https://www.it-connect.

fr/cours/notions-de-base-de-lactive-directory/

l’Active Directory
L’Active Directory est un annuaire LDAP pour les systèmes d’exploitation Windows, le tout étant créé par
Microsoft. Cet annuaire contient différents objets, de différents types (utilisateurs, ordinateurs, etc.), l’objectif
étant de centraliser deux fonctionnalités essentielles : l’identification et l’authentification au sein
d’un système d’information.

Les intérêts d’un annuaire

Administration centralisée et simplifiée

Unifier l’authentification

Identifier les objets sur le réseau

Référencer les utilisateurs et les ordinateurs

La structure de l’Active Directory

A. Les classes et les attributs
Certains objets peuvent être des containers d’autres objets, ainsi, les groupes permettront de contenir plusieurs
objets de types utilisateurs afin de les regrouper et de simplifier l’administration. Par ailleurs, les unités
d’organisation sont des containers d’objets afin de faciliter l’organisation de l’annuaire et permettre une
organisation avec plusieurs niveaux.
Sans les unités d’organisations, l’annuaire ne pourrait pas être trié correctement et l’administration serait moins
efficace. Comparez les unités d’organisations à des dossiers qui permettent de ranger les objets à l’intérieur, si
cela est plus compréhensible pour vous.

B. Le schéma
Le schéma contient la définition de toutes les classes et de tous les attributs disponibles et autorisés au sein de
votre annuaire.

C. Les partitions d’annuaire

La base de données Active Directory est divisée de façon logique en trois partitions

• La partition de schéma : cette partition contient l'ensemble des définitions des classes et attributs d’objets,
qu’il est possible de créer au sein de l'annuaire Active Directory. Cette partition est unique au sein d’une forêt.
• La partition de configuration : cette partition contient la topologie de la forêt (informations sur les domaines,
les liens entre les contrôleurs de domaines, les sites, etc.). Cette partition est unique au sein d’une forêt.
• La partition de domaine : cette partition contient les informations de tous les objets d'un domaine (ordinateur,
groupe, utilisateur, etc.). Cette partition est unique au sein d’un domaine, il y aura donc autant de partitions de
domaine qu’il y a de domaines.

Du groupe de travail au domaine

A. Modèle « Groupe de travail »
- Une base d’utilisateurs par machine : appelée « base SAM », cette base est unique sur chaque machine et non
partagée, ainsi, chaque machine contient sa propre base d’utilisateurs indépendante les unes des autres.
- Très vite inadapté dès que le nombre de postes et d’utilisateurs augmente, car cela devient lourd en
administration et les besoins différents.

1
- Création des comptes utilisateurs en nombre, car chaque utilisateur doit disposer d’un compte sur chaque
machine, les comptes étant propres à chaque machine.
- Simplicité de mise en œuvre et ne nécessite pas de compétences particulières en comparaison à la gestion
d’un annuaire Active Directory.
B. Modèle « Domaine »
- Base d’utilisateurs, de groupes et d’ordinateurs centralisée. Un seul compte utilisateur est nécessaire pour
accéder à l’ensemble des machines du domaine.
- L’annuaire contient toutes les informations relatives aux objets, tout est centralisé sur le contrôleur de
domaine, il n’y a pas d’éparpillement sur les machines au niveau des comptes utilisateurs.
- Ouverture de session unique par utilisateur, notamment pour l’accès aux ressources situées sur un autre
ordinateur ou serveur.
- Chaque contrôleur de domaine contient une copie de l’annuaire, qui est maintenue à jour et qui permet
d’assurer la disponibilité du service et des données qu’il contient. Les contrôleurs de domaine se répliquent entre
eux pour assurer cela.
- Administration et gestion de la sécurité centralisée.

Les contrôleurs de domaine

A. Qu’est-ce qu’un contrôleur de domaine ?
Lorsque l’on crée un domaine, le serveur depuis lequel on effectue cette création est promu au rôle de «
contrôleur de domaine » du domaine créé. Il devient contrôleur du domaine créé, ce qui implique qu’il sera au
cœur des requêtes à destination de ce domaine. De ce fait, il devra vérifier les identifications des objets, traiter les
demandes d’authentification, veiller à l’application des stratégies de groupe ou encore stocker une copie de
l’annuaire Active Directory.

Un contrôleur de domaine est indispensable au bon fonctionnement du domaine, si l’on éteint le contrôleur de
domaine ou qu’il est corrompu, le domaine devient inutilisable.

De plus, lorsque vous créez le premier contrôleur de domaine dans votre organisation, vous créez
également le premier domaine, la première forêt, ainsi que le premier site. Nous aborderons la notion de
forêt et de site dans un autre chapitre. Gardez à l’esprit qu’un contrôleur de domaine est un serveur qui contient
une copie de l’annuaire Active Directory.
B. Le fichier de base de données NTDS.dit
Sur chaque contrôleur de domaine, on trouve une copie de la base de données de l’annuaire Active Directory.
Cette copie est symbolisée par un fichier « NTDS.dit » qui contient l’ensemble des données de l’annuaire.
À noter qu’il est possible de réaliser des captures instantanées de ce fichier afin de le consulter en mode « hors
ligne » avec des outils spécifiques.

C. La réplication des contrôleurs de domaine

De nos jours, il est inévitable d’avoir au minimum deux contrôleurs de domaine pour assurer la disponibilité et
la continuité de service des services d’annuaire. De plus, cela permet d’assurer la pérennité de la base d’annuaire
qui est très précieuse. À partir du moment où une entreprise crée un domaine, même si ce domaine est unique, il
est important de mettre en place au minimum deux contrôleurs de domaine.

2
 Par ailleurs, les contrôleurs de
domaine répliquent le dossier partagé « SYSVOL » qui est utilisé pour distribuer les stratégies de groupe
et les scripts de connexion.

Symbolisation d’un domaine

Lorsque vous verrez des schémas d’architecture Active Directory, vous verrez les domaines représentés par des
triangles. Ainsi, notre domaine « it-connect.local » pourrait être schématisé ainsi :

Au sein du domaine schématisé ci-dessous, on retrouvera tout un ensemble d’Unités d’Organisation remplies
d’objets de différentes classes : utilisateurs, ordinateurs, groupes, contrôleurs de domaine, etc.
Vous n’êtes pas sans savoir que de nombreuses entreprises ont plusieurs succursales, ce qui implique plusieurs
sites sur différents emplacements géographiques. Selon l’importance de ces sites, on pourra envisager de créer un
sous-domaine au domaine principal, voir même plusieurs sous-domaines selon le nombre de succursales. Voyons
un exemple.

On part du domaine de base « it-connect.local », auquel on ajoute deux sous-domaines : « paris.it-

connect.local » et « londres.it-connect.local » puisque nous avons deux succursales, une à Paris, l’autre à
Londres. Voici la représentation de cette arborescence :

Sur le cas ci-dessus, les domaines « paris.it-connect.local » et « londres.it-connect.local » sont des sous-
domaines du domaine racine « it-connect.local ». On appel généralement ces domaines, « des domaines
enfants ».

3
II. La notion d’arbre
La notion d’arbre doit vous faire penser à un ensemble avec différentes branches, si c’est le cas, vous êtes sur la
bonne voie. En effet, lorsqu’un domaine principal contient plusieurs sous-domaines on parle alors d’arbre, où
chaque sous-domaine au domaine racine représente une branche de l’arbre.

Un arbre est un regroupement hiérarchique de plusieurs domaines.

Par exemple, la schématisation des domaines utilisés précédemment représente un arbre :

Les domaines d’un même arbre partagent un espace de nom contigu et hiérarchique, comme c’est le cas
avec l’exemple du domaine « it-connect.local ».

III. La notion de forêt

Si vous êtes d’accord avec moi pour dire qu’une forêt c’est un ensemble d’arbres, alors vous avez déjà compris le
principe de la notion de « forêt » dans un environnement Active Directory.

En effet, une forêt est un regroupement d’une ou plusieurs arborescences de domaine, autrement dit d’un ou
plusieurs arbres. Ces arborescences de domaine sont indépendantes et distinctes bien qu’elles soient dans la
même forêt.

L’exemple que nous utilisons jusqu’à maintenant avec le domaine principal et les deux sous domaines représente
une forêt. Seulement, cette forêt ne contient qu’un seul arbre.

Imaginons maintenant que nous rachetons la société « Learn-Online » et que nous décidons de créer un domaine
racine « learn-online.local », ainsi que trois sous-domaines pour les deux succursales situées à Paris et Rennes, et
un troisième sous-domaine pour un environnement de développement situé à Rennes. On obtiendra : paris.learn-
online.local, rennes.learn-online.local et dev.rennes.learn-online.local. On obtiendra un arbre avec la racine
« learn-online.local ».
Voici l’arbre obtenu :

Pour simplifier l’administration, les accès et unifier le système d’information, on peut décider de créer cet arbre
« Learn-Online » dans la même forêt que celle où se situe l’arbre « IT-Connect ».
On peut alors affirmer que les différentes arborescences d’une forêt ne partagent pas le même espace de nom et
la même structure.

Ainsi, on obtiendra une jolie forêt :

4
Mais alors, une forêt pour quoi faire ?
Vous devez vous dire, c’est bien joli de créer une forêt, de regrouper les domaines entre eux, mais alors qu’est-ce
que ça apporte ?

- Tous les arbres d’une forêt partagent un schéma d’annuaire commun

- Tous les domaines d’une forêt partagent un « Catalogue Global » commun (nous verrons plus tard ce qu’est un
catalogue global)
- Les domaines d’une forêt fonctionnent de façon indépendante, mais la forêt facilite les communications entre
les domaines, c’est-à-dire dans toute l’architecture.

- Création de relations entre les différents domaines de la forêt

- Simplification de l’administration et flexibilité. Un utilisateur du domaine « paris.it-connect.local » pourra

accéder à des ressources situées dans le domaine « rennes.learn-online.local » ou se connecter sur une machine
du domaine « paris.learn-online.local », si les autorisations le permettent.

IV. Le niveau fonctionnel

Le niveau fonctionnel est une notion également à connaître lors de la mise en œuvre d’une infrastructure Active
Directory.

À la création d’un domaine, un niveau fonctionnel est défini et il correspond généralement à la version du
système d’exploitation depuis lequel on crée le domaine. Par exemple, si l’on effectue la création du domaine
depuis un serveur sous Windows Server 2012, le niveau fonctionnel sera « Windows Server 2012 ».
Dans un environnement existant, on est souvent amené à faire évoluer notre infrastructure, notamment les
systèmes d’exploitation, ce qui implique le déclenchement d’un processus de migration. Une étape
incontournable lors de la migration d’un Active Directory vers une version plus récente et le changement du
niveau fonctionnel. Ainsi, il est important de savoir à quoi il correspond et les conséquences de l’augmentation
du niveau.

A. Un niveau fonctionnel, c’est quoi ?

Un niveau fonctionnel détermine les fonctionnalités des services de domaine Active Directory qui sont
disponibles dans un domaine ou une forêt.
Le niveau fonctionnel permet de limiter les fonctionnalités de l’annuaire au niveau actuel afin d’assurer la
compatibilité avec les plus anciennes versions des contrôleurs de domaine.

B. Pourquoi augmenter le niveau fonctionnel ?

Plus le niveau fonctionnel est haut, plus vous pourrez bénéficier des dernières nouveautés liées à l’Active
Directory et à sa structure. Ce qui rejoint la réponse à la question précédente.

Par ailleurs, vous serez obligé d’augmenter le niveau fonctionnel pour ajouter la prise en charge des derniers
systèmes d’exploitation Windows pour les contrôleurs de domaine. Par exemple, si le niveau fonctionnel est «
Windows Server 2003 », vous ne pourrez pas ajouter un nouveau contrôleur de domaine sous Windows
Server 2012 et les versions plus récentes.
Consulter le tableau des compatibilités sur le TechNet
5
Ce phénomène implique qu’il est bien souvent inévitable d’augmenter le niveau fonctionnel lorsque l’on effectue
une migration, afin de pouvoir supporter les nouveaux OS utilisés.

À l’inverse, si le niveau fonctionnel est « Windows Server 2012 », il sera impossible d’intégrer de nouveaux
contrôleurs de domaine qui utilisent un système d’exploitation plus ancien que Windows Server 2012.
De plus, vous ne pouvez pas avoir un niveau fonctionnel plus haut que la version de votre contrôleur de domaine
le plus récent.

V. Domaine, arbre, forêt : conclusion

Il faut garder à l’esprit qu’une forêt est un ensemble d’arbres, qu’un arbre est constitué d’une racine et
potentiellement de branches qui sont représentées par des domaines et des sous-domaines.
Tous les domaines pourraient être créés indépendamment les uns des autres, mais cela compliquerait
l’administration plutôt que de la rendre plus simple. En effet, le fait de créer cette arborescence et de regrouper
les architectures (les arbres) au sein d’une même forêt facilite grandement la relation entre les différents
acteurs.
D’ailleurs, les relations entre les différents éléments s’appellent des « relations d’approbations », mais nous
verrons cela dans une autre partie du cours sur l’Active Directory.

Les protocoles LDAP, DNS et Kerberos

vous devez garder en tête que ces trois protocoles sont indispensables au bon fonctionnement de l’Active
Directory. Ils assurent des fonctions critiques :

Les principaux attributs d’objets dans l’Active Directory

Nom Description

Ordinateur Les ordinateurs clients intégrés au domaine, mais aussi les serveurs et les contrôleurs de domaine

Contact Enregistrer des contacts, sans autorisation d’authentification

Regrouper des objets au sein d’un groupe, notamment pour simplifier l’administration

(attribution de droits à un service « informatique » qui correspond à un groupe nommé

Groupe « informatique », par exemple)

Unité d’organisation Dossier pour créer une arborescence et organiser les objets.

Imprimante Ressource de type « imprimante »

Utilisateur Comptes utilisateurs qui permettent de s’authentifier sur le domaine, et accéder aux ressources,

6
 aux ordinateurs

Le tableau ci-dessus regroupe les classes d’objets les plus utilisées et les plus courantes.

Je tiens à préciser tout de même que par défaut l'Active Directory intègre déjà des containers (Users, Builtin,
etc) et qui, à la différence des unités d'organisation natives, ne peuvent pas se voir appliquer des stratégies de
groupe (GPO) et qu'il n'est pas possible de créer une délégation sur ces containers.
C'est petite précision étant dite, intéressons-nous aux attributs.

II. Les identifiants uniques : DistinguishedName et

GUID
Comme je le disais dans un module précédent de ce cours, chaque objet dispose d’identifiants uniques qui
sont représentés par deux attributs : le DistinguishedName et le GUID.
A. Le DistinguishedName
Cet identifiant unique également appelé « DN » représente le chemin LDAP qui permet de trouver l’objet dans
l’annuaire Active Directory. Lors de l’étude du protocole LDAP, nous avions déjà vu un exemple de DN.
Voici un autre exemple :

- Domaine : it-connect.local
- Unité d’organisation où se trouve l’objet : informatique
- Nom de l’objet : Florian
Le DN de cet objet utilisateur sera :

cn=Florian,ou=informatique,dc=it-connect,dc=local
Dans ce DN, on trouve un chemin qui permet de retrouver l’objet, différents éléments sont utilisés :

Identification de l’élément Description

cn CommonName – Nom commun – Nom de l’objet final ciblé

ou OrganizationalUnit – Unité d’organisation

Composant de domaine – Utilisé pour indiquer le domaine cible, avec un élément « dc »

dc par partie du domaine

Le DN peut être très long si l’arborescence de l’annuaire est importante et que l’objet se trouve au fin fond de
cette arborescence. De plus, le DN peut changer régulièrement si l’objet est déplacé, ou si une unité
d’organisation dont il dépend est renommée puisqu’il contient de manière nominative les objets.

B. Le GUID
Le GUID (Globally Unique IDentifier) est un identificateur global unique qui permet d’identifier un objet d’un
annuaire Active Directory. Il correspond à l’attribut « ObjectGUID » dans le schéma Active Directory.
Il est attribué à l’objet dès sa création et ne change jamais, même si l’objet est déplacé ou modifié. Le
GUID suit un objet de la création jusqu’à la suppression.
Codé sur 128 bits, le GUID d’un objet est unique au sein d’une forêt et il est généré par un algorithme
qui garantit son unicité. Des informations aléatoires, d’autres non, comme l’heure de création de l’objet .

7
III. Les attributs indispensables
Après avoir vu les attributs ObjectGUID et DistinguishedName, continuons notre quête des attributs avec ce
tableau qui récapitule les attributs que l’on manipule le plus souvent.

Nom de l’attribut dans Nom de l’attribut dans la

le schéma console Active Directory Description

Valeur que devra utiliser l’objet pour s’authentifier sur

« Nom d’ouverture de
sAMAccountName session de l’utilisateur » le domaine

« Nom d’ouverture de
session de l’utilisateur »
concaténé au nom du
Nom complet de l’utilisateur avec le domaine inclus.
domaine sous la forme
UserPrincipalName « @it-connect.local » Également appelé UPN

description Description Description de l’objet

mail Adresse de messagerie Adresse de messagerie attribuée à l’objet

Égal à « 1 » s’il s’agit d’un compte de type « Administrateur »,

adminCount - égal à « 0 » s’il ne l’est pas

DisplayName Nom complet Nom complet qui sera affiché pour cet utilisateur

givenName Prénom Prénom de l’utilisateur

logonCount - Nombre d’ouverture de session réalisée par cet objet

accountExpires Date d’expiration du compte Date à laquelle le compte ne sera plus utilisable (peut être vide)

ObjectSID - Identifiant de sécurité unique qui permet d’identifier un objet

pwdLastSet - Dernière fois que le mot de passe fût modifié

userAccountControl - État du compte – Une dizaine de codes différents sont possibles

Pour illustrer mes propos, voici une sortie PowerShell qui affiche quelques attributs et leurs valeurs, concernant
l’utilisateur « Florian » :

8
Note : le PowerShell est un langage de script qui prend une place de plus en plus importante au sein des
systèmes d’exploitation Windows, pour assurer la configuration en ligne de commandes et faciliter
l’automatisation des tâches.
Vous avez désormais connaissance des attributs les plus manipulés et consultés de l’Active Directory. Cela sera
utile lorsque vous consulterez le schéma, un journal d’événement (log) ou encore lors de la manipulation de
l’Active Directory avec PowerShell ou des utilitaires.

Pour vous convaincre de l’importance et de l’intérêt qu’il y a à utiliser les groupes, voici un exemple tout simple.

Je dispose d’un dossier partagé, accessible via le réseau aux utilisateurs du domaine. Ce dossier se nomme
« Comptabilité » et je souhaite que toutes les personnes du service comptabilité de mon entreprise accèdent à ce
dossier.
Plutôt que de donner les droits à chaque utilisateur du service comptabilité, tour à tour, on va créer un groupe. De
ce fait, je vais créer un groupe nommé « comptabilité » dont les membres sont l’ensemble des utilisateurs
correspondant aux collaborateurs du service comptabilité.

Il suffira ensuite d’ajouter sur le dossier partagé les autorisations pour le groupe « comptabilité », ce qui
impliquera que les membres de ce groupe disposeront eux aussi des droits (comme ils font partie du groupe).

Non seulement ça permet de simplifier la liste des autorisations sur le répertoire (il y a moins d’éléments listés
que si chaque utilisateur était ajouté de façon indépendante), mais aussi ça simplifie l’administration, car si un
utilisateur change de service, il suffit de le changer de groupe. Il ne sera pas nécessaire de changer les
autorisations de cet utilisateur sur des dossiers partagés tel que celui de la « comptabilité ».

J’espère que cet exemple vous aura convaincu 🙂

Maintenant, il faut savoir qu’il existe différentes étendues pour les groupes et différents types de groupe, c’est ce
que nous allons voir en détail maintenant.

Assistant de création d'un groupe

9
I. L’étendue du groupe
L’étendue d’un groupe correspond à sa portée au niveau de l’arborescence Active Directory, les étendues
peuvent aller d’une portée uniquement sur le domaine local, mais aussi s’étendre sur la forêt entière.

Pour ceux qui ne se souviennent plus de ce que sont une forêt et un domaine, retournez au troisième chapitre du
premier module.

Il existe trois étendues différentes :

- Domaine local
Un groupe qui dispose d’une étendue « domaine local » peut être utilisé uniquement dans le domaine dans lequel
il est créé. Avec ce type d’étendue, le groupe reste local au domaine où il est créé.

Cependant, les membres d’un groupe à étendue locale peuvent être bien sûr des utilisateurs, mais aussi
d’autres groupes à étendues locales, globales ou universelles. Cette possibilité offre là encore une flexibilité dans
l’administration.
Il peut être défini pour contrôler l’accès aux ressources uniquement au niveau du domaine local.

- Globale
Un groupe ayant une étendue « globale » pourra être utilisé dans le domaine local, mais aussi dans tous les
domaines approuvés par le domaine de base. Ainsi, si un « domaine A » approuve via une relation un « domaine
B », alors un groupe global créé dans le « domaine A » pourra être utilisé dans le « domaine B ».

Un groupe global pourra contenir d’autres objets du domaine, et être utilisé pour contrôler l’accès aux ressources
sur le domaine local et tous les domaines approuvés.
- Universelle
Un groupe disposant de l’étendue « universelle » à une portée maximale puisqu’il est accessible dans l’ensemble
de la forêt, ce qui implique qu’il soit disponible sur tous les domaines de la forêt.

Un groupe universel peut contenir des groupes et objets provenant de n’importe quel domaine de la forêt. De la
même manière, il est possible de l’utiliser pour définir l’accès aux ressources sur tous les domaines de la forêt.

Ainsi, avec ce type d’étendue on pourra consolider plusieurs groupes qui doivent avoir une portée maximale sur
l’ensemble du système.
Une particularité de ce type de groupe, c’est qu’il est défini au sein d’un catalogue global.

- Précisions sur les étendues

Les étendues sont dépendantes du niveau fonctionnel de la forêt et du domaine, ainsi que de la complexité de
l’architecture en place, notamment au niveau des relations d’approbations entre les différents domaines et arbres.
Si vous créez un groupe à étendue universelle, mais qu’il n’y a pas de relation avec un autre domaine ou une
autre forêt, cela n’aura pas d’intérêt.

- Exemple
Reprenons l’arborescence que nous avions définie dans le module « Domaine, forêt et arbre », avec les deux
domaines « it-connect.local » et « learn-online.local » contenant tous les deux des sous-domaines.

Imaginons trois groupes et leurs étendues cohérentes :

- Comptabilité : étendue « domaine local » sur « paris.it-connect.local »

- Direction : étendue « globale » sur « learn-online.local » qui approuve tous les sous-domaines
- Informatique : étendue « universelle » sur la forêt
Ainsi, la portée de ces groupes pourra être schématisée comme ceci au sein de la forêt :

10
II. Le type du groupe
Maintenant que vous êtes opérationnel sur la compréhension des étendues, nous allons voir le deuxième
paramètre proposé lors de la création d’un groupe : le type.

Il existe deux types :

- Sécurité
Les groupes de sécurité sont les plus utilisés et ceux que vous manipulerez le plus souvent. Ils permettent
d’utiliser les groupes pour gérer les autorisations d’accès aux ressources.

Par exemple, si vous avez un partage sur lequel vous souhaitez donner des autorisations d’accès, vous pourrez
utiliser un « groupe de sécurité » pour donner des autorisations à tous les membres de ce groupe.
En résumé, ces groupes sont utilisés pour le contrôle d’accès, ce qui implique que chaque groupe de ce type
dispose d’un identifiant de sécurité « SID ».

- Distribution
L’objectif de ce type de groupe n’est pas de faire du contrôle d’accès, mais plutôt des listes de distribution. Par
exemple, créer une liste de distribution d’adresses e-mail en ajoutant des contacts.

De ce fait, ces groupes sont utilisés principalement par des applications de messagerie, comme Microsoft
Exchange.

Comme il n’y a pas de notion de sécurité, ce type de groupe ne dispose pas d’identifiant de sécurité « SID ».

- Conclusion
Finalement, vous ne devez pas être étonné des définitions données ci-dessus quant aux deux types de groupe
disponibles, car les noms sont assez explicites.

Il est à noter qu’il est possible de convertir à tout moment un groupe de sécurité en groupe de distribution, et
vice-versa. Cependant, le niveau fonctionnel du domaine doit être au minimum « Windows Server 2000 natif »
mais de nos jours, il est quasiment « impossible » de ne pas l’être.

III. Les groupes par défaut

Lors de la création d’un domaine et de la création de l’annuaire Active Directory, différents groupes sont déjà
présents, mais alors, à quoi servent-ils ? Intéressons-nous aux groupes intégrés, spéciaux et prédéfinis.

- Les groupes intégrés (« Built-in ») : Ce sont des groupes qui permettent d’assigner des autorisations
d’administration, de façon générale ou sur des fonctionnalités précises afin de gérer la sécurité finement. Ces
groupes sont directement intégrés et stockés dans l’annuaire Active Directory au sein du container « Builtin »
accessible de la console « Utilisateurs et ordinateurs Active Directory ». Leur étendue est toujours de type local.
11
Par exemple, le groupe « Administrateurs Hyper-V » donnera un accès complet et illimité à toutes les
fonctionnalités liées à Hyper-V. Autre exemple, le groupe « Opérateurs de sauvegarde » permet d’accéder aux
fonctionnalités de sauvegarde et de restauration des fichiers.

Console Utilisateurs et ordinateurs Active Directory

- Les groupes spéciaux : Seul le système à la main sur ces groupes, qui sont pratique et qui permettent
d’englober les utilisateurs à différentes échelles. On trouve par exemple les groupes « Tout le monde » et
« Utilisateurs authentifiés ».
Ces groupes peuvent être utilisés pour définir du contrôle d’accès (exemple : donner accès aux utilisateurs
authentifiés l’accès à un partage).

Par ailleurs, il n’est pas possible de gérer les membres de ces groupes, le système gère ces groupes en exclusivité.

- Les groupes prédéfinis : On les trouve dans l’unité d’organisation « Users » au sein de la console
« Utilisateurs et ordinateurs Active Directory ». Ces groupes prédéfinis sont là en complément des groupes
intégrés, sauf que pour eux il y a différents niveaux d’étendues qui sont prédéfinies et qu’on ne peut pas
modifier.

. Un catalogue global, c’est quoi ? Pour quoi ?

Le catalogue global est un contrôleur de domaine qui dispose d’une version étendue de l’annuaire Active
Directory. En fait, comme tout contrôleur de domaine, il dispose d’une copie complète de l’annuaire Active
Directory de son domaine, mais en supplément il dispose de :
- Un répliqua partiel pour tous les attributs contenus dans tous les domaines de la forêt
- Toutes les informations sur les objets de la forêt

Le catalogue global est un annuaire qui regroupe des éléments provenant de l’ensemble de la forêt, c’est en
quelque sorte un annuaire central.
On le différencie d’un contrôleur de domaine standard, car en temps normal, chaque contrôleur de domaine
contient une copie de l’annuaire de son domaine. Quant au catalogue global, il contient une copie des attributs
principaux de tous les domaines de la forêt.
Ainsi, un contrôleur de domaine « catalogue global » sera capable de localiser des objets dans l’ensemble
de la forêt, car il a une vue d’ensemble sur tous les objets. Les contrôleurs de domaine classique s’appuieront
sur lui pour justement localiser des objets dans une forêt.
Exemple :
Il y a trois domaines : Domaine A, Domaine B, Domaine C.
Deux contrôleurs de domaine se trouvent au sein du domaine A, un contrôleur de domaine « standard » et un
second qui dispose du rôle de « catalogue global ».
12
Conclusion :
- Le contrôleur de domaine standard disposera de la partition d’annuaire du domaine A
- Le contrôleur de domaine catalogue global dispose des partitions d’annuaire du domaine A, mais aussi du
domaine B et du domaine C

Les attributs du schéma qui doivent être répliqués sont identifiés par la valeur « Partial Attribute Set » définie
dans l’Active Directory.
Microsoft définit par défaut cette politique de réplication de façon à prendre les attributs les plus utilisés dans une
recherche, mais elle peut être personnalisée.

II. Qui est catalogue global ? Est-il tout seul ?

Le premier contrôleur de domaine créé au sein d’une forêt est automatiquement catalogue global. Autrement dit,
lorsque vous montez un Active Directory, vous créez automatiquement un nouveau domaine dans une nouvelle
forêt, ce qui implique que le contrôleur de domaine soit catalogue global.

Par ailleurs, il est fortement recommandé de définir au minimum deux contrôleurs en tant que catalogue global.
Tout simplement pour assurer la disponibilité du rôle et répartir la charge au niveau des requêtes.

Affichage de la propriété
"Catalogue Global"

A. Cas d’une forêt mono-domaine

Il est recommandé d’activer le rôle de catalogue global sur l’ensemble des contrôleurs de domaine du domaine.
En effet, l’impact sera faible sur les performances systèmes dans ce type de configuration, mais ça permettra
13
d’assurer la redondance du service. Le catalogue global est essentiel à la localisation des objets, et c’est encore
plus vrai lorsqu’il y a plusieurs domaines, mais aussi au bon fonctionnement de certaines applications.

B. Cas d’une forêt multi-domaines

Lorsqu’il y a plusieurs domaines au sein d’une forêt, il y aura surement des emplacements géographiques
différents. Notamment si l’entreprise dispose de plusieurs sites, cela implique d’étendre le réseau à différents
endroits.

Ainsi, le réseau se doit d’être hautement disponible pour que le contrôleur de domaine d’un site A soit sûr de
pouvoir contacter un catalogue global situé sur un site B. Par exemple, cela pourrait empêcher la connexion d’un
utilisateur si la liaison est rompue, car le contrôleur de domaine ne pourra pas récupérer les informations auprès
du catalogue global. Une alternative serait d’activer l’option de « mise en cache de l’appartenance aux groupes
universels » sur un site distant, pour limiter le trafic réseau grâce à la mise en cache des informations.

La règle suivante est donnée par Microsoft : « Définir un catalogue global (au minimum) sur un site lorsqu’il
y a une centaine d’utilisateurs ».
C’est intéressant pour éviter d’être pénalisé par une liaison lente entre deux sites, puisque plus il y a
d’utilisateurs, plus il y aura de demandes.

Cas spécifique : certaines applications sont gourmandes et communiquent beaucoup avec le catalogue global, par
exemple Microsoft Exchange. Dans ce cas-là, positionnez un catalogue global proche pour avoir de bonnes
performances.

En résumé, il faut positionner avec stratégie les contrôleurs de domaine « catalogue global » mais vous pouvez
aussi opter pour une option simple : activer le rôle sur tous les contrôleurs de domaine de la forêt.

III. Les quatre fonctions clés du catalogue global

Le catalogue global assure quatre fonctions clés auprès du système Active Directory et pour « venir en aide »
aux autres contrôleurs de domaine de la forêt, à savoir :

Le catalogue global est un point central dans un environnement où il y a plusieurs domaines, puisqu’il doit faire
le lien entre tous les objets de tous les domaines de la forêt. Lorsqu’il n’y a qu’un seul domaine dans la forêt, le
catalogue global perd tout son intérêt, car les autres contrôleurs de domaine sauront « se débrouiller seul ».

Le partage SYSVOL et la réplication

Le partage SYSVOL
Lorsqu’un contrôleur de domaine est installé, de nombreux éléments sont installés et créés sur le serveur, le
partage SYSVOL en fait parti.

14
A. Introduction à SYSVOL
Stocké à l’emplacement « C:\Windows\SYSVOL », « SYSVOL » signifie « System Volume », et il sert à stocker
des données spécifiques qui doivent être répliquées entre les contrôleurs de domaine ou accessibles par les
ordinateurs clients.
Plus précisément, voici les éléments principaux que l’on trouvera dans le partage SYSVOL :

Pour rappel, les scripts de connexion s’exécutent à l’ouverture de session de l’utilisateur, ils sont
généralement écrits en BATCH et comporte des commandes qui permettent de créer des lecteurs
réseau sur les machines clientes (commande « net use »). Quant aux stratégies de groupe, elles sont récupérées
par les clients puis appliquées, dans le but d’appliquer une stratégie de personnalisation de l’espace de travail
de l’utilisateur.
De ce fait, si le partage SYSVOL est en erreur, vous aurez de gros problèmes ! Plus de réplication des GPOs et
scripts de connexion entre les contrôleurs de domaine, plus possible pour les clients de récupérer les dernières
mises à jour de GPO et les scripts… Bref, vous imaginez la galère… D’où l’intérêt de prendre connaissance de
l’existence du partage SYSVOL.

Attention, certaines personnes utilisent ce partage pour stocker toutes sortes de données, ce n’est pas du
tout recommandé ! Non seulement, car le partage SYSVOL n’est pas fait pour ça, mais aussi, car les processus
de réplication seront plus longs (plus de données à répliquer).
B. Réplication de SYSVOL
Le dossier SYSVOL est répliqué entre les différents contrôleurs de domaine, pour que le contenu soit
identique, et que les clients bénéficient tous des mêmes données (à jour). Sur les anciennes versions de
Windows Server, notamment Windows Server 2000 et Windows Server 2003, le mécanisme FRS (File
Replication Service) était utilisé pour la réplication. Depuis Windows Server 2008, FRS est mis de côté pour
laisser la place à DFSR (Distributed File System Replication), qui est plus fiable et plus performant.
C. La structure de SYSVOL
Le répertoire « C:\Windows\SYSVOL\ » est composé de plusieurs sous-dossiers :
- domain : ce répertoire contient toutes les données à jour (GPO et scripts), réparties en deux sous dossiers : «
Policies » et « scripts ».
- Policies : ce répertoire est stocké sous « domain » et stocke toutes les GPOs du domaine, que l’on crée au sein
de la console « Gestion des stratégies de groupe ». Un sous-dossier par GPO est créé où le nom du dossier
correspond au GUID de l’objet GPO.

15
 Répertoire "Policies" stocké
dans SYSVOL

- scripts : ce répertoire est stocké sous « domain » et contient les différents scripts, notamment les scripts de
connexion.
- staging : ce répertoire est utilisé pour créer une file d’attente (queue) des données en attente de réplication à
destination des autres contrôleurs de domaine.

II. Réplication : Quoi ? Quand ? Comment ?

Qui dit redondance, dit nécessité de répliquer les données afin que les données soient identiques sur les différents
membres. C’est le même principe pour les contrôleurs de domaine, puisqu’ils doivent se répliquer pour mettre à
jour différentes choses :

- Base annuaire Active Directory

Si un utilisateur est créé, modifié ou supprimé, il faut synchroniser les changements auprès des autres contrôleurs
de domaine. De la même manière, si l’on intègre un nouvel ordinateur dans le domaine, cela créera un objet «
ordinateur » dans l’annuaire, il est donc nécessaire de synchroniser ce changement.
Le protocole RPC over IP (Remote Procedures Call over Internet Protocol) est utilisé pour répliquer la base
d’annuaire.
- Les stratégies de groupes et les scripts
Une nouvelle stratégie de groupe créée, un paramètre modifié dans une GPO existante, ou encore la suppression
d’une GPO, sont autant d’opérations qui impliquent un changement et donc la nécessité de répliquer des données.

- DNS
Comme nous l’avons vu dans un module précédent, le DNS joue un rôle important dans une architecture Active
Directory. Pour assurer la continuité de service, on utilise au moins deux serveurs DNS. Ceci implique que les
enregistrements des zones soient répliqués entre les serveurs DNS, pour que les informations retournées soient
identiques.

Imaginez si un serveur DNS n’est pas à jour et qu’il retourne une mauvaise adresse IP à une requête client, cela
générera des problèmes de communication au sein de l’infrastructure.

Maintenant, vous savez ce qui doit être répliqué et pourquoi ça doit être répliqué, mais alors quand est-ce
la réplication se déclenche ?
- Délai de réplication
Il y a un temps de latence de 5 minutes (par défaut) entre le moment où vous effectuez la modification, et le
moment où le contrôleur de domaine source va notifier un autre contrôleur de domaine qu’il a effectué une
modification.

Ensuite, s’il y a un second contrôleur de domaine à notifier, il y aura un intervalle de 30 secondes entre chaque
réplication, pour éviter de surcharger le contrôleur de domaine source.

16
Note : Ces deux valeurs peuvent être modifiées dans le registre, Replicator notify pause after modify (secs)
pour le premier déclenchement de notification, et la valeur Replicator notify pause between DSAs (secs)
pour les délais de notification suivants. Tout cela au niveau de la clé
« HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters ».

Cependant, il existe des cas de « réplication urgente » où l’on n’observera aucune latence. C’est le cas par
exemple lorsqu’on désactive un utilisateur, change un mot de passe … Et de toute action liée à la sécurité.

Imaginons maintenant qu’aucune modification ne soit effectuée pendant une heure, ce qui a des chances
d’arriver, car on ne passe pas son temps à modifier les données de l’annuaire… Un processus de réplication est
automatiquement déclenché pour contrôler que tout est bien à jour.

- Méthode de réplication
La réplication avec le protocole RPC over IP est sûre, mais le contenu n’est pas compressé, ce qui répond plus à
un fonctionnement de réplication intrasite. En fait le contenu est chiffré et les connexions authentifiées grâce au
protocole Kerberos.

Lorsque l’infrastructure est répartie sur plusieurs sites distants, le protocole utilisé pour la réplication dépendra de
la vitesse de connexion, mais la plupart du temps il s’agira toujours du RPC. À la différence de la réplication
intrasite, le trafic RPC généré lors d’une réplication intersites est compressé, ce qui permet d’économiser de la
bande passante, mais nécessite des ressources CPU pour décompresser le contenu.

Dans certains cas, où la liaison intersites serait lente et avec un temps de latence fort, il est possible d’utiliser le
protocole SMTP pour la réplication (Oui, oui, le SMTP, le protocole pour envoyer des mails). Cependant, il n’est
pas en mesure de répliquer le répertoire « SYSVOL », il peut seulement répliquer des éléments précis : mises à
jour du schéma, la configuration ou encore les données du catalogue global.

Vous l’aurez compris, le protocole RPC over IP est au cœur de la réplication entre les contrôleurs de
domaine, aussi bien en intrasites qu’en intersites. Le SMTP joue un rôle secondaire pour des réplications
spécifiques sur des liaisons lentes, comme une liaison satellite, et il ne peut être utilisé que pour des
contrôleurs se trouvant dans des domaines différents.
- Déclarez vos sites
Les services Active Directory économisent la bande passante entre les sites, en réduisant au minimum la
fréquence de réplication. De plus, on peut planifier la disponibilité des liens intersites pour la réplication.

Par défaut, la réplication intersites a lieu toutes les 3 heures sur chaque lien intersites.

Lorsque l’on dispose de nombreux sites, il y a des chances pour que les liaisons ne soient pas toutes de la même
qualité. De ce fait, il pourra être nécessaire de répliquer moins souvent sur les liaisons lentes que sur les liaisons
rapides.

Pour que l’Active Directory comprenne comment est organisée votre infrastructure de manière géographique. Il
faut déclarer ses différents sites dans la console « Sites et services Active Directory », puis créer des liens entre
les sites ainsi qu’indiquer les adresses réseau utilisées sur ces sites.

17
Ainsi, on ajoutera nos différents sites, et dans ces sites on ajoutera des serveurs. Cela permettra de dire : « Sur le
site Paris, j’ai le contrôleur de domaine nommé SRV-AD02 » et « Sur le site Rennes, j’ai le contrôleur de
domaine nommé SRV-AD03 ».
Note : Lors de la création d’un premier domaine, il y a toujours un site par défaut nommé « Default-First-
Site-Name » qui est créé et qui contient le contrôleur de domaine venant d’être installé. Un lien par défaut
est également créé et nommé « DEFAULTIPSITELINK »
De plus, une notion de coût est intégrée pour chaque lien intersites. Ajustez sa valeur selon la vitesse, l’efficacité
et la fiabilité de la liaison. Ainsi, si plusieurs liens connectent les mêmes sites, alors pour la réplication le lien
ayant le coût le plus faible sera choisi. Le second lien faisant office de backup pour le mécanisme de réplication
(cela n’empêche pas que ce lien soit utilisé pour autre chose).

Propriétés du site par défaut

Enfin, il faut savoir que la réplication entre les contrôleurs de domaine est automatiquement générée par le
vérificateur de cohérence des connaissances (KCC - Knowledge Consistency Checker). Le KCC fonctionne sur
tous les contrôleurs de domaine et c’est lui qui génère la topologie de réplication de la forêt .

18