1 / 69

Active Directory

Active Directory. Concepts et évolutions apportées par Windows Server 2003 Conception de l'espace de noms Active Directory Planification des services Les stratégies de groupes. Conception d'une architecture Active Directory pour Windows Server 2003. Annuaire et Schéma.

odeda
Download Presentation

Active Directory

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Active Directory

  2. Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes

  3. Conception d'une architecture Active Directory pour Windows Server 2003

  4. Annuaire et Schéma • Un annuaire est un emplacement de stockage utilisé comme référentiel • L’annuaire aura un taux de lectures/écritures très élevé. • Un annuaire est un espace de stockage hiérarchique (non relationnel) • Tout élément de l’annuaire est un objet doté d’attributs • Ex : l’objet de type Utilisateur possède un attribut Numéro de téléphone • Les définitions des classes d’objets et des attributs sont accessibles via le schéma

  5. Annuaire «Active Directory» • Stockage (distribué) de données identifiant les ressources présentes dans le système informatique • Ex : utilisateur, ordinateur, groupe, domaine, application, imprimante, stratégie… • Protocoles pour accéder et manipuler les données : • Domain Name System (DNS) • Lightweight Directory Access Protocol (LDAP) • Utilisation : • Source d’information globale pour l’entreprise

  6. Bénéfices d’Active Directory • Administrabilité • Intégration des stratégies de configuration des postes et des utilisateurs, délégation d’administration, automatisation via scripting (WSH). • Modularité • Hiérarchie de domaines et d’OU. • Scalabilité • Réduction du nombre de domaines. • Interopérabilité • Utilisation des standards DNS, LDAP, KERBEROS. • Extensibilité • Richesse et modification du schéma.

  7. SAM de MS Windows NT contient : Comptes utilisateurs Groupes globaux Groupes locaux Comptes spéciaux Stratégies de comptes Stratégies d'audit Stratégies des droits utilisateur 40 Mo maxi recommandé Active Directory vs base SAM • Active Directory • la même chose, plus : • Contacts • Groupes de distribution • Groupes Universels • Groupes locaux de domaine • Unité d’organisation (OU) • Dossiers publiés • Imprimantes publiées • Stratégie de groupe (GPO) • Eléments de configuration de services (DNS, RPC, DFS) • Accès par des protocoles standard (LDAP, DNS) • Peut contenir des millions d'objets

  8. Schéma «Active Directory» • Utilisation • Extensibilité (dynamiquement éditable) • Ajout de nouvelles classes d’objets • Ajout de nouveaux attributs à des classes d’objets existantes • Interopérabilité • Désactivation avec possibilité de réutiliser la classe ou les attributs désactivés • Utilisation de la classe inetOrgPerson pour l’ouverture de session des utilisateurs (meilleure interopérabilité avec les autres annuaires)

  9. Extension du schéma • Nécessaire pour certains applicatifs • Exchange 2000, Exchange 2003 • ISA Server 2000 Edition Entreprise, ISA Server 2006 • SMS 2003 • … • Nécessaire pour certains composants de Windows 2003 R2 • Service de réplication de fichiers (DFS) • Publication des imprimantes via les GPO avec la console Print Management Console • Intégration des services d’identité pour UNIX

  10. Architecture logiqueArbres, forêts, domaines • Arbre • Ensemble de domaines situés sous une racine unique, formant un espace de noms contigus. • Forêt • Ensemble d’arbres ne formant pas un espace de noms forcément contigus. FORET DOM2.COM DOM1.COM ARBRE ARBRE

  11. Notion de Forêt • Une forêt est un ensemble de domaines Active Directory qui partagent : • Des informations de configuration, • Une description logique et physique. • Porte le nom du premier domaine installé. • Les domaines forment une ou plusieurs arborescences

  12. Caractéristiques d’une forêt • Dans une forêt, les domaines partagent • Un même schéma, • Une même partition de configuration, • Un même catalogue global. • Dans une forêt, les domaines • Sont liés entre eux par des relations d'approbation • Bidirectionnelles, • Transitives.

  13. Notion de Domaine • Frontière de réplication et d’administration. • L’annuaire associé à chaque domaine est disponible sur un ou plusieurs contrôleurs de domaines (DC). • Il est possible de créer des arborescences de domaines. • A chaque domaine est associé un nom : • Ex : europe.contoso.com. • Le domaine n’est pas une frontière de sécurité

  14. OU OU Notion d’Unités Organisationnelles (OU) • Conteneurs d’objets de type utilisateurs, groupes, ordinateurs, OU… au sein d’un domaine. • Utilisation : • Organisation des données, • Délégation des droits d’administration, • Application des stratégies de groupe.

  15. Espace de nommage hiérarchique • L’espace de nommage (zone dans laquelle un nom peut être résolu) de l’Active Directory repose sur DNS pour la localisation des services et la résolution des noms.

  16. CohabitationNiveaux de fonctionnalités • Windows Server 2003 a plusieurs niveaux fonctionnels • Pour les domaines et les forêts, • Similaires aux modes mixte/natif de Windows 2000. • Augmenter les niveaux fonctionnels • Domaine : possible par domaine • Forêt : pour l’ensemble de la forêt (impacte tous les domaines), • Irréversible, • Apporte de nouvelles fonctionnalités.

  17. Rôle des serveurs • Un serveur Windows NT peut être : • Contrôleur Principal de Domaine (PDC) • Contrôleur Secondaire de Domaine (BDC) • Serveur Membre • Un Serveur Windows 2000 / 2003 peut être : • Contrôleur de Domaine (DC) • Serveur Membre • Possibilité de passer d’un rôle à l’autre (dcpromo.exe)

  18. Rôles FSMO Flexible Single Master Operations • Réplication multi maîtres • Tous les DC sont en écriture • Plus de notion PDC/BDC • les rôles FSMO : • Contrôleur de schéma • Maîtres d’attribution de noms de domaine • Maître RID (Relative Identifier) • Maître d’Infrastructure • Émulateur PDC Un seul dans toute la forêt Un par domaine

  19. Installation d’un DC • Promotion possible à n’importe quel moment via DCpromo • Avec Windows 2000, lors de l’installation d’un contrôleur de domaine, une réplication complète de l’annuaire est effectuée via le réseau : • Augmentation des coûts de communication, • Mise en place de procédures d’expédition des contrôleurs pré installés. • Avec Windows Server 2003, DCPROMO est capable d’installer Active Directory à partir d’une sauvegarde de l’annuaire : • Seul le delta est répliqué via le réseau.

  20. Global Catalog (GC) • Le Global Catalog : contient une copie en lecture seule de tous les objets de tous les domaines mais avec un nombre réduit d’attributs. • Permet de localiser n’importe quel objet de façon rapide sans connaître son emplacement dans l’arborescence • Un changement de schéma pouvait entraîner un re-calcul du contenu du GC • Plus avec Windows Server 2003

  21. Relations d’approbation • Les relations d’approbation entre domaines Windows 2000/2003 utilisent Kerberos : • Implicites, transitives et bidirectionnelles. Windows NT 4.0 Windows 2000/2003

  22. Partitionnement Applicatif (1/2) • Plusieurs partitions de la base AD existent dès l’installation : • La partition de Schéma (1/forêt) • La partition de Configuration (1/forêt) • La partition de Domaine (1/Domaine)

  23. Partitionnement Applicatif (2/2) • Avec Windows 2003, toute donnée stockée dans l’annuaire est répliquée par défaut vers tous les contrôleurs du domaine (NamingContext Domain) ou de la forêt (NC Configuration et Schema). • Données de DOM1 • Données appli1 • Données appli2 • Données de DOM2 • Données Appli2 DOM1 Forêt DOM2 • Données de DOM1 • Données appli1 • Données de DOM2 • Données Appli1 • Données • de DOM1

  24. Site1 Site 2 Architecture physique • Contrôleur de domaine AD • Un DC appartient à un seul site AD et assure les services d’annuaire et d’authentification pour les clients de ce site. • Il réplique les informations de l’annuaire avec les autres DC • Site AD • Ensemble de sous réseaux IP • Permet à la réplication Active Directory de s’appuyer sur la topologie du réseau

  25. Réplication (1/3) • Réplication intra site • Automatique • Basée sur la notification • Temps de réplication optimisé • Réplication inter site • Automatique ou manuelle • Planifiée • Utilisation de bande passante optimisée • Mode redondant de réplication pour les architectures filiales • Optimisation de la réplication des groupes avec un nombre de membres importants • Tous les contrôleurs de la forêt doivent être en version Windows Server 2003.

  26. Réplication (2/3) • Réplication inter sites • Tolérant à la panne et simple à maintenir • En 2000, problème d'évolutivité pour un nombre important de sites (scénario "filiales") • Avec 2003, l’algorithme a été re- développé • Evolutivité testée jusqu’à 5000 sites • Possibilité de mise en œuvre un mode redondant

  27. Réplication (3/3) • Le Serveur “Tête de pont” est le contrôleur de domaine chargé de la réplication avec les autres sites • On peut choisir une liste de serveurs “tête de pont préférés” • En Windows Server 2003, possibilité d’avoir plusieurs serveurs tête de pont du même domaine sur un même site(Windows) • Outil de Load Balancing des connexions (ADLB.exe)

  28. Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A

  29. Définition de l'espace de noms Active Directory • Doit déboucher sur des livrables : • Espace de noms des domaines AD et DNS • Topologie d'OU • Topologie de sites • Choix de l’entreprise, donc le consensus est nécessaire

  30. Espace de noms des domainesQuestions posées • Combien de forêts ? • Combien de domaines dans chaque forêt ? • Comment agencer ces domaines ? • Comment ces domaines s'appelleront-ils ?

  31. Espace de noms des domainesCombien de forêts ? • Au départ : une forêt • Une forêt de plus ? Il faut argumenter ! • Nécessité de préserver des schémas distincts • Refus de dévoiler ma topologie de domaines • Désaccord sur la composition des groupes sensibles • Administrateurs de Schéma • Administrateurs de l'Entreprise • Souhait de conserver la maîtrise des approbations • Frontière de sécurité

  32. Espace de noms des domainesCombien de forêts ? Contraintes… • Un domaine ne peut pas changer de forêt • Déplacement d'objets : • On sait migrer des objets d'un domaine vers un autre, • Mais ce n'est pas toujours une opération anodine ! • On ne sait pas interroger le Catalogue Global d'une autre forêt ...

  33. Espace de noms des domainesCombien de domaines ? • Au départ : un domaine • Un domaine de plus ? Il faut argumenter ! • Délégation ne suffit pas • Nécessité de mettre en œuvre des stratégies spécifiques de : • Gestion des mots de passe, • Verrouillage des comptes, • Gestion des tickets Kerberos. • Soucis d'optimiser la réplication • Restructuration prévue, mais plus tard.

  34. Espace de noms des domaines Définition de la racine de la forêt • Le premier domaine créé devient la racine de la forêt. • Il donne son nom à la forêt. • Il héberge deux groupes sensibles : • Admins de l'entreprise, • Admins du Schéma. • Choix d'un domaine Racine : • A choisir parmi les domaines définis précédemment, • Ou à créer pour les besoins de la cause.

  35. Espace de noms des domaines Nommage des domaines • Tout domaine AD est repéré par un nom DNS. • Domaines AD vs Domaines DNS • Domaine AD  Organisation logique des objets AD, • Domaine DNS Localiser des hôtes et des services. • Nom du domaine racine : • Détermine l'espace de nom de tout l'arbre, • Ne peut pas être modifié de façon simple, • Doit permettre d'intégrer de façon harmonieuse toutes les entités présentes et à venir de l'arbre.

  36. Espace de noms des domaines Règles denommage • Affecter un nom à chaque domaine, en partant de la racine de chaque arbre. • Ne pas s'écarter des "standards" • RFC 1123 : A  Z ; 0  9 ; - • Eviter Unicode, • Utiliser des noms DNS enregistrés • ".local" a été abandonné. • Préférer les noms courts

  37. Espace de noms des domaines Espaces de noms privés et publics • Quel nom pour la Racine ? • afpi.fr ? • Assosiationdeformationprofessionnel.fr ? • Eviter les recouvrements : • En choisissant des noms différents, • En choisissant un sous domaine du domaine public

  38. OU OU OU Topologie d'OU Rôles des unités organisationnelles • Les OU peuvent servir à : • Organiser les objets, • Ne pas tout montrer à tout le monde, • Définir des périmètres de délégation, • Définir des périmètres d'application pour les GPO. • Une OU contient des objets et pas des références à des objets.

  39. Topologie d'OU Consignes de conception • Hiérarchie définie en fonction : • Des emplacements, • De l'organisation, • Des postes. • Hiérarchie hybride définie en fonction : • Des emplacements, puis de l'organisation, • De l'organisation, puis des emplacements.

  40. Topologie d'OU • Les OU sont faites pour faciliter la vie des administrateurs, pas celle des utilisateurs. • Penser en termes d'organisation administrative : • Qui gère quoi ? • Qui décide de qui gère quoi ? • Préférer les arbres larges plutôt que profonds. • Affiner la topologie plus tard reste possible : • Facile à créer, déplacer, supprimer, renommer, • Point délicat : évaluer les conséquences de l'application des stratégies de groupes (GPOs).

  41. Topologie d'OU Notion de site Active Directory • Qu'est-ce qu'un site ? • Ensemble de machines "communicantes« , • Défini comme un agrégat de subnets IP, • Suppose un subnetting géographique. • Qui utilise les sites ? • Station  localiser un DC proche. • Utilisateur  localiser une imprimante proche.

  42. Topologie d'OU Définition d’une topologie de réplication Qui réplique avec qui ? • Tout automatique • Semi-automatique : • Créer manuellement quelques connexions, • Ajouter des liens de site, • Désigner des têtes de pont. • Tout manuel : • Créer toutes les connexions manuellement,

  43. Topologie d'OU Réplication inter sites et intra sites La réplication Intra site passe à 15 s de fréquence en mode de domaine Windows 2003

  44. Topologie d'OU Quelques règles simples • Dans le cas de Windows 2003, sur chaque site, prévoir : • Un Global Catalog Server • De préférence tête de pont, • Du DNS qui marche ! • Eviter de créer des sites sans DC. • Toute correction reste possible : • Créer/Supprimer des sous réseaux, • Ajouter/Supprimer des sites et des liens de site, • Affecter des serveurs à des sites, Surveiller le journal "Active Directory" !

  45. Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A

  46. Planifier les services DNS et Active Directory • Active Directory a besoin de DNS pour : • Résoudre des noms d'hôtes, • Localiser des services : • Serveurs ldap (DC), • Serveur de Catalogue Global. • supporter Active Directory

  47. Planifier les services Planifier DHCP et WINS • Pour que les clients Windows 2000 résolvent les noms des clients pré-Windows 2000 : • Activer le forwarding WINS pour la zone AD, • ou Activer le DHCP pour que les clients pré-Windows 2000 s'enregistrent dans DNS. • Pour que les clients pré-Windows 2000 résolvent les noms des clients Windows 2000 : • Leur attribuer l'adresse du serveur DNS via DHCP.

  48. Agenda • Concepts et évolutions apportées par Windows Server 2003 • Conception de l'espace de noms Active Directory • Planification des services • Les stratégies de groupes • Conclusion / Q&A

  49. 1 Local Site 2 Domain 3 OU 4 Concepts et Fonctionnement • Le positionnement de la machine ou de l’utilisateur dans Active Directory détermine les stratégies de groupe (GPO) qui seront appliquées • Les GPO sont appliquées au logon(utilisateur) ou au redémarrage (station) et rafraîchies régulièrement.

  50. GPO’s A1 Domaine A A2 A3 Site A1 A2 A4 A5 OU’s Les GPO ne sont pas héritées entre domaines GPO’s B Domaine B1 Lent B1 B2 B2 OU’s B3 Application des stratégies • Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines • Les Sites sont composés de un ou plusieurs sous réseaux IP et peuvent englober plusieurs domaines. • Les GPOs sont par domaine. • Plusieurs GPO peuvent être associées avec un unique OU. • Plusieurs OU peuvent utiliser une GPO unique. • Tout OU peut être associé à toute GPO, y compris entre domaines (lenteur). • L’application d’une GPO peut être filtrée au moyen de groupes de sécurité (ACLs). • Les GPOs sont par domaine • Plusieurs GPO peuvent être associées avec un unique SDOU • Plusieurs SDOU peuvent utiliser une unique GPO • Tout SDOU peut être associé à toute GPO, y compris entre domaines (lenteur) • L’application d’une GPO peut être filtré au moyen de groupes de sécurité (ACLs)

More Related