Est-il temps de repenser Active Directory ?

Rappelons rapidement les deux aspects qu’une conception d’annuaire doit prendre en considération. Le premier est la délégation, laquelle recouvre votre conception ou, plus spécifiquement, l’agencement de vos unités organisationnelles (OU).

Le deuxième aspect principal dans Active Directory est la prise en compte de vos besoins de stratégie de groupe. Le but est de faire en sorte qu’un nombre minimum d’objets de stratégie de groupe (GPO) réponde à tous vos besoins, quels qu’ils soient.

Malheureusement, ces deux aspects de la délégation et des objets GPO peuvent souvent se révéler contradictoires ou, du moins, ne pas être complémentaires. Des deux, la stratégie de groupe étant l’aspect complètement inséparable et celui qui ne se prête pas à l’abstraction, la majorité des conceptions Active Directory modernes tend à se focaliser sur le côté GPO de l’annuaire.

De son côté, la délégation peut être abstraite de l’annuaire au moyen d’outils tierce partie. Pour l’essentiel, au lieu de gérer la délégation dans Active Directory proprement dit, vous chargez l’outil de cette tâche.

Celui-ci, à son tour, vous procure une conception organisationnelle abstraite qui n’a pas besoin de correspondre parfaitement à la conception effective du domaine. Vous déléguez comme bon vous semble au sein de l’outil et celui-ci gère les permissions de bas niveau dans l’annuaire proprement dit.

Supposons que vous regardiez votre conception Active Directory existante avec une certaine aversion et que vous aimeriez la refondre. Cette approche peut avoir des conséquences significatives en termes de tracas pour les utilisateurs, de redéfinition des permissions, de travail d’administration et plus encore. La notion clé ici est « possibilité », car une restructuration ne doit pas nécessairement se faire dans la douleur. En fait, elle peut être complètement indolore.

Considérez d’abord votre conception existante. Si vous avez la structure de domaines et de forêts appropriée, mais que la structure d’OU n’est pas à la hauteur de vos besoins actuels, les choses se présentent bien. Le réagencement des OU est une partie de plaisir. Effectuez une bonne sauvegarde de l’annuaire, puis finalisez votre conception sur le papier et commencez le glisser-déplacer.

Toutefois, la plupart des refontes dont je m’occupe impliquent une modification de la conception de domaines et/ou de forêts sous-jacente : consolidation des domaines et forêts, déplacement vers une forêt entièrement nouvelle, etc.

Ces tâches sont plus ardues, en grande partie du fait de la « touche client ». Avec ce type de migration, les ID de sécurité utilisateur (SID) vont changer, d’où la nécessité de migrer les profils de poste de travail des utilisateurs, de redéfinir les permissions des serveurs de fichiers, de migrer les boîtes aux lettres Exchange, etc.

Ces tâches n’ont rien de trivial et, si elles sont exécutées manuellement, elles prennent énormément de temps et laissent beaucoup de place à l’erreur humaine (d’où des arrêts à la clé). Ces types de refonte sont envisagés de manière plus appropriée en tant que migrations. Une partie du problème tient simplement au fait que ces compétences de migration ne sont pas employées fréquemment dans votre environnement et qu’elles ne sont plus nécessaires une fois le projet terminé. Par conséquent, peu d’entreprises disposent d’emblée de l’expérience requise en interne.

Est-il temps de repenser Active Directory ?

Néanmoins, le terme « migration » constitue la clé de votre succès. Les mêmes sociétés qui ont créé les outils pour migrer de Windows NT vers Windows 2000 (et ont souvent concocté les outils compagnons pour gérer la migration Exchange) continuent de créer ces outils, voire les améliorent encore. Les grandes entreprises sont dans un état quasiment permanent de migration au vu de l’actuel rythme effréné des fusions et acquisitions, et elles mettent à profit ces outils de migration tierce partie pour alléger leur travail. Avec les outils appropriés, il est, pour une très large part, possible d’automatiser complètement une migration. Celle-ci peut littéralement être effectuée avec quelques clics de souris et les outils adaptés peuvent même annuler les étapes échouées. Vous pouvez alors être de nouveau en ligne rapidement et vous pencher sur ce qui a posé problème.

Le point crucial est que vous n’avez pas besoin de vous satisfaire d’un modèle Active Directory obsolète. La migration n’est pas forcément une étape douloureuse, qui va arrêter le fonctionnement de l’entreprise et mettre un terme à votre carrière. A condition d’avoir les bons outils, envisagez la migration comme un instrument de plus dans votre panoplie d’outils métiers stratégiques.