|
Faire le design de l'Active Directory d'une entreprise nécessite d'appréhender les notions de Domaine, Arbre, Forêt et surtout des avantages / inconvénients liés à chaque choix .
Règle de base : dans la plupart des cas, un Domaine unique répondra à tous les besoins. Il sera moins coûteux, plus facile à administrer et plus souple en évolutivité.
Certains cas justifient toutefois, plusieurs domaines, plusieurs arbres ou plusieurs forêts.
 Un Domaine est une unité d’Administration d’annuaire relativement indépendante. Elle possède sa stratégie de sécurité de compte propre. Son Administrateur y est responsable des utilisateurs et des ressources. L’administration y utilise les OU et les groupes pour la délégation d’administration et l’application de stratégies de groupes. Les accès aux ressources y sont rapides. Seul l’Administrateur d’Entreprise (en domaine racine de l’arbre) possède des droits supérieurs (comme ceux de créer un sous-domaine ou d’intégrer un nouveau DHCP ou de modifier le schéma en installant Exchange 2000 …)
Un arbre est un regroupement hiérarchique de domaines partageant le même nom DNS (même identité d’entreprise car espace de nom DNS contigu). Dans un arbre :
-
- Chaque domaine s’administre indépendamment (et sécurise sa propre réplique de Domaine)
- Les relations d’approbations entre domaines sont implicites, transitives et bijectives, mais les droits d’accès restent contrôlés par chaque Administrateur de domaine.
- Le contrôle est centralisé sur 3 éléments communs partagés par tous les domaines de l’arbre (contrôle généralement centralisé sur le Domaine Racine et son Administrateur d’Entreprise) :
- le nom DNS (et les DHCP autorisés à le mettre à jour dynamiquement)
- le schéma (et les modifications qu’on y fait)
- la configuration de nom (des sous-domaines de l’arbre)
Une forêt est un regroupement d’arbres, qui :
-
- bien qu’ayant chacun une identité de nom DNS particulière
- ont décidé de garder un contrôle sur 3 éléments communs à partager (contrôle centralisé sur le domaine racine de l’arbre racine de la forêt) :
- le schéma (et les modifications qu’on y fait)
- le catalogue global (partagé par tous, il peut être démultiplié sur chaque site)
- La configuration de nom (et les sous-domaines de l’arbre)
- Les relations d’approbations entre arbres sont implicites, transitives et bijectives, mais par le biais des domaines racines de chaque arbre – ce qui allonge le temps d’accès.
Note : une relation d’approbation raccourcie entre 2 domaines d’une forêt peut réduire ce temps d’accès.
Il n’y a plus de contrôle d’administration, ni d’éléments communs. On peut toutefois y prévoir des relations d’approbations externes. Elles sont réalisées entre 2 domaines (pas à 2 forêts), explicites, unidirectionnelles et non-réciproques. Ces relations sont similaires aux relations d’approbation Windows NT.
Attention :
- Le domaine créé avec le 1er Contrôleur de Domaine installé, sera non seulement racine de son arbre, mais encore racine de sa forêt (ceci dans la mesure où, lors de la promotion des DC suivants, on s’en sert comme référence). L’installation d’une forêt commence par le domaine racine, pour ensuite créer les enfants.
- Le domaine racine de la forêt est extrêmement sensible et important car il héberge le compte Administrateur d’Entreprise et des FSMO. On le sécurise au maximum.
- Chaque domaine enfant de la forêt constitue un domaine où l’administration est décentralisée. Il requiert donc son propre espace DNS et sécurise sa partition de domaine sur au minimum 2 DC.
- En terme d’évolution :
- A l’intérieur d’un domaine, les objets administrés sont aisément déplaçables.
- Active Directory ne permet pas nativement de fusionner 2 bases de comptes Domaine.
- Un DC réinstallé en serveur membre perd la base de compte Domaine.
- Les déplacements d’objets inter forêt ou intra forêt ne sont pas des opérations aisées et requierent des outils. Bien qu'il soit "techniquement possible" de renommer ou déplacer un Domaine AD depuis Windows 2003, cette manipulation reste très risquée et techniquement délicate.
|
