Qu’est-ce qu’un domaine Windows ?

Dans un groupe de travail Windows, l’accès à un ordinateur exige une authentification par rapport à la base des comptes de l’ordinateur. Cette base est stockée dans un fichier intitulé SAM (Security Account Manager).

Si le groupe de travail est constitué de 10 ordinateurs avec un utilisateur par ordinateur et que tous les utilisateurs doivent accéder à tous les ordinateurs, l’administrateur doit créer 100 comptes au total. C’est d’autant plus lourd que l’opération doit être renouvelée partiellement lors de la perte d’un mot de passe.

Pour remédier à cette lourdeur, Microsoft propose d’utiliser un domaine Active Directory. Un domaine centralise la base des comptes dans un fichier intitulé NTDS.DIT. Cette base des comptes contient, entre autres informations, les comptes des ordinateurs qui font partie du domaine et les comptes des utilisateurs qui sont membres de ce domaine.

Pour créer un domaine Active Directory, il faut un ordinateur sur lequel est installé Windows 2000 Server, Windows Server 2003 ou Windows Server 2008. Ensuite, la création du domaine se fait à l’aide d’un assistant qui s’exécute avec le programme DCPROMO.EXE.

L’assistant vous interroge et vous demande notamment un nom de domaine, par exemple MONDOMAINE.STE. Notez que nous n’avons pas écrit MONDOMAINE.FR ou MONDOMAINE.COM afin de différencier l’Internet de l’Intranet. Une fois le domaine créé, vous créez les comptes utilisateurs (ALICE, BOB, CHARLES, etc.). Vous créez (ou vous rattachez) les comptes d’ordinateurs (ETOILE, MARS, VENUS, etc.) qui font partie du domaine.

Lorsque BOB cherche à se connecter au domaine MONDOMAINE.STE, il utilise l’ordinateur VENUS sur lequel il saisie son nom de compte (BOB), son mot de passe et son intention de se connecter sur le domaine MONDOMAINE.STE.

Selon un protocole défini au préalable, le contrôleur du domaine MONDOMAINE.STE vérifie les informations transmises lors de la demande d’ouverture de session par rapport à la base NTDS.DIT. Si ces informations sont correctes, le contrôleur de domaine renvoie un jeton (c’est une suite de caractères binaires) qui contient son accord d’ouverture de session, ainsi que la liste des groupes auxquels BOB appartient.

Lorsque BOB cherche à accéder à une ressource (par exemple un dossier partagé) du domaine MONDOMAINE.STE, son jeton est présenté à l’ordinateur (par exemple MARS) qui détient la ressource. MARS va aussitôt vérifier ce jeton auprès du contrôleur de domaine. Si MONDOMAINE.STE confirme son authenticité, MARS accepte la connexion demandée par BOB. Autrement dit, MARS ne contrôle pas l’authenticité de la demande de connexion par rapport à sa propre base SAM mais par rapport à la base NTDS.DIT du contrôleur de domaine.

Que se passe-t-il si le contrôleur de domaine a un crash ? Il est conseillé d’avoir plusieurs contrôleurs de domaine sur le même domaine afin d’assurer une meilleure robustesse au crash d’un contrôleur de domaine. Pour installer un second contrôleur de domaine, il est nécessaire d’avoir un autre ordinateur sur lequel est installé Windows Server 2008. Lors du lancement de DCPROMO.EXE, vous indiquez que le contrôleur de domaine que vous êtes en train d’installer est un nouveau contrôleur de domaine d’un domaine existant.

L’assistant cherche à contacter le contrôleur de domaine existant. Quand il a réussi, il recopie intégralement la base NTDS.DIT. A la fin de l’installation du nouveau contrôleur de domaine celui-ci se comporte exactement comme le premier, pour le service d’authentification. Attention, il existe d’autres services d’architecture qui font que les deux contrôleurs de domaine ne sont pas exactement équivalents.

Toutefois, afin d’avoir des mécanismes de résistance de panne et d’assurer un meilleur équilibrage des ressources, il est nécessaire d’installer plusieurs contrôleurs de domaine dans un même domaine.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *