Au fur et à mesure que votre entreprise grandit, vous allez avoir besoin de gérer à la fois des utilisateurs et des ressources informatiques diverses, comme vos postes, vos progiciels ou vos fichiers. La nécessité d’avoir un outil permettant de lier vos utilisateurs à toutes ces ressources va vite apparaître. Heureusement, il existe une solution parfaite pour cela: l’Active Directory de Microsoft. VeryFrog vous emmène à la découverte de cet utilitaire incontournable.
L’Active Directory, un produit pour Windows
L’Active Directory (AD) est un produit Microsoft. Il permet de gérer, entre autres, des utilisateurs et des postes sous Windows. Vous l’aurez donc compris, il prend tout son sens dans un monde 100% Microsoft et Windows. Bien entendu, on peut gérer des systèmes MacOS et Linux avec un AD, mais toutes les fonctionnalités ne seront pas nécessairement disponibles, comme le déploiement automatique d’applications.
L’Active Directory est une fonctionnalité de Windows Server. Il vous faut donc un serveur, exécutant le système d’exploitation Windows Server pour bénéficier de l’outil. C’est là le seul pré-requis nécessaire à la mise en place d’un AD.
Une fois la fonctionnalité installée sur votre serveur, l’Active Directory définit un Domaine. C’est ce dernier qui va désormais représenter votre entreprise en englobant les utilisateurs, les postes et les ressources sous un seul nom: le Nom de Domaine (classiquement, le nom de votre entreprise). On inter-change régulièrement les termes Domaine et Active Directory tellement les 2 notions sont liées.
Gérer facilement vos postes et vos utilisateurs
Une fois votre Domaine créé, vous pouvez y déclarer vos utilisateurs et y intégrer vos postes. Ainsi, seuls les utilisateurs référencés dans l’Active Directory pourront se connecter aux postes de votre entreprises. De plus, en centralisant l’authentification via un AD, vous gérez facilement toute votre politique d’accès aux postes. Par exemple, vous pouvez forcer l’usage de mots de passe complexes pour vos utilisateurs. Vous pouvez également interdire à certains collaborateurs de se connecter sur certains postes sensibles de l’entreprise.
De plus, pour vous aider à mieux contrôler vos utilisateurs et vos postes, l’Active Directory fournit des Stratégies de Groupes (GPO). Ces dernières sont des règles qui permettent de d’influer sur le comportement des postes mais aussi de utilisateurs. Ainsi, vous pouvez verrouiller le logo de l’entreprise comme fond d’écran de vos postes. Vous pouvez, par exemple, interdire l’usage de clés USB sur les ordinateurs. Ou encore, vous pouvez forcer l’installation des mises à jours et les analyses antivirales. Les possibilités d’action sont extrêmement nombreuses. En fait, toutes les options de Windows peuvent être modifiées de manière centralisée par les stratégies de groupes.
Aussi, grâce aux GPO, l’Active Directory peut déployer des logiciels sur les postes sans intervention humaine. Ceci est est extrêmement pratique pour installer en masse vos progiciels et leurs mises à jour.
Ainsi, grâce à l’Active Directory, vous contrôler précisément ce qui se passe sur vos postes. Vous améliorez ainsi grandement la sécurité de votre système d’information. Effet collatéral appréciable: en limitant les actions utilisateurs sur vos postes via l’AD, vous rallongez significativement la durée de vie de ces derniers. Des économies en perspectives !
l’Active Directory : votre base d’identité
Un Active Directory ne doit pas se limiter pas à gérer des utilisateurs et des postes. Il doit devenir votre base d’identité numérique unique pour toute votre entreprises. Tous les accès à vos ressources informatiques doivent alors se faire à travers votre AD.
Tout d’abord, afin de simplifier la gestions des identités et des accès, l’Active Directory permet de réunir les utilisateurs et les postes dans des Groupes. En fait, il est d’usage de ne travailler qu’avec des groupes, même si cela doit aboutir à l’usage de groupe d'1 seule personne. Ces derniers permettent donc de rassembler les utilisateurs par thématique, par intérêt pour ensuite affecter des autorisations. On notera qu’un utilisateur peut appartenir à plusieurs groupes.
L’exemple le plus courant est l’accès aux fichiers. Vos fichiers d’entreprise sont probablement classés par fonctions: les fichiers de comptabilité, les fichiers commerciaux, les fichiers de production, …. Grâce à l’Active Directory, vous pouvez créer autant de groupes que vous avez de catégories de fichiers et ne donnez accès à ces fichiers qu’aux groupes d’utilisateurs concernés. Ainsi, les utilisateurs n’ont accès qu’aux ressources nécessaires à leur travail (voir la méthode Triple-0). De plus, il est facile de gérer les embauches et les départs des collaborateurs: il suffit de les retirer ou de les ajouter aux bons groupes.
L’Active Directory est également un serveur LDAP. Ce dernier est un protocole standard permettant de récupérer des informations sur des utilisateurs et des groupes au sein d’un annuaire. Comme c’est un protocole standardisé, il est implémenté par la plupart des applications. De ce fait, vous pouvez connecter vos logiciels à votre Active Directory et bénéficier d’une authentification unique au sein de votre système d’information. Fini les différents comptes pour vos progiciels, tout est centralisé dans l’Active Directory.
Enfin, l’Active Directory peut également se présenter sous la forme d’un serveur Radius. Ce dernier est particulièrement utilisé pour authentifier les accès réseaux. Grâce à cela, vous pouvez contrôler quels utilisateurs et quels postes se connectent à votre réseau d’entreprise. L’AD devient alors votre base centrale d’identité, qui contrôle les accès à vos ressources comme les fichiers, à vos logiciels, à vos postes mais aussi à votre réseau. Il est le socle de votre politique de sécurité informatique.
Des services supplémentaires
L’Active Directory embarque bien d’autres fonctionnalités que l’authentification. Mais un livre entier ne suffirait pas à les présenter. Néanmoins, attardons nous sur certaines d’entre elles.
Tout d’abord, en devenant la base unique d’identité numérique de votre entreprise, l’AD devient un élément sensible. Il faut donc le redonder pour ne pas bloquer votre entreprise en cas de panne matérielle. Heureusement, l’Active Directory est une solution nativement distribuée. Il suffit d’installer un autre serveur Active Directory sur votre réseau et d’y indiquer votre Domaine existant pour que, tout naturellement, les données de votre AD se répliquent sur ce nouveau serveur. Aussi, les modifications apportées sur n’importe quel serveur AD (appelé Contrôleur de Domaine) sont automatiquement synchronisées sur les autres contrôleurs. C’est donc très simple sécuriser son Active Directory contre les pannes.
Une fonctionnalité d’intérêt est la possibilité de construire une Infrastructure à Clés Publiques (PKI) avec l’AD. Ainsi, l’Active Directory peut générer des certificats pour vos utilisateurs, vos postes mais aussi vos ressources. Vous sécurisez donc facilement vos échanges, chiffrer sans effort vos données et authentifier fortement vos services grâce à l’AD. Plus d’excuse à maintenir des flux en clair sur votre réseau !
Enfin, sachez que tous les services offerts par un serveur Windows peuvent être authentifiés via l’Active Directory. Par exemple, en couplant le service d’impression de Windows Server avec l’AD, vous contrôler finement qui peut imprimer sur vos copieurs. En liant IIS (le serveur Web de Windows Server) à l’Active Directory, vous gérer les accès de vos utilisateurs à vos applicatifs Web et déployez facilement le protocole HTTPS grâce à la PKI de votre AD.
On le voit donc clairement, l’Active Directory est un must-have pour toute entreprise qui souhaite centraliser la gestion de ses ressources informatique et mettre en place une politique de sécurité robuste. N’hésitez pas à nous contacter si, vous aussi, vous souhaitez mettre en place un tel outil au sein de votre entreprise.