Vue d'ensemble de Active Directory

Traductions disponibles Traductions disponibles
Numéro d'article: 196464 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F196464
Agrandir tout | Réduire tout

Sommaire

Résumé

Directory Services est une base de données répartie qui vous permet de stocker des informations relatives à vos ressources réseau afin de faciliter leur implantation ainsi que leur gestion. Microsoft Active Directory constitue l'implémentation la plus récente dans Directory Services pour Windows 2000. Les problèmes de base impliquant un service d'annuaire tournent autour des questions suivantes, à savoir quelles informations stocker dans la base de données, comment elles sont stockées, comment lancer une requête sur des informations spécifiques et que faire des résultats. Active Directory est l'association du service d'annuaire en lui-même avec un service secondaire : cela vous permet d'accéder à la base de données avec une prise en charge des conventions de nommage X.500.

Vous pouvez envoyer une requête à l'annuaire à l'aide d'un nom d'utilisateur afin d'obtenir des informations telles que le numéro de téléphone ou l'adresse E-mail de l'utilisateur. En outre, Directory services est assez flexible pour permettre l'utilisation d'interrogations générales (" Où se trouvent les imprimantes ? " ou " Quels sont les noms des serveurs ? ") afin d'afficher une liste récapitulative des imprimantes et serveurs disponibles.

Directory services vous offre également l'avantage d'un point d'entrée sur le réseau de votre entreprise commun à tous les utilisateurs. Les utilisateurs peuvent trouver et utiliser une ressource du réseau sans connaître pour autant son nom ou son emplacement exact. Vous pouvez également gérer le réseau entier, car vous disposez d'une vue unifiée et logique sur son organisation et ses ressources.

Plus d'informations

Avant de créer une structure Active Directory efficace et fiable, il est essentiel que vous ayez une bonne compréhension des structures tant logique que physique de votre réseau. Il est également important de bien examiner et comprendre les opérations et la structure commerciales de votre organisation. Active Directory sépare les structures logique et physique du domaine.

LA STRUCTURE LOGIQUE

La structure logique d'un réseau est l'ensemble de ses éléments intangibles (objets, domaines, arbres et forêts).

Dans Active Directory, une ressource réseau est un objet, c'est-à-dire un ensemble d'attributs distinct et nommé. Les attributs de l'objet sont ses caractéristiques dans l'annuaire. Les objets peuvent être organisés en classes : les classes sont des groupements logiques d'objets. Utilisateurs, Groupes, et Ordinateurs sont des exemples de classes d'objets.

Au plus bas niveau, certains objets représentent des entités individuelles de votre réseau, un utilisateur ou un ordinateur par exemple. On les appelle objets Feuille : ils ne peuvent pas contenir d'autres objets. Cependant, afin de faciliter leur gestion et de simplifier l'organisation de l'annuaire, vous avez la possibilité de placer les objets Feuille dans d'autres objets appelés objets conteneurs. Ces objets conteneurs peuvent eux-mêmes contenir d'autres objets conteneurs sous un format compilé (ou hiérarchisé).

Le type d'objet conteneur le plus courant est l'Unité d'Organisation (OU). Vous pouvez utiliser une OU afin de catégoriser les objets d'un domaine selon un schéma de regroupement administratif logique. Attention, la structure et la hiérarchie d'une OU dans un domaine ne dépendent de la structure d'aucun autre domaine.

Tous les objets d'un réseau, Feuille ou Conteneurs, ne peuvent exister que dans un seul domaine. Les domaines regroupent des objets apparentés ensemble afin de refléter le réseau de votre organisation. Chaque domaine créé enregistre exclusivement les informations concernant les objets qu'il contient. Actuellement, le nombre limite d'objets que vous pouvez maintenir dans un domaine est de un million.

Chaque domaine représente une limite de sécurité. Dans chaque domaine, l'accès aux objets est contrôlé par des entrées de contrôle d'accès (ACE) enregistrées dans les listes du contrôle d'accès (ACL). Ces paramètres de sécurité ne peuvent pas être transmis d'un domaine à un autre. Dans Active Directory, un domaine peut aussi être appelé partition. Un domaine étant la partition physique de la base de données Active Directory, vous pouvez structurer les vôtres par fonction commerciale (RH, Ventes, ou Comptabilité) ou par emplacement (géographique ou relatif à la fonction). Il est à noter que si chaque domaine représente une limite de sécurité, la limite absolue de sécurité, notamment quant aux droits dont disposent les administrateurs se trouve au niveau de la forêt Active Directory. La prise en compte de cette règle est importante dans les réflexions concernant l?isolation et la compartimentation des fonctions administratives entre différents administrateurs.

En regroupant plusieurs domaines parents pour permettre un partage des ressources global, vous créez un Arbre. Un arbre peut n'être composé que d'un seul domaine ; vous pouvez également regrouper des domaines multiples au même emplacement dans une structure hiérarchisée. Les domaines d'un arbre sont reliés les uns aux autres de façon transparente par l'intermédiaire de relations d'approbation dans les deux sens avec une sécurité basée sur le système d'authentification Kerberos. Ces approbations sont toutes deux permanentes (elles ne peuvent être supprimées) et transitives. En d'autres termes, si le domaine A approuve le domaine B qui approuve le domaine C, alors le domaine A approuve le domaine C.

Tous les domaines d'un arbre partagent une définition formelle de tous les types d'objets appelée Schéma. Par ailleurs, le catalogue global (GC) est partagé par tous les domaines de n'importe quel arbre. Le GC fait office de dépôt central pour les objets d'un arbre.

Chaque arbre est également représenté par un espace de noms contigu. Par exemple, si le domaine racine de votre société est " société.com " et si vous créez des domaines séparés pour vos divisions Vente et Service-après-vente, leurs noms de domaine deviennent " ventes.société.com " et " SAV.société.com ". Ce sont des domaines enfants. Dans un environnement autre que Windows NT 4.0, chaque domaine génère des relations d'approbation.

Au niveau le plus élevé, des arbres disparates peuvent être regroupés ensemble pour former une forêt. Une forêt vous permet de combiner des divisions différentes dans une organisation voire de regrouper des organisations différentes. Ces organisations n'ont pas besoin de partager le même schéma de noms et peuvent fonctionner de façon indépendante tout en communiquant entre elles. Tous les arbres d'une forêt partagent le même schéma, le même catalogue global et le même conteneur de configuration. Là aussi, le système d'authentification Kerberos établit les relations d'approbation entre les arbres.

Windows NT 2000 Directory Services vous offre un autre avantage : vous pouvez désinstaller Active Directory sans devoir réinstaller tout le système d'exploitation du serveur. Pour faire d'un serveur-membre un contrôleur de domaine (DC), vous n'avez qu'à exécuter l'outil DCPROMO pour ajouter le serveur Active Directory. Pour supprimer le serveur Active Directory, exécutez de nouveau DCPROMO.

LA STRUCTURE PHYSIQUE

Les contrôleurs et sites de domaine sont les seuls éléments de base constituant la structure physique d'une configuration de Réseau local (LAN).

Contrairement à un environnement Windows NT 4.0, un réseau constitué exclusivement d'ordinateurs fonctionnant sous Windows 2000 n'a pas de contrôleurs principaux de domaine (PDC) ni de contrôleur secondaire de domaine (BDC). Tous les serveurs participant à l'administration du réseau dans un environnement Windows 2000 sont considérés comme des contrôleurs de domaine. Un contrôleur de domaine (DC) stocke une copie de la base de données de l'annuaire et le processus de réplication est automatique entre les contrôleurs dans le domaine.

Les réseaux d'entreprise s'étendent de plus en plus sur des sites géographiques multiples, par conséquent les implications de la conception et de la structure d'un réseau étendu sont très importantes lorsqu'on comprend l'impact que la réplication de la base de données d'annuaire peut avoir sur les contrôleurs de domaine et les performances du réseau.

ESPACES DE NOMS

Un espace de noms est une zone désignée par des limites spécifiques dans laquelle le nom logique attribué à un ordinateur peut être résolu. La fonction première de l'espace de noms est d'organiser les descriptions des ressources afin de permettre aux utilisateurs de localiser ces ressources à partir de leurs caractéristiques ou de leurs propriétés. Vous pouvez utiliser la base de données d'annuaire d'un espace de noms donné afin de localiser un objet sans même connaître son nom. Si l'utilisateur connaît le nom d'une ressource, il peut envoyer une requête pour obtenir les informations utiles sur cet objet.

Il est important de noter que la conception de l'espace de noms détermine combien la base de données d'annuaire est utile lorsqu'elle s'accroît. Le tri et la recherche d'algorithmes ne pourra résoudre les problèmes d'une conception d'annuaire logique inadéquate

À un niveau logique, Windows 2000 Active Directory constitue simplement un autre espace de noms. Dans un annuaire Active Directory, vous pouvez stocker deux types d'informations différents :

  • L'emplacement logique de l'objet.
  • Une liste d'attributs sur cet objet.
Ces objets ont des attributs qui leur sont attribués (numéro de téléphone, etc.) et peuvent être utilisés afin de localiser les objets dans la base de données d'annuaire. L'utilisation d'attributs pour une recherche est encore plus importante lorsque le schéma de l'annuaire Active Directory est étendu (modifié). Lorsque des objets, des classes d'objets et/ou les attributs de ces objets sont ajoutés dans la base de données de l'annuaire, leur structure détermine leur utilité pour les utilisateurs de l'annuaire.

Chaque conteneur et chaque objet d'un arbre a un nom unique. Un espace de noms est un ensemble constitué par le chemin complet du conteneur et de tous les objets, ou les branches et les feuilles de l'arbre. L'emplacement d'un objet dans un arbre détermine son nom unique.

Le nom unique d'un objet (DN) contient son chemin complet (contient l'espace de noms spécifiques puis remonte toute la hiérarchie de l'arbre). Le DN étant utile pour organiser une base de données d'annuaire mais peu pratique pour se rappeler l'objet, on utilise également un nom unique relatif (RDN) dans Active Directory. Un RDN est la partie du nom de l'objet constituée par un attribut de l'objet lui-même.

Dans de nombreux réseaux, la création de l'espace de noms se base sur le DNS (Domain Name System) courant utilisé sur Internet. Cette liaison avec le DNS permet de déterminer la structure de l'arbre Active Directory et les relations des objets entre eux. La rubrique spécifiant les contrôleurs de domaine est une liste des domaines répertoriés par nom unique tandis que les entrées de noms communs (CN) sont les chemins spécifiques des objets utilisateurs dans l'annuaire.

CATALOGUE GLOBAL

Le catalogue global contient un réplica partiel de chacun des domaines Windows 2000 de l'annuaire : il est construit automatiquement par le système de réplication de Active Directory. Les utilisateurs peuvent ainsi trouver des objets dans l'arbre d'un domaine Active Directory en spécifiant un ou plusieurs attributs de l'objet recherché. Le catalogue contient également le schéma et la configuration des partitions de l'annuaire. Tout cela signifie que le catalogue global comporte un réplica de chacun des objets de l'annuaire Active Directory ; mais ces réplicas ne possèdent qu'une petite partie des attributs des objets d'origine. Les attributs repris dans le catalogue global sont les attributs les plus communément utilisés dans les opérations de recherche (les nom et prénoms de l'utilisateur, les noms de connexion par exemple) ainsi que les attributs requis pour localiser le réplica complet de l'objet.

En utilisant ces informations basiques, les utilisateurs peuvent retrouver les objets qui les intéressent rapidement alors qu'ils ne connaissent pas leur domaine et sans pour cela devoir utiliser un espace de noms contigu étendu. Si l'objet est introuvable dans le catalogue global, alors l'utilitaire de recherche peut réclamer votre partition de domaine local pour plus d'informations.

Vous pouvez utiliser le gestionnaire de schéma pour modifier le schéma et définir les attributs qui doivent être stockés dans le catalogue global. Ce dernier étant répliqué sur les modifications apportées à tous les serveurs du Catalogue global, il est recommandé de limiter la quantité d'attributs stockés dans la partition locale pour des raisons de performances comme de maintenance.

INTÉGRATION DU DNS AVEC AD

L'intégration du DNS et de Active Directory constitue l'une des plus importantes fonctionnalités de Windows 2000 Server. Les domaines du DNS et de Active Directory utilisent des noms identiques sur des espaces de noms différents. Il ne s'agira jamais du même espace de noms même si les deux espaces de noms partagent une structure de domaine identique. Chaque espace de noms stocke des données différentes et gère des objets différents. Le DNS utilise les enregistrements de zones et de ressources tandis que Active Directory utilise les domaines et les objets des domaines.

Par exemple, si l'une des propriétés d'un objet est le nom de domaine complet d'un serveur (par exemple SERVER1.SALES.MYCOMPANY.COM), Active Directory demande au DNS d'envoyer une requête pour l'adresse TCP/IP du serveur : ainsi le demandeur Windows 2000 peut établir une session TCP/IP avec le serveur.

L'intégration entre Active Directory et DNS est accomplie lorsque chaque serveur Active Directory publie sa propre adresse dans les enregistrements des ressources de service d'un hôte DNS.

IDENTIFICATEUR GLOBAL UNIQUE

Chaque objet d'un réseau doit être identifié par une propriété unique : c'est pourquoi Active Directory associe un identificateur global unique (GUID) à chaque objet. Ce nombre est toujours unique et ne sera pas modifié pas la base de données de l'annuaire, même en cas de modification du nom logique de l'objet. Le GUID est généré au moment de la création par l'utilisateur ou une application du nom unique (DN) d'un objet dans l'annuaire.

RÉPLICATION

Contrairement à l'environnement Windows NT 4.0 dans lequel la structure du réseau était basée sur un contrôleur principal et des contrôleurs secondaires de domaine, tous les serveurs d'un réseau Windows 2000 sont considérés comme des contrôleurs de domaine (DC) et fonctionnent comme des pairs. Grâce à Active Directory, tous les contrôleurs de domaine se répliquent automatiquement sur un site et supportent une réplication multi-maîtres, la réplication des informations de Active Directory sur tous les contrôleurs de domaine. L'introduction de la réplication multi-maîtres signifie que les administrateurs peuvent opérer des mises à jour vers Active Directory sur n'importe quel contrôleur de domaine Windows 2000 du domaine.

La réplication d'une base de données multi-maîtres aide aussi à contrôler les décisions portant sur la synchronisation des modifications, les informations les plus fréquentes et l'arrêt de la réplication de données (afin d'éviter des duplications ou redondances). Pour déterminer les informations à mettre à jour, Active Directory utilise des numéros de séquence de mise à jour (USN) de 64 bits. Ils sont créés et associés comme les autres propriétés. À chaque fois qu'un objet est modifié, son USN est incrémenté et enregistré avec sa propriété.

Chaque serveur Active Directory conserve un tableau des USN les plus récents de tous les partenaires de réplication d'un même site. Ce tableau comporte l'USN le plus important pour chaque propriété. Lorsque l'intervalle de réplication est atteint, le serveur demande uniquement les modifications avec un USN supérieur à celui indiqué dans son tableau.

Parfois, les modifications d'une même propriété peuvent être apportées à deux serveurs Active Directory différents avant la réplication de toutes les modifications. Cela provoque une collision de réplications. L'une des modifications doit être déclarée comme la plus précise et donc utilisée pour tous les autres partenaires de réplications. Pour résoudre ce problème potentiel, Active Directory utilise la valeur d'un numéro de version de propriété qui s'applique à tout le site (PVN). Les écritures d'origine incrémentent le PVN. Une écriture d'origine se passe directement au niveau d'un serveur Active Directory particulier.

Lorsque 2 ou plusieurs valeurs de propriétés avec le même PVN ont été modifiées à des emplacements différents, le serveur Active Directory recevant la modification vérifie le cachet de chacune des deux modifications et choisit le plus récent pour effectuer la mise à jour. La ramification la plus importante de ce problème réside dans l'installation et la maintenance d'une horloge centrale sur votre réseau.

Le bouclage est un autre problème rencontré dans le processus de réplication. Active Directory permet aux administrateurs de configurer des chemins multiples pour éviter les redondances. Pour éviter une mise à jour en boucle des modifications, Active Directory crée des listes de paires d'USN sur chaque serveur. Ces listes sont appelées vecteurs de mise à jour (UDV). Ces vecteurs conservent le plus grand USN de chaque écriture d'origine. Chacun des UDV répertorie tous les autres serveurs sur son propre site. Lors de la réplication, le serveur demandeur envoie son propre vecteur au serveur émetteur. Le système utilise l'USN le plus élevé de chaque écriture d'origine afin de déterminer si les modifications doivent être répliquées. Si la valeur de l'USN sur la liste est égale ou supérieure à la valeur indiquée, alors la modification n'a pas besoin d'être répliquée car le serveur demandeur est déjà mis à jour.

MODIFICATIONS DANS LES GROUPES

Active Directory introduit également de nouveaux groupes dans le processus de planification logique. Dans l'environnement Windows NT 4.0, deux types de groupe de base étaient disponibles à un administrateur réseau : local et global. En restant dans les limites inhérentes à ce type de structure, Windows 2000 offre une flexibilité et une fonctionnalité accrues aux administrateurs réseau, avec les groupes suivants :
  • Groupes à portée locale (également appelés groupes locaux)
  • Groupes à portée locale dans le domaine (groupes locaux de domaine)
  • Groupes à portée globale (groupes globaux)
  • Groupes à portée universelle (Groupes universels)
Désormais les groupes globaux peuvent contenir d'autres groupes globaux. Les groupes globaux servent toujours à collecter les utilisateurs ; en plus de cela, le fait de pouvoir placer un groupe dans un autre permet à l'administrateur de les placer où il le souhaite dans une forêt afin de faciliter la maintenance du réseau. Cependant, les groupes globaux ne peuvent contenir les utilisateurs et groupes d'un seul domaine dans la forêt Active Directory.

De nombreux réseaux comportant des serveurs Windows NT 4.0 et Windows 2000, vous devez déterminer le nombre et les types de domaines de votre réseau et savoir si ces domaines sont en mode mixte ou natif avant de créer des groupes :
  • Domaine en mode mixte. Par défaut, le système d'exploitation Windows 2000 s'installe dans une configuration réseau en mode mixte. Un domaine en mode mixte comprend un groupe d'ordinateurs en réseau fonctionnant avec des contrôleurs de domaine Windows NT 4.0 et Windows 2000. (Cela peut également être le cas lorsque vous avez des ordinateurs fonctionnant uniquement avec des contrôleurs de domaine Windows 2000.)
  • Domaine en mode natif. Vous pouvez convertir un domaine au mode natif lorsqu'il ne contient que des contrôleurs de domaine Windows 2000 Server.
Le groupe universel (nouveauté sous Windows 2000) peut contenir tous les autres groupes et utilisateurs de n'importe quel arbre dans la forêt, et vous pouvez l'utiliser à l'aide de n'importe quelle liste de contrôle d'accès (ACL) dans la forêt.

Les groupes globaux, locaux de domaine et universels peuvent être combinés pour contrôler l'accès aux ressources réseau. En fait, les groupes globaux permettent d'organiser les utilisateurs dans des conteneurs administratifs qui représentent leurs domaines respectifs. Les groupes universels contiennent les groupes globaux des différents domaines, ce qui permet une gestion encore plus précise de la hiérarchie des domaines lors de l'octroi d'autorisations. Vous pouvez ajouter des groupes locaux aux groupes universels puis leur attribuer des autorisations d'accès à des groupes locaux de domaine (emplacement " physique " des ressources). Ainsi, les administrateurs peuvent ajouter ou enlever des utilisateurs de chaque groupe global d'un domaine afin de contrôler l'accès aux ressources dans l'entreprise sans pour cela avoir besoin d'opérer les modifications sur plusieurs sites.

Propriétés

Numéro d'article: 196464 - Dernière mise à jour: dimanche 26 septembre 2004 - Version: 2.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbhowto KB196464
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com