Il est courant de penser que contrôleur de domaine vs Active Directory sont synonymes l’un de l’autre. En réalité, ils sont très différents. Connaître ces différences vous aidera à mieux comprendre comment les deux fonctionnent ensemble.
Pour cet article, nous allons nous centrer sur la terminologie Windows NT. De nombreux concepts et termes sont identiques ou similaires dans Linux. Pour raconter l’histoire des contrôleurs de domaine par rapport à Active Directory, je vais utiliser une histoire de boîte de nuit.
J’espère que cela relatera les scénarios équivalents et les différences entre les fonctionnalités d’Active Directory par rapport aux contrôleurs de domaine mieux que la simple régurgitation de la documentation.
Si vous cherchez à expliquer Active Directory, vous êtes au bon endroit.
Table des matières
Contrôleurs de domaine
Un videur nommé Ox monte la garde à la porte de la boîte de nuit surnommée Club BOFH. Le travail d’Ox consiste à vérifier les noms sur une liste avant de laisser quelqu’un dans la file entrer dans le club. Tous les espoirs du club qui font la queue veulent entrer, mais ils doivent être sur la liste » A « .
Pas sur la liste ? Ils ne peuvent pas entrer. S’ils essaient, ils se font éjecter ! Le videur fournit un service essentiel au propriétaire de la boîte de nuit, qui, lorsqu’il ne dirige pas un club, écrit ce type d’articles de blog expliquant des sujets informatiques.
Le contrôleur de domaine (Ox le videur) ou DC, fournit des services de sécurité pour la boîte de nuit. Un contrôleur de domaine héberge une base de données (la liste ‘A’) qui est utilisée pour les demandes d’authentification (le client du club donnant son nom à Ox).
Une fois qu’Ox a authentifié le client du club, ils détachent la corde de velours et permettent au client du club (un utilisateur ou un ordinateur) de passer. C’est la seule façon d’avoir accès aux ressources du domaine (boissons, musique et danse au sein de la boîte de nuit).
Ox a quelques amis (serveurs membres agissant comme contrôleurs de domaine ou DC) qui l’aident. Si l’un d’entre eux est maîtrisé par une personne en colère qui a été éjectée de la boîte de nuit, n’importe lequel d’entre eux peut intervenir et continuer à fournir des services de sécurité.
Ox réussit à fournir des services de sécurité redondants. Mais comment Ox et ses amis obtiennent-ils la liste des clients du club qui sont autorisés ou non à entrer dans le Club BOFH ?
Active Directory
Le Club BOFH est unique. Il n’y a qu’un seul emplacement. Le propriétaire de la boîte de nuit, Roscoe, dispose d’un livre noir qui contient tous les clients du club qui sont autorisés à entrer et qui ont payé leur cotisation.
Si les affaires continuent à se développer, Roscoe prévoit d’ouvrir de nouveaux emplacements.
Ox utilise ce livre noir tout en assurant la sécurité chaque nuit. Roscoe met également ce livre à jour régulièrement. Des noms sont toujours ajoutés ou retirés, souvent avec des notes sur ce qu’un clubiste peut et ne peut pas faire lorsqu’il est à l’intérieur du Club BOFH.
L’ami le plus proche d’Ox, Hanz (qui l’aide quotidiennement), a une copie de ce livre noir et compare occasionnellement leur liste à celle d’Ox. Toute entrée dans le livre d’Ox qui n’est pas incluse dans le livre d’Hanz est ajoutée ou retirée.
Il arrive qu’Ox ait oublié le livre à la maison. Ce n’est pas un problème car Ox peut toujours regarder ce que Hanz a enregistré et partagé.
Le domaine Active Directory (Club BOFH) se compose d’un serveur Active Directory (Roscoe) ou serveur ‘AD’ et d’un service Active Directory (petit livre noir). Ce service stocke des objets comme les informations sur les comptes d’utilisateurs et d’ordinateurs.
Ox et les amis employés par Roscoe (contrôleurs de domaine d’annuaire) utilisent tous le même service de domaine car ils ne fonctionnent que dans un domaine Active Directory.
Termes supplémentaires à connaître
Voici quelques informations essentielles à comprendre :
- Une identité peut être un seul utilisateur ou ordinateur. Il peut également s’agir d’un groupe d’utilisateurs ou d’ordinateurs. Lorsque vous regardez Active Directory Users and Computers (ADUC), vous voyez des noms d’utilisateurs et des noms de groupes de sécurité. Ce sont des identités.
- Un principal de sécurité est utilisé pour authentifier une identité et c’est ce qui gère les autorisations dont dispose une identité. Il est utilisé pour prouver qu’une identité est authentique.
- Un identifiant de sécurité est juste une clé qui est associée à une identité qui détermine l’autorité sur le domaine.
- Un compte est soit un utilisateur, soit un ordinateur. Un compte utilisateur stocke les informations liées à l’identité de l’utilisateur et est utilisé pour vérifier l’accès aux ressources du réseau telles que les partages de fichiers.
Un compte d’ordinateur contient des informations qui authentifient le compte sur le domaine. Chaque compte d’ordinateur comprend un identifiant de sécurité (SID) unique.
Il n’y a pas qu’Active Directory VS les contrôleurs de domaine
Rappelez-vous les scénarios d’exemple plus tôt impliquant le Club BOFH.
S’asseoir devant votre ordinateur pour vous connecter. Votre ordinateur est déjà membre du domaine. Il possède un compte qui a été authentifié à l’aide du SID qui a été attribué à votre ordinateur, ce qui permet à cet ordinateur d’accéder aux ressources du réseau.
Cela s’est fait par un échange de clés de sécurité entre l’ordinateur et le contrôleur de domaine.
Vous procédez à la saisie de votre nom d’utilisateur, qui est votre identité liée à votre compte utilisateur. Votre compte possède un SID, et le principal de sécurité vous attribue des droits de connexion en local. Votre programme Microsoft Outlook est déjà configuré en utilisant le serveur Exchange de votre entreprise.
Où sont stockées toutes ces informations ? Elles vous sont attribuées dans Active Directory. Le compte d’ordinateur pourrait également avoir des données stockées, comme l’emplacement et la personne qui le gère.
Conclusion
Les différences entre ce que fait Active Directory et ce que fait un contrôleur de domaine n’est pas un sujet difficile une fois que vous pouvez visualiser le processus. Le plus simple est de se rappeler que les contrôleurs de domaine authentifient votre autorité, et qu’Active Directory gère votre identité et votre accès à la sécurité.
.