2019-2020 Support de cours L2-GTR

1
Chapitre 2 : Introduction aux services de gestion du domaine
La base de données AD DS stocke des informations sur l'identité des utilisateurs, les
ordinateurs, les groupes, les services et les ressources.
Les contrôleurs de domaine AD DS hébergent également le service qui authentifie les
comptes d'utilisateurs et d'ordinateurs lorsqu'ils se connectent au domaine. Étant donné qu'AD
DS stocke des informations sur tous les objets du domaine et que tous les utilisateurs et
ordinateurs doivent se connecter aux contrôleurs de domaine AD DS lorsqu'ils se connectent
au réseau, AD DS est le principal moyen permettant de configurer et de gérer les comptes
d'utilisateurs et d'ordinateurs sur un réseau.

2.1 – Aperçu de Active Directory Domain Services

2.1.1 – aperçu de ADDS
AD DS est composé de composants logiques et physiques. AD DS permet d’effectuer
plusieurs actions telles que l'installation, la configuration et la mise à jour des applications ; la
gestion de l'infrastructure de sécurité ; l’activation de l'accès à distance et DirectAccess et
l'émission et la gestion de certificats numériques.
L'une des fonctionnalités AD DS les plus utilisées est la stratégie de groupe, qui permet de
configurer des stratégies centralisées utilisées pour gérer la plupart des objets dans AD DS.
2.1.1.1 - Composants logiques
Les composants logiques AD DS sont des structures utilisées pour implémenter une
conception Active Directory appropriée pour une organisation. Elle se déclinent comme suit :
 Partitions : Il s'agit d'une section de la base de données AD DS. Bien que la base de
données soit un fichier nommé Ndts.dit, il est possible de la visualiser, de la gérer et de
la répliquer comme si elle était composée de sections ou d'instances distinctes.
 Schéma : c’est un ensemble de définitions de types d’objets et d’attributs utilisé pour
créer les objets
 Domaine : c’est un conteneur logique et administratif pour les utilisateurs et les
ordinateurs
 Arborescence de domaine : c’est une collection de domaines qui partagent un domaine
racine commun et un espace de noms DNS (Domain Name System) contigu.
 Forêt : Il s'agit d'une collection de domaines qui partagent un AD DS commun.
 Site : Il s'agit d'un ensemble d'utilisateurs, de groupes et d'ordinateurs définis par leur
emplacement physique.
 Unité organisationnelle (OU) : Une unité d'organisation est un objet conteneur qui
fournit un cadre pour la délégation des droits administratifs et pour la liaison des objets
de stratégie de groupe (GPO).
 Conteneur : Un conteneur est un objet qui fournit un cadre organisationnel à utiliser
dans AD DS. Les objets GPO ne peuvent pas être liés aux conteneurs
2.1.1.2 – Composants logiques
 Contrôleur de domaine : Il contient une copie de la base de données AD DS. Pour la
plupart des opérations, chaque contrôleur de domaine peut traiter les modifications et
répliquer les modifications sur tous les autres contrôleurs de domaine du domaine.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

 Magasin de données : Il y a un magasin de données sur chaque contrôleur de domaine.

2
Il contient la base de données AD DS. La base de données AD DS stocke les
informations de répertoire dans le fichier Ntds.dit et les fichiers journaux associés. Ces
fichiers sont stockés par défaut dans le dossier C: \ Windows \ NTDS.
 Serveur de catalogue global : Il s'agit d'un contrôleur de domaine qui héberge le
catalogue global, qui est une copie partielle en lecture seule de tous les objets de la forêt.
Un catalogue global accélère les recherches d'objets susceptibles d'être stockés sur des
contrôleurs de domaine dans un autre domaine de la forêt.
 Contrôleur de domaine en lecture seule (RODC) : Il s'agit d'une installation spéciale en
lecture seule d'AD DS. Les contrôleurs de domaine en lecture seule sont souvent utilisés
dans les succursales où la sécurité et le support informatique sont moins avancés que
dans les principaux centres d'entreprise.
2.1.2 – qu’est-ce qu’un domaine AD DS
Un domaine AD DS contient des utilisateurs des ordinateurs et des groupes :
 Un domaine AD DS est un conteneur logique utilisé pour gérer des objets. Tous les
objets de domaine sont stockés dans la base de données AD DS, dont une copie est
stockée sur chaque contrôleur de domaine. Il existe différents types d’objets les plus
importants sont :
o Comptes utilisateur. Les comptes d'utilisateurs contiennent les informations
requises pour authentifier un utilisateur pendant le processus de connexion et
créer le jeton d'accès de l'utilisateur.
o Comptes ordinateur. Chaque ordinateur appartenant à un domaine possède un
compte dans AD DS. Les comptes d'ordinateurs sont utilisés pour les ordinateurs
joints à un domaine de la même manière que les comptes d'utilisateurs sont
utilisés pour les utilisateurs.
o Groupes. Les groupes sont utilisés pour organiser les utilisateurs ou les
ordinateurs afin de faciliter la gestion des autorisations et des stratégies de
groupe dans le domaine.
Un domaine AD DS est une frontière de réplication :

 Lorsque des modifications sont apportées à n'importe quel objet du domaine, le

contrôleur de domaine où la modification s'est produite réplique ce changement vers
tous les autres contrôleurs de domaine du domaine. Les modifications apportées à la
gestion des identificateurs relatifs (RID) dans la version Windows Server 2012 des
services de domaine Active Directory (Windows Server 2012 Active Directory)
permettent désormais à un seul domaine de contenir près de 2 milliards d'objets. Avec
une telle capacité, la plupart des organisations pouvaient déployer qu'un seul domaine
et s'assurer que tous les contrôleurs de domaine contiennent toutes les informations de
domaine. Cependant, les organisations qui ont des structures administratives
décentralisées ou qui sont réparties sur plusieurs sites peuvent envisager d'implémenter
plusieurs domaines dans la même forêt pour répondre aux besoins administratifs de leur
environnement.
Le domaine AD DS est un centre administratif :

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

 Le domaine contient un compte d'administrateur et un groupe d'administrateurs de

3
domaine. Par défaut, le compte Administrateur est membre du groupe Administrateurs
de domaine et le groupe Administrateurs de domaine est membre de chaque groupe
Administrateurs local d'ordinateurs joints au domaine. De plus, par défaut, les membres
du groupe Administrateurs du domaine ont le contrôle total sur chaque objet du
domaine.
Le domaine AD DS fournit l'authentification :
 Chaque fois qu'un ordinateur du domaine démarre ou qu'un utilisateur se connecte à un
ordinateur du domaine, AD DS les authentifie. L'authentification vérifie que l'ordinateur
ou l'utilisateur dispose des informations d'identification appropriées pour un compte AD
DS.
Conception hiérarchique
La conception d'une hiérarchie OU est dictée par les besoins administratifs de l'organisation.
La conception peut être basée sur des classifications géographiques, fonctionnelles, de
ressources ou d'utilisateurs. Quel que soit l'ordre, la hiérarchie doit permettre d'administrer les
ressources AD DS de la manière la plus efficace et la plus flexible possible. Par exemple, si
tous les ordinateurs utilisés par les administrateurs informatiques doivent être configurés d'une
certaine manière, vous pouvez regrouper tous les ordinateurs dans une unité d'organisation, puis
affecter un objet de stratégie de groupe pour gérer ces ordinateurs.
Vous pouvez également créer des unités d'organisation dans d'autres unités d'organisation.
Par exemple, votre organisation peut avoir plusieurs bureaux et chaque bureau peut avoir une
équipe d'administrateurs informatiques chargés de gérer les comptes d'utilisateurs et
d'ordinateurs dans leur bureau. En outre, chaque bureau peut avoir des départements différents
avec des exigences de configuration informatique différentes. Dans cette situation, vous pouvez
créer une unité d'organisation pour chaque bureau, puis dans chacune de ces unités
d'organisation, créer une unité d'organisation pour les administrateurs informatiques et des
unités d'organisation pour chacun des autres services.
Bien qu'il n'y ait pas de limite technique au nombre de niveaux dans votre structure d'unité
d'organisation, pour garantir un bon niveau de gestion, limitez votre structure d'unité
d'organisation à une profondeur ne dépassant pas 10 niveaux. La plupart des organisations
utilisent cinq niveaux ou moins pour simplifier l'administration. Notez que les applications
compatibles Active Directory peuvent imposer des restrictions sur la profondeur de l'unité
d'organisation dans la hiérarchie pour les parties de la hiérarchie qu'elles utilisent.
2.1.3 – qu’est-ce qu’une unité organisationnelle (OU)
Une unité d'organisation (OU) est un objet conteneur dans un domaine. Il est utilisé pour
consolider des utilisateurs, des ordinateurs, des groupes et d'autres objets.
La principale différence entre les unités d'organisation et les conteneurs réside dans les
capacités de gestion. Les conteneurs ont des capacités de gestion limitées ; par exemple, vous
ne pouvez pas appliquer un objet de stratégie de groupe directement à un conteneur. Vous
utilisez généralement des conteneurs pour les objets système et comme emplacements par
défaut pour les nouveaux objets. Avec les unités d'organisation, vous disposez de plus d'options

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

de gestion ; vous pouvez lier directement des objets de stratégie de groupe, attribuer un
4
gestionnaire d'unité d'organisation et associer une partition COM + à une unité d'organisation.
Contrairement aux conteneurs les unités d’organisation peuvent être créées par l’administrateur.
Il existe deux raisons de créer des unités d'organisation :
 Pour regrouper des objets afin de les gérer plus facilement en appliquant des objets de
stratégie de groupe (GPO) à l’UO. L’application d’une GPO à une UO forcera sont
application à tous les objets contenus dans l’UO. Une GPO est une stratégie créée par
l’administrateur pour gérer et configurer les paramètres des ordinateurs et / ou des
utilisateurs. Les GPO sont déployés en les liant à des unités d'organisation, des domaines
ou des sites.
 Déléguer le contrôle administratif des objets au sein de l'unité d'organisation. Il est
possible d’attribuer des autorisations de gestion sur une unité d'organisation, déléguant
ainsi le contrôle de cette unité d'organisation à un utilisateur ou un groupe dans AD DS
en plus du groupe d'administrateurs.
Les OU peuvent être utilisées pour représenter les structures hiérarchiques et logiques
d’une organisation. Par exemple, créer des unités d'organisation qui représentent les
départements de l’organisation, les régions géographiques ou une combinaison de régions
départementales et géographiques.
Chaque domaine AD DS possède un ensemble standard de conteneurs et d'unités
d'organisation créés lors de l’installation AD DS. Certains des objets par défaut sont
principalement utilisés par les services de domaine Active Directory et sont masqués par défaut.
Les objets suivants sont visibles par défaut :
 Domaine. Sert de niveau supérieur de la hiérarchie organisationnelle du domaine.
 Conteneur intégré. Stocke un certain nombre de groupes par défaut.
 Conteneur d'ordinateurs. Emplacement par défaut des nouveaux comptes d'ordinateurs
que vous créez dans le domaine.
 OU des contrôleurs de domaine. L'emplacement par défaut des comptes d'ordinateur
des contrôleurs de domaine. Il s'agit de la seule unité d'organisation présente dans une
nouvelle installation d'AD DS
 Conteneur principal de sécurité étrangère. Emplacement par défaut des objets approuvés
provenant de domaines en dehors de la forêt AD DS. En règle générale, ceux-ci sont
créés lorsqu'un objet d'un domaine externe est ajouté à un groupe dans le domaine AD
DS.
 Comptes de services gérés. Emplacement par défaut pour les comptes de services gérés.
AD DS fournit une gestion automatique des mots de passe dans les comptes de services
gérés.
 Conteneur d'utilisateurs. Emplacement par défaut des nouveaux comptes d'utilisateurs
et groupes que vous créez dans le domaine. Le conteneur d'utilisateurs contient
également les comptes administrateur et invité du domaine et certains groupes par
défaut.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

2.1.4 – qu’est-ce qu’une forêt AD DS

5
Une arborescence de domaine est une collection d'un ou plusieurs domaines qui partagent
un espace de noms contigu. Une forêt est une collection d'une ou plusieurs arborescences de
domaine qui partagent un schéma de répertoire et un catalogue global communs.
Le premier domaine créé dans la forêt est appelé le domaine racine de la forêt. Le domaine
racine de la forêt contient certains objets qui n'existent pas dans d'autres domaines de la forêt.
Une forêt peut comprendre un domaine avec un seul contrôleur de domaine, ou bien une
centaine de domaines sur plusieurs arborescences.
Les objets suivants n'existent que dans le domaine racine de la forêt :
 Le rôle de maître de schéma. Il s'agit d'un rôle spécial de contrôleur de domaine à
l'échelle de la forêt. Il n'y a qu'un seul maître de schéma dans une forêt. Le schéma peut
être modifié uniquement sur le contrôleur de domaine qui contient le maître de schéma.
 Le rôle de maître d'attribution de noms de domaine. Il s'agit également d'un rôle spécial
de contrôleur de domaine à l'échelle de la forêt. Il n'y a qu'un seul maître d'attribution
de noms de domaine dans une forêt. Les nouveaux noms de domaine ne peuvent être
ajoutés à l'annuaire que par le maître d'attribution de noms de domaine.
 Le groupe Enterprise Admins. Par défaut, le groupe Enterprise Admins possède le
compte Administrateur du domaine racine de la forêt en tant que membre. Le groupe
Administrateurs de l'entreprise est membre du groupe Administrateurs local dans
chaque domaine de la forêt. Cela permet aux membres du groupe Enterprise Admins
d'avoir des droits d'administration de contrôle total sur chaque domaine de la forêt.
 Le groupe Administrateurs du schéma. Par défaut, le groupe Administrateurs du schéma
n'a aucun membre. Seuls les membres du groupe Administrateurs d'entreprise ou du
groupe Administrateurs de domaine (dans le domaine racine de la forêt) peuvent ajouter
des membres au groupe Administrateurs de schéma. Seuls les membres du groupe
Administrateurs du schéma peuvent apporter des modifications au schéma.
Limite de sécurité
Une forêt AD DS est une limite de sécurité. Par défaut, aucun utilisateur extérieur à la forêt
ne peut accéder aux ressources à l'intérieur de la forêt. En règle générale, une organisation crée
une seule forêt, bien que vous puissiez créer plusieurs forêts pour isoler les autorisations
administratives entre différentes parties de l'organisation.
Par défaut, tous les domaines d'une forêt approuvent automatiquement les autres domaines
de la forêt. Cela facilite l'accès à des ressources telles que les partages de fichiers et les sites
Web pour tous les utilisateurs d'une forêt, quel que soit le domaine dans lequel se trouve le
compte d'utilisateur.
Limite de réplication
Une forêt AD DS est la limite de réplication des partitions de configuration et de schéma
dans la base de données AD DS. Cela signifie que tous les contrôleurs de domaine de la forêt
doivent partager le même schéma. Pour cette raison, les organisations qui souhaitent déployer
des applications avec des schémas incompatibles doivent déployer des forêts supplémentaires.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

La forêt AD DS est également la limite de réplication du catalogue global. Le catalogue global

6
permet de trouver des objets de n'importe quel domaine de la forêt. Le catalogue global est
utilisé chaque fois que des informations d'identification de connexion UPN (Universal Principal
Name) sont utilisées ou lorsque des carnets d'adresses Microsoft Exchange Server sont utilisés
pour rechercher des utilisateurs.
2.1.5 – qu’est-ce qu’un schéma AD DS
Le schéma AD DS est le composant qui définit toutes les classes d'objets et les attributs
qu'AD DS utilise pour stocker des données. Il est parfois appelé le modèle d'AD DS. Le schéma
est répliqué sur tous les contrôleurs de domaine de la forêt. Toute modification apportée au
schéma est répliquée sur chaque contrôleur de domaine de la forêt à partir du titulaire du maître
de schéma, qui est généralement le premier contrôleur de domaine de la forêt.
AD DS stocke et récupère des informations à partir d'une grande variété d'applications et de
services. Il le fait, en partie, en normalisant la façon dont les données sont stockées dans le
répertoire AD DS. En normalisant le stockage des données, les services de domaine Active
Directory peuvent récupérer, mettre à jour et répliquer les données, tout en garantissant la
préservation de l'intégrité des données.
Objets
AD DS utilise des objets comme unités de stockage. Tous les types d'objets sont définis dans
le schéma. Chaque fois que le répertoire traite des données, le répertoire interroge le schéma
pour une définition d'objet appropriée. En fonction de la définition d'objet dans le schéma, le
répertoire crée l'objet et stocke les données.
Les définitions d'objets spécifient à la fois les types de données que les objets peuvent stocker
et la syntaxe des données. Vous ne pouvez créer que des objets définis par le schéma. Étant
donné que les données sont stockées dans un format défini de manière rigide, AD DS peut
stocker, récupérer et valider les données qu'il gère, quelle que soit l'application qui les fournit.

2.2 – Les contrôleurs de domaine

2.2.1 – qu’est-ce qu’un contrôleur de domaine ?
Un contrôleur de domaine est un serveur configuré pour stocker une copie de la base de
données de l'annuaire AD DS (Ntds.dit) et une copie du dossier SYSVOL. Tous les contrôleurs
de domaine, à l'exception des contrôleurs de domaine en lecture seule, stockent ces copies en
lecture / écriture. Ntds.dit est la base de données elle-même et le dossier SYSVOL contient tous
les paramètres de modèle et les fichiers pour les objets de stratégie de groupe.
Les contrôleurs de domaine utilisent un processus de réplication multimaître; pour la plupart
des opérations, les données peuvent être modifiées sur n'importe quel contrôleur de domaine,.
Le service de réplication AD DS synchronise ensuite les modifications qui ont été apportées à
la base de données AD DS à tous les autres contrôleurs de domaine du domaine. Les contrôleurs
de domaine hébergent plusieurs autres services liés à Active Directory.
Tous les utilisateurs d'un domaine AD DS existent dans la base de données AD DS, si la
base de données n'est pas disponible, toutes les opérations d'authentification basée sur le
domaine échoueront.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

Il est recommandé qu’un domaine AD DS possède au moins deux contrôleurs de domaine.

7
Cela rend la base de données AD DS plus disponible et répartit la charge d'authentification
pendant les périodes de connexion de pointe.
Lors du déploiement d’un contrôleur de domaine dans une succursale où la sécurité physique
n'est pas optimale, il est recommandé de déployer un contrôleur de domaine en lecture seule
pour réduire l'impact d'une violation de la sécurité.
Le contrôleur de domaine en lecture seule contient une copie en lecture seule de la base de
données AD DS et, par défaut, il ne met en cache aucun mot de passe utilisateur. Si un
contrôleur de domaine en lecture seule est compromis, la perte potentielle d'informations est
beaucoup plus faible qu'avec un contrôleur de domaine en lecture / écriture complet.
2.2.2 – le catalogue global
Le catalogue global est une copie partielle, en lecture seule et consultable de tous les objets
de la forêt. Il accélère les recherches d'objets qui pourraient être stockés sur des contrôleurs de
domaine dans un autre domaine de la forêt.
Au sein d'un seul domaine, la base de données AD DS sur chaque contrôleur de domaine
contient toutes les informations sur chaque objet de ce domaine, mais seul un sous-ensemble
de ces informations est répliqué sur les serveurs de catalogue global dans d'autres domaines de
la forêt. Dans un domaine donné, une requête pour un objet est dirigée vers l'un des contrôleurs
de domaine de ce domaine, mais cette requête n'inclut pas les résultats concernant les objets
d'autres domaines de la forêt. Pour qu'une requête inclue les résultats d'autres domaines de la
forêt, vous devez interroger un contrôleur de domaine qui est un serveur de catalogue global.
Par défaut, le premier contrôleur de domaine du domaine racine de la forêt est le seul serveur
de catalogue global hébergé. Pour améliorer la recherche dans les domaines d'une forêt, vous
devez configurer des contrôleurs de domaine supplémentaires pour stocker une copie du
catalogue global.
Le catalogue global ne contient pas tous les attributs de chaque objet. Au lieu de cela, le
catalogue global conserve le sous-ensemble d'attributs les plus susceptibles d'être utiles dans
les recherches interdomaines. Ces attributs incluent givenName, displayName et mail.
Il existe plusieurs raisons pour lesquelles vous pouvez effectuer une recherche sur un
catalogue global plutôt que sur un contrôleur de domaine qui n'est pas un catalogue global. Par
exemple, lorsqu'un serveur de messagerie reçoit un e-mail entrant, il doit rechercher le compte
du destinataire afin de pouvoir décider comment acheminer le message. En interrogeant
automatiquement un catalogue global, le serveur de messagerie peut localiser le destinataire
dans un environnement à plusieurs domaines.
Dans un seul domaine, tous les contrôleurs de domaine doivent être configurés pour contenir
une copie du catalogue global; cependant, dans un environnement à plusieurs domaines, le
maître d'infrastructure ne doit pas être un serveur de catalogue global, sauf si tous les
contrôleurs de domaine du domaine sont également des serveurs de catalogue global. Le choix
des contrôleurs de domaine à configurer pour contenir une copie du catalogue global dépend
du trafic de réplication et de la bande passante réseau. De nombreuses organisations choisissent
de faire de chaque contrôleur de domaine un serveur de catalogue global.

Administration des Serveurs @mail : USTH-GTR@outlook.com

2019-2020 Support de cours L2-GTR

2.2.3 – Le processus de connexion à AD DS (authentification)

8
Lorsqu’un utilisateur se connecte à AD DS, le système recherche dans DNS les
enregistrements de ressource de service (SRV) pour localiser le contrôleur de domaine
approprié le plus proche. Le client peut localiser un contrôleur de domaine approprié pour
répondre à sa demande de connexion en utilisant des recherches DNS. Si la connexion réussit,
l'autorité de sécurité locale (LSA) crée un jeton d'accès pour l'utilisateur qui contient les SID
de l'utilisateur et de tous les groupes dont l'utilisateur est membre. Le jeton fournit les
informations d'identification d'accès pour tout processus lancé par cet utilisateur. Par exemple,
après s'être connecté à AD DS, un utilisateur exécute Microsoft® Word et tente d'ouvrir un
fichier. Word utilise les informations d'identification dans le jeton d'accès de l'utilisateur pour
vérifier le niveau des autorisations de l'utilisateur pour ce fichier.
Le SID est une chaine de caractère ayant la forme S-R-X-Y1-Y2-Yn-1-Yn par exemple un
SID peut avoir la valeur suivante : S-1-5-21-322346712-1256085132-1900709958-500. Où
 S : indique que c’est un SID
 R : niveau de révision
 X : identifie le niveau de l’autorité
 Y1-Y2-Yn-1 : identifiant du domaine
 Yn : relative ID (RID) Chaque groupe, compte d'utilisateur ou d'ordinateur possède un
SID unique. Ils ne diffèrent les uns des autres que par le RID unique. Le SID de
l’exemple est celui du compte d'administrateur de domaine. Les comptes et les groupes
par défaut utilisent des SID connus. Le SID du compte d'administrateur de domaine se
termine toujours par 500.
2.2.4 – les sites
Un site est un objet de l’annuaire Active Directory qui représente le réseau physique. Les
administrateurs peuvent définir des sites dans AD DS. Lors de la définition des sites, il faut
identifier les parties du réseau ayant une bonne connectivité et une bonne bande passante. Par
exemple, si une succursale est connectée au centre de données principal par une liaison WAN
non fiable, il faudra définir la succursale et le centre de données comme des sites distincts.

Administration des Serveurs @mail : USTH-GTR@outlook.com