Active Directory

Principe

La découverte de l’active directory dans microsoft windows serveur 2012. Pour expliquer simplement, il utilise un nom de domaine comme le nom du site osnetworking.com. Chaque Ad (Active Directory) utilise un nom de domaine. L’AD est organisée comme une foret. Vous avez le nom de domaine avec les sous-domaines comme ad.osnetworking.com etc…

Micosoft appelle interopérabilité quand l’AD permet l’interconnections entre plusieurs services et produits.

C’est le même principe d’organisation d’un schéma DNS.

L’Active directory s’appuis en ligne de commande sur LDAP si vous connaissez sous Linux OpenLdap.

 Ressources

Active directory peux être une ressources. Je m’explique, ça peux être un dossier, un utilisateur, une imprimante, un ordinateur ou serveur, un service et de protéger les informations.

Protéger les informations : donner les droits à un utilisateur sur certains dossiers, droits sur l’impression d’une imprimante bien définit. La question a se poser : Comment donner l’accès à cette utilisateur à ces ressources ?

L’authentification classique sans Active Directory

Quand vous travaillez sur un ordinateur, vous avez un identifiant et un mot de passe et vous êtes dans un Workgroup. C’est ça que nous appelons groupe de travail. Vous avez un ordinateur indépendant, pas rattaché à un domaine. Vous pouvez créer plusieurs compte pour la famille sur le même pc.

En fait cette méthode est pour une utilisation pour les particuliers et non en entreprise.

C’est ce que l’on appelle le SAM pour gérer les compte utilisateur local.

Donc si vous avez 1000 ordinateurs, il faudra mettre sur chaque pc un nouveau compte. C’est ingérable et ça devient une usine à gaz.

C’est pour cela l’identification avec Acitve Directory simplifie la gestion des comptes utilisateurs. Nous pourrons centraliser les comptes utilisateurs.

Nous allons voir ce que l’on peux faire avec Active Directory.

L’authentification avec Active Directory

En entreprise c’est différent. C’est active directory qui gère les comptes utilisateurs avec identifiant et  mot de passe, la gestions des droits sur un nas ou dossier partagé sur un serveur ou ailleurs. C’est la centralisation des comptes.

L’utilisateur A nous lui donnons un mot de passe et l’on lui demande de le changé. Il pour se connecter au PC A.

Par exemple : identifiant utilisateur mot de passe Carotte2015.

Cette utilisateur aura accès à sa session et au dossier partagé en contactant le serveur si cette utilisateur existe bien.

Active Directory est un annuaire centralisé qui aura tous les comptes des utilisateurs, la gestion des groupes et périphériques. C’est le principe de l’Active Directory.

Chaque utilisateur aura une identification unique. Il est basé sur le Kerberos. Il va lui donner un jeton de droit d’entrée. Ça veut dire qu’il fait bien partie du domaine. A chaque fois l’utilisateur A veut accéder à une ressource il va vérifier le jeton qu’il a reçu.

Dans le jeton il a :

• SID ( Security Identifiers)  S-1-5-21–7623811015-3361044348-030300820-1013

SID: S-1-5-18

Système local. Un compte de service qui est utilisé par le système d’exploitation

SID: S-1-5-19

NT Authority. Service local

SID: S-1-5-20

NT Authority. Service réseau

SID: S-1-5-21-domain-500

Un compte utilisateur pour l’administrateur système

SID: S-1-5-21-domain-501

Compte utilisateur invité. Par défaut, il est désactivé

SID: S-1-5-21-domain-512

Dans le sid c’est l’identifiant unique pour le domaine

Contrôleur de domaine

L’Active Directory est appelé contrôleur de domaine. A chaque ordinateur que nous allons installer, fait partie du contrôleur de domaine.

L’Active Directory est un service du domaine l’abréviation (AD DS) mais il existe des services que nous pouvons ajouter pour d’autres utilisations comme AD LDS, AD CS pour gérer les certificats, AD RMS, AD FS pour rattaché deux entreprise au domaine. Pour installer ces services, nous disons que nous ajoutons un rôle.

Ce contrôleur de domaine est géré dans un base donnée qui est dans un fichier : %racinesystem%\NTDS\ndts.dit et %racinesystem%\SYSVOL . Chaque enregistrement est un object (utilisateur, ordinateur, périphérique, groupes, etc …) qui travaille avec des services (DNS, Kerberos, réplication).

Pur utiliser cette base de donnée nous utilisons des outils :

• Utilisateurs et ordinateurs Active Directory
• Sites et services Active Directory
• Module Active Directory pour Windows PowerShell
• Domaines et approbations Active Directory
• Centre d’administration Active Directory
• VbScript
• Ldap browser pour gérer les utilisateurs et autres avec un logiciels

La GPO permet de créer des stratégies de groupe au niveau :

•  installation d’application sur des ordinateurs ou utilisateurs
• créer une tâche comme changer le fond d’écran sur tout le parc en une seul fois
• changé la stratégie des mots de passe avec 8 caractères en 12 caractères avec une majuscule etc ..
• l’autorisation des utilisateurs
• PSO

Un conseille, il faut au moins deux contrôleur de domaine en cas de pas panne comme ça il peux répliquer.

Aussi nous pouvons avoir plusieurs sites. Ces site peuvent être à Paris et à Marseille.

La réplication prend entre 15 à 45 secondes par site ou contrôleur de domaine.

Le premier domaine est le domaine racine de la forêt.

Exemple :

le domaine s’appelle osnetworking.local, ça c’est le parent. L’enfant est b.osnetworking.local etc … Le deuxieme domain est osnetworking2.local avec c’est sous domaine. IL y a une relation entre les deux domaine. C’est ça nous appelons la forêt.

 

Mise en oeuvre

Pour installer un contrôleur de domaine, il faut installer Active Directory.

J’ai fait un article sur installer Active Directory sur un serveur 2012 http://www.osnetworking.com/installer-active-directory/.