Présentation de Active Directory



Documents pareils
Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Introduction aux services de domaine Active Directory

Structure logique. Active Directory. Forêts Arborescences Domaines Unités d'organisation

Introduction aux services Active Directory

Réseaux Active Directory

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

Module 9 : Installation d'active Directory

Préparer la synchronisation d'annuaires

A. À propos des annuaires

Stratégie de groupe dans Active Directory

Module 0 : Présentation de Windows 2000

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Formateur : Jackie DAÖN

Annuaires LDAP et méta-annuaires

FORMATION WS0801. Centre de formation agréé

Service d'annuaire Active Directory

Active Directory. Qu'est-ce qu'un service d'annuaire?

Exercices Active Directory (Correction)

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

1 Introduction à l infrastructure Active Directory et réseau

Comment déployer l'active Directory sur Windows Server 2008 R2. Microsoft France Division DPE

Cours sur Active Directory

Windows Server 2012 R2

Windows serveur 2012 : Active Directory

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

Mise en place Active Directory / DHCP / DNS

L annuaire et le Service DNS

Formateur : Franck DUBOIS

Chapitre 2 Rôles et fonctionnalités

Cours 10219A: Configuration, Gestion Et Résolution Des Problèmes De Microsoft Exchange Server 2010

Projet : PcAnywhere et Le contrôle à distance.

Le rôle Serveur NPS et Protection d accès réseau

Active Directory Profils des utilisateurs, sécurité et stratégie de groupe (GPO)

Cours 20411D Examen

Gestion des utilisateurs et Entreprise Etendue

Windows 2000 Server Active Directory

Description de la maquette fonctionnelle. Nombre de pages :

Active Directory. Active Directory: plan. Active Directory. Structure logique. Domaine. Niveau fonctionnel des domaines

Restriction sur matériels d impression

Windows Internet Name Service (WINS)

Préparation à l installation d Active Directory

Structure logique. Active Directory. Forêts Arborescences Domaines Unités d'organisation

Configuration d'un annuaire LDAP

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Solutions Microsoft Identity and Access

Gestion des identités

INFRASTRUCTURES & RESEAUX

Installation d'un serveur DHCP sous Windows 2000 Serveur

[ Sécurisation des canaux de communication

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

Installation de Windows 2003 Serveur

WINDOWS SERVER 2003 Maintenance d'active directory V1.0

Cours 20410D Examen

Module 5 : Gestion de l'accès aux ressources à l'aide de groupes

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap

DUT. Vacataire : Alain Vidal - avidal_vac@outlook.fr

Administration de systèmes

Le modèle de sécurité windows

AD FS avec Office 365 Guide d'installation e tape par e tape

Windows 2000: W2K: Architecture. Introduction. W2K: amélioration du noyau. Gamme windows W2K pro: configuration.

Introduction à LDAP et à Active Directory Étude de cas... 37

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France

Entrainement à l'évaluation des acquis Windows 2008 R2 et Active Directory

Soutenance de projet

ASR3. Partie 2 Active Directory. 1 Arnaud Clérentin, IUT d Amiens, département Informatique,

Intégration de Cisco CallManager IVR et Active Directory

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

Chapitre 1 : Introduction aux bases de données

Catalogue & Programme des formations 2015

Module 6 : Gestion de données à l'aide du système de fichiers NTFS

CommandCenter Secure Gateway

Errata partie 2 Kit de formation Configuration d une infrastructure Active Directory avec Windows Server 2008

Déploiement, administration et configuration

Responsabilités du client

Créer et partager des fichiers

NOTIONS DE RESEAUX INFORMATIQUES

Microsoft Windows 2000 Administration de Microsoft Windows 2000

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Chapitre 01 Généralités

Annexe C Corrections des QCM

Windows Server 2012 R2 Administration

Date : NOM Prénom : TP n /5 DE WINDOWS SERVEUR

Qu'est-ce que c'est Windows NT?

MS 2615 Implémentation et support Microsoft Windows XP Professionnel

1 LE L S S ERV R EURS Si 5

Module 1 : Présentation de l'administration des comptes et des ressources

DNS ( DOMAIN NAME SYSTEM)

Mise en place Active Directory, DNS Mise en place Active directory, DNS sous Windows Serveur 2008 R2

AccessMaster PortalXpert

NFS Maestro 8.0. Nouvelles fonctionnalités

Outils et documentation Systems Management Guide d'installation de la Version 8.0.1

Windows Server Installation / mise à niveau / configuration de Windows Server 2003

Module 8. Protection des postes de travail Windows 7

Windows Server 2012 Les bases indispensables pour administrer et configurer votre serveur

Transcription:

Brevet de Technicien Supérieur Informatique de gestion. Benoît HAMET Session 2001 2002 Présentation de Active Directory.........

Présentation d Active Directory Préambule...4 Introduction...5 Définitions...5 Qu'est-ce qu'un service d'annuaire...5 Quel est l'intérêt de disposer d'un service d'annuaire?...5 Qu'est- ce que Active Directory?...6 Concepts importants...7 Portée...7 Espace de noms...7 Objet...7 Conteneur...7 Arbre...7 Nom...8 Domaine...8 Forêt...9 Schéma...9 Modèle de données...9 Fonctionnalités techniques de Active Directory...10 Service de localisation...10 Nommage d'objet...10 Accès à AD...10 Protocoles supportés :...10 2

Catalogue global...11 Propagation des mises à jour...11 Sécurité Délégation...11 Présentation technique de la sécurité de Windows 2000...11 Résumé...13 Bibliographie...14 3

Préambule Aujourd'hui, les systèmes informatiques sont devenus le cœur de toutes les entreprises. Par conséquents, ils doivent être fiables, sécurisés et disponibles tout en nécessitant de moins en moins de maintenance. Dans ce contexte, la mise en œuvre d'un service d'annuaire permet de répondre à un maximum de besoin tout en libérant les personnels nécessaire à la gestion des ressources informatiques pour les assigner à des tâches plus??? tout en permettant les utilisateurs d'être plus indépendants dans l'utilisation quotidienne des outils mis à leur disposition. L'utilisation du système d'exploitation Windows 2000 permet de bénéficier d'outils permettant de répondre à ces contraintes tout en conservant une interface connue par les utilisateurs. L'un de ces outils est le service d'annuaire Active Directory. Cependant, l'utilisation du service d'annuaire de Microsoft nécessite sur l'ensemble des postes clients et serveurs du système d'exploitation Windows 2000 afin de profiter des fonctionnalités offertes. Egalement, l'utilisation de service d'annuaire, quel qu'il soit, n'est envisageable que pour certaines structures ayant un parc informatique moyen à important (à partir d'une cinquantaine de poste) ou éclaté sur plusieurs sites. Ainsi l'utilisation de service d'annuaire permet de centraliser l'administration des l'ensemble des ressources, libérant de tâches rébarbatives les administrateurs, tout en améliorant leur utilisation par les utilisateurs mais cet outils n'est utilisable que pour des structures disposant d'un parc relativement important ou pour des utilisations spécifiques, telles que l'accès aux données internes à partir de réseau public. 4

Introduction Définitions Le terme Active Directory (AD) est apparu avec le système d'exploitation Microsoft Windows 2000. Ce terme recouvre les technologies mises en œuvre par Microsoft dans le développement d'outils visant à simplifier l'administration de réseaux informatiques basés sur le système d'exploitation Windows 2000 (Professionnel pour les stations et Serveur pour les serveurs). Dans la pratique, il s'agit d'un service d'annuaire inclut dans l'os Windows 2000, famille serveur uniquement. Qu'est-ce qu'un service d'annuaire Un annuaire est une source d'informations utilisée pour stocker des données propres à certains objets, par exemple l'annuaire téléphonique est un service d'annuaire contenant l'ensemble des abonnées au téléphone et comprenant diverses informations. Dans un système d'informatique distribué ou un réseau informatique public comme internet, il existe de nombreux objets intéressants, comme des imprimantes, des serveurs de base de données, des applications que les utilisateurs veulent pouvoir utiliser et retrouver facilement tandis que les administrateurs veulent contrôler leur utilisation. La mise en œuvre d'un service d'annuaire, tel que AD permet de répondre à ces besoins. AD joue le rôle d'annuaire téléphonique mais pour des enregistrements concernant des ressources (matérielles et logicielles) connectés en réseau. Quel est l'intérêt de disposer d'un service d'annuaire? On peut se poser la question de l'intérêt d'un tel service puisqu'il existe des logiciels pouvant aisément répondre aux besoins exprimés à savoir la localisation simple des ressources par l'utilisateur, le contrôle de l'utilisation par les administrateurs. L'intérêt réside d'une part dans l'intégration à l'os ; il ne s'agit donc pas d'une surcouche logicielle appliquée pour tel besoin spécifique, cela entraîne une plus grande stabilité. De plus, cette intégration permet d'effectuer des économies d'argent puisque cette surcouche aurait été achetée en plus du système d'exploitation, économies de temps de maintenance et de d'indisponibilité des serveurs pour l'installation Enfin, ce service permet la centralisation de l'administration de l ensemble des ressources réseau, ce qui était difficile avec l'utilisation de logiciels tiers. Un service d'annuaire peut : Appliquer les consignes de sécurité définies par les administrateurs Distribuer un annuaire à de nombreux ordinateurs sur le réseau Dupliquer un annuaire pour le rendre accessible à un nombre accru d'utilisateurs tout en augmentant le temps de disponibilité Partitionner un annuaire pour permettre l'enregistrement d'un très grand nombre d'objets. Un service d'annuaire est à la fois un outils d'administration et un outils destiné à l'utilisateur final des ressources informatiques. Il constitue la plaque tournante de tout système distribué important. 5

Qu'est- ce que Active Directory? Active Directory est le service d'annuaire fourni par Windows 2000 Server. Il étend les fonctionnalités des services d'annuaire précédemment fournis par Microsoft et offre en outre des fonctionnalités entièrement nouvelles, rendant aisée la navigation parmi d'importants volumes d'informations et facilite leur gestion et leur intégration grâce à l'utilisation de standard (LDAP, Kerberos, X500, TCP/IP ) 6

Concepts importants Certains termes (ou concepts) utilisés pour décrire AD sont nouveaux, d'autres non et dans ce cas, il peut exister différentes définitions ; il est donc important de les remettre dans le contexte Active Directory. Portée La portée d'ad est vaste ; il peut inclure tout objet isolé (imprimante, poste de travail, fichier ), tout serveur ou tout domaine d'un réseau étendu (WAN) il peut aussi inclure plusieurs réseaux étendus associés. La portée d'ad peut donc aller d'un ordinateur isolé à de multiples réseaux informatiques associés. Espace de noms Active Directory est essentiellement un espace de noms, comme c'est le cas de tout service d'annuaire. N'importe quelle zone délimitée au sein de laquelle un nom donné peut être résolu constitue un espace de noms. La résolution de nom consiste à passer d'un nom à l'objet ou l'information que ce nom représente. Objet Un objet est un ensemble d'attributs nommé et circonscrit qui représente un élément concret, comme un utilisateur, une imprimante ou une application. Les attributs comportent des données (comme par exemple, le nom, le prénom d'un utilisateur ou l'emplacement d'une imprimante) qui décrivent le sujet identifié par l'objet. Figure 1 - Un objet utilisateur et ses attributs Conteneur Un conteneur est semblable à un objet dans la mesure où il possède des attributs et fait partie de l'espace de noms de l'ad. Toutefois, il ne représente rien de concret ; ce n'est qu'un réceptacle pour un ensemble d'objets ou pour d'autres conteneurs. Arbre L'arbre est employé, dans le contexte d'ad, pour décrire une hiérarchie d'objets et de conteneurs ; les feuilles de l'arbre sont en général des objets. Les nœuds de l'arbre (endroits d'où partent les branches) sont des conteneurs. Un arbre montre comment des objets sont reliés entre eux, c'est-à-dire le chemin d'accès d'un objet à un autre. 7

Figure 2 - Représentation d'un arbre Nom Chaque objet dans AD est identifié par un nom ; il existe deux sortes de noms différentes : Nom unique Chaque objet dans Active Directory possède un nom unique (Distinguished Name). Le nom unique identifie le domaine qui contient l'objet, ainsi que le chemin d'accès complet permettant d'y accéder à travers la hiérarchie des conteneurs (exemple de nom unique : /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith, ce DN correspond à l'utilisateur James Smith dans le domaine microsoft.com) Nom relatif distinct Figure 3 - Représentation graphique d'un nom unique Le nom relatif distinct (Relative Distinguished Name) d'un objet est la partie du nom qui constitue un attribut de l'objet à proprement parler. Dans l'exemple précédent, le nom relatif distinct de l'objet utilisateur est James Smith. Domaine Un domaine est défini par une limite de sécurité unique dans le cadre d'un réseau informatique tournant sous Windows NT (NT 4.0 ou 2000). Active Directory est constitué d'un ou plusieurs domaines ; un domaine peut recouvrir plusieurs sites physiques. Chaque domaine ayant sa propre politique de sécurité et ses propres relations d'approbation avec les autres domaines. Lorsque plusieurs domaines sont connectés par des relations d'approbation et partagent un même schéma, une même configuration et un même catalogue global, on obtient un arbre de domaine. Active Directory est un arbre ou un ensemble de plusieurs arbres ; il y a deux façons de visualiser un arbre : Représentation par le biais des relations d'approbation On peut dessiner un arbre en représentant les domaines individuellement et leurs relations d'approbation mutuelles. Windows 2000 établit des relations 8

d'approbation entre domaines en se basant sur le protocole de sécurité Kerberos. L'approbation Kerberos est transitive et hiérarchique, c'est à dire que si le domaine A approuve le domaine B et que B approuve C alors A approuve également C. Figure 4 - Représentation d'un arbre en terme de relation d'approbation Représentation par le biais de l'espace de noms On peut aussi dessiner les arbres en fonction de leur espace de nom. On peut déterminer le nom relatif distinct d'un objet en suivant son chemin d'accès jusqu'à l'espace de noms de son arbre. Cette représentation est utile pour la représentation hiérarchique des objets de manière logique. Figure 5 - Représentation d'un arbre sous la forme d'un espace de nom Forêt Une forêt est constituée d'un ou plusieurs arbre(s) ne constituant pas un espace de nom contigu. Tous les arbres d'une forêt partagent le même schéma, une même configuration et un même catalogue global. Ils s'accordent une confiance mutuelle par l'intermédiaire des relations Kerberos. Une forêt existe en tant qu'ensemble d'objets de références croisées et de relation d'approbation, et ne nécessite pas de nommage distinctif. Schéma Le schéma AD est implémenté comme un ensemble d'éléments de classes d'objets stockés dans l'annuaire. Le schéma peut être mis à jour dynamiquement, c'est à dire qu'une application peut étendre le schéma en lui ajoutant de nouveaux attributs et de nouvelles classes et les utiliser immédiatement. Ces modifications sont protégées par des listes de contrôle d'accès (ACL) comme toute les ressources réseaux gérées. Modèle de données Le modèle de données de Active Directory est dérivé du modèle de données de la norme X.500. L'annuaire contient des objets représentant des éléments de différents types décrits par des attributs. Le schéma définit l'univers des objets pouvant être stockés dans l'annuaire ; pour chaque classe d'objet, le schéma définit les attributs qu'un élément de la classe doit posséder ainsi que ses attributs facultatifs. 9

Fonctionnalités techniques de Active Directory AD est étroitement intégré au système de nom de domaine (DNS). Le DNS est l'espace de nom distribué utilisé sur Internet pour résoudre les noms d'ordinateurs et de services en adresse TCP/IP. La plupart des réseau intranet des entreprises utilisent DNS comme service de résolution de noms. Active Directory utilise le DNS comme service de localisation. Ceci permet à AD de trouver naturellement sa place dans des environnements inter- intranet. Les clients trouvent rapidement et facilement les serveurs d'annuaire. Service de localisation Les serveurs AD publient leurs adresses de telle sorte que les clients puissent les trouver à partir de leur seul nom de domaine ; ils sont publiés dans le DNS via des enregistrements de ressources de service il s'agit d'un mappage entre le nom d'un service et le serveur le proposant. Son nom a la forme suivante: service.protocole.domaine Active Directory utilise le protocole Lightweight Directory Access Protocol (LDAP) pour publier les ressources, via TCP. Comme les adresses IP sont sujettes à modification, les serveurs AD vérifient périodiquement leurs données. Nommage d'objet Chaque objet possède un nom unique (DN). Ce DN contient assez d'informations pour que le client puisse récupérer l'objet dans l'annuaire et peut parfois être long, et est sujet à modification ; à des fins de simplification des recherches, AD définit 2 propriétés pratiques : Un Globally Unique Identifer, nombre codé sur 128 bits, qui ne change pas et est attribué à la création de l'objet. Il ne change pas même si l'objet change de DN ou est déplacé. Un User Principal Name, plus court et plus convivial que le DN ; il s'agit d'un DN "abrégé". Par exemple, pour l'utilisateur James Smith de l'arbre microsoft.com, son DN est /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith tandis que son UPN peut être j.smith@microsoft.com. Active Directory ne permet pas que 2 objets distincts possèdent le même nom relatif distinct, et comme le DN est composé à partir de ce nom relatif il y a unicité des GUID. Accès à AD L'accès à l'annuaire s'effectue à partir de protocoles câblés ; ces protocoles définissent les formats des messages et des interactions client/serveur. Protocoles supportés : LDAP : est le protocole central de AD. Il s'agit d'un standard de protocole réseau conçu pour fournir un accès à des services d'annuaire. L'utilisation de ce standard permet une interopérabilité entre AD et les annuaires concurrents ou applications tierces utilisant également LDAP (NDS de Novell par exemple). 10

LDAP est décrit selon 4 modèles de base : Information Nommage Fonctionnalités Sécurité La combinaison de ces modèles introduit une nomenclature décrivant toutes les entrées et leurs attributs, et fournit des méthodes d'interrogation et de manipulation des valeurs. MAPI RPC : interfaces d'appels de procédure distante (Remote Procedure Call) gérant les interfaces MAPI (Message Application Programming Interface). X.500 : protocole définissant plusieurs protocoles non implémentés dans AD (d après des recommandation du Comité Consultatif International Téléphonique et Télégraphique pour les services d annuaire distribué) (Directory Access Protocol accès aux annuaires ; Directory System Protocol système d'annuaire ; Dircetory Information Shadowing Protocol réplication d'annuaire ; DOP gestion de liaison opérationnelle). Ils ne sont pas implémentés parce que présentant peu d'intérêt, peu implémentés, requiert le modèle réseau ISO/OSI (alternative à TCP/IP) peu implémenté ou LDAP offre les fonctionnalités de DAP et DSP. Catalogue global Le catalogue global permet aux utilisateurs et aux applications de trouver des objets dans l'arbre de domaine AD, pour peu qu'ils connaissent un ou plusieurs attributs de l'objet recherché. Le système de duplication de AD génère automatiquement ce catalogue et la topologie de duplication. Propagation des mises à jour Le système de duplication de l'annuaire n'utilise pas l'horodatage c'est à dire une synchronisation temporelle des serveurs pour propager les modifications à l'ensemble des serveurs d'annuaire de l'arbre de domaine ; il utilise des numéros de séquence de mise à jour (USN) qui sont incrémentés à chaque modification. Lors de la réplication chaque serveur reçoit l'ensemble des USN, qui est supérieur à la dernière valeur reçue, de ses partenaires de duplication. Dans la mesure où l'usn de la table est mis à jour au cours d'une opération groupée lors de la duplication, la reprise après échec est simple il suffit de réitérer la demande pour les USN supérieurs à la dernière entrée valide. Sécurité Délégation Le modèle de sécurité de Active Directory est celui de Windows 2000, utilisant une authentification par contrôleur de domaine approuvé, la délégation d approbation entre les services et le contrôle d accès par objet. Les fonctionnalités centrales de sécurité incluent l intégration avec Active Directory, la prise en charge du protocole Kerberos pour l authentification des utilisateurs, les certificats de clés publiques (PKI) pour les utilisateurs externes, le système Encrypting File System pour la protection des données locales et l utilisation du protocole IPSec pour la mise en œuvre de communications sécurisées en utilisant des réseaux publics (VPN). Présentation technique de la sécurité de Windows 2000 Les services de sécurité distribués de Windows 2000 prennent en charge les conditions nécessaires essentielles. La sécurité est basée sur l authentification des utilisateurs à l ouverture des sessions et l autorisation qui s effectue suivant les listes de contrôle d accès (ACL) des objets et les entrées de l annuaire AD. Ceci permet aux utilisateurs d accéder de n importe quel poste du réseau aux ressources auxquelles ils sont autorisés d accéder et d utiliser. 11

Active Directory joue un rôle majeur dans la sécurité des réseaux en offrant un emplacement central pour enregistrer les utilisateurs, matériels, applications et données réseaux ; il enregistre également les informations nécessaires à l authentification et l autorisation des utilisateurs pour garantir l accès aux ressources. Egalement, il est intégré aux services de sécurisation de Windows, tels que Kerberos, EFS ou IPSec. Le protocole Kerberos fournit une authentification mutuelle plus rapide et une approbation transitive pour l authentification à partir de n importe quel point d accès du réseau. Tous les objets de l'annuaire sont protégés par des Access Control List (ACL) qui déterminent qui a droit à quoi. Elle est stockée avec l'objet qu'elle protège. Active Directory permet une fonctionnalité importante au niveau sécuritaire ; il s'agit de la délégation. La délégation permet aux administrateurs d'accorder des droits spécifiques sur des conteneurs et des sous-arbres à des utilisateurs ou groupes. Cela permet la délégation de tâches d'administrations. 12

Résumé L introduction d Active Directory est une amélioration majeure de l OS Windows 2000. Il permet de centraliser et de simplifier l administration réseau en enregistrant en un point unique l ensemble des informations nécessaires aux administrateurs des systèmes informatiques ainsi qu en intégrant les fonctions de sécurité nécessaire à la bonne marche des réseaux. Egalement, la délégation permet de soulager les administrateurs dans leurs tâches quotidiennes, ils peuvent ainsi se concentrer sur les points importants du réseau (sécurisation, disponibilité ). Enfin, l utilisation des standards permet une intégration de l annuaire AD avec les autres services d annuaire et applications tierces déjà mis en œuvre au sein de l entreprise. 13

Bibliographie Sites web de Microsoft www.microsoft.com/france/technet/produits/win2000s www.microsoft.com/france/windows/2000/server www.microsoft.com/france/technet/themes/secur www.microsoft.com/france/technet ainsi que les sites anglais correspondants Site web du magazine Systems Journal www.mysystemsjournal.com TechProGuild "Windows NT / 2000 Administrator Report" (11/2000) 14

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back