Active Directory - Active Directory

Active Directory ( AD ) est un service d'annuaire développé par Microsoft pour les réseaux de domaine Windows . Il est inclus dans la plupart des systèmes d'exploitation Windows Server en tant qu'ensemble de processus et de services . Initialement, Active Directory n'était utilisé que pour la gestion centralisée des domaines. Cependant, Active Directory est finalement devenu un titre générique pour une large gamme de services liés à l'identité basés sur des annuaires.

Un serveur exécutant le rôle du service de domaine Active Directory (AD DS) est appelé contrôleur de domaine . Il authentifie et autorise tous les utilisateurs et ordinateurs d'un réseau de type domaine Windows , attribue et applique des politiques de sécurité pour tous les ordinateurs et installe ou met à jour des logiciels. Par exemple, lorsqu'un utilisateur se connecte à un ordinateur qui fait partie d'un domaine Windows, Active Directory vérifie le mot de passe soumis et détermine si l'utilisateur est un administrateur système ou un utilisateur normal. En outre, il permet la gestion et le stockage des informations, fournit des mécanismes d'authentification et d'autorisation et établit un cadre pour déployer d'autres services connexes : services de certificats, services de fédération Active Directory, services d' annuaire légers et services de gestion des droits .

Active Directory utilise les versions 2 et 3 du protocole LDAP ( Lightweight Directory Access Protocol ), la version Microsoft de Kerberos et DNS .

Histoire

Comme de nombreux efforts en matière de technologie de l'information, il est né d'une démocratisation de la conception à l' aide de demandes de commentaires (RFC). L' Internet Engineering Task Force (IETF), qui supervise le processus RFC, a accepté de nombreux RFC initiés par de nombreux participants. Par exemple, LDAP sous-tend Active Directory. Les annuaires X.500 et l' unité d'organisation ont également précédé le concept Active Directory qui utilise ces méthodes. Le concept LDAP a commencé à émerger avant même la fondation de Microsoft en avril 1975, avec des RFC dès 1971. Les RFC contribuant à LDAP incluent RFC 1823 (sur l'API LDAP, août 1995), RFC 2307, RFC 3062 et RFC 4533.

Microsoft a présenté en avant-première Active Directory en 1999, l'a d'abord publié avec l' édition Windows 2000 Server et l'a révisé pour étendre les fonctionnalités et améliorer l'administration dans Windows Server 2003 . La prise en charge d'Active Directory a également été ajoutée à Windows 95, Windows 98 et Windows NT 4.0 via un correctif, certaines fonctionnalités n'étant pas prises en charge. Des améliorations supplémentaires sont venues avec les versions ultérieures de Windows Server . Dans Windows Server 2008 , des services supplémentaires ont été ajoutés à Active Directory, tels que les services de fédération Active Directory . La partie de l'annuaire en charge de la gestion des domaines, qui était auparavant un élément central du système d'exploitation, a été renommée Active Directory Domain Services (ADDS) et est devenue un rôle de serveur comme les autres. "Active Directory" est devenu le titre générique d'une gamme plus large de services basés sur des annuaires. Selon Byron Hynes, tout ce qui a trait à l'identité a été placé sous la bannière d'Active Directory.

Services d'annuaire actif

Les services Active Directory se composent de plusieurs services d'annuaire. Le plus connu est Active Directory Domain Services, communément abrégé en AD DS ou simplement AD.

Services de domaine

Les services de domaine Active Directory (AD DS) sont la pierre angulaire de chaque réseau de domaine Windows . Il stocke des informations sur les membres du domaine, y compris les appareils et les utilisateurs, vérifie leurs informations d'identification et définit leurs droits d'accès . Le serveur exécutant ce service est appelé contrôleur de domaine . Un contrôleur de domaine est contacté lorsqu'un utilisateur se connecte à un appareil, accède à un autre appareil sur le réseau ou exécute une application métier de style Metro chargée de manière latérale dans un appareil.

D'autres services Active Directory (à l'exception de LDS , comme décrit ci-dessous) ainsi que la plupart des technologies de serveur Microsoft reposent sur ou utilisent les services de domaine ; les exemples incluent la stratégie de groupe , le système de fichiers de cryptage , BitLocker , les services de noms de domaine , les services de bureau à distance , Exchange Server et SharePoint Server .

L'AD DS autogéré ne doit pas être confondu avec Azure AD DS managé , qui est un produit cloud.

Services d'annuaire légers

Active Directory Lightweight Directory Services ( AD LDS ), anciennement connu sous le nom de mode d'application Active Directory (ADAM), est une implémentation du protocole LDAP pour AD DS. AD LDS s'exécute en tant que service sur Windows Server . AD LDS partage la base de code avec AD DS et fournit les mêmes fonctionnalités, y compris une API identique , mais ne nécessite pas la création de domaines ou de contrôleurs de domaine. Il fournit un magasin de données pour le stockage des données d'annuaire et un service d'annuaire avec une interface de service d' annuaire LDAP . Contrairement à AD DS, cependant, plusieurs instances AD LDS peuvent s'exécuter sur le même serveur.

Services de certificats

Les services de certificats Active Directory (AD CS) établissent une infrastructure de clé publique sur site . Il peut créer, valider et révoquer des certificats de clé publique pour les usages internes d'une organisation. Ces certificats peuvent être utilisés pour crypter des fichiers (lorsqu'ils sont utilisés avec Encrypting File System ), des e-mails (conformément à la norme S/MIME ) et le trafic réseau (lorsqu'ils sont utilisés par des réseaux privés virtuels , le protocole Transport Layer Security ou le protocole IPSec ).

AD CS est antérieur à Windows Server 2008, mais son nom était simplement Services de certificats.

AD CS nécessite une infrastructure AD DS.

Services de la Fédération

Les services de fédération Active Directory (AD FS) sont un service d' authentification unique . Avec une infrastructure AD FS en place, les utilisateurs peuvent utiliser plusieurs services Web (par exemple , forum Internet , blog , achats en ligne , messagerie Web ) ou des ressources réseau en utilisant un seul ensemble d'informations d'identification stockées dans un emplacement central, au lieu de devoir être accordés un ensemble dédié d'informations d'identification pour chaque service. L'objectif d'AD FS est une extension de celui d'AD DS : ce dernier permet aux utilisateurs de s'authentifier et d'utiliser les appareils qui font partie du même réseau, à l'aide d'un seul ensemble d'informations d'identification. Le premier leur permet d'utiliser le même ensemble d'informations d'identification dans un réseau différent.

Comme son nom l'indique, AD FS fonctionne sur la base du concept d' identité fédérée .

AD FS requiert une infrastructure AD DS, bien que son partenaire de fédération ne le puisse pas.

Services de gestion des droits

Active Directory Rights Management Services ( AD RMS , connu sous le nom de Rights Management Services ou RMS avant Windows Server 2008 ) est un logiciel serveur pour la gestion des droits d'information fourni avec Windows Server . Il utilise le cryptage et une forme de déni de fonctionnalité sélectif pour limiter l'accès aux documents tels que les e-mails d'entreprise , les documents Microsoft Word et les pages Web , ainsi que les opérations que les utilisateurs autorisés peuvent effectuer sur eux.

Structure logique

En tant que service d'annuaire, une instance Active Directory se compose d'une base de données et du code exécutable correspondant responsable du traitement des demandes et de la maintenance de la base de données. La partie exécutable, connue sous le nom d'agent du système d'annuaire, est un ensemble de services et de processus Windows qui s'exécutent sur Windows 2000 et versions ultérieures. Les objets des bases de données Active Directory sont accessibles via LDAP, ADSI (une interface de modèle d'objet de composant ), l' API de messagerie et les services Security Accounts Manager .

Objets

Un exemple simplifié de réseau interne d'une maison d'édition. La société dispose de quatre groupes avec des autorisations variables sur les trois dossiers partagés sur le réseau.

Les structures Active Directory sont des arrangements d'informations sur les objets . Les objets se répartissent en deux grandes catégories : les ressources (par exemple, les imprimantes) et les principaux de sécurité (comptes et groupes d'utilisateurs ou d'ordinateurs). Les principaux de sécurité se voient attribuer des identificateurs de sécurité uniques (SID).

Chaque objet représente une entité unique, qu'il s'agisse d'un utilisateur, d'un ordinateur, d'une imprimante ou d'un groupe, et ses attributs. Certains objets peuvent contenir d'autres objets. Un objet est identifié de manière unique par son nom et possède un ensemble d'attributs (les caractéristiques et les informations que l'objet représente) définis par un schéma , qui détermine également les types d'objets pouvant être stockés dans Active Directory.

L' objet schéma permet aux administrateurs d'étendre ou de modifier le schéma si nécessaire. Cependant, étant donné que chaque objet de schéma fait partie intégrante de la définition des objets Active Directory, la désactivation ou la modification de ces objets peut fondamentalement modifier ou perturber un déploiement. Les changements de schéma se propagent automatiquement dans tout le système. Une fois créé, un objet peut uniquement être désactivé, pas supprimé. La modification du schéma nécessite généralement une planification.

Forêts, arbres et domaines

L'infrastructure Active Directory qui contient les objets peut être visualisée à plusieurs niveaux. La forêt, l'arborescence et le domaine sont les divisions logiques d'un réseau Active Directory.

Dans un déploiement, les objets sont regroupés en domaines. Les objets d'un même domaine sont stockés dans une seule base de données (qui peut être répliquée). Les domaines sont identifiés par leur structure de nom DNS , l' espace de noms .

Un domaine est défini comme un groupe logique d'objets réseau (ordinateurs, utilisateurs, appareils) qui partagent la même base de données Active Directory.

Une arborescence est une collection d'un ou plusieurs domaines et arborescences de domaines dans un espace de noms contigu et est liée dans une hiérarchie d'approbation transitive.

Au sommet de la structure se trouve la forêt. Une forêt est un ensemble d'arborescences qui partagent un catalogue global, un schéma d'annuaire, une structure logique et une configuration d'annuaire communs. La forêt représente la limite de sécurité dans laquelle les utilisateurs, ordinateurs, groupes et autres objets sont accessibles.

    Icônes-mini-page url.gif Domaine-Boston
    Icônes-mini-page url.gif Domaine-New York
    Icônes-mini-page url.gif Domaine-Philly
  Icons-mini-page tree.gif Arbre-Sud
    Icônes-mini-page url.gif Domaine-Atlanta
    Icônes-mini-page url.gif Domaine-Dallas
Icônes-mini-page url.gif Domaine-Dallas
  Icons-mini-folder.gif OU-Marketing
    Icônes-mini-icône user.gif Hewitt
    Icônes-mini-icône user.gif Aon
    Icônes-mini-icône user.gif Steve
  Icons-mini-folder.gif OU-Ventes
    Icônes-mini-icône user.gif Facture
    Icônes-mini-icône user.gif Ralph
Exemple d'organisation géographique de zones d'intérêt au sein d'arbres et de domaines.

Unités organisationnelles

Les objets contenus dans un domaine peuvent être regroupés en unités organisationnelles (OU). Les unités d'organisation peuvent fournir une hiérarchie à un domaine, faciliter son administration et peuvent ressembler à la structure de l'organisation en termes de gestion ou de géographie. Les unités d'organisation peuvent contenir d'autres unités d'organisation — les domaines sont des conteneurs dans ce sens. Microsoft recommande d'utiliser des unités d'organisation plutôt que des domaines pour la structure et pour simplifier la mise en œuvre des stratégies et l'administration. L'unité d'organisation est le niveau recommandé auquel appliquer les stratégies de groupe , qui sont des objets Active Directory officiellement nommés objets de stratégie de groupe (GPO), bien que les stratégies puissent également être appliquées à des domaines ou des sites (voir ci-dessous). L'unité d'organisation est le niveau auquel les pouvoirs administratifs sont généralement délégués, mais la délégation peut également être effectuée sur des objets ou des attributs individuels.

Les unités organisationnelles n'ont pas chacune un espace de noms distinct. Par conséquent, pour des raisons de compatibilité avec les implémentations Legacy NetBios, les comptes d'utilisateurs avec un sAMAccountName identique ne sont pas autorisés dans le même domaine, même si les objets de comptes se trouvent dans des unités d'organisation distinctes. En effet, sAMAccountName, un attribut d'objet utilisateur, doit être unique dans le domaine. Cependant, deux utilisateurs dans des OU différentes peuvent avoir le même nom commun (CN), le nom sous lequel ils sont stockés dans le répertoire lui-même tel que "fred.staff-ou.domain" et "fred.student-ou.domain", où « staff-ou » et « student-ou » sont les unités d'organisation.

En général, la raison de ce manque de tolérance pour les noms en double via le placement hiérarchique des répertoires est que Microsoft s'appuie principalement sur les principes de NetBIOS , qui est une méthode d'espace de noms plat de gestion d'objets réseau qui, pour les logiciels Microsoft, remonte à Gestionnaire de réseau local Windows NT 3.1 et MS-DOS . Autoriser la duplication des noms d'objets dans l'annuaire, ou supprimer complètement l'utilisation des noms NetBIOS, empêcherait la rétrocompatibilité avec les logiciels et équipements hérités. Cependant, interdire les noms d'objet en double de cette manière est une violation des RFC LDAP sur lesquelles Active Directory est censé être basé.

À mesure que le nombre d'utilisateurs dans un domaine augmente, les conventions telles que "première initiale, initiale du deuxième prénom, nom de famille" ( ordre occidental ) ou l'inverse (ordre oriental) échouent pour les noms de famille courants comme Li (李), Smith ou Garcia . Les solutions de contournement incluent l'ajout d'un chiffre à la fin du nom d'utilisateur. Les alternatives incluent la création d'un système d'identification distinct de numéros d'identification unique d'employé/d'étudiant à utiliser comme noms de compte à la place des noms d'utilisateurs réels, et permettant aux utilisateurs de désigner leur séquence de mots préférée dans le cadre d'une politique d'utilisation acceptable .

Étant donné que les noms d'utilisateur en double ne peuvent pas exister dans un domaine, la génération de noms de compte pose un défi important pour les grandes organisations qui ne peuvent pas être facilement subdivisées en domaines distincts, tels que les étudiants d'un système scolaire public ou d'une université qui doivent pouvoir utiliser n'importe quel ordinateur sur le réseau.

Groupes fantômes
Dans Active Directory, les unités d'organisation (OU) ne peuvent pas être affectées en tant que propriétaires ou ayants droit. Seuls les groupes peuvent être sélectionnés et les membres des unités d'organisation ne peuvent pas se voir attribuer collectivement des droits sur les objets d'annuaire.

Dans Active Directory de Microsoft, les unités d'organisation ne confèrent pas d'autorisations d'accès et les objets placés dans les unités d'organisation ne se voient pas automatiquement attribuer des privilèges d'accès en fonction de leur unité d'organisation contenant. Il s'agit d'une limitation de conception spécifique à Active Directory. D'autres annuaires concurrents tels que Novell NDS peuvent attribuer des privilèges d'accès via le placement d'objets dans une unité d'organisation.

Active Directory nécessite une étape distincte pour qu'un administrateur affecte un objet dans une unité d'organisation en tant que membre d'un groupe également au sein de cette unité d'organisation. S'appuyer uniquement sur l'emplacement de l'unité d'organisation pour déterminer les autorisations d'accès n'est pas fiable, car l'objet n'a peut-être pas été affecté à l'objet de groupe pour cette unité d'organisation.

Une solution de contournement courante pour un administrateur Active Directory consiste à écrire un script PowerShell ou Visual Basic personnalisé pour créer et gérer automatiquement un groupe d'utilisateurs pour chaque unité d'organisation de son annuaire. Les scripts sont exécutés périodiquement pour mettre à jour le groupe afin qu'il corresponde à l'appartenance au compte de l'unité d'organisation, mais ne sont pas en mesure de mettre à jour instantanément les groupes de sécurité chaque fois que le répertoire change, comme cela se produit dans les répertoires concurrents où la sécurité est directement implémentée dans le répertoire lui-même. Ces groupes sont connus sous le nom de groupes fantômes . Une fois créés, ces groupes fantômes sont sélectionnables à la place de l'unité d'organisation dans les outils d'administration.

Microsoft fait référence aux groupes fantômes dans la documentation de référence de Server 2008, mais n'explique pas comment les créer. Il n'y a pas de méthodes de serveur intégrées ni de composants logiciels enfichables de console pour gérer les groupes fantômes.

La division de l'infrastructure d'information d'une organisation en une hiérarchie d'un ou plusieurs domaines et unités d'organisation de niveau supérieur est une décision clé. Les modèles courants sont par unité commerciale, par emplacement géographique, par service informatique ou par type d'objet et hybrides de ceux-ci. Les unités d'organisation doivent être structurées principalement pour faciliter la délégation administrative, et secondairement, pour faciliter l'application de la stratégie de groupe. Bien que les unités d'organisation forment une limite administrative, la seule véritable limite de sécurité est la forêt elle-même et un administrateur de tout domaine de la forêt doit être approuvé sur tous les domaines de la forêt.

Cloisons

La base de données Active Directory est organisée en partitions , chacune contenant des types d'objets spécifiques et suivant un modèle de réplication spécifique. Microsoft appelle souvent ces partitions des « contextes de nommage ». La partition 'Schema' contient la définition des classes d'objets et des attributs au sein de la forêt. La partition 'Configuration' contient des informations sur la structure physique et la configuration de la forêt (telle que la topologie du site). Les deux se répliquent dans tous les domaines de la forêt. La partition 'Domain' contient tous les objets créés dans ce domaine et se réplique uniquement dans son domaine.

Structure physique

Les sites sont des regroupements physiques (plutôt que logiques) définis par un ou plusieurs sous-réseaux IP . AD détient également les définitions des connexions, en distinguant les liaisons à faible vitesse (par exemple, WAN , VPN ) des liaisons à grande vitesse (par exemple, LAN ). Les définitions de site sont indépendantes du domaine et de la structure de l'unité d'organisation et sont communes à l'ensemble de la forêt. Les sites sont utilisés pour contrôler le trafic réseau généré par la réplication et également pour référer les clients aux contrôleurs de domaine (DC) les plus proches . Microsoft Exchange Server 2007 utilise la topologie du site pour le routage du courrier. Les politiques peuvent également être définies au niveau du site.

Physiquement, les informations Active Directory sont conservées sur un ou plusieurs contrôleurs de domaine homologues , remplaçant le modèle NT PDC / BDC . Chaque contrôleur de domaine a une copie de l'Active Directory. Les serveurs joints à Active Directory qui ne sont pas des contrôleurs de domaine sont appelés serveurs membres. Un sous-ensemble d'objets de la partition de domaine se réplique sur des contrôleurs de domaine configurés en tant que catalogues globaux. Les serveurs de catalogue global (GC) fournissent une liste globale de tous les objets de la forêt. Les serveurs de catalogue global se répliquent tous les objets de tous les domaines et, par conséquent, fournissent une liste globale des objets de la forêt. Cependant, pour minimiser le trafic de réplication et garder la base de données du GC petite, seuls les attributs sélectionnés de chaque objet sont répliqués. C'est ce qu'on appelle l' ensemble d'attributs partiels (PAS). Le PAS peut être modifié en modifiant le schéma et les attributs de marquage pour la réplication vers le GC. Les versions antérieures de Windows utilisaient NetBIOS pour communiquer. Active Directory est entièrement intégré au DNS et nécessite TCP/IP — DNS. Pour être pleinement fonctionnel, le serveur DNS doit prendre en charge les enregistrements de ressources SRV , également appelés enregistrements de service.

Réplication

Active Directory synchronise les modifications à l'aide de la réplication multimaître . La réplication par défaut est « pull » plutôt que « push », ce qui signifie que les réplicas extraient les modifications du serveur sur lequel la modification a été effectuée. Le vérificateur de cohérence des connaissances (KCC) crée une topologie de réplication des liens de sites en utilisant les sites définis pour gérer le trafic. La réplication intra-site est fréquente et automatique en raison de la notification de changement, ce qui incite les pairs à commencer un cycle de réplication par extraction. Les intervalles de réplication inter-sites sont généralement moins fréquents et n'utilisent pas de notification de modification par défaut, bien que cela soit configurable et puisse être rendu identique à la réplication intra-site.

Chaque lien peut avoir un « coût » (par exemple, DS3 , T1 , RNIS, etc.) et le KCC modifie la topologie du lien de site en conséquence. La réplication peut se produire de manière transitive via plusieurs liens de sites sur des ponts de liens de sites de même protocole , si le coût est faible, bien que KCC coûte automatiquement un lien direct de site à site inférieur aux connexions transitives. La réplication de site à site peut être configurée pour se produire entre un serveur tête de pont dans chaque site, qui réplique ensuite les modifications sur d'autres contrôleurs de domaine au sein du site. La réplication pour les zones Active Directory est automatiquement configurée lorsque DNS est activé dans le domaine basé par site.

La réplication d'Active Directory utilise des appels de procédure distante (RPC) sur IP (RPC/IP). Entre les sites SMTP peut être utilisé pour la réplication, mais uniquement pour les modifications apportées aux GC de schéma, de configuration ou d'ensemble d'attributs partiels (catalogue global). SMTP ne peut pas être utilisé pour répliquer la partition de domaine par défaut.

Mise en œuvre

En général, un réseau utilisant Active Directory possède plus d'un ordinateur serveur Windows sous licence. La sauvegarde et la restauration d'Active Directory sont possibles pour un réseau avec un seul contrôleur de domaine, mais Microsoft recommande plusieurs contrôleurs de domaine pour fournir une protection de basculement automatique du répertoire. Les contrôleurs de domaine sont également idéalement à usage unique pour les opérations d'annuaire uniquement et ne doivent exécuter aucun autre logiciel ou rôle.

Certains produits Microsoft tels que SQL Server et Exchange peuvent interférer avec le fonctionnement d'un contrôleur de domaine, nécessitant l'isolement de ces produits sur des serveurs Windows supplémentaires. Les combiner peut rendre la configuration ou le dépannage du contrôleur de domaine ou des autres logiciels installés plus difficiles. Il est donc recommandé à une entreprise ayant l'intention de mettre en œuvre Active Directory d'acheter un certain nombre de licences de serveur Windows, de prévoir au moins deux contrôleurs de domaine distincts et, éventuellement, des contrôleurs de domaine supplémentaires pour les performances ou la redondance, un serveur de fichiers distinct, un serveur Exchange distinct, un serveur SQL distinct, et ainsi de suite pour prendre en charge les différents rôles de serveur.

Les coûts du matériel physique pour les nombreux serveurs distincts peuvent être réduits grâce à l'utilisation de la virtualisation , bien que pour une protection adéquate par basculement, Microsoft recommande de ne pas exécuter plusieurs contrôleurs de domaine virtualisés sur le même matériel physique.

Base de données

La base de données Active-Directory , le magasin d'annuaires , dans Windows 2000 Server utilise le moteur de stockage extensible basé sur JET Blue (ESE98) et est limitée à 16 téraoctets et 2 milliards d'objets (mais seulement 1 milliard d'entités de sécurité) dans la base de données de chaque contrôleur de domaine. Microsoft a créé des bases de données NTDS avec plus de 2 milliards d'objets. (Le gestionnaire de compte de sécurité de NT4 ne pouvait pas prendre en charge plus de 40 000 objets). Appelé NTDS.DIT, il comporte deux tables principales : la table de données et la table de liens . Windows Server 2003 a ajouté une troisième table principale pour l' instance unique de descripteur de sécurité .

Les programmes peuvent accéder aux fonctionnalités d'Active Directory via les interfaces COM fournies par les interfaces de service Active Directory .

Confiant

Pour permettre aux utilisateurs d'un domaine d'accéder aux ressources d'un autre, Active Directory utilise des approbations.

Les approbations à l'intérieur d'une forêt sont automatiquement créées lors de la création des domaines. La forêt définit les limites par défaut de l'approbation, et l'approbation implicite et transitive est automatique pour tous les domaines d'une forêt.

Terminologie

Confiance à sens unique
Un domaine autorise l'accès aux utilisateurs d'un autre domaine, mais l'autre domaine n'autorise pas l'accès aux utilisateurs du premier domaine.
La confiance dans les deux sens
Deux domaines permettent l'accès aux utilisateurs sur les deux domaines.
Domaine de confiance
Le domaine qui est approuvé ; dont les utilisateurs ont accès au domaine de confiance.
Confiance transitive
Une approbation qui peut s'étendre au-delà de deux domaines à d'autres domaines approuvés dans la forêt.
Confiance intransitive
Une confiance à sens unique qui ne s'étend pas au-delà de deux domaines.
Confiance explicite
Une confiance qu'un administrateur crée. Il n'est pas transitif et est à sens unique.
La confiance croisée
Une confiance explicite entre des domaines dans des arbres différents ou dans le même arbre lorsqu'une relation descendant/ancêtre (enfant/parent) n'existe pas entre les deux domaines.
Raccourci
Joint deux domaines dans des arborescences différentes, transitive, unidirectionnelle ou bidirectionnelle.
Fiducie forestière
S'applique à toute la forêt. Transitif, unidirectionnel ou bidirectionnel.
Royaume
Peut être transitif ou non transitif (intransitif), unidirectionnel ou bidirectionnel.
Externe
Connectez-vous à d'autres forêts ou domaines non AD. Non transitif, uni ou bidirectionnel.
PAM confiance
Une approbation unidirectionnelle utilisée par Microsoft Identity Manager d'une forêt de production (éventuellement de bas niveau) à une forêt « bastion » (niveau de fonctionnalité Windows Server 2016 ), qui émet des adhésions à des groupes à durée limitée.

Solutions de gestion

Les outils de gestion Microsoft Active Directory incluent :

  • Centre d'administration Active Directory (introduit avec Windows Server 2012 et versions ultérieures),
  • Utilisateurs et ordinateurs Active Directory,
  • Domaines et approbations Active Directory,
  • Sites et services Active Directory,
  • ADSI Modifier,
  • Utilisateurs et groupes locaux,
  • Composants logiciels enfichables de schéma Active Directory pour Microsoft Management Console (MMC),
  • SysInternals ADExplorer

Ces outils de gestion peuvent ne pas fournir suffisamment de fonctionnalités pour un flux de travail efficace dans les grands environnements. Certaines solutions tierces étendent les capacités d'administration et de gestion. Ils fournissent des fonctionnalités essentielles pour des processus d'administration plus pratiques, tels que l'automatisation, les rapports, l'intégration avec d'autres services, etc.

Intégration Unix

Différents niveaux d'interopérabilité avec Active Directory peuvent être atteints sur la plupart des systèmes d' exploitation de type Unix (y compris Unix , Linux , Mac OS X ou des programmes basés sur Java et Unix) via des clients LDAP conformes aux normes, mais ces systèmes n'interprètent généralement pas beaucoup d'attributs associés aux composants Windows, tels que la stratégie de groupe et la prise en charge des approbations unidirectionnelles.

Des tiers proposent l'intégration d'Active Directory pour les plates-formes de type Unix, notamment :

  • PowerBroker Identity Services , anciennement de même ( BeyondTrust , anciennement de même logiciel) - Permet à un client non Windows de rejoindre Active Directory
  • ADmitMac (systèmes logiciels jeudi )
  • Samba ( logiciel gratuit sous GPLv3 ) – Peut servir de contrôleur de domaine

Les ajouts de schéma fournis avec Windows Server 2003 R2 incluent des attributs qui correspondent suffisamment à la RFC 2307 pour être généralement utilisables. L'implémentation de référence de RFC 2307, nss_ldap et pam_ldap fournie par PADL.com, prend en charge ces attributs directement. Le schéma par défaut pour l'appartenance au groupe est conforme à la RFC 2307bis (proposé). Windows Server 2003 R2 inclut un composant logiciel enfichable Microsoft Management Console qui crée et modifie les attributs.

Une autre option consiste à utiliser un autre service d'annuaire car les clients non Windows s'authentifient auprès de celui-ci tandis que les clients Windows s'authentifient auprès d'AD. Les clients non Windows incluent 389 Directory Server (anciennement Fedora Directory Server, FDS), ViewDS Identity Solutions - ViewDS v7.2 XML Enabled Directory et Sun Microsystems Sun Java System Directory Server . Ces deux derniers pouvant tous deux effectuer une synchronisation bidirectionnelle avec AD et ainsi assurer une intégration « déviée ».

Une autre option consiste à utiliser OpenLDAP avec sa superposition translucide , qui peut étendre les entrées dans n'importe quel serveur LDAP distant avec des attributs supplémentaires stockés dans une base de données locale. Les clients pointés vers la base de données locale voient les entrées contenant à la fois les attributs distants et locaux, tandis que la base de données distante reste totalement intacte.

L'administration (interrogation, modification et surveillance) d'Active Directory peut être réalisée via de nombreux langages de script, notamment PowerShell , VBScript , JScript/JavaScript , Perl , Python et Ruby . Les outils d'administration AD gratuits et payants peuvent aider à simplifier et éventuellement à automatiser les tâches de gestion AD.

Depuis octobre 2017, Amazon AWS propose une intégration avec Microsoft Active Directory.

Voir également

Les références

Liens externes