> Tech > Active Directory

Active Directory

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Abordons la partie des nouveautés liées à Active Directory. Le service d'annuaire Active Directory a maintenant 7 ans, il est présent dans toutes les entreprises disposant d’une infrastructure Microsoft et n'a plus à faire ses preuves depuis la version 2003 de Windows Server. Pourtant, parmi les grands chantiers

Active Directory

entrepris par Microsoft dans la version Windows Server 2008, Active Directory ne manque pas à l’appel. Alors, il devient légitime de se poser la question : sur quoi vont se baser les améliorations ? Microsoft a visé trois axes : la fiabilité, la sécurité et les performances. L’ambition de Microsoft est d’apporter des nouveaux services vous permettant de vous concentrer sur l’essentiel et non pas sur les technologies.

Avec l’arrivée de Windows Server 2008, Active Directory devient Services de Domaine Active Directory (ADDS). Derrière cette nouvelle appellation se cache un changement majeur attendu par tous: Active Directory n’est plus qu’un service ! Implicitement, cela répond à plusieurs problématiques d’entreprises comme le temps de redémarrage des serveurs. Il n’est donc plus nécessaire de redémarrer un serveur pour défragmenter la base Active Directory, il s’agit là encore d’améliorer les problématiques des organisations. Au delà du fait d’améliorer la défragmentation, l’objectif est de supprimer les Week-ends programmés de maintenance. Il en découle de facto une réduction des charges et donc du coût total de possession (TCO) de vos serveurs et les équipes d’administrateurs seront contentes. Autre avantage de ce service, il permet de séparer les activités des administrateurs de serveurs et des administrateurs d’Active Directory (sujet d’actualité par excellence pour nous car, ces 2 dernières années, de nombreuses entreprises nous ont demandé d’étudier cette question). Cela s’inscrit typiquement dans la politique du moindre privilège menée par Microsoft en termes de sécurité.

Active Directory comprend un nouveau type de contrôleur de domaine. Le contrôleur de domaine en lecture seule (RODC ou BDC : le retour !). Le RODC vous procure le moyen de déployer des contrôleurs de domaine pouvant répondre à des scénarios où la sécurité physique du serveur ne peut être garantie comme dans les succursales, les bureaux isolés. Cela réduit l’impact sur les utilisateurs et le reste de l’infrastructure en cas de compromission ou de vol d’un contrôleur de domaine. La copie locale de l’annuaire de chaque RODC est en lecture seule, la réplication est unidirectionnelle, le mode fonctionnel de forêt Windows Server 2003 est suffisant. Parce que vous pouvez déléguer l’administration RODC à un utilisateur de domaine ou un groupe de sécurité, les RODC sont bien adaptés pour les sites qui ne devraient pas avoir un utilisateur qui est un membre du groupe Administrateurs de domaine. Finalement, malgré la sensation de déjà-vu de cette fonctionnalité (à la NT4.0), c’est vraiment une fonctionnalité d’actualité, répondant à des besoins d’aujourd’hui : en effet, toutes les entreprises tendent à réduire leur coût d’administration et le nombre de serveurs mais sont confrontées à des problématiques de sécurité, de complexité, de gestion de sites distants etc.

A ce sujet, les entreprises veulent se rapprocher de plus en plus de leurs clients. Elles déplacent leurs employés de leurs sites centraux vers des sites distants. Avec le nombre grandissant de succursales, les besoins des responsables informatiques et les problèmes de sécurité sur ces sites distants augmentent en proportion. Dans la mesure où les succursales n’ont que très peu ou pas du tout de personnel informatique sur site, les serveurs de ces succursales posent plusieurs problèmes aux responsables informatiques. Les applications tournant sur les serveurs doivent utiliser efficacement les connexions de réseau étendu sans utiliser toute la bande passante, ce qui ralentit le transfert des données stratégiques ou diminue la qualité des performances appliiTPro catives pour les utilisateurs de la succursale. La sécurité est une plus grande préoccupation dans les succursales, car la sécurité physique du serveur ne peut pas toujours être garantie. Dans la mesure où la majorité du personnel informatique est hors du site, les solutions de serveur offrant une gestion centralisée ainsi que l’administration et le déploiement à distance sont privilégiées par rapport à la succursale.

Les principaux avantages de Windows Server 2008 pour la gestion des sites distants sont liés à l’amélioration de l’efficacité de déploiement et d’administration des serveurs des succursales, la réduction des risques en matière de sécurité dans les succursales et l’amélioration de l’efficacité des communications de réseau étendu et de l’utilisation de la bande passante. Alors par exemple, sur un site distant, pourquoi ne pas coupler un RODC avec BitLocker ? De la sorte, vous offrez une sécurité avancée (une meilleure protection) ainsi qu’une garantie d’administration maitrisée (meilleur contrôle).

Autre nouveauté d’Active Directory, plus que jamais d’actualité, la possibilité d’implémenter des politiques de mots de passe multiple. Aujourd’hui, la politique des mots de passe appliquée ne se définit qu’au niveau du domaine. Il y en a une et une seule. Ce n’est pas assez granulaire. Cela pose de gros problèmes pour les entreprises. Par exemple : comment maintenir une stratégie de mot de passe stricte pour les utilisateurs du domaine tout en maintenant une stratégie de mot de passe différente pour les comptes de service utilisés par les applications de l’entreprise ? Avec Windows Server 2008 il devient possible de définir des politiques de comptes au niveau des utilisateurs et des groupes du domaine. Cela nécessite tout de même que le niveau fonctionnel du domaine soit Windows Server 2008.

Comment ça marche? D’abord définissez la structure d’unités d’organisation et les politiques de mots de passe nécessaire, créez les groupes nécessaires et ajoutez des utilisateurs, créez les objets paramètres de mot de passe PSO (Password Settings Objects) pour toutes les politiques de mot de passe définies et enfin, appliquez les PSO aux utilisateurs ou groupes de sécurité globaux appropriés. De plus, il y a de nombreuses autres nouveautés autour de cette nouvelle version d’Active Directory : un nouvel assistant de promotion en contrôleur de domaine (avec ce nouvel assistant d’installation plus complet toutes les fonctionnalités associées sont désormais groupées, rationalisant le processus et permettant de gagner du temps lors du déploiement), la prise en charge du "Server Core", un système de protection contre les suppressions d’objets AD accidentelles, le support d’AES 256 bits pour Kerberos, une modularité de mise en oeuvre de l’audit plus fine et également la réplication Sysvol différentielle. En effet, avec l’arrivée de Windows Server 2008, le protocole DFS-R a un domaine d’utilisation beaucoup plus important car celuici gère la réplication des répertoires partagés mais il gère également la réplication d’Active Directory une fois les conditions requises respectées. Confier au protocole DFS-R la gestion de la colonne vertébrale du système d’information témoigne toute la confiance, la puissance et la robustesse de ce moteur de réplication.

Jusqu’à présent c’était NTFRS qui prenait en charge la réplication d’Active Directory. Il y a de nombreuses différences entre les 2 protocoles : tout d’abord, la réplication des fichiers est basée sur des mises à jour de leur état (on dit "State based replication"). Elle n’est plus basée sur les Change Orders comme l’était celle de NTFRS. Contrairement à NTFRS, la granularité de la réplication de DFSR n’est plus le fichier lui-même, mais les tranches de 64Kb entourant les octets modifiés. Il utilise pour cela le mécanisme de Remote differential Compression (RDC). L’identification des fichiers et des répertoires répliqués n’est plus basée sur leur Object-id NTFS, mais sur des Unique ID (UID). Il en résulte que l’initialisation de la réplication est rendue plus facile. Les horaires de réplication peuvent être gérés de manière plus fine en implémentant une quantité de bande passante réseau à utiliser par chacun des participants appelée Bandwidth Throttling etc.

Téléchargez cette ressource

Sécuriser votre système d’impression

Sécuriser votre système d’impression

Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010