Centre de Recherche sur les Matériaux à Haute Température

- Home - News - Conseils - SécuritéMise à jour  -  Liens  -  Accès  -

Centre de Recherche sur les Matériaux à Haute Température

Descriptif technique de Active Directory

 
<< 1 2   3   4 >>

Résumé

Ce document fournit un aperçu technique de Active Directory. Il aborde des fonctionnalités et des concepts importants, propose une introduction à l'architecture de Active Directory et donne des éléments d'information sur la migration entre la version 4.0 du système d'exploitation Windows NT et Microsoft Windows 2000. Il intègre également un Forum Aux Questions (FAQ). Active Directory est à la base du système distribué Windows 2000, plate-forme sur laquelle est bâtie la famille de produits intégrés Microsoft BackOffice.

Sommaire

Page 1
Page 2
Page 3
Page 4

 

Introduction

 

  1. Qu'est-ce qu'un service d'annuaire ?
  2. Quel est l'intérêt de disposer d'un service d'annuaire ?
  3. Qu'est-ce que Active Directory ?

     

Ce document fournit une introduction technique à Active Directory, le nouveau service d'annuaire intégré au système d'exploitation Microsoft Windows 2000 Server. Ce document comporte des explications détaillées sur d'importants concepts liés à Active Directory, sur les éléments de son architecture et sur ses fonctionnalités.

La section "Concepts importants" décrit les termes que vous devrez comprendre avant d'aborder Active Directory lui-même. Les deux sections qui suivent, "Architecture" et "Fonctionnalités de Active Directory", donnent plus de détails sur ce que fait Active Directory, sur les fonctionnalités qu'il apporte à Windows et sur la manière dont il est implémenté.
La section "Migration" explique comment faire migrer des modèles de domaine et des structures d'annuaire de Windows NT 4.0 vers Windows 2000.
Enfin, la section "Forum Aux Questions" répond à un ensemble de questions pratiques sur Active Directory et son fonctionnement.

Qu'est-ce qu'un service d'annuaire ?

Un annuaire est une source d'informations utilisée pour stocker des informations sur certains objets importants. Un annuaire téléphonique contient des informations sur des abonnés au téléphone. Dans un système de fichiers, le répertoire (l'annuaire) contient des informations sur des fichiers. Dans un système d'informatique distribuée ou un réseau informatique public comme Internet, il existe de nombreux objets intéressants, comme des imprimantes, des serveurs de télécopie, des applications, des bases de données et d'autres utilisateurs. Les utilisateurs des réseaux veulent trouver et utiliser ces objets, et les administrateurs veulent contrôler leur utilisation.

Dans ce document, les termes annuaire et service d'annuaire se rapportent aux annuaires qui se trouvent sur les réseaux tant publics que privés. La différence entre un annuaire et un service d'annuaire, c'est que ce dernier constitue à la fois la source d'information et les services rendant cette information disponible et exploitable pour les utilisateurs.

Quel est l'intérêt de disposer d'un service d'annuaire ?

Le service d'annuaire est l'un des éléments les plus importants d'un système informatique étendu. Il arrive fréquemment que les utilisateurs et les administrateurs ne connaissent pas le nom exact des objets qui les intéressent. Ils peuvent connaître un ou plusieurs des attributs des objets et interroger l'annuaire pour obtenir une liste des objets possédant ces attributs, en formulant par exemple une requête du type : " Trouver toutes les imprimantes recto-verso du bâtiment 26". Un service d'annuaire permet à l'utilisateur de trouver n'importe quel objet à partir de l'un de ses attributs.

Un service d'annuaire peut :

  • Appliquer les consignes de sécurité définies par les administrateurs pour garder l'information à l'abri de toute intrusion ;

  • Distribuer un annuaire à de nombreux ordinateurs au sein d'un réseau ;
  • Dupliquer un annuaire pour le rendre disponible à un nombre accru d'utilisateurs et pallier une éventuelle défaillance ;
  • Partitionner un annuaire en plusieurs banques pour permettre le stockage d'un très grand nombre d'objets.

Un service d'annuaire est à la fois un outil de gestion et un outil destiné à l'utilisateur final. Plus le nombre d'objets d'un réseau augmente, plus le service d'annuaire s'avère essentiel. Le service d'annuaire constitue la plaque tournante de tout système distribué important.

Qu'est-ce que Active Directory ?

Active Directory est le service d'annuaire fourni par Windows 2000 Server. Il étend les fonctionnalités des services d'annuaire précédemment fournis avec Windows et offre en outre des fonctionnalités entièrement nouvelles. Active Directory est sécurisé, distribué, partitionné et dupliqué. Il a été conçu pour fonctionner correctement quelle que soit la taille de l'installation, d'un serveur unique comportant quelques centaines d'objets à un ensemble de milliers de serveurs et de millions d'objets.
Active Directory offre nombre de nouvelles fonctionnalités qui rendent aisée la navigation parmi d'importants volumes d'informations et facilitent leur gestion, en permettant des gains de temps importants tant pour les administrateurs que pour les utilisateurs finals.

concepts importants

  1. Portée
  2. Espace de noms
  3. Objet
  4. Conteneur
  5. Arbre
  6. Nom
  7. Contextes d'appellation et partitions
  8. Domaines
  9. Arbres de domaines
  10. Forêts
  11. Sites

Certains des concepts et des termes utilisés pour décrire Active Directory sont nouveaux, d'autres non. Malheureusement, certains des termes utilisés depuis quelque temps déjà se voient attribuer plusieurs significations. Il est donc important qu'avant d'aller plus loin vous compreniez bien comment les concepts et termes suivants sont définis dans le contexte de Active Directory.

Portée

La portée de Active Directory est vaste. Il peut inclure tout objet isolé (imprimante, fichier, utilisateur), tout serveur et tout domaine d'un réseau étendu (WAN) isolé. Il peut aussi inclure plusieurs réseaux étendus associés. Certains des termes qui suivent s'appliquent au-delà d'un réseau isolé, et il est donc important de garder présent à l'esprit que la portée de Active Directory peut aller d'un ordinateur isolé à de multiples réseaux informatiques associés en passant par un réseau d'ordinateurs isolé.

Espace de noms

Active Directory est essentiellement un espace de noms, comme c'est le cas de tout service d'annuaire. Un annuaire téléphonique est un espace de noms. N'importe quelle zone délimitée au sein de laquelle un nom donné peut être résolu constitue un espace de noms. La résolution de nom consiste à passer d'un nom à l'objet ou l'information que ce nom représente. Un annuaire téléphonique constitue un espace de noms dans lequel les noms des abonnés peuvent être résolus en numéros de téléphone. Le système de fichiers de Windows constitue un espace de noms dans lesquels le nom d'un fichier peut être résolu pour obtenir le fichier lui-même.
Active Directory constitue un espace de noms dans lequel le nom d'un objet de l'annuaire peut être résolu pour obtenir l'objet lui-même.

Objet

Un objet est un ensemble d'attributs nommé et circonscrit qui représente un élément concret, comme un utilisateur, une imprimante ou une application. Les attributs comportent des données qui décrivent le sujet identifié par l'objet de l'annuaire. Les attributs d'un utilisateur, par exemple, peuvent être son prénom, son nom et son adresse électronique.

Un objet utilisateur et ses attributs

Figure 1. Un objet utilisateur et ses attributs

Conteneur

Un conteneur est semblable à un objet dans la mesure où il possède des attributs et fait partie de l'espace de noms de Active Directory. Toutefois, contrairement à un objet, il ne représente rien de concret. Ce n'est qu'un réceptacle pour un ensemble d'objets et pour d'autres conteneurs.

Arbre

Arbre est employé tout au long de ce document pour décrire une hiérarchie d'objets et de conteneurs. Les feuilles de l'arbre sont en général des objets. Les nœuds de l'arbre (endroits d'où partent les branches) sont des conteneurs. Un arbre montre comment des objets sont reliés entre eux, c'est-à-dire le chemin d'accès d'un objet à un autre. Un annuaire simple est un conteneur. Un réseau ou un domaine informatiques constituent également des conteneurs. Tout chemin continu dans l'arbre, y compris tous les membres de tout conteneur dans ce chemin, constitue un sous-arbre contigu.

 

Un sous-arbre contigu d'un annuaire de fichiers

Figure 2. Un sous-arbre contigu d'un annuaire de fichiers

Nom

Chaque objet dans Active Directory est identifié par un nom. Il y a deux sortes de noms différentes.

Nom unique

Chaque objet dans Active Directory possède un nom unique (DN – Distinguished Name). Le nom unique identifie le domaine qui contient l'objet, ainsi que le chemin d'accès complet permettant d'accéder à l'objet à travers la hiérarchie des conteneurs. Voici un exemple typique de nom unique :
/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=James Smith

Ce nom unique identifie l'objet utilisateur "James Smith" dans le domaine Microsoft.com.

 

Représentation graphique d'un nom unique

Figure 3. Représentation graphique d'un nom unique

Nom relatif distinct

Le nom relatif distinct (RDN – Relative Distinguished Name) d'un objet est la partie du nom qui constitue un attribut de l'objet à proprement parler. Dans l'exemple précédent, le nom relatif distinct de l'objet utilisateur "James Smith" est CN=James Smith. Le nom relatif distinct de l'objet parent est CN=Users.

Contextes d'appellation et partitions

Active Directory est constitué d'un ou de plusieurs contextes d'appellation ou partitions. Tout sous-arbre contigu de l'annuaire forme un contexte d'appellation. Le contexte d'appellation constitue l'unité de duplication.
Dans Active Directory, un serveur isolé possède à tout moment au moins trois contextes d'appellation :

  • le schéma 
  • la configuration (topologie de réplication et métadonnées associées)
  • un ou plusieurs contextes d'appellation d'utilisateur (sous-arbres contenant les objets eux-mêmes dans l'annuaire)

Domaines

Un domaine est défini par une limite de sécurité unique dans le cadre d'un réseau informatique tournant sous Windows NT ou Windows 2000. (Pour en savoir plus sur les domaines, reportez-vous à votre documentation Windows.) Active Directory est constitué d'un ou de plusieurs domaines. Sur un poste de travail isolé, le domaine est l'ordinateur lui-même. Un domaine peut recouvrir plusieurs sites physiques. Chaque domaine a sa propre politique de sécurité et ses propres relations de sécurité avec les autres domaines. Lorsque plusieurs domaines sont connectés par des relations d'approbation et partagent un même schéma, une même configuration et un même catalogue global, on a ce qu'on appelle un arbre de domaines. Plusieurs arbres de domaines peuvent être interconnectés pour former une forêt.

Arbres de domaines

Un arbre de domaines (un arbre) est constitué de plusieurs domaines qui partagent un même schéma et une même configuration, formant un espace de noms continu. Les domaines d'un arbre sont également liés entre eux par des relations d'approbation. Active Directory est un arbre ou un ensemble de plusieurs arbres.
Il y a deux façons de visualiser un arbre : par le biais des relations d'approbation entre domaines ou par celui de l'espace de noms de l'arbre de domaines.

Représentation des relations d'approbation
On peut dessiner un arbre de domaines en représentant les domaines individuels et leurs relations d'approbation mutuelles.
Windows 2000 établit des relations d'approbation entre domaines en se basant sur le protocole de sécurité Kerberos. L'approbation Kerberos est transitive et hiérarchique : si le domaine A fait confiance au domaine B et que le domaine B fait confiance au domaine C, alors le domaine A fait lui aussi confiance au domaine C.

 

Représentation d'un arbre de domaines en termes de relations d'approbation

Figure 4. Représentation d'un arbre de domaines en termes de relations d'approbation

Représentation de l'espace de noms

On peut aussi dessiner un arbre de domaines en fonction de son espace de noms. On peut déterminer le nom relatif distinct d'un objet en suivant le chemin d'accès jusqu'à l'espace de noms de son arbre de domaines. Cette représentation est utile pour regrouper des objets selon une hiérarchie logique. L'avantage principal d'un espace de noms contigu est qu'une recherche approfondie à partir de la racine de l'espace de noms se fera dans l'ensemble de la hiérarchie.

 

Représentation d'un arbre de domaines sous la forme d'un espace de noms

Figure 5. Représentation d'un arbre de domaines sous la forme d'un espace de noms

Forêts

Une forêt est constituée d'un arbre ou de plusieurs arbres qui ne forment pas un espace de nom contigu. Tous les arbres d'une forêt partagent un même schéma, une même configuration et un même catalogue global. Tous les arbres d'une forêt donnée s'accordent une confiance mutuelle par l'intermédiaire de relations d'approbation Kerberos transitives et hiérarchiques. Contrairement à un arbre, une forêt n'a pas besoin de nom distinct. Une forêt existe en tant qu'ensemble d'objets de références croisées et de relations d'approbation Kerberos connues des arbres membres. Les arbres d'une forêt forment une hiérarchie pour les besoins de l'approbation Kerberos ; le nom de l'arbre situé à la racine de l'arbre d'approbation peut servir pour faire référence à une forêt donnée.

 

Plusieurs arbres dans une forêt

Figure 6. Plusieurs arbres dans une forêt

Sites

Un site est un emplacement d'un réseau qui contient des serveurs Active Directory. Un site est défini comme un ou plusieurs sous-réseaux TCP/IP "bien connectés". "Bien connecté" signifie que la connectivité du réseau est extrêmement fiable et rapide (par exemple des vitesses de réseau local égales ou supérieures à 10 millions de bits par seconde). Définir un site comme un ensemble de sous-réseaux permet aux administrateurs de configurer rapidement et facilement l'accès à Active Directory et sa topologie de duplication pour tirer parti du réseau physique. Lorsqu'un utilisateur ouvre une session, le client Active Directory recherche les serveurs Active Directory qui font partie du même site que l'utilisateur. Dans la mesure où les machines appartenant à un même site sont proches les unes des autres en termes de réseau, la communication entre elles est fiable, rapide et efficace. La détermination du site local à l'ouverture de session se fait facilement parce que le poste de travail de l'utilisateur sait déjà à quel sous-réseau TCP/IP il appartient et que les adresses de sous-réseaux se traduisent directement en adresses de sites Active Directory.

Architecture

  1. Modèle de données
  2. Schéma
  3. Modèle de sécurité
  4. Modèle d'administration

Cette brève section constitue une introduction à certains des éléments architecturaux essentiels de Active Directory.

Modèle de données

Le modèle de données Active Directory est dérivé du modèle de données de la norme X.500. L'annuaire contient des objets représentant des éléments de différents types décrits par des attributs. Le schéma définit l'univers des objets pouvant être stockés dans l'annuaire. Pour chaque classe d'objets, le schéma définit les attributs qu'un élément de la classe doit posséder ainsi que ses attributs additionnels facultatifs, et détermine de quelle autre classe d'objets cette classe peut être l'enfant.

Schéma

Le schéma Active Directory est implémenté comme un ensemble d'éléments de classes d'objets stockés dans l'annuaire. C'est très différent de ce qui se passe avec nombre d'annuaires qui ont bien un schéma mais le stockent comme un fichier texte à lire au démarrage. Le stockage du schéma dans l'annuaire présente de nombreux avantages. Par exemple, les applications utilisateur peuvent ainsi lire le schéma pour connaître les objets et les propriétés disponibles.
Le schéma Active Directory peut être mis à jour dynamiquement. Cela signifie qu'une application peut étendre le schéma en lui ajoutant de nouveaux attributs et de nouvelles classes, et utiliser ces extensions immédiatement. Les mises à jour du schéma s'effectuent en créant ou en modifiant les objets de schéma stockés dans l'annuaire. Comme tous les objets dans Active Directory, les objets du schéma sont protégés par des listes de contrôle d'accès (ACL), de telle sorte que seuls les utilisateurs autorisés soient en mesure de modifier le schéma.

Modèle de sécurité

L'annuaire fait partie de la base informatique d'approbation (Trusted Computing Base) de Windows 2000 et participe entièrement de l'infrastructure de sécurité de Windows 2000. Des ACL protègent tous les objets dans Active Directory. Les routines de validation d'accès de Windows 2000 utilisent les ACL pour valider toute tentative d'accès à un objet ou à un attribut dans Active Directory.

Modèle d'administration

Les utilisateurs autorisés effectuent des opérations d'administration dans Active Directory. Un utilisateur peut être autorisé par une autorité supérieure à effectuer un ensemble d'actions prédéfinies sur un ensemble d'objets et de classes d'objets déterminé dans un sous-arbre précis de Active Directory. On parle alors d'administration déléguée. L'administration déléguée permet un contrôle très précis du "qui fait quoi" et permet la délégation d'autorité tout en évitant l'allocation de privilèges élevés.
L'agent du système d'annuaire (DSA – Directory System Agent) est le processus qui gère le stockage physique de l'annuaire. Les clients utilisent l'une des interfaces supportées pour se connecter au DSA avant de chercher, lire et modifier les objets de l'annuaire et leurs attributs. Le DSA isole le client du format de stockage physique des données de l'annuaire.

 

<< 1 2   3   4 >>

Page Up Updated 24 septembre, 2003 Hervé Chaudret
C.N.R.S.

-   Home   -  News   -   Conseils   -   Sécurité   -   Mise à jour   -   Liens   -   Accès   -

C.N.R.S.