IT Explained:

Supervision d’Active Directory




Qu’est-ce qu’Active Directory ?

 

Active Directory (AD) est un service d’annuaire destiné aux environnements Windows Server. Il s’agit d’une base de données distribuée et hiérarchisée qui partage des informations relatives à l’infrastructure permettant de localiser, de sécuriser, de gérer et d’organiser des ressources ordinateur et réseau ressources dont des fichiers, utilisateurs, groupes, périphériques et appareils réseau.

Active Directory est le service d’annuaire développé par Microsoft à destination des domaines Windows. Outre les fonctions d’authentification et d’autorisation dont il est doté, il fournit un cadre aux autres services de ce type. L’annuaire est en réalité une base de données LDAP qui contient des objets interconnectés. Active Directory utilise le système d’exploitation Windows Server.

Quand quelqu’un parle d’Active Directory, il se réfère généralement à Active Directory Domain Services, qui fournit des protocoles d’authentification et d’autorisation intégrés et de grande ampleur.

Avant Windows 2000, le modèle d’authentification et d’autorisation de Microsoft avait besoin de diviser un réseau en domaines, puis de corréler ces domaines par l’entremise d’un système complexe, et parfois imprévisible, de simple ou double approbation. Active Directory a été intégré à Windows 2000 afin de fournir des services d’annuaire taillés pour des environnements plus grands, et plus complexes.

Autres services d’Active Directory


Au fil du temps, Microsoft a enrichi l’offre Active Directory de plusieurs services.

Active Directory Lightweight Directory Services

Cette version allégée fait l’impasse sur certaines des fonctionnalités avancées qui compliquent l’usage de Domain Services pour intégrer les fonctions d’annuaire les plus rudimentaires, sans recours aux contrôleurs de domaine, aux forêts ou aux domaines. C’est ainsi une version tout indiquée pour les réseaux de petite taille ou à ceux destinés à un seul et même bâtiment.

Services de certificats Active Directory (AD CS)

Ces services fournissent des certificats numériques qui sont générés dans une infrastructure à clés publiques, ou PKI. Celle-ci peut stocker, approuver, créer et révoquer des clés publiques d’identification utilisée à des fins de cryptage plutôt que de générer des clés de façon externe ou locale.

Active Directory Federation Services (ADFS)

ADFS est un service web d’authentification et d’autorisation unique (SSO) qui s’adresse en premier lieu aux entreprises. Grâce à lui, un prestataire peut se connecter à son propre réseau et être habilité à accéder à celui de son client également.

Active Directory Rights Management Services (ADRMS)

Ce service de gestion des droits décompose l’autorisation au-delà d’un modèle d’accès octroyé ou refusé et restreint les actions qu’un utilisateur peut effectuer sur des fichiers ou documents spécifiques. Dans ce système, les droits et restrictions sont associés au document plutôt qu’à l’utilisateur. Ces droits servent généralement à interdire l’impression, la copie ou la réalisation de captures d’écran d’un document.

Structure d’Active Directory


Active Directory se distingue par sa capacité à déléguer les autorisations et par l’efficacité de son système de réplication. Chaque partie de la structure organisationnelle d’AD restreint soit l’autorisation, soit la réplication, au périmètre qu’elle délimite.

Forêt

La forêt est le sommet de l’organisation hiérarchique d’AD. Une forêt est une limite de sécurité au sein d’une organisation, et permet la séparation des délégations d’autorité au sein d’un même environnement. Ainsi, l’administrateur a accès à l’ensemble des droits et permissions, mais uniquement à un sous-ensemble précis de ressources. On peut se contenter d’utiliser une seule forêt sur un réseau. Les informations qui y sont associées sont stockées sur tous les contrôleurs de domaine, sur tous les domaines, au sein de la forêt.

Arborescence

Une arborescence correspond à un groupe de domaines. Les domaines qui appartiennent à une arborescence ont le même espace de nom racine. Si elles partagent un même espace de nom, les arborescences n’en constituent pas pour autant des limites de sécurité ou de réplication.

Domaines

Chaque forêt contient un domaine racine. Les autres peuvent servir à créer d’autres partitions au sein d’une forêt. L’objet d’un domaine est de décomposer le répertoire en petits fragments afin d’en maitriser la réplication. Un domaine limite la réplication de données Active Directory aux seuls contrôleurs de domaine qui y appartiennent. Cela évite ainsi, par exemple, à un bureau parisien de dupliquer les données AD d’un autre situé à Dijon, ce qui serait parfaitement inutile. On économise ainsi de la bande passante, tout en limitant les dégâts en cas de faille de sécurité.

Chaque contrôleur appartenant à un domaine possède une copie identique de sa base de données Active Directory. Celle-ci reste à jour grâce à la réplication en continu.

Si les domaines étaient déjà présents dans le précédent modèle conçu pour Windows-NT et font aujourd’hui encore office de barrière de sécurité, il est recommandé de les utiliser pour contrôler la réplication des données, mais aussi de leur préférer les unités organisationnelles (UO) pour regrouper et limiter les autorisations de sécurité.

Unités organisationnelles (UO)

Une unité organisationnelle permet de regrouper l’autorité dans un sous-ensemble de ressources d’un domaine. Une UO assure la fonction de barrière de sécurité pour les privilèges élevés et les autorisations, mais elle ne limite pas la réplication d’objets AD.

Les UO permettent de déléguer le contrôle au sein de regroupements fonctionnels. Elles doivent être utilisées pour mettre en place et limiter la sécurité et les rôles au sein des groupes, tandis que les domaines servent à contrôler la réplication d’Active Directory.

 

Onboarding Script Banner

Contrôleurs de domaine


Les contrôleurs de domaine sont des serveurs Windows qui contiennent la base de données Active Directory et s’acquittent des fonctions liées à ce système, notamment d’authentification et d’autorisation. On entend par « contrôleur de domaine » tout serveur Windows configuré pour assurer ce rôle.

Chaque contrôleur de domaine enregistre une copie de la base de données d’Active Directory renfermant les informations sur tous les objets appartenant à un même domaine. Chacun d’entre eux sauvegarde par ailleurs le schéma de l’ensemble de la forêt, ainsi que des informations au sujet de cette dernière. Un contrôleur de domaine ne sauvegardera pas de copie d’un schéma ou d’une forêt autres, même s’ils se trouvent sur le même réseau.

Les rôles des contrôleurs de domaine spécialisés

Les rôles des contrôleurs de domaine spécialisés servent à accomplir des fonctions spécifiques qui sont indisponibles sur les contrôleurs de domaine de base. Ces rôles de maîtres sont attribués au premier contrôleur de domaine créé dans chaque forêt ou domaine. L’administrateur a cependant la possibilité de redistribuer les rôles manuellement.

Le maître de schéma

Il y a un seul maître de schéma par forêt. Celui-ci contient la copie maître du schéma qu’utilisent tous les autres contrôleurs de domaine. Cette copie maître est le gage que tous les objets seront définis de la même manière.

Le maître d’attribution des noms de domaine (Domain Naming Master)

Chaque forêt compte un seul maître d’attribution des noms de domaine. Celui-ci veille à ce que tous les noms d’objets soient uniques et, si nécessaire, fait une analyse croisée des objets stockées dans d’autres annuaires.

Le maître d’infrastructure (Infrastructure Master)

Il y a un seul maître d’infrastructure par domaine. Celui-ci garde la trace des objets supprimés et maintient à jour les références d’objets entre les différents domaines.

Le maître des ID relatifs (RID Master)

Il y a un seul maître des ID relatifs par domaine. Celui-ci est chargé de mémoriser l’attribution et la création des identifiants uniques de sécurité (SID) dans le domaine.

Émulateur du contrôleur principal de domaine (PDC Emulator)

Il y a un seul émulateur du contrôleur principal de domaine (PDC Emulator) par domaine. Celui-ci est chargé d’assurer la rétrocompatibilité avec les contrôleurs de domaines des anciens systèmes de nom de domaine basés sur Windows NT. Il traite les requêtes reçues par un PDC comme un ancien PDC l’aurait fait.

Data Store

Le stockage et la récupération des données sur tout contrôleur de domaine sont assurés par le magasin de données. Celui-ci se compose de trois couches. La couche inférieure est la base de données elle-même. La couche intermédiaire contient les composants de service, l’agent du service d’annuaire (DSA), la couche de base de données, et le moteur d’enregistrement extensible (ESE). La couche supérieure, enfin, est celle des services d’annuaire, de LDAP (Lightweight Directory Access Protocol), de l’interface de réplication, de l’API de messagerie (MAPI), et du Responsable de la sécurité des comptes (SAM).

 

DNS


Active Directory contient des informations relatives à la localisation des objets stockés dans la base de données, mais il s’appuie sur le système DNS pour localiser les contrôleurs de domaine.

Au sein de l’annuaire actif, tous les domaines ont un nom de domaine DNS et chaque ordinateur raccordé a un nom DNS au sein du même domaine.

Objets

Tous les éléments de l’annuaire actif y sont stockés en tant qu’objets. La classe se définit comme le « type » d’objet dans le schéma. Les attributs désignent pour leur part les composants de l’objet. Les attributs d’un objet sont donc définis par sa classe.

Les objets doivent être définis dans le schéma avant que les données ne soient stockées dans l’annuaire. Une fois définies, les données sont conservées au sein de l’annuaire actif en tant qu’objets individuels. Chacun d’entre eux doit être singulier et représenter une chose unique, comme un utilisateur, un ordinateur, ou un groupe précis de choses (par exemple, un groupe d’utilisateurs).

Les deux principaux types d’objets sont les ressources et les entités de sécurité. Ces dernières se voient assigner des ID de sécurité ID (SID), contrairement aux ressources.

 

Réplication


Active Directory utilise plusieurs contrôleurs de domaine à diverses finalités, notamment pour la répartition de la charge ou la tolérance aux pannes. Pour assurer ces fonctions, tous les contrôleurs doivent posséder une copie complète de la base de données AD du domaine lui-même. La réplication garantit que chaque contrôleur possède une copie actuelle de la base de données.

La réplication se confine aux frontières du domaine. Deux contrôleurs rattachés à des domaines différents ne répliquent pas les données de l’autre, même s’ils appartiennent à la même forêt. Tous les contrôleurs sont égaux. Contrairement aux précédentes versions de Windows, Active Directory ne s’appuie pas sur le système de contrôleurs primaires et secondaires. Il peut parfois y avoir confusion du fait de la reprise par Active Directory du nom « contrôleur de domaine », issu de l’ancien système d’approbations.

La réplication fonctionne sur le principe de l’extraction : le contrôleur de domaine demande ou « extraie » les informations des autres au lieu de transmettre ses données aux autres. Par défaut, la réplication entre contrôleurs de domaine se fait toutes les 15 secondes. Certains événements nécessitant un haut niveau de sécurité déclenchent une réplication immédiate, comme la déconnexion d’un compte.

Seules les modifications sont répliquées. Pour s’assurer de la correspondance parfaite des données sur un système comptant plusieurs maîtres, chaque contrôleur de domaine garde la trace des changements effectués, et extrait seulement les éléments qui ont été modifiés depuis la dernière réplication. Les changements sont répliqués dans l’ensemble du domaine par le biais d’un mécanisme de stockage et de retransmission de manière à ce que toute modification soit répliquée quand la demande en est faite, même si la modification n’émane pas du contrôleur qui répond à la demande de réplication.

Ce système empêche l’explosion du trafic et peut être configuré de sorte que chaque contrôleur de domaine demande ses données de réplication auprès du serveur le plus approprié. Par exemple, un site éloigné disposant d’une connexion haut débit et d’une connexion bas débit à d’autres sites dotés de contrôleurs de domaine peut fixer un « coût » à chaque connexion. Ce faisant, la demande de réplication transitera par la connexion la plus rapide.