Microsoft Active Directory : fiche de révision

supinfo.com/articles/single/6171-microsoft-active-directory-fiche-revision

Articles - Étudiants SUPINFO

Par Maxime FEVRIER Publié le 19/10/2017 à 18:41:47 Noter cet article:

☆☆☆☆☆

(0 votes)
Avis favorable du comité de lecture

Maxime FEVRIER
Promotion: M.Sc. 1

Campus de Troyes

Dans cet article, vous retrouverez un résumé de ce qu'est Microsoft Active Directory ainsi que différentes définitions qui vont
vous permettre de mieux le comprendre.

Introduction Active Directory

Pour commencer, Microsoft Active Directory est mise en oeuvre par Microsoft pour fournir des services d’annuaire pour les
machines ayant un système d’exploitation sous Windows.

Il est apparu pour la première fois dans le système Microsoft Windows Server 2000. Puis en est suivi, Windows Server 2003,
Windows Server 2008, Windows Server 2012 et enfin Windows Server 2016.

1/5
Son objectif principal est de fournir un service d’annuaire. On appelle contrôleur de domaine, tout serveur informatique
hébergeant l’annuaire Active Directory. Il est également basé sur le protocole TCP/IP.

Il permet de référencer aussi bien une personne avec par exemple son nom, son prénom, son âge, son sexe, son adresse etc
que tout type d’objet. J’entends par là qu’il permet de référencer aussi bien un ordinateur, une imprimante, un scanner, des
serveurs ou bien encore des applications avec leur différentes bases de données.

Plus concrètement, pour généralisé ce qui viens d'être dit précédemment, il recense toutes les informations concernant les
utilisateurs et les machines sur le réseau.

Il stocke toutes ces informations dans une base de données.

Ayant une structure comme celle-ci, celui lui permet de gérer de façon centralisée les différentes informations qu’il peut
contenir.

C’est pourquoi, un utilisateur lambda peut facilement retrouver différentes ressources qui ont été partagées. Les
administrateurs peuvent contrôler tout ceci afin que tout le monde ne puisse pas avoir accès à tel ou tel ressources. Pour ce
faire, Ils peuvent sécuriser l’accès aux ressources en donnant des droits à certains utilisateurs uniquement. Les administrateurs
ont aussi différents contrôles tels que la duplication de données, leurs partitionnements ou encore des fonctionnalités de
distribution.

Autre point important qui n’a pas été encore abordées jusqu’ici, Microsoft Active Directory permet également de déployer
différentes mises à jour sur le réseau ainsi que déployer des applications. Ceci pouvant être très utile du fait que si l’on a une
mise à jour importante à faire sur des milliers d’ordinateurs alors il nous suffira juste de la déployer celle-ci sur Active Directory
pour que les ordinateurs puissent la recevoir et ainsi la faire. Ce qui nous permet d’une part de gagner en temps et d’autre part
de faire en sorte que le système soit le plus protégé possible si cette mise à jour est importante.

Active Directory possède plusieurs rôles :

Gpupdade permet de mettre à jours les GPO d’un client.

AD Domain Services : une source d’informations rendant les informations disponibles et utilisables. (Ex : carnet d’adresse).

AD Certificate Services : Permet la gestion des certificats digitaux.

AD Federation Services : Permet l’accès aux systèmes ainsi qu'aux applications d’une organisation externe (Simple Sign-On
pour les applications web – relation de confiance).

AD Right Management Services : Permet d’améliorer la protection des informations contenues dans les documents de
l’entreprise. Administrateur et utilisateur peuvent spécifier des droits comme tout ce qui est mprimable, transférable ou bien
encore copiable.

AD Lightweight Directory Services : C'est une version légère d’Active Directory. Elle permet une utilisation au niveau
applicative.

Avantages Active Directory : Gestion centralisée des ressources, Gestion des accès et SSO (Simple Sign-On) , Sécurité
intégrée, Evolution facile et rapide, interface de gestion commune.

L’Authentification Autonome n’utilise pas active directory. C’est une authentification locale. Il n'y a pas de gestion centralisée
par contre on peut avoir des comptes multiples. En conclusion, la maintenance y est difficile.

L’authentification Domaine permet le stockage centralisé des identités ainsi qu'une relation de confiance avec les membres du
domaine. Elle as aussi un service d’authentification centralisé.

La relation de confiance permet d’étendre les possibilités d’authentifications dans une architecture Active Directory.

Chaque utilisateur à un identifiant de sécurité (SID) initialisé à la création.

Lors d’une Authentification, un ticket est créé pour l’utilisateur contenant : son SID ainsi que les SID des groupes auxquels il
appartient. C'est une ressource protégée par des ACL.

Le DNS (Domain Name System) permet la résolution de noms.

ADDS requière une infrastructure DNS.

Le schéma ADDS représente l’ensemble des objets que possède un AD. Il possède deux attributs : Type (classe de l’objet :
utilisateur, ordi etc …) Champs ( nom, adresse, OS etc …).

2/5
Les arbres ou Arbres de domaines sont une hiérarchisation de plusieurs domaines. Cela partage le nom du domaine parent.
Peut avoir plusieurs sous domaine.

Une forêt est une collection d’arbres de domaines.

Les unités d’organisation (abréviations : OU) sont des conteneurs pour des utilisateurs, groupes, ordinateurs et autres. Il
représente l’organisation hiérarchique et/ou logique de l’organisation.

ADDS Installation
Un contrôleur de domaine est un serveur Windows avec le rôle ADDS installé.

Les Read Only Domain Controllers (RODC) sont des contrôleurs de domaine en lecture seule. Ils ne contiennent qu’une copie
des comptes sans synchronisation des mots de passe.

Le catalogue Global contient une copie de tous les objets de la forêt mais seulement avec quelques attributs. Un serveur avec
un catalogue global est aussi un contrôleur de domaine.

Un Magasin de données : La base de données (NTDS.dit) est stockée par défaut dans le dossier %systemRoot%\NTDS.

Utilisateurs et ordinateurs
Deux types d’utilisateurs, locaux et du domaine.

Local : accès aux ressources local du pc, BDD Sécurity Account Manager (SAM), Pas de réplication

Domaine : Il contient des comptes centralisés, on peut avoir accès aux ressources réseaux et il permet la haute dispo.

Modèle : Les comptes utilisateur sont désactivé, ont des propriétés copiées pour un autre utilisateur et il y à possibilité de
choisir les attributs qui seront copiés.

Les noms : Nom d’ouverture de session unique dans le domaine.

Le compte Administrateur a le contrôle total sur le domaine, il ne peut être supprimé.

DAC (Dynamic access control) : Le contrôle d’accès dynamique permet d’établir des autorisations d’accès en fonction de
règles précises. Il permet de compléter les droits existants sur un dossier ou un fichier. Il n’a pas vocation à remplacer les ACL
mais vient s’ajouter aux droits NTFS en place.

Le compte invité : permet un accès temporaire. Ne peut être supprimé et est désactivé par défaut.

Compte de service managés : compte attribué à un service (pool d’application IIS, Exchange, SharePoint). Gestion
automatique du mot de passe.

Best practice : Il est important de renommer le compte admin ainsi que de choisir un mot de passe complexe. Il important par
ailleurs de ne pas utiliser le compte admin pour les taches courrantes.

Donner le moins de droits possibles aux différents invités.

Pour ajouter un PC au domaine il faut être administrateur local de l’ordinateur et avoir la permission dans l’active directory.

Groupes et Unités d’organisation

Un groupe possède un nom unique dans l’unité d’organisation alors qu’en pré-windows 2000 il est unique dans le domaine.

Une convention de nommage doit être établie pour retrouver facilement à qui le groupe s’adresse ; à quoi il va donner accès ;
quels droits il va donner.

Il existe deux types de groupes : Distribution et Sécurité.; ainsi que quatre étendues de groupe : le groupe local, le domaine
local, le groupe global ainsi que le groupe universel.

Les groupes par défaut sont les admins du domaine. Ils donnent accès à tous les contrôleurs du domaine.

Les utilisateur du domaine regroupe tous les comptes utilisateur d’un domaine même domaine.

L'admins de l’entreprise : donne les droits d’admin sur tous les domaines de la forêt

L'admins du schéma : permet aux membres de modifier le schéma.

Les ressources partagées ne sont partagées qu’à des groupes de gestion d’accès qui possèdent des groupes de rôles et pas
directement à des comptes.

Les appartenances de groupe s’appliquent après l’ouverture de session utilisateur et après un redémarrage de l’ordinateur.

Une unité d’organisation est un « Conteneur » permettant de regrouper des objets d’un domaine. Il y a possibilité de déléguer
des permissions sur les unités d’organisation.

3/5
Groupe Policy Object
Ce sont des stratégies de groupe. Plus précisément, c'est un ensemble de paramètres permettant de configurer les ordinateurs
membre d’un Active Directory.

La GPO par defaut est appliqué à tous les ordinateur utilisateurs du domaine.

Ne pas utiliser cette GPO mise à part pour une configuration de sécurité générale.

On peut bloquer l’héritage ou le forcer. Il est conseillé de mettre le moins de règles possibles dans une GPO et de ne pas
mettre plusieurs types d’objets dans la même GPO.

Les GPO sont mise à jour lors du démarrage d’un ordinateur ou de l’ouverture d’une session utilisateur. Par défaut elles sont
rafraîchies toutes les 90 minutes.

WMI Filtering permet de déterminer dynamiquement l’application d’une GPO en fonction de l’ordinateur cible. Cela consiste en
un système de requêtes WQL.

Le Déploiement d’applications se fait via le System Center Configuration Manager.

On installe des applications avec des paquets MSI. On vite le déploiement ZTI (Zéro Touch Installation). Toutes les applications
n’ont pas de paquets MSI. Logiciel de création de MSI souvent payant.

Redirection de dossiers : Déplace certains dossiers personnels de l’utilisateur sur un serveur de partage. Les fichiers ne seront
plus physiquement présents sur le pc.

Un profil itinérant permet à un utilisateur d’avoir le même environnement de travail quel que soit l’ordinateur utilisé. Un profil
itinérant copie les fichiers du profil depuis le serveur lors de l’ouverture de session et met à jours les informations sur le serveur
lors de la fermeture de session.

Le starter GPO permet de réappliquer une config lors de la création de nouvelles GPO.

Les scripts peuvent être fait en Powershell VBSCRIPT .BAT où .CMD.

Sites et réplication
On peut créer des sites pour pouvoir séparer des régions et permettre de faire de la réplication.

Réplication : très importante dans active Directory. Cela permet d’avoir les mêmes informations et possibilités dans toute
l’entreprise. Par défaut, Active Directory crée une topologie de réplication robuste.

KCC (Knowlede Consitency Checker) est la topologie de réplication par défaut. Elle résiste à la défaillance d’un contrôleur de
domaine , pas plus de trois sauts entre deux contrôleurs de domaine.

Le KCC gère la création des liens de réplication en fonction de la configuration et des changements : lorsqu’un contrôleur
change de site ainsi que lorsqu’un contrôleur n’est plus disponible.

Le KCC est capable de créer une topologie de réplication en fonction de la définition des liens.

BridgeHead : Serveur principal de réplication d’un site. Il est responsable de la mise à jour des autres serveurs dans un même
site.

Repadmin.exe : permet de voir le statut et forcer la réplication

Dcdiag.exe permet d’avoir un rapport d’erreur de plusieurs tests de réplication.

Administration Avancée
PSO ( Password settings Objects) permet de séparer les configurations de sécurité dans un domaine. S’appliquent sur des
utilisateurs ou groupes mais pas OU.

La PSO la plus proche d’un utilisateur est prioritaire aux autres.

On peut ajouter des attributs dans les schéma déjà existants afin de compléter ceux-ci . Pour cela on utilise Active Directory
Schéma Editor.

Migration Active Directory

Le niveau fonctionnel représente le niveau des fonctionnalités présente dans l’architecture Active Directory, c'est-à dire quand
la foret ainsi que dans le domaine

Un niveau fonctionnel peut être augmenté mais pas diminuer. Quand un niveau est augmé, aucun contrôleur exécutant une
version précédente ne pourra être ajouté. Pour faire une migration directe de 2008 à 2012 il suffit d’être administrateur de
l’entreprise à l’aide de ADMT Active Directory Migration Tool. Lors d’une migration Directe il n’y à pas d’interruption de service.

La relation de confiance permet aux ressources d’avoir confiance en une autorité d’authentification.

4/5
- Une relation transitive : Si A fait confiance à B et que B fait confiance à C alors A fait confiance C.

- Non-transitive : A ne fait pas confiance à C.

5/5