Catégories
Prestations Audits Formations

Domaine Active Directory

Dans cet article, vous allez comprendre l’intérêt d’un domaine Active Directory. Notamment, un domaine Active Directory simplifie la gestion des comptes et des ordinateurs. En effet, dans ce cas, Windows regroupe toutes les informations dans une base unique. Cette base est indépendante des ordinateurs du réseau.

Groupe de travail Windows

Dans un groupe de travail Windows, l’accès à un ordinateur exige une authentification par rapport à la base des comptes de l’ordinateur. Cette base est stockée dans un fichier intitulé SAM (Security Account Manager).

Si le groupe de travail est constitué de 10 ordinateurs avec un utilisateur par ordinateur et que tous les utilisateurs doivent accéder à tous les ordinateurs, l’administrateur doit créer 100 comptes au total. C’est d’autant plus lourd que l’opération doit être renouvelée partiellement lors de la perte d’un mot de passe.

Domaine Active Directory

Pour remédier à cette lourdeur, Microsoft propose d’utiliser un domaine Active Directory. Un domaine centralise la base des comptes dans un fichier intitulé NTDS.DIT. Cette base des comptes contient, entre autres informations, les comptes des ordinateurs qui font partie du domaine et les comptes des utilisateurs qui sont membres de ce domaine.

Pour créer un domaine Active Directory, il faut un ordinateur avec Windows Server. Par exemple, vous ne pouvez pas créer un domaine avec Windows 10.

Vous devez ensuite installer le rôle des services de domaine Active Directory (AD DS).

Puis, vous pouvez configurer directement le rôle en Windows PowerShell ou avec l’assistant graphique.

Domaine Active Directory
Domaine Active Directory

L’assistant vous interroge et vous demande notamment un nom de domaine, par exemple NOVA.AD (c’est un nom fictif). Notez que nous n’avons pas écrit NOVA.FR ou NOVA.COM afin de différencier l’Internet de l’Intranet.

Création des comptes utilisateurs

Une fois le domaine créé, vous créez les comptes utilisateurs (ALICE, BOB, CHARLES, etc.). Vous créez (ou vous rattachez) les comptes d’ordinateurs (ETOILE, MARS, VENUS, etc.) qui font partie du domaine.

Lorsque BOB cherche à se connecter au domaine NOVA.AD, il utilise l’ordinateur VENUS sur lequel il saisie son nom de compte (BOB), son mot de passe et son intention de se connecter sur le domaine NOVA.AD.

Selon un protocole défini au préalable, le contrôleur du domaine NOVA.AD vérifie les informations transmises lors de la demande d’ouverture de session par rapport à la base NTDS.DIT. Si ces informations sont correctes, le contrôleur de domaine renvoie un jeton (c’est une suite de caractères binaires) qui contient son accord d’ouverture de session, ainsi que la liste des groupes auxquels BOB appartient.

Vérification du jeton

Lorsque BOB cherche à accéder à une ressource (par exemple un dossier partagé) du domaine NOVA.AD, il présente son jeton à l’ordinateur (par exemple MARS) qui détient la ressource. MARS va aussitôt vérifier ce jeton auprès du contrôleur de domaine. Si NOVA.AD confirme son authenticité, MARS accepte la connexion demandée par BOB. Autrement dit, MARS ne contrôle pas l’authenticité de la demande de connexion par rapport à sa propre base SAM mais par rapport à la base NTDS.DIT du contrôleur de domaine.

Que se passe-t-il si le contrôleur de domaine a un crash ? Il est conseillé d’avoir plusieurs contrôleurs de domaine sur le même domaine afin d’assurer une meilleure robustesse au crash d’un contrôleur de domaine. Pour installer un second contrôleur de domaine, il est nécessaire d’avoir un autre ordinateur sur lequel est installé Windows Server 2008. Lors du lancement de DCPROMO.EXE, vous indiquez que le contrôleur de domaine que vous êtes en train d’installer est un nouveau contrôleur de domaine d’un domaine existant.

L’assistant cherche à contacter le contrôleur de domaine existant. Quand il a réussi, il recopie intégralement la base NTDS.DIT. A la fin de l’installation du nouveau contrôleur de domaine celui-ci se comporte exactement comme le premier, pour le service d’authentification. Attention, il existe d’autres services d’architecture qui font que les deux contrôleurs de domaine ne sont pas exactement équivalents.

Toutefois, afin d’avoir des mécanismes de résistance de panne et d’assurer un meilleur équilibrage des ressources, il est nécessaire d’installer plusieurs contrôleurs de domaine dans un même domaine.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *