Embed Size (px)
Citation preview
L'Active Directory Sous Windows
Définition:
Active Directory est un annuaire au sens informatique et technique chargé de répertorier tout ce qui touche au réseau comme le nom des utilisateurs, des imprimantes, des serveurs, des dossiers partagés, etc. L'utilisateur peut ainsi trouver facilement des ressources partagées, et les administrateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation des accès aux ressources répertoriées.
Il est possible d'interroger l'annuaire pour obtenir une liste des objets possédant des attributs, en formulant par exemple une requête du type : " Trouver toutes les imprimantes couleur de l'étage 3 ".
La Gestion des groupes :
-Les types de groupe
Lorsque l’on crée un groupe, il est possible de choisir entre deux types de groupes : « Sécurité » et « Distribution ». Chacun des deux types ne rempli pas les mêmes fonctions.
Type Distribution : La tâche d’un groupe de type distribution est d’offrir une ressource ou un service mais avec la particularité de ne pas inclure de mécanisme de sécurité. Le groupe de distribution servira par exemple à créer une liste de distribution pour une adresse électronique ou l’utilisation d’une application à des fins autres que le contrôle d’accès.
En effet, le groupe de distribution ne dispose pas de SID. Sans cela, il sera impossible de gérer des droits d’accès depuis l’annuaire avec ce type de
L'Active Directory Sous Windows
compte. L’avantage principal des groupes de distribution sera de limiter le jeton d’accès d’un utilisateur membre et donc de limiter les flux réseaux.
Type Sécurité : comme pour les groupes de distribution, le type sécurité porte bien son nom car il permet de gérer la sécurité. A la différence d’un groupe de distribution, le groupe de sécurité dispose d’un SID et permet de gérer les accès pour des ressources comme les droits sur un répertoire ou une imprimante partagée. Un utilisateur faisant parti d’un groupe de sécurité utilisera le SID de ce dernier pour accéder à une ressource, si bien entendu le groupe de sécurité à été définir dans l’ACL (Liste de contrôle d’accès). Lorsqu’un utilisateur rejoint un groupe de sécurité, il accède automatiquement et dynamiquement aux ressources disponibles à ce dit groupe. Suivant le vieille adage « qui peut le plus peut le moins », un groupe de sécurité peut être utilisé également comme un groupe de distribution mais sans profiter des avantages des groupes de distribution cités ci-dessus.
-Les étendues de groupe
En plus du type de groupe, il est possible de définir l’étendue d’un groupe. On peut parler également de portée de groupe. L’étendue va dépendre de certains critères comme :
- Le niveau fonctionnel de la forêt et du domaine (Mode 2000 mixte ou Natif…)
- La complexité de l’architecture en place (Relation d’approbation entre domaines…)
- L’usage du groupe
Nous pouvons trouver 3 différents types d’étendue :
Local ou domaine : Utilisable uniquement dans le domaine local. Un groupe avec une étendue de domaine peut contenir des groupes locaux, globaux ou universels. Ils sont également utilisables sur des machines membres du domaine.
Global : Un groupe global peut être intégré dans tous les domaines approuvés quelques en soit la nature (Domaine Active Directory, Domaine WINNT, autres forêts…). Un groupe global ne peut contenir que des objets du domaine.
Universel : Un groupe universel peut contenir des membres de n’importe quel
L'Active Directory Sous Windows
domaine de la forêt et être utilisé dans tout domaine de la forêt. La particularité des groupes universels est qu’ils sont stockés directement sur le catalogue global cependant seulement s’ils sont de type sécurité.
La Gestion des utilisateurs:
Lorsqu’un utilisateur démarre sa station de travail, celui est invité à s’authentifier auprès du serveur et renseignant :
1) Son nom utilisateur, qui est le compte qui aura été créé au préalable sur le serveur.2) Son mot de passe. Cette information est vitale car c’est grâce à celle-ci que l’on prouve bien être la personne que l’on prêtant être. D’ou l’intérêt de ne pas la communiquer à outrance, sous peine de se faire « voler » son identité.3) Le domaine, cette information représente l’entité logique à laquelle on souhaite se rattacher. Il est possible de choisir entre le domaine auquel on est attaché ou localement en utilisant les comptes locaux.
Il est souvent nécessaire d’utiliser la combinaison des touches CTRL+ALT+SUPPR pour faire apparaître cette bannière de login.
A partir du moment où l’authentification a été validée, toutes les opérations effectuées ainsi que les droits accordés à l’utilisateur se feront par rapport à ce compte.
L’outil utilisé pour gérer les comptes d’utilisateurs et groupes est appelé « Utilisateurs et Ordinateurs Active Directory ». L’annuaire « Active Directory » est la base de données contenant l’ensemble des objets constituant le domaine.
La Gestion des Droits
Il est possible d’attribuer des permissions pour contrôler les actions des utilisateurs. Une fois qu’un dossier est partagé, les utilisateurs qui en ont la permission ont accès à tous les fichiers et dossiers contenus dans le dossier partagé.
Les dossiers partagés servent à autoriser/interdire les utilisateurs à accéder aux ressources du réseau. Dans un souci de facilité, la gestion des accès
L'Active Directory Sous Windows
attribués se fera en attribuant les droits non pas directement aux comptes d’utilisateurs mais aux groupes que l’on aura pris soins de constituer.
Il existe deux endroits pour définir la sécurité à accorder à ces groupes :
Les permissions de dossier partagé :
Ces permissions sont les droits qui sont accordés à l’utilisateur quand celui-ci passe à travers le réseau. Elles sont définissables en passant par un clic droit et choisir « Partage et sécurité », on choisit « Partager ce dossier », on renseigne son nom et on clique sur le bouton autorisations afin de définir les différents droits applicables.
Les permissions NTFS :
Ces permissions sont stockées sur le disque du serveur et sont accessibles via un clic droit et l’onglet sécurité. Il apparaît alors une boite de dialogue séparée en deux parties.La première partie, en haut, contient la liste des groupes/utilisateurs impliqués et la partie du bas les droits correspondant à ces groupes/utilisateurs. Pour modifier cela, on clique sur ajouter/supprimer pour ajouter le groupe/utilisateur puis on choisit sur la partie inférieure les droits que l’on va accorder.
Les permissions effectives pour un utilisateur seront le cumul des permissions affectées à ces deux endroits. De plus, cet utilisateur bénéficiera aussi du cumul des permissions attribuées aux groupes auxquels il appartient. Il est à noter que le droit « Refuser », s’il est coché, prime sur « Autoriser » et fait partie des droits cumulés.
