Active Directory est un service d'annuaire adaptable de type entreprise, conçu à l'aide de technologies Internet standard et complètement intégré au niveau du système d'exploitation. Il simplifie l'administration et aide les utilisateurs à trouver les ressources dont ils ont besoin. Active Directory propose une large gamme de fonctionnalités et de possibilités. Fonctionnalités de base d’Active Directory La forêt et les arborescences La forêt représente un ensemble de domaines liés entre eux par des relations d’approbations bidirectionnelles et transitives. Elle est caractérisée par la présence d’un domaine dit Racine équivalant au premier domaine installé dans la forêt. Il s’agit d’un point de référence pour tous les autres domaines de la forêt. Dans un premier temps, il n’est pas nécessaire d’ajouter d’autres domaines, ni des arborescences des mêmes domaines, c’est plus pratique d’opter pour les Unités Organisationnelles. Le domaine La mise en place d’un domaine sous Active Directory nécessite de définir le mode fonctionnel du domaine qui gère la compatibilité des échanges et des fonctionnalités. Lors de l’installation d’un domaine Windows 2003 Serveur, il est par défaut, configuré en tant que mode mixte Windows 2000 qui est compatible avec des contrôleurs de domaines sous Windows 2000 et NT4 Serveur. S'il n’y aura pas des contrôleurs de domaines autres que sous Windows 2003 Serveur, il faut passer le domaine en mode natif Windows 2003. Ce mode permet d’utiliser des fonctionnalités d’Active Directory qui ne sont pas valables en mode mixte ou intérim (imbrication de groupes globaux dans d’autres groupes globaux, groupes de sécurité universels, objets Inet-OrgPerson, nouveau nom pour un contrôleur de domaine, etc.). Les noms de domaines utilisés dans Active Directory s’appuient sur une architecture DNS. Cette architecture est obligatoire et sa mise en place est essentielle pour le bon fonctionnement d’Active Directory. Il faut utiliser au moins 2 serveurs DNS, soit les serveurs fournis avec Windows 2003 serveur, soit autres serveurs DNS qui supportent les enregistrements RSV afin de localiser les ressources. Les mises à jours dynamiques au niveau de la zone DNS du domaine sont fortement conseillées aussi. (Voir aussi DNS sous la rubrique « services » plus bas). Les Unités Organisationnelles (OU) Les Unités Organisationnelles permettent de structurer hiérarchiquement un domaine : * pour organiser les différents objets * pour déléguer le contrôle d’une partie du domaine * pour appliquer des stratégies communes (stratégies de groupe) Contrairement aux conteneurs système, les Unités Organisationnelles sont à disposition des administrateurs et peuvent êtres imbriquées entre elles. Cela signifie qu’il est possible de créer des Unités Organisationnelles à tous les niveaux d’un domaine (sauf dans un conteneur système). Les Unités Organisationnelles fournissent un moyen facile pour déléguer l’administration. Des stratégies de groupe peuvent êtres appliqués pour l’ensemble d’une Unité Organisationnelle et les membres vont automatiquement les hériter. Les Unités Organisationnelles sont faciles à créer, modifier, supprimer ou restructurer. Attention : trop d’Unités Organisationnelles vont compliquer l’administration. Conseil et objectifs pour les Unités Organisationnelles o Étudiez l’organisation de la société afin de définir les configurations et les besoins communs (utilisateurs, postes, serveurs, applications). o Évitez une structure hiérarchique comprenant plus de trois niveaux. o Créer des stratégies de groupe simples et cohérentes dans un premier temps (même type de paramètres, uniquement utilisateur ou ordinateur). o Liez les stratégies de groupe uniquement aux niveaux souhaités et testez les effets avant de généraliser. o Déléguer le contrôle au niveau d’une Unité Organisationnelle. Les sites Les concepts évoqués précédemment décrivent la structure logique d’Active Directory. Hébergé par un ensemble de contrôleurs de domaines (à prévoir 2 ou plus), chacun d’entre eux échange et réplique les modifications dans leur base de données respective (%windir%\NTDS\NTDS.DIT). Afin de contrôler ce trafic, en particulier lorsque le réseau met en ouvre des liaisons lentes (par exemple, Paris <-> Bratislava), Active Directory utilise une structure physique. Cette fonctionnalité permet de maîtriser les échanges entre les contrôleurs de domaine, selon leur implantation physique, et introduit la notion de site. Il faut donc distinguer la réplication intrasite (les contrôleurs sont sur le même LAN) et intersite (les contrôleurs sont sur un autre site). La réplication intersite est contrôlée par les liens de sites. Les liaisons de sites servent à définir le coût du lien (valeur arbitraire), une fréquence de réplication et éventuellement les créneaux horaires ; ceci pour chacune des connexions possibles avec un site. À savoir : L’appartenance d’une machine à un site est déterminée par son adresse IP. Les contrôleurs de domaine doivent être positionnés physiquement dans le sous-réseau nécessaire. Il indispensable que chaque site dispose d’un contrôleur de domaine. L’architecture Active Directory contient toujours au moins un site (Premier_site_par_défault) indépendamment du nombre de domaines. Ainsi on peut combiner librement : o plusieurs domaines sur un ou plusieurs site(s) o un seul domaine sur un ou plusieurs site(s) Gestion des stratégies de groupe - Les stratégies de groupe sont des ensembles de paramètres applicables à des utilisateurs et/ou des ordinateurs. Contrairement à ce que pourrait sous-entendre leur nom, elles ne s'appliquent pas au niveau des groupes, mais au niveau d'un objet conteneur qui contient un ensemble d'objets de type utilisateurs ou ordinateurs, sur lesquels s'appliquent des stratégies communes. Elles se définissent donc au niveau d'un site, d'un domaine, des unités d'organisations, et sont applicables à tous les objets utilisateurs et/ou ordinateurs situés dans le conteneur sur lequel la stratégie est liée. Les stratégies de groupe offrent des fonctionnalités essentielles : - restreindre le bureau des utilisateurs - appliquer des stratégies de comptes et de mots de passe - déployer des applications a. publication et attribution b. mise à jours et correctifs - paramétrer la sécurité - d'exécuter des scripts - mettre en œuvre des audits - changer les droits des utilisateurs ... En bref, les stratégies de groupe offrent la possibilité de disposer d'un outil de gestion et de contrôle d'administration permettant de réduire le coût total de possession (TCO) en gérant l'état de travail des utilisateurs. Les stratégies de groupe sont représentées comme des objets d'Active Directory. On les appelle plus communément les GPO (Group Policy Object). Un GPO est constitué de deux parties stockées dans des emplacements différents : - Un GPC (Group Policy Container) est un objet Active Directory représentant les attributs du GPO. On retrouve les GPC dans Active Directory en passant par la console Utilisateurs et ordinateurs d'Active Directory. - UN GPT (Group Policy Template) est un dossier stocké dans le répertoire sysvol qui sert comme gabarit pour les paramètres applicables dans un GPO. Le paramétrage des stratégies de groupe est la partie la plus importante d’un déploiement Active Directory. Voici les points importants à prendre en compte : - Paramètres du logiciel (publier ou attribuer des logiciels) - Paramètres Windows (Configuration Ordinateur ou Configuration Utilisateur) o Scripts (à exécuter lors d’ouverture ou fermeture de session, ou pendant le démarrage ou arrêt de l’ordinateur) o Paramètres de sécurité * Les stratégies de comptes o stratégies de mots de passe o stratégies de verrouillage de compte o stratégies Kerberos * Les stratégies locales o stratégie d’audit o attribution des droits utilisateur o option de sécurité * Journal d’événement * Groupes restreints * Services système * Registre * Système de fichier * Stratégie de réseau sans fil * Stratégie de clé publique * Stratégie de restriction logicielle * Stratégie de sécurité IP * La sécurité VPN, etc. o Service d’installation à distance o Redirection des dossiers o Maintenance d'Internet Explorer - Création et utilisation des modèles d’administration La bonne utilisation des stratégies de groupe implique aussi le suivi de leur comportement : - Ordre d’application - Héritage - Filtrage de sécurité - Filtres WMI Et le suivi de leur application (en mode planification, en mode journalisation, ou avec la console GPMC). Gestion IntelliMirror Pour réduire les coûts, les administrateurs nécessitent un meilleur contrôle des systèmes portables et de bureau. IntelliMirror permet de contrôler les systèmes clients qui exécutent Windows 2000 Professionnel ou Windows XP Professionnel. Vous pouvez utiliser IntelliMirror pour définir des paramètres de stratégie basés sur les rôles d'entreprise, l'appartenance à des groupes et la situation géographique. Avec ces paramètres de stratégie, les bureaux Windows 2000 Professionnel et Windows XP Professionnel sont automatiquement reconfigurés pour s'adapter aux besoins d'un utilisateur donné chaque fois que cet utilisateur ouvre une session sur le réseau, à partir de n'importe quel ordinateur. Création de scripts avec Windows Script Host L'environnement d'exécution de scripts Windows vous permet d'automatiser certaines actions comme la création d'un raccourci, la connexion et la déconnexion d'un serveur réseau. L'environnement d'exécution de scripts Windows n'est lié à aucun langage. Vous pouvez écrire des scripts dans des langages courants, tels que Microsoft Visual Basic, VBScript et JScript. Bureau à distance Avec Bureau à distance (anciennement appelé Services Terminal Server en mode administration à distance), vous pouvez administrer un ordinateur à partir pratiquement de n'importe quel ordinateur de votre réseau. Si vous recevez une invitation, l'Assistance à distance vous permet de vous connecter facilement à un ordinateur distant à partir d'un ordinateur exécutant Windows XP ou tout système d'exploitation de la famille Windows Server 2003. Une fois connecté, vous pouvez afficher l'écran de l'ordinateur distant et converser en temps réel. Si la personne qui a besoin d'assistance vous y autorise, vous pouvez même vous servir de la souris et du clavier pour travailler sur l'ordinateur distant. Les services de mise à jour de Microsoft (serveur SAS) Vous pouvez non seulement contrôler la méthode et la date de déploiement des mises à jour, mais aussi fournir des mises à jour aux utilisateurs par le biais de votre intranet et non plus directement à partir d'Internet. Services de gestion d'urgence (EMS, Emergency Management Services) La prise en charge des serveurs contrôlés à distance permet d'installer et de gérer un ordinateur qui n'a pas d'écran, de carte vidéo VGA, de clavier ou de souris. Cette fonctionnalité inclut également les services de gestion d'urgence. Ceux-ci permettent de gérer le serveur contrôlé à distance lorsque le système d'exploitation ne fonctionne pas, par exemple lorsque l'ordinateur est redémarré, lorsque le serveur n'est pas disponible sur un réseau ou lors de l'utilisation des services d'installation à distance. Avec les services de gestion d'urgence (EMS, Emergency Management Services), associés au matériel approprié, vous pouvez effectuer des tâches de gestion à distance et de récupération système, même lorsque le serveur n'est pas disponible via les outils et les mécanismes d'administration à distance standard. Monitoring Infrastructure de gestion Windows L'infrastructure de gestion Windows (WMI, Windows Management Instrumentation) est une infrastructure de gestion évolutive basée sur l'initiative WBEM (Web-Based Enterprise Management). Elle comprend des fonctionnalités de ligne de commande et de script et vous permet d'analyser, de suivre et de contrôler les événements système liés aux applications logicielles, aux composants matériels et aux réseaux. WMI comprend une API (Application Programming Interface) de script uniforme qui définit tous les objets managés sous une infrastructure d'objet commune basée sur le modèle CIM (Common Information Model). Cette infrastructure permet aux applications et aux scripts de découvrir les informations disponibles pour un système en énumérant les classes disponibles. WMI peut soumettre des requêtes qui filtrent des demandes d'informations très spécifiques et peut s'inscrire à des événements WMI basées sur vos intérêts particuliers au lieu d'être limité aux événements prédéfinis par les développeurs d'origine. Fichiers journaux dans une base SQL (Moniteur système) La famille Windows Server 2003 prend en charge l'affichage simultané des données de plusieurs fichiers journaux et de données stockées dans une base de données SQL recueillies à l'aide du service Journaux et alertes de performance. Vous pouvez sélectionner des données dans un fichier journal de performances ou une base de données SQL et les enregistrer dans un nouveau fichier pour pouvoir les analyser ultérieurement. La famille Windows Server 2003 prend en charge les fichiers journaux dont la taille dépasse 1 Go. Les données de performance peuvent être ajoutées à un fichier journal existant. Vous pouvez enregistrer des données directement dans une base de données SQL via des connexions de données ODBC. Jeu de stratégie résultant (RSoP) Vous pouvez utiliser RSoP pour simuler et tester les paramètres de stratégie qui sont appliqués aux ordinateurs ou aux utilisateurs via une stratégie de groupe. RSoP est un moteur de requête qui interroge les stratégies existantes et les stratégies planifiées, puis communique les résultats de ces requêtes. L'interrogation couvre un site, un domaine, un contrôleur de domaine ou une unité d'organisation. Le jeu de stratégie résultant regroupe ces informations émanant de WMI. Installation Services d'installation à distance Grâce aux services d'installation à distance, vous pouvez créer des images d'installation des systèmes d'exploitation ou des configurations complètes d'ordinateurs, notamment les paramètres et les applications du Bureau. Vous pouvez alors mettre ces images à la disposition des utilisateurs sur les ordinateurs clients. Ces derniers doivent prendre en charge le démarrage à distance avec la ROM PXE (Pre-Boot eXecution Environment) ou doivent être démarrés avec une disquette de démarrage à distance. Outil de migration des paramètres utilisateur (User State Migration Tool) L'outil USMT (User State Migration) aide au déploiement et capturant et en restaurant les paramètres, les fichiers et les documents utilisateur. Les utilisateurs n'ont pas à reconfigurer les paramètres du Bureau pour les serveurs de messagerie, les serveurs proxy, les modèles de couleur pour le bureau et le papier-peint du Bureau. Authentification Services de certificats et cartes à puce Les services de certificats et les outils de gestion des certificats vous permettent de déployer votre propre infrastructure de clés publiques. Celle-ci vous aide à implémenter des technologies standard, telles que des possibilités d'ouverture de session grâce à une carte à puce, l'authentification de clients (par l'intermédiaire des protocoles SSL et TSL), la messagerie électronique sécurisée, les signatures numériques et la connectivité sécurisée (à l'aide de IPSec). Les services de certificats vous permettent d'installer et de gérer les Autorités de certification qui traitent et révoquent les certificats X.509 v3. Cela signifie que vous n'avez pas à dépendre des services d'authentification du client d'entreprise, bien que vous puissiez intégrer cette authentification à votre infrastructure de clés publiques, si vous le souhaitez. Routage et accès distant Le service de routage et d'accès distant est un service intégré permettant de terminer les connexions des clients distants ou de réseau privé virtuel, ou d'assurer le routage (IP, IPX et AppleTalk), ou les deux. Avec le routage et l'accès distant, votre serveur peut fonctionner comme un serveur d'accès distant, un serveur de réseau privé virtuel, une passerelle ou un routeur de bureau. Sécurité Pare-feu Windows Le pare-feu Windows est une technologie de pare-feu hôte. En tant que pare-feu hôte, le pare-feu Windows fonctionne sur chacun des clients et serveurs. Il fournit une protection contre les attaques réseau qui passent sur votre réseau de périmètre ou qui proviennent de votre organisation, telles que les chevaux de Troie, les analyses de ports et les vers. Comme la plupart des technologies pare-feu, le pare-feu Windows est un pare-feu actif. En tant que tel, il inspecte et filtre tout le trafic IP version 4 (IPv4) et version 6 (IPv6). Le trafic entrant non sollicité est supprimé à moins qu'il ne s'agisse d'une réponse à une requête de l'hôte (trafic sollicité) ou qu'il soit spécifiquement autorisé (trafic limité). Vous pouvez spécifier le trafic limité en fonction du numéro de port, du nom de l'application ou du service en configurant les paramètres du pare-feu Windows. À l'exception de certains messages de protocole ICMP (Internet Control Message Protocol), le pare-feu Windows autorise tout le trafic sortant. Service de gestion d'identité numérique (DIMS) et informations d'identification itinérante Le service DIMS et les informations d'identification itinérante permettent aux utilisateurs se connectant à n'importe quel ordinateur appartenant à un domaine exécutant Windows Server 2003 avec SP1, de conserver de manière transparente et automatique tous leurs certificats et clés privées pour les applications et les services. Les administrateurs peuvent utiliser la stratégie de groupe pour activer les informations d'identification itinérante, permettant ainsi de synchroniser et répliquer automatiquement les certificats et clés privées de l'utilisateur avec l'objet utilisateur Active Directory. Système de fichiers de cryptage (EFS, Encrypting File System) Le système de fichiers EFS complète d'autres contrôles d'accès et ajoute un niveau de protection de vos données. Il s'exécute comme un service système intégré, ce qui le rend simple à gérer, difficile à attaquer et transparent pour l'utilisateur. Stratégies de restriction logicielle Les stratégies de restriction logicielle vous permettent de protéger votre environnement informatique contre du code non approuvé en identifiant et spécifiant les applications pouvant être exécutées. Disponibilité Clusters de serveurs Les clusters de serveurs fournissent une grande disponibilité, évolutivité et facilité de gestion pour les ressources et les applications importantes. Les serveurs multiples (nœuds) d'un cluster restent en communication constante. Si l'un des nœuds du cluster est indisponible en raison d'une panne ou d'une opération de maintenance, un autre nœud prend immédiatement le relais pour fournir le service approprié (ce processus est appelé basculement). Ainsi, les utilisateurs qui accèdent au cluster sont toujours connectés aux ressources du serveur. Démarrage à partir de volumes en miroir Avec une préparation appropriée, vous pouvez démarrer votre serveur à partir d'une copie redondante des données sur un volume en miroir, ce qui améliore la disponibilité du système lors de la récupération d'un serveur ou d'une opération de maintenance planifiée. Prise en charge de SAN et de NAS La prise en charge de SAN (Storage Area Network) et NAS (Network-Attached Storage) dans la famille Windows Server 2003 comporte des améliorations système destinées à accroître la disponibilité du serveur. Services DNS C’est mieux d’utiliser des serveurs DNS intégrés à Active Directory pour faciliter la configuration et maintenance. DHCP C’est mieux d’utiliser un serveur DHCP intégré à Active Directory pour faciliter la configuration et maintenance et aussi utiliser des mises à jours dynamiques avec les serveurs DNS. Réseau privé virtuel (VPN) Vous pouvez permettre aux utilisateurs d'accéder au réseau de votre société même lorsqu'ils ne sont pas au bureau et réduire le coût de cet accès en implémentant un réseau privé virtuel (VPN, Virtual Private Network). La connexion VPN crée un tunnel sécurisé aboutissant au réseau privé, via Internet. La famille Windows Server 2003 met en œuvre deux types de technologie VPN : * Le protocole PPTP utilise des méthodes d'authentification PPP (Point-to-Point Protocol) au niveau utilisateur et MPPE (Microsoft Point-to-Point Encryption) pour le cryptage des données. * Le protocole L2TP (Layer Two Tunneling Protocol) associé au standard IPSec (Internet Protocol Security). Le protocole L2TP utilise des méthodes d'authentification PPP au niveau utilisateur et des certificats d'ordinateur en association avec IPSec pour le cryptage des données. Dans Windows Server 2003, Standard Edition, vous pouvez créer jusqu'à 1 000 ports PPTP (Point-to-Point Tunneling Protocol) et jusqu'à 1 000 ports L2TP (Layer Two Tunneling Protocol). Windows Server 2003, Standard Edition peut accepter jusqu'à 1 000 connexions VPN simultanées. Si 1 000 clients VPN sont connectés, les tentatives de connexion supplémentaires sont refusées tant que le nombre de connexions ne redescend pas au-dessous de 1 000. Serveur Windows Update (SUS) Le Serveur Windows Update permet la mise en place d'un serveur SUS sur le réseau pour centraliser les mises à jour de chaque PC. Le serveur Windows Update télécharge les mises à jour à partir de Windows Update (bientôt Microsoft Update, regroupant l'ensemble des mises à jour pour tous les produits Microsoft) et les met à disposition des ordinateurs du réseau local. Les ordinateurs clients consultent tous les jours le serveur WUS pour obtenir d'éventuelles nouvelles mises à jours. Ces patchs sont alors installés suivant la stratégie définie dans Active Directory. Integration avec un serveur de messagerie (Email) C'est le cas par defaut avec Microsoft Exchange Server, mais il est possible de lier d'autres serveurs de messagerie et collaboration comme Lotus Notes, CommuniGate Pro, etc. Pour faciliter l’administration et pour ne pas avoir à gérer deux fois les utilisateurs d’Active Directory et le serveur de messagerie, c'est meiux de trouver un moyen de lier les deux systèmes. Possibilités à étudier : Possibilité 1 Le moyen le plus efficace est de paramétrer le serveur de messagerie pour qu’il fasse une authentification externe avec Active Directory pour les utilisateur et mots de passe. Possibilité 2 Installer un DLL sur tous les contrôleurs de domaine qui va se charger de mettre à jour les données utilisateurs sur le serveur de messagerie si un changement est fait au niveau d’Active Directory.