Voici l’ultime FAQ sur Microsoft Active Directory, conçue pour répondre à toutes les questions les plus fréquentes concernant le traditionnel service d’annuaire sur site. Nous allons explorer de fond en comble l’univers de Microsoft Active Directory – autrement connu sous le nom d’AD ou MAD.
AD est à la fois très utilisé et très mal compris. Développé par Microsoft à la fin des années 1990 et souvent appelé fournisseur d’identité (IdP), AD est le service d’annuaire sur site le plus connu au monde. Il a inauguré l’ère de la gestion moderne des identités au début des années 2000, mais avec l’évolution rapide du paysage informatique, les administrateurs informatiques et les organisations questionnent maintenant son fonctionnement, sa raison d’être et son importance.
Nous avons identifié certaines des questions les plus courantes sur Active Directory et y avons répondu ci-dessous.
Principes de base d’Active Directory
Qu’est-ce qu’Active Directory ?
Active Directory est un service d’annuaire / fournisseur d’identité qui permet aux administrateurs de connecter les utilisateurs aux ressources informatiques basées sur Windows. En outre, grâce à AD, les services informatiques peuvent gérer et sécuriser leurs systèmes et applications basés sur Windows. Il stocke des informations sur les composantes du réseau (par exemple, les utilisateurs, les groupes, les systèmes, les réseaux, les applications, les actifs numériques, etc.) et sur leurs interrelations.
Les administrateurs peuvent utiliser AD pour créer des utilisateurs et leur accorder l’accès aux ordinateurs portables, aux serveurs et aux applications Windows. Ils peuvent également utiliser AD pour contrôler simultanément des groupes de systèmes, en appliquant les paramètres de sécurité et les mises à jour logicielles.
L’accès et les contrôles sont effectués à l’aide du concept de domaine. Le concept de domaine est essentiellement un concept d’inclusion et d’exclusion. Traditionnellement, cette approche était utilisée pour les sites physiques. De nombreuses ressources informatiques étaient hébergées sur site et faisaient donc partie du domaine – c’est-à-dire du réseau interne – et lorsqu’un utilisateur se trouvait sur le site physique, il avait accès à toutes les ressources requises sur site. Si un utilisateur se trouvait hors site, il devait utiliser un VPN afin de simuler une connexion sur site. Cette approche fonctionnait bien lorsque les ressources informatiques et les personnes se trouvaient dans la même proximité physique.
AD fait partie du vaste espace de la gestion des identités et des accès (IAM) et est souvent complété par des solutions d’authentification unique (SSO) ou de MDM (gestion des appareils mobiles), parmi tant d’autres. JumpCloud Directory Platform est une de ses alternatives basées sur le cloud.
Quand Active Directory a-t-il été lancé ?
Microsoft a présenté Active Directory au monde entier pour la première fois en 1999 et l’a commercialisé en même temps que Windows® 2000 Server edition.
Quels sont les protocoles utilisés par AD ?
Active Directory tire profit des protocoles de réseau pour DNS/DHCP et le Lightweight Directory Access Protocol (LDAP), ainsi que de la version Microsoft de Kerberos pour l’authentification.
Nombreux sont ceux qui se demandent pourquoi AD ne prend-il pas en charge davantage de protocoles, tels que SAML et RADIUS. Sans spéculer sur leur raisonnement, nous sommes convaincus que l’avenir de l’IAM est constitué d’une approche multiprotocole. La prise en charge de protocoles tels que SAML et RADIUS peut être réalisée par le biais de solutions complémentaires de Microsoft et de solutions tierces.
Pourquoi l’Active Directory est-il appelé « active » ?
Nous pensons qu’AD est appelé Active Directory parce qu’il met activement à jour les informations stockées dans l’annuaire. Par exemple, lorsqu’un administrateur ajoute ou retire un utilisateur de l’organisation, Active Directory transmet automatiquement cette modification à tous les serveurs d’annuaire. Cela se produit à intervalles réguliers, de sorte que les informations restent toujours à jour et synchronisées.
Aujourd’hui, ce type de comportement « actif » est espérer de n’importe quel système informatique. Mais, avant l’ère des services d’annuaire informatisés, le concept d’un annuaire qui se maintient à jour était plutôt novateur. N’oubliez pas qu’à l’époque où l’appellation “Active Directory” a été inventée, les encyclopédies physiques étaient encore couramment utilisées et le Wikipedia « actif » n’avait pas encore été lancé.
Qui utilise Active Directory ?
En général, lorsqu’une organisation utilise Active Directory, chaque employé s’en sert tous les jours sans même le savoir. Les gens utilisent Active Directory lorsqu’ils se connectent à leurs machines de travail et lorsqu’ils accèdent aux applications, aux imprimantes et aux partages de fichiers.
Mais les principaux utilisateurs d’Active Directory sont les administrateurs. Ces personnes exploitent, gèrent et configurent AD. Les administrateurs AD comprennent probablement toute l’équipe informatique et peuvent également inclure des membres de l’équipe de sécurité, de DevOps ou d’ingénierie.
Pratiquement toutes les organisations du monde utilisent une solution telle qu’Active Directory ou un autre fournisseur d’identité. À l’époque moderne dans laquelle nous vivons, permettre et contrôler l’accès aux ressources informatiques est l’un des aspects les plus importants du fonctionnement d’une organisation. Les solutions telles que les services d’annuaire permettent d’améliorer leur productivité.
Pourquoi Active Directory est-il important ?
Que les gens s’en rendent compte ou non, Active Directory fait tourner le monde des affaires depuis le début du siècle. AD est en place dans presque toutes les grandes organisations et dans les petites également. C’est un outil si fondamental (qui ronronne toujours tranquillement en arrière-plan) que de nombreuses personnes qui utilisent AD tous les jours ne réalisent même pas ce que c’est – encore moins qu’il est la clé de leur accès sécurisé à leur ordinateur portable, aux applications, au réseau et même aux fichiers. En bref, un service d’annuaire est ce qui relie les utilisateurs à leurs ressources informatiques, et AD fait cela pour les utilisateurs à leurs ressources Windows depuis près de deux décennies.
Vous cherchez plus de réponses plus à vos questions ? Nous avons un blog complet qui explique en profondeur pourquoi AD est si important.
Définitions d’Active Directory
Que sont les objets d’Active Directory ?
Un objet est le terme générique pour toute unité d’information stockée dans la base de données d’Active Directory. Les objets peuvent inclure des utilisateurs, des ordinateurs portables, des serveurs, et même des groupes d’autres objets (expliqués ci-dessous).
Que sont les groupes Active Directory ?
AD permet aux administrateurs de gérer des ensembles d’objets multiples ; ces ensembles sont connus sous le nom de groupes. Grâce aux GPO (objets de stratégie de groupe), un administrateur peut apporter une modification à un groupe et faire en sorte que cette modification s’applique à tous les objets de ce groupe. Ils sont souvent utilisés pour segmenter les utilisateurs ou les systèmes par département ou autorisation.
En résumé, la gestion par groupe rend l’administration informatique plus efficace.
Que sont les forêts, les arbres et les domaines dans Active Directory ?
Une forêt est la partie la plus large de la structure logique d’Active Directory, qui comprend également des objets, des arbres, des domaines et des unités d’organisation (OU). Une forêt décrit un ensemble d’arbres, lesquels désignent un ensemble de domaines. Alors, que sont les arbres et les domaines ?
Un domaine est un ensemble d’utilisateurs, d’ordinateurs et de périphériques qui font partie de la même base de données Active Directory. Si une organisation possède plusieurs sites, elle peut avoir un domaine distinct pour chacun d’eux. Par exemple, une organisation internationale pourrait avoir un domaine pour son bureau de Londres, un autre pour son bureau de New York et un troisième pour son bureau de Tokyo.
Un arbre pourrait être utilisé pour regrouper ces trois domaines en tant que branches appartenant au même arbre, pour ainsi dire. Une organisation qui possède plusieurs arbres pourrait alors les regrouper en une forêt.
Il s’agit d’un concept fondamental d’Active Directory et il peut s’avérer compliqué. Si vous avez des questions, écrivez-nous et nous serons heureux de vous aider à déterminer le type de structure AD qui convient à votre organisation.
Qu’est-ce qu’un contrôleur de domaine ?
Un contrôleur de domaine est tout serveur qui exécute les services de domaine Active Directory. Au moins un contrôleur de domaine est nécessaire pour utiliser Active Directory, mais la plupart des organisations en ont au moins deux par site. Les grandes organisations multinationales peuvent avoir besoin de dizaines de contrôleurs de domaine sur chacun de leurs sites physiques afin d’assurer la haute disponibilité de leur instance AD. En général, on pense que les contrôleurs de domaine sont liés à un bureau physique, ce qui, dans l’environnement actuel de télétravail, peut être un défi.
Les utilisateurs individuels et leurs systèmes sont connectés au contrôleur de domaine par le réseau. Lorsque les utilisateurs demandent l’accès à des objets de la base de données Active Directory, AD traite cette demande et autorise ou empêche l’accès à l’objet en question.
Une fois dans le domaine, un utilisateur n’a pas besoin de saisir un autre nom d’utilisateur et un autre mot de passe pour accéder aux ressources liées au domaine auxquelles il a droit. L’authentification et l’accès se font de manière transparente. C’est la beauté du domaine. Mais ce concept commence à s’effondrer lorsque des ressources non Windows sont introduites. Il pose également problème si les utilisateurs sont distants et ne sont pas physiquement rattachés au domaine. Dans ce cas, l’utilisateur final doit se connecter au réseau par VPN et être authentifié par le contrôleur de domaine afin d’accéder à ses ressources Windows sur site.
Notez que Microsoft a également étendu le concept de domaine à Azure. Les organisations peuvent créer un domaine distinct sur Azure via Azure AD DS. Ce domaine est séparé et distinct des domaines sur site, bien que les deux puissent être reliés par une variété de technologies de connexion, notamment Azure AD Connect et Azure AD.
Il convient également de noter qu’il existe un nouveau concept appelé Domainless Enterprise (entreprise sans domaine), qui consiste à éliminer le concept de domaine, tout en conservant l’idée d’un accès sécurisé et sans friction aux ressources informatiques, où qu’elles se trouvent. Ce concept est particulièrement utile pour les organisations qui exploitent des applications Web, une infrastructure en cloud et des plateformes non Windows (macOS, Linux).
Qu’est-ce que les services de domaine Active Directory (AD DS) ?
AD DS configure essentiellement la base de données d’objets qui sert de fondement à la gestion d’AD. AD DS n’est pas le seul rôle de serveur associé à Active Directory, mais on pourrait dire que c’est le rôle de serveur qui correspond le plus directement à la fonctionnalité de base que les gens associent à AD.
Comment fonctionne Active Directory ?
Lorsque les services de domaine Active Directory sont installés sur un serveur, celui-ci devient un contrôleur de domaine. Ce serveur stocke la base de données Active Directory, qui contient une hiérarchie d’objets et leur relation les uns avec les autres.
Active Directory est géré par un administrateur au moyen d’une interface graphique client lourd qui ressemble au gestionnaire de fichiers de Windows (photo ci-dessus). Cette application fonctionne sur un serveur Windows et n’est pas une application moderne basée sur un navigateur. Les administrateurs peuvent pointer, cliquer et faire glisser des objets dans AD et ajuster leurs paramètres en cliquant sur le bouton droit de la souris et en accédant au menu déroulant.
AD peut également être contrôlé par la ligne de commande et par des outils qui exploitent PowerShell, le langage de Microsoft pour l’automatisation et les tâches API.
Qu’est-ce qu’Azure® Active Directory ?
La plus grande idée préconçue concernant Azure AD est qu’il s’agit d’une version autonome d’Active Directory dans le cloud. Mais la vérité est qu’Azure AD n’a pas du tout été conçu à cet effet. Au contraire, Azure AD a été créé dans le but d’étendre l’instance Active Directory existante au cloud, pas de le remplacer.
Pour mieux comprendre la relation entre AD et AAD, le diagramme de l’architecture de référence de Microsoft peut s’avérer utile.
Le concept peut représenter beaucoup de travail avec de nombreuses pièces mobiles : synchronisez votre AD sur site avec Azure AD Connect et vous pouvez connecter votre base de données existante d’identités et de groupes d’utilisateurs aux ressources en cloud d’Azure. Bien entendu, vous avez besoin d’Azure AD et, si vous souhaitez créer un domaine dans Azure, vous aurez également besoin du produit Azure AD DS.
Azure AD peut réaliser beaucoup de tâches qu’Active Directory est incapable d’accomplir par lui-même (par exemple, il dispose d’un composant intégré d’authentification unique pour les applications Web) – et la plateforme Azure de Microsoft couvre une fonctionnalité si large que vous pouvez la considérer comme le concurrent Microsoft d’Amazon Web Services. Mais cela ne signifie pas qu’Azure AD peut faire tout ce qu’Active Directory sur site peut faire.
Qu’est-ce qu’Azure AD Connect ?
Azure AD Connect est un outil utilisé pour fédérer les identités Active Directory sur site vers des ressources hébergées au sein de la plateforme Azure, tout ceci, par le biais d’Azure Active Directory. Ces ressources peuvent inclure des systèmes, des serveurs et des applications Office 365™ et Azure.
AD : ce qu’il est et ce qu’il n’est pas
Active Directory est-il un système d’authentification unique (SSO) ?
On pourrait dire d’Active Directory qu’il était le SSO avant même que le SSO n’existe. Nous entendons par là qu’il peut offrir une expérience d’authentification unique aux utilisateurs en centralisant l’accès à toutes les ressources Windows au sein de la base de données. Ces ressources sont toutes présentes sur site ou du moins connectées au domaine.
Cela dit, ce que l’industrie considère conventionnellement comme le SSO (authentification unique pour applications Web) est très différent d’AD. En fait, le SSO conventionnel est né de l’incapacité d’AD à authentifier les utilisateurs dans les applications Web au milieu des années 2000. Aujourd’hui, de nombreuses organisations complètent encore leur Active Directory par un outil de SSO pour applications Web basé sur un navigateur.
Cependant, de nouvelles exigences commerciales ont amené le concept de SSO à s’étendre désormais aux appareils, aux réseaux, aux serveurs de fichiers, et plus encore, de sorte que le concept moderne de SSO va au-delà du simple accès aux ressources Windows ou même aux applications Web. Le concept de True SSO est encore plus étendu et très pertinent pour les organisations modernes où les utilisateurs et leurs ressources informatiques peuvent se trouver partout dans le monde.
Active Directory est-il un logiciel ?
Oui, Active Directory est un logiciel développé par Microsoft qui est installé, maintenu et mis à jour sur du matériel serveur basé sur Windows. Le logiciel AD est concédé sous licence par le biais d’un concept appelé CAL (licences d’accès client), entre autres mécanismes. L’octroi de licences pour le logiciel AD peut être assez complexe, il est donc préférable de discuter avec un revendeur Microsoft.
En outre, le logiciel et le matériel AD ne constituent pas une solution complète. Vous devrez vous procurer d’autres composants pour faire fonctionner AD, notamment des solutions de sécurité, de haute disponibilité, de sauvegarde, de VPN, etc.
Active Directory est-il un serveur ?
Pas exactement. Cela dit, Active Directory a besoin d’un serveur Windows pour fonctionner. Un serveur exécutant le logiciel Active Directory Domain Services est appelé contrôleur de domaine, qu’il s’agisse d’un matériel physique situé sur place ou d’un serveur virtuel.
Active Directory est-il une base de données ?
Il serait plus exact de dire qu’Active Directory « contient » une base de données. La base de données Active Directory est le magasin de tous les utilisateurs, groupes, systèmes, imprimantes et politiques du réseau. Ces éléments sont connus sous le nom d’objets et peuvent être manipulés par les administrateurs qui utilisent Active Directory.
Active Directory est-il open source ?
Non. Active Directory a été développé de manière privée par Microsoft et son code n’a pas été mis à la disposition du public comme un outil open source. La principale alternative open source à Active Directory est OpenLDAP (les autres incluent FreeIPA, Samba, 389 Directory, et d’autres). Vous pouvez en savoir plus sur la différence entre OpenLDAP et AD.
Active Directory est-il LDAP ?
Active Directory n’est pas LDAP, mais il utilise LDAP. AD est un service d’annuaire capable de communiquer via le protocole LDAP et de gérer l’accès aux ressources basées sur LDAP. Le protocole principal d’AD est une version Microsoft de Kerberos.
Fonctionnalité d’Active Directory
De quoi avez-vous besoin pour faire fonctionner Active Directory ?
En général, pour faire fonctionner AD, vous avez besoin d’un serveur, d’une sauvegarde, d’un espace dans un centre de données et de VPN. Il ne s’agit là que des éléments de base, mais pour la plupart des organisations, vous devez également prendre en compte la sécurité, l’équilibrage des charges / la haute disponibilité, la sauvegarde des données, etc. Vous aurez également besoin d’un administrateur informatique suffisamment compétent sur le plan technique pour installer, gérer et maintenir AD.
Cela dit, les exigences matérielles et logicielles nécessaires au fonctionnement d’Active Directory sont propres à chaque organisation. Voici quelques aspects dont vous devez tenir compte pour déterminer ce dont vous aurez besoin pour faire fonctionner AD :
- le nombre d’utilisateurs
- le nombre de systèmes
- le niveau de mémoire vive requis
- les besoins en bande passante du réseau
- la capacité de stockage des fichiers et les exigences de performance
- la puissance de traitement
Une évaluation précise de votre environnement informatique est cruciale pour une utilisation efficace d’Active Directory, et prendre des raccourcis pourrait entraîner des problèmes de performance à terme. Pour plus d’informations, vous pouvez consulter l’article de Microsoft sur la planification des capacités. Vous voudrez également parler aux revendeurs Microsoft des licences, car elles peuvent être complexes. Ces exigences en matière de licence peuvent inclure le logiciel du serveur, les licences d’accès client, etc.
Bien entendu, si vous disposez de systèmes, d’applications, de serveurs de fichiers et d’une infrastructure réseau non Windows, vous devrez également acheter des modules complémentaires tels que le SSO pour les applications Web, l’authentification multifactorielle, la gestion des accès privilégiés, la gouvernance et l’audit, etc.
Quelles sont les limites d’Active Directory ?
Oui, il existe des limites avec Active Directory. Qu’il s’agisse du nombre maximum d’objets ou de GPO appliquées, Active Directory a ses restrictions. En voici quelques-unes :
- Un contrôleur de domaine peut créer « un peu moins » de 2,15 milliards d’objets au cours de sa vie.
- Les utilisateurs, groupes et comptes d’ordinateur (principaux de sécurité) peuvent être membres d’un maximum d’environ 1 015 groupes.
- Vous pouvez appliquer une limite de 999 objets de stratégie de groupe (GPO) à un compte d’utilisateur ou à un compte d’ordinateur.
- Vous devez éviter d’effectuer plus de 5 000 opérations par transaction LDAP lorsque vous écrivez des scripts ou des applications pour une transaction LDAP.
Vous pouvez en savoir plus sur les limites d’Active Directory ici. D’un point de vue pratique, il existe des limitations dues à la capacité du matériel serveur, à la bande passante, à la latence des performances, etc. Les administrateurs informatiques devront comprendre l’ensemble de leur infrastructure pour comprendre comment leurs utilisateurs sont affectés par ces types de limitations.
Pourquoi sauvegarder Active Directory ?
Prenez un moment pour réfléchir à tous les efforts que vous avez déployés pour créer un environnement informatique sûr et transparent. Vous avez réussi à fournir aux utilisateurs un accès optimal à toutes les ressources informatiques dont ils ont besoin pour travailler. Vous avez mis en place tous les bons GPO. Votre structure logique est impeccable.
Sans sauvegarde, vous courez le risque de devoir tout recommencer.
Non seulement tout remettre en place est une corvée, mais le reste de l’entreprise sera considérablement retardé dans sa reprise de travail. Les employés ne pourront pas accéder à leurs ressources informatiques tant que vous n’aurez pas reconstruit votre configuration Active Directory. Par conséquent, une stratégie de sauvegarde de votre instance Active Directory peut vous faire gagner beaucoup de temps et d’énergie en cas de panne ou de catastrophe. Pour obtenir des conseils sur les éléments à prendre en compte dans votre plan de reprise après sinistre, pensez à lire ce post Reddit r/sysadmin.
Bien sûr, la sauvegarde d’AD n’est qu’un des scénarios de catastrophe que vous devrez prendre en compte. Les connexions Internet peuvent être coupées, le matériel peut tomber en panne, des erreurs humaines peuvent survenir, etc. Tous ces éléments doivent également être pris en compte. Comme le savent les administrateurs informatiques, les services d’authentification doivent fonctionner à 100%, 24h/24.
Quand doit-on remplacer Windows Server ?
D’ordre général, la durée de vie estimée d’un serveur est d’environ cinq ans. Après cela, vous êtes en sursis. Si vous utilisez encore Windows Server 2003 ou Windows Server 2008, vous devez absolument penser à acquérir un nouveau contrôleur de domaine. L’EOL de Windows Server 2003 a eu lieu en juillet 2015 et l’EOL de Windows Server 2008 a eu lieu le 14 janvier 2020.
Existe-t-il de bonnes pratiques de sécurité pour Active Directory ?
Oui. Lors de la mise en place d’une infrastructure Active Directory, il existe certaines bonnes pratiques qui peuvent vous aider à maintenir une sécurité forte et à éviter les problèmes de configuration. Voici quelques recommandations :
- Modifiez les paramètres de sécurité par défaut : Les attaquants ont une bonne connaissance des paramètres de sécurité par défaut dans AD, il est donc préférable de les modifier (BeyondTrust).
- Utilisez les principes du moindre privilège dans les rôles et groupes AD : En donnant aux employés le minimum d’accès dont ils ont besoin pour faire leur travail, vous réduisez la surface d’attaque des intrus (BeyondTrust).
- Contrôlez les privilèges d’administration et limitez les comptes du groupe Admin du domaine : Comme au point précédent, vous voulez minimiser le nombre de personnes ayant un accès de superutilisateur (BeyondTrust).
- N’utilisez pas un contrôleur de domaine comme s’il s’agissait d’un ordinateur : En d’autres termes, n’installez pas de logiciels ou d’applications sur un contrôleur de domaine. Il est préférable qu’un contrôleur de domaine soit un serveur dédié uniquement à cette fonction. En général, les administrateurs suivent le concept d’un seul serveur, d’une seule fonction (Iperius Backup).
- Appliquez régulièrement des correctifs à AD : Les attaquants peuvent aussi facilement exploiter des applications, des systèmes d’exploitation et des microprogrammes non corrigés sur les serveurs AD. Évitez de leur donner ce point d’appui en appliquant régulièrement des correctifs (BeyondTrust).
- Surveiller et auditer la santé d’AD : Cela vous permettra de résoudre plus rapidement les pannes et autres problèmes (Active Directory Pro).
- Définissez une convention d’appellation dès le début : Cela vous permettra de garder AD organisé au fur et à mesure que vous évoluez (Active Directory Pro).
- Nettoyez AD régulièrement : Supprimez assidûment les utilisateurs, ordinateurs et comptes de groupes obsolètes. Cela contribuera à maintenir la sécurité et l’organisation (Active Directory Pro).
- Assurez-vous que l’heure de votre domaine soit correcte : Avoir la bonne heure sur tous les contrôleurs de domaine, les serveurs membres et les machines est important pour l’authentification Kerberos et pour s’assurer que les changements sont distribués correctement (Active Directory Pro).
Comment sécuriser Active Directory ?
Bon nombre des meilleures pratiques énumérées ci-dessus vont dans ce sens : maintenez votre instance AD à jour et corrigée, et utilisez les principes du moindre privilège. N’utilisez pas votre contrôleur de domaine pour autre chose que les rôles requis pour les services de domaine.
En ce qui concerne la sécurité physique, vous pouvez envisager de verrouiller la salle des serveurs, d’installer des alarmes à tous les points d’accès, de placer les locaux sous vidéosurveillance et de mettre en place des alarmes d’inondation et des systèmes de prévention des incendies.
Vous devrez également former tous les utilisateurs qui ont accès à AD sur les manières de l’utiliser en toute sécurité. Lisez notre guide détaillé au sujet de la formation à la sécurité, Formation en sécurité 101 : L’essentiel sur l’éducation des employés.
Bien entendu, pour de nombreuses organisations, le concept de sécurité physique peut être confié à un fournisseur de services en cloud, s’il en utilise un.
Comment assurer la haute disponibilité avec AD ?
Il n’existe pas de formule universelle pour assurer la haute disponibilité (HA) de votre instance Active Directory. Chaque organisation a des besoins et des normes de disponibilité différents. Mais la redondance est un incontournable pour tous, sauf pour les administrateurs les moins enclins à prendre des risques. L’approche la plus courante dans les PME consiste à disposer d’un contrôleur de domaine direct dans l’environnement de production, puis d’un deuxième pouvant servir de bascule. Cette stratégie générale de redondance peut être mise à l’échelle pour les grandes organisations et les entreprises.
Un certain nombre de composants matériels et d’infrastructure réseau sont nécessaires pour garantir la haute disponibilité. De nombreuses organisations se tournent vers le cloud et font appel à des fournisseurs de cloud pour les aider à résoudre les problèmes de haute disponibilité et d’équilibrage de charge.
Active Directory peut-il fonctionner avec des Mac ?
Techniquement, oui, Active Directory fonctionne avec les appareils Mac. Mais les capacités de gestion des utilisateurs et des systèmes d’AD sont limitées avec les Mac par rapport aux fonctionnalités des systèmes Windows. Un contrôle approfondi et automatisé des systèmes Mac n’est possible qu’avec l’aide d’extensions d’annuaire tierces ou de MDM (gestionnaires de périphériques mobiles). Le contrôle étroit des utilisateurs, y compris le provisionnement, le déprovisionnement et la modification des autorisations, est également difficile sur les Mac lorsqu’on utilise AD.
Pourquoi apprendre à utiliser Active Directory ?
Savoir comment utiliser AD est une compétence précieuse, qui s’applique largement aux organisations du monde entier. L’apprentissage d’AD est particulièrement utile si vous souhaitez travailler dans le secteur informatique et prendre en charge les périphériques Windows, les services en Azure Cloud, Sharepoint et de nombreux autres logiciels et plateformes d’entreprise.
Cela dit, il est possible de faire carrière dans l’informatique sans jamais apprendre AD. Les organisations modernes, tournées vers le cloud, évitent complètement l’AD sur site et passent directement aux services d’annuaire cloud. Inscrivez-vous dès aujourd’hui pour un essai gratuit de 30 jours. L’Université JumpCloud peut également vous aider à apprendre les concepts relatifs à une plateforme d’annuaire en cloudet à l’entreprise sans domaine.
Évaluer Active Directory
Active Directory est-il gratuit ?
Il s’agit d’une idée préconçue très répandue. Si AD est techniquement inclus dans Windows Server, les serveurs sur lesquels il fonctionne ne le sont certainement pas, et Microsoft gagne intelligemment de l’argent avec les clients AD par le biais de licences pour Windows Server. Le coût des CAL (Client Access License) garantit que les organisations utilisant AD continueront à payer Microsoft mois après mois.
Mais les CAL ne sont qu’un coût de surface. Nous avons créé un guide de budgétisation pour Active Directory qui inclut le coût de l’infrastructure associée, du logiciel Windows Server, de la liaison Mac et Linux®, de la fédération d’identité, de la maintenance et de l’administration, et de la sécurité. Le coût d’AD varie largement d’une organisation à l’autre, mais il n’est jamais totalement gratuit.
Comment puis-je calculer le coût réel d’Active Directory ?
Nous disposons d’une équation assez simple pour estimer le coût d’AD :
Coûts d’Active Directory = serveurs + logiciels + hébergement + sauvegarde + sécurité + surveillance + VPN + administration informatique + logiciel tiers + authentification multifactorielle + gouvernance
Cela dit, le coût réel de l’AD pour votre cas d’utilisation spécifique n’est pas aussi simple. Si vous souhaitez accéder à notre calculateur de retour sur investissement des services d’annuaire, vous pouvez en faire la demande ici.
Quelle est la taille des organisations qui ont besoin d’AD ?
Plus une entreprise est grande, plus elle est susceptible d’utiliser Active Directory. Les entreprises, les universités et les organisations gouvernementales ont toutes besoin de services d’annuaire afin de gérer efficacement et en toute sécurité l’accès à leurs milliers de ressources informatiques.
Si les petites organisations peuvent se passer d’Active Directory (certaines utilisent Google Workspace ou des solutions de SSO comme répertoire d’utilisateurs), de nombreuses petites équipes choisissent tout de même de mettre en œuvre AD afin d’améliorer la sécurité et l’efficacité de leur système. En général, c’est lorsqu’une organisation atteint une vingtaine de membres que les personnes responsables de l’ensemble de l’infrastructure informatique commencent à penser qu’il est temps de mettre en place des services d’annuaire.
Au fur et à mesure que les organisations se développent, le coût et la complexité de l’exploitation d’AD peuvent augmenter de façon spectaculaire. De nombreuses organisations informatiques ont cherché différents moyens de résoudre ce problème et ont finalement cherché des alternatives à Active Directory.
Quels sont les avantages et les inconvénients d’Active Directory ?
Pour parler en termes d’avantages simples, Active Directory offre les avantages suivants :
- Un plus grand contrôle administratif sur les ressources de Windows
- Efficacité accrue pour les utilisateurs et les administrateurs
- Systèmes, réseaux et données Windows plus sûrs
- Des rapports fiables et détaillés pour l’audit et la conformité
Mais Active Directory est également important dans la mesure où il présente des inconvénients :
- Fonctionnalité réduite avec les systèmes Mac et Linux
- Difficile à configurer et à gérer
- Nécessite du matériel sur site
- Coûts initiaux élevés
- Connectivité limitée aux applications et infrastructures en cloud
Quand Active Directory est-il nécessaire ?
La plupart des fonctions d’Active Directory peuvent être réalisées sur un système individuel autre qu’Active Directory. Par exemple, la configuration d’un nouvel utilisateur pour un ordinateur portable ou l’établissement d’un certain paramètre de sécurité peuvent être effectués manuellement à partir du système d’exploitation. Mais le mot clé est manuel. Active Directory est nécessaire lorsqu’une organisation a atteint une taille telle que l’administration manuelle de ses systèmes et de ses ressources informatiques n’est plus possible. La capacité d’AD à effectuer des tâches de gestion de groupes d’utilisateurs et de systèmes Windows, à grande échelle, est ce qui en a fait un incontournable pour les grandes organisations.
Une autre raison pour laquelle Active Directory peut s’avérer nécessaire est si une organisation est soumise à des exigences d’audit et de conformité. Les exigences rigoureuses en matière de sécurité imposées par des réglementations telles que HIPAA, PCI et GDPR « forcent souvent la main » d’organisations qui, autrement, n’auraient peut-être pas besoin d’Active Directory.
Alors que de plus en plus d’organisations se tournent vers le cloud, exploitent des applications Web, utilisent des plateformes modernes, etc., le besoin d’AD s’estompe, bien que la nécessité d’une solution holistique de gestion des identités et des accès soit plus cruciale que jamais.
Ai-je besoin d’AD pour réussir notre audit ?
Cela dépend vraiment de vos besoins en matière de conformité : êtes-vous confronté à un audit PCI, HIPAA, SOX, SSAE 16 ou ISO ? La réponse courte est que vous n’avez jamais besoin d’AD pour passer un audit. D’une manière générale, les services d’annuaire peuvent être très utiles pour assurer la conformité car ils peuvent (1) sécuriser les identités, (2) limiter l’accès aux ressources et aux données critiques et (3) simplifier les processus d’audit, de journalisation et de reporting. Cela dit, Active Directory n’est qu’une des nombreuses solutions d’annuaire qui peuvent contribuer à renforcer votre sécurité.
Découvrez comment JumpCloud contribue à la sécurité et à la conformité.
Quand ne devriez-vous pas utiliser Active Directory ?
Active Directory est idéal pour les environnements informatiques sur site, entièrement basés sur Windows. Si votre environnement informatique ne correspond pas à ce modèle, vous devriez envisager de chercher des alternatives à Active Directory. Par exemple, si vous utilisez des systèmes Mac® et Linux®, des applications Web, des serveurs en cloud, des réseaux sans fil ou des serveurs de fichiers non Windows, vous aurez besoin de solutions complémentaires afin d’intégrer ces ressources à Active Directory. À long terme, cela finira par augmenter les coûts et réduire la productivité.
Alors que de nombreuses organisations passent au cloud, la possibilité d’utiliser des plateformes d’annuaire clouds modernes augmente. Celles-ci peuvent apporter de l’agilité aux organisations et leur permettre de réaliser d’importantes économies.
Existe-t-il des alternatives à AD ?
Oui, il existe quelques alternatives à Microsoft Active Directory. Tout dépend de ce que vous voulez. Certaines organisations considèrent la gestion manuelle des utilisateurs et des systèmes comme une alternative viable à AD. La gestion manuelle est faisable jusqu’à un certain point, mais elle n’est tout simplement pas évolutive.
Le concurrent conventionnel d’AD est OpenLDAP™. Il peut être considérer comme l’alternative open source à AD. Mais OpenLDAP n’est pas une vraie alternative à AD. Il s’agit d’un service d’annuaire, mais il ne rivalise pas avec AD, fonctionnalité par fonctionnalité, et le niveau global d’expertise technique pour configurer et maintenir une instance OpenLDAP est exigeant. Plus précisément, OpenLDAP n’aide pas à gérer les systèmes (par exemple, comme les capacités GPO d’AD).
Plus récemment, il existe des outils Web IAM qui offrent un certain degré d’IAM. Ce sont les SSO du monde entier, ainsi que des acteurs majeurs comme Google et sa plateforme Google Workspace pour les entreprises et les organisations. Cela dit, les approches de l’IAM basées sur les navigateurs ont toujours échoué lorsqu’il s’agit de l’ensemble des fonctionnalités des véritables services d’annuaire (c’est-à-dire la gestion des utilisateurs et des systèmes). Il serait exagéré d’appeler le SSO ou Google Workspace une alternative à AD, mais si vous êtes d’accord avec un ensemble de fonctionnalités limité, c’est possible.
Vous pouvez également envisager des solutions MDM. Là encore, elles offrent des fonctionnalités similaires à celles d’AD, mais ne constituent pas de véritables services d’annuaire. Elles peuvent gérer les systèmes, mais ont du mal à gérer les utilisateurs.
Enfin, il y a les services d’annuaire en cloud, illustrés par notre propre plateforme d’annuaire cloud. Pensez à JumpCloud comme à Active Directory et LDAP réimaginés pour l’informatique moderne. Les fonctionnalités multiples de JumpCloud comprennent la gestion robuste des systèmes basés sur les groupes pour laquelle les services d’annuaire sont reconnus en connectant en toute sécurité l’identité d’un utilisateur unique à son poste de travail (qu’il s’agisse de Windows, Mac ou Linux), ses fichiers, ses réseaux et ses applications – sans avoir besoin d’un contrôleur de domaine.
Vous cherchez toujours des réponses ? Qu’avons-nous oublié ?
Nous souhaitons que ce guide fasse autorité, alors si vous avez d’autres questions auxquelles nous n’avons pas répondu, n’hésitez pas à nous en faire part. Nous serons heureux de répondre à toutes autres questions sur les DA ou modifier une réponse si vous pouvez nous éclairer davantage sur l’une d’entre elles. Ainsi, nous pourrons vraiment faire de ce document une FAQ ultime.
Vous avez des questions sur JumpCloud ou sur les services d’annuaire cloud? Nous avons des réponses pour vous. Inscrivez-vous dès aujourd’hui pour un essai gratuit de 30 jours