Active Directory (AD) est le service d'annuaire de Microsoft qui centralise la gestion des ressources réseau dans un environnement Windows. Il fournit une authentification, une autorisation et des services d'annuaire pour les réseaux d'entreprise.
📑 Sommaire
🧠 Concepts fondamentaux
Active Directory est construit autour de concepts clés :
- Annuaire centralisé : Base de données distribuée des objets réseau
- Authentification unique (SSO) : Un seul login pour tous les services
- Gestion des ressources : Utilisateurs, ordinateurs, services
- Politique centralisée : GPO, sécurité, autorisations
- Réplication multi-maître : Synchronisation entre contrôleurs
⚙️ Composants Active Directory
Les principaux composants d'AD :
- AD DS (Domain Services) : Service d'annuaire principal
- AD LDS (Lightweight Directory Services) : Version allégée pour applications
- AD FS (Federation Services) : Authentification fédérée
- AD CS (Certificate Services) : Gestion des certificats
- AD RMS (Rights Management Services) : Protection des documents
Architecture physique vs logique :
Structure physique :
- Contrôleurs de domaine (DC)
- Sites
- Sous-réseaux
Structure logique :
- Forêts
- Domaines
- Unités organisationnelles (OU)
- Objets
📋 Schéma Active Directory
Le schéma définit les classes d'objets et leurs attributs possibles :
# Voir le schéma
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -Filter {name -like "*user*"}
# Ajouter une extension de schéma (nécessite privilèges)
regsvr32 schmmgmt.dll
mmc /a
# Ajouter le composant Active Directory SchemaClasses principales :
user: Utilisateurscomputer: Ordinateursgroup: GroupesorganizationalUnit: Unités organisationnellesdomain: Domaines
🌳 Domaines et forêts
Hiérarchie AD :
Forêt (Forest)
└── Domaine racine
├── Domaine enfant 1
│ ├── OU Marketing
│ └── OU Ventes
└── Domaine enfant 2
├── OU Dev
└── OU ITNiveaux fonctionnels :
| Niveau | Serveur requis | Fonctionnalités |
|---|---|---|
| 2008 R2 | Windows Server 2008 R2 | Corbeille AD, authentification managée |
| 2012 | Windows Server 2012 | Claims-based Access Control |
| 2016 | Windows Server 2016 | Temps d'arrêt PAM amélioré |
| 2019 | Windows Server 2019 | Windows Defender ATP |
📦 Objets AD principaux
Types d'objets :
| Objet | Description | Exemple |
|---|---|---|
| User | Compte utilisateur | CN=jdupont,OU=Users,DC=company,DC=com |
| Computer | Compte ordinateur | CN=PC123,OU=Computers,DC=company,DC=com |
| Group | Groupe de sécurité | CN=IT_Staff,OU=Groups,DC=company,DC=com |
| OU | Unité organisationnelle | OU=Paris,OU=France,DC=company,DC=com |
Distinguished Names (DN) :
# Format DN
CN=Jean Dupont,OU=Marketing,OU=France,DC=company,DC=local
# Composants DN
CN = Common Name
OU = Organizational Unit
DC = Domain Component⌨️ Commandes utiles
PowerShell AD :
# Import du module
Import-Module ActiveDirectory
# Informations sur le domaine
Get-ADDomain
Get-ADForest
Get-ADGroupMember "Domain Admins"
# Utilisateurs
Get-ADUser -Filter * -Properties *
New-ADUser -Name "Jean Dupont" -SamAccountName jdupont -UserPrincipalName jdupont@company.com
Set-ADUser jdupont -Description "Employé Marketing"
Enable-ADAccount -Identity jdupont
# Ordinateurs
Get-ADComputer -Filter *
New-ADComputer -Name "PC123" -Path "OU=Computers,DC=company,DC=com"
# Groupes
Get-ADGroup -Filter * -Properties *
New-ADGroup -Name "Marketing" -GroupScope Global -GroupCategory Security
Add-ADGroupMember -Identity "Marketing" -Members jdupontCommandes classiques :
# Active Directory Users and Computers
dsa.msc
# Sites et services AD
dssite.msc
# Gestion des approbations
domains.msc
# Tests connexion AD
dcdiag
repadmin /showrepl