GNU/Linux >> Tutoriels Linux >  >> Linux

Fondamentaux de la stratégie de groupe dans Active Directory

Cet article traite de la fonctionnalité de stratégie de groupe Microsoft® Active Directory® (AD).

Politique de groupe AD

La stratégie de groupe fournit une gestion centralisée des paramètres de l'ordinateur et des réseaux afin que vous n'ayez pas besoin de sélectionner et de configurer chaque ordinateur individuellement. Vous pouvez configurer les services AD suivants en tant que stratégie de groupe :

  • Services de domaine : Domain Services vous permet de gérer vos domaines AD. Ils fournissent des fonctions d'authentification et un cadre pour d'autres services de ce type. AD utilise une base de données LDAP (LightweightDirectory Access Protocol) contenant des objets en réseau.

  • Services de certificat : Les services de certificats sont un outil Microsoft de gestion des certifications numériques et prennent en charge l'infrastructure à clé publique (PKI). Les services de certificats peuvent stocker, valider, créer et révoquer les informations d'identification de clé publique, plutôt que de générer des clés en externe ou localement.

  • Services de la Fédération : Les services de fédération fournissent une authentification unique basée sur le Web à utiliser dans plusieurs organisations. Il permet aux sous-traitants à la fois de se connecter à leur propre réseau et d'être autorisés à accéder aux ressources du réseau du client dans un système centralisé.

  • Services d'annuaire légers : Les services d'annuaire légers suppriment une certaine complexité et des fonctionnalités avancées pour offrir uniquement la fonctionnalité de service d'annuaire de base. Les services d'annuaire légers n'ont pas besoin d'utiliser des contrôleurs de domaine, des forêts ou des domaines pour les environnements réduits.

  • Services de gestion des droits : Les services de gestion des droits décomposent l'autorisation au-delà des autorisations d'un utilisateur. Les droits et les restrictions sont attachés au document plutôt qu'à l'utilisateur. AD utilise couramment ces droits pour empêcher l'impression, la copie ou la capture d'écran d'un document.

Structure publicitaire

AD contient les composants suivants :

  • Forêt : La forêt est le niveau le plus élevé de la hiérarchie de l'organisation. La forêt vous permet de séparer l'autorité de délégation au sein d'un environnement unique. Cette séparation donne à un administrateur un accès complet et des autorisations uniquement à un ensemble spécifique de ressources. AD stocke les informations de forêt sur tous les contrôleurs de domaine, dans tous les domaines, au sein de la forêt.

  • Arbre : Une arborescence est un groupe de domaines. Les domaines d'une arborescence partagent le même espace de noms racine. Alors qu'un arbre partage un espace de noms, les arbres ne sont pas des limites à la sécurité ou à la réplication.

  • Domaines : Chaque forêt contient un domaine racine. Vous pouvez utiliser des domaines supplémentaires pour créer d'autres partitions dans une forêt. Les domaines divisent le répertoire en plus petits morceaux pour contrôler la réplication. Un domaine limite la réplication AD aux seuls autres contrôleurs de domaine du même domaine.

    Chaque contrôleur de domaine d'un domaine possède une copie identique de la base de données AD de ce domaine. La réplication garde les copies à jour.

  • Unités organisationnelles (UO) : Une unité organisationnelle permet de regrouper l'autorité sur un sous-ensemble de ressources au sein d'un domaine. Une unité d'organisation fournit une limite de sécurité sur les privilèges et autorisations élevés et ne limite pas la réplication des objets AD.

    Utilisez les unités d'organisation pour mettre en œuvre et limiter la sécurité et les rôles entre les groupes, et utilisez des domaines pour contrôler la réplication.

  • Contrôleurs de domaine : Les contrôleurs de domaine sont des serveurs Windows® qui contiennent la base de données AD et exécutent les fonctions liées à AD, y compris l'authentification et l'autorisation.

    Chaque contrôleur de domaine stocke une copie de la base de données AD contenant des informations sur les objets du même domaine. De plus, chaque contrôleur de domaine stocke le schéma de toute la forêt, ainsi que toutes les informations sur la forêt.

    Un contrôleur de domaine ne stocke pas de copie des informations de schéma ou de forêt d'une forêt différente, même s'ils se trouvent sur le même réseau.

  • Rôles de contrôleur de domaine spécialisés : Utilisez des rôles de contrôleur de domaine spécialisés pour exécuter des fonctions spécifiques qui ne sont normalement pas disponibles sur les contrôleurs de domaine standard. AD attribue ces rôles principaux au premier contrôleur de domaine créé dans chaque forêt ou domaine, mais vous pouvez réattribuer les rôles manuellement.

  • Maître de schéma : Un seul contrôleur de schéma existe par forêt. Il contient la copie principale du schéma utilisé par tous les autres contrôleurs de domaine. Une copie maîtresse garantit que tous les objets sont définis de la même manière.

  • Maître du nom de domaine : Un seul maître de nom de domaine existe par forêt. Le maître de domaine garantit que les noms de tous les objets sont uniques et peuvent faire référence à des objets stockés dans d'autres répertoires.

  • Maître de l'infrastructure : Il existe un maître d'infrastructure par domaine. Le maître d'infrastructure conserve la liste des objets supprimés et suit les références des objets sur d'autres domaines.

  • Maître de l'identifiant relatif : Il existe un maître d'identifiant relatif par domaine. Il suit la création et l'attribution d'identificateurs de sécurité (SID) uniques sur l'ensemble du domaine.

  • Émulateur de contrôleur de domaine principal : Il n'y a qu'un seul émulateur de contrôleur de domaine principal (PDC) par domaine. Il offre une rétrocompatibilité avec les anciens systèmes de domaine basés sur Windows NT.

  • Magasin de données : Le magasin de données gère le stockage et la récupération des données sur n'importe quel contrôleur de domaine. Le magasin de données comporte trois couches :- la base de données et les composants de service (l'agent de système d'annuaire (DSA) et le moteur de stockage extensible (ESE))- les services de magasin d'annuaire (LDAP)- l'interface de réplication, l'API de messagerie (MAPI) et le gestionnaire de comptes de sécurité (SAM)

Système de nom de domaine

AD contient des informations de localisation sur les objets stockés dans la base de données. Cependant, AD utilise le système de noms de domaine (DNS) pour localiser les contrôleurs de domaine.

Dans AD, chaque domaine a un nom de domaine DNS et chaque ordinateur joint a un nom DNS dans ce même domaine.

Objets

AD stocke tout en tant qu'objet et contient des informations de localisation sur les objets stockés dans la base de données. Cependant, AD utilise le système de noms de domaine (DNS) pour localiser les contrôleurs de domaine. La classe d'un objet définit les attributs de l'objet.

Le schéma doit contenir la définition d'objet avant que vous puissiez stocker des données dans l'annuaire. Une fois défini, AD stocke les données sous forme d'objets individuels. Chaque objet doit être unique et représenter une seule chose, comme un utilisateur, un ordinateur ou un groupe unique d'éléments (par exemple, un groupe d'utilisateurs).

Les objets ont les principaux types d'objets suivants :

  • Principaux de sécurité, qui ont des SID

  • Ressources qui n'ont pas de SID

Réplication

AD utilise plusieurs contrôleurs de domaine pour de nombreuses raisons, notamment l'équilibrage de charge et la tolérance aux pannes. Pour que cela fonctionne, chaque contrôleur de domaine doit disposer d'une copie complète de la propre base de données AD de son domaine. La réplication garantit que chaque contrôleur dispose d'une copie actuelle de la base de données.

Le domaine limite la réplication. Les contrôleurs de domaine sur différents domaines ne se répliquent pas entre eux, même au sein de la même forêt. Chaque contrôleur de domaine est égal. Bien que les versions précédentes de Windows aient des contrôleurs de domaine primaires et secondaires, AD n'a rien de tel. La confusion provient de la continuation du nomcontrôleur de domaine de l'ancien système basé sur la confiance à AD.

La réplication fonctionne sur un système pull. Cela signifie qu'un contrôleur de domaine demande ou extrait les informations d'un autre contrôleur de domaine plutôt que chaque contrôleur de domaine envoie ou envoie des données à d'autres. Par défaut, les contrôleurs de domaine demandent des données de réplication toutes les 15 secondes. Certains événements de haute sécurité déclenchent un événement de réplication immédiate, tel qu'un verrouillage de compte.

Seules les modifications sont répliquées. Pour garantir la fidélité sur un système multimaître, chaque contrôleur de domaine garde une trace des modifications et demande uniquement les mises à jour depuis la dernière réplication. Les modifications sont répliquées dans tout le domaine à l'aide d'un mécanisme de stockage et de retransmission afin que toute modification soit répliquée sur demande, même si la modification ne provient pas du contrôleur de domaine répondant à la demande de réplication.

Ce processus empêche le trafic excessif et vous pouvez configurer AD pour vous assurer que chaque contrôleur de domaine demande ses données de réplication au serveur le plus souhaitable. Par exemple, un emplacement distant avec une connexion rapide et une connexion lente vers d'autres sites avec des contrôleurs de domaine peut définir un coût sur chaque connexion. Ce faisant, AD effectue la demande de réplication via la connexion la plus rapide.

L'autorisation déléguée et la réplication efficace sont les clés de la structure AD.


Linux

  1. Lister les membres d'un groupe sous Linux

  2. Stratégie de groupe locale Windows

  3. Impossible de joindre le serveur Linux Samba au domaine Windows Active Directory

  4. Comment utiliser realmd dans Ubuntu 14.04 LTS pour rejoindre un domaine Active Directory ?

  5. Comment puis-je répertorier les attributs d'utilisateur Active Directory à partir d'un ordinateur Linux ?

Comment joindre un système Linux à un domaine Active Directory

Comment :configurer Active Directory dans Windows Server 2012

Installer les services de domaine Active Directory sur Windows Server 2008 R2 Entreprise 64 bits

Installer Active Directory sur Windows Server 2012

Comment effectuer une installation de Samba Active Directory sur Linux

Comment se connecter avec Samba à Linux Active Directory