Présentation du modèle logique Active Directory

• S’applique à:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

La conception de votre structure logique pour Active Directory Domain Services (AD DS) implique de définir les relations entre les conteneurs de votre annuaire. Ces relations peuvent être basées sur des obligations d’administration, telles que la délégation d’autorité, ou être définies par des nécessités opérationnelles, telles que le besoin de contrôler la réplication.

Avant de concevoir votre structure logique Active Directory, il est important de comprendre le modèle logique Active Directory. AD DS constitue une base de données distribuée qui stocke et gère des informations sur les ressources réseau ainsi que des données propres à des applications utilisant un annuaire. AD DS permet aux administrateurs d’organiser les éléments d’un réseau (tels que les utilisateurs, les ordinateurs et les autres appareils) en une structure hiérarchique de type contenant-contenu. Le conteneur de niveau supérieur est la forêt. Dans les forêts se trouvent des domaines, et dans les domaines figurent des unités d’organisation (UO). Il s’agit du modèle logique, car il est affranchi des aspects physiques du déploiement, tels que le nombre de contrôleurs de domaine demandés dans chaque topologie de domaine et de réseau.

Forêt Active Directory

Une forêt représente une collection d’un ou de plusieurs domaines Active Directory qui partagent des éléments communs : une structure logique, un schéma d’annuaire (définitions d’attributs et de classes), une configuration d’annuaire (informations de réplication et de site) et un catalogue global (fonctionnalités de recherche à l’échelle de la forêt). Les domaines de la même forêt sont automatiquement liés par des relations d’approbation transitives bidirectionnelles.

Domaine Active Directory

Un domaine est une partition dans une forêt Active Directory. Le partitionnement des données permet aux organisations de répliquer les données uniquement là où elles sont nécessaires. De cette façon, l’annuaire peut être mis à l’échelle mondiale sur un réseau dont la bande passante disponible est limitée. De plus, le domaine prend en charge un certain nombre d’autres fonctions principales liées à l’administration, notamment :

• Identité de l’utilisateur à l’échelle du réseau. Les domaines permettent aux identités d’utilisateur d’être créées une seule fois, et référencées sur n’importe quel ordinateur joint à la forêt dans laquelle se trouve le domaine. Les contrôleurs de domaine qui composent un domaine sont utilisés pour stocker les comptes d’utilisateur et les informations d’identification utilisateur (comme des mots de passe ou des certificats) de manière sécurisée.

• Authentification. Les contrôleurs de domaine mettent à disposition des services d’authentification pour les utilisateurs, et fournissent des données d’autorisation supplémentaires, telles que les appartenances aux groupes d’utilisateurs, qui peuvent être utilisées pour contrôler l’accès aux ressources sur le réseau.

• Relations d’approbation. Les domaines peuvent étendre les services d’authentification aux utilisateurs dans des domaines situés en dehors de leur propre forêt, au moyen d’approbations.

• Réplication. Le domaine définit une partition de l’annuaire qui contient suffisamment de données pour fournir des services de domaine, puis il la réplique entre les contrôleurs de domaine. De cette façon, tous les contrôleurs de domaine sont des homologues dans un domaine, et ils sont gérés en tant qu’unité.

Unité d’organisation Active Directory

Les unités d’organisation peuvent être utilisées pour former une hiérarchie de conteneurs au sein d’un domaine. Les unités d’organisation servent à grouper des objets à des fins d’administration, comme l’application d’une stratégie de groupe ou la délégation d’autorité. Le contrôle (sur une unité d’organisation et les objets qu’elle contient) est déterminé par les listes de contrôle d’accès (ACL) sur l’unité d’organisation et sur les objets de l’unité d’organisation. Pour faciliter la gestion d’un grand nombre d’objets, AD DS prend en charge le concept de délégation d’autorité. Par le biais de la délégation, les propriétaires peuvent transférer un contrôle d’administration total ou limité sur des objets à d’autres utilisateurs ou groupes. La délégation est importante, car elle aide à répartir la gestion d’un grand nombre d’objets entre plusieurs personnes dont l’exécution de tâches de gestion a été approuvée.