Windows Server 1.1 : Termes ADDS
Cette vidéo passe en revue le vocabulaire essentiel d'Active Directory Domain Services (AD DS) : contrôleurs de domaine, OU, base de données AD, schéma, et relations d'approbation. Les contrôleurs de domaine sont des serveurs qui exécutent le rôle AD DS et hébergent la réplication de la base de données NTDS.dit ainsi que le dossier SYSVOL. Ils exécutent aussi le centre de distribution de clés Kerberos (KDC) pour l'authentification et souvent le service DNS. Mieux vaut prévoir au moins deux DC pour la haute disponibilité.
Les unités d'organisation (OU) sont des conteneurs pour les objets AD (utilisateurs, ordinateurs, groupes) qui offrent aussi un périmètre administratif : on peut leur lier des GPO (Group Policy Objects) qui s'appliquent automatiquement aux objets de l'OU. La délégation de gestion est possible sur une OU, et Microsoft recommande de ne pas dépasser 6 niveaux d'imbrication d'OU.
Composants techniques d'AD DS
- Base AD : fichier unique
NTDS.ditdans%SystemRoot%\NTDS; partitionnée en configuration, domaine, schéma et catalogue global - SYSVOL : dossier dans
%SystemRoot%\SYSVOLcontenant scripts de logon et fichiers GPO - Schéma : modèle qui définit les classes d'objets (utilisateur, ordinateur, groupe) et les attributs autorisés (nom, login, email, etc.)
- Attributs : propriétés d'un objet — nom, mot de passe, description, SID
- Extensions du schéma : Exchange, par exemple, étend le schéma pour héberger sa configuration
Les relations d'approbation (trusts) permettent à un domaine d'authentifier des utilisateurs d'un autre domaine et leur donner accès à ses ressources. Le domaine qui fait confiance étend son périmètre vers le magasin d'identité du domaine approuvé. Dans une même forêt, chaque domaine approuve automatiquement tous les autres (trusts transitifs et bidirectionnels). Entre forêts ou domaines distincts, les approbations doivent être établies manuellement. Maîtriser ces termes est un prérequis pour administrer toute infrastructure AD sérieuse.