Upload
didataze
View
1.122
Download
1
Embed Size (px)
Citation preview
Active Directory
• Notion de groupe de travail
• Notion de domaine
• Structure logique de l’Active Directory
• Structure physique de l’Active Directory
• Les sites
• Arborescences et forêts
• Relation d’approbation
• Rôle du maître d’opération au niveau d’une forêt
• Rôle du maître d’opération au niveau d’une domaine
GROUPE DE TRAVAIL
• Un groupe de travail est un ensemble d’ordinateurs en réseau qui partagent leurs ressources. Chaque ordinateur possède sa propre base de données concernant les noms des utilisateurs, leur mot de passe et leur profil. On y trouve aussi bien des ordinateurs avec Windows 2003 Pro ou Windows 2003 Server.
• Un serveur Windows 2003 qui ne fait pas partie d’un domaine, est un serveur autonome
NOTION DE DOMAINE
• Un domaine windows 2003 est un groupe d’ordinateurs qui utilisent la même base de données d’annuaire centrale.
• Le contrôleur de domaine est un ordinateur qui contient un exemplaire de la base de données (Annuaire). Seuls les ordinateurs exécutant windows 2003 Server peuvent être contrôleur de domaine.
• Un serveur membre est un serveur qui fait partie du domaine, mais qui
n’est pas contrôleur de domaine.• Dans Windows NT4, il existe des contrôleurs de domaines
principaux et des contrôleurs de domaines secondaires. Dans windows 2003, tous les contrôleurs de domaine sont au même niveau.
• Les ordinateurs qui exécutent Windows version cliente sont les stations de ce domaine.
EXEMPLE DE DOMAINE
Figure 1 : Domaine Windows 2003.
Contrôleur de domaine
Contrôleur de domaine
Serveur membre
Ordinateurs clients
Domaine Windows 2003
Active Directory
Active Directory
Services d’Annuaire• Un annuaire est une base de données qui contient des informations sur les
différents objets et liens gérés au niveau du domaine
• Le service d’annuaire est un service du réseau qui permet d’utiliser l’annuaire : Active Directory est le service d’annuaire utilisé sur Windows 2003
• Active Directory utilise le système de noms de domaine DNS. Par conséquent, il doit exister un service DNS sur un des serveurs Windows 2003 Server du réseau.
• Active Directory utilise le protocole normalisé LDAP(Lightweight Directory Access
Protocol, ce qui permet d’accéder à d’autres services annuaires comme celui de Novell.
• Active Directory comprend l’annuaire qui stocke les informations relatives aux ressources réseau comme les données utilisateurs, les imprimantes, les serveurs, les bases de données, les groupes, les ordinateurs et les stratégies de sécurités. Toutes ces entités sont désignées sous le nom d’objets.
Structure logique d'Active Directory
• Un objet représente une entité gérée par Active Directory (ordinateur, groupes d'utilisateurs utilisateurs …).
• Chaque objet possède des propriétés appelées attributs. Par exemple les attributs d'un utilisateur sont : son nom, son prénom, son adresse, son e-mail, etc. ..
Structure physique de l’Active Directory
• Chaque contrôleur de domaine stocke une copie complète de toutes les informations Active Directory relatives au domaine.
• Une réplication (copie) de tous les objets d'un domaine se fait automatiquement
sur les autres contrôleurs du domaine.
Contrôleur de domaine Contrôleur de domaine Contrôleur de domaine
Réplication Réplication
Les sites• site est un ensemble de sous-réseaux IP. En
général, un site correspond à un réseau local. Si 2 réseaux locaux sont reliés par une liaison WAN, on crée 2 sites qui peuvent faire partie du même domaine ou non.
Exemple de site appartenant au même domaine
Domaine lepetit.com
Site 2Site 1
Exemple de site appartenant à des domaines différents
Domaine A
Domaine C
Domaine BDomaine D
SITE 1 SITE 2
Arborescence
Annuaire partagéActive Directory
Domaine parentdufour.com
Domaine enfantproduct.dufour.com
Domaine enfantmarkt.dufour.com
Approbation
Approbation
Approbation
Forêt
dumoulin.com
product.dumoulin.comproduct.dufour.commarcket.dufour.com marcket.dumoulin.com
Catalogue global
dufour.com
Relations d'approbation
• Les domaines d'une arborescence sont liés par des approbations transitives réciproques Kerberos. Cela signifie que tout utilisateur reconnu dans un domaine l'est automatiquement dans les autres domaines de l'arborescence. Kerberos est un protocole de sécurité utilisé sur Internet qui permet d'authentifier un utilisateur. Dans Kerberos V5 , les mots de passe en ligne sont encryptés.
Domaine A Domaine C
Domaine B
Relation d'approbation réciproque
Relation d'approbation réciproqueRelation d'approbation réciproque
CONFIGURATION DU CONROLUER DE DOMAINE
• Demarrer----- executer ---- dcpromo
• Votre contrôleur est la première machine d’un nouveau domaine
• Ce nouveau domaine est le domaine parent d’une nouvelle « arborescence »
de domaines, …
• Ce nouveau domaine est le domaine parent d’une nouvelle « arborescence » de domaines, …
… elle-même dans une nouvelle « forêt d’arborescences de domaines »
• Saisissez le nom du domaine Active Directory (exemple ENITE.MA)
Acceptez le nom NETBIOS du domaine (pour compatibilité avec WNT4 et W9x)
Acceptez les répertoires par défaut pour le stockage des fichiers de l’annuaire
• Sélectionnez « Autorisations compatibles uniquement avec les serveurs Windows 2003 » : ceci permettra de passer en mode « natif », pour bénéficier de toutes les fonctionnalités de Windows 2003. Le mode « mixte » restreint ces fonctionnalités, pour rester compatible avec Windows NT4 : il n’est utile que pour faire cohabiter Windows 2003 avec les anciennes versions.
« Mot de passe administrateur de Restauration des services d’annuaire » : ce que vous voulez. Il n’est utilisé que pour la maintenance d’Active Directory (ne pas le confondre avec le vrai compte administrateur du domaine)
• Fin de configuration de l’Active directory
• Configuration du contrôleur du domaine enfant• Dans la fenêtre « Créer une arborescence ou un domaine enfant », choisir
« Créer un nouveau domaine enfant dans une arborescence de domaine existante »
• Il faut donner le nom et le mot de passe du compte administrateur du domaine parent
•
Saisir le nom du domaine parente et enfant :
Le reste des étapes est identique à ceux de la configuration du domaine parent
Intégration d’un poste à un contrôleur de domaine
• cliquer sur « Poste de Travail », bouton droit Propriétés, puis sur l’anglet nom de l’ordinateur
• Cliquer sur le bouton modifier
• Cliquer sur le bouton domaine et saisir le nom du domaine
• Cliquer sur OK
• Un nom et un mot de passe reconnu par le domaine sera demandé pour terminer l’intégration
• Si tout passe bien le message suivant apparaît à l’écran
– BIEN VENUE DANS LE DOMAINE X
Intégration d’un contrôleur supplémentaire
• Dans l’outil configuration serveur, lancer l’assistant d’installation d’Active Directory
• L’assistant démarre , cliquer sur suivant
• Sélectionner l’option :
– Contrôleur de domaine supplémentaire pour un domaine existant
– Saisir– Nom utilisateur Administrateur
– Mot de passe ***************
– Domaine Nom de votre domaine
– Puis entrer le nom complet du domaine existant pour lequel ce serveur deviendra contrôleur de domaine supplémentaire
– Laisser l’emplacement de la base de données et du journal par défaut
– Saisir le mot de passe de restauration
– Un écran de copie de base apparaît pour être synchronisée
– Cliquer sur terminer puis redémarrer votre serveur
Sauvegarde de l’Active Directory
• Pour sauvegarde l’Active Directory :
• Démarrer --- programme --- accessoires --
Outils système --- utilitaire de sauvegarde
• Dans l’assistant de sauvegarde sélectionner :
Ne sauvegarder que les données sur l’état du système
Restauration de l’Active Directory• Pour sauvegarde l’Active Directory :
• Démarrer --- programme --- accessoires -- Outils système --- utilitaire de sauvegarde
• Cliquer sur l’assistant de restauration puis suivant
• Assurer que les connecteurs disques systèmes et État système , au moins sélectionnés
• Cliquer sur avancé puis assurez vous que vous restaurer les points de jonction , dans le cas échant le processus de restauration ne se déroulera pas correctement
• Dans la liste Restaurer les fichiers vers , cliquer sur Emplacement d’origine puis OK pour terminer le processus
• En fin le système va vous inviter à redémarrer votre ordinateur
• A l’invite du commandes , taper ntdsutil puis ENTREE
• Taper ensuite authoritative restore puis ENTREE
SUPPRESSION D’UN CONTROLEUR DU DOMAINE
• Ouvrir l’assistant de l’installation de l’active directory par dcpromo
• Dans la page de suppression cocher supprimer le contrôleur de domaine , dans le cas échéant cocher la case le serveur est le dernier contrôleur du domaine puis cliquer sur suivant
• Dans la page mot de passe , saisir le mot de passe de l’administrateur puis confirmer le
• Dans la page du résumé , passer en revue le résumé puis cliquer sur suivant