Souvent par défaut, parfois par choix mais toujours dans la douleur, Active Directory est fréquemment utilisé pour décrire la structure organique et les relations hiérarchiques au sein de l’entreprise, ses implantations géographiques.
Sur le fond, c’est une bonne idée, la sécurité est assurée et les APIS LDAP donnent un accès aisé aux informations.
La difficulté est donc de l’utiliser. Voyons donc où stocker les informations.
Le piège des « OU »
Les OU (Organizational Units) permettent dans un annuaire de regrouper des objets (et pas seulement des utilisateurs). Ils sont souvent compris à tort comme pouvant représenter un service, c’est clairement une erreur. Ils sont destinés à gérer des droits SUR les objets qu’ils contiennent et non pas POUR décrire une quelconque propriété de ces objets.
On peut éventuellement utiliser des Organizational Units pour segmenter les filiales d’une entreprise et éviter de créer plusieurs annuaires ou pour structurer des sites géographiques si cela a un sens fonctionnel (assistance utilisateur ou ressources partagées), mais cela doit avant tout être pour simplifier l’attribution de droits de gestion.
Les Organizational Units sont toutefois un des rares éléments de l’Active Directory à gérer une intégrité référentielle. Si vous détruisez l’Organizational Unit, vous détruisez son contenu, donc encore une raison pour ne pas en faire un conteneur organique, sinon gare aux comptes détruits.
Nous reviendrons plus loin sur l’absence de contrôle d’intégrité de la majorité des informations de l’Active Directory car c’est un point de vigilance important dans son exploitation.
>> La suite de l’article par ici – Construire son annuaire d’entreprise (partie 3)
La piste des groupes
Une autre solution serait d’utiliser les groupes. Théoriquement ils sont idéaux : une personne peut appartenir à plusieurs groupes et bien sûr un groupe peut contenir autant de membres que nécessaire.
Si le groupe disparaît les comptes ne sont pas détruits, si le compte est détruit, il sort du groupe.
Cela semble idéal mais en fait la lisibilité est complexe et en pratique personne n’utilise les groupes pour décrire la structure de l’entreprise.
>> Retour en première partie – Construire son annuaire d’entreprise
Étendre le schéma avec ses propres attributs
Si les champs standard ne suffisent pas pour décrire une organisation complexe, l’Active Directory permet de créer ses propres champs.
Pourquoi pas, mais honnêtement c’est se compliquer la vie pour peu. Il existe de nombreux champs disponibles dans l’Active Directory, et sauf cas extrême, ils permettent de décrire la grande majorité des situations.
D’autant qu’il faut se garder de créer des champs en conflit avec d’autres outils qui auraient la même idée, à commencer par ceux créés par Microsoft.
Et maintenant que l’on sait ce qu’il ne faut pas faire !
La première chose à faire est d’activer le mode avancé de l’Active Directory. Il permet d’éditer tous les champs, sans passer par l’interface standard qui n’en présente que certains. (Depuis la console « utilisateur et ordinateurs », choisir « Affichage » ou « View » et cocher « Fonctionnalités avancées » ou « Advanced features », le menu « éditeur d’attributs » apparaît alors dans le détail des objets AD.
Il faut ensuite recenser les champs existants et leur donner un usage sur la base de leur destination initiale et de leur nature.
Ce sera le sujet de la dernière partie de cette série d’articles.
Olivier Piochaud, Président Directeur Général d’Apsynet
