Mise en place d'une politique de migration de l'Active Directory dans un environnement Windows Server de 2012-2016

3.1.2 I.1.1. Migration

Une migration est, en  informatique, le passage d'un état existant d'un  système d'information ou d'une  application vers une cible définie dans un  projet ou un  programme (Anon., 2005).

La migration de données consiste à déplacer des données d'un type de système de stockage à un autre. Ce processus s'effectue souvent dans le cadre d'une mise à niveau visant à augmenter la capacité de stockage, améliorer les performances, réduire les coûts, diminuer l'encombrement ou ajouter de nouvelles capacités (Anon., s.d.).

Figure 1. Migration des données

3.1.3 I.1.2. Active directory

Active Directory (AD) est une base de données et un ensemble de services qui permettent de mettre en lien les utilisateurs avec les ressources réseaux dont ils ont besoin pour mener à bien leurs missions. La base de données (ou annuaire) contient des informations stratégiques sur votre environnement, notamment les utilisateurs et ordinateurs qui le composent et les différentes autorisations d'accès. Par exemple, la base de données peut compter 100 comptes d'utilisateurs, avec des informations telles que le poste occupé par chaque personne, son numéro de téléphone et son mot de passe. Elle recense aussi les autorisations dont ces personnes disposent. Les services contrôlent une grande partie de l'activité de votre environnement informatique. Ils servent tout particulièrement à garantir que chaque personne décline son identité véritable (authentification), généralement en vérifiant l'ID utilisateur et le mot de passe saisis, et permettent aux utilisateurs d'accéder aux données pour lesquelles ils disposent d'autorisations (Anon., s.d.).

Active Directory est un service d'annuaire de marque déposée de Microsoft, qui fait partie intégrante de Windows Architecture 2000 et systèmes d'exploitation serveur ultérieurs. Comme d'autres services d'annuaire, tels que Novell Directory Services (NDS), Active Directory est un système centralisé et standardisé qui automatise la gestion réseau des données utilisateur, de la sécurité et des ressources distribuées, et permet l'interopérabilité avec d'autres répertoires. Une hiérarchie Active Directory bien structurée nécessite un réseau sous-jacent bien défini infrastructure dans laquelle la forêt AD est construite (Lushta, 2017).

Active Directory est un outil qui gère les utilisateurs, les applications et les ressources et permet de gérer l'autorisation et l'authentification des utilisateurs pour ces ressources. AD est un cadre logique qui permet au serveur d'exécuter les fonctions appropriées, l'authentification, les services, etc. AD est une base de données dont les fonctionnalités s'exécutent pour répondre à de nombreuses demandes adressées à des processus et services qui enregistrent les journaux d'événements et gèrent la base de données (Kidan, 2021)

Avantages d'Active Directory

L'utilisation d'AD pour la gestion des utilisateurs et des ordinateurs du réseau primaire présente plusieurs avantages :

ü Dépôt de données centralisé

Active Directory stocke les informations d'identité des applications, des utilisateurs et des ressources dans une base de données multi-maîtres. La base de données AD stocke les informations sous forme d'objets, et elle peut stocker jusqu'à 2 milliards d'objets. Pour accéder aux ressources, les utilisateurs peuvent utiliser ces données d'identité depuis n'importe quel endroit du réseau. Les administrateurs peuvent gérer l'authentification et l'autorisation de l'application organisationnelle à partir d'un emplacement centralisé. Sans services d'annuaire, les identités seraient répliquées sur différents systèmes et créeraient des difficultés pour les administrateurs dans la gestion des opérations.

ü Réplication des données minimisée

Pour les exigences commerciales complexes, telles que les succursales, plusieurs contrôleurs de domaine sont nécessaires. Si les identités sont gérées à partir d'un système centralisé, les contrôleurs de sous-domaines sont au courant des modifications apportées à la base de données Active Directory. Active Directory peut déléguer des responsabilités dans l'ensemble de l'organisation et des outils et utilitaires pour ajouter, supprimer et modifier les identités/objets Active avec un contrôleur de domaine centralisé. Il utilise un mécanisme de synchronisation qui assure la cohérence des données sur tous les contrôleurs de domaine. Ainsi, il permet d'effectuer des changements à l'échelle de l'entreprise en quelques clics seulement.

Figure 2.active directory

ü Capacités d'audit

Des audits périodiques vous aident à comprendre les nouvelles menaces pour la sécurité. Active Directory permet de capturer et d'auditer les événements survenant dans les infrastructures d'identité tels que l'authentification, les modifications du service d'annuaire ou la violation d'accès. Il permet également de collecter des données à partir d'un emplacement centralisé pour résoudre les problèmes d'authentification et d'autorisation que peuvent rencontrer les utilisateurs.

ü Sécurité des réseaux

Active Directory facilite la sécurité dans l'ensemble d'une entreprise. Grâce à la délégation, les autorités de gestion de niveau supérieur peuvent définir des autorisations pour les ressources et les applications à d'autres administrateurs ou utilisateurs. Les objets de l'Active Directory sont reliés hiérarchiquement. Un objet dans l'arborescence AD hérite des permissions de ses objets parents. Ces caractéristiques garantissent que les utilisateurs sont identifiés de manière unique et sécurisée. Les administrateurs peuvent créer et mettre à jour les autorisations nécessaires à partir d'une base de données unique, ce qui réduit les risques de configuration incorrecte ou obsolète.

ü Authentification unique

Une organisation utilise différentes applications, et chacune de ces applications a un mécanisme d'authentification différent. Active Directory permet de conserver les différentes informations d'identification des utilisateurs pour s'authentifier sur différentes applications. Cela signifie que les administrateurs peuvent authentifier les différents systèmes et applications utilisés par une organisation avec les informations d'identification d'Active Directory. Il n'est pas nécessaire de taper les informations d'identification à chaque fois pour obtenir l'accès. Authentifiez l'identité une fois sur un ordinateur, et la même session sera utilisée pour authentifier d'autres applications intégrées à Active Directory.

En bref, l'Active Directory gère le domaine de l'entreprise, composé d'utilisateurs, d'applications et de postes de travail, ainsi que de procédures et de paramètres de sécurité. Lorsque les autorisations et les droits sont gérés judicieusement, il est facile de s'assurer que les fichiers sont accessibles à ceux qui en ont besoin et inaccessibles à ceux qui n'en ont pas besoin. Les utilisateurs peuvent être regroupés de manière intelligente, par exemple en fonction du marketing, des ventes, des RH et du service, et ces groupes peuvent avoir des politiques différentes.

Les composants de l'active directory

L'annuaire Active Directory dépend directement d'éléments techniques qui permettent de disposer d'une structure globale et bien sûr, des technologies de stockage. La structure logique de l'Active Directory est composée des domaines et des forêts, lesquels permettent la représentation logique de l'espace de l'annuaire Active Directory.

Un tel espace logique, on parlera alors de l'infrastructure logique Active Directory, permet aux administrateurs de faire l'abstraction par rapport à la structure technique, on parlera alors de l'infrastructure physique Active Directory. Cette séparation permettra une bien meilleure organisation des éléments qui composent le réseau en fonction de la nature des objets en faisant partie ou pourquoi pas en fonction de l'organisation de l'entreprise.

v Les domaines

Le domaine est un composant fondamental de la structure logique Active Directory. Par définition, il s'agit d'un ensemble d'ordinateurs qui partagent une base de données d'annuaire commune. Ces ordinateurs interagiront avec le domaine en fonction de leur rôle respectif, tels que par exemple les contrôleurs de domaine ou plus simplement les ordinateurs membres dudit domaine.

Le domaine peut être mis en oeuvre pour implémenter au sein de l'entreprise une zone d'administration. De cette manière, il est possible de mettre en place une délégation efficace de l'administration ou de parvenir à un meilleur contrôle des flux de réplication.

Concernant les infrastructures Active Directory, nous pouvons dire que le critère de choix le plus fréquemment utilisé, à propos de la création ou non d'un nouveau domaine, concernera la séparation des flux de réplication entre plusieurs domaines et donc d'un meilleur contrôle des trafics au sein d'une forêt.

v Contrôleurs de domaine et structure logique

Les contrôleurs de domaine d'un domaine Active Directory sont, par définition, tous égaux entre eux. De cette manière, les objets et les services que le domaine met à disposition sont disponibles par l'intermédiaire de tous les contrôleurs du domaine.

Ainsi, les contrôleurs de domaine Windows 2000 Server, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 utilisent un modèle de réplication où tous les contrôleurs sont disponibles en lecture et en écriture. Ce modèle, appelé modèle de réplication multimaîtres (Multi Master Replication), permet de ne plus dépendre d'un seul contrôleur en particulier comme cela était le cas précédemment dans l'environnement Windows NT avec le contrôleur de domaine principal.

De cette manière, tout objet d'un domaine Active Directory peut être créé sur tout contrôleur de domaine dudit domaine et toute propriété d'un objet peut aussi être modifiée sur tout contrôleur de domaine possédant l'objet. L'annuaire Active Directory permet donc une disponibilité totale de l'annuaire en tout point du réseau.

v Les unités d'organisation (OU)

Les unités d'organisation (OU - Organizational Unit) sont les objets conteneurs les plus communément utilisés au sein d'un domaine Active Directory. En effet, autant la structure des domaines et des forêts (DIT - Directory Information Tree) est rigide et complexe, autant les OUs sont faciles à créer, modifier, déplacer et supprimer.

Ce conteneur peut contenir de multiples types d'objets tels que des utilisateurs, des contacts, des ordinateurs, des imprimantes, des dossiers partagés et bien sûr aussi d'autres unités d'organisation.

Le fait que le conteneur de classe OU puisse nous aider à organiser l'espace de stockage des objets d'un domaine particulier de la forêt est intéressant à plus d'un titre. En effet, les points ci-dessous caractérisent le bon usage des unités d'organisation :

ü D'un point de vue du contenu, l'unité d'organisation peut accueillir les objets les plus couramment utilisés (objets utilisateurs, groupes, ordinateurs, dossiers partagés, imprimantes).

ü D'un point de vue des fonctionnalités de gestion des changements de configuration, l'unité d'organisation est le plus petit conteneur pouvant faire l'objet de l'application de stratégies de groupe.

ü D'un point de vue de la mise en place des privilèges d'administration, l'unité d'organisation.

v Les objets

Il est possible de trouver différents types d'objets active directory :

ü Utilisateur : permet d'authentifier les utilisateurs physiques qui ouvrent une session sur le domaine. Des droits et permissions sont associés au compte afin de permettre l'accès à une ressource (dossier partagé, boite aux lettre mail, imprimante ...)

ü Groupe : permet de rassembler différents objets (utilisateurs ou ordinateurs) qui doivent avoir un accès identique (lecture, modification ...) sur une ressource (dossier partagé, etc.). L'administration des permissions est plus aisée en utilisant des groupes.

v Les arbres

Un arbre de domaine(s) est un ensemble de domaines regroupés pour former une structure hiérarchique. Par définition, lorsque vous ajoutez un domaine au sein d'une forêt, deux cas de figures peuvent se présenter :

ü Le domaine est inséré en tant que nouveau domaine enfant dans une arborescence de domaine existante.

ü Le domaine crée une nouvelle arborescence dans une forêt existante.

À partir du moment où vous rajoutez un nouveau domaine à un arbre existant, il devient un domaine enfant du domaine racine de l'arbre. Le domaine racine de l'arbre est, dans cet exemple, le domaine parent.

Cependant, un domaine enfant peut, lui aussi, avoir un ou plusieurs domaines enfants. Cette structure composée de multiples domaines formera une hiérarchie de domaine dont la base du nom sera le domaine racine de l'arbre. Ainsi, le nom d'un domaine enfant dans un arbre est tout simplement son nom DNS.

v Les forêts

Une forêt est une instance complète de l'annuaire Active Directory. De prime abord, il semble que l'Active Directory n'existe qu'à partir du moment où un nouveau domaine est créé. Cependant, la création de ce premier domaine ne pourra se faire qu'en ayant au préalable spécifié que le domaine adhérait à une nouvelle forêt.

Plus simplement, pour que la forêt existe, il lui faut une arborescence contenant un domaine Active Directory donc, au minimum un domaine.

Chaque forêt existe grâce à l'ensemble de tous les contrôleurs de tous les domaines de la forêt. Ce point signifie aussi que, finalement, un contrôleur d'un domaine donné est "en tout premier lieu" un contrôleur de la forêt avant d'être aussi un contrôleur d'un domaine particulier.

Bien entendu, la forêt n'est opérationnelle qu'au travers du premier domaine installé. Ensuite, en fonction des besoins ou des contraintes de chaque organisation, il sera possible d'y ajouter d'autres domaines. Ces domaines pourront faire partie de l'espace de noms initial ou d'un nouvel espace de noms par l'intermédiaire d'une nouvelle arborescence, on peut dire aussi d'un nouvel arbre.

v ADDS : Active Directory Domain Services. Il s'agit du composant principal qui va gérer les utilisateurs, ordinateurs, stratégies de groupe, etc.

v ADCS : Active Directory Certificate Services. Il s'agit du composant d'autorité de certification. Il va nous permettre de générer des certificats de sécurité pour nos utilisateurs et notre réseau.

v ADFS: Active Directory Federation Services. Il s'agit du composant permettant la fédération de services entre différents environnements Active Directory. Cela permet à une entreprise d'établir des relations de confiance avec des partenaires externes (fournisseurs, fabricants, etc.) afin de leur donner un accès à certains de nos services internes de manière contrôlée et sécurisée.

v ADLDS: Active Directory Lightweight Directory Services (anciennement ADAM). C'est ADDS mais allégé : seul l'annuaire est disponible. Cela est utile dans les cas où nous avons besoin d'un accès à des données de l'Active Directory sans avoir une autorisation de lecture totale dessus. C'est utilisé notamment dans la passerelle d'hygiène d'Exchange (Edge). ADLDS contiendra une copie partielle de notre Active Directory.

v ADRMS: Active Directory Rights Management Services. Ce composant permet de gérer les droits de manière pointue dans notre entreprise. Il ne s'agit pas des droits sur le fichier mais sur le contenu du fichier.