Active Directory
Active Directory (AD) est un service d’annuaire développé par Microsoft pour les systèmes d’exploitation Windows Server. Véritable pilier de l’architecture réseau, il permet la gestion centralisée des identités, des ressources, des stratégies et des autorisations au sein d’un environnement informatique, notamment dans les collectivités et administrations relevant de la Fonction publique.
Historique
Lancé initialement avec Windows 2000 Server, Active Directory est un composant clé de la stratégie d’infrastructure de Microsoft. Il a continuellement évolué à travers les versions de Windows Server 2003, Windows Server 2008, Windows Server 2012, Windows Server 2016 et Windows Server 2019, chacune introduisant de nouvelles fonctionnalités, telles que la Corbeille Active Directory, GPOs améliorées, ou le support natif de l’authentification forte.
Concepts fondamentaux
Objet et schéma
Active Directory structure les données sous forme d’objets (utilisateur, groupe, ordinateur, imprimante, etc.), chacun régi par un schéma qui définit ses attributs et leur syntaxe. Tous les objets sont représentés à l’aide du protocole LDAP (Lightweight Directory Access Protocol).
Arborescence et organisation
L’annuaire AD suit une hiérarchie arborescente composée de :
- Domaines (Domains)
- Unité principale de gestion de sécurité, telle que fonction-publique.gov.fr.
- Arborescences (Trees)
- Ensemble de domaines partageant un espace de noms contigu.
- Forêts (Forests)
- Ensemble de domaines et d’arbres qui partagent un catalogue global et des stratégies communes.
- Unités d’organisation (OU)
- Conteneurs servant à organiser les objets en fonction de la structure de l’administration.
Principaux composants techniques
| Composant | Rôle |
|---|---|
| Contrôleur de domaine | Gère la base de données AD, centralise l’authentification et la gestion des politiques. |
| Catalogue global | Indice optimisé pour accélérer la recherche d’objets à travers l’ensemble d’une forêt. |
| Kerberos | Protocole d’authentification natif à partir de Windows 2000. |
| Domain Name System (DNS) | Résolution des noms et intégration obligatoire avec AD. |
| LDAP | Protocole d’accès aux annuaires. |
| GPO | Centralisation et automatisation du déploiement de stratégies de sécurité et de configuration. |
Fonctionnalités principales
Gestion centralisée des identités
Active Directory permet l’administration centralisée des utilisateurs, des groupes et des ordinateurs. Les administrateurs définissent des politiques de mot de passe, de connexion, d’accès aux ressources (partages réseaux, imprimantes, fichiers, etc.).
Authentification et autorisation
Outre Kerberos, AD supporte le protocole NTLM pour la compatibilité avec d’anciennes applications. Il gère l’authentification unique (Single Sign-On, SSO), permettant aux agents de la fonction publique d’accéder à de multiples services en ne s’authentifiant qu’une seule fois.
Déploiement des stratégies
Les GPOs permettent le déploiement et le contrôle automatisés des politiques de sécurité et de configuration à différents niveaux : domaine, site, unité d’organisation. Cela inclut la gestion des droits d’accès, la configuration de l’environnement de travail, la restriction des accès USB, et la sécurisation des postes de travail de la fonction publique.
Réplication et tolérance de panne
Les modifications opérées sur l’annuaire sont automatiquement répliquées sur l’ensemble des contrôleurs de domaine du domaine ou de la forêt, assurant ainsi la disponibilité, l’intégrité et la résilience du service.
Outils et interfaces
- Utilisateurs et ordinateurs Active Directory
- Outil principal pour l’administration des objets du domaine.
- Centre d’administration Active Directory
- Interface graphique moderne, facilitant la gestion avancée et l’automatisation par PowerShell.
- Domaines et approbations Active Directory
- Gestion des relations de confiance entre domaines/forêts, essentielle dans le secteur public inter-administrations.
Des outils en ligne de commande, tels que dsquery, dsadd, ou netdom, sont également utilisés pour l’automatisation et la gestion massive.
Sécurité et conformité
Active Directory est au centre de la politique de sécurité informatique des établissements publics. Il permet :
- L’application de la stratégie de groupe pour le respect du Règlement Général sur la Protection des Données
- L’audit et la traçabilité des accès avec Observateur d’événements
- L’intégration avec des solutions de certificats pour l’authentification forte
- La gestion des comptes à privilèges et des délégations administratives
Active Directory dans la fonction publique
De nombreuses structures telles que les Collectivités territoriales, Ministère de l’Intérieur, Éducation nationale, Hôpitaux publics, ou Préfectures utilisent Active Directory pour :
- Gérer les identités professionnelles (agents, enseignants, personnels hospitaliers…)
- Contrôler l’accès aux ressources métiers (applications RH, gestion du courrier, messagerie Exchange…)
- Harmoniser les politiques de sécurité et garantir la conformité réglementaire
Un exemple typique est l’intégration avec Microsoft Exchange Server pour la gestion centralisée de la messagerie, ou l’emploi de ADFS pour la fédération des identités entre différentes administrations.
Versions et rôles fonctionnels
Active Directory comprend plusieurs services associés déployés dans les environnements publics et privés :
| Service | Fonction principale |
|---|---|
| AD DS | Service d’annuaire centralisant l’authentification et la gestion. |
| AD LDS | Annuaire léger (compatible LDAP) pour les applications. |
| AD FS | Fédération des identités, accès SSO inter-organisationnel. |
| AD CS | Infrastructure à clés publiques (PKI) gérant les certificats. |
| Azure AD | Variante dans le cloud, intégrant Microsoft Azure et la mobilité des agents. |
Alternatives et interopérabilité
Si Active Directory domine le secteur, il coexiste ou interagit avec d’autres solutions telles que OpenLDAP, Novell eDirectory, ou les systèmes de IAM (Identity & Access Management). L’interopérabilité est possible via des protocoles standard comme LDAP ou SAML.
Bonnes pratiques pour l’administration publique
- Protéger les comptes administrateurs et user ‘’tiering’’
- Sauvegarder régulièrement l’annuaire AD et tester les restaurations
- Mettre en place des stratégies de groupe robustes et testées
- Segmenter les unités d’organisation selon la structure et les missions (exemple : personnel enseignant, administratif, technique…)
Notes et références
- Documentation Microsoft
- Recommandations de l’ANSSI pour la sécurité des SI
- Guides pratiques sur la gouvernance des identités en collectivité
Voir aussi
- LDAP
- Windows Server
- Gestion des identités et des accès
- RGPD
- Azure Active Directory
- ADFS
- Microsoft Exchange Server
Catégorie:Systèmes d'information Catégorie:Administration publique Catégorie:Microsoft