Active Directory (AD) est un produit Microsoft composé de plusieurs services qui s'exécutent sur Windows Server pour gérer les autorisations et l'accès aux ressources en réseau.
Active Directory stocke les données sous forme d'objets. Un objet est un élément unique, tel qu'un utilisateur, un groupe, une application ou un périphérique, tel qu'une imprimante. Les objets sont normalement définis comme des ressources – telles que des imprimantes ou des ordinateurs – ou des entités de sécurité – comme des utilisateurs ou des groupes.
Active Directory classe les objets par nom et attributs. Par exemple, le nom d'un utilisateur peut inclure la chaîne de nom, ainsi que des informations associées à l'utilisateur, telles que les mots de passe et les clés Secure Shell (SSH).
Le service principal d'Active Directory est les services de domaine (AD DS), qui stockent les informations d'annuaire et gèrent l'interaction de l'utilisateur avec le domaine. AD DS vérifie l'accès lorsqu'un utilisateur se connecte à un appareil ou tente de se connecter à un serveur via un réseau. AD DS contrôle quels utilisateurs ont accès à chaque ressource. Par exemple, un administrateur a généralement un niveau d'accès aux données différent de celui d'un utilisateur final.
D'autres produits Microsoft, tels qu'Exchange Server et SharePoint Server, s'appuient sur AD DS pour fournir un accès aux ressources. Le serveur qui héberge AD DS est le contrôleur de domaine.
Sommaire
Services Active Directory
Plusieurs autres services comprennent Active Directory. Il s'agit des services d'annuaire légers, des services de certificats, des services de fédération et des services de gestion des droits. Chaque service étend les capacités de gestion d'annuaire du produit.
Les services d'annuaire légers (AD LDS) ont la même base de code que AD DS, partageant des fonctionnalités similaires, telles que l'API. AD LDS, cependant, peut s'exécuter en plusieurs instances sur un serveur et contient les données d'annuaire dans un magasin de données à l'aide du protocole LDAP (Lightweight Directory Access Protocol).
Comment utiliser l'outil d'identité et d'accès
de Microsoft
LDAP est un protocole d'application utilisé pour accéder et maintenir des services d'annuaire sur un réseau. LDAP stocke des objets – tels que les noms d'utilisateur et les mots de passe – dans des services d'annuaire – tels que Active Directory – et partage ces données d'objet sur le réseau.
Les services de certificats (AD CS) génèrent, gèrent et partagent des certificats. Un certificat utilise le cryptage pour permettre à un utilisateur d'échanger des informations sur Internet en toute sécurité avec une clé publique.
Les services de fédération Active Directory (AD FS) authentifient l'accès des utilisateurs à plusieurs applications – même sur différents réseaux – à l'aide de l'authentification unique (SSO). Comme son nom l'indique, l'authentification unique requiert uniquement que l'utilisateur se connecte une fois plutôt que d'utiliser plusieurs clés d'authentification dédiées pour chaque service.
La gestion des droits (AD RMS) contrôle les droits et la gestion des informations. AD RMS crypte le contenu, tel que les e-mails ou les documents Word, sur un serveur pour limiter l'accès.
Principales fonctionnalités des services de domaine Active Directory
Les services de domaine Active Directory utilisent une disposition à plusieurs niveaux composée de domaines, d'arbres et de forêts pour coordonner les éléments en réseau.
Un domaine est un groupe d'objets, tels que des utilisateurs ou des appareils, qui partagent la même base de données AD. Les domaines ont une structure DNS (Domain Name System).
Un arbre est un ou plusieurs domaines regroupés. L'arborescence utilise un espace de noms contigu pour rassembler la collection de domaines dans une hiérarchie logique. Les arbres peuvent être considérés comme des relations d'approbation où une connexion sécurisée, ou approbation, est partagée entre deux domaines. Plusieurs domaines peuvent être approuvés où un domaine peut approuver un second et le deuxième domaine peut approuver un troisième. En raison de la nature hiérarchique de cette configuration, le premier domaine peut implicitement approuver le troisième domaine sans avoir besoin d'une approbation explicite.
Une forêt est un groupe de plusieurs arbres. Une forêt se compose de catalogues partagés, de schémas d'annuaire, d'informations d'application et de configurations de domaine. Le schéma définit la classe et les attributs d'un objet dans une forêt. De plus, les serveurs de catalogue global fournissent une liste de tous les objets d'une forêt.
Les unités organisationnelles (OU) organisent les utilisateurs, les groupes et les appareils. Chaque domaine peut contenir sa propre unité d'organisation. Cependant, les unités d'organisation ne peuvent pas avoir d'espaces de noms distincts, car chaque utilisateur ou objet dans un domaine doit être unique. Par exemple, un compte d'utilisateur avec le même nom d'utilisateur ne peut pas être créé.
Histoire et développement d'Active Directory
Microsoft a offert un aperçu d'Active Directory en 1999 et l'a publié un an plus tard avec Windows 2000 Server. Microsoft a continué de développer de nouvelles fonctionnalités avec chaque version successive de Windows Server.
Windows Server 2003 comprenait une mise à jour notable pour ajouter des forêts et la possibilité de modifier et de changer la position des domaines dans les forêts. Les domaines sous Windows Server 2000 ne pouvaient pas prendre en charge les mises à jour AD plus récentes exécutées dans Server 2003.
Windows Server 2008 a introduit AD FS. En outre, Microsoft a rebaptisé l'annuaire pour la gestion de domaine en tant qu'AD DS, et AD est devenu un terme générique pour les services d'annuaire pris en charge.
Windows Server 2016 a mis à jour AD DS pour améliorer la sécurité AD et migrer les environnements AD vers des environnements cloud ou hybrides. Les mises à jour de sécurité comprenaient l'ajout de la gestion des accès privilégiés (PAM).
PAM surveillait l'accès à un objet, le type d'accès accordé et les mesures prises par l'utilisateur. PAM a ajouté des forêts AD bastion pour fournir un environnement forestier sécurisé et isolé supplémentaire. Windows Server 2016 a mis fin à la prise en charge des périphériques sur Windows Server 2003.
En décembre 2016, Microsoft a publié Azure AD Connect pour rejoindre un système Active Directory local avec Azure Active Directory (Azure AD) pour activer l'authentification unique pour les services cloud de Microsoft, tels qu'Office 365. Azure AD Connect fonctionne avec les systèmes exécutant Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016.
Active Directory contre Workgroup
Workgroup est un autre programme Microsoft qui connecte des machines Windows sur un réseau peer-to-peer. Le groupe de travail permet à ces machines de partager des fichiers, un accès Internet, des imprimantes et d'autres ressources sur le réseau. La mise en réseau poste à poste supprime le besoin d'un serveur pour l'authentification.
Principaux concurrents d'Active Directory
Les autres services d'annuaire sur le marché qui offrent des fonctionnalités similaires à AD incluent Red Hat Directory Server, Apache Directory et OpenLDAP.
Red Hat Directory Server gère l'accès des utilisateurs à plusieurs systèmes dans les environnements Unix. Semblable à AD, Red Hat Directory Server inclut l'ID utilisateur et l'authentification basée sur un certificat pour restreindre l'accès aux données dans l'annuaire.
Apache Directory est un projet open source qui s'exécute sur Java et fonctionne sur n'importe quel serveur LDAP, y compris les systèmes Windows, macOS et Linux. Apache Directory comprend un navigateur de schéma et un éditeur / navigateur LDAP. Apache Directory prend en charge les plug-ins Eclipse.
OpenLDAP est un annuaire LDAP open source basé sur Windows. OpenLDAP permet aux utilisateurs de parcourir, rechercher et modifier des objets dans un serveur LDAP. OpenLDAP propose également la copie, le déplacement et la suppression des arborescences dans l'annuaire, ainsi que l'activation de la navigation dans les schémas, la gestion des mots de passe, la prise en charge SSL LDAP, etc.
Commentaires
Laisser un commentaire