[AD DS] Conception de la structure logique : notion de domaine et de forêt

Avant la création d'Active Directory, la gestion des utilisateurs et des ressources se faisait à l'aide d'un ou plusieurs domaines « NT » (New Technology). Une entreprise présente sur plusieurs sites disposait souvent d'un domaine pour chacun de ses sites. Dans un domaine NT, il y avait un serveur qui était accessible en écriture, le « Primary Domain Controller », les autres « Backup Domain Controller » ne sont que des copies en lecture de l'annuaire et pouvait assurer le rôle d'authentification de l'utilisateur. En cas de panne définitive du « PDC » il était possible de promouvoir un autre « BDC » en « PDC ». La réplication des modifications ne pouvait être initiée que depuis le « PDC » vers les « BDC ».

Active Directory est apparu avec Windows 2000. Il améliore la gestion des sites géographique et a permis la mise en place de la réplication multi-maître. Une modification peut être faite sur n'importe quels contrôleurs de domaine, elle sera répercutée sur les autres.

Un domaine Active Directory est un exemplaire d'un annuaire d'une même entité et représente une limite de sécurité. Il contient entre autres l'ensemble des utilisateurs et des ordinateurs de ce domaine. Des personnes d'une entité peuvent collaborer avec des utilisateurs d'autres domaines par l'intermédiaire de relation d'approbation configurée sur chaque domaine. Une approbation permet aux administrateurs de donner des accès à des ressources de son domaine pour des utilisateurs d'un autre domaine. Cela ne signifie pas qu'un utilisateur d'un domaine aura forcément accès aux ressources de l'autre domaine.

Un domaine peut être contenu dans un ensemble comportant d'autres domaines avec qui il partage des éléments communs. Cet ensemble de données est appelé forêt Active Directory. Dans une forêt Active Directory l'ensemble des domaines s'approuvent mutuellement.

Active Directory a dissocié la structure logique (organisation de l'entreprise) de la structure physique (situation géographique). Il n'est donc ni utile, ni recommandé, de créer plusieurs domaines si l'entreprise est implantée sur plusieurs sites géographiques.

ADDS est fortement lié à la résolution de nom DNS. Les services DNS fournissent les mécanismes nécessaires pour localiser les services et les ressources. La gestion des DNS est très importante et beaucoup de problèmes Active Directory y trouvent leur origine.

Un domaine est identifié par son nom DNS qui peut par exemple avoir la forme « mondomaineracine.monentreprise.fr » ou « mondomaineracine » est le nom du domaine et « monentreprise.fr » est appelé suffixe DNS. Une arborescence est un ensemble de domaines qui partage une racine commune dans leur nom DNS. Une forêt Active Directory peut posséder plusieurs arborescences.

Pour des raisons de compatibilité Active Directory a conservé également le nom de domaine court (NetBIOS). Le nom court est généralement la première partie du nom DNS, mais il n'y a aucune obligation à conserver ce format proposé par défaut lors de l'installation. De plus le nom court est limité à 15 caractères et « mondomaineracine » ne pourra donc être utilisé.

Par défaut les noms courts sont résolus par les services « WINS » qui sont de moins en moins utilisés en entreprise. Active Directory est indépendant de la résolution « WINS » et nous n'irons pas plus en détail sur ces fonctionnalités toujours présentes dans Windows Serveur mais de moins en moins utilisé. Les noms NetBIOS peuvent également être résolus par les services DNS en association le nom court et le suffixe DNS du domaine si les noms NetBIOS ne dépassent pas 15 caractères. Les noms courts (NetBIOS) peuvent également être résolus par des « broadcast » si l'ensemble de vos postes se trouve dans le même LAN.

Un domaine AD se représente en général par un triangle. Une relation d'approbation entre domaines Active Directory est représentée par un trait joignant les sommets des deux triangles.

L'image ci-dessous représente un exemple de forêt Active Directory.

 

 

Une forêt est un ensemble de domaines qui dispose de caractéristiques communes. Chaque domaine est représenté par un triangle. Il contient des objets utilisateurs, ordinateurs qui lui sont propres. Chaque domaine dispose d'un nom DNS unique qui le qualifie. Par exemple « groupe-alpha.fr » est le nom d'un domaine. Des domaines qui partagent une partie commune dans leur nom sont appelés une arborescence, comme par exemple « groupe-omega.fr » (domaine parent) et le « xxx.groupe-omega.fr » (domaine enfant). Chaque domaine dans une forêt est lié à son domaine parent. Le trait qui relie 2 domaines au sommet du triangle représente la relation d'approbation.

Le premier domaine créé dans une forêt Active Directory est le domaine racine de la forêt. Le domaine racine de la forêt dispose de particularité comme certains groupes spécifiques.

Dans une forêt Active Directory tous les domaines partagent des propriétés communes pour chaque même type d'objet. Par exemple si vous ajoutez un champ date de naissance (ne le cherchez pas il n'existe pas par défaut) pour l'objet utilisateur ce champ sera disponible pour tous les utilisateurs de la forêt quelques soit le domaine. Cette structure commune qui définit les propriétés de chaque type d'objet est appelée le schéma Active Directory. Le schéma Active Directory qui décrit les objets et leurs propriétés est stocké dans une partition commune à l'ensemble de la forêt. Il existe une autre partition commune à l'ensemble de la forêt : la partition de configuration. Chaque domaine dispose enfin d'une partition qui lui est propre et qui contient les objets comme les utilisateurs les ordinateurs et les ressources. Cette partition est appelée « partition du domaine ».

Nous verrons qu'il existe d'autres partitions selon les versions de Windows. Il est également possible de créer des partitions particulières appelées « partitions d'application » mais cela n'est pas expliqué dans ce livre.

Il est important de comprendre qu'une forêt est un ensemble cohérent de domaine indissociable. Une forêt est viable si chaque domaine est intègre et si la communication avec les autres domaines fonctionne. Chaque domaine détient ses propres paramètres personnalisés pour les postes clients et les utilisateurs. Ces paramètres personnalisés s'appellent des stratégies de groupe (GPO).

Un Contrôleur de Domaine (DC) est un serveur Windows disposant d'un exemplaire de la partition du domaine auquel il appartient ainsi qu'un exemplaire de la partition de configuration et du schéma de la Forêt.

Active Directory étant basé sur un modèle multi maitre, toute modification faite d'un objet du domaine sur un contrôleur de domaine doit être répliquée sur les autres contrôleurs de domaine du même domaine. De la même manière toute modification sur la partition de configuration ou sur le schéma doit être répliquée avec l'ensemble des contrôleurs de domaines de la forêt.

Il faut retenir qu'un environnement Active Directory viable est un ensemble de contrôleurs de domaine qui arrivent à dialoguer ensemble. Si votre entreprise est répartie sur plusieurs sites sans qu'il y ait d'interconnexion informatique vous ne pourrez mettre en place une forêt unique.

Theme: 

Systeme: 

Annee: 

Type: