Qu’est-ce qu’Active Directory ?

Le service Active Directory principal est un service de domaine Active Directory (Active Directory Domain Services, AD DS), qui fait partie du système d’exploitation Windows Server. Les serveurs qui exécutent AD DS sont des contrôleurs de domaine. En règle générale, les organisations disposent de plusieurs contrôleurs de domaine, et chacun d’entre eux possède une copie de l’annuaire pour la totalité du domaine. Les modifications apportées à l’annuaire sur l’un des contrôleurs de domaine (la mise à jour d’un mot de passe ou la suppression d’un compte d’utilisateur, par exemple) sont répliquées sur les autres contrôleurs de domaine afin que tous restent à jour. Un serveur de catalogue global est un contrôleur de domaine qui stocke une copie complète de tous les objets dans l’annuaire de son domaine et une copie partielle des objets de tous les autres domaines dans la forêt. Ainsi, les utilisateurs et les applications peuvent trouver des objets dans n’importe quel domaine de leur forêt. Les ordinateurs de bureau, les ordinateurs portables et les autres appareils sous Windows (autre que Windows Server) peuvent intégrer un environnement Active Directory, mais ils n’exécutent pas AD DS. AD DS s’appuie sur plusieurs protocoles et normes établis, y compris les protocoles LDAP (Lightweight Directory Access Protocol), Kerberos et DNS (Domain Name System).

Il est important de noter qu’Active Directory s’adresse exclusivement aux environnements Microsoft sur site. Les environnements Microsoft qui se trouvent dans le Cloud utilisent Azure Active Directory, qui remplit les mêmes fonctions que son alter ego local. Bien qu’AD et Azure AD soient des outils distincts, ils peuvent, dans une certaine mesure, fonctionner de concert si votre organisation dispose d’environnements informatiques sur site et dans le Cloud (un déploiement hybride).

La base de données Active Directory (annuaire) contient des informations sur les objets AD présents dans le domaine. Les types d’objets AD les plus courants sont les utilisateurs, les ordinateurs, les applications, les imprimantes et les dossiers partagés. Certains objets peuvent contenir d’autres objets (c’est pourquoi l’on évoque souvent la « hiérarchie » d’AD). En particulier, les organisations simplifient souvent leur administration en organisant les objets AD en unités d’organisation et elles rationalisent la sécurité en plaçant les utilisateurs dans des groupes. Ces unités d’organisation et groupes sont eux-mêmes des objets stockés dans l’annuaire.

Les objets sont associés à des attributs. Certains attributs sont évidents tandis que d’autres sont plus confidentiels. Par exemple, un objet utilisateur est généralement associé à des attributs tels que le nom de la personne, son mot de passe, son service et son adresse e-mail, mais aussi à des attributs invisibles pour la plupart des utilisateurs, comme l’identificateur global unique (GUID), l’identificateur de sécurité (SID), l’heure de la dernière connexion et l’appartenance à des groupes.

Les bases de données sont structurées, ce qui signifie que leur conception détermine les types de données qui sont stockées et la façon dont elles sont organisées. On connaît cette conception sous le nom de schéma. Active Directory ne fait pas exception : son schéma contient des définitions formelles qui sont associées à chaque classe d’objets pouvant être créée dans la forêt Active Directory et à chaque attribut pouvant exister dans un objet Active Directory. AD est fourni avec un schéma par défaut, mais les administrateurs peuvent le modifier pour répondre aux besoins de l’entreprise. Sachez qu’il est particulièrement important de planifier soigneusement le schéma en amont, étant donné le rôle central que joue AD dans l’authentification et les autorisations. En effet, si vous modifiez le schéma de la base de données AD ultérieurement, vous risquez de connaître de sérieuses interruptions d’activité.