Active Directory (AD) est le service d’annuaire propriétaire de Microsoft. Il fonctionne sur Windows Server et permet aux administrateurs de gérer les autorisations et l’accès aux ressources réseau.
Active Directory stocke les données sous forme d’objets. Un objet est un élément unique, tel qu’un utilisateur, un groupe, une application ou un périphérique, par exemple une imprimante. Les objets sont normalement définis comme des ressources, telles que des imprimantes ou des ordinateurs, ou des principes de sécurité, tels que des utilisateurs ou des groupes.
Active Directory classe les objets de répertoire par nom et attributs., Par exemple, le nom d’un utilisateur peut inclure la chaîne de nom, ainsi que les informations associées à l’utilisateur, telles que les mots de passe et les clés Secure Shell (SSH).
Le service principal dans Active Directory est Domain Services (AD DS), qui stocke les informations de répertoire et gère l’interaction de l’utilisateur avec le domaine. AD DS vérifie l’accès lorsqu’un utilisateur se connecte à un périphérique ou tente de se connecter à un serveur via un réseau. AD DS contrôle les utilisateurs qui ont accès à chaque ressource, ainsi que les stratégies de groupe., Par exemple, un administrateur dispose généralement d’un niveau d’accès aux données différent de celui d’un utilisateur final.
D’autres produits de système D’exploitation (OS) Microsoft et Windows, tels que Exchange Server et SharePoint Server, s’appuient sur AD DS pour fournir un accès aux ressources. Le serveur qui héberge AD DS est le contrôleur de domaine.
les services Active Directory
Plusieurs services comprennent Active Directory., Le service principal est Domain Services, mais Active Directory comprend également des services D’annuaire légers (AD LDS), des services de certificat (AD CS), des services de fédération (AD FS) et des services de gestion des droits (AD RMS). Chacun de ces autres services étend les capacités de gestion d’annuaire du produit.
- Lightweight Directory Services a la même base de code que AD DS, partageant des fonctionnalités similaires, telles que L’API (application program interface)., AD LDS, cependant, peut s’exécuter dans plusieurs instances sur un serveur et contient des données d’annuaire dans un magasin de données à l’aide du protocole LDAP (Lightweight Directory Access Protocol).
- LDAP est un protocole d’application Utilisé pour accéder et maintenir des services d’annuaire sur un réseau. LDAP stocke des objets, tels que des noms d’utilisateur et des mots de passe, dans des services d’annuaire, tels Qu’Active Directory, et partage ces données d’objet sur le réseau.
- Certificate Services génère, gère et partage des certificats., Un certificat utilise le cryptage pour permettre à un utilisateur d’échanger des informations sur internet en toute sécurité avec une clé publique.
- Active Directory Federation Services authentifie l’accès des utilisateurs à plusieurs applications-même sur différents réseaux-à l’aide de l’authentification unique (SSO). Comme son nom l’indique, L’authentification unique exige que l’utilisateur ne se connecte qu’une seule fois, plutôt que d’utiliser plusieurs clés d’authentification dédiées pour chaque service.
- Les services de gestion des droits contrôlent les droits et la gestion de l’information. AD RMS crypte le contenu, tel que les e-mails ou les documents Microsoft Word, sur un serveur pour limiter l’accès.,
principales fonctionnalités des services de domaine Active Directory
Les services de domaine Active Directory utilisent une disposition hiérarchisée composée de domaines, d’arbres et de forêts pour coordonner les éléments en réseau.
- Un domaine est un groupe d’objets, tels que des utilisateurs ou de périphériques, qui partagent la même base de données AD. Les domaines ont une structure de système de noms de domaine(DNS).
- Un arbre est un ou plusieurs domaines regroupés. L’arborescence utilise un espace de noms contigu pour rassembler la collection de domaines dans une hiérarchie logique., Les arbres peuvent être considérés comme des relations de confiance où une connexion sécurisée, ou confiance, est partagée entre deux domaines. Plusieurs domaines peuvent être approuvés où un domaine peut faire confiance à un second, et le deuxième domaine peut faire confiance à un troisième. En raison de la nature hiérarchique de cette configuration, le premier domaine peut implicitement faire confiance au troisième domaine sans avoir besoin d’une confiance explicite.
- une forêt est Un groupe de plusieurs arbres. Une forêt se compose de catalogues partagés, de schémas de répertoires, d’informations d’application et de configurations de domaine. Le schéma définit la classe et les attributs d’un objet dans une forêt., De plus, les serveurs de catalogue global fournissent une liste de tous les objets d’une forêt. Selon Microsoft, la forêt est la limite de sécurité D’Active Directory.
- Les unités organisationnelles (UO) organisent les utilisateurs, les groupes et les périphériques. Chaque domaine peut contenir sa propre OU. Cependant, Lesus ne peuvent pas avoir d’espaces de noms distincts, car chaque utilisateur ou objet d’un domaine doit être unique. Par exemple, un compte utilisateur avec le même nom d’utilisateur ne peut pas être créé.
- Les conteneurs sont similaires aux unités D’exploitation, mais les objets de stratégie de groupe (GPO) ne peuvent pas être appliqués ou liés aux objets conteneur.,
terminologie de confiance
Active Directory s’appuie sur des approbations pour modérer les droits d’accès des ressources entre les domaines. Il existe plusieurs types de fiducies:
- une confiance à Sens Unique est lorsqu’un premier domaine autorise des privilèges d’accès aux utilisateurs d’un second domaine. Cependant, le second domaine ne permet pas l’accès aux utilisateurs du premier domaine.,
- une confiance bidirectionnelle est lorsqu’il y a deux domaines et que chaque domaine permet l’accès aux utilisateurs de l’autre domaine.
- un domaine de confiance est un domaine unique qui permet à l’utilisateur d’accéder à un autre domaine, appelé domaine de confiance.
- une confiance transitive peut s’étendre au-delà de deux domaines et permettre l’accès à d’autres domaines de confiance dans une forêt.
- une confiance intransitive est une confiance unidirectionnelle limitée à deux domaines.
- une confiance explicite est une confiance unidirectionnelle et non transitive créée par un administrateur réseau.
- une confiance croisée est un type de confiance explicite., Les fiducies de lien croisé ont lieu entre les domaines dans 1) la même arborescence, sans relation enfant-parent entre les deux domaines, ou 2) des arbres différents.
- Une fiducie forestière s’applique aux domaines de l’ensemble de la forêt et peut être unidirectionnelle, bidirectionnelle ou transitive.
- Un raccourci joint deux domaines qui appartiennent à des arbres distincts. Les raccourcis peuvent être unidirectionnels, bidirectionnels ou transitifs.
- Un royaume est une confiance transitive, intransitive, unidirectionnelle ou bidirectionnelle.
- une confiance externe est une confiance qui relie des domaines à travers des forêts distinctes ou des domaines qui ne sont pas AD., Les fiducies externes peuvent être non transitoires, unidirectionnelles ou bidirectionnelles.
- Une fiducie de gestion D’accès privé (PAM) est un type de confiance à Sens Unique. Il est créé par Microsoft Identity Manager, entre une forêt de production et une forêt bastion.
historique et développement D’Active Directory
Microsoft a offert un aperçu D’Active Directory en 1999 et l’a publié un an plus tard avec Windows 2000 Server. Microsoft a continué à développer de nouvelles fonctionnalités avec chaque version successive de Windows Server.,
Windows Server 2003 a inclus une mise à jour notable pour ajouter des forêts et la possibilité de modifier et de modifier la position des domaines dans les forêts. Les domaines sur Windows Server 2000 n’ont pas pu prendre en charge les mises à jour AD plus récentes exécutées dans Server 2003.
Windows Server 2008 a introduit AD FS. En outre, Microsoft a rebaptisé l’annuaire pour la gestion de domaine AD DS, et AD est devenu un terme générique pour les services basés sur l’annuaire qu’il prenait en charge.
Windows Server 2016 a mis à jour AD DS pour améliorer la sécurité AD et migrer les environnements AD vers des environnements cloud ou cloud hybride., Les mises à jour de sécurité comprenaient L’ajout de PAM.
PAM surveillait l’accès à un objet, le type d’accès accordé et les actions effectuées par l’utilisateur. PAM a ajouté des forêts ad bastion pour fournir un environnement forestier sécurisé et isolé supplémentaire. Windows Server 2016 a terminé la prise en charge des périphériques sur Windows Server 2003.
en décembre 2016, Microsoft a lancé Azure AD Connect pour rejoindre un système Active Directory sur site avec Azure Active Directory (Azure AD) afin d’activer L’authentification unique pour les services cloud de Microsoft, tels Qu’Office 365., Azure AD Connect fonctionne avec les systèmes exécutant Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016.
domaines vs groupes de travail
Le groupe de travail est le terme de Microsoft pour les machines Windows connectées sur un réseau peer-to-peer. Les groupes de travail sont une autre unité d’organisation pour les ordinateurs Windows dans les réseaux. Les groupes de travail permettent à ces machines de partager des fichiers, un accès internet, des imprimantes et d’autres ressources sur le réseau. La mise en réseau Peer-to-peer supprime le besoin d’un serveur pour l’authentification., Il existe plusieurs différences entre les domaines et les groupes de travail:
- Les Domaines, contrairement aux groupes de travail, peuvent héberger des ordinateurs provenant de différents réseaux locaux.
- les domaines peuvent être utilisés pour héberger beaucoup plus d’ordinateurs que les groupes de travail. Les domaines peuvent inclure des milliers d’ordinateurs, contrairement aux groupes de travail, qui ont généralement une limite supérieure proche de 20.
- Dans les domaines, au moins un serveur est un ordinateur qui est utilisé pour contrôler les autorisations et des fonctions de sécurité pour chaque ordinateur dans le domaine. Dans les groupes de travail, il n’y a pas de serveur et les ordinateurs sont tous des pairs.,
- Les utilisateurs de domaine ont généralement besoin d’identifiants de sécurité tels que des identifiants de connexion et des mots de passe, contrairement aux groupes de travail.
principaux concurrents D’Active Directory
D’autres services d’annuaire sur le marché qui offrent des fonctionnalités similaires à AD incluent Red Hat Directory Server, Apache Directory et OpenLDAP.
Red Hat Directory Server gère l’accès des utilisateurs à plusieurs systèmes dans les environnements Unix. Tout comme AD, Red Hat Directory Server inclut un ID utilisateur et une authentification basée sur un certificat pour restreindre l’accès aux données dans l’annuaire.,
Apache Directory est un projet open source qui fonctionne sur Java et fonctionne sur n’importe quel serveur LDAP, y compris les systèmes sous Windows, macOS et Linux. Apache Directory comprend un navigateur de schéma et un éditeur/navigateur LDAP. Apache Directory prend en charge les plugins Eclipse.