Les principaux attributs des objets dans Active Directory – Serveur d’impression
Par défaut, tout Active Directory contient des instances d'objets de différentes classes, tels que des comptes d'utilisateurs, des groupes, des unités d'organisation ou un ordinateur.
Les classes d'objets disponibles sont définies directement dans le schéma Active Directory que vous utilisez.
Dans ce module du cours sur Active Directory, nous verrons les principaux attributs utilisés dans l'annuaire et qu'il est important de connaître.
Sommaire
I. Les classes principales
Avant d'examiner les attributs, nous allons rapidement voir les principales classes d'objets, car ce sont ces classes qui contiennent les attributs que nous verrons plus tard.
Nom de famille | La description |
Ordinateur | Ordinateurs clients intégrés au domaine, mais également serveurs et contrôleurs de domaine |
Contact | Enregistrer des contacts sans autorisation d'authentification |
Groupe | Regroupement d'objets au sein d'un groupe, notamment pour simplifier l'administration (octroi de droits à un service "ordinateur" correspondant à un groupe appelé "ordinateur", par exemple) |
Unité organisationnelle | Dossier pour créer une arborescence et organiser les objets. |
Imprimante | Ressource "Imprimante" |
Utilisateur | Comptes d'utilisateurs qui s'authentifient auprès du domaine et accèdent aux ressources, ordinateurs |
Le tableau ci-dessus répertorie les classes d'objets les plus utilisées et les plus courantes.
Je voudrais cependant souligner que par défaut, Active Directory inclut déjà des conteneurs (Utilisateurs, Builtin, etc.) et qui, contrairement aux unités organisationnelles natives, ne peuvent pas se voir appliquer de stratégies de groupe (GPO) et il est impossible de créer une délégation sur ces conteneurs.
C’est peu de précision étant dit, regardons les attributs.
II. Identifiants uniques: DistinguishedName et GUID
Comme je l'ai dit dans un module précédent de ce cours, chaque objet possède des identifiants uniques représentés par deux attributs: le nom distingué et le GUID.
A. Le nom distingué
Cet identifiant unique aussi appelé " DN Il s’agit du chemin LDAP pour rechercher l’objet dans Active Directory. Lors de l'étude du protocole LDAP, nous avions déjà vu un exemple de DN.
Voici un autre exemple:
– Domaine : it-connect.local
– Unité organisationnelle où se trouve l'objet : l'informatique
– Nom de l'objet : Florian
Le DN de cet objet utilisateur sera:
Florian cn =, ou = IT, dc = it-connect, dc = local
Dans ce DN, nous trouvons un chemin qui permet de trouver l'objet, différents éléments sont utilisés:
Identification de l'élément | La description |
cn | Nom commun – Nom commun – Nom de l'objet final ciblé |
ou | Unité organisationnelle – Unité organisationnelle |
dc | Composant de domaine – Utilisé pour indiquer le domaine cible, avec un élément "dc" par partie de domaine |
Le nom distinctif peut être très long si l'arborescence du répertoire est importante et que l'objet se trouve au bas de cette arborescence. De plus, le DN peut changer régulièrement si l'objet est déplacé ou si une unité d'organisation dont il dépend est renommée car elle contient des objets par leur nom.
B. Le GUID
Le GUID (Identifiant global unique) est un identifiant unique qui identifie un objet dans un Active Directory. Cela correspond à l'attribut " ObjectGUID Dans le schéma Active Directory.
Il est affecté à l'objet dès sa création et ne change jamais, même si l'objet est déplacé ou modifié. Le GUID suit un objet de la création à la suppression.
Codé à 128 bits, le GUID d'un objet est unique dans une forêt et il est généré par un algorithme qui garantit son unicité. Des informations aléatoires, certaines non, comme le moment de la création de l'objet.
III. Attributs essentiels
Après avoir consulté les attributs ObjectGUID et DistinguishedName, poursuivons notre quête d'attributs avec ce tableau qui résume les attributs que nous traitons le plus souvent.
Nom de l'attribut dans le schéma | Nom d'attribut dans la console Active Directory | La description |
sAMAccountName | "Nom de connexion de l'utilisateur" | Valeur que l'objet devra utiliser pour s'authentifier auprès du domaine |
UserPrincipalName | "Nom de connexion de l'utilisateur" concaténé au nom de domaine sous la forme "@ it-connect.local" | Le nom complet de l'utilisateur avec le domaine inclus. Aussi appelé UPN |
la description | La description | Description de l'objet |
Adresse e-mail attribuée à l'objet | ||
adminCount | – | Égal à "1" s'il s'agit d'un compte de type "Administrateur", égal à "0" s'il ne l'est pas |
Afficher un nom | Nom complet | Nom complet qui sera affiché pour cet utilisateur |
prénom | Prénom | Prénom de l'utilisateur |
logonCount | – | Numéro de connexion atteint par cet objet |
accountExpires | Date d'expiration du compte | Date à laquelle le compte ne sera plus utilisable (peut être vide) |
ObjectSID | – | Identifiant de sécurité unique qui identifie un objet |
pwdLastSet | – | La dernière fois que le mot de passe a été changé |
contrôle de compte d'utilisateur | – | Statut du compte – Une douzaine de codes différents sont possibles |
Pour illustrer mon propos, voici une sortie PowerShell qui affiche certains attributs et leurs valeurs, en ce qui concerne l'utilisateur. Florian »:
Remarque : PowerShell est un langage de script de plus en plus important dans les systèmes d’exploitation Windows pour permettre la configuration en ligne de commandes et faciliter l’automatisation des tâches.
Vous connaissez maintenant les attributs les plus utilisés et les plus consultés de Active Directory. Cela sera utile lorsque vous examinerez le schéma, un journal des événements ou si vous manipulerez Active Directory avec PowerShell ou des utilitaires.
Commentaires
Laisser un commentaire