Domaine Active Directory
Introduction
Ce chapitre est consacré à l’annuaire Microsoft Active Directory. Le service d’annuaire Microsoft est indispensable dans la gestion de l’information au sein d’une entreprise.
Dans la première partie, une présentation du service d’annuaire sous Windows Server 2016 sera abordée. Suivront alors des explications sur les principaux composants attachés au service d’annuaire comme les stratégies de groupes et des autres services attachés à ce même annuaire. Les infrastructures informatiques évoluant de plus en plus vers un hébergement dans le cloud, Microsoft propose Azure AD en tant que PaaS (Platform as a Service). Ce chapitre présentera la solution Azure AD, quand l’utiliser, etc.
Présentation du service d’annuaire Microsoft : Active Directory Domain Services
Ce livre s’adressant à des professionnels de l’informatique, vous connaissez sans doute le principe de fonctionnement de l’annuaire Active Directory. Cet ouvrage n’ayant pas pour but de réexpliquer ce que vous savez déjà, nous ne nous attarderons pas sur le détail de fonctionnement d’un annuaire Active Directory (il faudrait un livre entier consacré à cela). Nous tâcherons donc ici de rappeler les grands principes de l’Active Directory (appelé aussi Active Directory Domain Services ou AD DS) afin de pouvoir ensuite nous concentrer sur les spécificités apportées par Windows Server 2016.
1. Définition d’un domaine Active Directory
Active Directory est à la fois un fournisseur d’identité, un service d’annuaire et une solution de gestion des accès.
En tant que service d’annuaire, il permet de référencer et d’organiser des objets comme des comptes utilisateurs, des noms de partages, des autorisations à l’aide de groupes de domaine, etc. Les informations peuvent ainsi être centralisées dans un annuaire de référence afin de faciliter l’administration du système d’information.
D’un point de vue logique, trois notions sont à retenir :
-
Le domaine est l’unité de base chargée de regrouper les objets qui partagent un même espace de noms (un domaine doit en effet nécessairement reposer sur un système DNS supportant les mises à jour dynamiques et les enregistrements de type SRV).
-
Une arborescence de domaines est le regroupement hiérarchique de plusieurs domaines partageant un même espace de noms (par exemple les domaines lyon.MaSociete.Priv et paris.MaSociete.Priv).
-
Une forêt consiste à regrouper plusieurs arborescences de domaine qui ont en commun un catalogue global et qui ne partagent pas forcément un espace de noms commun.
D’un point de vue physique, quatre principaux éléments sont à retenir :
-
Les contrôleurs de domaine sont chargés de stocker l’ensemble des données et de gérer les interactions entre les utilisateurs et le domaine (ouverture de session, recherche...
Les stratégies de groupe
Les stratégies de groupe sont utilisées au sein d’un domaine Active Directory afin de définir des paramètres communs à un ensemble d’ordinateurs ou d’utilisateurs.
Microsoft fournit des améliorations très utiles concernant la gestion des stratégies de groupe depuis Windows Server 2012.
Nous allons vous présenter ici les principales évolutions des stratégies de groupe.
1. Détection des liens lents
La détection des liens lents (appelées aussi parfois « liaisons lentes » par Microsoft) permet de limiter l’application de certaines stratégies de groupe lorsque l’utilisateur se trouve connecté via un réseau bas débit.
Auparavant cette détection se faisait à l’aide du protocole ICMP avec toutes les contraintes associées. C’est pour cette raison que Microsoft a développé le service Connaissance des emplacements réseau (appelé aussi NLA pour Network Location Awareness) pour Windows Vista et Windows Server 2008. Grâce au service NLA, le rafraîchissement en tâche de fond de vos stratégies de groupe sera bien plus fiable car il ne repose plus sur le protocole ICMP mais sur RPC, connu pour sa fiabilité. Si votre ordinateur tente de rafraîchir ses stratégies de groupe (par défaut, cela se produit toutes les 90 minutes) alors que le contrôleur de domaine n’est pas accessible à ce moment là (si l’utilisateur n’est pas branché au réseau par exemple), le rafraîchissement ne se fera pas au prochain cycle (donc 90 minutes plus tard) mais dès que le contrôleur de domaine sera à nouveau accessible. Le service NLA permet en effet de détecter très rapidement la disponibilité du contrôleur de domaine dans ce cas de figure.
Par ailleurs, le service Client de stratégie de groupe présent sur un poste Windows 8/2012 ou versions suivantes a été optimisé et sera la plupart du temps arrêté afin d’économiser des ressources CPU. Le service est automatiquement démarré durant 5 minutes et toujours en respectant un délai de 90 minutes environ. Ce démarrage est désormais contrôlé...
Azure AD
De plus en plus, les directions informatiques choisissent d’héberger leur informatique dans le cloud (donc accessible au travers d’Internet) plutôt que de continuer à l’héberger sur site (on-premises).
Il y a quatre principaux types de services qui peuvent être proposés dans une solution Cloud comme Windows Azure :
-
IaaS (Infrastructure as a Service) : les machines virtuelles en tant que telles, réseaux virtuels, stockage, etc.
-
PaaS (Platform as a Service) : système d’exploitation, base de données, annuaire AD via un service géré. C’est-à-dire que Microsoft met à disposition un service et ses options tout en se chargeant de gérer sa disponibilité, etc.
-
SaaS (Software as a Service) : les applications comme Office 365, SharePoint Online, etc.
-
Le support des containers (dockers) : solution de virtualisation applicative isolant l’application du système d’exploitation, permettant de transporter aisément une application d’une machine à une autre.
Nous allons ici nous pencher sur Microsoft Azure Active Directory, qui est donc un service PaaS mis à disposition par Microsoft.
Microsoft Azure Active Directory (appelé aussi Azure AD) est à la fois un fournisseur d’identité, un service d’annuaire et une solution de gestion des accès. En d’autres termes, il s’agit d’un annuaire Active Directory qui supporte les mêmes fonctionnalités que le classique Active Directory on-premises (sur site).
Cependant, comme il s’agit d’un service en mode PaaS, Microsoft fournit un service géré par ce dernier. Le client final ne gère pas le serveur, ni sa configuration, ses mises à jour, etc. Le but est d’utiliser l’interface qui est mise à disposition pour profiter des services associés. Il ne faut donc pas confondre Azure AD et le fait d’installer le rôle AD DS sur un serveur virtuel hébergé dans Windows Azure.
Azure AD est donc bien différent du rôle AD DS. Il s’agit avant tout d’une solution d’identités. On peut y créer des comptes utilisateurs et groupes, mais il n’est pas possible dans Azure AD de :
-
Créer une OU ou une GPO.
-
Joindre un ordinateur...
Les autres composants associés à un service d’annuaire
1. Active Directory Federation Services (AD FS)
Le composant Active Directory Federation Services permet à des entreprises de fournir à leurs utilisateurs la capacité de s’authentifier sur des applications présentes aussi bien sur leur réseau local que dans une entreprise partenaire ou même sur des services en ligne.
L’utilité typique de la mise en place d’AD FS est également de permettre à des clients extérieurs à votre réseau d’accéder aux ressources de votre réseau d’une façon simple et sans avoir à s’authentifier sur votre base de comptes utilisateurs. C’est le cas par exemple pour une société partenaire (cas d’un B2B) ou dans le cas d’une fédération interentreprises (multiforêt).
Une relation d’approbation est en effet créée entre le réseau partenaire et le vôtre afin de projeter l’identité des utilisateurs et leurs droits d’accès depuis leur réseau vers les partenaires approuvés. L’utilisateur n’aura ainsi pas à entrer à nouveau ses identifiants (principe de l’authentification unique appelée aussi SSO pour Single Sign On).
Depuis Windows Server 2012 R2, AD FS supporte le protocole OAuth 2.0. Ce protocole est de plus en plus largement utilisé par les principaux fournisseurs de service sur Internet car il permet de publier et d’interagir avec des données tout en authentifiant l’utilisateur de façon sécurisée. C’est aussi le cas de Azure Active Directory Authentication Library (ADAL) dont le support a été étendu aux annuaires AD FS.
Il faut savoir également que cette solution est limitée uniquement aux accès via des applications respectant les standards Web mais ces dernières étant de plus en plus puissantes, vos possibilités sont très larges. C’est le cas par exemple avec l’intégration de SharePoint Server, Office 365, des scénarios de contrôle d’accès dynamique ou encore de AD RMS que nous présenterons un peu plus tard.
AD FS fournit une fédération d’identités, c’est-à-dire...
Conclusion
Vous venez de découvrir au travers de ce chapitre une grande partie des solutions d’identité et d’accès proposées par Windows Server 2016. Vous pouvez ainsi aborder au mieux les besoins en termes d’accès à des ressources aussi bien pour mettre en place une solution SSO (Single Sign On ou "identification unique") que pour contrôler la diffusion des fichiers au sein de votre entreprise ou dans le cloud.