Présentation et fonctionnement d’Active Directory
Qu’est-ce qu’Active Directory ?
Active Directory (AD) est une base de données et un ensemble de services qui permettent de mettre en lien les utilisateurs avec les ressources réseau dont ils ont besoin pour mener à bien leurs missions.
La base de données (ou annuaire) contient des informations stratégiques sur votre environnement, notamment les utilisateurs et ordinateurs qui le composent et les différentes autorisations d’accès. Par exemple, la base de données peut compter 100 comptes d’utilisateurs, avec des informations telles que le poste occupé par chaque personne, son numéro de téléphone et son mot de passe. Elle recense aussi les autorisations dont ces personnes disposent.
Les services contrôlent une grande partie de l’activité de votre environnement informatique. Ils servent tout particulièrement à garantir que chaque personne décline son identité véritable (authentification), généralement en vérifiant l’ID utilisateur et le mot de passe saisis, et permettent aux utilisateurs d’accéder aux données pour lesquelles ils disposent d’autorisations.
Poursuivez votre lecture pour découvrir tous les avantages d’Active Directory, son fonctionnement et ce qu’est une base de donn��es Active Directory.
Avantages d’Active Directory
Active Directory simplifie la vie des administrateurs et des utilisateurs finaux tout en renforçant la sécurité des organisations. Les administrateurs bénéficient d’une gestion centralisée des utilisateurs et des droits d’accès, ainsi que d’un contrôle centralisé de la configuration des ordinateurs et des utilisateurs grâce à la fonctionnalité Stratégie de groupe AD. Il suffit aux utilisateurs de s’authentifier une fois pour accéder facilement à toutes les ressources du domaine pour lequel ils disposent d’autorisations (authentification unique). Par ailleurs, les fichiers sont stockés dans un espace de stockage central où ils peuvent être partagés avec d’autres utilisateurs pour faciliter la collaboration, mais aussi sauvegardés en bonne et due forme par les équipes informatiques qui veillent à la continuité de l’activité.
Comment fonctionne Active Directory ?
Le service Active Directory principal est un service de domaine Active Directory (Active Directory Domain Services, AD DS), qui fait partie du système d’exploitation Windows Server. Les serveurs qui exécutent AD DS sont des contrôleurs de domaine. En règle générale, les organisations disposent de plusieurs contrôleurs de domaine, et chacun d’entre eux possède une copie de l’annuaire pour la totalité du domaine. Les modifications apportées à l’annuaire sur l’un des contrôleurs de domaine (la mise à jour d’un mot de passe ou la suppression d’un compte d’utilisateur, par exemple) sont répliquées sur les autres contrôleurs de domaine afin que tous restent à jour. Un serveur de catalogue global est un contrôleur de domaine qui stocke une copie complète de tous les objets dans l’annuaire de son domaine et une copie partielle des objets de tous les autres domaines dans la forêt. Ainsi, les utilisateurs et les applications peuvent trouver des objets dans n’importe quel domaine de leur forêt. Les ordinateurs de bureau, les ordinateurs portables et les autres appareils sous Windows (autre que Windows Server) peuvent intégrer un environnement Active Directory, mais ils n’exécutent pas AD DS. AD DS s’appuie sur plusieurs protocoles et normes établis, y compris les protocoles LDAP (Lightweight Directory Access Protocol), Kerberos et DNS (Domain Name System).
Il est important de noter qu’Active Directory s’adresse exclusivement aux environnements Microsoft sur site. Les environnements Microsoft qui se trouvent dans le Cloud utilisent Azure Active Directory, qui remplit les mêmes fonctions que son alter ego local. Bien qu’AD et Azure AD soient des outils distincts, ils peuvent, dans une certaine mesure, fonctionner de concert si votre organisation dispose d’environnements informatiques sur site et dans le Cloud (un déploiement hybride).
Quelle est la structure d’Active Directory ?
AD offre trois niveaux principaux : les domaines, les arborescences et les forêts. Un domaine est un groupe dans lequel sont reliés différents utilisateurs, ordinateurs et objets AD, comme les objets AD du siège social de votre entreprise. Plusieurs domaines peuvent être combinés dans une arborescence, et un regroupement d’arborescences constitue une forêt.
N’oubliez pas qu’un domaine représente un périmètre de gestion. Les objets pour un domaine donné sont stockés dans une base de données unique et peuvent être gérés ensemble. Une forêt est un périmètre de sécurité. Les objets de différentes forêts ne peuvent pas interagir les uns avec les autres, à moins que les administrateurs de chaque forêt ne créent une relation de confiance entre elles. Par exemple, si vous disposez de plusieurs unités commerciales désorganisées, vous créerez peut-être plusieurs forêts.
Que contient la base de données Active Directory ?
La base de données Active Directory (annuaire) contient des informations sur les objets AD présents dans le domaine. Les types d’objets AD les plus courants sont les utilisateurs, les ordinateurs, les applications, les imprimantes et les dossiers partagés. Certains objets peuvent contenir d’autres objets (c’est pourquoi l’on évoque souvent la « hiérarchie » d’AD). En particulier, les organisations simplifient souvent leur administration en organisant les objets AD en unités d’organisation et elles rationalisent la sécurité en plaçant les utilisateurs dans des groupes. Ces unités d’organisation et groupes sont eux-mêmes des objets stockés dans l’annuaire.
Les objets sont associés à des attributs. Certains attributs sont évidents tandis que d’autres sont plus confidentiels. Par exemple, un objet utilisateur est généralement associé à des attributs tels que le nom de la personne, son mot de passe, son service et son adresse e-mail, mais aussi à des attributs invisibles pour la plupart des utilisateurs, comme l’identificateur global unique (GUID), l’identificateur de sécurité (SID), l’heure de la dernière connexion et l’appartenance à des groupes.
Les bases de données sont structurées, ce qui signifie que leur conception détermine les types de données qui sont stockées et la façon dont elles sont organisées. On connaît cette conception sous le nom de schéma. Active Directory ne fait pas exception : son schéma contient des définitions formelles qui sont associées à chaque classe d’objets pouvant être créée dans la forêt Active Directory et à chaque attribut pouvant exister dans un objet Active Directory. AD est fourni avec un schéma par défaut, mais les administrateurs peuvent le modifier pour répondre aux besoins de l’entreprise. Sachez qu’il est particulièrement important de planifier soigneusement le schéma en amont, étant donné le rôle central que joue AD dans l’authentification et les autorisations. En effet, si vous modifiez le schéma de la base de données AD ultérieurement, vous risquez de connaître de sérieuses interruptions d’activité.
Où obtenir plus d’informations sur Active Directory ?
Active Directory joue un rôle central dans la réussite de toute entreprise moderne. Consultez ces pages d’aide pour découvrir les bonnes pratiques dans les domaines les plus stratégiques d’Active Directory :