Il est courant de penser qu’un contrôleur de domaine et Active Directory sont synonymes l’un de l’autre. En réalité, ils sont très différents. Connaître ces différences vous aidera à mieux comprendre comment les deux travaillent ensemble.
Y a-t-il des mots de passe compromis dans votre Active Directory? Téléchargez Specops Password Auditor et scannez gratuitement.
Pour cet article, nous nous concentrerons sur la terminologie de Windows NT. Beaucoup de concepts et termes sont les mêmes ou similaires sous Linux. Pour raconter l’histoire des contrôleurs de domaine vs Active Directory, je vais utiliser une histoire à propos d’une boîte de nuit.
I hope this will relate the equivalent scenarios and differences between domain controllers vs Active Directory functionality better than simply regurgitating documentation.
Si vous cherchez à comprendre Active Directory, vous êtes au bon endroit.
Contrôleurs de domaine
A bouncer named Ox is standing guard at the door of the nightclub dubbed Club BOFH. Ox’s job is to check names against a list before letting someone in line get into the club. Every hopeful club-goer in line wants to get in, but they have to be on the ‘A’ list.
Pas sur la liste ? Ils n’entrent pas. S’ils essaient, ils sont expulsés ! Le videur offre un service essentiel au propriétaire de la boîte de nuit, qui, lorsqu’il ne gère pas un club, écrit ce genre d’articles de blog expliquant les sujets informatiques.
Le contrôleur de domaine (Ox le videur) ou DC, fournit des services de sécurité pour la boîte de nuit. Un contrôleur de domaine héberge une base de données (la liste ‘A’) qui est utilisée pour les demandes d’authentification (le client du club donnant son nom à Ox).
Une fois qu’Ox authentifie le fêtard, ils détachent la corde en velours et permettent au fêtard (un utilisateur ou un ordinateur) de passer. C’est la seule façon d’accéder aux ressources du domaine (boissons, musique et danse à l’intérieur de la boîte de nuit).
Ox a quelques amis (des serveurs membres agissant comme contrôleurs de domaine ou DCs) qui aident. Si l’un d’eux se fait submerger par une personne en colère qui a été expulsée de la boîte de nuit, l’un d’eux peut intervenir et continuer à fournir des services de sécurité.
Ox est performant en fournissant des services de sécurité redondants. Mais comment Ox et ses amis obtiennent-ils la liste des fêtards qui sont autorisés ou non à entrer dans le Club BOFH?
Annuaire Actif
Le Club BOFH est unique. Il n’y a qu’un seul emplacement. Le propriétaire de la boîte de nuit, Roscoe, possède un livre noir qui contient tous les fêtards autorisés à entrer et qui ont payé leurs frais d’adhésion.
Si les affaires continuent de prospérer, Roscoe prévoit d’ouvrir de nouveaux emplacements.
Ox utilise ce livre noir tout en fournissant la sécurité chaque nuit. Roscoe met également régulièrement à jour ce livre. Les noms sont toujours ajoutés ou retirés, souvent avec des notes sur ce qu’un fêtard peut et ne peut pas faire à l’intérieur du Club BOFH.
Le meilleur ami d’Ox, Hanz (qui aide quotidiennement), a une copie de ce livre noir et compare occasionnellement leur liste à ce qu’Ox a. Toute entrée dans le livre d’Ox qui n’est pas incluse dans le livre de Hanz est ajoutée ou retirée.
Parfois, Ox a laissé le livre à la maison. Ce n’est pas un problème car Ox peut toujours regarder ce que Hanz a enregistré et partagé.
L’Active Directory (Club BOFH) Domaine se compose d’un Serveur Active Directory (Roscoe) ou serveur ‘AD’ et d’un Service Active Directory (petit carnet noir). Ce service stocke des objets tels que des informations sur les comptes d’utilisateur et d’ordinateur.
Ox et ses amis employés par Roscoe (contrôleurs de domaine de répertoire) utilisent tous le même service de domaine car ils ne fonctionnent que dans un domaine Active Directory.
Termes supplémentaires à connaître
Voici quelques informations critiques à comprendre:
- Une identité peut être un utilisateur ou un ordinateur unique. Elle peut également être un groupe d’utilisateurs ou d’ordinateurs. Lorsque vous regardez les Utilisateurs et ordinateurs Active Directory (ADUC), vous voyez des noms d’utilisateur et des noms de groupe de sécurité. Ce sont des identités.
- A security principal is used to authenticate an identity and is what handles what permissions an identity has. It’s used to prove that an identity is genuine.
- A security identifier is just a key that is associated with an identity that determines authority on the domain.
- Un compte est soit un utilisateur soit un ordinateur. Un compte utilisateur stocke des informations liées à l’identité de l’utilisateur et est utilisé pour vérifier l’accès aux ressources réseau telles que les partages de fichiers.
Un compte d’ordinateur contient des informations qui authentifient le compte auprès du domaine. Chaque compte d’ordinateur inclut un identifiant de sécurité unique (SID).
Il ne s’agit pas seulement du Contrôleur de domaine par rapport à l’Active Directory
Faites respecter les exigences en matière de conformité, bloquez plus de 3 milliards de mots de passe compromis et aidez les utilisateurs à créer des mots de passe plus forts dans Active Directory avec des retours d’informations dynamiques destinés aux utilisateurs finaux. Contactez-nous dès aujourd’hui à propos de la Politique de mots de passe Specops !
N’oubliez pas les exemples de scénarios précédents impliquant Club BOFH.
Asseyez-vous devant votre ordinateur pour vous connecter. Votre ordinateur est déjà membre du domaine. Il possède un compte qui a été authentifié à l’aide du SID qui lui a été attribué, permettant à cet ordinateur d’accéder aux ressources réseau.
Cela a été réalisé grâce à un échange de clés de sécurité entre l’ordinateur et le contrôleur de domaine.
Vous continuez en tapant votre nom d’utilisateur, qui est votre identité liée à votre compte utilisateur. Votre compte possède un SID, et le principal de sécurité attribue vos droits pour vous connecter localement. Votre programme Microsoft Outlook est déjà configuré en utilisant le serveur Exchange de votre entreprise.
Où toutes ces informations sont-elles stockées ? Elles vous sont attribuées dans l’annuaire Active Directory. Le compte de l’ordinateur pourrait également avoir des données stockées, telles que l’emplacement et qui le gère.
Conclusion
Les différences entre ce qu’Active Directory fait et ce qu’un contrôleur de domaine fait ne sont pas un sujet difficile une fois que vous pouvez visualiser le processus. Il est plus facile de se rappeler que les contrôleurs de domaine authentifient votre autorité et qu’Active Directory gère votre identité et l’accès à la sécurité.
Ressources d’apprentissage supplémentaires
Envie d’en savoir plus ? Voici quelques ressources à consulter qui couvrent quelques explications techniques plus approfondies pour Windows & Linux.
Source:
https://adamtheautomator.com/domain-controller-vs-active-directory/