Définition de domaine, arbre et forêt

Dans cette leçon, nous allons voir que l’infrastructure Active Directory fonctionne selon une hiérarchie.

Cette hiérarchie forme une arborescence composée de domaines, arbres et de forêt.

La compréhension de cette leçon va vous aider pour le reste du cours.

Domaine

Un domaine est entité logique (administrative) Active Directory au sein de laquelle des fonctionnalités et caractériques sont partagés.

Un domaine héberge des utilisateurs, ordinateurs dans lequel des paramètres de stratégies sont définis.

Représentation d’un domaine :

Représentation d'un domaine Active Directory

Arbre

Un arbre est représenté par un ensemble de domaine qui partage le même espace de nom. Un arbre est constitué d’un domaine racine parent de sous-domaine dans un espace de nom contigu et hiérarchique.

Chaque (sous-) domaine est une entité administrative qui a ses propres contrôleurs de domaine avec des utilisateurs, ordinateurs liés au domaine dont il est membre.

La partition configuration et schéma est commune à l’ensemble des domaines et les contrôleurs de la forêt partage un catalogue global.

Représentation d’un arbre :

Arbre Active Directory

Forêt

Une forêt et un regroupement de plusieurs domaines qui partage le même schéma et configuration de partition. Une forêt peut être constituée de plusieurs arbres qui ne partagent pas le même espace de nom.

Le premier domaine installé dans la forêt est le domaine racine

Représentation d’une forêt Active Directory :

Niveaux fonctionnels

La forêt et les domaines ont un niveau fonctionnel qui détermine les fonctionnalités actives.

Les différents niveaux fonctionnels disponibles avec Windows 2019 :

  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
  • Windows Server 2008

L’article : Niveaux fonctionnels de Windows Server sur le site de Microsoft liste l’ensemble des niveaux avec les nouveautés qui ont été apportées.

À l’exception de Windows Server 2019, chaque nouvelle version de Windows Server apportent un nouveau niveau de fonctionnel avec des nouvelles fonctionnalités à l’Active Directory.

Le niveau fonctionnel est souvent déterminé par le contrôleur de domaine qui à la version la plus ancienne.

Quand on ajoute un nouveau contrôleur de domaine dans un environnement existant, il faut vérifier la compatibilité des niveaux avec les versions de Windows Server, si on prend un environnement Active Directory existant et que les niveaux sont Windows Server 2003, il ne sera pas possible directement d’ajouter un contrôleur de domaine avec comme système d’exploitation Windows Server 2016 ou 2019.

Les niveaux fonctionnels peuvent être augmentés afin de pouvoir activer les nouvelles fonctionnalités et rendre l’environnement compatible avec les nouvelles versions de Windows Server.

Avant de faire une montée de version, il faut s’assurer que l’environnement est compatible car le retour arrière n’est pas possible.

Les 2 niveaux sont plus ou moins indépendant, il est possible d’avoir un niveau fonctionnel de la forêt et une autre version pour le domaine en respectant ceci :

  • Le niveau fonctionnel du domaine peut être supérieure à celui de la forêt.
  • Le niveau fonctionnel du domaine peut être inférieure à celui du niveau fonctionne la forêt.

Conclusion

La majorité des environnements Active Directory sont mono-domaine, ce qui fait le domaine et la forêt sont le même éléments.

Afin de garantir l’intégrité de l’environnement Active Directory et la disponibilité des services, il faut prévoir au minimum 2 contrôleurs de domaine par domaine. Si on prend l’exemple de la forêt ci-desus l’environnement doit comporter à minima 12 contrôleurs de domaine.