🏛️ Active Directory — Concepts et Architecture
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B2 — Administration Systèmes & Réseaux |
| Module | M2.1 — Administration Windows Server |
| Prérequis | Notions de base réseau (DNS, DHCP, TCP/IP) |
🎯 Objectifs
- Comprendre le rôle et l'architecture d'Active Directory Domain Services (AD DS)
- Identifier les composants logiques : forêt, domaine, OU
- Connaître le rôle des contrôleurs de domaine et du protocole LDAP
- Maîtriser les objets AD et le catalogue global
- Comprendre les rôles FSMO et la dépendance DNS/AD
📖 Qu'est-ce qu'Active Directory (AD DS) ?
Active Directory Domain Services (AD DS) est le service d'annuaire de Microsoft, intégré à Windows Server. Il constitue le cœur de l'infrastructure d'un réseau Windows en entreprise. AD DS centralise l'authentification, l'autorisation et la gestion de l'ensemble des ressources du réseau : utilisateurs, ordinateurs, imprimantes, partages de fichiers, etc.
Concrètement, AD DS fonctionne comme un annuaire hiérarchique qui stocke des informations sur les objets du réseau et les rend accessibles aux administrateurs et aux utilisateurs. Lorsqu'un utilisateur se connecte à son poste de travail avec ses identifiants de domaine, c'est le contrôleur de domaine Active Directory qui vérifie ses credentials et autorise l'accès.
Ne confondez pas AD DS (Active Directory Domain Services) avec Azure AD (renommé Microsoft Entra ID). AD DS est un annuaire on-premise, tandis qu'Entra ID est un service cloud d'identité.
📖 La forêt, le domaine et les unités d'organisation
La forêt (Forest)
La forêt est le conteneur logique de plus haut niveau dans Active Directory. Elle regroupe un ou plusieurs domaines partageant un schéma commun, un catalogue global et des relations d'approbation automatiques. La première forêt créée constitue la forêt racine et ne peut pas être supprimée tant qu'il reste des domaines enfants.
Le domaine (Domain)
Le domaine est l'unité administrative de base. Il définit un périmètre de sécurité au sein duquel les stratégies de groupe (GPO), les politiques de mot de passe et les droits d'accès s'appliquent. Chaque domaine possède son propre espace de noms DNS (par exemple iris-formation.local). Plusieurs domaines au sein d'une forêt sont liés par des relations d'approbation transitives.
Les unités d'organisation (OU)
Les OU sont des conteneurs logiques à l'intérieur d'un domaine. Elles permettent d'organiser les objets (utilisateurs, groupes, ordinateurs) de manière hiérarchique et de déléguer l'administration. Les GPO peuvent être liées aux OU pour appliquer des configurations spécifiques à un sous-ensemble d'objets.
| Composant | Rôle | Exemple |
|---|---|---|
| Forêt | Conteneur de plus haut niveau, partage le schéma | iris-formation.local |
| Domaine | Périmètre de sécurité et d'administration | paris.iris-formation.local |
| OU | Organisation interne, délégation, liaison GPO | OU=Etudiants, OU=Enseignants |
📖 Les contrôleurs de domaine (DC)
Un contrôleur de domaine (Domain Controller, DC) est un serveur Windows Server sur lequel le rôle AD DS a été installé et promu. Il héberge une copie de la base de données Active Directory (NTDS.dit) et gère les requêtes d'authentification et de recherche dans l'annuaire.
En production, il est impératif de disposer d'au moins deux contrôleurs de domaine pour assurer la redondance. Si le seul DC tombe en panne, plus aucun utilisateur ne peut s'authentifier sur le domaine.
Un contrôleur de domaine ne doit jamais être utilisé comme poste de travail ou serveur de fichiers en production. Il doit être dédié à ses fonctions d'annuaire et d'authentification.
📖 Le protocole LDAP et son rôle
LDAP (Lightweight Directory Access Protocol) est le protocole standard utilisé pour interroger et modifier l'annuaire Active Directory. Il fonctionne par défaut sur le port 389 (ou 636 pour LDAPS chiffré via TLS).
Chaque objet dans AD est identifié par un Distinguished Name (DN), qui décrit son chemin complet dans l'arborescence :
CN=Jean Dupont,OU=Etudiants,DC=iris-formation,DC=local
Les requêtes LDAP permettent de rechercher des objets selon des filtres, par exemple trouver tous les utilisateurs d'une OU donnée ou tous les ordinateurs dont le nom commence par « PC- ».
📖 Les objets Active Directory
Active Directory stocke des objets représentant les ressources du réseau. Chaque objet possède des attributs définis par le schéma AD.
| Type d'objet | Description | Attribut clé |
|---|---|---|
| Utilisateur | Compte de connexion au domaine | sAMAccountName, userPrincipalName |
| Groupe | Regroupement logique pour les permissions | member, groupType |
| Ordinateur | Machine jointe au domaine | dNSHostName, operatingSystem |
| OU | Conteneur d'organisation | ou, description |
| Contact | Entrée sans compte de connexion | mail, displayName |
📖 Schéma, catalogue global et réplication
Le schéma AD
Le schéma définit la structure de la base de données : quels types d'objets peuvent être créés et quels attributs chacun possède. Il est unique pour toute la forêt et répliqué sur tous les DC. Toute modification du schéma (ajout de classes ou d'attributs) est irréversible et doit être planifiée avec précaution.
Le catalogue global (GC)
Le catalogue global est un index partiel de tous les objets de la forêt. Il contient un sous-ensemble d'attributs fréquemment recherchés, ce qui permet des recherches rapides inter-domaines. Au moins un DC par site doit être configuré comme serveur de catalogue global. Le GC écoute sur le port 3268 (ou 3269 en LDAPS).
Sites et réplication
Les sites AD correspondent à des emplacements physiques (bâtiments, campus) reliés par des liens réseau. La réplication entre DC d'un même site est intra-site (rapide, automatique), tandis que la réplication entre sites est inter-site (planifiée, compressée). Le protocole de réplication utilise DFS-R pour le dossier SYSVOL.
📖 DNS et Active Directory : dépendance critique
Active Directory repose entièrement sur DNS pour fonctionner. Chaque contrôleur de domaine enregistre des enregistrements SRV dans le DNS pour que les clients puissent localiser les services AD (authentification Kerberos, LDAP, catalogue global, etc.).
Sans DNS fonctionnel, les postes clients ne peuvent pas trouver un DC pour s'authentifier. C'est pourquoi le rôle DNS est systématiquement installé sur les DC avec des zones intégrées à Active Directory.
Configurez toujours le DC lui-même comme serveur DNS préféré de sa propre carte réseau (127.0.0.1 ou son IP), et un second DC comme DNS auxiliaire.
📖 Les rôles FSMO (Flexible Single Master Operations)
Certaines opérations dans AD ne peuvent être effectuées que par un seul DC à la fois. Ces opérations sont gérées par les 5 rôles FSMO, répartis au niveau de la forêt et du domaine :
| Rôle FSMO | Portée | Fonction |
|---|---|---|
| Schema Master | Forêt (unique) | Contrôle les modifications du schéma AD |
| Domain Naming Master | Forêt (unique) | Gère l'ajout/suppression de domaines dans la forêt |
| RID Master | Domaine | Attribue des pools de RID (identifiants relatifs) aux DC |
| PDC Emulator | Domaine | Référence horaire, réplication urgente des mots de passe, compatibilité |
| Infrastructure Master | Domaine | Met à jour les références inter-domaines (groupes, SID) |
Par défaut, tous les rôles FSMO sont attribués au premier DC installé dans la forêt. En environnement multi-DC, il est recommandé de répartir ces rôles. En cas de panne du détenteur d'un rôle, on peut effectuer un seize (prise de force) à l'aide de la commande :
ntdsutil > roles > connections > connect to server DC2 > seize schema master
📝 QCM — Testez vos connaissances
- Que signifie AD DS ?
- Quel protocole d'authentification utilise Active Directory ?
- Qu'est-ce qu'une OU (Organizational Unit) ?
- Quel outil permet de gérer les utilisateurs dans AD ?
- Qu'est-ce qu'un contrôleur de domaine (DC) ?
- Quel port utilise LDAP par défaut ?
📝 Afficher les corrections
- Active Directory Domain Services — AD DS est le rôle serveur Windows qui fournit l'annuaire et l'authentification centralisés.
- Kerberos — Kerberos v5 est le protocole d'authentification par défaut dans un domaine Active Directory.
- Un conteneur logique pour organiser les objets AD — Les OU permettent de structurer les utilisateurs, ordinateurs et groupes dans l'arborescence AD.
- Utilisateurs et ordinateurs Active Directory (dsa.msc) — La console ADUC permet de créer, modifier et supprimer les objets de l'annuaire.
- Un serveur hébergeant la base Active Directory — Le DC stocke la base ntds.dit et authentifie les utilisateurs du domaine.
- Port 389 — LDAP utilise le port 389 en clair et 636 en LDAPS (chiffré SSL/TLS).
Active Directory est le pilier de l'infrastructure Windows en entreprise. Il centralise l'authentification et la gestion des ressources dans une architecture hiérarchique (forêt → domaine → OU). Le DNS est indispensable à son fonctionnement, et les 5 rôles FSMO garantissent la cohérence des opérations critiques.