L’Active Directory
Active Directory :     Plan     - Concepts     - Espace de noms     - Topologie     - Réseau d’agence     - W2000 vs WS200...
Active Directory :     Philosophie                     Formation Master II Pro   3
Active Directory :    Concepts     Le schéma                     • Tout élément de l’AD est un objet doté d’attribut      ...
Active Directory :   Concepts     partitions        Les partitions sont des conteneurs dans lesquels sont          conserv...
Active Directory :   Concepts     Domaine              – frontière de sécurité et de réplication              – L’annuaire...
Active Directory :   Concepts        Architecture logique           – Arbre : ensemble de domaines situé sous une racine  ...
Active Directory :     Concepts        Caractéristiques d’une forêt           – Dans une forêt les domaines partagent :   ...
Active Directory :   Concepts        Relations d’approbation           – Les relations d’approbation entre domaines       ...
Active Directory :   Concepts     Catalogue global             Il contient une réplique partielle (nb réduit d’attribut)  ...
Active Directory :   Concepts     Unités organisationnelles              – Conteneurs d’objets de type utilisateurs, group...
Active Directory :    Concepts     Fonctions des serveurs           – Un serveur WNT peut être :                     • Con...
Active Directory :             Conception de l’espace de noms                       Formation Master II Pro   13
Active Directory :   Conception de l’espace de noms           Définition de l’espace de noms           – Doit se rapproche...
Active Directory :   Conception de l’espace de noms           Combien de forêts ?           – Au départ une forêt !       ...
Active Directory :    Conception de l’espace de noms           Contraintes du nombre de forêts           – Un domaine ne p...
Active Directory :   Conception de l’espace de noms           Combien de domaines              – Au départ un domaine     ...
Active Directory :   Conception de l’espace de noms           Définition de la racine de la forêt         – Le 1er domaine...
Active Directory :    Topologies d’OU           Rôles des Unités Organisationnelles           – Les OU peuvent servir à : ...
Active Directory :    Topologie de sites     Notion de site Active Directory           – Qu’est ce qu’un site ?           ...
Active Directory :    Topologie de sites      Définition d’une topologie de      réplication           – Qui réplique avec...
Active Directory :   Réseau d’agence     Installation depuis une sauvegarde              – Avec W2000, lors de l’installat...
Active Directory :    Réseau d’agence     Optimisation de la réplication           – W2000 : les attributs multi-valués (e...
Active Directory :   Réseau d’agence     Optimisation de la réplication              – WS2000 : topologie de réplication i...
Active Directory :   WS2003 versus W2000     Appartenance des attributs au GC           – Avec W2000, l’ajout d’attribut a...
Active Directory :    Multi forêts     Relation d’approbation     • Avec WS2003 les relations d’approbation inter       fo...
Active Directory :    WS2003    Niveau de fonctionnalité :    domaines     Niveau de            Fonctionnalité activée    ...
Active Directory :    WS2003    Niveau de fonctionnalité : forêts     Niveau de            Fonctionnalité activée         ...
Active Directory :   Outil interactif     Affichage                                        Formation Master II Pro   29
Active Directory :   Outil interactif     L’utilisateur                                        Formation Master II Pro   30
Active Directory :   Outil interactif     Requête sauvegardée                                        Formation Master II P...
Active Directory :   Outil interactif     Résultat d’une recherche                                        Formation Master...
Active Directory :   Outil interactif     Sites                                        Formation Master II Pro   33
Active Directory :   Ligne de commande     L’utilisateur         – Utilisation de lignes de commande pour créer des objets...
Active Directory :   Le compte utilisateur     Description           – Ensemble des attributs d’un objet user             ...
Active Directory :   Le compte utilisateur     Le profil           – Décrit l’environnement de travail de l’utilisateur   ...
Active Directory :   Le compte utilisateur     Le dossier de base           – Le dossier de base est le conteneur des     ...
Active Directory :   Le compte utilisateur     Les groupes prédéfinis                                             Formatio...
Active Directory :   Le compte utilisateur     Les UO           – L’utilisateur est placé dans une hiérarchie             ...
Prochain SlideShare
Chargement dans…5
×

Ad

455 vues

Publié le

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
455
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Ad

  1. 1. L’Active Directory
  2. 2. Active Directory : Plan - Concepts - Espace de noms - Topologie - Réseau d’agence - W2000 vs WS2003 - Outils - Utilisateur Formation Master II Pro 2
  3. 3. Active Directory : Philosophie Formation Master II Pro 3
  4. 4. Active Directory : Concepts Le schéma • Tout élément de l’AD est un objet doté d’attribut • Ex : l’objet utilisateur a un attribut e-mail • Les définitions des classes et des attributs sont accessibles via le Schéma • Utilisation : – Extensible (ajouts d’objet ou d’attribut) – interopérabilité Formation Master II Pro 4
  5. 5. Active Directory : Concepts partitions Les partitions sont des conteneurs dans lesquels sont conservés un type de données – partition du domaine : – Objet du domaine commun à tous les serveurs – Partition de la configuration : – Information de configuration de la forêt, commun à tous les contrôleurs de la forêt – Partition du schéma : – Schéma de l’AD, sur tous les contrôleurs – Partition de l’application : – Peut être créée avec des objets de tout type sauf de sécurité (user, groupe, ordi) peut être répliquée sur n’importe quel ensemble de contrôleurs dans la forêt Formation Master II Pro 5
  6. 6. Active Directory : Concepts Domaine – frontière de sécurité et de réplication – L’annuaire associé à chaque domaine est disponible sur 1 ou plusieurs serveurs du domaine – Il est possible de créer des arborescence de domaines – A chaque domaine est associé un nom – Ex : polytech.univ-montp2.fr Formation Master II Pro 6
  7. 7. Active Directory : Concepts Architecture logique – Arbre : ensemble de domaines situé sous une racine unique formant un espace de noms contigus – Forêt : ensemble d’arbres ne formant pas un espace de noms continus Forêt p1.com p2.com Arbre Arbre Formation Master II Pro 7
  8. 8. Active Directory : Concepts Caractéristiques d’une forêt – Dans une forêt les domaines partagent : • Un même schéma • Une même partition de configuration • Un même catalogue global – Dans une forêt, les domaines sont liés entre eux par des relations d’approbations : • Transitives • Bidirectionnelles Formation Master II Pro 8
  9. 9. Active Directory : Concepts Relations d’approbation – Les relations d’approbation entre domaines W2000 utilisent Kerberos et sont : – Implicites, transitives et bidirectionnelles NT 4.0 W2000 W2003 Formation Master II Pro 9
  10. 10. Active Directory : Concepts Catalogue global Il contient une réplique partielle (nb réduit d’attribut) d’objets de l’annuaire • Utilisation : permet de localiser rapidement n’importe quel objet sans connaître son emplacement dans l’arborescence • Est présent dans chaque domaine Formation Master II Pro 10
  11. 11. Active Directory : Concepts Unités organisationnelles – Conteneurs d’objets de type utilisateurs, groupes, ordinateurs – Définies dans un domaine – Utilisation : • Organisations des données • Délégation des droits pour l’administration • Application des stratégies de groupe Formation Master II Pro 11
  12. 12. Active Directory : Concepts Fonctions des serveurs – Un serveur WNT peut être : • Contrôleur principal de domaine (PDC) • Contrôleur secondaire de domaine (BDC) • Serveur membre – Un serveur W2000/WS2003 peut être : • Contrôleur de domaine (DC) • Serveur membre Formation Master II Pro 12
  13. 13. Active Directory : Conception de l’espace de noms Formation Master II Pro 13
  14. 14. Active Directory : Conception de l’espace de noms Définition de l’espace de noms – Doit se rapprocher des topologies idéales – Doit déboucher sur un découpage utile : – Espace de noms des domaines et DNS – Topologies d’OU – Topologies de sites Formation Master II Pro 14
  15. 15. Active Directory : Conception de l’espace de noms Combien de forêts ? – Au départ une forêt ! – Pour créer une forêt de + il faut des arguments : – Nécessité de préserver des schémas distincts – Refus de dévoiler une topologie de domaines – Désaccord sur la composition des groupes sensibles Administrateur de Schéma Administrateur de l’Entreprise – Souhait de conserver le contrôle des approbations Formation Master II Pro 15
  16. 16. Active Directory : Conception de l’espace de noms Contraintes du nombre de forêts – Un domaine ne peut pas changer de forêt – Déplacement d’objet : • On sait migrer des objets d’un domaine à un autre • Mais ce n’est pas anodin ! – On ne sait pas interroger le Catalogue Global d’une autre forêt … … à moins de passer par un Méta Annuaire!! Formation Master II Pro 16
  17. 17. Active Directory : Conception de l’espace de noms Combien de domaines – Au départ un domaine – Un domaine de plus, il faut argumenter : • Délégation ne suffit pas • Nécessité de mettre en place des stratégies spécifiques : – Gestion des mots de passe – Verrouillage des comptes – Gestion des tickets Kerberos • Soucis d’optimisation de la réplication • Restructuration prévue, mais + tard Formation Master II Pro 17
  18. 18. Active Directory : Conception de l’espace de noms Définition de la racine de la forêt – Le 1er domaine créé est la racine de la forêt – Il donne son nom à la forêt – Il héberge 2 groupes sensibles : – Admins de l’Entreprise – Admins du Schéma – Choix du domaine Racine : – A choisir parmi les domaines déjà définis – Ou à créer pour les besoins Formation Master II Pro 18
  19. 19. Active Directory : Topologies d’OU Rôles des Unités Organisationnelles – Les OU peuvent servir à : • Organiser des objets • Ne pas tout montrer à tout le monde • Définir des périmètres de délégation • Définir des périmètres d’applications pour les GPO – Une OU contient des objets et pas des références à des objets – A une OU correspond des sécurités Formation Master II Pro 19
  20. 20. Active Directory : Topologie de sites Notion de site Active Directory – Qu’est ce qu’un site ? • Ensemble machines ‘bien communicantes’ • Définit comme un agrégat de sous réseaux IP • Suppose un subnetting géographique – Qui utilise les sites ? • Station pour localiser un DC proche • KCC (Konsistency Coherence Checker) pour limiter le trafic de réplication sur liaisons lentes • Client DFS pour localiser un répliqua proche • Utilisateur pour localiser une imprimante proche Formation Master II Pro 20
  21. 21. Active Directory : Topologie de sites Définition d’une topologie de réplication – Qui réplique avec qui (en inter sites) ? • Tout automatique : le KCC fait tout • Semi-automatique : – Fournir qques indices au KCC : • Créer manuellement qques connexions • Ajouter des liens de sites • Designer des têtes de pont • Tout manuel : – Créer toutes les connexions manuellement – Inhiber le KCC Formation Master II Pro 21
  22. 22. Active Directory : Réseau d’agence Installation depuis une sauvegarde – Avec W2000, lors de l’installation d’un contrôleur de domaine, une réplication complète de l’AD est faite par le réseau • Augmentation des coûts de communication • Expédition de contrôleurs pré installés – Avec WS2003, DCPROMO est capable d’installer l’AD à partir d’un sauvegarde de l’annuaire : • Seul le delta est répliqué par le réseau Formation Master II Pro 22
  23. 23. Active Directory : Réseau d’agence Optimisation de la réplication – W2000 : les attributs multi-valués (ex : groupes) sont stockés comme une valeur unique • Ces attributs ont une taille limite. Ils sont répliqués en bloc - > consommation de bande passante inutile – WS2003 : réplication unitaire des modifications • Suppression de la limite max des 5000 utilisateurs par groupe, réconciliation en cas de mises à jour concurrentes. • Tous les contrôleurs doivent être en WS2003 Formation Master II Pro 23
  24. 24. Active Directory : Réseau d’agence Optimisation de la réplication – WS2000 : topologie de réplication inter sites auto générée par l’ISTG (Inter Site Topology Generator) n’est pas exploitable pour nb de sites > 250 – Génération manuel de la topologie de réplication – WS2003 : utilisation d’un nouvel algo complexité lineaire au lieu de s2. – Tous les controleurs doivent en WS2003 – Bridgehead Server entre sites – Load balancing des connexions Formation Master II Pro 24
  25. 25. Active Directory : WS2003 versus W2000 Appartenance des attributs au GC – Avec W2000, l’ajout d’attribut au GC engendre une synchronisation complète des copies du GC – Nécessité de paramétrer avant le déploiement des GC – Avec WS2003, seuls les attributs ajoutés sont répliqués, mais tous les contrôleurs doivent être en WS2003 Formation Master II Pro 25
  26. 26. Active Directory : Multi forêts Relation d’approbation • Avec WS2003 les relations d’approbation inter forêts réduisent la charge d’administration Rel. Approb. A-B Rel. Approb. B-C Forêt A Forêt B Forêt C Formation Master II Pro 26
  27. 27. Active Directory : WS2003 Niveau de fonctionnalité : domaines Niveau de Fonctionnalité activée Types de DC fonctionnalité supportés W2000 Installation depuis un support WNT4 mixte •Mis en cache des groupes universels W2000 •Partitions applicatives WS2003 W2000 Fonctionnalités de W2000 + W2000 Natif •Imbrication des groupes WS2003 •Groupe de type universel •SIDhistory WS2003 Idem mode natif w2000 WNT4 intérimaire WS2003 WS2003 Fonctionnalités de W2000 natif + WS2003 natif •Mis à jour de l’attribut logon timestamp •Version de KDC (Key Distribution Center) Kerberos •Mot de passe utilisateur dans InetOrgPerson Formation Master II Pro 27
  28. 28. Active Directory : WS2003 Niveau de fonctionnalité : forêts Niveau de Fonctionnalité activée Types de DC fonctionnalité supportés W2000 Installation depuis un support WNT4 •Mis en cache des groupes universels W2000 •Partitions applicatives WS2003 WS2003 Idem mode w2000 WNT4 intérimaire •Réplication LVR (linked Value Record) WS2003 •Amélioration ISTG (Inter Site Topology Generator) WS2003 Fonctionnalités de W2003 intérimaire + WS2003 •Classe auxiliaire dynamique •Modification de la classe user en InetOrgPerson •Dé/réactivation au sein du schéma •Changement du nom de domaine •Relation d’approbation inter forêts Formation Master II Pro 28
  29. 29. Active Directory : Outil interactif Affichage Formation Master II Pro 29
  30. 30. Active Directory : Outil interactif L’utilisateur Formation Master II Pro 30
  31. 31. Active Directory : Outil interactif Requête sauvegardée Formation Master II Pro 31
  32. 32. Active Directory : Outil interactif Résultat d’une recherche Formation Master II Pro 32
  33. 33. Active Directory : Outil interactif Sites Formation Master II Pro 33
  34. 34. Active Directory : Ligne de commande L’utilisateur – Utilisation de lignes de commande pour créer des objets : – dsadd user -> crée un compte utilisateur – dsadd group -> crée un groupe – dsmod group -> ajoute des membres à un groupes – Dsquery -> recherche d’objet dans l’AD – Possibilité de créer des fichiers de commandes dsadd computer "cn=smithj1,ou=cso,dc=contoso,dc=msft " dsadd user "cn=John Smith,ou=CSO,dc=contoso,dc=msft" -samid smithj -upn smithj@contoso.msft -fn John -ln Smith -display "John Smith" -pwd P@ssw0rd -disabled yes Voir les exemples : http://www.microsoft.com/technet/scriptcenter/scripts/default.m spx et dsxxx/? évidemment !! Formation Master II Pro 34
  35. 35. Active Directory : Le compte utilisateur Description – Ensemble des attributs d’un objet user • Nom, prénom, initial, adresse, e-mail … – profil – Dossier de base – Groupes auxquels il appartient – L’UO ou la hiérarchie d’UO qui le contient Formation Master II Pro 35
  36. 36. Active Directory : Le compte utilisateur Le profil – Décrit l’environnement de travail de l’utilisateur • Bureau, Mes Documents, données applicatifs (IE, …) – 3 types : – Profil errant : stocké sur un serveur de fichiers. Est téléchargé sur toute station ou l’utilisateur se connecte -> même environnement – Profil local : stocké sur la station local. Est différent sur chaque station ou se logue l’utilisateur – Profil bloqué :modification de l’extension du fichier C:Documents and Settingslepinayntuser.dat en .man • L’utilisateur ne peut pas sauvegarder les modifications apportées au profil • Permet de fournir un profil identique à une population Formation Master II Pro 36
  37. 37. Active Directory : Le compte utilisateur Le dossier de base – Le dossier de base est le conteneur des données de l’utilisateur – Peut être local ou sur un serveur de fichier Formation Master II Pro 37
  38. 38. Active Directory : Le compte utilisateur Les groupes prédéfinis Formation Master II Pro 38
  39. 39. Active Directory : Le compte utilisateur Les UO – L’utilisateur est placé dans une hiérarchie d’UO en fonction des droits qu’on voudra pouvoir lui donner. – Cette hiérarchie permet aussi de lui appliquer des stratégies de groupe Formation Master II Pro 39

×