Les services de domaine Active Directory (AD DS) ne sont rien d’autre qu’une fonction centrale de l’Active Directory de Microsoft, grâce à laquelle les utilisateurs peuvent construire un réseau Windows centralisé, bien intégré et évolutif.

Les administrateurs système peuvent stocker, surveiller et gérer les données des applications et les informations sur les ressources dans une structure hiérarchique systématique. Cette structure logique comprend la forêt AD, ses domaines et leurs unités organisationnelles (OU) respectives.

Les administrateurs peuvent gérer efficacement les utilisateurs et les ordinateurs d’un réseau et les organiser dans une base de données distribuée. En outre, AD DS présente également des intégrations de sécurité telles que la limitation de l’accès aux ressources de l’annuaire, le SSO, le LDAP, l’autorisation des connexions, les certificats de sécurité et la gestion des droits.

Pour mieux comprendre AD DS, examinons d’abord en profondeur l’IAM (Identity and Access management).

Qu’est-ce que l’IAM ?

Le lancement du protocole LDAP a vraiment bouleversé l’industrie de l’IAM, car il a servi pour deux géants viz.

OpenLDAP et les solutions Microsoft Active Directory ainsi que d’autres plus petits. Ces deux solutions sont devenues largement populaires parmi les entreprises du monde entier en tant que fournisseurs d’identité fiables.

Que fait exactement un fournisseur d’identité ?

Les fournisseurs d’identité font le travail de créer un magasin central bien intégré pour les utilisateurs et les données d’une organisation.

Dans l’IdP, tous les comptes d’utilisateur sont stockés de manière sécurisée avec des informations sur les ressources. Les ressources sont interreliées aux identités des utilisateurs qui les ont utilisées.

Non seulement cela, les ressources telles que les réseaux, les applications, les systèmes, etc. sont également restreintes pour un utilisateur spécifique en fonction de son rôle.

Pour les services de domaine Active Directory, ce processus a été effectué pour les réseaux et les ressources basés sur Windows. Lorsqu’un utilisateur se connecte à son ordinateur, l’AD DS fournirait un accès aux ressources dont l’utilisateur a besoin et pour lesquelles il est authentifié.

Qu’est-ce qu’Active Directory ?

Active Directory est la technologie de Microsoft à utiliser dans l’espace Windows Server. Il s’agit d’une structure hiérarchique logique capable de partager des informations de base de données pour sécuriser, gérer et localiser facilement le dispositif et les ressources du réseau.

Non seulement il offre des fonctions centrales d’autorisation et d’authentification à grande échelle, mais il fournit également un cadre pour de nombreux autres services. AD fait usage du système d’exploitation Windows Servers et c’est une base de données LDAP en soi contenant des éléments en réseau.

Pour offrir des services d’annuaire à des environnements complexes à grande échelle, Active Directory a été facilement introduit dans Windows 2000.

Le premier rôle d’AD est d’authentifier les utilisateurs dans le réseau du domaine. AD stocke des objets tels que des ordinateurs, des groupes, des partages de fichiers, des autorisations de fichiers, des imprimantes et des stratégies de groupe.

En outre, il centralise également les éléments de sécurité car tous les comptes des utilisateurs et leurs mots de passe respectifs sont stockés en un seul endroit.

Les administrateurs informatiques peuvent créer, restreindre ou supprimer des utilisateurs, configurer des stratégies de groupe et même permettre aux utilisateurs de changer leurs mots de passe. Toutes ces fonctions déterminent la façon dont les utilisateurs interagiront dans l’environnement du domaine.

En bref, AD DS est un cadre centralisé et bien intégré pour la gestion des domaines. Chaque domaine devient un élément de la forêt Active Directory, mais il peut également avoir plus d’un domaine systématiquement organisé en unités logiques.

Sans AD, les administrateurs devront créer des utilisateurs locaux sur chaque ordinateur et réinitialiser les mots de passe de chacun d’entre eux sur leur PC.

Types d’objets Active Directory:

Les objets Active Directory peuvent être différenciés en deux types:

  • Objets conteneurs
    Ce sont les objets principaux qui sont également constitués d’autres objets en leur sein tels que les domaines, les forêts, les arbres et les unités organisationnelles.
  • Objets feuilles
    Ces objets ne comprennent pas d’autres objets en leur sein, par exemple, des ordinateurs, des imprimantes, des périphériques, des utilisateurs, etc.

Éléments clés des services de domaine Active Directory :

Les services de domaine Active Directory comprennent :

  • Catalogue global
    Constitue des informations concernant les objets de répertoire. Grâce à cela, les administrateurs système et les utilisateurs peuvent facilement trouver les informations de l’annuaire, quel que soit le domaine dans lequel elles sont contenues. Par exemple, les noms d’utilisateurs, les contacts, etc.
  • Schéma
    C’est un ensemble de règles définissant les classes d’objets et leurs propriétés stockées dans l’annuaire ainsi que le format de leurs noms et les limites des instances des objets.
  • Mécanisme de requête et d’indexation à l’aide duquel les utilisateurs du réseau peuvent facilement publier ou trouver des objets et leurs attributs dans l’AD.
  • Le service de réplication comprend la distribution des données d’annuaire à travers un réseau. Cette réplication est effectuée par des contrôleurs de domaine au sein d’un domaine, chacun ayant une copie des données d’annuaire pour son domaine. Toute modification apportée aux informations d’annuaire est automatiquement répliquée sur les contrôleurs de domaine au sein d’un domaine, ils disposent ainsi du même catalogue et du même schéma. AD fait appel à plusieurs contrôleurs de domaine pour la tolérance aux pannes, l’équilibre de la charge et d’autres raisons cruciales. Pour cela, chaque contrôleur de domaine au sein d’un domaine doit disposer d’une copie de sa base de données AD. C’est là que le service de réplication entre en jeu. Sachez que les contrôleurs de domaine de différents domaines ne doivent pas se répliquer les uns aux autres.
  • Sites : C’est la représentation de la topologie du réseau de Windows.
  • Lightweight Directory Access Protocol (LDAP) : LDAP est un protocole qui permet à l’AD de communiquer avec d’autres services d’annuaire basés sur LDAP au sein du réseau.

Quels sont les services inclus dans les services de domaine Active Directory ?

AD DS se compose de divers services tels que :

  • Services de domaine :
    Ce sont des services de base qui traitent la centralisation des données, gèrent l’authentification de connexion, la fonctionnalité de recherche et permettent une communication transparente entre les utilisateurs au sein d’un domaine.
  • Services d’annuaire légers :
    Ces services fournissent un support pour les applications basées sur l’annuaire avec l’aide du protocole LDAP.
  • Gestion des droits :
    Cette fonctionnalité concerne les droits d’information tels que la restriction de l’accès aux informations personnelles des utilisateurs et le cryptage des données confidentielles.
  • Services de fédération d’annuaire :
    DFS offre une fonctionnalité SSO (Single-Sign-On) aux utilisateurs pour une authentification sûre. Cette fonctionnalité est surtout utile pour communiquer avec plusieurs applications web dans une seule session.
  • Services de certificats:
    Cette fonctionnalité vous permet de créer, partager et gérer des certificats de sécurité. Ces certificats assurent la sécurité et la confidentialité en chiffrant les données envoyées sur le réseau.

Rôle des contrôleurs de domaine dans les services de domaine Active Directory:

Basiquement, un contrôleur de domaine (DC) n’est rien d’autre qu’un serveur dans le réseau Windows qui fournit un accès utilisateur aux ressources du domaine. Son objectif principal est d’autoriser et d’authentifier les utilisateurs d’un réseau sur la base de leurs noms et mots de passe.

Les contrôleurs de domaine hébergent AD DS ainsi que d’autres services tels que :

  • NetLogon:
    Son objectif est d’authentifier les identifiants de connexion des utilisateurs dans le réseau du domaine.
  • KDS:
    Le centre de distribution de clés Kerberos est un service utilisé pour émettre, authentifier et effectuer le cryptage des tickets Kerberos. Il permettra d’authentifier les utilisateurs lors de l’utilisation du protocole Kerberos. Le service comporte un TCS (Ticket Granting Server) et un serveur d’authentification.
  • IsmServ (Intersite Messaging):
    Ce service aide à l’échange de données entre les PC dans un environnement en réseau Windows.
  • W32time service:
    Le service Windows time ou W32time utilise NTP (Network Time Protocol) pour synchroniser la date et l’heure de tous les PC dans un domaine en réseau. La synchronisation de l’horloge sur les ordinateurs est importante pour que Kerberos fonctionne correctement.

Installation des services de domaine Active Directory

Voyons un tutoriel rapide sur la façon d’installer les services de domaine Active Directory sur Windows Server:

  • Ouvrir le gestionnaire de serveur : Appuyez sur l’icône « Windows » de votre clavier et tapez « Server Manager » dans la boîte de recherche. L’application s’ouvrira.
  • Ajout de rôles et de fonctionnalités : Dans la fenêtre du Gestionnaire de serveur, faites un clic droit sur « Gérer » et sélectionnez l’option « Ajouter des rôles et des fonctionnalités ». Une fois l’assistant ouvert, cliquez sur « Suivant ».
  • Sélectionner le type d’installation : En cliquant sur « Suivant », vous ouvrez la fenêtre « Type d’installation » où vous devez sélectionner l’option « Installation basée sur les rôles ou sur les fonctionnalités ». Ensuite, cliquez sur « Suivant ».
  • Sélection du serveur : Voici venir la « Sélection du serveur », cliquez sur le serveur sur lequel vous voulez installer AD DS, puis cliquez sur « Suivant ».
  • Rôles du serveur : Dans cette fenêtre, vous verrez de nombreuses options de « Rôles ». Cochez « Active Directory Domain Services ».
  • Ajouter des fonctions : Juste après, l’assistant « Ajouter des rôles et des fonctionnalités » s’ouvrira. Cliquez sur le bouton « Ajouter des fonctionnalités » et ensuite sur « Suivant ».
  • Sélectionner des fonctionnalités : Immédiatement, la section « Sélectionner des fonctionnalités » s’ouvrira. Il suffit de cliquer sur « Suivant ».
  • Installation d’AD DS : Maintenant, la fenêtre principale de l’installation d’AD DS s’ouvre, cliquez sur « Suivant ».
  • Fenêtre de confirmation : La fenêtre de confirmation affiche tout ce qui sera installé sur le serveur. Une fois que vous avez tout lu, cliquez sur « Installer ».
  • Promouvoir en contrôleur de domaine : Après l’installation, allez dans « Server Manager » et vous verrez une icône de notification en forme de triangle jaune juste à côté de l’onglet « Manage ». Cliquez dessus et choisissez « Promouvoir ce serveur en contrôleur de domaine ».
  • Ajouter une nouvelle forêt : Cela ouvrira l’assistant de configuration d’AD DS. Cliquez sur « Ajouter une nouvelle forêt » et tapez le nom de domaine racine de votre entreprise et cliquez sur « Suivant ».
  • Options du contrôleur de domaine : Sur la page suivante, gardez toutes les cases par défaut cochées et tapez votre mot de passe DSRM. Cliquez sur « Suivant ».
  • Options DNS : Dans la page des options DNS, vous pourriez voir un message d’erreur en haut. Ignorez-le et cliquez sur « Suivant ».
  • Nom de domaine NetBIOS : Ici, vous pouvez modifier le nom de domaine ou laisser le nom par défaut tel quel. Appuyez sur « Suivant ».
  • Chemins : Gardez les chemins par défaut comme il est, et cliquez sur « Suivant ».
  • Examiner les sélections : Dans cette page, vérifiez toutes les options que vous avez sélectionnées jusqu’à présent, et cliquez sur « Suivant ».
  • Vérification des prérequis : Dans cette fenêtre, tous les prérequis seront validés avant l’installation d’AD DS. Si des erreurs apparaissent, regardez les étapes précédentes, et corrigez-les. Cliquez sur « Installer ».
    Une fois terminé, votre serveur redémarrera et vous pourrez alors vous connecter au domaine avec l’entrée du mot de passe DSRM que vous avez configuré à l’étape 12.

Wrap Up:

Active Directory Domain Services est l’une des meilleures terminologies utilisées pour améliorer le serveur Windows et le faire ressortir dans les entreprises.

Il s’adapte de façon transparente à la majorité des solutions Microsoft, facilitant ainsi les opérations des utilisateurs. Lorsque vous installez AD DS, vous pouvez facilement le gérer par le biais du centre d’administration Active Directory. J’espère que la lecture de ce guide vous a été utile !