans les comptes de l’utilisateursAMAccountNameDans l'attribut.
• Nom principal de l'utilisateur: nom principal de l'utilisateur, dans ADUtilisateur @ domaineManière de présenter, cette valeur est stockée dansuserPrincipalNameLes attributs.

Niveau fonctionnel[[[[de

modifier]

Active Directory est un service d'annuaire ouvert. Pour pouvoir prendre en charge différentes versions du système d'exploitation Windows et de son domaine, un mécanisme de contrôle de version est utilisé dans AD, appelé niveau fonctionnel. Définit le niveau de version maximal actuellement disponible dans l'environnement de domaine. Cette modification est une modification unilatérale irrécupérable. S'il existe des stations de contrôle de domaine de différentes versions du système d'exploitation dans le domaine, pour une compatibilité maximale, le niveau fonctionnel doit être défini sur la version la plus basse. Par exemple, s'il existe Windows Server 2003 et Windows 2000 dans un domaine, le niveau fonctionnel du domaine doit être défini sur Mode mixte Windows 2000. S'il est défini sur le mode natif de Windows Server 2003, la station de contrôle de domaine Windows 2000 sera invalide. Cependant, étant donné que la nouvelle version du paramètre AD est généralement plus stricte que la version précédente (en particulier l'amélioration de la sécurité), en l'absence de version précédente du système d'exploitation dans le domaine, le niveau de fonction doit être défini sur la dernière version à ouvrir. le AD. Toutes les fonctionnalités.

En outre, pour installer une nouvelle version du système d'exploitation dans le domaine (par exemple, pour installer Windows Server 2008 dans le domaine Windows Server 2003) en tant que station de contrôle de domaine, vous devez d'abord développer les informations de schéma dans Active Directory pour Microsoft fournira un outil de préparation d’Active Directory (adprep.exe) sur le CD d’installation, qui permet aux administrateurs système de mettre à jour la structure de données dans Active Directory, y compris le système d’arborescence, de manière simple. La structure de données du domaine (à l'aide de paramètres) doit être compatible avec la nouvelle version du système d'exploitation.

• Adprep / forestprep: Met à jour la structure de données du système d'arborescence.
• Adprep / domainprep: Met à jour la structure de données du domaine.
• Adprep / rodcprep: Préparez le domaine à fournir la fonction RODC (station de contrôle de domaine en lecture seule) (prise en charge dans Windows Server 2008 et versions ultérieures).

Pour le BDC Windows NT, au lieu d’utiliser les paramètres de niveau fonctionnel, l’émulateur PDC de Operation Master sert à maintenir la compatibilité.

Structure d'objet[[[[de

modifier]

Dans la mesure où Microsoft conçoit Active Directory pour utiliser un service d'annuaire ouvert comme stratégie, et l'une des fonctionnalités les plus élémentaires des services d'annuaire est de pouvoir "faire grandir la rivière", en plus des éléments de base du service réseau, capable d'interagir avec d'autres types hétérogènes. La connexion et l’intégration de services, Microsoft a donc implémenté une unité de stockage d’objets dans AD, appelée "structure de schéma" (schéma), qui peut être considérée comme une métadonnée d’objets AD. Chaque objet (qu'il s'agisse d'une unité ou d'un objet conteneur) possède son propre schéma pour stocker différents matériaux identifiant l'objet. Le schéma est composé de classes et d'attributs. L'attribut est la plus petite unité de stockage et la classe est l'attribut contenant l'attribut. Agrégat.

Les matériaux stockés dans l'attribut sont dans de nombreux formats et Microsoft définit ces formats en tant que 27 types de données de schéma, indiquant par exemple la date d'expiration du compte.Compte-expireAttribut, dont la valeur correspond au type de données d'intervalle (représentant la période, qui correspond à une valeur entière de 64 bits) et indique également le nom SAM du compte.sAMAccountNameAttribut, dont la valeur est une valeur String (Unicode) (une valeur de chaîne qui prend en charge Unicode), et un autre moyen de stocker la photo d'un utilisateur.ImageAttribut, dont la valeur est Object (Repl-Link, qui représente des données en octets et peut être copié vers d'autres stations de contrôle de domaine).

Microsoft a également ouvert la méthode d'extension du schéma^[4]Les développeurs peuvent utiliser cette méthode pour étendre les données dans le schéma Active Directory, mais une fois écrites dans AD, elles ne peuvent pas être supprimées (car l'identificateur d'objet ne peut pas être modifié), mais elles peuvent être désactivées. Le meilleur exemple d'extension du schéma AD est Microsoft Exchange Server.

Active Directory lui-même Outre le service d'annuaire réseau de base, Microsoft a également appliqué cette infrastructure à la conception de différents services et l'a ajoutée à différentes versions de Windows Server 2003 afin d'améliorer l'étendue des applications d'Active Directory.

Service commun[[[[de

modifier]

Comme AD dispose de fonctionnalités décentralisées de vérification de l’identité et d’autorisation et que, en 2003, le Web faisait exploser un style de recherche d’architecture à authentification unique, Microsoft a également commencé à utiliser AD pour concevoir une prise en charge de multiples fonctions de connexion unique du site Web ( ou application), en fait, le travail est ADFS (Active Directory Federation Services), qui révèle plusieurs membres importants^[5]:

• Service de fédération: serveur responsable de la gestion de l'authentification dans l'architecture SSO d'ADFS.
• Proxy de service de fédération: agit en tant que proxy pour le service de fédération dans des réseaux externes ou des services WS-I, et prend en charge les paramètres d'authentification pour la spécification WS-Federation.
• Client compatible avec les revendications: client Web du composant compatible avec les revendications ouvert par ADFS, ou une application ASP.NET prenant directement en charge l'architecture SSO de ADFS.
• Agent basé sur les jetons Windows: application Web basée sur Windows. ADFS prend en charge l'analogie et l'échange de droits AD et de droits Windows NT.

Ce service est apparu pour la première fois dans la version Windows Server 2003 R2 et a été mis à jour vers le rôle de service de fédération Active Directory dans Windows Server 2008.

Service léger[[[[de

modifier]

Service d'annuaire léger^[6]Connu sous le nom ADAM (Active Directory Application Mode) dans Windows Server 2003, il s'agit d'un service d'annuaire pouvant fonctionner indépendamment sans intégration avec l'infrastructure AD. Il convient à la représentation du concept hiérarchique d'objets et à la gestion des objets, ainsi qu'au développement. Tant que le personnel utilise l'expérience d'utilisation d'ADSI, il peut l'utiliser sans avoir à apprendre la méthode d'utilisation d'ADAM. Il peut également être utilisé comme fournisseur de vérification externe pour ADFS. Les répertoires allégés peuvent installer plusieurs entités d’exécution sur le même ordinateur. Il est donc également très approprié pour implémenter des applications avec ADAM activées pour les annuaires, en particulier en ce qui concerne la structure organisationnelle (systèmes de ressources humaines ou humaines, par exemple), ADAM lui-même. Le schéma peut également être étendu. Les développeurs peuvent considérer ADAM comme un autre type de base de données ou copier des données d'AD vers ADAM. Cependant, ADAM ne copie pas la plate-forme de AD. Les développeurs doivent écrire des programmes pour copier les données.

Le service léger a été renommé AD LDS (Active Directory Lightweight Directory Service) dans Windows Server 2008 et a été promu à l’un des rôles d’application AD.

Service de bons[[[[de

modifier]

Service de certificat (service de certificat)^[7]Il s'agit du premier service inclus dans le système Active Directory dans Windows Server 2008. Il était utilisé à l'origine dans le serveur de certificats Windows 2000 et Windows Server 2003 pour établir une infrastructure de clé publique dans l'entreprise, dans Windows Server 2008. Les informations d'identification et les objets AD ont une intégration plus forte et plus étroite, de sorte qu'avec le rôle de service de certificat Active Directory (AD CS), ce rôle peut également être intégré au service de gestion des droits (RMS) de la gestion des droits, fournissant des fichiers ou la gestion des droits au niveau de l'application .

Service de gestion des droits[[[[de

modifier]

Service de gestion des droits^[8]Il s’agit également du premier service inclus dans le système Active Directory dans Windows Server 2008. Au plus tôt, il s’agissait de la fonction de gestion du droit à l’information introduite dans Microsoft Office 2003, qui permet de contrôler les autorisations des fichiers Office, telles que: Imprimez et enregistrez des fichiers, etc., puis Microsoft a publié la plate-forme Right Management Server et le kit de développement logiciel (SDK) RMS pour Windows Server 2003; dans Windows Server 2008, il sera intégré à Active Directory et fera partie du service AD.

Intégrer Unix dans Active Directory[[[[de

modifier]

La hiérarchie de diversité de l'interfonctionnement Active Directory est enregistrée sur la plupart des systèmes d'exploitation de type Unix par le biais de clients LDAP conformes aux normes, mais ces systèmes ne possèdent généralement pas de traduction littérale automatique de nombreux attributs associés aux composants Windows tels que les principes de groupe et la confiance unidirectionnelle. De nombreux fournisseurs de logiciels tiers offrent également une approche intégrée Active Directory aux plates-formes Unix (y compris UNIX, Linux, Mac OS X et plusieurs applications Java et Unix), dont une partie comprend le jeu de logiciels Thursby (ADmitMac), Quest Software (Services d’authentification Vintela), Centrify (DirectControl) et Logiciel similaire (De même ouvert et De même entreprise). Microsoft propose également un service gratuit Microsoft Windows (Windows Service for Unix) conçu pour les produits UNIX de ce marché.

Ces structures d'objet supplémentaires ont été publiées dans la version Windows Server 2003 R2 et contiennent des propriétés qui correspondent à l'objectif général de la RFC 2307. Ces implémentations de référence RFC 2307, nss_ldap et pam_ldap sont fournies par PADL.com et incluent la prise en charge de leur utilisation directe. informations d'attribut et de remplissage. Le schéma Active Directory de l'appartenance au groupe est compilé avec l'extension RFC 2307bis proposée. La RFC 2307bis utilise l'attribut de membre LDAP pour stocker les données d'appartenance à un groupe Unix, qui sont différentes de la RFC 2307 de base, qui stocke les membres du groupe sous forme de liste d'ID utilisateur séparés par des virgules. Windows Server 2003 R2 comprend un composant logiciel enfichable MMC pour créer et modifier ces propriétés.

Une autre solution consiste à utiliser un autre service d'annuaire, tel que Fedora Directory Server (anciennement Netscape Directory Server) ou le serveur Sun System Directory de Sun, qui peut effectuer une synchronisation bidirectionnelle avec Active Directory, qui requiert à son tour Unix avec FDS. authentification. Entre la plate-forme Linux et le client Windows devant utiliser l'authentification Windows, établissez une relation avec Active Directory.de

Tourde

intégration (déviée). Une autre option consiste à utiliser OpenLDAP et sa fonctionnalité de superposition translucide pour étendre le projet à tout serveur LDAP distant stocké dans le référentiel natif à l'aide d'attributs supplémentaires. Le client indiqué dans le référentiel natif verra les propriétés contenues dans les propriétés distante et locale, tandis que le référentiel distant reste intact.

Samba 4, Samba 4 publié le 11 décembre 2012^[9]Il contient un serveur compatible Active Directory.

références[[[[de

modifier]

dans

Lien externe[[[[de

modifier]

1. (Anglais) de

   Bibliothèque technique Windows Server 2003: Collection Active Directory

2. (Anglais) de

   Planification et conception d'infrastructure: Services de domaine Active Directory

3. (chinois traditionnel) de

   Active Directory Windows Server 2008

4. Site officiel du produit Microsoft Active Directory
5. WINS (Windows Internet Naming Service)
6. Groupe de travail sur la gestion décentralisée
7. Active Directory sur les systèmes Linux