Telechargé par PSEPInfo

02 les objets Active directory w2012

publicité
Chapitre 2 :
Les objets actives Active directory
Prof : Mme Aissat
INSFP Immerzouken Arezki de Tizi Ouzou
MQ5 : Administration des services réseaux
Objectif pédagogique :
A la fin du cours, le stagiaire sera capable de :
-
Donner les principales classes d’objets d’AD
Présenter la structure d’un nom unique (DN) et d’un objet d’AD
Niveaux visés :
1
2
3
Connaissance Compréhension Application
4 Analyse
5 Synthèse
6 Evaluation
1
MQ5 : Administration des services réseaux
Table des matières
Introduction................................................................................................................................ 3
1.
Les objets d’Active directory .............................................................................................. 4
1.1.
Les classes d’objets ...................................................................................................... 4
1.2. Attributs ........................................................................................................................... 5
2.
1.3.
Instance d’objet d’AD (ou Objet) ................................................................................ 5
1.4.
Les identifiants uniques : DistinguishedName (DN) et GUID ...................................... 6
Schéma Active directory..................................................................................................... 7
2.3.
Les attributs indispensables ........................................................................................ 7
3.
Catalogue global ................................................................................................................. 8
4.
Les Unités d’organisation ................................................................................................... 9
5.
Notion du protocole LDAP.................................................................................................. 9
2
MQ5 : Administration des services réseaux
Introduction
Active Directory est le nom du service d'annuaire de Microsoft. Le terme de service
d'annuaire doit être entendu au sens large, c'est-à-dire qu'il s'agit d'un annuaire référençant:


des personnes (nom, prénom, numéro de téléphone, etc.)
des serveurs, des imprimantes, des applications, des bases de données, etc.
En permettant de recenser de nombreuses informations concernant le réseau, Active
Directory constitue le noyau central de toute l'architecture réseau. Cela permet :


à un utilisateur de retrouver et d'accéder à n'importe quelle ressource recensée.
d'avoir une représentation globale de l'ensemble des ressources et des droits/acccès
associés et constitue de ce fait un outil d'administration et de gestion centralisé du
réseau.
La structure d'Active Directory lui permet de gérer de façon centralisée des réseaux pouvant
aller de quelques ordinateurs à des réseaux d'entreprises répartis sur de multiples sites
éloignés géographiquement
3
MQ5 : Administration des services réseaux
1. Les objets d’Active directory
Les objets d’active directory sont les Utilisateurs, ordinateurs, imprimante, groupes,…
Ces objets appartiennent à une classe d’objets.
1.1.
Les classes d’objets
Une classe d’objet est un modèle pour le type d’objet qu’on peut créer dans active directory.
Les principales classes d’objets d’AD sont données dans le tableau suivant :
Nom
Description
Ordinateur
Les ordinateurs clients intégrés au domaine,
mais aussi les serveurs et les contrôleurs de
domaine
Contact
Groupe
Ordinateur
Enregistrer des contacts, sans autorisation
d’authentification
Contact
Regrouper des objets au sein d’un groupe,
notamment pour simplifier l’administration
(attribution de droits à un service
« informatique » qui correspond à un
groupe nommé « informatique », par
exemple)
Groupe
Unité d’organisation
Unité d'organisation
Container pour créer une arborescence et
organiser les objets
Ressource de type « imprimante »
Imprimante
Utilisateur
Utilisateur
Comptes utilisateurs qui permettent de
s’authentifier sur le domaine, et accéder aux
ressources, aux ordinateurs
4
MQ5 : Administration des services réseaux
1.2. Attributs
Une classe d’objet est définie par des attributs (l’équivalent d’une structure d’un
enregistrement)
Exemple :
Classe Utilisateurs (Nom, Prénom, UID, Nom d’ouverture de session, date expiration,…)
Classe Groupe (Nom, Type, Etendue, GID, Membres,…)
1.3.
Instance d’objet d’AD (ou Objet)
Un objet d’AD est définit de manière unique par les valeurs qui sont affectées aux d’attributs
que la classe d’objets contient.
Exemple :
1- Un utilisateur est créé dont le nom est Ait Ali Farid du département Ventes et dont le
compte va expiré le 21-2-2012.
2- Un objet imprimante est créé en donnant des valeurs aux attributs de la classe
Imprimante :
Imprimantecouleurs1
Attributs
Valeurs
Adresse IP
172.16.0.1
Nom
Imprimantecouleur1
Bâtiment
117
Emplacement
12
5
MQ5 : Administration des services réseaux
1.4.
Les identifiants uniques : DistinguishedName (DN) et GUID
Chaque objet dispose d’identifiants uniques qui sont représentés par deux attributs : le
DistinguishedName (DN) et le GUID.
A. Le DistinguishedName (DN)
Cet identifiant unique également appelé « DN » représente le chemin LDAP qui permet de
trouver l’objet dans l’annuaire Active Directory. Voici un exemple de DN :
-
Domaine : laboprof.lan
Unité d’organisation où se trouve l’objet : asri
Nom de l’objet : prof
Le DN de cet objet utilisateur sera : cn=prof,ou=asri,dc=laboprof,dc=lan
Dans ce DN, on trouve un chemin qui permet de retrouver l’objet et les différents éléments
qui lui sont associés :
Identification de l’élément
Description
Cn
CommonName – Nom commun – Nom de l’objet
final ciblé
ou
OrganizationalUnit – Unité d’organisation
dc
Composant de domaine – Utilisé pour indiquer le
domaine cible, avec un élément « dc » par partie
du domaine.
Le DN peut être très long si l’arborescence de l’annuaire est importante. De plus, le DN peut
changer régulièrement si l’objet est déplacé, ou si une unité d’organisation dont il dépend est
renommée puisqu’il contient de manière nominative les objets.
Le GUID
Le GUID (Globally Unique IDentifier) est un identificateur global unique qui permet d’identifier
un objet d’un annuaire Active Directory. Il est attribué à l’objet dès sa création et ne change
jamais, même si l’objet est déplacé ou modifié. Le GUID suit un objet de la création jusqu’à la
suppression.
6
MQ5 : Administration des services réseaux
2. Schéma Active directory
Les classes et attributs d’objets sont appelés schéma active directory.
Il n y’a qu’un seul schéma pour l’ensemble de la forêt, ce qui permet l’homogénéité de
l’ensemble des domaines.
Le schéma est stocké dans la base de données d’Active Directory qui est mise à jour
dynamiquement et peut être exploité instantanément.
Le schéma AD est comme la structure d’une base de données.
2.3.
Les attributs indispensables
Voici ici une liste d’attributs souvent utilisés et indispensables dans la gestion de l’annuaire
Active Directory :
Nom de l’attribut dans le
schéma
Nom de l’attribut dans la
console Active Directory
Description
sAMAccountName
« Nom d’ouverture de session
de l’utilisateur »
UserPrincipalName
« Nom d’ouverture de session
de l’utilisateur » concaténé au
nom du domaine sous la forme
« @laboprof.fr »
Valeur que devra utiliser
l’objet pour s’authentifier sur
le domaine
Nom complet de l’utilisateur
avec le domaine inclus.
Également appelé UPN
description
description
description de l’objet
mail
Adresse de messagerie
Adresse de messagerie
attribuée à l’objet
adminCount
Égal à « 1 » s’il s’agit d’un
compte de type «
Administrateur », égal à « 0 »
s’il ne l’est pas
DisplayName
Nom complet
Nom complet qui sera affiché
pour cet utilisateur
givenName
Prénom
Prénom de l’utilisateur
logonCount
accountExpires
Nombre d’ouverture de
session réalisée par cet objet
Date d’expiration du compte
Date à laquelle le compte ne
sera plus utilisable (peut être
vide)
7
MQ5 : Administration des services réseaux
3. Catalogue global
C’est un référentiel d'informations qui contient un sous-ensemble d’attributs relatifs à tous
les objets Active Directory. Il s'agit des attributs qui sont les plus fréquemment utilisés dans
les requêtes (par exemple, le prénom, le nom, le nom d'ouverture de session et le mot de
passe d'un utilisateur).
Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du
catalogue global et traite les requêtes qui lui sont destinées.
Le catalogue global remplit deux rôles d'annuaire importants, il permet à un utilisateur :


d'ouvrir une session sur le réseau en fournissant à un contrôleur de domaine des
informations sur l’adhésion aux différents groupes lorsqu'un processus d'ouverture
de session est lancé ;
de trouver des informations d'annuaire dans la forêt entière, quel que soit
l’emplacement des données
8
MQ5 : Administration des services réseaux
4. Les Unités d’organisation
Une unité d’organisation est un conteneur.
Les ressources sont classées dans des « conteneurs »
hiérarchique ou des unités d’organisation (OU), un
peu comme les fichiers sur disque sont classés par
dossiers.
Ces conteneurs devront être enrichis pour refléter la
structure fonctionnelle de l’entreprise gérée par le
domaine.
Dans la figure ci-dessus, on peut énumérer les conteneurs présents dès la conception du
domaine:
5. Notion du protocole LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole qui permet de
gérer des annuaires. l’Active Directory est un annuaire LDAP.
Les communications LDAP s’effectuent sur le port 389, en TCP, du contrôleur de domaine
cible.
L'annuaire LDAP regroupe tous les objets dans un arbre.
•
La racine de cet arbre est le nom de domaine (DNS).
•
Les branches sont des unités d'organisations (pas des objets).
•
Les feuilles sont des objets (utilisateurs, groupes, ordinateurs, ...).
Un exemple d'arbre pour le domaine insfp.lan
9
MQ5 : Administration des services réseaux
Le nom unique (DN – Distinguished Name) est attribué à chaque objet, et il se compose du
nom de domaine auquel appartient l’objet ainsi que du chemin complet pour accéder à cet
objet dans l’annuaire (le chemin à suivre dans l’arborescence d’unités d’organisation pour
arriver jusqu’à cet objet) qui est aussi un chemin LDAP.
Le DN peut changer régulièrement si l’objet est déplacé, ou si une unité d’organisation dont
il dépend est renommée puisqu’il contient de manière nominative les objets.
Le chemin, LDAP contient donc
Type de noms
CN
Description
L’identifiant CN (Common Name, nom commun) désigne la nom d'un
objet dans son conteneur.
OU
L’identifiant OU (Organizational Unit ) désigne l'unité d’organisation
qui contient l'objet dans la structure Active Directory.
DC
L’identifiant DC (Domain Components, composantes du domaine) désigne
un niveau de hiérarchie dans un espace de noms DNS.
Par exemple, « DC=insfp, DC=lan» désigne les deux niveaux de l’espace
de noms du domaine «insfp.lan »
Il existe toujours au moins deux composants de domaine, voire
davantage si le domaine est un domaine enfant
Exemple1
Dans le figure , le chemin d'accès à l'utilisateur martin dans la figure 1 s'écrit de cette
manière : cn=martin,ou=gestion,dc=insfp,dc=local
Exemple 2 :
Donner le chemin LDAP ou le nom unique de l’objet Omar.
10
MQ5 : Administration des services réseaux
Le nom unique (le chamin LDAP) de Omar est
CN=Omar,OU=reseau,OU=
specialite,dc=insfp,dc=lan
Exemple 3 :
Donner le nom DN correspondant à un objet « utilisateur » nommé « prof », du domaine «
laboprof.fr » et étant stocké dans une unité d’organisation (OU) nommée « btssio » :
laboprof.fr,btssio,prof.
cn=prof,ou=btssio,dc=laboprof,dc=fr
11
Téléchargement
Explore flashcards