Active Directory

Pour rappel, Active Directory est le nom du service d'annuaire de Microsoft. apparu dans le système d'exploitation Microsoft Windows Server 2000. Le service d'annuaire Active Directory est basé sur les standards TCP/IP : DNS, LDAP, Kerberos, etc. C'est un annuaire référençant les personnes (nom, prénom, numéro de téléphone, etc.) mais également toutes sortes d'objets, dont les serveurs, les imprimantes, les applications, les bases de données, etc.

Active Directory permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Active Directory constitue ainsi le moyeu central de toute l'architecture réseau et a vocation à permettre à un utilisateur de retrouver et d'accéder à n'importe quelle ressource identifiée par ce service.

Active Directory est donc un outil destiné aux utilisateurs mais dans la mesure où il permet une représentation globale de l'ensemble des ressources et des droits associés il constitue également un outil d'administration et de gestion du réseau. Il fournit à ce titre des outils permettant de gérer la répartition de l'annuaire sur le réseau, sa duplication, la sécurisation et le partitionnement de l'annuaire de l'entreprise.

Principes :

Active Directory permet de représenter et de stocker les éléments constitutifs du réseau (les ressources informatiques mais également les utilisateurs) sous formes d'objets, c'est-à-dire un ensemble d'attributs représentant un élément concret. Les objets sont organisés hiérarchiquement selon un schéma (lui-même stocké dans l'annuaire) définissant les attributs et l'organisation des objets.

Le service d'annuaire Active Directory permet de mettre ces informations à disposition des utilisateurs, des administrateurs et des applications selon les droits d'accès qui leur sont accordés.

Les objets d'Active Directory (Utilisateurs, Groupes, Ordinateurs, etc.) correspondent à des classes, c'est-à-dire des catégories d'objets possédant les mêmes attributs. Ainsi un objet est une « instanciation » d'une classe d'objet, c'est-à-dire un ensemble d'attributs avec des valeurs particulières.

Lorsqu'un objet contient d'autres objets, on le qualifie de conteneur. Les conteneurs permettent de regrouper les objets dans une optique d'organisation. A l'inverse si l'objet est au plus bas niveau de la hiérarchie, il est qualifié de feuille.

La hiérarchie composée de l'ensemble des conteneurs (n½uds) et des feuilles est appelée arbre.

La notion d'arbre est étroitement liée à la notion de domaine, permettant de circonscrire des ressources informatiques dans un même périmètre de sécurité. Un domaine est ainsi constitué d'un ensemble défini d'éléments et possède une politique de sécurité (contrôles d'accès) qui lui est propre. Deux domaines (ou plus) possédant le même schéma peuvent établir entre eux des relations d'approbation (relations de confiance) bidirectionnelles et transitives basées sur le protocole Kerberos. L'ensemble des domaines reliés entre eux hiérarchiquement par des relations d'approbation constituent un arbre de domaines (appelé arbre). Le domaine situé au sommet de la hiérarchie est appelé « domaine racine » et les domaines situés en dessous sont des sous-domaines. Les domaines d'un même arbre partagent nécessairement le même espace de nom. Ainsi les domaines commentcamarche.net, tech.commentcamarche.net, compta.commentcamarche.net et support.commentcamarche.net font partie du même espace de nom et constituent un arbre lorsqu'ils sont liés par des relations d'approbation.

On appelle « forêt » le regroupement (par relations d'approbation) de plusieurs arbres possédant le même schéma mais ne possédant pas nécessairement le même espace de nom, afin par exemple de joindre les annuaires de deux entreprises.