1

Le service d’annuaire Active Directory

I. Présentation générale

L’Active Directory est un annuaire LDAP pour les systèmes d’exploitation

Windows, le tout étant créé par Microsoft. Cet annuaire contient différents objets, de différents
types (utilisateurs, ordinateurs, etc.), l’objectif étant de centraliser deux fonctionnalités
essentielles : l’identification et l’authentification au sein d’un système d’information.

Depuis Windows Server 2000, le service d’annuaire Active Directory ne cesse

d’évoluer et de prendre de l’importance au sein des organisations dans lesquelles il est mis en
place. De ce fait, il est notamment utilisé pour le déploiement de stratégie de groupe, la
distribution des logiciels ou encore l’installation des mises à jour Windows.

Pour la petite histoire, l’Active Directory se nommait d’abord « NTDS » pour « NT

Directory Services » que l’on peut traduire littéralement par « Service d’annuaire de NT », le
tout à l’époque de Windows NT.

1. Les intérêts d’un annuaire

L’importante présence de l’Active Directory dans les entreprises suffit pour se

convaincre de ses intérêts, mais alors, quels sont ces intérêts ?

– Administration centralisée et simplifiée : la gestion des objets, notamment des comptes

utilisateurs et ordinateurs est simplifiée, car tout est centralisé dans l’annuaire Active
Directory. De plus, on peut s’appuyer sur cet annuaire pour de nombreuses tâches
annexes comme le déploiement de stratégies de groupe sur ces objets.
– Unifier l’authentification : un utilisateur authentifié sur une machine, elle-même
authentifiée, pourra accéder aux ressources stockées sur d’autres serveurs ou
ordinateurs enregistrés dans l’annuaire (à condition d’avoir les autorisations
nécessaires). Ainsi, une authentification permettra d’accéder à tout un système
d’information par la suite, surtout que de nombreuses applications sont capables de
s’appuyer sur l’Active Directory pour l’authentification. Un seul compte peut permettre
un accès à tout le système d’information, ce qui est fortement intéressant pour les
collaborateurs.
– Identifier les objets sur le réseau : chaque objet enregistré dans l’annuaire est unique, ce
qui permet d’identifier facilement un objet sur le réseau et de le retrouver ensuite dans
l’annuaire.
– Référencer les utilisateurs et les ordinateurs : l’annuaire s’apparente à une énorme base
de données qui référence les utilisateurs, les groupes et les ordinateurs d’une entreprise.
On s’appuie sur cette base de données pour réaliser de nombreuses opérations :
authentification, identification, stratégie de groupe, déploiement de logiciels, etc.

Par BOLOMPATA Hugor, Assistant

Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 2

2. La structure de l’Active Directory

A. Les classes et les attributs

Au sein de l’annuaire Active Directory, il y a différents types d’objets, comme par

exemple les utilisateurs, les ordinateurs, les serveurs, les unités d’organisation ou encore les
groupes. En fait, ces objets correspondent à des classes, c’est-à-dire des objets disposant des
mêmes attributs.

De ce fait, un objet ordinateur sera une instance d’un objet de la classe «

Ordinateur » avec des valeurs spécifiques à l’objet concerné.

Certains objets peuvent être des containers d’autres objets, ainsi, les groupes
permettront de contenir plusieurs objets de types utilisateurs afin de les regrouper et de
simplifier l’administration. Par ailleurs, les unités d’organisation sont des containers d’objets afin
de faciliter l’organisation de l’annuaire et permettre une organisation avec plusieurs niveaux.

Sans les unités d’organisations, l’annuaire ne pourrait pas être trié correctement et
l’administration serait moins efficace. Comparez les unités d’organisations à des dossiers qui
permettent de ranger les objets à l’intérieur, si cela est plus compréhensible pour vous.

B. Le schéma

Par défaut, tout annuaire Active Directory dispose de classes prédéfinies ayant
chacune une liste d’attributs bien spécifique, et propre à tout annuaire, cela est défini grâce à un
schéma.

Le schéma contient la définition de toutes les classes et de tous les attributs

disponibles et autorisés au sein de votre annuaire. Il est à noter que le schéma est évolutif, le
modèle de base n’est pas figé et peut évoluer selon vos besoins, voir même pour répondre aux
pré requis de certaines applications. Par exemple, l’application de messagerie Microsoft
Exchange effectue des modifications au schéma lors de son installation.

Les modifications du schéma doivent être réalisées avec précaution, car l’impact est
important et se ressentira sur toute la classe d’objets concernée. Pour preuve, le schéma est
protégé et les modifications contrôlées, puisque seuls les membres du groupe « Administrateurs
du schéma » peuvent, par défaut, effectuer des modifications.

Par BOLOMPATA Hugor, Assistant

Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 3

Console pour gérer le schéma de l’annuaire Active Directory

C. Les partitions d’annuaire

La base de données Active Directory est divisée de façon logique en trois partitions
de répertoire (appelé « Naming Context »). Ces trois partitions sont la partition de schéma, la
partition de configuration, et la partition de domaine.

– La partition de schéma : cette partition contient l’ensemble des définitions des classes et
attributs d’objets, qu’il est possible de créer au sein de l’annuaire Active Directory. Cette
partition est unique au sein d’une forêt.
– La partition de configuration : cette partition contient la topologie de la forêt
(informations sur les domaines, les liens entre les contrôleurs de domaines, les sites,
etc.). Cette partition est unique au sein d’une forêt.
– La partition de domaine : cette partition contient les informations de tous les objets d’un
domaine (ordinateur, groupe, utilisateur, etc.). Cette partition est unique au sein d’un
domaine, il y aura donc autant de partitions de domaine qu’il y a de domaines.

II. Contrôleur de domaine et domaine

Pour continuer l’apprentissage de l’Active Directory, il est intéressant de voir ce que

représente le passage du mode « Groupe de travail » au mode « Domaine ». Pour rappel, toutes
les machines sous Windows sont par défaut dans un groupe de travail nommé «
WORKGROUP », et qui permet de mettre en relation des machines d’un même groupe de
travail, notamment pour le partage de fichiers, mais il n’y a pas de notions d’annuaire, ni de
centralisation avec ce mode de fonctionnement.

A. Modèle « Groupe de travail »

– Une base d’utilisateurs par machine : appelée « base SAM », cette base est unique sur
chaque machine et non partagée, ainsi, chaque machine contient sa propre base
d’utilisateurs indépendante les unes des autres.
– Très vite inadapté dès que le nombre de postes et d’utilisateurs augmente, car cela
devient lourd en administration et les besoins différents.
– Création des comptes utilisateurs en nombre, car chaque utilisateur doit disposer d’un
compte sur chaque machine, les comptes étant propres à chaque machine.
Par BOLOMPATA Hugor, Assistant
Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 4

– Simplicité de mise en œuvre et ne nécessite pas de compétences particulières en

comparaison à la gestion d’un annuaire Active Directory.

B. Modèle « Domaine »

– Base d’utilisateurs, de groupes et d’ordinateurs centralisée. Un seul compte utilisateur

est nécessaire pour accéder à l’ensemble des machines du domaine.
– L’annuaire contient toutes les informations relatives aux objets, tout est centralisé sur le
contrôleur de domaine, il n’y a pas d’éparpillement sur les machines au niveau des
comptes utilisateurs.
– Ouverture de session unique par utilisateur, notamment pour l’accès aux ressources
situées sur un autre ordinateur ou serveur.
– Chaque contrôleur de domaine contient une copie de l’annuaire, qui est maintenue à
jour et qui permet d’assurer la disponibilité du service et des données qu’il contient. Les
contrôleurs de domaine se répliquent entre eux pour assurer cela.
– Administration et gestion de la sécurité centralisée.

1. Les contrôleurs de domaine

Lorsque l’on crée un domaine, le serveur depuis lequel on effectue cette création
est promu au rôle de « contrôleur de domaine » du domaine créé. Il devient contrôleur du
domaine créé, ce qui implique qu’il sera au cœur des requêtes à destination de ce domaine. De
ce fait, il devra vérifier les identifications des objets, traiter les demandes d’authentification,
veiller à l’application des stratégies de groupe ou encore stocker une copie de l’annuaire Active
Directory.
Un contrôleur de domaine est indispensable au bon fonctionnement du domaine,
si l’on éteint le contrôleur de domaine ou qu’il est corrompu, le domaine devient inutilisable.

De plus, lorsque vous créez le premier contrôleur de domaine dans votre

organisation, vous créez également le premier domaine, la première forêt, ainsi que le premier
site. Gardez à l’esprit qu’un contrôleur de domaine est un serveur qui contient une copie de
l’annuaire Active Directory.

2. Le fichier de base de données NTDS.dit

Sur chaque contrôleur de domaine, on trouve une copie de la base de données de

l’annuaire Active Directory. Cette copie est symbolisée par un fichier « NTDS.dit » qui contient
l’ensemble des données de l’annuaire.

3. La réplication des contrôleurs de domaine

De nos jours, il est inévitable d’avoir au minimum deux contrôleurs de domaine

pour assurer la disponibilité et la continuité de service des services d’annuaire. De plus, cela
permet d’assurer la pérennité de la base d’annuaire qui est très précieuse. À partir du moment
où une entreprise crée un domaine, même si ce domaine est unique, il est important de mettre
en place au minimum deux contrôleurs de domaine.

Sur les anciennes versions de Windows Server, notamment Windows Server 2000
et Windows Server 2003, le mécanisme FRS (File Replication Service) était utilisé pour la

Par BOLOMPATA Hugor, Assistant

Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 5

réplication. Depuis Windows Server 2008, FRS est mis de côté pour laisser la place à DFSR
(Distributed File System Replication), qui est plus fiable et plus performant.

Ainsi, les contrôleurs de domaine répliquent les informations entre eux à intervalle
régulier, afin de disposer d’un annuaire Active Directory identique. Sans rentrer dans les
détails, un numéro de version est géré par les contrôleurs de domaine, ce qui permet à un
contrôleur de domaine de savoir s’il est à jour ou non par rapport à la version la plus récente de
l’annuaire.
Sur le schéma ci-dessous, on trouve deux contrôleurs de domaine, présent au sein
d’un même domaine et qui réplique entre eux des informations. Des postes de travail client
sont également présents et intégrés dans ce domaine, ils contactent les contrôleurs de domaine
pour effectuer différentes actions (authentification d’un utilisateur, demande d’accès à une
ressource…).

Comme on peut le voir sur le schéma ci-dessous, lorsqu’il y a plusieurs contrôleurs

de domaine, les requêtes sont réparties.

Par ailleurs, les contrôleurs de domaine répliquent le dossier partagé « SYSVOL »

qui est utilisé pour distribuer les stratégies de groupe et les scripts de connexion.

4. Domaine, arbre et forêt

Prenons un peu notre envole et intéressons-nous à la structure globale d’une

architecture Active Directory, où l’on trouvera potentiellement plusieurs domaines, des arbres
et une forêt. Dans les points précédents, nous avons déjà évoqué la notion de domaine, mais
voyons ce qu’est un arbre et ce qu’est une forêt, et la position d’un domaine dans tout ça.

Lorsque vous verrez des schémas d’architecture Active Directory, vous verrez les
domaines représentés par des triangles. Ainsi, notre domaine « laboadm.cd » pourrait être
schématisé ainsi :

Par BOLOMPATA Hugor, Assistant

Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 6

Au sein du domaine schématisé ci-dessous, on retrouvera tout un ensemble

d’Unités d’Organisation remplies d’objets de différentes classes : utilisateurs, ordinateurs,
groupes, contrôleurs de domaine, etc.

Vous n’êtes pas sans savoir que de nombreuses entreprises ont plusieurs
succursales, ce qui implique plusieurs sites sur différents emplacements géographiques. Selon
l’importance de ces sites, on pourra envisager de créer un sous-domaine au domaine principal,
voir même plusieurs sous-domaines selon le nombre de succursales.

On part du domaine de base « laboadm.cd », auquel on ajoute deux sous-domaines

: « etudiants.laboadm.cd » et « assistant.laboadm.cd » puisque nous avons deux succursales, une
pour les étudiants, l’autre pour l’assistant. Voici la représentation de cette arborescence :

laboadm.cd

etudiants.laboadm.cd assistant.laboadm.cd

Sur le cas ci-dessus, les domaines « etudiants.laboadm.cd » et « assistant.laboadm.cd

» sont des sous-domaines du domaine racine « laboadm.cd ». On appel généralement ces
domaines, « des domaines enfants ».

5. La notion d’arbre

La notion d’arbre doit vous faire penser à un ensemble avec différentes branches, si
c’est le cas, vous êtes sur la bonne voie. En effet, lorsqu’un domaine principal contient plusieurs
sous-domaines on parle alors d’arbre, où chaque sous-domaine au domaine racine représente
une branche de l’arbre.

6. La notion de forêt

Si vous êtes d’accord avec moi pour dire qu’une forêt c’est un ensemble d’arbres,
alors vous avez déjà compris le principe de la notion de « forêt » dans un environnement Active
Directory.
En effet, une forêt est un regroupement d’une ou plusieurs arborescences de
domaines, autrement dit d’un ou plusieurs arbres. Ces arborescences de domaine sont
indépendantes et distinctes bien qu’elles soient dans la même forêt.

L’exemple que nous utilisons jusqu’à maintenant avec le domaine principal et les
deux sous domaines représente une forêt. Seulement, cette forêt ne contient qu’un seul arbre.

Vous devez vous dire, c’est bien joli de créer une forêt, de regrouper les domaines
entre eux, mais alors qu’est-ce que ça apporte ?

– Tous les arbres d’une forêt partagent un schéma d’annuaire commun

Par BOLOMPATA Hugor, Assistant
Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 7

– Tous les domaines d’une forêt partagent un « Catalogue Global » commun

– Les domaines d’une forêt fonctionnent de façon indépendante, mais la forêt facilite les
communications entre les domaines, c’est-à-dire dans toute l’architecture.
– Création de relations entre les différents domaines de la forêt
– Simplification de l’administration et flexibilité.

7. Le niveau fonctionnel

Le niveau fonctionnel est une notion également à connaître lors de la mise en

œuvre d’une infrastructure Active Directory.

À la création d’un domaine, un niveau fonctionnel est défini et il correspond

généralement à la version du système d’exploitation depuis lequel on crée le domaine. Par
exemple, si l’on effectue la création du domaine depuis un serveur sous Windows Server 2012,
le niveau fonctionnel sera « Windows Server 2012 ».

Dans un environnement existant, on est souvent amené à faire évoluer notre

infrastructure, notamment les systèmes d’exploitation, ce qui implique le déclenchement d’un
processus de migration. Une étape incontournable lors de la migration d’un Active Directory
vers une version plus récente et le changement du niveau fonctionnel. Ainsi, il est important de
savoir à quoi il correspond et les conséquences de l’augmentation du niveau.
Un niveau fonctionnel détermine les fonctionnalités des services de domaine Active
Directory qui sont disponibles dans un domaine ou une forêt. Le niveau fonctionnel permet de
limiter les fonctionnalités de l’annuaire au niveau actuel afin d’assurer la compatibilité avec les
plus anciennes versions des contrôleurs de domaine. Plus le niveau fonctionnel est haut, plus
vous pourrez bénéficier des dernières nouveautés liées à l’Active Directory et à sa structure. Ce
qui rejoint la réponse à la question précédente.

Par ailleurs, vous serez obligé d’augmenter le niveau fonctionnel pour ajouter la
prise en charge des derniers systèmes d’exploitation Windows pour les contrôleurs de
domaine. Par exemple, si le niveau fonctionnel est « Windows Server 2003 », vous ne pourrez
pas ajouter un nouveau contrôleur de domaine sous Windows Server 2012 et les versions plus
récentes.
Ce phénomène implique qu’il est bien souvent inévitable d’augmenter le niveau
fonctionnel lorsque l’on effectue une migration, afin de pouvoir supporter les nouveaux OS
utilisés.
À l’inverse, si le niveau fonctionnel est « Windows Server 2012 », il sera impossible
d’intégrer de nouveaux contrôleurs de domaine qui utilisent un système d’exploitation plus
ancien que Windows Server 2012.

De plus, vous ne pouvez pas avoir un niveau fonctionnel plus haut que la version
de votre contrôleur de domaine le plus récent.

Par BOLOMPATA Hugor, Assistant

Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 8

Augmenter le niveau fonctionnel du domaine via la console “Utilisateurs et ordinateurs Active Directory ”

Comme note de fin, je précise qu’une fois le niveau fonctionnel défini, il est
impossible de passer à un niveau inférieur. Par exemple, on peut passer du niveau « Windows
Server 2003 » à « Windows Server 2008 », mais pas l’inverse. Il existe toutefois une exception, il
est possible rétrograder le niveau fonctionnel de Windows Server 2008 R2 à Windows Server
2008.
Il y a deux niveaux fonctionnels différents, un qui s’applique au niveau du domaine
et un autre qui s’applique au niveau de la forêt. Le plus critique étant le niveau fonctionnel de la
forêt, car il doit correspondre au niveau minimum actuel sur l’ensemble des domaines de la
forêt. De ce fait, il est obligatoire d’augmenter le niveau fonctionnel des domaines avant de
pouvoir augmenter le niveau fonctionnel de la forêt.

III. Les protocoles LDAP, DNS et Kerberos

Après s’être intéressé à la vue d’ensemble d’une infrastructure Active Directory,

avec les notions de domaine, d’arbres et de forêts, on va creuser un peu plus dans le
fonctionnement de l’Active Directory en s’intéressant à trois protocoles indispensables à son
fonctionnement.

Ces trois protocoles sont le LDAP, le DNS et le Kerberos. Pour chacun d’entre
eux, nous verrons à quoi ils servent et pourquoi sont-ils si vitaux au bon fonctionnement de
l’Active Directory.

a. Le protocole LDAP

Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole qui

permet de gérer des annuaires, notamment grâce à des requêtes d’interrogations et de
modification de la base d’informations. En fait, l’Active Directory est un annuaire LDAP.

Par BOLOMPATA Hugor, Assistant

Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 9

Les communications LDAP s’effectuent sur le port 389, en TCP, du contrôleur de

domaine cible.

Il existe une déclinaison du protocole LDAP appelée LDAPS (LDAP over SSL)
qui apporte une couche de sécurité supplémentaire avec du chiffrement.

L’annuaire LDAP correspond directement à l’Active Directory, il contient donc un

ensemble d’unités d’organisation qui forment l’arborescence générale ; on y trouve tous les
différents types d’objets classiques : utilisateurs, ordinateurs, groupes, contrôleurs de domaine,
voir même serveurs et imprimantes.

Un annuaire est un ensemble d’entrées, ces entrées étant elles-mêmes constituées

de plusieurs attributs. De son côté, un attribut est bien spécifique et dispose d’un nom qui lui
est propre, d’un type et d’une ou plusieurs valeurs.

Chaque entrée dispose d’un identifiant unique qui permet de l’identifier

rapidement, de la même manière que l’on utilise les identifiants dans les bases de données pour
identifier rapidement une ligne.

L’identifiant unique d’un objet est appelé GUID qui est « l’identificateur unique
global ». Par ailleurs, un nom unique (DN – Distinguished Name) est attribué à chaque objet, et
il se compose du nom de domaine auquel appartient l’objet ainsi que du chemin complet pour
accéder à cet objet dans l’annuaire (le chemin à suivre dans l’arborescence d’unités
d’organisation pour arriver jusqu’à cet objet).

Par exemple, le chemin d’accès suivant, correspondant à un objet « utilisateur »

nommé « Andy », du domaine « laboadm.cd » et étant stocké dans une unité d’organisation
(OU) nommée « informatique » contenant elle-même une OU nommée « system » :

Laboadm.cd, informatique, system, Andy

Se traduira en chemin LDAP par :

cn=Andy,ou=system,ou=informatique,dc=laboadm,dc=cd

Ainsi, la chaîne ci-dessus correspondra au Distinguished Name (unique) de l’objet.

b. Le protocole DNS

L’importance du protocole DNS n’est plus à prouver, nous l’utilisons chaque jour
des centaines de fois, notamment pour la navigation internet et à chaque fois que l’on
communique avec un serveur, pour ne citer que ces deux cas de figure.

Il en est de même pour l’Active Directory qui adore s’appuyer sur le DNS…
D’ailleurs, sans le DNS l’Active Directory ne fonctionnera pas. C’est d’ailleurs pour ça que lors
de la mise en place d’un domaine, l’installation du serveur DNS est proposée.

Le protocole DNS est utilisé pour la résolution des noms, ce qui permet aux postes
clients de localiser les contrôleurs de domaine au sein de votre système d’information. De la
Par BOLOMPATA Hugor, Assistant
Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 10

même manière, lorsque l’on souhaite joindre un client au domaine, on utilise un nom comme «
laboadm.cd », ce qui implique une requête DNS pour savoir quelle est l’adresse IP
correspondante à ce nom, vous serez alors redirigé vers votre contrôleur de domaine qui
traitera la requête.

Le serveur DNS crée une zone correspondante à votre domaine et enregistre de

nombreux enregistrements. Il y a bien sûr un enregistrement (de type A) pour chaque
contrôleur de domaine, mais il existe une multitude d’enregistrements annexes, indispensable
au bon fonctionnement de l’Active Directory :

– Enregistrement pour localiser le « Primary Domain Controller » : correspondant au

contrôleur de domaine qui dispose du rôle FSMO « Émulateur PDC ».
– Enregistrement pour localiser un contrôleur de domaine qui est catalogue global.
– Enregistrement pour localiser les KDC du domaine.
– Enregistrement pour localiser les contrôleurs de domaine du domaine cible.
– Enregistrer simplement la correspondance nom/adresse IP des différents contrôleurs de
domaine. Il est également possible de créer un second enregistrement avec les adresses
IPv6.
– Enregistrer les contrôleurs de domaine via le GUID pour assurer la localisation dans
toute la forêt.

Il est même possible que l’ensemble des ordinateurs joint au domaine soit
enregistré au sein du DNS, si vous le permettez. Ainsi, un ordinateur de l’entreprise pourra être
joint via : poste1.laboadm.cd s’il se nomme « poste1 ».

Le serveur DNS peut être sur le contrôleur de domaine ou sur un autre serveur
DNS du système d’information. Ce serveur DNS peut être sous Windows mais aussi sous
Linux en utilisant le paquet « Bind 9 » qui requiert alors une configuration particulière.

Les contrôleurs de domaine doivent être capables d’écrire dans la zone DNS qui
leur correspond, ceci dans le but de gérer les enregistrements dynamiquement. Lors de la
création d’un domaine, tous les enregistrements nécessaires au bon fonctionnement du système
seront créés automatiquement.

c. Le protocole Kerberos

Le protocole Kerberos est l’acteur principal de l’authentification au sein d’un

domaine, il n’intervient ni dans l’annuaire ni dans la résolution de noms.

Le protocole Kerberos est un protocole mature, qui est aujourd’hui en version 5. Il

assure l’authentification de manière sécurisée avec un mécanisme de distribution de clés.

Chaque contrôleur de domaine dispose d’un service de distribution de clés de

sécurité, appelé « Centre de distribution de clés (KDC) » et qui réalise deux services :

– Un service d’authentification (Authentication Service – AS)

Ce service distribue des tickets spéciaux appelés « TGT » (pour « Ticket-Granting

Ticket ») qui permettent d’effectuer d’autres demandes d’accès auprès du service d’émission de
tickets (TGS).
Par BOLOMPATA Hugor, Assistant
Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 11

Avant qu’un client puisse obtenir un accès sur un ordinateur du domaine, il doit
obtenir un TGT depuis le service d’authentification du domaine cible. Une fois que le service
d’authentification retourne le TGT, le client dispose de l’autorisation pour effectuer sa
demande auprès du TGS.

Ce TGT obtenu pourra être réutilisé jusqu’à ce qu’il expire, mais la première
demande qui déclenchera la création d’un nouveau TGT requiert toujours un passage par le
service d’authentification.

– Un service d’émission de tickets (Ticket-Granting Service – TGS)

Ce service distribue des tickets aux clients pour la connexion de la machine du

domaine. En fait, quand un client veut accéder à un ordinateur, il contacte le service d’émission
de tickets correspondant au domaine auquel appartient l’ordinateur, il présente un TGT, et
effectue sa demande pour obtenir un ticket d’accès sur cet ordinateur. On parlera alors de
l’obtention d’un ticket TGS.

Les deux services décrits précédemment ont chacun des tâches et un processus
précis. Ce mécanisme d’authentification est inévitable pour accéder aux ressources d’un
domaine. Sans Kerberos, il n’y aura plus d’authentification, ce qui déclenchera des problèmes
d’authentifications et d’accès.

Si le centre de distribution de clés (KDC) est indisponible depuis le réseau, l’Active

Directory sera ensuite indisponible également, et le contrôleur de domaine ne contrôlera plus
longtemps le domaine.

Le ticket Kerberos distribué contient de nombreuses informations qui permettent

d’identifier l’élément auquel est attribué ce ticket. Par exemple, pour un utilisateur, il sera
possible de savoir son nom, son mot de passe, l’identité du poste initial ainsi que la durée de
validité du ticket et sa date d’expiration.

Par ailleurs, les tickets TGS et TGT contiennent une clé de session qui permet de
chiffrer les communications suivantes afin de sécuriser les échanges.

En résumé, vous devez garder en tête que ces trois protocoles sont indispensables
au bon fonctionnement de l’Active Directory.

Par BOLOMPATA Hugor, Assistant

Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 12

IV. Installer le rôle Active Directory pour en faire un contrôleur de domaine

Windows Server 2012R2 permet de gérer les rôles et fonctionnalités des autres
serveurs d’un réseau. Considérons que nous n’avons pour l’instant aucun autre serveur donc
cette installation ne concernera que notre futur contrôleur de domaine.

1. Depuis le Gestionnaire de serveur, cliquer sur l’étape (2) Ajouter des rôles et des
fonctionnalités.

2. Sélectionner le type d’installation « Installation basée sur un rôle ou une fonctionnalité ».

3. Notre serveur est le seul du réseau, le choisir dans le Pool de serveurs.

4. Cocher le rôle Services AD DS (Active Directory Domain Services).

Sont précisés les rôles et fonctions qui sont associées à l’AD DS : les accepter.

5. L’écran suivant permet d’ajouter des fonctionnalités, ne rien choisir et faire simplement
Suivant.

6. Indiquer que le serveur peut automatiquement redémarrer si nécessaire et cliquer sur

« Installer ».

Par BOLOMPATA Hugor, Assistant

Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 13

7. Etape importante et facile à oublier : cliquer sur « Promouvoir ce serveur en contrôleur de

domaine » sinon le domaine ne sera pas créé. Les anciens connaissent la commande dcpromo
mais autant continuer d’utiliser cet assistant.

8. Choisir l’opération de déploiement « Ajouter une nouvelle forêt » et lui donner un nom de
domaine racine, « laboadm.cd » par exemple. Les autres choix concernent l’ajout de contrôleur
de domaine supplémentaire dans une forêt ou un domaine existant, pour rajouter un DC
supplémentaire.

9. Une nouvelle forêt avec un nouveau domaine seront donc créés. Il faut ici choisir leur niveau
fonctionnel, par défaut sur « Windows Server 2012 / R2 ». Ce choix va dépendre des
ordinateurs qui composeront votre réseau, on peut laisser 2012 si tout est en Windows 8 ou
supérieur mais mieux vaut descendre en « Windows Server 2008 R2 » si le parc informatique
est aussi composé de Windows 7.

Laisser coché l’ajout de la fonctionnalité Serveur DNS et indiquer un mot de passe de

récupération des services d’annuaire (DSRM).

10. Une erreur apparait sur l’écran suivant. Pas de panique, ce message survient car aucun
serveur DNS n’est installé sur la machine. On clique simplement sur Suivant pour le créer.
Par BOLOMPATA Hugor, Assistant
Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 14

11. Indiquer un nom NetBIOS au domaine, par exemple « laboadm ».

12. Laisser les valeurs de l’écran suivant par défaut (NTDS et SYSVOL).

13. L’installation est prête et un récapitulatif est affiché pour vérifier la configuration. L’assistant
donne même un script PowerShell pour ces manipulations (« Afficher le script »).

14. Une vérification système est effectuée, cliquer sur Installer.

15. Le serveur redémarre automatiquement.

16. Le login se fait maintenant sur le domaine, ici laboadm\Administrateur.

Le Gestionnaire de serveur s’ouvre automatiquement, des boites résument l’état de santé des
rôles AD DS, DNS, Services de fichiers et de stockage, Serveur local et Tous les serveurs. En
vert, tout va bien.

Par BOLOMPATA Hugor, Assistant

Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]
 15

Table des matières

I. Présentation générale.................................................................................................................... 1
1. Les intérêts d’un annuaire ........................................................................................................ 1
2. La structure de l’Active Directory ............................................................................................ 2
A. Les classes et les attributs ............................................................................................................ 2
B. Le schéma ................................................................................................................................... 2
C. Les partitions d’annuaire ............................................................................................................. 3
II. Contrôleur de domaine et domaine ................................................................................................ 3
A. Modèle « Groupe de travail » ...................................................................................................... 3
B. Modèle « Domaine » ................................................................................................................... 4
1. Les contrôleurs de domaine .................................................................................................... 4
2. Le fichier de base de données NTDS.dit................................................................................. 4
3. La réplication des contrôleurs de domaine .............................................................................. 4
4. Domaine, arbre et forêt ........................................................................................................... 5
5. La notion d’arbre ..................................................................................................................... 6
6. La notion de forêt .................................................................................................................... 6
7. Le niveau fonctionnel .............................................................................................................. 7
III. Les protocoles LDAP, DNS et Kerberos ...................................................................................... 8
a. Le protocole LDAP ..................................................................................................................... 8
b. Le protocole DNS ....................................................................................................................... 9
c. Le protocole Kerberos ............................................................................................................... 10
IV. Installer le rôle Active Directory pour en faire un contrôleur de domaine .............................. 12
Table des matières ............................................................................................................................. 15

Par BOLOMPATA Hugor, Assistant

Licencié en Sciences Informatiques, Option : Réseaux
GSM :(+243) 815742305 – 851512821
E-mail : [email protected]