Glossaire Active Directory – Termes et concepts fondamentaux

Dans ce billet, je vais énumérer et expliquer la terminologie la plus couramment utilisée dans Active Directory et les technologies connexes.

Si vous êtes nouveau dans Active Directory, ce sera une excellente ressource pour vous familiariser avec les bases et les concepts fondamentaux d’Active Directory.

J’ai regroupé les termes dans différentes sections pour faciliter la compréhension et la référence. Certains sujets peuvent être très techniques, j’ai fourni une terminologie courte et facile à comprendre. Je fournis ensuite des ressources supplémentaires à la fin de chaque section si vous souhaitez en savoir plus.

Table des matières :

• Bases d’Active Directory – Commencez ici
• Services Active Directory
• DNS Active Directory
• Réplication Active Directory
• Sécurité Active Directory (Authentification, protocoles de sécurité, Permissions)
• Consoles de gestion Active Directory
• DHCP
• Politique de groupe

Bases d’Active Directory

Voici les termes de base avec lesquels vous devez vous familiariser lorsque vous traitez avec Active Directory.

Active Directory

Active Directory est un service d’annuaire qui centralise la gestion des utilisateurs, des ordinateurs et d’autres objets au sein d’un réseau. Sa fonction principale est d’authentifier et d’autoriser les utilisateurs et les ordinateurs dans un domaine Windows. Par exemple, lorsqu’un utilisateur se connecte à un ordinateur du domaine, il vérifie le nom d’utilisateur et le mot de passe qui ont été soumis pour vérifier le compte. S’il s’agit d’un nom d’utilisateur et d’un mot de passe valides, l’utilisateur est authentifié et connecté à l’ordinateur.

Ne vous confondez pas avec les trois termes suivants, ils font tous référence à Active Directory.

• AD – Il s’agit simplement d’une abréviation pour Active Directory
• AD DS – Il s’agit d’un serveur qui exécute le rôle de services de domaine Active Directory
• Contrôleur de domaine – Il s’agit également d’un serveur qui exécute le rôle de services de domaine Active Directory. Il est recommandé d’avoir plusieurs contrôleurs de domaine pour des raisons de basculement.

Domaine

Le domaine est une structure logique de conteneurs et d’objets dans Active Directory. Un domaine contient les composants suivants :

• Une structure hiérarchique pour les utilisateurs, les groupes, les ordinateurs et d’autres objets
• Des services de sécurité qui fournissent une authentification et une autorisation aux ressources du domaine et d’autres domaines
• Des politiques qui sont appliquées aux utilisateurs et aux ordinateurs
• Un nom DNS pour identifier le domaine. Lorsque vous vous connectez à un ordinateur qui fait partie d’un domaine, vous vous connectez au nom de domaine DNS. Mon domaine DNS est ad.activedirectorypro.com, c’est ainsi que mon domaine est identifié.

Arbre de domaine

Lorsque vous ajoutez un domaine enfant à un domaine parent, vous créez ce qu’on appelle un arbre de domaine. Une arborescence de domaines n’est qu’une série de domaines reliés entre eux de manière hiérarchique et utilisant tous le même espace de noms DNS. Si activedirectorypro.com devait ajouter un domaine appelé formation, ou vidéos, il serait nommé training.activedirectorypro.com et videos.activedirectorypro.com. Ces domaines font partie de la même arborescence de domaines et une confiance est automatiquement créée entre le domaine parent et le domaine enfant.

Niveaux fonctionnels

FSMO

Un contrôleur de domaine a plusieurs fonctions qui sont appelées les rôles FSMO. Ces rôles sont tous installés sur le premier contrôleur de domaine d’une nouvelle forêt, vous pouvez déplacer les rôles sur plusieurs DC pour aider aux performances et au basculement.

• Maître du schéma – Le maître du schéma est un rôle à l’échelle de la forêt qui gère toutes les modifications du schéma Active Directory.
• Domain Naming Master – C’est un rôle à l’échelle de la forêt qui est le maître des noms de domaine. Il gère l’espace de noms et l’ajout de suppression de noms de domaine.
• Émulateur PDC – Ce rôle gère les changements de mot de passe, les verrouillages d’utilisateurs, la politique de groupe et est le serveur de temps pour les clients.
• Maître RID – Ce rôle est responsable du traitement des demandes de pool RID de tous les DC du domaine. Lorsque des objets tels que des utilisateurs et des ordinateurs sont créés, ils se voient attribuer un SID unique et un ID relatif (RID). Le rôle de maître RID garantit que les objets ne se voient pas attribuer les mêmes SID et RID.
• Maître de l’infrastructure – Il s’agit d’un rôle à l’échelle du domaine utilisé pour référencer des objets dans d’autres domaines. Si des utilisateurs du domaine A sont membres d’un groupe de sécurité dans le domaine B, le rôle maître d’infrastructure est utilisé pour référencer les comptes dans le bon domaine.

Objets

Lorsque vous travaillez avec Active Directory, vous travaillez principalement avec des objets. Les objets sont définis comme un groupe d’attributs qui représentent une ressource dans le domaine. Ces objets se voient attribuer un identifiant de sécurité unique (SID) qui est utilisé pour accorder ou refuser à l’objet l’accès aux ressources du domaine. Les types d’objets par défaut créés dans un nouveau domaine dans Active Directory sont :

• Unité organisationnelle (OU) – Une OU est un objet conteneur qui peut contenir différents objets du même domaine. Vous utiliserez les OU pour stocker et organiser, les comptes d’utilisateurs, les contacts, les ordinateurs et les groupes. Vous allez également lier des objets de stratégie de groupe à une OU.
• Utilisateurs – Les comptes d’utilisateurs sont principalement attribués aux utilisateurs pour avoir accès aux ressources du domaine. Ils peuvent également être utilisés pour exécuter des programmes ou des services système.
• Ordinateur – Il s’agit tout simplement d’un ordinateur qui est joint au domaine.
• Groupes – Il existe deux types d’objets, un groupe de sécurité et un groupe de distribution. Un groupe de sécurité est un regroupement de comptes d’utilisateurs qui peut être utilisé pour fournir un accès aux ressources. Les groupes de distribution sont utilisés pour les listes de distribution de courrier électronique.
• Contacts – Un contact est utilisé à des fins de messagerie. Vous ne pouvez pas vous connecter au domaine en tant que contact et il ne peut pas être utilisé pour sécuriser les autorisations.
• Dossier partagé – Lorsque vous publiez un dossier partagé dans Active Directory, cela crée un objet. La publication des dossiers partagés dans AD permet aux utilisateurs de trouver plus facilement les fichiers et dossiers partagés au sein du domaine.
• Partager une imprimante – Tout comme les dossiers partagés, vous pouvez publier des imprimantes dans Active Directory. Cela permet également aux utilisateurs de trouver et d’utiliser plus facilement les imprimantes sur le domaine.

LDAP (Lightweight Directory Access Protocol)

Services Active Directory

Active Directory comprend plusieurs autres services qui relèvent des services de domaine Active Directory, ces services comprennent :

Services de certificats Active Directory (AD CS)

C’est un rôle de serveur qui vous permet de construire une infrastructure à clé publique (PKI) et de fournir des certificats numériques à votre organisation. Les certificats peuvent être utilisés pour chiffrer le trafic réseau, le trafic des applications et utilisés pour authentifier les utilisateurs et les ordinateurs. Lorsque vous voyez https dans l’adresse d’un navigateur, cela signifie qu’il utilise un certificat pour chiffrer la communication entre le client et le serveur.

Services de domaine Active Directory (AD DS)

Voir la description d’Active Directory

Services de fédération Active Directory (AD FS)

Active Directory Lightweight Directory Services (AD LDS)

Zones

DNS Aging and Scavenging

C’est une fonctionnalité qui peut être activée pour aider à automatiser le nettoyage des enregistrements DNS périmés. J’ai créé un post séparé qui explique plus et fournit des instructions étape par étape pour configurer le vieillissement et le balayage des DNS.

Les enregistrements SRV utilisés par Active Directory

Dans un domaine Windows, les enregistrements SRV sont utilisés par les clients pour localiser les contrôleurs de domaine pour Active Directory. Lorsque vous installez le service AD DS, le processus crée automatiquement les enregistrements SRV pour Active Directory.

• Active Directory crée ses enregistrements SRV dans les dossiers suivants, où Domain_Name est le nom de votre domaine :
  • Forward Lookup Zones/Domain_Name/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Forward Lookup Zones/Domain_Name/_msdcs/dc/_tcp

Voici une capture d’écran de mon DNS :

Les forwarders

Les forwarders DNS sont des serveurs qui résolvent les noms d’hôtes que votre serveur DNS interne ne peut pas résoudre, principalement des domaines externes comme la navigation sur Internet. Vous pouvez le configurer pour transférer les demandes DNS à n’importe quel serveur de votre choix, souvent un FAI est utilisé.

Root Hints

Le serveur root hint est une autre méthode pour résoudre les noms d’hôtes que votre serveur interne ne peut pas résoudre. La différence est que ces serveurs servent de zone DNS racine pour l’internet. Ils sont gérés par plusieurs grandes organisations pour la sécurité et la redondance. Vous pouvez utiliser soit les indices de la racine, soit les forward pour résoudre les noms externes.

Ressources :

Liste complète des types d’enregistrements de ressources DNS

Comment vérifier que les enregistrements DNS SRV ont été créés pour un contrôleur de domaine

Root Hints vs Forwarders

Bonnes pratiques DNS

Réplication Active Directory

La réplication est le processus qui garantit que les modifications apportées à un contrôleur de domaine sont répliquées sur les autres contrôleurs de domaine du domaine.

Objets de connexion

L’objet de connexion spécifie quels contrôleurs de domaine se répliquent entre eux, à quelle fréquence et leurs contextes de dénomination.

KCC

Le vérificateur de cohérence des connaissances (KCC) est un processus qui s’exécute sur tous les contrôleurs de domaine et génère une topologie de réplication basée sur les sites, les sous-réseaux et les objets de lien de site.

Sous-réseaux

Un sous-réseau est une partie logique d’un réseau IP. Les sous-réseaux sont utilisés pour regrouper les périphériques dans un réseau spécifique, souvent par emplacement, bâtiment ou étage. Si vous avez un environnement multisite, Active Directory doit connaître vos sous-réseaux afin de pouvoir identifier correctement les ressources les plus efficaces. Si ces informations ne sont pas fournies, les clients peuvent s’authentifier et utiliser le mauvais contrôleur de domaine.

Site

Un site est une collection de sous-réseaux. Les sites Active Directory permettent de définir le flux de réplication et l’emplacement des ressources pour les clients tels qu’un contrôleur de domaine.

Lien de site

Les liens de site vous permettent de configurer quels sites sont connectés les uns aux autres.

Pont de lien de site

Un pont de lien de site est une connexion logique entre les sites. C’est une méthode pour représenter logiquement la connectivité transitive entre les sites.

Topologie du site

La topologie du site est une carte qui définit la connectivité du réseau pour la réplication et l’emplacement des ressources dans la forêt Active Directory. La topologie du site est constituée de plusieurs composants, notamment les sites, les sous-réseaux, les liens de site, les ponts de liens de site et les objets de connexion.

Réplication intra-site

Il s’agit de la réplication qui se produit entre les contrôleurs de domaine d’un même site.

Réplication inter-sites

Dans un environnement avec plusieurs sites, une modification sur un site doit être répliquée sur l’autre site. C’est ce qu’on appelle la réplication inter-sites.

Ressources :

Comment fonctionne la réplication Active Directory

Concepts de réplication Active Directory

Sécurité Active Directory (authentification, protocoles de sécurité, permissions)

Kerberos

Kerberos est un protocole de sécurité qui permet de manière sécurisée aux utilisateurs de prouver leur identité pour accéder aux ressources du domaine.

Centre de distribution de clés (KDC)

Le KDC est un service qui s’exécute sur les contrôleurs de domaine et fournit des tickets de session utilisés dans le protocole d’authentification Kerberos.

Noms principaux de service (SPN)

Le SPN est un identifiant unique d’une instance de service.

NTLM

NTLM est un ensemble de protocoles de sécurité utilisés pour authentifier, fournir l’intégrité et la confidentialité aux utilisateurs. Kerberos est le protocole d’authentification préféré et est utilisé dans les versions modernes de Windows, NTLM est toujours disponible pour les clients plus anciens et les systèmes sur un groupe de travail.

Les permissionsNTFS

Les permissionsNTFS vous permettent de définir qui est autorisé à accéder à un fichier ou à un dossier. Vous trouverez ci-dessous une liste des permissions de base que vous pouvez définir :

• Contrôle total – Cela donne aux utilisateurs les droits d’ajouter, de modifier, de déplacer et de supprimer des fichiers et des dossiers.
• Modifier – Donne aux utilisateurs la vue et les droits de modification
• Lire & Exécuter – Donne aux utilisateurs la vue et les droits d’exécution
• Lire – prêt seulement. droits
• Écrire – droit sur un fichier et d’ajouter de nouveaux dossiers

Les autorisations partagées

Les autorisations partagées définissent le niveau d’accès aux ressources partagées telles qu’un dossier. Il existe trois permissions partagées de base :

• Lecture – Donne aux utilisateurs des droits de visualisation sur le dossier et les sous-dossiers
• Modification – Donne aux utilisateurs des droits de lecture et de modification
• Contrôle total – Donne aux utilisateurs des droits de modification, de changement et de lecture.

Liste de contrôle d’accès discrétionnaire (DACL)

Une DACL identifie quel compte permet ou refuse l’accès à un objet tel qu’un fichier ou un dossier.

Entrées de contrôle d’accès (ACE)

La DACL contient des ACE, l’ACE définit quel compte et quel niveau d’accès doit être accordé à la ressource. Si aucune ACE n’est présente, le système refuse tout accès à l’objet.

Liste de contrôle d’accès du système (SACL)

La SACL permet aux admins de consigner les tentatives d’accès à un objet de sécurité.

Politique de mot de passe à grain fin

Ressources :

Kerberos pour l’administrateur occupé

Synthèse technique de l’authentification Windows

Différences entre les permissions Share et NTFS

Listes de contrôle d’accès

Consoles de gestion Active Directory

Cette section comprend les consoles de gestion que vous devrez utiliser pour gérer les différentes technologies Active Directory. Vous devrez installer les outils d’administration de serveur à distance (RSAT) pour accéder à ces consoles de gestion.

Utilisateurs et ordinateurs Active Directory (ADUC)

C’est la console la plus couramment utilisée pour gérer les utilisateurs, les ordinateurs, les groupes et les contacts.

Courtourci : dsa.msc

Centre d’administration Active Directory (ADAC)

Domaines et trusts Active Directory

Cette console est utilisée pour élever le mode domaine ou le niveau fonctionnel d’un domaine ou d’une forêt. Elle est également utilisée pour gérer les relations de confiance.

Sites et services Active Directory

C’est la console principale pour gérer la réplication. Cette console est utilisée pour gérer les objets de topologie de site, les objets de connexion, planifier la réplication, forcer manuellement la réplication, activer le catalogue global et activer la mise en cache universelle des groupes.

Gestion DFS

Cette console est utilisée pour gérer les espaces de noms DFS et la réplication DFS.

DHCP

Cette console est utilisée pour créer des scopes DCHP, visualiser les informations de bail et tout ce qui concerne le DHCP.

DNS

Cette console est utilisée pour créer des zones DNS, des enregistrements de ressources et gérer tout ce qui concerne le DNS.

Gestion des politiques de groupe

PowerShell

Ressources :

Protocole de contrôle dynamique des hôtes (DHCP)

Scope

• Nom de l’étendue – Il s’agit du nom de l’étendue. Donnez-lui un nom descriptif pour qu’il soit facile d’identifier les appareils auxquels il est destiné.
• Gamme d’adresses IP – Il s’agit de la gamme d’adresses IP que vous souhaitez que les périphériques utilisent. Par exemple 10.2.2.0/24
• Exclusions d’adresses IP – Vous pouvez spécifier d’exclure l’adresse IP de la portée. Ceci est utile si vous avez des périphériques sur le sous-réseau qui ont besoin d’une IP statique comme un routeur ou un serveur.
• Durée du bail – Le bail spécifie combien de temps un client a une adresse IP avant de la rendre au pool.
• Options DHCP – Il existe un certain nombre d’options différentes que vous pouvez inclure lorsque DHCP attribue une adresse IP. Plus d’informations à ce sujet ci-dessous

Options DHCP

Il existe de nombreuses options DHCP, ci-dessous les options les plus couramment utilisées dans un domaine Windows.

• 003 routeur – La passerelle par défaut du sous-réseau
• 005 serveur DNS – L’adresse IP du serveur DNS que les clients doivent utiliser pour la résolution de noms.
• 015 Nom de domaine DNS – Le suffixe DNS que le client doit utiliser, souvent le même que le nom de domaine.

Filtrage DHCP

Le filtrage DHCP peut être utilisé pour refuser ou autoriser des périphériques en fonction de leur adresse MAC. Par exemple, je l’utilise pour bloquer les appareils mobiles de se connecter à notre wifi sécurisé.

Superscopes

Un superscope est une collection de scopes DHCP individuels. Cela peut être utilisé lorsque vous voulez joindre à des scopes ensemble. Honnêtement, je ne l’ai jamais utilisé.

Split Scopes

C’est une méthode pour fournir une tolérance aux pannes pour un scope DHCP. L’utilisation du basculement DHCP n’est pas la méthode préférée pour la tolérance aux pannes.

DHCP Failover

Le DHCP failover était une nouvelle fonctionnalité à partir de la version 2012 du serveur. Elle permet à deux serveurs DHCP de partager les informations de bail fournissant une haute disponibilité pour les services DCHP. Si un serveur devient indisponible, l’autre serveur prend le relais.

Ressources :

Paramètres DHCP

Politique de groupe

La politique de groupe vous permet de gérer de manière centralisée les paramètres des utilisateurs et des ordinateurs. Vous pouvez utiliser la politique de groupe pour définir les politiques de mot de passe, les politiques d’audit, l’écran de verrouillage, les lecteurs mappés, le déploiement de logiciels, le lecteur unique, les paramètres d’office 365 et bien plus encore.

Objets de stratégie de groupe (GPO)

Les GPO sont une collection de paramètres de stratégie que vous utilisez pour appliquer aux ordinateurs ou aux utilisateurs.

Fréquence de rafraîchissement des stratégies de groupe

Les postes de travail clients et les serveurs membres rafraîchissent leurs stratégies toutes les 90 minutes. Pour éviter de submerger les contrôleurs de domaine leur est ajouté un intervalle de décalage aléatoire pour chaque machine. Cela empêche toutes les machines de demander des mises à jour des stratégies de groupe au DC en même temps et de potentiellement le faire planter.

Traitement des stratégies

Les stratégies de groupe s’appliquent dans l’ordre suivant

• Local
• Site
• Domaine
• Unité organisationnelle (OU)

Bloquer l’héritage

Par défaut, les objets de stratégie de groupe sont hérités. Pour modifier ce comportement, vous pouvez utiliser l’option de blocage de l’héritage à un niveau OU.

No Override

Si vous voulez appliquer les politiques et empêcher qu’elles soient bloquées, utilisez l’option no override.

Paramètres utilisateur

Dans une GPO, il y a des paramètres utilisateur et des paramètres ordinateur. Les paramètres utilisateur ne s’appliquent qu’aux objets utilisateur. Si vous configurez les paramètres utilisateur dans la GPO, la GPO doit être appliquée aux objets utilisateur.

Paramètres de l’ordinateur

Les paramètres de l’ordinateur dans une GPO sont des paramètres qui peuvent être appliqués à un ordinateur. Si vous configurez les paramètres de l’ordinateur, la GPO doit être appliquée aux objets ordinateur.

Resultant Set of Policy (RsoP)

Resultant Set of Policy est un outil Microsoft intégré à Windows 7 et aux versions ultérieures. Il fournit aux administrateurs un rapport sur les paramètres de stratégie de groupe qui sont appliqués aux utilisateurs et aux ordinateurs. Il peut également être utilisé pour simuler des paramètres à des fins de planification.

J’ai un tutoriel complet dans mon article Comment utiliser RSoP pour vérifier et dépanner les paramètres de stratégie de groupe.

Préférences de stratégie de groupe

Les préférences de stratégie de groupe sont principalement utilisées pour configurer des paramètres qui peuvent être modifiés ultérieurement au niveau du client. Les préférences ont également la possibilité d’effectuer un ciblage avancé comme l’application à un certain OU, à une version de Windows, aux utilisateurs d’un groupe, etc. Les préférences sont généralement utilisées pour configurer les éléments suivants :

• Mappages de lecteurs
• Paramètres de registre
• Installation d’imprimantes
• Planification de tâches
• Définir les autorisations de fichiers et de dossiers
• Définir les paramètres d’alimentation

Modèles

Vous pouvez installer des modèles de stratégie de groupe supplémentaires pour étendre les GPO par défaut fournies par Microsoft. Certains modèles communs utilisés sont Office 365, Chrome, Firefox et ceux fournis par des applications tierces. Les modèles sont des fichiers basés sur xml généralement dans un format ADM ou une extension de fichier ADMX.

Ressources :

Architecture de la politique de groupe

Vue d’ensemble de la politique de groupe

J’ai raté quelque chose ? Vous avez quelque chose à partager ? Faites-le moi savoir dans les commentaires ci-dessous.

.