Chapitre 2 : Les objets actives Active directory Prof : Mme Aissat INSFP Immerzouken Arezki de Tizi Ouzou MQ5 : Administration des services réseaux Objectif pédagogique : A la fin du cours, le stagiaire sera capable de : - Donner les principales classes d’objets d’AD Présenter la structure d’un nom unique (DN) et d’un objet d’AD Niveaux visés : 1 2 3 Connaissance Compréhension Application 4 Analyse 5 Synthèse 6 Evaluation 1 MQ5 : Administration des services réseaux Table des matières Introduction................................................................................................................................ 3 1. Les objets d’Active directory .............................................................................................. 4 1.1. Les classes d’objets ...................................................................................................... 4 1.2. Attributs ........................................................................................................................... 5 2. 1.3. Instance d’objet d’AD (ou Objet) ................................................................................ 5 1.4. Les identifiants uniques : DistinguishedName (DN) et GUID ...................................... 6 Schéma Active directory..................................................................................................... 7 2.3. Les attributs indispensables ........................................................................................ 7 3. Catalogue global ................................................................................................................. 8 4. Les Unités d’organisation ................................................................................................... 9 5. Notion du protocole LDAP.................................................................................................. 9 2 MQ5 : Administration des services réseaux Introduction Active Directory est le nom du service d'annuaire de Microsoft. Le terme de service d'annuaire doit être entendu au sens large, c'est-à-dire qu'il s'agit d'un annuaire référençant: des personnes (nom, prénom, numéro de téléphone, etc.) des serveurs, des imprimantes, des applications, des bases de données, etc. En permettant de recenser de nombreuses informations concernant le réseau, Active Directory constitue le noyau central de toute l'architecture réseau. Cela permet : à un utilisateur de retrouver et d'accéder à n'importe quelle ressource recensée. d'avoir une représentation globale de l'ensemble des ressources et des droits/acccès associés et constitue de ce fait un outil d'administration et de gestion centralisé du réseau. La structure d'Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d'entreprises répartis sur de multiples sites éloignés géographiquement 3 MQ5 : Administration des services réseaux 1. Les objets d’Active directory Les objets d’active directory sont les Utilisateurs, ordinateurs, imprimante, groupes,… Ces objets appartiennent à une classe d’objets. 1.1. Les classes d’objets Une classe d’objet est un modèle pour le type d’objet qu’on peut créer dans active directory. Les principales classes d’objets d’AD sont données dans le tableau suivant : Nom Description Ordinateur Les ordinateurs clients intégrés au domaine, mais aussi les serveurs et les contrôleurs de domaine Contact Groupe Ordinateur Enregistrer des contacts, sans autorisation d’authentification Contact Regrouper des objets au sein d’un groupe, notamment pour simplifier l’administration (attribution de droits à un service « informatique » qui correspond à un groupe nommé « informatique », par exemple) Groupe Unité d’organisation Unité d'organisation Container pour créer une arborescence et organiser les objets Ressource de type « imprimante » Imprimante Utilisateur Utilisateur Comptes utilisateurs qui permettent de s’authentifier sur le domaine, et accéder aux ressources, aux ordinateurs 4 MQ5 : Administration des services réseaux 1.2. Attributs Une classe d’objet est définie par des attributs (l’équivalent d’une structure d’un enregistrement) Exemple : Classe Utilisateurs (Nom, Prénom, UID, Nom d’ouverture de session, date expiration,…) Classe Groupe (Nom, Type, Etendue, GID, Membres,…) 1.3. Instance d’objet d’AD (ou Objet) Un objet d’AD est définit de manière unique par les valeurs qui sont affectées aux d’attributs que la classe d’objets contient. Exemple : 1- Un utilisateur est créé dont le nom est Ait Ali Farid du département Ventes et dont le compte va expiré le 21-2-2012. 2- Un objet imprimante est créé en donnant des valeurs aux attributs de la classe Imprimante : Imprimantecouleurs1 Attributs Valeurs Adresse IP 172.16.0.1 Nom Imprimantecouleur1 Bâtiment 117 Emplacement 12 5 MQ5 : Administration des services réseaux 1.4. Les identifiants uniques : DistinguishedName (DN) et GUID Chaque objet dispose d’identifiants uniques qui sont représentés par deux attributs : le DistinguishedName (DN) et le GUID. A. Le DistinguishedName (DN) Cet identifiant unique également appelé « DN » représente le chemin LDAP qui permet de trouver l’objet dans l’annuaire Active Directory. Voici un exemple de DN : - Domaine : laboprof.lan Unité d’organisation où se trouve l’objet : asri Nom de l’objet : prof Le DN de cet objet utilisateur sera : cn=prof,ou=asri,dc=laboprof,dc=lan Dans ce DN, on trouve un chemin qui permet de retrouver l’objet et les différents éléments qui lui sont associés : Identification de l’élément Description Cn CommonName – Nom commun – Nom de l’objet final ciblé ou OrganizationalUnit – Unité d’organisation dc Composant de domaine – Utilisé pour indiquer le domaine cible, avec un élément « dc » par partie du domaine. Le DN peut être très long si l’arborescence de l’annuaire est importante. De plus, le DN peut changer régulièrement si l’objet est déplacé, ou si une unité d’organisation dont il dépend est renommée puisqu’il contient de manière nominative les objets. Le GUID Le GUID (Globally Unique IDentifier) est un identificateur global unique qui permet d’identifier un objet d’un annuaire Active Directory. Il est attribué à l’objet dès sa création et ne change jamais, même si l’objet est déplacé ou modifié. Le GUID suit un objet de la création jusqu’à la suppression. 6 MQ5 : Administration des services réseaux 2. Schéma Active directory Les classes et attributs d’objets sont appelés schéma active directory. Il n y’a qu’un seul schéma pour l’ensemble de la forêt, ce qui permet l’homogénéité de l’ensemble des domaines. Le schéma est stocké dans la base de données d’Active Directory qui est mise à jour dynamiquement et peut être exploité instantanément. Le schéma AD est comme la structure d’une base de données. 2.3. Les attributs indispensables Voici ici une liste d’attributs souvent utilisés et indispensables dans la gestion de l’annuaire Active Directory : Nom de l’attribut dans le schéma Nom de l’attribut dans la console Active Directory Description sAMAccountName « Nom d’ouverture de session de l’utilisateur » UserPrincipalName « Nom d’ouverture de session de l’utilisateur » concaténé au nom du domaine sous la forme « @laboprof.fr » Valeur que devra utiliser l’objet pour s’authentifier sur le domaine Nom complet de l’utilisateur avec le domaine inclus. Également appelé UPN description description description de l’objet mail Adresse de messagerie Adresse de messagerie attribuée à l’objet adminCount Égal à « 1 » s’il s’agit d’un compte de type « Administrateur », égal à « 0 » s’il ne l’est pas DisplayName Nom complet Nom complet qui sera affiché pour cet utilisateur givenName Prénom Prénom de l’utilisateur logonCount accountExpires Nombre d’ouverture de session réalisée par cet objet Date d’expiration du compte Date à laquelle le compte ne sera plus utilisable (peut être vide) 7 MQ5 : Administration des services réseaux 3. Catalogue global C’est un référentiel d'informations qui contient un sous-ensemble d’attributs relatifs à tous les objets Active Directory. Il s'agit des attributs qui sont les plus fréquemment utilisés dans les requêtes (par exemple, le prénom, le nom, le nom d'ouverture de session et le mot de passe d'un utilisateur). Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue global et traite les requêtes qui lui sont destinées. Le catalogue global remplit deux rôles d'annuaire importants, il permet à un utilisateur : d'ouvrir une session sur le réseau en fournissant à un contrôleur de domaine des informations sur l’adhésion aux différents groupes lorsqu'un processus d'ouverture de session est lancé ; de trouver des informations d'annuaire dans la forêt entière, quel que soit l’emplacement des données 8 MQ5 : Administration des services réseaux 4. Les Unités d’organisation Une unité d’organisation est un conteneur. Les ressources sont classées dans des « conteneurs » hiérarchique ou des unités d’organisation (OU), un peu comme les fichiers sur disque sont classés par dossiers. Ces conteneurs devront être enrichis pour refléter la structure fonctionnelle de l’entreprise gérée par le domaine. Dans la figure ci-dessus, on peut énumérer les conteneurs présents dès la conception du domaine: 5. Notion du protocole LDAP Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole qui permet de gérer des annuaires. l’Active Directory est un annuaire LDAP. Les communications LDAP s’effectuent sur le port 389, en TCP, du contrôleur de domaine cible. L'annuaire LDAP regroupe tous les objets dans un arbre. • La racine de cet arbre est le nom de domaine (DNS). • Les branches sont des unités d'organisations (pas des objets). • Les feuilles sont des objets (utilisateurs, groupes, ordinateurs, ...). Un exemple d'arbre pour le domaine insfp.lan 9 MQ5 : Administration des services réseaux Le nom unique (DN – Distinguished Name) est attribué à chaque objet, et il se compose du nom de domaine auquel appartient l’objet ainsi que du chemin complet pour accéder à cet objet dans l’annuaire (le chemin à suivre dans l’arborescence d’unités d’organisation pour arriver jusqu’à cet objet) qui est aussi un chemin LDAP. Le DN peut changer régulièrement si l’objet est déplacé, ou si une unité d’organisation dont il dépend est renommée puisqu’il contient de manière nominative les objets. Le chemin, LDAP contient donc Type de noms CN Description L’identifiant CN (Common Name, nom commun) désigne la nom d'un objet dans son conteneur. OU L’identifiant OU (Organizational Unit ) désigne l'unité d’organisation qui contient l'objet dans la structure Active Directory. DC L’identifiant DC (Domain Components, composantes du domaine) désigne un niveau de hiérarchie dans un espace de noms DNS. Par exemple, « DC=insfp, DC=lan» désigne les deux niveaux de l’espace de noms du domaine «insfp.lan » Il existe toujours au moins deux composants de domaine, voire davantage si le domaine est un domaine enfant Exemple1 Dans le figure , le chemin d'accès à l'utilisateur martin dans la figure 1 s'écrit de cette manière : cn=martin,ou=gestion,dc=insfp,dc=local Exemple 2 : Donner le chemin LDAP ou le nom unique de l’objet Omar. 10 MQ5 : Administration des services réseaux Le nom unique (le chamin LDAP) de Omar est CN=Omar,OU=reseau,OU= specialite,dc=insfp,dc=lan Exemple 3 : Donner le nom DN correspondant à un objet « utilisateur » nommé « prof », du domaine « laboprof.fr » et étant stocké dans une unité d’organisation (OU) nommée « btssio » : laboprof.fr,btssio,prof. cn=prof,ou=btssio,dc=laboprof,dc=fr 11