Qu'est-ce qu'un Active Directory®?
Active Directory® est à la fois le composant conceptuel intégral et le nom d'une technologie logicielle créée par Microsoft®. Il peut être considéré comme un catalogue, fournissant une liste de références essentielle pour pratiquement tout ce qui peut être géré dans une infrastructure de réseau informatique. Le répertoire est structuré hiérarchiquement et peut inclure des ordinateurs, des personnes et même des réseaux entiers. Le système fournit un moyen de gestion centralisée d’un réseau informatique et de sa sécurité, évolutif, synchronisé et normalisé sur l’ensemble du réseau.
Au cœur d'Active Directory® se trouve un protocole de service d'annuaire appelé LDAP (Light Directory Access Protocol). Ce protocole établit les moyens par lesquels la structure de répertoires est organisée et lue ou écrite. Pour la sécurité, Active Directory® utilise le protocole d'authentification réseau Kerberos. Le service fournit également un système de nom de domaine (DNS) pour la traduction des adresses de protocole Internet (IP) en noms reconnaissables.
Tout ce qui entre dans Active Directory® est considéré comme un objet. Il existe essentiellement deux types d’objets, une ressource et un principe de sécurité. Lorsque les ressources sont généralement des constructions physiques, telles que des imprimantes, les objets de principe de sécurité sont un peu plus abstraits. Chaque principe de sécurité se voit attribuer un identifiant de sécurité (SID) dans le système Active Directory®, puis représente tout ce qui peut être authentifié par le système et auquel des autorisations sont associées. Certains objets pouvant évidemment être des deux types, tels qu'un ordinateur du réseau qui est à la fois une ressource et un principe, ils peuvent être imbriqués les uns dans les autres dans certains cas.
Considéré à partir de trois niveaux hiérarchiques différents, un Active Directory® est constitué de ce que l'on appelle des forêts, des arbres et des domaines. Cela peut refléter la structure réelle d'une organisation, à la fois géographiquement et organisationnellement. Par exemple, la forêt d'une entreprise peut comprendre deux domaines principaux, l'un pour Chicago et l'autre pour New York. Sous chaque domaine, des domaines supplémentaires peuvent être créés pour gérer les activités de chaque ville, tels que le service de comptabilité, une équipe de vente, la recherche et développement, etc. Ces deux arborescences de domaine établissent ensuite une relation de confiance les unes avec les autres afin que les utilisateurs de l'un ou l'autre domaine puissent avoir accès aux ressources de l'autre si nécessaire.
Active Directory® repose sur ce qu'on appelle une unité d'organisation (OU). Un nombre illimité d'UO peuvent être imbriquées dans un domaine. Celles-ci permettent à la structure de Active Directory® de correspondre à celle de l'organisation et constituent un moyen centralisé de gestion distribuée des objets de l'annuaire. Avec une structure organisationnelle établie, une gestion supplémentaire peut ensuite être déléguée à des sous-domaines de l’arborescence, permettant ainsi différents niveaux de privilège à différentes unités d’organisation dans une organisation.
Toutes les informations contenues dans Active Directory® sont stockées dans une base de données appelée magasin de répertoires. Le système permet à cette base de données de se répliquer parmi les autres dans l'arborescence du domaine et plus loin dans la forêt. Les domaines de l'arborescence vérifient périodiquement les modifications apportées au magasin de répertoires dans d'autres domaines, puis extrayent les données dans leur propre contexte, le cas échéant.