Le réel objectif d’une OU, ce pourquoi elles ont été créées, est de déléguer les tâches d’administration et les droits sur les objets d’Active Directory. Les Organization Unit sont des conteneurs administratifs. Elles contiennent des objets ayant les mêmes besoins administratifs.
Les unités d’organisation (OU) sont des éléments clés d’Active Directory (AD), le service d’annuaire de Microsoft. Elles ont deux fonctions principales : la première consiste à organiser les objets AD en hiérarchies logiques, tandis que la seconde est de déléguer les autorisations de gestion à des administrateurs locaux. Dans cet article, nous allons également aborder les différences entre un domaine, une arborescence de domaine et une forêt, ainsi que la manière de créer une nouvelle forêt Active Directory.
Un domaine est une unité de base d’AD, qui peut contenir des objets tels que des utilisateurs, des ordinateurs, des groupes, etc. Un ensemble de domaines peut être organisé en une arborescence de domaine, qui est une hiérarchie de domaines liés par des relations parent-enfant. Enfin, une forêt est un ensemble de domaines et d’arbres de domaines ayant une relation de confiance. Les forêts permettent aux utilisateurs de naviguer et d’accéder à des ressources dans des domaines différents en utilisant un seul nom d’utilisateur et un seul mot de passe.
La création d’une nouvelle forêt Active Directory nécessite des privilèges d’administrateur de domaine. Elle peut être réalisée à l’aide de l’Assistant Installation d’Active Directory, qui permet de définir le nom de la forêt, la fonctionnalité de niveau de forêt, le nom du premier domaine et les informations d’identification de l’administrateur du domaine.
Le protocole LDAP (Lightweight Directory Access Protocol) est utilisé pour interroger, modifier et ajouter des entrées dans AD. Il permet aux clients LDAP de rechercher des informations dans AD en utilisant des filtres de recherche et de récupérer des informations sur les objets AD tels que les utilisateurs, les ordinateurs, les groupes, etc. LDAP est utilisé par de nombreux outils d’administration tels que Active Directory Users and Computers, Active Directory Sites and Services ou encore Active Directory Administrative Center.
LDAP est principalement utilisé par les administrateurs système pour gérer les objets AD, mais il peut également être utilisé par les développeurs pour accéder aux informations stockées dans AD à partir de leurs applications.
LDAP est un protocole de communication standard utilisé pour accéder aux annuaires, tandis qu’Active Directory est un service d’annuaire développé par Microsoft qui utilise le protocole LDAP pour communiquer avec les clients LDAP. Active Directory fournit des fonctionnalités supplémentaires telles que la gestion des politiques de groupe, la gestion des certificats, la gestion des services de domaine et la réplication des données.
L’outil qui permet de décider quels serveurs sont catalogue global ou non est Active Directory Sites and Services.
Le catalogue global est stocké dans les unités d’organisation.
Le catalogue global est stocké par défaut dans l’unité d’organisation « Domaine ».