L’annuaire Active Directory

Introduction

Dans cette leçon, nous allons voir comment est constitué la base de données Active Directory.

Comme nous l’avons vu dans le module d’introduction, les services Active Directory sont basés sur un annulaire LDAP (Lightweight Directory Access Protocol).

L’annuaire Active Directory peut être interrogé sur le port 389 (pour un simple contrôleur de domaine) et sur le port 3268 dans le cas d’un contrôleur de domaine qui est catalogue globale.

Cet annuaire est une base de données qui stockent des objets (Utilisateurs, ordinateurs …) appelés classes qui ont des propriétés communes que l’on appelle attributs.

La définition des classes et des attributs sont stockés dans le schéma qui fait partie d’une des trois partitions de l’annuaire Active Directory.

Les partitions d’annuaire

L’annuaire Active Directory est divisé en 3 partitions logiques (Naming Context), qui ont chacune un rôle précis.

ADSI partitions

Schéma

Cette partition contient l’ensemble des définitions des classes et des attributs pouvant être créés dans l’annuaire.

Le schéma est extensible, ce qui veut dire qu’il est possible de créer de nouvelles classes (objets) et de nouveaux attributs.

Par exemple lors de l’installation d’Exchange (service de messagerie Microsoft) le schéma est modifié afin de stocker les informations de messagerie des utilisateurs. Le schéma peut également être modifié lors de l’ajout d’un contrôleur de domaine plus récent comme l’ajout d’un contrôleur de domaine Windows Serveur 2016 ans un environnement existant.

La modification du schéma nécessite des droits particuliers (Administrateurs du schéma). Une mauvaise manipulation peut corrompre l’Active Directory, pour cette raison la console Schéma Active Directory n’est pas disponible nativement.

Cette partition est unique dans la forêt Active Directory et elle est répliqué sur l’ensemble des contrôleurs de domaine.

Configuration

Cette partition contient l’ensemble des informations des domaines, des sites, des liens et de la planification de réplications et de la topologie.

Elle est unique au sein de la forêt et elle est répliqué sur l’ensemble des contrôleurs de domaine.

Domaine

Cette partition contient l’ensemble des objets et des informations existants dans le domaine. Chaque domaine de la forêt a sa propre partition.

Classes et attributs

Comme nous l’avons vu précédemment, le schéma stocke la définition des différents objets avec les informations qui leur sont liés.

Dans l’Active Directory la définition des objets sont les classes et les informations qui leur sont liés sont les attributs.

Si vous êtes familiarisé avec les bases de données, on pourrait comparer les classes à des tables et les attributs au champs de cette table.

Ci-dessus, un aperçu de la classe User qui définie l’objet utilisateur et l’attribut SAMAccountName qui est le nom d’ouverture de session pour plusieurs classes (Users, Computers…).

Les fichiers de l’annuaire Active Directory

Par défaut, les fichiers de l’annuaire (base) Active Directory se trouvent à l’emplacement suivant C:\Windows\NTDS.

  • ntds.dit : ce fichier est la base de données Active Directory.
  • edbres00001.jrs et edbres00002.jrs : ces deux fichiers permettent de faire une réservation d’espace disque au pour la base de données au cas où le disque serait saturé. Chaque fichier fait 10 Mo.
  • temp.edb : ce fichier sert de stockage temporaire pour les transactions quand la fichier ntds.dit est maintenance.
  • Les autres fichiers servent au stockage des transactions.