IFAPME X41 Administrateur serveur Module 7 Active Directory Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Active Directory Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Service d’annuaire Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Annuaire Un annuaire est une source d'information utilisée pour stocker des informations sur certains objets importants, comme par exemple un annuaire téléphonique contenant les numéros des abonnés. Dans un système informatique, il existe de nombreux objets intéressants comme des imprimantes, des serveurs d’impression, des bases de données et d'autres utilisateurs. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Service d’annuaire Un service d’annuaire constitue à la fois la source d’information et les services rendant cette information disponible et exploitable. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Active Directory Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Active Directory Active Directory est le service d'annuaire fourni par Microsoft Windows. Il résulte de l'évolution de la base de compte plane SAM. Ce service est disponible depuis la version Windows 2000 Server. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Rôle principal Le rôle principal d'Active Directory est de fournir des services centralisés d'identification et d'authentification à un réseau d'ordinateurs. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Avantages d’Active Directory Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Avantages Centralisation des données Standardisation Évolutivité Sécurité Extensibilité Indépendance du réseau physique Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Centralisation des données Active Directory répertorie tous les éléments d'un réseau administré tels que les comptes utilisateurs, les ordinateurs, les serveurs, les dossiers partagés, les imprimantes, etc. La centralisation des données fourni un point unique d’administration et de recherche de ressources. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Standardisation Le service d’annuaire propose l’accès à ses données via des normes ouvertes. Microsoft propose des protocoles d’accès standardisés comme LDAP (Lightweight Directory Access Protocol) permettant l’interrogation et la modification du service d’annuaire. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Évolutivité Active Directory est capable d’assurer la croissance du réseau. Le service d’annuaire Microsoft supporte des bases de données énormes: 2 billions d’objets par contrôleur de domaine Environ 1 billion d’identifiants uniques de sécurité (SID) 999 stratégies de groupe (GPO) par utilisateur, ordinateur ou groupe Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Sécurité Le trafic est signé et crypté. L’authentification est garantie par Kerberos, SSL et par les certificats X.509. Active Directory permet la création de contrôles d’accès pour chacun des objets de l’annuaire. Les stratégies de sécurité peuvent être appliquées à l’échelle de sites, domaines ou unités organisationnelles. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Extensibilité Active Directory permet aux gestionnaires et logiciels d’ajouter toutes sortes de données en fonction des besoins. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Indépendance du réseau physique Le service d’annuaire rend la topologie physique du réseau transparente et permet l’accès à une ressource indépendamment de l’emplacement physique sur le réseau. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Concepts importants Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Portée La portée de Active Directory est vaste. Il peut inclure tout objet isolé (imprimante, fichier, utilisateur), tout serveur et tout domaine d'un réseau étendu (WAN) isolé. Il peut aussi inclure plusieurs réseaux étendus associés. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Espace de noms Active Directory constitue un espace de noms dans lequel le nom d'un objet de l'annuaire peut être résolu pour obtenir l'objet lui- même. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Topologie logique Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les objets Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les objets L’objet dans Active Directory représente une ressource unique, comme par exemple un utilisateur ou un ordinateur. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les attributs d’objets Un objet est en fait un ensemble d’attributs tel que le nom, le prénom, le mot de passe, l'appartenance à un groupe,… Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les classes d’objets Les attributs d’un objet sont définis par une classe d’objets. Les classes d’objets permettent de regrouper les objets d’après leurs similitudes. Ainsi, tous les objets « ordinateur » sont définis par la classe « ordinateur » Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Le schéma Active Directory Le schéma contient les définitions formelles de chaque classe (et donc chaque attribut d’objet) existant dans Active Directory. Le schéma est protégé par des listes de contrôles d’accès (Access Control Lists – ACL). Il est déconseillé d’apporter des modifications au schéma. Les erreurs de modification de schéma peuvent entraîner la perte et l’altération de données. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les domaines Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les domaines Sur un poste de travail isolé, le domaine est l'ordinateur lui-même. Un domaine est une partition dans une forêt Active Directory. Un domaine peut recouvrir plusieurs sites physiques. Le partitionnement des données permet aux organisations de répliquer des données uniquement là où elles sont requises. Chaque domaine a sa propre politique de sécurité et ses propres relations de sécurité avec les autres domaines. Un serveur informatique hébergeant l'annuaire Active Directory est appelé «contrôleur de domaine ». Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les domaines – Service d’identification Les domaines permettent la création des identités d’utilisateurs afin de les référencer sur n’importe quel ordinateur du domaine. Autrement dit, au moment où un utilisateur (et donc son identifié) est créé sur un des contrôleurs du domaine; celui-ci est connu sur tous les ordinateurs joints à ce domaine. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les domaines – Service d’authentification et d’autorisation Un domaine fournit les services d’authentification et d’autorisation pour l’ensemble de ses utilisateurs afin de faciliter les connexions aux ressources partagées. Le processus d’authentification garantit que l’utilisateur est bien celui qu’il prétend être. Une fois identifié, l’utilisateur peut être autorisé ou non à accéder à une ressource par l’intermédiaire du mécanisme de contrôle d’accès. Les listes de contrôle d’accès ou Access Control Lists (ACL) définissent ses autorisations. L’autorisation est déterminée non seulement par l’identité de l’utilisateur, mais aussi par l’appartenance à un ou plusieurs groupes de sécurité. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les domaines - Relations d’approbation Les domaines peuvent étendre les services d’authentification vers d’autres domaines en dehors de leur propre domaine ou forêt grâce au mécanisme de relations d’approbation ou « Trusts ». Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les domaines – Réplication Chaque contrôleur de domaine réplique ses données vers les autres contrôleurs de données. De cette manière, tous les contrôleurs de domaine possèdent les mêmes informations. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les arbres Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les arbre Les domaines sont organisés en une structure hiérarchique appelée arbre. Le premier domaine créé dans un arbre est le domaine racine. Tous les domaines d’un arbre se partagent le même schéma et un espace de noms. Forêt domaine.be Sub.domaine.be Sub2.domaine.be Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les forêts Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les forêts Lorsqu’une entreprise ne partage pas le même espace de noms, un seul arbre ne suffit pas. Une forêt représente un groupe d’arbres d’espace de noms différents mais qui partagent un même schéma et un même catalogue global. Il existe toujours une forêt, même avec un seul arbre. Forêt domaine.be autre.be Sub.domaine.be Sub2.domaine.be Sub.autre.be Sub2.autre.be Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les unités organisationnelles Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les unités organisationnelles Une Unité organisationnelle ou Organisation Unit (OU) est un objet conteneur qui permet de hiérarchiser les objets dans Active Directory. Les OU peuvent être utilisées pour grouper les objets afin de déléguer l’administration ou d’appliquer les stratégies de groupe. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Topologie physique Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les sites Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les sites Un site est une combinaison d’un ou plusieurs réseaux ou sous-réseaux IP reliés entre eux par une liaison filaire (LAN). Il est possible de regrouper plusieurs sites par liaison WAN. Les sites ne contiennent que les objets ordinateurs et les connexions utilisées pour la réplication de ses sites. Les différents sites ne font pas partie du même espace de noms. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les sites NB: Un domaine peut s’étendre sur plusieurs sites géographiques. Les sites servent principalement à contrôler la réplication entre les différents contrôleurs de domaine. Par défaut, tous les contrôleurs de domaine font partie du même site. L’administrateur doit créer les sites manuellement dans Active Directory Sites and Services. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les contrôleurs de domaine Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les contrôleurs de domaine Le contrôleur de domaine permet: L’identification et l’authentification des utilisateurs sur le réseau. La recherche des objets. La gestion des autorisations pour l’accès aux ressources. Un domaine ne peut exister que s’il comporte au moins un contrôleur de domaine. Pour des questions de sécurité et de disponibilité, il est conseillé de configurer au moins deux contrôleurs pour chaque domaine. Si l’entreprise est répartie sur plusieurs sites, un contrôleur de domaine peut être mis en place sur chaque site afin de réduire le trafic WAN. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les rôles maîtres d’opérations Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les rôles maîtres d’opérations Dans une forêt, les différents rôles maîtres sont partagés entre les contrôleurs. Un contrôleur peut s’occuper de plusieurs rôles maîtres. Les rôles maîtres d’opérations sont divisés en deux familles: Rôles maîtres d’opérations de la forêt Le maître du schéma Le maître d’attribution de noms de domaine Rôles maîtres d’opérations des domaines Le maître d’ID relatifs Le maître d’émulateur PDC (contrôleur principal de domaine) Le maître d’infrastructure Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les rôles maîtres d’opérations de la forêt Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Le maître de schéma Le premier contrôleur de domaine de la forêt est chargé de gérer et distribuer le schéma AD au reste de la forêt. Il contient la liste de toutes les classes ainsi que les attributs définissant les objets. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Le maître d’attribution de noms de domaine Le maître d’attribution de noms de domaine est consulté à chaque ajout ou suppression d’un domaine à la forêt. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Les rôles maîtres des domaines Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Le maître d’ID relatifs ou maître RID Le maître d’ID relatifs se trouve sur un seul contrôleur de domaine dans chaque domaine de la forêt. Le maître RID alloue des séquences d’ID relatifs à chacun des différents contrôleurs de domaine de son domaine. Lorsqu’on crée un objet utilisateur, groupe ou ordinateur, un ID de sécurité unique lui est attribué. Cet ID se compose d'un SID de domaine qui est identique pour tous les SID créés dans le domaine et d'un ID relatif (RID) qui est unique pour chaque SID créé dans le domaine. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Le maître d’émulateur PDC Ce contrôleur émule un contrôleur de domaine principal (Primary Domain Controller) pour les clients pré Windows 2000. Son rôle principal est de contrôler l’ouverture de session pour ses clients. Il est également chargé de synchroniser l’heure sur tous les contrôleurs de domaine du domaine. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Le maître d’infrastructure Toutes les modifications apportées aux objets du domaine sont d’abord signalées au maître d’infrastructure avant d’être répliquées vers les autres contrôleurs du domaine. Il ne peut exister qu’un seul maître d’infrastructure par domaine. Le maître d’infrastructure gère aussi les groupes et les appartenances aux groupes. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Le catalogue global Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Le catalogue global Le catalogue global pour une nouvelle forêt est créé automatiquement sur le premier contrôleur de domaine de la forêt. Vous pouvez ajouter ou supprimer la fonctionnalité de catalogue global à d’autres contrôleurs de domaine. Les serveurs de catalogue global contiennent: La réplique complète de tous les objets de leur propre domaine. La réplique partielle de tous les objets de la forêt. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Le catalogue global Le catalogue global permet: La recherche d’objets au travers de la forêt, quelque soit l’emplacement de stockage des données. L’authentification interdomaines des utilisateurs. La validation des références à un objet. Lorsqu’un contrôleur de domaine détient un objet d’annuaire avec un attribut qui contient une référence à un objet situé dans un autre domaine. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
La réplication Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
La réplication Afin que chaque contrôleur de domaine possède les mêmes informations, tous les objets et attributs sont répliqués vers tous les contrôleurs d’un domaine. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
La réplication intrasite Lorsqu’une modification est effectuée sur l’un des contrôleurs de domaine du même site, les informations sont immédiatement envoyées sous forme non compressée aux partenaires de réplication. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
La réplication intersite Lorsqu’une modification est effectuée sur l’un des contrôleurs de domaine d‘un site, les informations sont envoyées sous forme compressée aux partenaires de réplication des autres sites à plusieurs heures d'intervalle. De plus, il vous est possible de définir les plages horaires durant lesquelles la réplication aura lieu. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Conception logique d’Active Directory Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Modèle de domaine unique La forêt ne compte qu’un seul domaine qui contient tous les objets. N’importe quel contrôleur de domaine peut authentifier tous les utilisateurs de la forêt. Le catalogue global ne contient que les informations du domaine ifapme.local. La planification du catalogue global n’est pas nécessaire. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Modèle de domaine unique Ce modèle convient généralement à la plupart des petites entreprises. L’administration est facile et les coûts limités. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Modèle de domaine régional La forêt comporte plusieurs domaines basés sur l’emplacement géographique. Les domaines sont interconnectés via le WAN. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Modèle de domaine régional Ce modèle permet une autonomie de gestion aux administrateurs des différents domaines. Il permet la croissance de l’entreprise. Microsoft conseille de vous limiter à 10 domaines par forêt pour faciliter la gestion. NB: Les domaines ne permettent pas d’assurer l’isolation des données ou des services. L’implémentation d’une autre forêt serait nécessaire. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Modèle basé sur les divisions Ce modèle est identique au modèle de domaine régional, sauf qu’il ne repose pas sur l’emplacement géographique mais sur la division ou l’entité de l’entreprise. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Déterminer le nombre de domaines requis Outre le choix du modèle, le nombre d’utilisateurs par domaine joue une grande importance. Le nombre maximal d’utilisateurs par domaine est basé sur la plus lente des liaisons devant assurer la réplication entre les contrôleurs de domaine et la bande passante disponible. Avec une liaison de 28.8 Kb/s et seul 1% de bande passante libre, le nombre maximal d’utilisateurs est de 10 000. Avec une liaison de 1500 Kb/s et seul 1% de la bande passante libre, le nombre maximal d’utilisateurs est de 100 000. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Hand On Lab Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Hands On Lab 1 – Installation du rôle Active Directory Domain Services Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Hands On Lab 2 – Configuration du contrôleur de domaine primaire en interface graphique. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Hands On Lab 2 – Informations complémentaires Présentation des niveaux fonctionnels des services de domaine: WEB : http://technet.microsoft.com/fr-be/library/understanding-active- directory-functional-levels%28v=ws.10%29.aspx WORD : ASE_M7_A1.DOCX Dans un environnement de plus de 100 utilisateurs, la base de données NTDS.DIT, les logs et les dossiers partagés SYSVOL devraient être répartis sur différents disques. Dans tous les cas, il est conseillé de ne pas les placer sur le disque contenant le système. Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Hands On Lab 3 – Configuration du contrôleur de domaine secondaire sur Server Core Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Hands On Lab 3 – Informations complémentaires La commande a exécuter: Dcpromo /unattend /replicaOrnewDomain:replica /replicaDomainDNSName:ifapme.local /ConfirmGC:yes /username:administrator /userDomain:ifapme /Password:* /safeModeAdminPassword:P@ssw0rd Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE
Hands On Lab 4 – rechercher les serveur détenant les différents rôles maîtres La commande a exéuter : Netdom /query FSMO Créé par Yves Schumacher pour l’IFAPME – Section X41 – Cours ASE