Guide de l'utilisateur débutant d'Active Directory

Les services de domaine Active Directory (AD DS) sont le service de domaine traditionnel, sur site, proposé par Microsoft. Il s’agit du composant central et d’un rôle de serveur dans Active Directory (AD), le service d’annuaire spécialisé et propriétaire dans les environnements de systèmes d’exploitation Windows.

Prenons l’exemple d’une entreprise ou d’un établissement complexe comportant de nombreuses ressources réseau connectées.

Afin d’assurer la gestion efficace de ces ressources, les administrateurs informatiques utilisent AD et ses composants, notamment AD DS. AD est configuré pour configurer, regrouper et gérer de manière centralisée une collection logique de ressources réseau dans un domaine AD.

Contrairement à ce qui se passe dans un groupe de travail où les administrateurs réseau doivent identifier et gérer individuellement les stratégies et les autorisations manuellement, AD fournit une base de données centrale qui facilite la mise en place par les administrateurs de contrôles d’accès et d’autorisations appropriés pour l’utilisation de diverses ressources réseau. AD permet également aux administrateurs de définir des politiques de sécurité qui régissent qui a accès à quoi dans le réseau.

C’est l’administrateur qui regroupe logiquement les ressources du réseau pour former un domaine AD. Tous ces objets de domaine peuvent partager le même contrôleur de domaine (DC) central. Un environnement Windows qui possède un DC avec AD DS installé et fonctionnant comme nœud central d’authentification et d’autorisation est appelé environnement contrôlé par le domaine.

AD suit une architecture client-serveur, le DC étant le serveur central qui dessert les autres ressources réseau connectées du domaine. Le DC possède une autorité complète sur le domaine et contrôle l’authentification et les modifications de toutes les ressources réseau contenues dans son domaine.

Examinons maintenant deux des processus les plus fondamentaux d’un environnement AD :

Authentification : L’authentification est l’une des principales fonctionnalités d’AD grâce à laquelle l’identité de tout utilisateur qui se connecte à un domaine AD est vérifiée et l’accès est soit autorisé, soit refusé. Le processus de vérification des identités en termes très définitifs constitue la base du processus d’authentification. Les identités peuvent être authentifiées de l’une des trois manières suivantes :

  • Quelque chose que vous connaissez, comme une adresse électronique, ou une combinaison de nom d’utilisateur et de mot de passe.
  • Quelque chose que vous avez, comme un jeton électronique ou une carte à puce.
  • Quelque chose que vous êtes, comme une empreinte digitale ou un autre élément biométrique.

Autorisation : L’autorisation est l’autre fonctionnalité essentielle d’AD, qui suit successivement le processus d’authentification. L’accès et les permissions d’utilisation des ressources réseau appropriées et d’autres données pertinentes sont accordés aux utilisateurs par le biais de l’autorisation. Ce processus se déroule avec la génération de jetons de sécurité vérifiés par rapport à un ensemble prédéfini de règles propres à chaque utilisateur.

L’authentification et l’autorisation constituent la base de la gestion des identités et des accès.

Pour renforcer votre compréhension d’AD, voici les définitions de certaines des propriétés les plus importantes d’AD :

Objets :

AD stocke les données sous la forme d’objets. Chaque élément de l’environnement AD est un objet AD.

  • Objets utilisateurs, ou utilisateurs : Les objets qui doivent être authentifiés pour rejoindre des domaines AD sont appelés utilisateurs. Les utilisateurs doivent être authentifiés, recevoir des autorisations et des privilèges, et sont souvent regroupés au sein d’un domaine AD dans d’autres objets AD appelés groupes.
  • Objets informatiques, ou ordinateurs : Les objets AD qui représentent les stations de travail ou les serveurs membres du domaine sont appelés ordinateurs.
  • Objets conteneurs : Les objets d’AD qui peuvent contenir ou retenir d’autres objets sont appelés objets conteneurs. Il existe des objets conteneurs par défaut et des objets conteneurs créés dans AD.
  • Objets feuilles : Les objets feuilles sont des objets dans AD qui ne peuvent pas contenir ou avoir des objets secondaires en leur sein, par exemple, des utilisateurs.

Domaine :

Un domaine est le regroupement logique d’objets liés, tels que des utilisateurs, des ordinateurs ou des groupes, ou des ressources partagées telles que des imprimantes, des fichiers ou des dossiers, tous contrôlés ou desservis par un ou plusieurs DC. Tous les objets d’un domaine particulier partagent la même base de données AD. Les domaines sont généralement identifiés par un nom fourni par le DNS, tel que xxx.com.

  • Contrôleur de domaine (DC) : Un DC est le serveur sur lequel AD DS est installé. La promotion d’un serveur en tant que DC lui permet de gérer de manière centralisée les permissions, de contrôler l’authentification des identités des utilisateurs et d’autoriser l’accès à diverses ressources, notamment le stockage des fichiers, les applications et les autres réseaux.
  • Arbre : À des fins administratives, les domaines AD sont regroupés en arborescences. L’objectif des administrateurs est de maintenir le nombre de domaines au minimum et de les regrouper logiquement en arborescence. Les domaines et sous-domaines sont regroupés logiquement et hiérarchiquement pour ressembler à une structure arborescente.
  • Forêt : Les limites de sécurité d’un environnement AD sont définies par des forêts, qui sont un ensemble de plusieurs arbres. Deux forêts ne peuvent interagir que si une autorité de confiance transitive est établie entre elles. La forêt globale représente une organisation et constitue le niveau le plus élevé en termes de définition de l’architecture AD. Dans des scénarios d’entreprise tels que les fusions et les acquisitions, plusieurs forêts peuvent être combinées ensemble pour que les administrateurs de réseau aient un contrôle total sur tous les domaines, DC et données AD concernés. Chaque forêt est identifiée par le premier domaine qui a été créé, c’est-à-dire le nom de domaine racine.
  • Site : Les sites AD sont des groupements physiques de sous-réseaux couvrant une gamme d’adresses IP dans chaque emplacement géographique. Les sites peuvent avoir un ou plusieurs DCs regroupés avec les autres ressources du réseau. Un site couvre généralement un réseau local. Les serveurs d’autres réseaux (et donc d’autres sites) interagissent par le biais de liens de site. Les sites sont définis afin de faciliter le processus de réplication pour un fonctionnement efficace d’AD.
  • Réplication : AD est conçu sur la base de la réplication. Le processus de modification d’un objet AD contrôlé par un DC particulier est reflété, ou répliqué, dans tous les autres DC de la forêt. La réplication se fait de deux manières : intrasite et intersite.
  • Stratégie de groupe : La stratégie de groupe gère les politiques de configuration et de sécurité des utilisateurs et des ordinateurs.
  • Objets de stratégie de groupe (GPO) : Les GPO sont des groupes de paramètres appliqués aux utilisateurs et aux ordinateurs du domaine. Il peut s’agir du droit de se connecter à certaines machines ou de l’autorisation d’accéder à certains fichiers et ressources partagées tels que les imprimantes, les scanners et autres périphériques de stockage partagés.

Maintenant que les concepts de base de l’environnement AD ont été couverts, plongeons dans l’objectif de la mise en place d’un AD dans toute entreprise :

  1. AD permet d’organiser tous les utilisateurs, ordinateurs et autres ressources du réseau, ainsi que les accès et autorisations qui leur sont associés. Cela facilite l’allocation, la gestion et la maintenance des ressources.
  2. AD est essentiel pour maintenir la sécurité d’une organisation. L’accès aux ressources du réseau est géré par des politiques de sécurité. Comme nous l’avons vu précédemment, l’authentification et l’autorisation sont les éléments centraux d’un environnement AD.
  3. Grâce à une gestion claire, transparente et centralisée des utilisateurs et de leurs accès, les coûts d’exploitation sont réduits et le contrôle des ressources du réseau est simplifié.
  4. AD permet de respecter les réglementations de conformité telles que le RGPD, le GLBA et l’HIPAA. L’audit de conformité implique la gestion des politiques, réglementations et normes de sécurité, qui couvrent la façon dont les informations sensibles sur les utilisateurs et les groupes sont traitées. AD garantit la plus grande granularité dans la gestion et le reporting de ces données. Il fournit des informations précieuses qui sont utilisées par les auditeurs de conformité lors d’audits à l’échelle de l’organisation.
  5. AD permet une approche personnalisée de la gestion des utilisateurs et des privilèges qui leur sont associés. Cela implique le regroupement de tous les objets AD et leur gestion ultérieure en fonction des besoins et des objectifs de l’entreprise.
  6. AD fournit la base d’un point d’accès unique ou d’une authentification unique pour accéder aux ressources du réseau situées sur n’importe quel serveur dans l’environnement contrôlé par AD.
  7. Les stratégies de mot de passe et divers autres paramètres de configuration des utilisateurs et des ordinateurs permettent une gestion efficace de la livraison des logiciels. Les paramètres Windows et les modèles administratifs dans AD peuvent être utilisés pour une meilleure gestion des données et des services.
  8. Les mises à jour automatiques et la gestion centralisée des périphériques avec une intervention manuelle minimale sont possibles grâce à AD. Les administrateurs de réseau utilisent la stratégie de groupe pour gérer ces configurations.

Ce sont là quelques-uns des concepts de base, mais essentiels, à saisir lorsque vous commencez votre étude d’AD. Suivez cette série pour approfondir et renforcer votre compréhension de divers autres aspects d’AD.

Source : A practical approach to Active Directory Domain Services, Part 1: A beginner’s guide to Active Directory