Version AD

Publié le par Teruin

Introduction

La plupart du temps, les discussions qui tournent autour des infrastructures  Microsoft, parlent de l’annuaire  d’Active directory. Mais force est de constater qu’au fur et à mesure des versions de Windows 2000/2003  il n’existe pas un AD mais véritablement plusieurs versions de l’annuaire Microsoft. 

 De la naissance à Windows 2003 R2

Lieu de naissance : Michigan.

Active Directory est un annuaire LDAP qui originellement est issu du standard X500 créé en 1988 par l'organisation international de standardisation. (ISO) et l'union international des télécommunications  (ITU). X500 Directory Access Protocol était un protocole très complexe et intégrait des fonctionnalités évoluées qui ne trouvait pas écho dans la plupart des environnements client. L'université du Michigan travailla alors vers une simplification de ce protocole. Simplification qui allait de devenir "LightWeight X500 Acces Protocol" . La première version de LDAP fut totalement terminée en 1993 et aboutie à la création de la RFC 1487. Mais malheureusement, dépourvue de fonctionnalité, ce protocole n'a pas vraiment été utilisé. En 1995, arrive une version 2 du protocole LDAP (LDAPv2) qui originellement assurait l'interconnexion entre les clients et les serveurs X500.Les équipes de l'université du Michigan ont alors pensé que si le protocole LDAPv2 était capable de s'interfacer avec les annuaires X500 alors, il pourrait assurer ce rôle. En 1995 apparut ainsi le premier Annuaire LDAP fournie par cette même université.

En 1997, une mise à jour majeure donna naissance à la norme LDAPv3 décrite dans la RFC 2251. Depuis plusieurs compagnies comme Microsoft , SUN, Novell s'emparèrent de ces normes pour fournir des solutions d'annuaires comme Active Directory, Novell Directory Services etc..

L’annuaire Active Directory est comme tout le monde le sait le successeur de l’environnement Windows NT4 qui possédait une base de compte "à plat" sans véritable structure hiérarchique. Plusieurs erreurs de jeunesse ont été évitées grâce notamment à l'environnement Novell qui avait été expérimenté avec l'annuaire NDS quelques années auparavant.

Une des grandes différences porte notamment sur le protocole sous-jacent qui pour Windows NT se base sur NetBios et DNS et TCP/IP pour Active Directory. Les limites de stockages qui pour Windows NT était de 40 Mb et environ 40 000 objets  furent portées à plusieurs millions d'objet et une limite de stockage de 16To dans l'environnement Active Directory.

Windows 2000 / Active Directory 2000 et son mode Mixte.

L'introduction de l'environnement Windows 2000 Server et la promotion d'un nouveau serveur en tant que contrôleur de domaine a introduit une nouvelle notion environnemental appelé mode mixte. Son contraire étant appelé Mode Natif.

Le mode mixte précise notamment que dans le domaine concerné, il existe dans le domaine en place des contrôleurs Windows d'ancienne génération comme Windows 3.51 ou 4.0. Dans le Mode Mixte Windows 2000 émule des anciennes fonctions présentes dans le "monde" Windows NT4 comme la fonction PDC notamment.

Le passage en mode natif est possible mais sans retour possible. Voici les quelques différences que vous pouvez trouver entre les deux modes.

Mode Mixte

·         L'émulateur PDC envoi les modifications vers les contrôleurs secondaires Windows NT4. Les serveurs Windows 2000 utilisent quand a eux un modèle de réplication multi-maitre.

·         Netbios ne peut pas être supprimé.

·         Les groupes universels de sécurité ne sont pas présent. Les groupes de domaine local sont uniquement disponibles sur les DC. Les conversions des groupes ne sont pas accepté.

Native Mode

·         Seuls les contrôleurs Windows 2x sont acceptés dans le domaine.  Tout les DC utilisent la réplication multi-maitres.

·         Netbios peut être désactivé.

·         Les groupes de domaine locaux sont présents dans l'ensemble des machines présentes dans le domaine.

·         Les groupes universels de sécurités peuvent être utilisés. La conversion des groupes est possible.

Avec l'avènement de Windows 2003 serveur les choses ont un petit peu changée et introduisent une notion de niveau fonctionnel.  Si le mode Mixte et natif s'applique au niveau du domaine, les niveaux fonctionnels s'appliquent sur la forêt et le domaine.

La notion de niveau fonctionnel apparait des que l'on introduit un serveur Windows 2003 en tant que Dc au sein d'une forêt active Directory.  Par défaut, le niveau fonctionnel du domaine est fixé à Windows 2000 Mixte et le niveau fonctionnel de la forêt est de type 'Windows 2000'.

Comme la notion de domaine Mixte et Natif, l'augmentation du niveau fonctionnel est a sens unique et aucun retour arrière n'est possible fonctionnellement.

Niveau fonctionnel de domaine :

 

Windows 2000 Mixte

 

 Windows NT40, Windows 2000, Windows2003  

 

Windows 2000 Native

 

 Windows 2000, Windows 2003 Serveur

 

Windows 2003 Interim

 

Windows NT4.0, Windows 2003 Server

 

Windows 2003

Windows 2003 Serveur

Niveau fonctionnel de forêts

Windows 2000

 

Windows NT40,Windows 2000,Windows 2003 Server

 

Windows server 2003 Interim : Windows NT 4.0, Windows 2003 Server

 

 

Windows Server 2003 : Windows Serveur 2003.

 

 

 

Nouveautés fonctionnelles Actives Directory apportée par Windows 2003 SP1.

Message de sauvegarde dans l'observateur d'événement.

Des messages de sauvegarde sont présents dans l'observateur d'événement si l'active directory n'as pas été sauvegarder à temps.

Support de la virtualisation.

La mise en place du SP1 permet d'envisager la virtualisation des serveurs sur Virtual Server 2005 car celle-ci est désormais supportée par Microsoft

Attributs confidentiels

Certains attributs peuvent être positionnés en confidentiel ce qui ne permet pas leur lecture sans droits appropriés. Par défaut ces attributs ne pouvant être lu uniquement par les administrateurs.

Changement au niveau du  Drag and Drop dans la console Active Directory User et Computer

Possibilité de supprimer les fonctions drag and Drop dans les console User and Computer et possibilité d'afficher des boites de dialogues de confirmation lors de déplacement

Sécurisation de la Réplication  et erreur de réplication

Les données de réplication Metadata sont désormais supprimées concernant les contrôleurs de domaine  supprimé du domaine (Amélioration de ntdsutil cf : http://support.microsoft.com/kb/216498/en-us)

Amélioration de l'installation depuis un média pour les serveurs DNS

Des nouvelles options sont apparues dans le SP1 concernant l'installation des serveurs DNS par un média qui n'oblige plus la réplication complète des zones DomainDNSZone et ForestDNSZones.

Mise à jours des outils

Des nouvelles versions de DCDiag/NTdsUtil/AdPrep sont présentes dans le SP1

Augmentation de la durée de vie  des éléments supprimés

Les nouvelles forêts crées en SP1 bénéficient d'une durée de vie des éléments supprimés de 180 Jours au lieu de 60. Les anciennes forêts ne sont pas concernées.

Conservation du SID History dans le cas d'éléments supprimé.

Le SID History est ajouté aux attributs des éléments supprimés.

Signalisation des problèmes FSMO

Les opérations qui demandent l'accès aux rôles FSMO non présent ou non accessible génèrent un événement  l'observateur d'événement.

Nouveautés fonctionnelles Actives Directory apportée par Windows 2003 R2.

Active Directory Application Mode  (AD ou ADAM)

Active Directory en mode application (ADAM, Active Directory Application Mode) fait partie des services d'annuaire Microsoft totalement intégrés disponibles dans Windows Server 2003. Ce service est spécialement conçu pour les scénarios d'application avec annuaire. ADAM n'est pas exécuté en tant que service du système d'exploitation et ne nécessite donc aucun déploiement sur un contrôleur de domaine. Ce mode d'exécution permet également d'exécuter simultanément plusieurs instances d'ADAM sur un même serveur et de configurer chacune de ces instances indépendamment.

Active Directory Federated Service (ADFS)

 

Les services ADFS sont des services fédérés de gestion des identités de type « authentification unique » (SSO, single sign-on) pour environnements Windows Server. Ils permettent notamment d’authentifier et d’autoriser des utilisateurs accédant à des extranets sur le Web. Ils améliorent la valeur des déploiements Active Directory actuels dans trois cas de figure : extranets B2C, fédérations interentreprises (multi-forêts) et fédérations Internet B2B. Les services d’authentification sur extranets et les services à authentification unique s’ajoutent aux fonctions d’authentification et de distribution de sessions dont Windows dispose déjà pour permettre aux réseaux internes de communiquer avec des réseaux de périmètre en contact avec Internet. La fédération des identités permet à deux entreprises de partager en toute sécurité les informations d’identité Active Directory d’un utilisateur. Elle facilite ainsi la collaboration avec les partenaires et la délégation des tâches de gestion des utilisateurs.

 

 

 

 

 

 

 

 

 

 

Publié dans Active Directory

Commenter cet article