Livre blanc
Résumé
Ce livre blanc présente Active Directory, les services d’annuaires de nouvelle génération de Microsoft pour la plate-forme Microsoft® Windows® 2000 Server. Active Directory utilise le concept Internet d’espace de nommage pour offrir un point unique d’administration et de réplication, une vue hiérarchique de l’annuaire, ainsi que l’extensibilité, l’évolutivité, la sécurité distribuée et la réplication sur plusieurs maîtres.
Ce document passe en revue les fonctionnalités et composants clé d’Active Directory, et explique dans le détail l’incidence que ces services vont avoir sur l’informatique dans l’entreprise.
Vous travaillez dans une grande entreprise et vous recherchez un fichier, mais vous n’êtes pas certain de l’endroit exact où il est stocké, ni même du nom du serveur qui l’héberge sur votre réseau. Quels sont les outils à votre disposition pour voir la structure de répertoires de votre réseau ? Comment pouvez-vous effectuer des recherches sur chacun des serveurs si vous ne connaissez même pas leurs noms ? Autre cas de figure, vous administrez un réseau d’entreprise et disposez d’un ensemble de serveurs internes pour vos utilisateurs, de serveurs pour les données sensibles, d’un intranet avec des zones à accès limité et des zones ouvertes, ainsi que d’un site Internet public. Comment visualiser l’intégralité de votre environnement à partir d’une vue unique ? Comment pouvez-vous définir des restrictions afin que des utilisateurs non autorisés ne puissent accéder aux données sensibles ? Comment pouvez-vous répliquer les données pour qu’elles soient contrôlées tout en restant disponibles ? Et surtout : comment pouvez-vous garantir que votre solution d’annuaire fonctionnera sur l’ensemble du réseau et sur vos différents systèmes d’exploitation, et qu’elle pourra évoluer avec votre réseau ?
Aujourd’hui, le système d’exploitation de réseau Microsoft® Windows NT® Server propose les Services d’annuaires Windows NT, un annuaire robuste qui fournit ce dont les clients ont le plus besoin — une connexion réseau unique et un seul point d’administration et de réplication. Bien que ces fonctions soient vitales pour les entreprises, il devient de plus en plus manifeste que celles qui utilisent Windows NT Server attendent plus de leurs services d’annuaires. Les clients réclament des fonctionnalités telles que la vue hiérarchique de l’annuaire, l’extensibilité, l’évolutivité, la sécurité distribuée et la réplication sur plusieurs maîtres. Pour répondre à ces besoins, Microsoft développe les services Active Directory, qui seront intégralement mis en œuvre dans la prochaine version de Windows® 2000 Server.
La prochaine génération de services d’annuaires
Le développement spectaculaire de l’informatique en réseau aboutit à la nécessité d’un système d’annuaire plus puissant, plus transparent et plus étroitement intégré. Le développement et la complexité accrue des réseaux locaux et étendus, la connexion des réseaux à Internet, l’utilisation toujours croissante des ressources du réseau par les applications et la possibilité pour celles-ci d’être reliées à d’autres systèmes par l’intermédiaire d’intranets d’entreprise entraînent une augmentation des exigences en matière de services d’annuaires.
Les protocoles et les formats d’objets pris en charge par un annuaire déterminent son ouverture — c’est-à-dire le degré de disponibilité de l’annuaire vis-à-vis des clients qui n’ont pas été explicitement conçus pour l’utiliser. Les interfaces de programmation d’applications (API) prises en charge définissent la gamme des outils et des applications qui tireront directement parti du service d’annuaire. Les services d’annuaires doivent également devenir un point d’unification, capable d’ordonner et de structurer, particulièrement lors de la gestion d’informations provenant d’annuaires de systèmes d’exploitation de réseau et d’applications en concurrence.
Active Directory prend en charge une gamme étendue de protocoles et de formats bien définis et fournit des API puissantes, souples et faciles à utiliser. En outre, Active Directory offre aux administrateurs et aux utilisateurs une source unique pour les informations de ressources et de gestion.
Au-delà de l’annuaire traditionnel
Traditionnellement, les services d’annuaires sont des outils permettant d’organiser, de gérer et de localiser des objets " intéressants " dans un système informatique. Le qualificatif " intéressants " s’applique à des objets dont les utilisateurs (et les applications) ont besoin pour effectuer leur travail : imprimantes, documents, adresses de messagerie électronique, bases de données, utilisateurs, composants distribués et autres ressources.
Dans leur forme la plus simple, les services d’annuaires sont semblables aux pages blanches d’un annuaire téléphonique. En fournissant une information particulière (le nom d’une personne, par exemple), un utilisateur peut obtenir des informations spécifiques (l’adresse et le numéro de téléphone de la personne). Les services d’annuaires offrent aussi les fonctionnalités des pages jaunes. Avec une question générale (par exemple, " où sont les imprimantes ?"), un utilisateur peut recevoir la liste des ressources imprimantes consultables.
Mais, à mesure que les environnements de réseau se développent et deviennent plus complexes, les services d’annuaires doivent offrir davantage, cela avant même de se connecter à l’environnement global d’Internet. Active Directory a été créé pour relever le défi consistant à unifier et ordonner différentes hiérarchies de serveurs, ou espaces de nommage.
L’annuaire en tant que fournisseur de services
En plus de la gestion des tâches administratives traditionnelles des services d’annuaires, Active Directory répondra à un grand nombre de besoins en matière de nommage, d’interrogation, d’administration, d’inscription et de résolution. Le schéma suivant résume sa fonction globale dans le système.
Figure 1. L’annuaire est un fournisseur de services utilisé pour localiser l’ensemble des informations et des services réseau.
L’architecture d’Active Directory lui permet de s’adapter à toutes les tailles d’organisations, qu’il s’agisse de PME ou d’entreprises multinationales, ou encore d’administrations et de services publics.
Active Directory utilise un ensemble étroitement intégré d’API et de protocoles pour étendre ses services à plusieurs espaces de nommage et pour rassembler et présenter des informations d’annuaires et de ressources résidant sur différents systèmes d’exploitation et à des emplacements distants. Par exemple, Microsoft propose aujourd’hui un ensemble complet de composants d’interopérabilité pour les clients de Novell NetWare 3.x/4.x. Etant donné que les protocoles évoluent, Microsoft travaillera également avec les acteurs du marché à la normalisation des communications avec d’autres environnements. Pour rendre la migration vers les services Active Directory aussi simple que possible, Microsoft garantira aussi le fonctionnement des versions précédentes de Windows NT Server avec les versions ultérieures.
Résumé des fonctionnalités et des avantages
Active Directory inclut les fonctionnalités et les avantages suivants :
La suite de ce document étudie les objectifs de conception et la mise en œuvre d’Active Directory pour Windows 2000 Server. Il explique également comment une entreprise peut préparer et garantir une migration transparente vers la prochaine génération de services d’annuaires.
Active Directory est un service d’annuaire totalement intégré à Windows 2000 Server et qui offre la vue hiérarchique, l’extensibilité, l’évolutivité et la sécurité distribuée nécessaires à toutes les entreprises. Pour la première fois, les administrateurs de réseau, les développeurs et les utilisateurs accèdent à un service d’annuaire qui :
Active Directory est un élément critique du système distribué. Il permet aux administrateurs et aux utilisateurs d’employer le service d’annuaire comme une source d’informations et comme un service administratif.
Active Directory intègre le concept Internet d’espace de nommage avec les services d’annuaires du système d’exploitation, en permettant aux entreprises d’unifier et de gérer les multiples espaces de nommage utilisés actuellement dans les environnements logiciels et matériels hétérogènes des réseaux d’entreprise. Il s’appuie sur le protocole LDAP (Lightweight Directory Access Protocol) et peut fonctionner avec différents systèmes d’exploitation, intégrant ainsi plusieurs espaces de nommage. Il peut intégrer et gérer des annuaires propres à une application ainsi que d’autres annuaires basés sur des systèmes d’exploitation de réseau, pour fournir un annuaire général capable de réduire la charge administrative et les coûts associés au maintien de plusieurs espaces de nommage.
Active Directory n’est pas un annuaire X.500. Il utilise LDAP comme protocole d’accès et prend en charge le modèle d’informations X.500 sans obliger les systèmes à héberger toute la structure X.500. Vous bénéficiez ainsi du haut niveau d’interopérabilité nécessaire pour administrer les réseaux hétérogènes existants.
Un point d’administration unique
Active Directory autorise un point unique d’administration pour toutes les ressources publiées, qui peuvent inclure des fichiers, des périphériques, des connexions hôtes, des bases de données, un accès Web, des utilisateurs, d’autres objets arbitraires, des services, etc. Il utilise le service de nom de domaine (DNS) Internet comme service de localisation, organise les objets des domaines en une hiérarchie d’unités organisationnelles (OU, organizational units) et permet de connecter plusieurs domaines pour former une structure arborescente. L’administration est simplifiée dans la mesure où la notion de contrôleur principal de domaine (CPD) et de contrôle secondaire de domaine (CSD) n’existe plus. Active Directory n’utilise que des contrôleurs de domaine (CD), et tous sont au même niveau (contrôleurs " homologues "). Un administrateur peut effectuer des changements sur un contrôleur de domaine, et ceux-ci seront répliqués sur tous les autres contrôleurs de domaine.
La structure d’annuaire et le moteur de stockage de Microsoft Exchange 4.0 représentent les fondations d’Active Directory. Le moteur de stockage de Microsoft Exchange fournit plusieurs index pour accélérer les recherches et un mécanisme efficace pour stocker des objets " creux ". Il s’agit d’objets qui prennent en charge de nombreuses propriétés, mais qui n’ont pas toujours de valeurs pour l’ensemble de celles-ci. Sur cette base, Microsoft a développé des services d’annuaires généraux capables d’évoluer d’une petite installation comportant quelques centaines à quelques milliers d’objets vers une très grande installation qui en comporte des millions.
Active Directory prend en charge plusieurs magasins d’objets et peut stocker plus d’un million d’objets dans chacun d’eux, offrant ainsi une évolutivité incomparable tout en maintenant une structure hiérarchique simple et une grande facilité d’administration. Associé au Système de fichiers distribué (DFS, Distributed File System) de Microsoft (prévu avec Windows 2000 Server), Active Directory rapprochera les réseaux de l’objectif d’un espace de nommage global unique.
Intégration avec le système d’exploitation
Active Directory est intégré de manière transparente avec Windows 2000 Server, qui est le seul système d’exploitation à offrir la prise en charge traditionnelle des services de fichiers et d’impression, des applications, des communications et des environnements Internet/Intranet dans le produit de base. Windows 2000 Server est le meilleur serveur de fichiers et d’impression pour tous les besoins de partage d’informations et de ressources d’une entreprise, et il dépasse de loin tous les autres systèmes d’exploitation disponibles aujourd’hui. Il constitue également le meilleur serveur d’applications disponible et offre le meilleur rapport évolutivité/prix du marché. En outre, Windows 2000 Server est une excellente plate-forme de communication, avec des fonctionnalités telles que les Services d’accès distant (RAS), TAPI et PPTP.
Active Directory a pour objectif principal d’offrir une vue unifiée du réseau à même de réduire sensiblement le nombre d’annuaires et d’espaces de nommage auxquels les administrateurs de réseau (et les utilisateurs) sont confrontés. Active Directory est spécifiquement conçu pour intégrer et gérer d’autres annuaires, indépendamment de l’emplacement de leur(s) système(s) d’exploitation sous-jacent(s). Pour cela, Active Directory offre une prise en charge étendue des normes et protocoles existants, y compris les formats de noms standard, et fournit des interfaces de programmation d’applications (API) facilitant la communication avec ces autres annuaires.
Active Directory utilise DNS (Domain Name Service) comme service de localisation et peut échanger des informations avec n’importe quel annuaire utilisant LDAP (Lightweight Directory Access Protocol).
Active Directory associe le meilleur de DNS en tant que service de localisation avec le meilleur de X.500, tout en évitant les inconvénients des deux et en faisant progresser les normes Internet.
DNS est le service d’annuaire le plus utilisé au monde. Il s’agit du service de localisation utilisé sur Internet et la plupart des intranets privés. Un service de localisation permet de convertir un nom — par exemple, MaMachine.MaSociete.com — en une adresse TCP/IP. DNS est conçu pour évoluer vers de très grands systèmes (il prend en charge Internet dans son entier), tout en restant suffisamment " léger " pour être utilisable dans un système limité à quelques ordinateurs.
Création de noms prêts pour Internet
Active Directory utilise également DNS comme service de localisation. Dans Active Directory, les noms des domaines Windows NT sont des noms DNS. Les utilisateurs trouveront dans Active Directory les mêmes conventions de nommage simples utilisées sur Internet. Masociete.Com peut être à la fois un domaine DNS (c’est-à-dire, une zone d’adressage) et un domaine Windows NT. JeanDupont@MaSociete.com est à la fois une adresse de messagerie électronique Internet et un nom d’utilisateur dans le domaine MaSociete.com. Les domaines Windows 2000 peuvent être localisés sur Internet et sur des intranets de la même façon que n’importe quelle ressource est localisée sur Internet — au moyen de DNS. Ce point est illustré à la figure 2.
Figure 2. DNS est le service de localisation de Windows NT.
Création d’un environnement DNS plus facile à gérer
D’un point de vue historique, DNS a présenté certaines difficultés en termes de gestion, car il nécessitait la maintenance manuelle de fichiers texte contenant le mappage nom-adresse pour chacun des ordinateurs d’une organisation. Dans Windows NT Server version 4.0, Microsoft a introduit un serveur DNS intégrant le service de nom Internet Windows® (WINS, Windows Internet Name Service). Le serveur DNS de Windows NT inclut un outil d’administration graphique conçu pour faciliter l’édition de fichiers DNS. Pour éliminer l’attribution manuelle des adresses, ce serveur DNS est étroitement intégré à WINS, un service Windows NT qui met dynamiquement à jour le fichier de mappage nom-adresse.
Sur un réseau basé sur Windows NT Server, les ordinateurs client reçoivent automatiquement des adresses TCP/IP au démarrage, grâce au protocole DHCP (Dynamic Host Configuration Protocol). Les clients inscrivent ensuite leurs noms et adresses dans WINS. Ce point est illustré à la figure 3.
Le serveur DNS de Windows NT utilise WINS pour résoudre les noms non reconnus dans l’organisation qu’il dessert.
Figure 3. DNS et WINS sont intégrés pour autoriser des mises à jour DNS dynamiques.
La solution de Microsoft pour mettre à jour dynamiquement les tables DNS —intégrer DNS et WINS — est une solution à court terme. Les normes Internet pour DNS ont été mises à jour pour prendre en charge le DNS dynamique. Celui-ci élimine la nécessité de WINS car il permet aux clients disposant d’adresses affectées dynamiquement de s’inscrire directement auprès du serveur DNS et de mettre à jour la table DNS à la volée. Les serveurs exécutant Active Directory utiliseront le DNS dynamique pour se publier dans DNS. En déployant Windows NT 4.0, DNS et WINS aujourd’hui, les administrateurs système créent les fondations d’Active Directory et du DNS dynamique.
Figure 4. Active Directory prend en charge les protocoles LDAP v2 et v3.
Active Directory intègre davantage les normes Internet en prenant directement en charge le protocole LDAP (Lightweight Directory Access Protocol).
LDAP est une norme Internet proposée (RFC 2251) pour l’accès à des services d’annuaires ; elle a été développée en tant qu’alternative plus simple au protocole X.500 DAP (Directory Access Protocol). Microsoft participe activement à la promotion des normes LDAP et intègre la prise en charge de LDAP versions 2 et 3 dans Active Directory.
Prise en charge des formats de noms standard
Les utilisateurs et les applications sont concernés par le format de nom employé dans les services d’annuaires. Lorsqu’un utilisateur ou une application a besoin de trouver ou d’utiliser un objet, il ou elle doit connaître le nom ou une propriété de l’objet pour pouvoir le localiser. Il existe plusieurs formes courantes pour les noms dans les annuaires, définies par des normes officielles ou de fait, et Active Directory prend en charge un grand nombre de ces formats. Cette prise en charge étendue de différents formats de noms permet aux utilisateurs et aux applications d’utiliser le format qui leur est le plus familier lors d’un accès à Active Directory. Quelques-uns de ces formats sont décrits ci-dessous.
Les noms RFC 822 adoptent la forme nom@domaine et la plupart des utilisateurs les connaissent en tant qu’adresses de messagerie électronique Internet, comme JeanDupont@MaSociete.com. Active Directory fournit un " nom convivial " au format RFC 822 pour tous les utilisateurs. Par exemple, un utilisateur peut disposer d’un nom convivial en tant qu’adresse de messagerie électronique, utilisable à la fois pour sa carte de visite professionnelle et pour se connecter.
Active Directory prend en charge les accès par le biais du protocole LDAP à partir de n’importe quel client LDAP. Les noms LDAP sont moins intuitifs que les noms Internet, mais la complexité de l’attribution de noms LDAP est généralement masquée dans une application. Les noms LDAP utilisent la convention de nommage X.500 appelée nommage avec attributs (attributed naming). Une URL LDAP nomme le serveur hébergeant les services Active Directory et le nom avec attributs de l’objet, par exemple :
LDAP://Serveur.Masociete.com/CN=jeandupont,OU=Sys,OU=Produit,
OU=Division,DC=Masociete,DC=com
Active Directory fournit des interfaces de programmation d’applications (API) puissantes, souples et faciles à utiliser. La disponibilité d’un ensemble complet d’API pour le service d’annuaire encourage le développement d’applications et d’outils exploitant les services de l’annuaire. Active Directory inclut trois principaux ensembles d’API :
Chacune de ces API est décrite dans la suite de ce document.
Active Directory Service Interfaces (ADSI)
Pour faciliter l’écriture d’applications orientées annuaire capables d’accéder à Active Directory et à d’autres annuaires orientés LDAP, Microsoft a développé Active Directory Service Interfaces (ADSI). Il s’agit d’un ensemble d’interfaces de programmation extensibles et faciles à utiliser qui permettent d’écrire des applications capables de manipuler et de gérer :
ADSI fait partie de l’interface ODSI (Open Directory Services Interface), l’architecture WOSA (Windows® Open Services Architecture) pour la manipulation et l’interrogation de plusieurs services d’annuaires. Des objets ADSI sont disponibles pour Windows NT 4.x, Novell NetWare 3.x et 4.x, Active Directory, ainsi que pour tout autre service d’annuaire prenant en charge le protocole LDAP.
ADSI réalise la synthèse entre les possibilités de services d’annuaires provenant de différents fournisseurs de réseaux, afin de présenter un ensemble unique d’interfaces de services d’annuaires pour l’administration des ressources réseau. Cela simplifie considérablement le développement d’applications distribuées et l’administration de systèmes distribués. Les développeurs et les administrateurs peuvent se servir de cet ensemble unique d’interfaces de services d’annuaires pour énumérer et gérer les différentes ressources dans un service d’annuaire, quel que soit l’environnement réseau qui les contient. ADSI facilite par conséquent l’exécution de tâches administratives courantes telles que l’ajout de nouveaux utilisateurs, la gestion des imprimantes et la localisation des ressources dans l’environnement distribué. Il permet également aux développeurs de rendre leurs applications facilement compatibles avec l’annuaire.
ADSI est conçu pour répondre aux besoins des programmeurs C et C++ traditionnels, des administrateurs système et des utilisateurs chevronnés. Avec ADSI, le développement d’applications orientées annuaire est rapide et aisé. ADSI présente l’annuaire sous la forme d’un ensemble d’objets COM fournissant un comportement en plus des données. Par exemple, une application peut utiliser un objet ADSI PrintQueue pour lire des données, telles que les caractéristiques de la file d’attente, et pour suspendre la file d’attente en question. Dans le système de développement Visual Basic®, cela s’effectue simplement de la façon suivante :
Dim MyQueue as IOleDsPrintQueue
set MyQueue = GetObject("DS://Masociete.com/Division/Produit/Imprimantes/MonImprimante")
MyQueue.Pause
Comme des objets ADSI sont disponibles pour un grand nombre de services d’annuaires courants, ADSI est un outil idéal pour construire des applications capables de fonctionner avec plusieurs annuaires. En outre, un fournisseur de services peut choisir d’offrir des possibilités d’interrogation évoluées en prenant en charge les interfaces OLE DB. Par conséquent, les outils qui exploitent ces interfaces peuvent utiliser des fournisseurs de services Active Directory.
Les objets ADSI sont conçus pour répondre aux besoins de trois principales catégories de personnes :
MAPI — l’API de messagerie Windows
Active Directory prend en charge MAPI afin que les applications MAPI propriétaires puissent continuer à fonctionner avec Active Directory. C’est la raison pour laquelle les développeurs de nouvelles applications sont encouragés à utiliser ADSI pour construire leurs applications orientées annuaire.
L’API LDAP offre une solution de " plus petit dénominateur commun " pour les développeurs qui ont besoin que leurs applications fonctionnent sur différents types de clients. De même, les applications LDAP existantes fonctionneront sur des services Active Directory avec peu de modifications, voire aucune, hormis la simple extension de l’application pour prendre en charge des types d’objets propres à Active Directory. Les développeurs d’applications LDAP sont encouragés à migrer vers ADSI, qui prend en charge tous les services d’annuaires orientés LDAP.
Microsoft est parfaitement conscient que les entreprises n’ont pas toutes la même taille et qu’un annuaire n’a pas beaucoup de valeur s’il est inadapté à la petite entreprise à une extrémité et à la grande entreprise à l’autre extrémité. C’est la raison pour laquelle Active Directory fonctionne très bien sur un ordinateur unique tout en étant capable d’évoluer vers un environnement de grande entreprise.
Windows NT 4.0 évolue correctement jusqu’à un minimum de 100 000 utilisateurs, mais Active Directory peut prendre en charge plus d’un million d’utilisateurs dans un même domaine, voire plus dans une arborescence ou une forêt de domaines. La granularité d’administration d’Active Directory autorise la création de domaines de petite taille, faciles à administrer, qui permettent aux organisations et aux réseaux qui les prennent en charge de se développer dans de grandes proportions. Les grandes entreprises n’utilisent pas des méthodes d’administration différentes de celles des petites entreprises — elles ont simplement davantage d’administrateurs.
Active Directory évolue en créant une copie du magasin d’annuaire pour chaque domaine. Cette copie contient uniquement les objets qui s’appliquent à ce domaine. Si plusieurs domaines sont liés, ils peuvent être regroupés sous forme d’arborescence. Dans cette dernière, chaque domaine dispose de sa copie personnelle du magasin d’annuaire, avec ses propres objets, et il a la possibilité de trouver toutes les autres copies du magasin d’annuaire dans l’arborescence.
Au lieu de créer une seule copie de l’annuaire dont la taille ne cessera d’augmenter, Active Directory crée une arborescence composée de parties de l’annuaire, contenant chacune des informations lui permettant de trouver toutes les autres parties. Active Directory scinde l’annuaire en plusieurs parties afin que la partie qu’une personne utilise le plus souvent soit aussi proche que possible de celle-ci. D’autres utilisateurs à d’autres endroits peuvent souhaiter utiliser cette même partie de l’annuaire, auquel cas ils devront disposer d’une copie proche. Tous les réplicas de cette partie de l’annuaire restent synchronisés. Si un enregistrement dans une copie quelconque est modifié, cette modification est propagée vers l’autre copie. Cela permet à Active Directory d’évoluer vers plusieurs millions d’utilisateurs dans une arborescence.
Utilisation d’arborescences et de forêts de domaines
La clé de l’évolutivité d’Active Directory est l’arborescence de domaines. A la différence des services d’annuaires qui se composent d’une structure arborescente unique et nécessitent une procédure de partitionnement " descendante " complexe, Active Directory offre une méthode " ascendante " simple et intuitive pour construire une arborescence de grande taille. Dans Active Directory, un domaine est une partition complète de l’annuaire. Les domaines sont subdivisés en unités organisationnelles (OU) à des fins d’administration. Ce point est illustré à la figure 5.
Figure 5. Active Directory utilise des arborescences de domaines et des unités organisationnelles (OU) pour fournir des arborescences ascendantes.
Un domaine peut au départ être très petit et se développer pour contenir plus de 10 millions d’objets. Lorsqu’une structure organisationnelle plus complexe est nécessaire ou qu’il faut stocker un nombre d’objets très élevé, plusieurs domaines Windows NT peuvent être facilement interconnectés pour former une arborescence. Plusieurs arborescences peuvent former une forêt. Les forêts permettent à une entreprise d’inclure des domaines Windows NT avec des noms DNS distincts, par exemple " MaSociete.com " et " MaSocieteRecherche.com ".
Utilisation de la hiérarchie de conteneur pour modéliser l’organisation
La capacité de la hiérarchie de conteneur d’Active Directory à imbriquer des unités organisationnelles au sein de domaines (ainsi que dans d’autres unités organisationnelles) permet d’aboutir à un espace de nommage hiérarchique que les administrateurs peuvent utiliser pour représenter leur organisation et pour déléguer le contrôle administratif. Un conteneur contient une liste de contenus, comme des divisions importantes de l’entreprise. Dans cet exemple, il est possible de sélectionner une division située sous la division qui la précède dans l’arborescence et de l’ouvrir, et ainsi de suite.
Les déplacements dans une hiérarchie de conteneur avec un modèle administratif à granularité plus fine tel que le modèle utilisé ici résolvent de nombreux problèmes. Même s’il est toujours possible d’utiliser des domaines étendus, les recherches seront plus faciles. Tout le contenu de l’arborescence de domaines apparaîtra dans le catalogue global, un service permettant aux utilisateurs de trouver facilement un objet, quel que soit son emplacement dans l’arborescence ou dans la forêt.
Une administration à granularité plus fine
Les arborescences de domaines robustes d’Active Directory offrent une souplesse administrative beaucoup plus grande que les structures organisationnelles à arborescence unique d’autres services d’annuaires. Bien qu’il soit possible de construire des domaines à arborescence unique avec Active Directory, une meilleure option administrative consiste à construire une arborescence de domaines ayant chacun sa propre zone de sécurité. Une hiérarchie de domaines autorise une granularité d’administration plus fine sans compromettre la sécurité. Les permissions peuvent être propagées vers le bas de l’arborescence avec des attributions de permissions aux utilisateurs (ainsi que des attributions de permissions entre utilisateurs) par unité organisationnelle. Cette structure d’arborescence de domaines supporte facilement les changements organisationnels par élagage, greffe ou fusion.
Chaque domaine d’une arborescence possède une copie du service d’annuaire contenant tous les objets pour ce domaine et les métadonnées pour l’arborescence, comme le schéma, la liste de tous les domaines de l’arborescence, l’emplacement des serveurs de catalogue global, etc. Comme il n’est pas nécessaire qu’un magasin de service d’annuaire unique contienne tous les objets pour l’ensemble des domaines, il est possible de construire des arborescences très étendues sans compromettre les performances.
Active Directory fournit la structure d’administration à granularité fine qui autorise une administration décentralisée sans compromettre la sécurité. Comme chaque domaine correspond à une zone de sécurité, plusieurs zones de sécurité sont possibles. Avec cette structure, les administrateurs du domaine A ne sont pas automatiquement administrateurs du domaine B. La hiérarchie de conteneur est importante car, aujourd’hui, l’étendue de l’administration est le domaine et l’administrateur d’un domaine dispose de l’autorité sur tous les objets et services de ce domaine. Active Directory accorde des privilèges aux utilisateurs sur la base des fonctions particulières qu’ils doivent exécuter au sein d’une étendue donnée. L’étendue administrative peut englober un domaine entier, une sous-arborescence d’unités organisationnelles dans un domaine, ou une unité organisationnelle unique.
Avec Active Directory, il est possible de créer des structures d’utilisateurs très étendues dans lesquelles chaque utilisateur peut potentiellement accéder à toutes les informations stockées dans l’annuaire, mais où les zones de sécurité demeurent claires. Celles-ci peuvent également être beaucoup plus petites que les limites des domaines. Par exemple, lorsqu’un compte d’utilisateur est créé, il est associé à un domaine particulier mais peut également être placé dans une unité organisationnelle. La permission de créer des utilisateurs dans une unité organisationnelle peut être déléguée, pour permettre à une personne de créer des utilisateurs ou d’autres objets d’annuaire dans un endroit uniquement, avec des droits dans cette seule unité organisationnelle. En outre, il est possible de créer des hiérarchies d’unités organisationnelles. Active Directory introduit de nombreuses permissions très spécifiques, qui peuvent toutes faire l’objet d’une délégation ou d’une restriction d’étendue.
Extension des services d’annuaires par l’intermédiaire d’un schéma extensible
Pour offrir aux administrateurs la possibilité de créer leurs propres types d’objets d’annuaire, Active Directory peut être étendu à l’aide d’un mécanisme de schéma. Si un utilisateur dispose d’une information importante qu’il souhaite publier dans l’annuaire, il peut créer un tout nouveau type d’objet et le publier. Par exemple, un grossiste peut créer un objet entrepôt à placer dans son annuaire, avec des informations propres à cette activité. Il est possible de définir de nouvelles classes d’objets et d’ajouter des instances.
Les services d’annuaires eux-mêmes définissent un nombre important de classes. Par exemple, Active Directory fournit des objets standard pour Domain (domaine), OU (unité organisationnelle), User (utilisateur), Group (groupe), Machine (ordinateur), Volume (volume) et PrintQueue (file d’attente d’impression), ainsi qu’un ensemble évolué d’objets " point de connexion " utilisés par les services Winsock, RPC et DCOM pour publier leurs informations de liaison.
Tous les objets stockés dans Active Directory possèdent des entrées dans le catalogue global (GC, global catalog), un service contenant des informations d’annuaire issues de tous les domaines source de l’arborescence. Conçu pour offrir des performances élevées, le catalogue global permet aux utilisateurs de trouver facilement un objet — quel que soit son emplacement dans l’arborescence — lors d’une recherche selon des attributs sélectionnés. Ces attributs sont contenus dans un catalogue abrégé. Cette technique, connue sous le nom de réplication partielle, permet de résoudre un grand nombre de requêtes courantes à partir du catalogue global sans nécessiter un accès au domaine source.
La vue globale peut contenir n’importe quel type d’objet, par exemple, Users (utilisateurs), Services (services) ou Machines (ordinateurs). Une utilisation type de la vue globale consiste à fournir un carnet d’adresses global pour la messagerie électronique ou une application orientée messagerie.
La figure 6 montre la structure du catalogue global.
Figure 6. La structure du catalogue global permet d’accéder aux réplications totale et partielle.
Réplication sur plusieurs maîtres
La manière dont un service d’annuaire stocke les informations détermine directement ses performances et son évolutivité. Les services d’annuaires doivent gérer beaucoup plus de requêtes que de mises à jour. Le rapport est généralement de 99 pour cent de requêtes et 1 pour cent de mises à jour. C’est la raison pour laquelle le stockage répliqué est important. En créant plusieurs réplicas de l’annuaire et en maintenant leur cohérence, il est possible de gérer davantage de requêtes sans dégradation des performances. Cette fonction de reproduction et de synchronisation des informations d’annuaire est appelée réplication sur plusieurs maîtres.
Mise à jour de l’annuaire dans un environnement à plusieurs maîtres
Active Directory offre une véritable réplication sur plusieurs maîtres. Certains services d’annuaires utilisent une approche maître-esclave pour effectuer des mises à jour : toutes les mises à jour doivent être faites sur la copie maître de l’annuaire, avant d’être répliquées sur les copies esclaves. Cette approche convient pour un annuaire avec un nombre de copies peu élevé et un environnement dans lequel toutes les modifications peuvent être appliquées de manière centrale, mais elle ne convient pas aux organisations d’une taille un tant soit peu élevée et ne répond pas aux besoins des organisations décentralisées. Comme Active Directory offre une réplication sur plusieurs maîtres, les modifications apportées à une copie de l’annuaire sont automatiquement répliquées vers toutes les autres copies concernées, que celles-ci soient connectées par des liaisons point à point ou des liaisons de type " stocker et transférer " (store-and-forward).
Certains services d’annuaires emploient des horodatages pour suivre les mises à jour. Ce mécanisme convient avec un annuaire maître-esclave dans lequel toutes les mises à jour sont effectuées au niveau central, mais il pose des problèmes dans un annuaire de réplication sur plusieurs maîtres. Si la synchronisation des heures entre toutes les copies de l’annuaire n’est pas parfaite, il est possible de perdre des données ou d’endommager l’annuaire. Active Directory ne s’appuie pas sur les horodatages pour détecter les mises à jour. Il utilise des numéros de séquence de mise à jour (USN, Update Sequence Numbers). Le suivi des mises à jour est basé sur le fait que chaque fois qu’un utilisateur écrit dans un objet de l’annuaire, il obtient un USN, qui est détenu par l’ordinateur concerné et incrémenté lors de chaque modification apportée à cet objet. Si un utilisateur sur un ordinateur met à jour un enregistrement utilisateur, la valeur courante du numéro de séquence de mise à jour sur cet ordinateur est incrémentée puis écrite dans l’objet, avec la modification et une signature unique du premier ordinateur ayant écrit cette modification. L’objet transporte aussi un USN pour chaque propriété. Lorsqu’une propriété est mise à jour, le nouvel USN est incrémenté.
Une surveillance des modifications est assurée, et les partenaires de réplication d’un ordinateur demandent toutes ses modifications supérieures au dernier USN reçu. L’ordinateur source recherche ensuite dans l’annuaire et trouve chaque objet dont le numéro de séquence est supérieur au numéro présenté par l’ordinateur partenaire.
Les modifications de propriétés sont rapprochées individuellement ; lorsqu’une modification est répliquée, seules les propriétés dont l’USN est supérieur sont mises à jour. En cas de collision (deux ordinateurs différents mettant à jour une même propriété), la modification prise en compte est celle dont l’horodatage est le plus récent. L’horodatage est simplement utilisé comme mécanisme arbitraire pour " départager " deux modifications, et la synchronisation des heures n’est donc pas importante. Le rapprochement par propriété réduit au minimum la possibilité de collisions.
Avec Active Directory, la prochaine version de Windows 2000 Server mettra en œuvre un modèle de sécurité distribuée. Celui-ci est basé sur le protocole d’authentification MIT Kerberos. L’authentification Kerberos est utilisée pour la sécurité distribuée dans une arborescence, et elle gère les sécurités par clé publique et clé privée en utilisant le modèle de prise en charge des listes de contrôle d’accès (ACL, Access Control List) du système d’exploitation sous-jacent Windows 2000. Active Directory est le magasin pour le système de sécurité, et il inclut les comptes d’utilisateur, les groupes et les domaines. Il remplace la base de données des comptes du Registre et constitue un composant approuvé dans l’autorité de sécurité locale (LSA, Local Security Authority).
Une connexion unique à l’arborescence des domaines de Windows 2000 permet aux utilisateurs d’accéder à des ressources situées n’importe où sur le réseau d’entreprise. Des outils d’administrateur faciles à utiliser pour les stratégies de sécurité et la gestion des comptes réduisent les coûts de déploiement de Windows 2000. Ce dernier fournit également une base pour la sécurité intégrée de la gamme des produits Microsoft BackOffice®, notamment pour Microsoft Exchange, Microsoft SQL Server, Microsoft SNA Server et Microsoft Systems Management Server.
Le protocole d’authentification MIT Kerberos V5 est pris en charge avec des extensions pour l’authentification basée sur des clés publiques en plus de l’authentification basée sur des mots de passe (clés secrètes).
Active Directory prend également en charge l’utilisation de certificats de clés publiques X.509 v3 pour attribuer des droits d’accès aux ressources pour les sujets (par exemple, les utilisateurs) ne disposant pas de pièces d’identité Kerberos. Ce type d’utilisateur est le plus souvent une personne extérieure à une organisation qui doit accéder à des ressources de l’organisation. Par exemple, une société aéronautique peut faire appel à des sous-traitants qui auront besoin d’accéder à des spécifications, des plans, etc. Active Directory permet de mapper des certificats X.509 v3 publiés par une autorité approuvée sur des groupes de sécurité Windows NT. Ainsi, un utilisateur non-Windows NT avec un certificat peut recevoir le droit d’accéder à des ressources de la même manière qu’un utilisateur disposant de pièces d’identité Kerberos.
Administration par glisser-déplacer
Active Directory offre des outils d’administration puissants et intuitifs. Les objets peuvent être organisés d’une manière hiérarchique afin qu’ils soient en mesure de modéliser des organisations étendues. Et l’interface utilisateur graphique fournit l’un des outils d’administration les plus demandés — une console de contrôle par glisser-déplacer. Cette console est dotée d’une interface utilisateur graphique offrant une vue objet de l’administration. Par exemple, pour effectuer un élagage ou une greffe, l’administrateur saisit le sommet de l’arborescence source de la fusion et le fait glisser vers le domaine cible. Une boîte de dialogue lui demande de confirmer l’action. Bien entendu, l’administrateur doit avoir des droits dans l’arborescence source de la fusion pour pouvoir la fusionner avec une autre arborescence, et dans le domaine cible de la fusion pour pouvoir y intégrer de nouvelles arborescences.
Tout ce qui peut être réalisé par l’intermédiaire d’une interface graphique doit pouvoir l’être par programme ou à partir d’un script. Pour permettre à un administrateur d’écrire des procédures de commande, Active Directory prend totalement en charge l’Automation OLE et les scripts. Il devient ainsi possible d’ajouter, de modifier, de déplacer, de copier et d’exécuter d’autres fonctions administratives à l’aide de manipulations par des scripts en utilisant Active Directory et un langage de script tel que Visual Basic, Java™ ou autre.
La compatibilité ascendante est un besoin critique pour les clients qui ont installé Windows NT Server version 3.51 ou 4.0. Active Directory a dès le début été conçu dans cet optique. Il offre une émulation complète des services d’annuaires Windows NT 3.51 et 4.0 ; les outils administratifs et les applications écrits avec l’API Win32® continueront à fonctionner dans les environnements Active Directory sans aucune modification. Un contrôleur de domaine Windows NT de nouvelle génération installé dans un domaine Windows NT 3.51 ou 4.0 a exactement la même apparence et le même fonctionnement qu’un contrôleur de domaine Windows NT 4.0. Cela veut dire que les investissements dans l’infrastructure de réseau et les applications Windows NT sont protégés. Les clients peuvent déployer aujourd’hui Windows NT Server 4.0 en ayant l’assurance complète que leur investissement pourra migrer en douceur vers Active Directory.
Migration facile à partir de Windows NT versions 3.51 et 4.0
Pour garantir une migration en douceur et sans problèmes, Active Directory est conçu pour fonctionner dans un environnement mixte. Un domaine mixte, combinant des contrôleurs de domaine de nouvelle génération avec des contrôleurs Windows NT versions 3.51 et 4.0, se comporte exactement comme un domaine Windows NT 4.0.
Le processus de migration de serveurs de génération précédente vers Active Directory peut se dérouler séparément au niveau de chaque contrôleur de domaine. Une fois le contrôleur principal du domaine Windows NT 4.x mis à jour, le domaine peut rejoindre une arborescence. La section suivante décrit un exemple de mise en œuvre de ce processus de migration.
Migration de Windows NT 4.0 vers Active Directory
Cet exemple utilise un domaine Windows NT 4.x simple avec trois contrôleurs de domaine : un contrôleur principal de domaine (CPD) et deux contrôleurs secondaires de domaine (CSD). La figure 7 montre la configuration de départ.
Figure 7. Un domaine Windows NT 4.x simple avec un contrôleur principal de domaine (CPD) et deux contrôleurs secondaires de domaine (CSD).
Pour démarrer la migration, vous devez d’abord effectuer une mise à jour du contrôleur principal de domaine (CPD) vers Windows 2000 et Active Directory.
Pendant cette mise à jour, le nouveau CD/CPD remplit Active Directory à partir de l’annuaire du domaine Windows NT 4.0 (voir la figure 8).
Figure 8. Domaine mixte
En installant Windows 2000 sur le CPD, vous définissez Active Directory comme copie maître de l’annuaire du domaine. Vous pouvez alors utiliser des outils graphiques Windows 2000 pour effectuer l’administration système et la gestion des comptes pour le domaine. Les CSD Windows NT 3.51 et 4.0 ainsi que les systèmes client ne sont pas conscients de ce changement et continuent de fonctionner normalement.
L’étape finale de la migration consiste à mettre à jour chaque CSD vers Windows 2000. Chaque CSD converti devient un " homologue " du CPD. La réplication Windows NT 4.0 est remplacée par une réplication Windows 2000 sur plusieurs maîtres (voir la figure 9).
Figure 9. Domaine pur — les anciens CSD sont maintenant des homologues du CD Windows NT 2000 d’origine.
Une fois tous les CSD mis à jour, le domaine mixte devient un domaine Active Directory/Windows 2000 pur. Les systèmes client de génération précédente continueront de percevoir le domaine comme un domaine Windows NT 3.51 ou 4.0. Les clients de nouvelle génération le verront comme un domaine de nouvelle génération et pourront exploiter totalement les possibilités d’Active Directory.
Migration facile à partir de l’annuaire Microsoft Exchange
Un grand nombre d’organisations déploient aujourd’hui Microsoft Exchange pour leur infrastructure de messagerie et de travail collaboratif. Ces organisations auront réalisé un investissement conséquent dans l’annuaire Microsoft Exchange lorsqu’Active Directory sera disponible. Les futures versions de Microsoft Exchange utiliseront Active Directory, ce qui évitera d’avoir à gérer un annuaire Microsoft Exchange séparé. Cette version de Microsoft Exchange fournira un outil de migration d’annuaire pour migrer de façon transparente le contenu de l’annuaire Microsoft Exchange vers Active Directory.
Cette approche contribue à protéger les investissements des clients en données et en structure organisationnelle Microsoft Exchange. Elle permet également de migrer en douceur de l’annuaire Microsoft Exchange vers Active Directory.
Microsoft se consacre à l’amélioration de ses Services d’annuaires Windows NT Server actuels dans la prochaine version de Windows 2000 Server. Avec cette version, Microsoft fournira Active Directory — des services d’annuaires basés sur des normes et spécifiquement conçus pour répondre aux besoins des clients travaillant dans un environnement informatique distribué.
Active Directory de Microsoft apporte aux entreprises l’interopérabilité dont elles ont besoin pour unifier et gérer les multiples espaces de nommage utilisés actuellement dans les environnements logiciels et matériels hétérogènes des réseaux d’entreprise. En combinant le meilleur des normes de nommage DNS et X.500, LDAP, d’autres protocoles clé et un ensemble évolué d’API, Active Directory autorise un point d’administration unique pour toutes les ressources : fichiers, périphériques, connexions hôtes, bases de données, accès Web, utilisateurs, autres objets arbitraires, services et ressources réseau. Active Directory prend en charge un espace de nommage hiérarchique pour les informations de comptes d’utilisateur, de groupes et d’ordinateurs, et peut intégrer et gérer d’autres annuaires pour fournir un service d’annuaire général capable de réduire la charge administrative et les coûts associés au maintien de plusieurs espaces de nommage.
Grâce à ses puissants atouts que sont les normes ouvertes, l’administration par glisser-déplacer, le catalogue global, l’extensibilité, la réplication sur plusieurs maîtres, la sécurité distribuée, l’évolutivité et la compatibilité ascendante totale avec Windows NT versions 3.51 et 4.0, Active Directory établit l’annuaire comme la plate-forme idéale pour administrer le réseau hétérogène d’aujourd’hui et la base pour l’environnement informatique distribué unifié de demain.
Pour obtenir les informations les plus récentes sur Windows NT Server, veuillez consulter notre site Web à l’adresse http://www.microsoft.com/backoffice ou le Forum Windows NT Server sur The Microsoft Network (GO WORD: MSNTS). Pour accéder à des informations via le World Wide Web, allez à l’adresse http://www.microsoft.com et sélectionnez Microsoft BackOffice.