Quelle est la différence entre un contrôleur de domaine et Active Directory?
Active Directory est le service d’annuaire de Microsoft pour les réseaux de domaine Windows. Lorsqu’il a été introduit dans Windows 2000 Server, Active Directory était uniquement utilisé pour gérer la gestion centralisée des domaines. Cependant, avec l’avènement de Windows Server 2008, Active Directory a été transformé en une suite de services d’annuaire, dont le contrôleur de domaine n’est qu’un., Les autres fonctions Active Directory incluent les services d’annuaire légers, les Services de certificat (pour l’infrastructure de chiffrement à clé publique), les services de fédération (pour l’authentification unique) et les Services de gestion des droits (pour la gestion des droits d’information, qui contrôle l’accès à des données particulières).
Dans ce schéma, le serveur exécutant Active Directory est connu sous le nom de contrôleur de domaine. Une instance d’Active Directory comprend à la fois une base de données et un code exécutable (appelé l’Agent de système de répertoire) pour exécuter la base de données et traiter les demandes des utilisateurs., La base de données est structurée à l’aide d’objets, qui sont organisés en trois niveaux—forêts, arbres et domaines.
Les contrôleurs de domaine Active Directory utilisent des approbations pour accorder aux utilisateurs d’un domaine l’accès à d’autres. Des approbations existent dans la forêt de la base de données, qui est automatiquement créée chaque fois qu’un domaine est créé., Les types de confiance comprennent une confiance unidirectionnelle (dans laquelle les utilisateurs d’un domaine ont accès à un autre domaine, mais pas l’inverse), une confiance bidirectionnelle (où deux domaines sont autorisés à accéder l’un à l’autre), une confiance transitive (qui peut s’étendre au-delà de deux domaines), une confiance explicite (créée par un administrateur système), une confiance forestière (qui s’applique à une forêt entière) et une confiance externe (permettant la connexion à des domaines non actifs).
Un contrôleur de domaine Active Directory permet aux administrateurs système de définir des stratégies pour garantir une complexité de mot de passe adéquate., Pour des raisons de sécurité, un mot de passe Active Directory ne peut pas contenir le nom d’utilisateur ou le nom complet de l’utilisateur. De plus, Microsoft vous permet d’exiger qu’un mot de passe comprenne des caractères de certaines catégories telles que les lettres majuscules, les lettres minuscules, les chiffres, les symboles (par exemple,#%%) et Unicode.
Active Directory vous permet également de définir une longueur minimale de mot de passe—plus un mot de passe est long, plus il est difficile de craquer en utilisant des techniques de force brute., Par défaut, Windows 10 Active Directory nécessite qu’un mot de passe comporte des caractères d’au moins trois des catégories mentionnées précédemment et ne comporte pas moins de huit caractères. Ces spécifications donnent 218,340,105,584,896 différentes possibilités totales que les pirates auraient besoin d’essayer avec des méthodes de force brute. Plus les informations que vous essayez de protéger sont sensibles, plus vos exigences en matière de mot de passe doivent être strictes.
Combien de contrôleurs de domaine avez-vous besoin?,
Dans leur implémentation Windows d’origine, les contrôleurs de domaine étaient divisés en deux catégories: le contrôleur de domaine primaire et le contrôleur de domaine de sauvegarde (DC). Un C. C primaire est le contrôleur de domaine de première ligne qui traite des demandes d’authentification d’utilisateur. Un seul DC primaire peut être désigné. Selon les meilleures pratiques de sécurité et de fiabilité, le serveur hébergeant le C. C principal devrait être uniquement dédié aux services de domaine. En raison de son importance centrale pour le réseau, le serveur DC principal ne doit pas exécuter de services de fichiers, d’applications ou d’impression, ce qui pourrait le ralentir ou risquer de le bloquer.,
Un contrôleur de domaine de sauvegarde existe en tant que sécurité intégrée dans le cas où le contrôleur de domaine principal tombe en panne. Il peut y avoir plusieurs contrôleurs de domaine de sauvegarde pour la redondance. Avoir un DC de sauvegarde dédié est une sage précaution. Si le C. C principal échoue et qu’il n’y a pas de sauvegarde, les utilisateurs ne pourront pas accéder au réseau. Lorsqu’un utilisateur tente de se connecter, le logiciel contacte le contrôleur principal. Si le C. C principal n’est pas disponible, il contacte alors le C. C de secours. La sauvegarde peut être promue au rôle principal dans le cas où le principal est définitivement hors service., Notez que les mises à jour de domaine (telles que des utilisateurs supplémentaires, de nouveaux mots de passe ou des modifications apportées à des groupes d’utilisateurs) ne peuvent être effectuées que sur le DC principal. Ils sont ensuite propagés dans les bases de données DC de sauvegarde. Il s’agit d’une forme de la structure de réplication maître-esclave, le C. C principal étant le maître et le C. D. secondaire étant les esclaves.
De nos jours, cependant, l’architecture du contrôleur de domaine principal et de sauvegarde a été obsolète. Lorsque Active Directory a été introduit dans Windows 2000, il a été conçu avec une structure de réplication multimaster., Cela signifie que les privilèges de compte utilisateur sont stockés de manière redondante parmi un groupe de contrôleurs de domaine, et chaque membre du groupe peut mettre à jour tous les autres. Lorsqu’un nouvel utilisateur est ajouté à un contrôleur de domaine, par exemple, la réplication multimaître pousse le changement vers les autres contrôleurs. Contrairement à l’architecture maître-esclave, la réplication multimaster offre une plus grande fiabilité (la défaillance d’un seul maître n’est pas catastrophique), une flexibilité accrue et des performances plus rapides.,
En somme, que ce soit dans son implémentation principale/de sauvegarde d’origine ou dans le framework Active Directory actuel, le contrôleur de domaine reste une partie essentielle d’un réseau contemporain. Plus vous avez de contrôleurs de domaine, plus il est facile d’assurer la disponibilité des utilisateurs qui cherchent à accéder au réseau.
Pour plus d’informations sur les contrôleurs de domaine et Active Directory, lisez nos articles de blog connexes.