Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

La gestion des domaines et forêts

Introduction

Jusqu’à présent, nous avons étudié la réalité de ce qu’est une infrastructure Active Directory à travers ses objets fondamentaux (comptes d’utilisateurs, d’ordinateurs, groupes, unités d’organisation, etc.). Cette réalité est celle de la gestion de millions de ces objets, et il convient donc de connaître ces derniers pour mieux saisir ce qui les englobe. Toutefois, d’un point de vue organisationnel, l’étude des objets en tant qu’entité de gestion ne suffit pas à expliquer ce que recouvre la réalité d’un service d’annuaire Active Directory.

Active Directory est en effet une agrégation de ferments organisationnels majeurs que constituent des aspects de structure logico-physique ainsi que des services d’infrastructure. Une des forces de la technologie Active Directory réside notamment dans sa capacité à proposer des perspectives d’organisation logique tout à fait remarquables et que l’on retrouve dans la notion de forêt, ainsi que dans celle de domaine.

À ce point précis de l’ouvrage, nous nous devons d’étudier et de comprendre ce qu’englobent ces deux concepts nodaux, par le biais desquels nous interpréterons les structures logiques de l’Active Directory en tant que service...

Définir la notion de forêt et de domaine Active Directory

Les concepts de forêt et de domaine Active Directory sont très proches, et les définir revient donc à les mentionner conjointement. En fait, le concept à définir en premier lieu est celui de domaine Active Directory. Nonobstant la réalité englobante d’une forêt Active Directory sur un domaine Active Directory, il se trouve que la notion de forêt Active Directory n’a pas de définition propre, si ce n’est à travers celle de la notion de domaine Active Directory. En conséquence, il convient de traiter d’abord de la définition de l’idée de domaine Active Directory.

Un domaine Active Directory est tout d’abord une unité logique ayant des attributs définissant son essence de manière très précise. Un domaine est :

  • une unité d’administration ;

  • une unité de réplication ;

  • une unité formant une limite de sécurité.

Ces caractéristiques définissent essentiellement un domaine Active Directory, reconnaissable à travers un nom de domaine DNS, ou Domain Name System. Aussi, un domaine Active Directory est une entité de gestion de millions d’objets, ainsi qu’un dispositif d’inclusion de structures physiques tels les sites Active Directory (que nous...

Connaître les domaines d’une forêt Active Directory

Une forêt Active Directory présente parfois les caractéristiques d’une certaine simplicité eu égard au nombre réduit de domaines existants. Dans d’autres circonstances, une forêt Active Directory relève, dans son organisation interne, d’une certaine complexité. En fait, tous ces éléments sont très relatifs, mais dans tous les cas, les administrateurs d’une infrastructure Active Directory se doivent de connaître notamment ce qui ne relève pas de leurs responsabilités.

Par là, nous comprenons qu’il faut essayer de comprendre une organisation Active Directory dans sa globalité même si nous n’en avons pas la responsabilité, et c’est là un aspect largement répandu dans l’univers des administrateurs Active Directory. Il est en effet très rare qu’au sein de grandes entreprises gérant leurs infrastructures informatiques avec des technologies comme Active Directory, chacun des IT Pros ait à gérer toute l’infrastructure dans sa totalité. Cela étant dit, cela n’implique pas qu’il faille ignorer ce qui se passe à l’extérieur du périmètre de nos responsabilités.

1. La cmdlet Get-ADDomain

Si nous centrons la réflexion sur Active Directory, il est évident que d’une manière générale, les responsabilités seront souvent segmentées et bien définies. Par exemple, une forêt Active Directory composée de plusieurs domaines ne sera entièrement connue que par certains informaticiens (souvent des internes) ayant participé à la mise en œuvre et au déploiement de l’infrastructure Active Directory. Par contre, pour d’autres informaticiens qui eux sont des externes, le travail accompli sera souvent fractionné avec une connaissance toujours plus partielle de l’Active Directory.

Pour des raisons évidentes liées à la sécurité ou à la nécessité d’organiser la couche informatique d’une entreprise en quelque chose d’autre qu’un bloc monolithique, il est essentiel de ne pas donner tous les pouvoirs en matière...

Connaître les relations d’approbation d’un domaine Active Directory

La notion de relation d’approbation est une notion qui est souvent mal comprise par les informaticiens, en particulier ceux dont la charge est d’administrer tout ou partie d’une infrastructure Active Directory. C’est un phénomène que l’on peut rencontrer chez les professionnels, mais aussi chez les étudiants. Plus que cela, Technet, une source d’informations de Microsoft, fournit parfois des éléments terminologiques qui prêtent à confusion, informations reprises par les IT Pros qui n’ont souvent pas le recul nécessaire pour saisir certaines subtilités. Concernant les relations d’approbation, le phénomène de confusion existe et nous expliquerons de quoi il retourne dans cette partie.

1. Qu’entend-on par relation d’approbation ?

La première démarche dans notre raisonnement consiste à se demander ce qu’est une relation d’approbation dans son sens le plus absolu. Une relation d’approbation est un lien unissant de multiples domaines et autorisant des relations interdomaines dans un but d’accès à différentes ressources. Dans la mesure où une infrastructure Active Directory a un potentiel de complexité très élevé sur un plan logique, il est évident que de tels liens proposant une intelligence relationnelle doivent exister pour maintenir cette complexité.

Dans le contexte d’une forêt Active Directory, nous savons qu’il peut exister plusieurs domaines, mais que ceux-ci ne sont pas forcément des domaines Active Directory, et fort heureusement ! Par extension et logiquement, une relation d’approbation a un type qui n’a pas forcément pour fonction de relier deux domaines Active Directory. C’est un fait qu’il est important de mettre en évidence.

Dans un deuxième temps, et après avoir rappelé les fondamentaux en la matière, l’autre démarche est d’énumérer ce qui est entendu derrière la notion de type de relation d’approbation. En réalité, il existe quatre types de relation d’approbation dans une forêt Active Directory :

1.

Le type Downlevel Trust : il s’agit...

Augmenter le niveau fonctionnel d’une forêt Active Directory

Active Directory propose un certain nombre de fonctionnalités à l’échelle d’un domaine et d’une forêt. L’ensemble des fonctionnalités proposées est défini par ce que l’on nomme un niveau fonctionnel. Un niveau fonctionnel est tout simplement une étendue de fonctionnalités et de services englobant toute une organisation Active Directory. Plus le niveau fonctionnel est élevé, et plus, proportionnellement, les fonctionnalités et les services augmentent.

1. La cmdlet Set-ADForestMode

Augmenter le niveau fonctionnel d’une forêt Active Directory est une opération irréversible. Elle doit donc être pensée sur la base d’éléments ayant trait à des contextes particuliers. Mais dans tous les cas, avec Windows PowerShell, la commande Set-ADForestMode est la commande servant à augmenter le niveau fonctionnel d’une forêt Active Directory. Ses paramètres les plus utilisés sont les suivants :

Le paramètre -Credential

Spécifie un compte alternatif pour réaliser l’opération d’augmentation de niveau fonctionnel d’une forêt Active Directory.

Le paramètre -ForestMode

Spécifie le mode de niveau fonctionnel d’une forêt...