• Aucun résultat trouvé

Cours sur Active Directory

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Cours sur Active Directory"

Copied!
9
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Table des matières

Active Directory...1

I- Principes...2

1- Annuaire LDAP...2

2- Authentification Kerberos...3

3- Tcp/Ip et DNS...4

II- Architecture...5

1- Domaines, Arborescence, Forêts...5

2- Contrôleurs de domaines multiples :...5

III- U.O., Utilisateurs, groupes...6

IV- Approbations...6

1- Direction et transitivité :...6

2- Types d'approbation :...6

V- Maîtres (Rôles FSMO) et catalogues globaux...7

1- Rôles FSMO...7

Catalogues globaux :...8

VI- Systèmes de noms et chemins d'accès...8

Netbios / Wins :...8

DNS :...8

Chemins d'accès réseau :...8

(2)

I- Principes

Active Directory est le service d'annuaire de Microsoft intégré aux versions serveur de Windows.

Historiquement, Microsoft n'avait pas de service d'annuaire et beaucoup d'entreprises utilisaient le NDS de Novell.

Ce service d'annuaire est basé sur le protocole le plus connu du domaine : LDAP.

Ce protocole fonctionnant en TCP/IP, Microsoft a du utiliser cette pile de protocoles en standard et faire reculer au second plan ses protocoles historiques : Netbios, Wins, etc.

1- Annuaire LDAP

L'annuaire LDAP regroupe tous les objets dans un arbre.

La racine de cet arbre est le domaine (DNS).

Les branches sont des unités d'organisations (pas des objets).

Les feuilles sont des objets (utilisateurs, groupes, ordinateurs, ...).

Un exemple d'arbre pour le domaine greta.fr : greta.fr

Users Groups Computers …

nico ... ...

Le chemin d'accès à l'utilisateur nico de cet annuaire LDAP s'écrit de cette manière : cn=nico,ou=Users,dc=greta,dc=local

Wikipedia : http://fr.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol

(3)

2- Authentification Kerberos

L'annuaire LDAP ne fait que référencer les objets du domaine. Il n'intervient pas dans l'authentification.

La partie authentification est gérée par un protocole spécialisé dans ce domaine : Kerberos. Historiquement NTLM était utilisé mais des failles de sécurité importantes sont avérées sur ce protocole. Il n'est plus utilisé qu'en cas d'incompatibilité.

L'authentification pour un service réseau fonctionne en trois étapes :

1. Le client s'identifie à l'aide de sa clé secrète sur le serveur d'authentification.

2. Le client demande un ticket pour un certain service et une certaine durée au serveur de ticket.

3. Le client présente au service le ticket qu'il a reçu du serveur de ticket.

(4)

3- Tcp/Ip et DNS

Enfin Active Directory fonctionne obligatoirement sur TCP/IP et donc avec DNS.

Les anciens protocoles (Netbios, WINS) n'existent plus sauf pour questions de compatibilité avec les anciens logiciels.

Au moins un serveur DNS doit exister dans l'organisation, soit sur l'AD lui- même, soit sur un autre serveur connu de l'AD.

(5)

II- Architecture

1- Domaines, Arborescence, Forêts

Dans un contexte Active Directory, trois termes sont à retenir :

Domaine (ou sous-domaine) : Le domaine au sens de l'AD est le niveau le plus bas. Il contient au moins un contrôleur de domaine (Ldap + Kerberos).

Il représente une organisation ou une partie d'une organisation.

Arborescence : Ensemble d'un domaine et de tous ses sous-domaines.

Forêt : Ensemble d'arborescences qui appartient à la même organisation.

Au choix de l'architecte réseau, deux arborescences peuvent appartenir à une même forêt ou pas.

Exemple :

2- Contrôleurs de domaines multiples :

greta.fr

torcy.greta.fr paris.greta.fr

gtn.fr approbation

Domaines sous-domaines

Arborescence

Forêt approbations

(6)

III- U.O., Utilisateurs, groupes

L'annuaire permet notamment de créer :

des unités d'organisation dans lesquelles on pourra créer des objets (utilisateurs, groupes, imprimantes, …) et sur lesquelles on pourra appliquer des stratégies de groupe (GPO).

des groupes qui permettent de regrouper les utilisateurs dans des ensembles sur lesquels on pourra définir des droits de sécurité NTFS.

des comptes utilisateurs qui permettent de définir individuellement le profil de chaque utilisateur.

IV- Approbations

Dans un contexte multi-domaine et/ou multi-forêts, les annuaires peuvent dialoguer entre eux en utilisant les approbations.

Cela permet aux utilisateurs de pouvoir utiliser certaines ressources dans des domaines qui ne sont pas le leur d'origine.

Pour voir les approbations existantes dans le domaine, on peut utiliser la console domain.msc.

1- Direction et transitivité :

Direction : Les relations d'approbation peuvent être unidirectionnelles (le domaine 1 est approuvé sur le domaine 2 mais l'inverse est faux) ou bidirectionnelles.

Transitivité : Si une relation est transitive, cela signifie que :

si un domaine 1 est approuvé sur un domaine 2

et un domaine 2 est approuvé sur un domaine 3

alors le domaine 1 est approuvé sur le domaine 3

2- Types d'approbation :

Par défaut, à l'ajout d'un domaine, active directory définit les relations d'approbation multidirectionnelles transitives suivantes :

(7)

Relation racine d'arborescence (ex : entre greta.fr et gtn.fr) Les autres relations possibles sont :

Relation externe (avant Windows 2000)

Relation de domaine Kerberos (pour lier des Kerberos non Windows)

Relation entre forêts (entre forêts différentes)

Relation de raccourci (plusieurs domaines dans une seule forêt) Articles sur les relations d'approbation :

http://technet.microsoft.com/fr-fr/library/cc736874%28v=ws.10%29 http://www.labo-microsoft.org/articles/win/trust/

V- Maîtres (Rôles FSMO) et catalogues globaux

1- Rôles FSMO

Les rôles de maître d'opération servent à savoir quel est le serveur référence qui va gérer la réplication des modifications vers les autres serveur.

Les termes contrôleur primaires et contrôleur secondaire n'existent plus sauf pour question de compatibilité (émulateur de PDC).

Dans une forêt, il ne doit y avoir à un moment donné qu'un serveur maître de schéma et un serveur maître d'attribution de noms de domaine.

Dans un domaine, il ne doit y avoir à un moment donné qu'un serveur maître RID, un serveur maître d'infrastructure et un émulateur de contrôleur de domaine principal.

Maître de schéma : Responsable du schéma d'annuaire LDAP.

(8)

Catalogues globaux :

Dans un parc contenant plusieurs contrôleurs de domaines, les serveurs de catalogue global ont une copie complète des informations de tous les contrôleurs de domaine.

Il y a toujours au moins un CG dans une forêt. Le premier serveur à être installé dans une forêt est forcément un CG.

Ainsi, si un utilisateur de torcy.greta.fr veut se connecter sur le site de Lognes (lognes.greta.fr) et que le serveur de Lognes n'est pas un CG, il devra contacter son CG pour obtenir les informations du compte utilisateur.

VI- Systèmes de noms et chemins d'accès

Netbios / Wins :

Historiquement, Windows utilisait les noms Netbios pour connaître les machines. Le nom Netbios est celui qu'on retrouve dans les propriétés systèmes de Windows.

Netbios n'est pas basé sur TCP/IP.

La résolution de noms Netbios se fait par broadcast, ce qui empêche son utilisation au delà du réseau local. Un serveur pouvait également résoudre les noms Netbios, le serveur Wins qui n'est plus utilisé aujourd'hui.

DNS :

Active Directory est forcément lié à un ou plusieurs serveurs DNS.

Voir la documentation complète sur DNS.

Chemins d'accès réseau :

Cette utilisation est spécifique à Microsoft. Dans le monde TCP/IP, on utilise les chemins URL.

\\nomdelordinateur\partage\chemin\ressource

\\ : Demande d'accès par le protocole smb (partage de fichiers MS).

nomdelordinateur : nom netbios (ex : pc1) ou nom DNS (ex : pc1.greta.fr) partage : un des dossiers partagés sur l'ordinateur.

(9)

ressource : le fichier ou le répertoire auquel vous voulez accéder.

Références

Télécharger maintenant ( PDF - 9 Page - 164.32 KB )

Documents relatifs

Doit-on avoir peur de la dette publique?

▶ La dette (si on se r´ eendette pour la rembourser) croˆıt au taux d’int´ erˆ et..

Un isolant doit il avoir obligatoirement l'avis du cstb

Enfin, il est normal qu'un particulier ait besoin de garanties quant aux performances de son isolant d'autant que les réglementations thermiques sont de plus en plus exigentes mais

Maître de conférences en Littérature comparée - domaine anglo-saxon...

Accompagné(e) par le Doyen de la faculté, vous bénéficiez d’un temps spécifique la première année pour la préparation d’un dossier présentant le travail de recherche que

Td corrigé TD n°1 Régulation d'un niveau dans un réservoir : pdf

3- Ne cessant d’améliorer notre commande, nous avons constaté qu’un phénomène d’oscillation de l’eau autour d’un niveau provoque de nombreux démarrage et arrêt

Td corrigé Rotation uniforme d'un liquide dans un récipient cylindrique pdf

On décompose le volume du liquide en rotation en couronnes cylindriques de rayon r, d’épaisseur dr et de hauteur z(r). Exprimer le volume dV d’une telle couronne. En supposant que

« Celui qui veut le miel ne doit pas avoir peur des abeilles »

4.2) Pour un solide en chute libre, le travail du poids entre deux points A et B dépend de la vitesse initiale du point A.. sa mesure dépend

1- un bon fossile stratigraphique doit avoir :

Consigne3 : Dans un paragraphe de 12 lignes maximum, rédige le résumé de ton exposé dans le club journal du lycée pour expliquer ce qu’est l’effet de ses et ses conséquences sur

La partie devant de la jaquette doit avoir une largeur de 127 cm

Deux biais supplémentaires doivent être fixés avec points d’arrêt à 23 cm du bord pour former deux attaches de 25 cm chacune.. La manche confectionnée en deux