Upload
bedorlehacker
View
49
Download
0
Embed Size (px)
Citation preview
1
Architecture Active Directory
Système d'exploitation
Livre blanc
Résumé
Pour pouvoir utiliser le système d'exploitation Microsoft® Windows® 2000 Server le plus
efficacement possible, vous devez d'abord comprendre ce qu'est le service d'annuaire
Active Directory™. Ce nouveau service Windows 2000 tient un rôle majeur dans la mise
en œuvre du réseau de votre organisation et, par conséquent, dans la réalisation de vos
objectifs professionnels. Ce document présente Active Directory aux administrateurs
réseau, expose son architecture et décrit son mode de fonctionnement avec les
applications et les autres services d'annuaire.
Ce document s'appuie sur les informations disponibles à l'heure du lancement de la
version Bêta 3 de Windows 2000. Les informations fournies pourront faire l'objet de
modifications jusqu'au lancement de la version finale de Windows 2000 Server.
Introduction
La compréhension du service d'annuaire Active Directory™ est la première étape qui vous
permet de comprendre le fonctionnement de Windows® 2000 et la manière dont ce
système d'exploitation peut vous aider à atteindre les objectifs de votre entreprise. Ce
document s'intéresse à Active Directory sous trois perspectives différentes :
Stockage. Active Directory, le service d'annuaire de Windows 2000 Server,
enregistre sous la forme de hiérarchies les informations relatives aux objets du
réseau et met ces informations à la disposition des administrateurs, des
utilisateurs et des applications. La première section de ce document donne la
définition d'un service d'annuaire, décrit l'intégration du service Active Directory
avec le système DNS (Domain Name System) Internet et explique l'actualisation
de Active Directory lorsqu'un serveur est désigné en tant que contrôleur de
domaine1.
Structure. Active Directory permet d'organiser le réseau et ses objets à l'aide
d'entités telles que les domaines, les arborescences, les forêts, les relations
d'approbation, les unités d'organisation et les sites. La deuxième section de ce
document décrit la structure et la fonction de ces composants Active Directory,
ainsi que la manière dont cette architecture permet aux administrateurs de gérer
le réseau pour que les utilisateurs puissent atteindre leurs objectifs
professionnels.
Intercommunications. Comme Active Directory s'appuie sur des protocoles
d'accès aux annuaires standard, il peut fonctionner avec d'autres services
d'annuaire. De même, les applications tierces qui prennent en charge ces
protocoles peuvent accéder au service. La dernière section de ce document décrit les relations entre Active Directory et de nombreuses autres technologies.
Avantages offerts par Active Directory
L'introduction de Active Directory dans le système d'exploitation Windows 2000 apporte
les avantages suivants :
Intégration avec DNS. Active Directory utilise le système DNS (Domain Name
System). DNS est un service standard Internet qui convertit les noms d'ordinateur
lisibles par les utilisateurs (comme mon_ordinateur.microsoft.com) en adresses IP
(Internet Protocol) numériques lisibles par les ordinateurs (quatre numéros
2
séparés par des points). Ainsi, des processus s'exécutant sur des ordinateurs
inscrits dans des réseaux TCP/IP peuvent s'identifier et se connecter entre eux.
Flexibilité des requêtes. Les utilisateurs et les administrateurs peuvent utiliser
la commande Rechercher du menu Démarrer, l'icône Favoris réseau sur le
bureau ou le composant logiciel enfichable Utilisateurs et ordinateurs Active
Directory pour rechercher rapidement un objet sur le réseau sur la base de ses
propriétés. Par exemple, vous pouvez effectuer la recherche sur le prénom, le
nom, le nom de messagerie, l'emplacement du bureau ou d'autres propriétés du
compte d'utilisateur. L'utilisation du catalogue global optimise la recherche
d'informations.
Capacités d'extension. Active Directory est extensible. En d'autres termes, les
administrateurs peuvent ajouter de nouvelles classes d'objets au schéma et de
nouveaux attributs aux classes d'objets existantes. Le schéma contient une
définition de toutes les classes d'objets et de leurs attributs, qui peuvent être
enregistrés dans l'annuaire. Par exemple, vous pouvez ajouter un attribut
Autorisation d'achat à l'objet Utilisateur, puis enregistrer la limite d'autorisation
d'achat de chaque utilisateur dans son compte d'utilisateur.
Administration par stratégie. Les stratégies de groupe sont des paramètres de
configuration appliqués aux ordinateurs ou aux utilisateurs lors de leur
initialisation. Tous les paramètres de stratégie de groupe sont contenus dans les
objets Stratégie de groupe (GPO) appliqués aux sites, aux domaines ou aux
unités d'organisation Active Directory. Les paramètres GPO définissent l'accès aux
objets d'annuaire et aux ressources de domaine, les ressources de domaine (telles
que les applications) mises à la disposition des utilisateurs et la configuration de
ces ressources.
Adaptabilité. Active Directory inclut un ou plusieurs domaines, possédant chacun
un ou plusieurs contrôleurs de domaine, vous permettant d'adapter l'annuaire aux
conditions requises par le réseau. Plusieurs domaines peuvent être associés dans
une arborescence de domaines et plusieurs arborescences de domaines peuvent
être regroupées dans une forêt. La structure la plus simple possible, un réseau à
un seul domaine, est à la fois un arborescence unique et une forêt unique.
Réplication d'informations. Active Directory utilise la réplication multimaître,
qui vous permet de mettre à jour l'annuaire sur n'importe quel contrôleur de
domaine. Le déploiement de plusieurs contrôleurs de domaine dans un seul
domaine garantit la tolérance de pannes et l'équilibrage de charge. Si le
fonctionnement d'un contrôleur de domaine au sein d'un domaine ralentit, s'arrête
ou échoue, les autres contrôleurs du même domaine peuvent fournir un accès à
l'annuaire, étant donné qu'ils possèdent les mêmes données d'annuaire.
Sécurité des informations. La gestion de l'authentification des utilisateurs et le
contrôle d'accès, tous deux entièrement intégrés dans Active Directory, sont les
fonctionnalités de sécurité clés du système d'exploitation Windows 2000. Active
Directory centralise l'authentification. Le contrôle d'accès peut être défini non
seulement sur chaque objet de l'annuaire, mais aussi sur chaque propriété de ces
objets. En outre, Active Directory fournit à la fois le stockage et l'étendue
d'application des stratégies de sécurité. (Pour plus d'informations sur
l'authentification d'ouverture de session et le contrôle d'accès Active Directory,
voir la section « Pour plus d'informations » à la fin de ce document.)
Interopérabilité. Comme Active Directory s'appuie sur des protocoles d'accès
aux annuaires standard, tels que LDAP (Lightweight Directory Access Protocol), il
peut fonctionner avec d'autres services d'annuaire utilisant ces protocoles.
Plusieurs interfaces de programmation d'applications (API), telles que l'interface
ADSI (Active Directory Service Interface), permettent aux développeurs d'accéder à ces protocoles.
À la fin de ce document, l'annexe A, « Outils », présente les outils logiciels qui vous
permettent d'exécuter les tâches associées à Active Directory.
3
Service d'annuaire Active Directory
Avant d'aborder les sections principales de ce document (l'architecture de Active
Directory et son interopérabilité), cette section préliminaire analyse rapidement Active
Directory sous deux perspectives très différentes :
La première considère Active Directory sous sa forme la plus abstraite, c'est-à-
dire un espace de noms intégré au système DNS (Domain Name System)
Internet.
La seconde consiste à voir Active Directory sous sa forme la plus banale, c'est-à-dire un logiciel qui transforme un serveur en contrôleur de domaine.
Dans le contexte d'un réseau d'ordinateurs, un annuaire (aussi appelé un magasin de
données) est une structure hiérarchique permettant de stocker les informations sur les
objets du réseau. Ces objets comprennent les ressources partagées comme les serveurs,
les volumes partagés et les imprimantes, les comptes d'utilisateur et d'ordinateur réseau,
ainsi que les domaines, les applications, les services, les stratégies de sécurité et à peu
près tout ce qui reste sur votre réseau. Les informations qu'un annuaire de réseau peut
stocker pour un compte d'utilisateur sur un type particulier d'objet sont en général le
nom d'utilisateur, le mot de passe, l'adresse de messagerie, le numéro de téléphone, etc.
Un service d'annuaire diffère d'un annuaire en ce qu'il constitue à la fois la source
d'informations et les services rendant ces informations disponibles et exploitables aux
administrateurs, aux utilisateurs, aux services réseau et aux applications. Idéalement, un
service d'annuaire rend la topologie du réseau physique et les protocoles (formats de
transmission des données entre deux périphériques) transparents, de sorte qu'un
utilisateur peut accéder à toute ressource sans savoir où et comment elle est connectée
physiquement. Pour reprendre l'exemple du compte d'utilisateur, c'est le service
d'annuaire qui permet aux autres utilisateurs autorisés sur le même réseau d'accéder aux
informations enregistrées (comme par exemple une adresse de messagerie) sur l'objet
Compte d'utilisateur.
Les services d'annuaire prennent en charge une large palette de fonctionnalités. Certains
sont intégrés à un système d'exploitation et d'autres sont des applications, telles que les
annuaires de messagerie. Les services d'annuaire de système d'exploitation, comme
Active Directory, permettent de gérer des utilisateurs, des ordinateurs et des ressources
partagées. Les services d'annuaire qui prennent en charge la messagerie électronique,
comme Microsoft Exchange, permettent aux utilisateurs de rechercher d'autres
utilisateurs et de leur envoyer des messages.
Active Directory, le nouveau service d'annuaire central du système d'exploitation
Windows 2000 Server, s'exécute uniquement sur des contrôleurs de domaine. Active
Directory ne fournit pas seulement un emplacement de stockage de données et de
services permettant de rendre ces données accessibles , mais protège également les
objets du réseau contre les accès non autorisés et réplique les objets pour éviter toute
perte de données lors de l'échec d'un contrôleur de domaine.
Intégration de DNS dans Active Directory
Active Directory et DNS sont deux espaces de noms. Toute zone délimitée, au sein de
laquelle un nom donné peut être résolu, constitue un espace de noms. La résolution de
nom consiste à passer d'un nom à l'objet ou l'information que ce nom représente. Un
annuaire téléphonique constitue un espace de noms dans lequel les noms des abonnés
peuvent être résolus en numéros de téléphone. Le système de fichiers NTFS de
Windows 2000 constitue un espace de noms dans lequel le nom d'un fichier peut être
résolu pour obtenir le fichier lui-même.
DNS et Internet
4
Pour comprendre comment Windows 2000 utilise les espaces de noms Active Directory et
DNS, il convient de s'intéresser à quelques éléments de base du système DNS lui-même
et à ses relations avec Internet et le protocole TCP/IP. Internet est un réseau TCP/IP. Les
protocoles de communication TCP/IP permettent de connecter des ordinateurs et de les
laisser transmettre des données sur les réseaux. Chaque ordinateur sur Internet ou sur
tout autre réseau TCP/IP (un réseau Windows, par exemple) possède une adresse IP.
DNS localise les hôtes TCP/IP (ordinateurs) en traduisant les noms d'ordinateur que les
utilisateurs comprennent en adresses IP compréhensibles pour les ordinateurs. Les
adresses IP sur Internet sont gérées à l'aide de la base de données DNS distribuée
globalement, mais DNS peut également être mis en œuvre localement pour gérer les
adresses sur des réseaux TCP/IP privés.
DNS, organisé en une arborescence de domaines, fait d'Internet un espace de noms
unique. DNS possède plusieurs domaines de premier niveau, subdivisés en domaines de
second niveau. La racine de l'espace de noms du domaine Internet est gérée par une
autorité Internet (actuellement, InterNIC, le centre d'informations du réseau Internet)
responsable de la délégation des responsabilités d'administration des domaines de
premier niveau de l'espace de noms DNS et de l'enregistrement des noms de domaines
de second niveau. Les domaines de premier niveau sont les domaines commerciaux
(.com), éducatifs (.edu), gouvernementaux (.gov), etc. En-dehors des États-Unis, des
codes de pays/région à deux lettres sont utilisés, comme par exemple .fr pour la France.
Les domaines de second niveau représentent des espaces de noms auxquels sont inscrits
de manière formelle des institutions (et des utilisateurs individuels) pour bénéficier d'une
présence sur Internet. La figure 1 montre comment un réseau d'entreprise se connecte à
l'espace de noms DNS d'Internet.
Figure 1. Intégration de l'espace de noms DNS d'Internet par Microsoft
Intégration des espaces de noms DNS et Active Directory
L'intégration de DNS et de Active Directory représente une fonctionnalité centrale de
Windows 2000 Server. Les domaines DNS et Active Directory utilisent des noms de
domaines identiques. Comme les deux espaces de noms partagent une structure de
domaines identique, il est important de bien comprendre qu'ils ne représentent pas le
même espace de noms. Chacun d'eux enregistre des données différentes et gère ainsi
des objets différents. DNS stocke les enregistrements de ressources et de zones2 ; Active
Directory stocke ses domaines et leurs objets.
5
Les noms de domaines DNS s'appuient sur la structure de noms hiérarchique DNS, qui
est une arborescence inversée : un domaine racine unique, sous lequel peuvent se
trouver des domaines parents ou enfants (les branches et les feuilles). Par exemple, un
nom de domaine Windows 2000 tel que enfant.parent.microsoft.com fait référence à un
domaine nommé enfant, qui est un domaine enfant du domaine nommé parent, lui-
même enfant du domaine microsoft.com.
Chaque ordinateur d'un domaine DNS est identifié de manière unique par son nom de
domaine complet. Le nom de domaine complet d'un ordinateur situé dans le domaine
enfant.parent.microsoft.com est nom_de_l'ordinateur.enfant.parent.microsoft.com.
Chaque domaine Windows 2000 possède un nom DNS (par exemple, NomOrg.com) et
tous les ordinateurs Windows 2000 aussi (par exemple, ServeurCompt.NomOrg.com).
Ainsi, les domaines et les ordinateurs sont tous représentés comme des objets Active
Directory et comme des nœuds DNS (dans la hiérarchie DNS, un nœud représente un
domaine ou un ordinateur).
DNS et Active Directory utilisent tous deux une base de données pour la résolution des
noms.
DNS est un service de résolution de noms. DNS résout les noms de domaines
et les noms d'ordinateurs en renvoyant les adresses IP via les demandes reçues
par les serveurs DNS en tant que requêtes sur la base de données DNS. Plus
précisément, les clients DNS envoient des requêtes de noms DNS à leur serveur
DNS configuré. Le serveur DNS reçoit la requête de nom et la résout par
l'intermédiaire de fichiers enregistrés localement ou consulte un autre serveur
DNS pour la résolution. DNS n'a pas besoin de Active Directory pour fonctionner.
Active Directory est un service d'annuaire. Il résout les noms d'objets de
domaine en renvoyant des enregistrements d'objets par l'intermédiaire de
demandes de modification ou de recherche LDAP (Lightweight Directory Access
Protocol)3 reçues par les contrôleurs de domaine et qui s'appliquent à la base de
données Active Directory. En d'autres termes, les clients Active Directory utilisent
LDAP pour envoyer des requêtes aux serveurs Active Directory. Pour localiser un
tel serveur, un client Active Directory interroge DNS. Active Directory utilise donc
DNS comme service localisateur, pour résoudre les noms de domaines, de sites et
de services et renvoyer des adresses IP. Par exemple, pour se connecter à un
domaine Active Directory, un client peut demander à son serveur DNS l'adresse IP
du service LDAP en cours d'exécution sur un contrôleur de domaine d'un domaine
spécifié. Active Directory requiert DNS.
Dans la pratique, les espaces de noms DNS et Active Directory d'un environnement
Windows 2000 diffèrent dans la mesure où l'enregistrement d'hôte DNS représentant un
ordinateur spécifique d'une zone DNS se trouve dans un autre espace de noms que
l'objet Compte d'ordinateur du domaine Active Directory représentant le même
ordinateur.
En résumé, Active Directory est intégré à DNS de différentes manières :
Les domaines Active Directory et DNS sont organisés sous des structures
hiérarchiques identiques. Bien qu'ils diffèrent et soient mis en œuvre
différemment pour des objectifs distincts, les espaces de noms d'une organisation
pour ces deux types de domaines ont une structure identique. Par exemple,
microsoft.com est à la fois un domaine DNS et un domaine Active Directory.
Les zones DNS peuvent être enregistrées dans Active Directory. Si vous
utilisez le service DNS de Windows 2000, les zones principales peuvent être
enregistrées dans Active Directory pour être répliquées vers d'autres contrôleurs
de domaine Active Directory et pour assurer une meilleure sécurité du service
DNS.
Les clients Active Directory utilisent DNS pour localiser les contrôleurs de
domaine. Dans le cas d'un domaine particulier, les clients Active Directory demandent à leur serveur DNS les enregistrements de ressources spécifiques.
6
Active Directory et l'espace de noms DNS global
Active Directory a été conçu pour exister au sein de l'espace de noms DNS global
d'Internet. Lorsqu'une organisation équipée du système d'exploitation réseau
Windows 2000 Server souhaite être présente sur Internet, l'espace de noms Active
Directory est conservé sous la forme d'un ou de plusieurs domaines hiérarchiques
Windows 2000 au-dessous d'un domaine racine enregistré comme espace de noms DNS.
(L'organisation peut choisir de ne pas faire partie de l'espace de noms DNS global
d'Internet, mais le service DNS sera toujours requis pour localiser les ordinateurs
Windows 2000.)
Selon les conventions d'affectation des noms DNS, chaque partie séparée par un point (.)
représente un nœud dans l'arborescence DNS et un nom de domaine Active Directory
potentiel dans l'arborescence des domaines Windows 2000. Comme l'illustre la figure 2,
la racine de l'arborescence DNS est un nœud de nom nul (« »). La racine de l'espace de
noms Active Directory (la racine de la forêt) n'a pas de parent et fournit le point d'entrée
LDAP dans Active Directory.
Figure 2. Comparaison des racines des espaces de noms DNS et Active Directory
Enregistrements de ressources SRV et mises à jour dynamiques
DNS existe indépendamment de Active Directory, tandis que ce dernier a spécialement
été conçu pour utiliser DNS. Pour qu'Active Directory fonctionne correctement, les
serveurs DNS doivent prendre en charge les enregistrements des ressources SRV4
(Emplacement du service). Ces enregistrements mappent le nom d'un service en
renvoyant le nom d'un serveur offrant ce service. Les clients et les contrôleurs de
domaine Active Directory utilisent les enregistrements des ressources SRV pour
déterminer les adresses IP des contrôleurs de domaine.
Remarque Pour plus d'informations sur la planification du déploiement de serveurs DNS
comme support de vos domaines Active Directory, et sur d'autres problèmes liés au
déploiement, voir le Guide de planification du déploiement de Microsoft Windows 2000
Server dans la section « Pour plus d'informations » de ce document.
Les serveurs DNS d'un réseau Windows 2000 doivent prendre en charge les
enregistrements de ressources SRV, mais Microsoft recommande également la prise en
charge des mises à jour dynamiques DNS5. Celles-ci définissent un protocole de mise à
jour d'un serveur DNS avec de nouvelles valeurs ou des valeurs modifiées. Sans ce
protocole, les administrateurs doivent configurer manuellement les enregistrements créés
par les contrôleurs de domaine et enregistrés par les serveurs DNS.
Le nouveau service DNS de Windows 2000 prend en charge à la fois les enregistrements
de ressources SRV et les mises à jour dynamiques. Si vous voulez utiliser un serveur
DNS non Windows 2000, vous devez vous assurer qu'il prend en charge les
enregistrements de ressources SRV ou effectuer sa mise à niveau vers une version qui
les prend en charge. Dans le cas d'un serveur DNS hérité de ce type mais ne prenant pas
en charge les mises à jour dynamiques, vous devez mettre les enregistrements de
ressources à jour manuellement lorsque vous définissez un serveur Windows 2000
comme contrôleur de domaine. Pour ce faire, utilisez le fichier Netlogon.dns (situé dans
le dossier %systemroot%\System32\config), créé par l'Assistant Installation de Active
Directory.
Création de contrôleurs de domaine à l'aide de Active Directory
La mise en œuvre et l'administration d'un réseau sont des tâches concrètes. Pour
comprendre comment Active Directory fonctionne dans la pratique, vous devez d'abord
savoir que son installation sur un ordinateur Windows 2000 Server a pour effet de
transformer le serveur en contrôleur de domaine. Un contrôleur de domaine ne peut
héberger qu'un seul domaine.
7
Plus précisément, il s'agit d'un ordinateur Windows 2000 Server, configuré à l'aide de
l'Assistant Installation de Active Directory, qui installe et configure les composants
permettant aux utilisateurs et aux ordinateurs du réseau d'utiliser les services d'annuaire
Active Directory. Les contrôleurs de domaine enregistrent les données d'annuaire du
domaine (comme les stratégies de sécurité système et les données d'authentification de
l'utilisateur) et gèrent les interactions entre domaines, y compris les processus
d'ouverture de session, d'authentification et de recherche dans l'annuaire.
La définition d'un serveur comme contrôleur de domaine à l'aide de l'Assistant
Installation de Active Directory entraîne la création d'un domaine Windows 2000 ou
l'ajout de contrôleurs de domaine supplémentaires à un domaine existant.
Cette section décrit les contrôleurs de domaine Active Directory et leur rôle sur le réseau.
Avec l'introduction de Active Directory, les contrôleurs de domaine Windows 2000
fonctionnent comme des homologues. Le concept de rôles supérieur-subordonné des
contrôleurs de domaine principaux (PDC) et secondaires (BDC) Windows NT Server est
donc abandonné. Les contrôleurs de domaine prennent en charge la réplication
multimaître et répliquent les informations Active Directory entre tous les contrôleurs de
domaine. L'introduction de la réplication multimaître permet aux administrateurs
d'effectuer des mises à jour Active Directory sur n'importe quel contrôleur de domaine
Windows 2000 du domaine. Dans Windows NT Server, seul le contrôleur PDC dispose
d'une copie en lecture et écriture de l'annuaire ; il réplique ensuite une copie en lecture
seule des informations d'annuaire vers les contrôleurs BDC. (Pour des informations plus
détaillées sur la réplication multimaître, voir la section « Réplication multimaître ».)
La mise à niveau du système d'exploitation vers Windows 2000 à partir d'un domaine
existant peut s'effectuer par étapes, de la manière qui vous convient le mieux. Lorsque le
premier contrôleur de domaine d'une nouvelle installation est créé, plusieurs entités sont
automatiquement chargées en même temps qu'Active Directory. Les sous-sections
suivantes développent les deux aspects différents de l'installation d'un contrôleur de
domaine Active Directory sur un nouveau réseau :
Le premier contrôleur de domaine est un serveur de catalogue global.
Le premier contrôleur de domaine joue le rôle de maître d'opérations.
Catalogue global
Le système d'exploitation Windows 2000 introduit le catalogue global, une base de
données conservée sur un ou plusieurs contrôleurs de domaine. Il joue un rôle majeur
dans la connexion des utilisateurs et le mécanisme des requêtes.
Par défaut, un catalogue global est créé automatiquement sur le contrôleur de domaine
initial de la forêt Windows 2000 et chaque forêt doit en posséder au moins un. Si vous
utilisez plusieurs sites, vous voudrez peut-être affecter un contrôleur de domaine comme
catalogue global sur chaque site, car un tel catalogue est nécessaire pour terminer le
processus d'authentification d'ouverture de session (il détermine le groupe
d'appartenance d'un compte) dans le cadre des domaines en mode natif. Les domaines
en mode mixte, par contre, ne nécessitent aucune requête de catalogue global pour
l'ouverture de session.
Une fois que des contrôleurs de domaine supplémentaires ont été installés dans la forêt,
vous pouvez changer l'emplacement par défaut du catalogue global en précisant un autre
contrôleur de domaine à l'aide de l'outil Sites et services Active Directory. Si vous le
souhaitez, vous pouvez configurer un contrôleur de domaine quelconque pour héberger
un catalogue global, selon les besoins de votre organisation en matière de demandes
d'ouverture de session et de recherche. Plus il y a de serveurs de catalogue global, plus
la réponse aux demandes de l'utilisateur est rapide ; en contrepartie, l'activation de
nombreux contrôleurs de domaine comme serveurs de catalogue global augmente le
trafic réseau de réplication.
Le catalogue global joue un rôle dans deux processus clés de Active Directory, l'ouverture
de session et le traitement des requêtes :
8
Ouverture de session. Dans un domaine en mode natif, le catalogue global
permet aux clients Active Directory d'ouvrir une session sur le réseau en
fournissant à un contrôleur de domaine les informations d'appartenance aux
groupes universels6 du compte qui envoie la demande d'ouverture de session. En
fait, les utilisateurs mais aussi tous les objets s'authentifiant à Active Directory
doivent référencer le serveur de catalogue global, y compris les ordinateurs en
cours de démarrage. Dans une installation à plusieurs domaines, au moins un
contrôleur de domaine détenant le catalogue global doit être en cours d'exécution
et disponible pour que les utilisateurs puissent ouvrir une session. Un serveur de
catalogue global doit également être disponible lorsqu'un utilisateur ouvre une
session en précisant un nom UPN (nom utilisateur principal) non défini par défaut.
(Pour plus d'informations sur l'ouverture de session, voir la section « Noms
d'ouverture de session : noms UPN et noms de comptes SAM ».)
Si aucun catalogue global n'est disponible lorsqu'un utilisateur initialise un
processus d'ouverture de session sur le réseau, l'utilisateur ne peut se connecter
qu'à l'ordinateur local (et non au réseau). L'unique exception à cette règle
concerne les utilisateurs membres du groupe des administrateurs de domaines,
qui sont en mesure d'ouvrir une session sur le réseau même si aucun catalogue global n'est disponible.
Traitement des requêtes. Dans une forêt contenant de nombreux domaines, le
catalogue global permet aux clients d'effectuer des recherches rapides et aisées
sur l'ensemble des domaines, sans avoir à parcourir chaque domaine individuel. Il
rend les structures de répertoires d'une forêt transparentes aux utilisateurs finaux
à la recherche d'informations. La majorité du trafic réseau correspond au
traitement des requêtes : les informations demandées par les utilisateurs, les
administrateurs et les programmes sur les objets d'annuaire. L'annuaire est
soumis à davantage de requêtes que de mises à jour. Pour améliorer le temps de
réponse aux utilisateurs qui recherchent des informations dans l'annuaire, vous
pouvez affecter plusieurs contrôleurs de domaine comme serveurs de catalogue
global. Il convient toutefois de trouver un juste équilibre car cette opération peut également augmenter le trafic réseau de réplication.
Rôles de maître d'opérations
La réplication multimaître entre contrôleurs de domaine homologues est impossible pour
certains types de modifications. Seul un contrôleur de domaine, le maître d'opérations,
accepte les demandes de modification de ce genre. Comme la réplication multimaître
joue un rôle important dans les réseaux Active Directory, il est essentiel que vous
connaissiez ces exceptions. Dans toute forêt Active Directory, le contrôleur de domaine
initial se voit assigner au moins cinq rôles différents de maître d'opérations pendant
l'installation.
Lorsque vous créez le premier domaine d'une nouvelle forêt, les cinq rôles sont assignés
automatiquement au premier contrôleur de ce domaine. Dans une forêt Active Directory
de petite taille contenant un seul domaine et un seul contrôleur de domaine, ce dernier
tiendra tous les rôles de maître d'opérations. Dans un réseau de plus grande taille, d'un
ou de plusieurs domaines, vous pouvez réattribuer ces rôles à un ou à plusieurs autres
contrôleurs de domaine. Certains rôles doivent être tenus dans chaque forêt, d'autres
dans chaque domaine d'une forêt.
Les deux rôles suivants doivent être uniques au niveau d'une forêt, ce qui signifie que
seul l'un des deux peut être appliqué sur l'ensemble d'une forêt :
Contrôleur de schéma. Le contrôleur de domaine qui tient le rôle de contrôleur
de schéma contrôle toutes les mises à jour et les modifications appliquées au
schéma. Le schéma définit chaque objet (et ses attributs) qui peut être enregistré
9
dans l'annuaire. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès
au contrôleur de schéma.
Maître d'affectation de nom de domaine. Le contrôleur de domaine qui tient le
rôle de maître d'affectation de nom de domaine contrôle l'ajout et la suppression
de domaines dans la forêt.
Les trois rôles suivants doivent être uniques au niveau de chaque domaine. Seul un rôle
peut être tenu par domaine dans la forêt :
Maître RID (Relative ID). Le maître RID alloue des séquences d'identificateurs
relatifs (RID) à chaque contrôleur de son domaine. Chaque fois qu'un contrôleur
de domaine crée un objet Utilisateur, Groupe ou Ordinateur, il attribue à
l'objet un identificateur unique de sécurité (SID). Cet identificateur est composé
d'un identificateur de sécurité de domaine (identique pour tous les SID créés dans
le domaine) et d'un identificateur relatif (unique pour chaque SID créé dans le
domaine). Lorsque le contrôleur de domaine a épuisé son pool de RID, il en
demande un autre au maître RID.
Émulateur PDC. Si le domaine contient des ordinateurs fonctionnant sans le
logiciel client Windows 2000 ou des contrôleurs de domaine secondaires Windows
NT, l'émulateur PDC (Primary Domain Controller) agit comme un contrôleur de
domaine principal Windows NT. Il traite les changements de mots de passe client
et réplique les mises à jour vers les contrôleurs BDC. L'émulateur PDC reçoit la
réplication préférentielle des changements de mots de passe effectués par
d'autres contrôleurs du domaine. En cas d'échec d'authentification d'ouverture de
session au niveau d'un autre contrôleur de domaine en raison d'un mot de passe
incorrect, le contrôleur transmet la demande d'authentification à l'émulateur PDC
avant de rejeter la tentative d'ouverture de session.
Maître d'infrastructure. Le maître d'infrastructure est responsable de la mise à
jour de toutes les références croisées des domaines lors du déplacement d'un
objet référencé par un autre. Par exemple, chaque fois que des membres de
groupes sont renommés ou modifiés, le maître d'infrastructure met à jour les
références des groupes aux utilisateurs. Lorsque vous renommez ou déplacez un
membre d'un groupe (et que ce membre réside dans un autre domaine que le
groupe), le groupe risque de ne pas contenir ce membre temporairement. Le
maître d'infrastructure du domaine du groupe en question est responsable de la
mise à jour du groupe, qui connaît ainsi le nouveau nom ou le nouvel emplacement du membre.
Le maître d'infrastructure distribue la mise à jour par réplication multimaître.
N'attribuez pas ce rôle au contrôleur de domaine qui héberge le catalogue global,
à moins que le domaine ne contienne qu'un seul contrôleur. Si vous procédez
ainsi, le maître d'infrastructure ne fonctionnera pas. Si tous les contrôleurs d'un
domaine hébergent le catalogue global (même s'il n'existe qu'un seul contrôleur
de domaine), ils disposent tous des données actualisées et le rôle de maître d'infrastructure n'est pas indispensable.
10
Architecture Active Directory (2ème partie)
Architecture
L'installation d'un contrôleur de domaine Active Directory crée simultanément le domaine
Windows 2000 initial ou ajoute le nouveau contrôleur à un domaine existant. Comment
les contrôleurs de domaine et les domaines s'inscrivent-ils dans l'architecture globale du
réseau ?
Cette section détaille les composants d'un réseau Active Directory et leur organisation.
En outre, elle décrit comment déléguer la responsabilité d'administration d'unités
d'organisation, de domaines ou de sites aux personnes appropriées et comment assigner
des paramètres de configuration à ces trois conteneurs Active Directory. Cette section
comprend les rubriques suivantes :
Objets (y compris le schéma)
Conventions d'affectation de nom d'objet (dont les noms des entités de sécurité,
les SID, les noms LDAP, les GUID d'objets et les noms d'ouverture de session)
Publication d'objets
Domaines (y compris les arborescences, les forêts, les approbations et les unités
d'organisation)
Sites (y compris la réplication)
Application de la délégation et des stratégies de groupe aux unités d'organisation, aux domaines et aux sites
Objets
Les objets Active Directory sont des éléments qui constituent un réseau. Un objet est un
ensemble d'attributs nommé et circonscrit qui représente un élément concret, comme un
utilisateur, une imprimante ou une application. Lorsque vous créez un objet Active
Directory, certains de ses attributs sont paramétrés automatiquement et d'autres vous
sont demandés. Par exemple, si vous créez un objet Utilisateur, Active Directory fournit
l'identificateur globalement unique (GUID, Globally Unique Identifier) tandis que vous
fournissez les valeurs d'attributs tels que le prénom et le nom de l'utilisateur,
l'identificateur d'ouverture de session, etc.
Schéma
Le schéma est une description des classes d'objet (différents types d'objet) et de leurs
attributs. Le schéma définit les attributs que chaque classe d'objet doit posséder, les
attributs supplémentaires dont elle doit disposer et la classe d'objet dont elle peut être
l'enfant. Chaque objet Active Directory est une instance d'une classe d'objet. Chaque
attribut est défini une seule fois mais peut être utilisé dans plusieurs classes. C'est le cas,
par exemple, de l'attribut Description, qui est utilisé dans de nombreuses classes
différentes.
Le schéma est enregistré dans Active Directory. Les définitions du schéma sont elles-
mêmes enregistrées comme objets (les objets Schéma de classe et Schéma d'attributs).
Active Directory peut ainsi gérer les objets de classe et d'attribut comme les autres
objets d'annuaire.
Les applications qui créent ou modifient des objets Active Directory utilisent le schéma
pour déterminer les attributs que l'objet doit posséder et à quoi ces attributs peuvent
ressembler en termes de structure des données et de contraintes de syntaxe.
Les objets sont soit des objets conteneurs, soit des objets feuilles (également appelés
objets non-conteneurs). Les objets conteneurs stockent d'autres objets, alors que les
11
objets feuilles, non. Par exemple, un dossier est un objet conteneur de fichiers, qui sont
eux-mêmes des objets feuilles.
Chaque classe d'objet du schéma Active Directory possède des attributs qui
garantissent :
l'identification unique de chaque objet d'un magasin de données d'annuaire ;
la compatibilité pour les entités de sécurité (utilisateurs, ordinateurs ou groupes)
avec les identificateurs de sécurité (SID) utilisés dans les systèmes d'exploitation
Windows NT 4.0 et antérieurs ; la conformité aux normes LDAP en matière de noms d'objets d'annuaire.
Attributs du schéma et requêtes
L'outil Schéma Active Directory permet de marquer un attribut comme indexé. Cela a
pour effet d'ajouter toutes les instances de cet attribut à l'index et non pas seulement
celles qui sont membres d'une classe particulière. L'indexation d'un attribut permet de
retrouver plus rapidement les objets possédant cet attribut.
Vous pouvez également inclure des attributs dans le catalogue global. Ce dernier contient
un ensemble d'attributs par défaut pour chaque objet de la forêt, mais vous pouvez en
ajouter d'autres. Les utilisateurs et les applications utilisent le catalogue global pour
localiser des objets dans une forêt. Ajoutez-y uniquement des attributs possédant les
caractéristiques suivantes :
Utilité globale. L'attribut doit pouvoir servir à localiser des objets (même pour
un accès en lecture, seulement) sur l'ensemble d'une forêt.
Non-volatilité. L'attribut ne doit pas changer, ou bien très rarement. Les
attributs d'un catalogue global sont répliqués vers tous les autres catalogues
globaux de la forêt. Si l'attribut change souvent, le trafic de réplication augmente
de manière significative.
Petite taille. Les attributs d'un catalogue global sont répliqués vers tous les
autres catalogues globaux de la forêt. Plus l'attribut sera petit, moins sa
réplication aura d'impact sur le trafic du réseau.
Noms des objets de schéma
Comme précisé plus haut, les classes et les attributs sont tous des objets de schéma. En
tant que tels, ils peuvent être référencés par les types de noms suivants :
Nom complet LDAP. Le nom complet LDAP est globalement unique pour chaque
objet de schéma. Il est composé d'un ou de plusieurs mots, avec initiale
majuscule à partir du deuxième mot. Par exemple, mailAddress et
machinePasswordChangeInterval sont les noms complets LDAP de deux attributs
de schéma. Schéma Active Directory et d'autres outils d'administration
Windows 2000 affichent le nom complet LDAP des objets. Celui-ci permet aux
programmeurs et aux administrateurs de référencer l'objet par programme. Pour
plus d'informations sur l'extension par programme du schéma, voir la sous-section
suivante ; pour plus d'informations sur LDAP, voir la section « Protocole LDAP ».
Nom commun. Le nom commun d'un objet de schéma est également
globalement unique. Vous devez le spécifier lors de la création de nouveaux
attributs ou classes d'objet dans le schéma — c'est le nom unique relatif (RDN,
Relative Distinguished Name) de l'objet du schéma qui représente cette classe
d'objet. Pour plus de détails sur les noms RDN, reportez-vous à la section « Noms
RDN et noms uniques LDAP ». Par exemple, les noms communs des deux attributs
mentionnés précédemment sont SMTP-Mail-Address et Machine-Password-
Change-Interval.
12
Identificateur d'objet (OID). Un identificateur d'objet de schéma est un
numéro attribué par une autorité telle que l'Association internationale de
normalisation (ISO, International Organization for Standardization) ou l'ANSI
(American National Standards Institute). Par exemple, l'OID de l'attribut SMTP-
Mail-Address est 1.2.840.113556.1.4.786. Les OID sont garantis comme étant
uniques sur l'ensemble des réseaux du monde entier. Une fois que vous avez
obtenu un OID racine à partir d'une autorité compétente, vous pouvez l'utiliser
pour en attribuer d'autres. Les OID sont organisés sous forme hiérarchique. Par
exemple, Microsoft s'est vu allouer l'OID racine 1.2.840.113556. Microsoft gère en
interne d'autres branches issues de cette racine. Une de ces branches est utilisée
pour allouer des OID aux classes de schéma Active Directory et une autre pour les
attributs. Pour reprendre notre exemple, l'OID 1.2.840.113556.1.5.4 identifie
dans Active Directory la classe de domaine prédéfini et peut être analysé de la manière illustrée dans le tableau 1.
Tableau 1. Identificateur d'objet
Numéro
d'OID Identifie
1 ISO (autorité « racine ») a attribué 1.2 à ANSI, puis U
2 ANSI a attribué 1.2.840 aux États-Unis, puis U
840 les États-Unis ont attribué 1.2.840.113556 à Microsoft, puis U
113556 Microsoft gère en interne plusieurs branches d'OID sous
1.2.840.113556, dont U
1 une branche appelée Active Directory qui inclut U
5 une branche appelée Classes qui inclut U
4 une branche appelée Domaine prédéfini
Pour plus d'informations sur les OID et sur la manière de les obtenir, voir la section
« Pour plus d'informations » à la fin de ce document.
Extension du schéma
Le système d'exploitation Windows 2000 Server fournit un ensemble de classes d'objet et
d'attributs par défaut suffisants pour la plupart des organisations. Bien que vous ne
puissiez pas supprimer les objets de schéma, vous pouvez les marquer comme
désactivés.
Les développeurs et les administrateurs réseau expérimentés peuvent étendre
dynamiquement le schéma en définissant de nouvelles classes et de nouveaux attributs
pour les classes existantes. Il est conseillé d'étendre le schéma Active Directory par
programme, via l'interface ADSI (Active Directory Service Interface). Vous pouvez
également utiliser l'utilitaire LDIFDE (LDAP Data Interchange Format). (Pour plus
d'informations sur ADSI et LDIFDE, voir les sections « ADSI » et « Active Directory et
LDIFDE ».)
L'outil Schéma Active Directory, conçu à des fins de développement et de test, vous
permet d'afficher et de modifier le schéma Active Directory.
Si vous envisagez de modifier le schéma, prenez les points suivants en considération :
Les modifications du schéma s'appliquent à l'ensemble de la forêt.
Les extensions du schéma sont irréversibles (même si vous pouvez modifier
certains attributs).
Microsoft exige de toute personne étendant le schéma qu'elle adhère aux règles
d'affectation de noms (évoquées dans la sous-section précédente) à la fois pour
les noms complets LDAP et pour les noms communs. La compatibilité est garantie
13
par le logo Certifié compatible Windows7. Pour plus d'informations, voir le Site
Web : msdn - L'information pour les Développeurs.
Toutes les classes du schéma sont dérivées de la classe spéciale Top. À
l'exception de Top, toutes les classes sont des sous-classes dérivées d'une autre
classe. L'héritage des attributs permet de construire de nouvelles classes à partir
de classes existantes. La nouvelle sous-classe hérite des attributs de sa superclasse (classe parent).
L'extension du schéma est une opération avancée. Pour plus d'informations sur
l'extension du schéma par programme, voir la section « Pour plus d'informations » à la
fin de ce document.
Conventions d'affectation de noms d'objet
Active Directory prend en charge plusieurs formats de noms d'objet pour tenir compte
des différentes formes que peut prendre un nom, selon le contexte d'utilisation (certains
noms correspondent à des numéros). Les sous-sections suivantes décrivent les types de
conventions d'affectation de nom des objets Active Directory :
Noms des entités de sécurité
Identificateurs de sécurité (aussi appelés SID ou identificateurs SID)
Noms LDAP (dont les noms canoniques, les noms RDN, les URL et les noms
uniques)
GUID d'objets
Noms d'ouverture de session (dont les noms UPN et les noms de comptes SAM)
Si votre organisation possède plusieurs domaines, vous pouvez utiliser les mêmes noms
d'utilisateur et d'ordinateur dans les différents domaines. Le SID, le GUID, le nom unique
LDAP et le nom canonique générés par Active Directory identifient de manière unique
chaque utilisateur et chaque ordinateur de l'annuaire. Si l'objet Utilisateur ou Ordinateur
est renommé ou déplacé vers un domaine différent, le SID, le nom unique relatif LDAP, le
nom unique et le nom canonique changent. En revanche, le GUID généré par Active
Directory reste identique.
Noms des entités de sécurité
Une entité de sécurité est un objet Windows 2000 géré par Active Directory, auquel est
automatiquement affecté un identificateur de sécurité (SID) pour l'authentification
d'ouverture de session et l'accès aux ressources. Une entité de sécurité peut être un
compte d'utilisateur, un compte d'ordinateur ou un groupe. En d'autres termes, un nom
d'entité de sécurité identifie de manière unique un utilisateur, un ordinateur ou un
groupe au sein d'un domaine unique. Un objet entité de sécurité doit être authentifié par
un contrôleur du domaine dans lequel il se trouve et l'accès aux ressources réseau peut
lui être accordé ou refusé.
Les noms des entités de sécurité ne sont pas uniques sur l'ensemble des domaines, mais
doivent être uniques dans leur propre domaine pour des raisons de compatibilité
ascendante. Les objets entités de sécurité peuvent être renommés, déplacés ou
enregistrés au sein d'une arborescence de domaines imbriqués.
Leur nom doit être conforme aux lignes directrices suivantes :
Le nom ne doit pas être identique à un autre nom d'utilisateur, d'ordinateur ou de
groupe du domaine. Il peut contenir jusqu'à 20 caractères majuscules ou
minuscules, à l'exception des caractères suivants : " / \ [ ] : ; | = , + * ? <>
Les noms d'utilisateurs, d'ordinateurs et de groupes ne doivent pas être composés
uniquement de points (.) et d'espaces.
14
Identificateurs de sécurité (SID)
Un SID est un numéro unique, créé par le sous-système de sécurité de Windows 2000 et
affecté aux objets entités de sécurité, à savoir les comptes d'utilisateurs, de groupes et
d'ordinateurs. Chaque compte de votre réseau a reçu un SID unique à sa création. Les
processus internes de Windows 2000 font référence au SID d'un compte plutôt qu'à son
nom d'utilisateur ou de groupe.
Des entrées de contrôle d'accès (ACE, Access Control Entrie) protègent chaque objet
Active Directory en identifiant les utilisateurs et les groupes pouvant y accéder. Chaque
ACE contient le SID de chaque utilisateur et de chaque groupe ayant l'autorisation
d'accéder à l'objet et définit le niveau d'accès autorisé. Par exemple, un utilisateur peut
disposer pour certains fichiers de droits d'accès en lecture seule, pour d'autres de droits
d'accès en lecture et en écriture, et pour d'autres encore, d'aucun droit d'accès.
Si vous créez un compte, que vous le supprimez, puis que vous créez un autre compte
avec le même nom d'utilisateur, le nouveau compte n'hérite ni des autorisations, ni des
droits accordés à l'ancien compte car les comptes ont des identificateurs SID différents.
Noms LDAP
Active Directory est un service d'annuaire conforme LDAP (Lightweight Directory Access
Protocol). Dans Windows 2000, tout accès à un objet Active Directory s'effectue à l'aide
du protocole LDAP. Il définit les opérations à effectuer pour rechercher et modifier des
informations dans un annuaire, et la manière d'accéder de manière sécurisée à ces
informations. Ainsi, c'est LDAP qui est utilisé pour rechercher ou énumérer des objets
d'annuaire et pour interroger ou administrer Active Directory. (Pour plus d'informations
sur LDAP, voir la section « Protocole LDAP ».)
Il est possible de faire porter les requêtes sur le nom unique LDAP (lui-même un attribut
de l'objet), mais comme ceux-ci sont difficiles à mémoriser, LDAP prend également en
charge les requêtes portant sur d'autres attributs (par exemple, la couleur pour
rechercher les imprimantes couleur). Vous pouvez ainsi rechercher un objet même si
vous ne connaissez pas son nom unique.
Les formats d'affectation de noms d'objet, pris en charge par Active Directory et fondés
sur le nom unique LDAP, sont décrits dans les trois sous-sections suivantes :
Noms RDN et noms uniques LDAP
URL LDAP Noms canoniques LDAP
Noms RDN et noms uniques LDAP
LDAP fournit des noms uniques (DN) et des noms uniques relatifs (RDN) aux objets8.
Active Directory met en œuvre ces conventions d'affectation de noms LDAP avec les
variantes illustrées dans le tableau 2.
Tableau 2. Conventions d'affectation de noms LDAP et correspondances dans
Active Directory
Convention d'affectation des
noms DN & RDN LDAP
Convention d'affectation de noms
correspondante dans Active Directory
cn=nom commun cn=nom commun
ou=unité d'organisation ou=unité d'organisation
o=organisation dc=composant de domaine
c=pays (non pris en charge)
15
Remarque cn=, ou=, … sont des types d'attributs. Les attributs permettant de détailler
le nom RDN d'un objet sont appelés attributs d'affectation de nom. Les attributs
d'affectation de nom Active Directory, illustrés en haut à droite, sont destinés aux classes
d'objet Active Directory suivantes :
L'attribut cn est utilisé pour la classe d'objet utilisateur.
L'attribut ou est utilisé pour la classe d'objet unité d'organisation (OU).
L'attribut dc est utilisé pour la classe d'objet DNS de domaine.
Chaque objet Active Directory possède un nom unique LDAP. Les objets sont localisés
dans les domaines Active Directory à l'aide d'un chemin hiérarchique qui inclut les
étiquettes du nom de domaine et chaque niveau d'objet conteneur. Le chemin complet
vers l'objet est défini par le nom unique. Le nom de l'objet lui-même correspond au nom
RDN. Ce nom est le segment du nom unique d'un objet, attribut de l'objet lui-même.
Représentant le chemin complet vers un objet, composé du nom de l'objet et de tous ses
objets parents jusqu'à la racine du domaine, le nom unique permet d'identifier un objet
unique dans l'arborescence de domaines. Chaque nom RDN est stocké dans la base de
données Active Directory et contient une référence à son parent. Au cours d'une
opération LDAP, le nom unique est construit entièrement en suivant les références à la
racine. Dans un nom unique LDAP complet, le nom RDN de l'objet à identifier commence
sur la gauche avec le nom de la feuille et se termine sur la droite avec le nom de la
racine, comme le montre l'exemple suivant :
cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com
Le nom RDN de l'objet Utilisateur MDurand est cn=MDurand, celui de Widget (l'objet
parent de MDurand) est ou=Widgets, etc.
Les outils Active Directory n'affichent pas les abréviations LDAP des attributs d'affectation
de nom (dc=, ou= ou cn=). Elles apparaissent dans l'exemple pour illustrer la manière
dont LDAP reconnaît les différentes parties des noms uniques. La plupart des outils Active
Directory affichent les noms d'objets sous leur forme canonique (décrite plus loin dans ce
document). Dans Windows 2000, les noms uniques permettent aux clients LDAP de
récupérer des informations sur des objets à partir de l'annuaire, mais aucune interface
utilisateur ne demande d'entrer le nom unique. L'utilisation explicite des noms uniques,
des noms RDN et des attributs d'affectation de nom est requise uniquement lors de
l'écriture de programmes ou de scripts conformes LDAP.
Noms d'URL LDAP
Active Directory prend en charge l'accès de tous les clients LDAP à l'aide du protocole
LDAP. La RFC 1959 décrit un format d'URL LDAP permettant aux clients Internet
d'accéder directement au protocole LDAP. Les URL LDAP sont également utilisées dans
l'écriture de scripts. Une telle URL est composée du préfixe « LDAP », du nom du serveur
contenant les services Active Directory, suivi du nom attribué à l'objet (le nom unique).
Par exemple :
LDAP://serveur1.France.NomOrg.com/cn=MDurand,ou=Widgets,ou=Fabrication,dc=Fran
ce,dcNomOrg,dc=com
Noms canoniques LDAP de Active Directory
Par défaut, les outils d'administration de Active Directory affichent les noms des objets
au format de nom canonique, qui répertorie les noms RDN à partir de la racine, sans les
descripteurs d'attribut d'affectation de nom RFC 1779 (dc=, ou= et cn=). Le nom
canonique utilise le format DNS, c'est-à-dire que les constituants de la partie du nom
contenant les noms de domaines sont séparés par des points — France.NomOrg.com. Le
tableau 3 montre les différences entre un nom unique LDAP et le même nom au format
de nom canonique.
Tableau 3. Format de nom unique LDAP et format de nom canonique
16
Nom identique dans deux formats différents
Nom unique
LDAP : cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com
Nom
canonique : France.NomOrg.com/Fabrication/Widgets/MDurand
GUID d'objets
Parallèlement à son nom unique LDAP, chaque objet Active Directory possède un
identificateur globalement unique (GUID), un numéro à 128 bits assigné par l'Agent
système d'annuaire lors de la création de l'objet. Le GUID, qui ne peut être ni modifié ni
supprimé, est enregistré dans un attribut, objectGUID, requis pour chaque objet. À la
différence des noms uniques et RDN susceptibles d'être modifiés, le GUID ne change
jamais.
Si vous enregistrez une référence à un objet Active Directory dans un magasin de
données externe (par exemple, une base de données Microsoft SQL Server™), vous
devez utiliser l'attribut objectGUID.
Noms d'ouverture de session : noms UPN et noms de comptes SAM
Comme décrit précédemment, les entités de sécurité sont des objets sur lesquels
s'applique la sécurité Windows pour l'authentification d'ouverture de session et les
autorisations d'accès aux ressources. Les utilisateurs représentent le premier type
d'entités de sécurité. Dans Windows 2000, ils ont besoin d'un nom d'ouverture de session
unique pour accéder à un domaine et à ses ressources. Les deux types de noms
d'ouverture de session — les noms UPN et les noms de comptes SAM (Security Account
Manager) — sont décrits dans les deux sous-sections ci-dessous.
Noms UPN
Dans Active Directory, chaque compte d'utilisateur possède un nom UPN (nom utilisateur
principal) au format <utilisateur>@<nom-domaine-DNS>. Un nom UPN est un nom
convivial assigné par un administrateur. Il est plus court que le nom unique LDAP utilisé
par le système et plus facile à mémoriser. Le nom UPN d'un objet Utilisateur est
indépendant de son nom unique, si bien que le déplacement et la modification du nom de
l'objet n'affectent pas le nom d'ouverture de session de l'utilisateur. Lors d'une connexion
par nom UPN, les utilisateurs ne sont plus invités à sélectionner un domaine dans une
liste dans la boîte de dialogue d'ouverture de session.
Les noms UPN se composent de trois parties : le préfixe UPN (nom d'ouverture de
session de l'utilisateur), le caractère @ et le suffixe UPN (en général, un nom de
domaine). Le suffixe UPN par défaut d'un compte d'utilisateur est le nom DNS du
domaine Active Directory dans lequel se trouve le compte9. Par exemple, le nom UPN de
l'utilisateur Marc Durand, qui possède un compte d'utilisateur dans le domaine
NomOrg.com (si NomOrg.com est le seul domaine de l'arborescence), est
[email protected]. C'est un attribut (userPrincipalName) de l'objet entité de
sécurité. Si l'attribut userPrincipalName d'un objet Utilisateur n'a pas de valeur, l'objet a
le nom UPN par défaut nomUtilisateur@NomDomaineDns.
Si votre organisation possède une arborescence de domaines composée de nombreux
domaines, organisés par départements et régions, les noms UPN par défaut peuvent
s'avérer encombrants. Par exemple, le nom UPN par défaut d'un utilisateur pourrait être
ventes.coteouest.microsoft.com. Le nom d'ouverture de session des utilisateurs dans ce
domaine serait [email protected]. Au lieu d'accepter le nom de
domaine DNS par défaut comme suffixe UPN, vous pouvez simplifier l'administration et
les processus de connexion utilisateur en fournissant un suffixe UPN unique pour tous les
utilisateurs. (Le suffixe UPN est utilisé uniquement au sein du domaine Windows 2000 et
17
il ne correspond pas nécessairement à un nom de domaine DNS valide.) Vous pouvez
décider d'utiliser votre nom de domaine de messagerie comme suffixe UPN —
[email protected]. Le nom UPN de l'utilisateur de notre exemple
devient alors [email protected].
Lors d'une ouverture de session par nom UPN, un catalogue global peut s'avérer
nécessaire, selon l'identité de l'utilisateur qui se connecte et l'appartenance de
l'ordinateur de l'utilisateur au domaine. C'est le cas si l'utilisateur se connecte à l'aide
d'un nom UPN différent du nom par défaut et si le compte d'ordinateur de l'utilisateur se
trouve dans un autre domaine que son compte d'utilisateur. C'est-à-dire si, au lieu
d'accepter le nom de domaine DNS par défaut comme suffixe UPN (comme dans
l'exemple précédent, [email protected]), vous fournissez un
suffixe UPN unique pour tous les utilisateurs (l'utilisateur a alors pour nom utilisateur@
microsoft.com).
L'outil Domaines et approbations Active Directory permet de gérer les suffixes UPN d'un
domaine. Les noms UPN sont assignés lors de la création d'un utilisateur. Si vous avez
créé des suffixes supplémentaires pour un domaine, vous devez sélectionner le suffixe de
votre choix dans une liste lorsque vous créez le compte d'utilisateur ou de groupe. Les
suffixes sont répertoriés dans l'ordre suivant :
autres suffixes (s'il en existe, le dernier créé apparaît en tête de liste) ;
domaine racine ;
domaine actif.
Noms de comptes SAM
Un nom de compte SAM (Security Account Manager) est requis pour la compatibilité avec
les domaines Windows NT 3.x et Windows NT 4.0. Dans l'interface utilisateur
Windows 2000, un nom de compte SAM est appelé « Nom d'ouverture de session de
l'utilisateur (avant l'installation de Windows 2000) ».
Ces noms sont aussi parfois appelés noms plan car, contrairement aux noms DNS, ils ne
sont pas affectés hiérarchiquement. Comme les noms SAM sont plan, chacun doit être
unique dans le domaine.
Publication d'objets
La publication représente la création d'objets dans l'annuaire, qui contiennent
directement les informations que vous voulez rendre accessibles ou y font référence. Par
exemple, un objet Utilisateur contiendra des informations utiles sur les utilisateurs,
comme leurs numéros de téléphone et leurs adresses de messagerie, tandis qu'un objet
Volume contiendra une référence à un volume d'un système de fichiers partagé.
Les deux exemples suivants décrivent la publication d'objets Imprimantes et Fichiers
dans Active Directory :
Publication de partage. Vous pouvez publier un dossier partagé comme objet
Volume (également appelé objet Dossier partagé) dans Active Directory en
utilisant le composant logiciel enfichable Utilisateurs et groupes Active Directory.
Les utilisateurs peuvent ainsi interroger rapidement et facilement Active Directory
sur ce dossier partagé.
Publication d'imprimante. Dans un domaine Windows 2000, la manière la plus
simple de gérer, de rechercher et de se connecter à des imprimantes consiste à
utiliser Active Directory. Par défaut10, si vous ajoutez une imprimante à l'aide de
l'Assistant Ajout d'imprimante et décidez de la partager, Windows 2000 Server la
publie dans le domaine en tant qu'objet Active Directory. La publication
(affichage) d'imprimantes dans Active Directory permet aux utilisateurs de
localiser l'imprimante la plus appropriée. Ils peuvent interroger aisément Active
Directory sur une de ces imprimantes, en effectuant une recherche par attributs
18
d'imprimante, tels que le type (PostScript, couleur, papier de taille autorisée, etc.)
et l'emplacement. Lorsqu'une imprimante est supprimée du serveur, ce dernier annule sa publication.
Vous pouvez également publier des imprimantes non-Windows 2000 (c'est-à-dire
des imprimantes sur des serveurs d'impression autres que Windows 2000) dans
Active Directory. Pour ce faire, utilisez l'outil Utilisateurs et ordinateurs Active
Directory pour entrer le chemin UNC de l'imprimante. Vous pouvez aussi utiliser le
script Pubprn.vbs inclus dans le dossier System32. La stratégie de groupe
Nettoyage des imprimantes de bas niveau détermine la manière dont le service de
nettoyage (suppression automatique d'imprimantes) traite les imprimantes
situées sur des serveurs d'impression non-Windows 2000, lorsqu'une imprimante n'est pas disponible.
Décision de publication
Vous publiez une information dans Active Directory quand elle peut être utile ou
intéressante pour une partie importante de la communauté des utilisateurs et quand elle
doit être facilement accessible.
L'information publiée dans Active Directory présente deux caractéristiques essentielles :
Elle est relativement statique. Publiez uniquement une information qui change
rarement. Les numéros de téléphone et les adresses de messagerie sont des
exemples d'informations relativement statiques, aptes à être publiées. Au
contraire, le courrier électronique actuellement sélectionné par l'utilisateur est un
exemple d'information particulièrement volatile.
Elle est structurée. Publiez une information structurée qui peut être représentée
sous la forme d'un ensemble d'attributs discrets. L'adresse professionnelle d'un
utilisateur est un exemple d'information structurée, apte à être publiée. Un extrait
audio de la voix de l'utilisateur est un exemple d'information non structurée mieux adaptée au système de fichiers.
Les informations de fonctionnement utilisées par les applications constituent d'excellentes
candidates à la publication dans Active Directory. En font partie les informations de
configuration globales qui s'appliquent à toutes les instances d'une application donnée.
Par exemple, un produit de bases de données relationnelles pourrait enregistrer en tant
qu'objet dans Active Directory la configuration par défaut des serveurs de bases de
données. De nouvelles installations du produit pourraient alors récupérer la configuration
par défaut contenue dans l'objet, ce qui simplifierait le processus d'installation et
augmenterait la cohérence des installations au sein d'une entreprise.
Les applications peuvent également publier leurs points de connexion dans Active
Directory. Les points de connexion servent aux rendez-vous client-serveur. Active
Directory définit une architecture pour l'administration de services intégrée utilisant des
objets Points d'administration de services et fournit des points de connexion standard
pour les applications RPC (Remote Procedure Call), Winsock et COM (Component Object
Model). Les applications qui n'utilisent pas les interfaces RPC ou Winsock pour publier
leurs points de connexion peuvent publier explicitement des objets point de connexion de
services dans l'annuaire.
Les données des applications peuvent également être publiées dans l'annuaire avec des
objets spécifiques aux applications. Les données spécifiques aux applications doivent
correspondre aux critères évoqués plus haut, c'est-à-dire être globalement intéressantes,
relativement non volatiles et structurées.
Outils de publication
Les outils de publication dépendent de l'application ou du service concerné :
19
RPC (Remote Procedure Call). Les applications RPC utilisent la famille de API
RpcNs* pour publier leurs points de connexion dans l'annuaire et pour rechercher
les points de connexion des services qui ont publié les leurs.
Windows Sockets. Les applications Windows Sockets utilisent les familles de API
Enregistrement et Résolution de Winsock 2.0 pour publier leurs points de
connexion et pour rechercher les points de connexion des services qui ont publié
les leurs.
DCOM (Distributed Component Object Model). Les services DCOM publient leurs
points de connexion par l'intermédiaire de la banque de classes DCOM, hébergée
dans Active Directory. DCOM est la spécification COM de Microsoft qui définit la
manière dont les composants communiquent sur les réseaux Windows. Utilisez
l'outil Configuration DCOM pour intégrer des applications client-serveur sur
plusieurs ordinateurs. DCOM peut également être utilisé pour intégrer des applications robustes de navigateur Web.
20
Architecture Active Directory (3ème partie)
Domaines : arborescences, forêts, approbations et unités d'organisation
Active Directory est constitué d'un ou de plusieurs domaines. La création du contrôleur
de domaine initial dans un réseau crée également le domaine. Vous ne pouvez pas avoir
de domaine sans au moins un contrôleur de domaine. Chaque domaine de l'annuaire est
identifié par un nom de domaine DNS. L'outil Domaines et approbations Active Directory
permet de gérer les domaines.
Les domaines sont utilisés pour réaliser les objectifs de gestion de réseau suivants :
Délimitation de la sécurité. Les domaines Windows 2000 définissent une limite
de sécurité. Les stratégies et les paramètres de sécurité (comme par exemple les
droits d'administration et les listes de contrôle d'accès) ne passent pas d'un
domaine à un autre. Active Directory peut inclure un ou plusieurs domaines,
possédant tous leurs propres stratégies de sécurité.
Réplication des informations. Un domaine est une partition d'annuaire
Windows 2000 (appelée également contexte d'affectation de nom). Ces partitions
sont les unités de réplication. Chaque domaine enregistre uniquement les
informations concernant les objets qu'il contient. Chaque contrôleur d'un domaine
peut recevoir les modifications apportées à des objets et répliquer ces
modifications vers tous les autres contrôleurs du même domaine.
Application des stratégies de groupe. Un domaine représente une étendue
possible de stratégie (les paramètres de stratégie de groupe peuvent aussi être
appliqués à des unités d'organisation ou à des sites). L'application d'un objet
Stratégie de groupe (GPO, Group Policy Object) au domaine définit la manière
dont les ressources du domaine peuvent être configurées et utilisées. Par
exemple, vous pouvez employer une stratégie de groupe pour contrôler les
paramètres du bureau, comme par exemple le déploiement d'applications et de
verrouillages. Ces stratégies sont appliquées uniquement au sein d'un même
domaine. Elles ne sont pas transmises d'un domaine à un autre.
Structure du réseau. Comme un domaine Active Directory peut englober de
nombreux sites et contenir des millions d'objets11, la plupart des organisations
n'ont pas besoin de créer de domaines distincts pour refléter leurs différents
départements et divisions. Normalement, vous ne devriez pas avoir à créer
d'autres domaines pour traiter des objets supplémentaires. Toutefois, certaines
organisations requièrent plusieurs domaines pour prendre en charge, par
exemple, des unités professionnelles indépendantes ou complètement autonomes
qui ne veulent pas qu'une personne extérieure à leur unité dispose d'autorisations
sur leurs objets. De telles organisations peuvent créer des domaines
supplémentaires et les organiser en une forêt Active Directory. Il peut également
être utile de séparer le réseau en domaines distincts si deux parties de votre
réseau sont séparées par un lien si lent que vous refusez que le trafic de
réplication l'emprunte. (Dans le cas de liens lents encore capables de prendre en
charge le trafic de réplication de manière moins fréquente, vous pouvez configurer
un simple domaine avec plusieurs sites).
Délégation de l'autorité d'administration. Sur les réseaux Windows 2000,
vous pouvez déléguer l'autorité d'administration d'unités d'organisation et de
domaines individuels, ce qui réduit le nombre requis d'administrateurs disposant
d'une autorité d'administration élevée. Comme un domaine est une limite de
sécurité, les autorisations d'administration d'un domaine sont restreintes au
domaine par défaut. Par exemple, un administrateur ayant l'autorisation de définir
les stratégies de sécurité d'un domaine n'est pas automatiquement autorisé à
faire de même dans tout autre domaine de l'annuaire.
21
Pour pouvoir comprendre les domaines, vous devez d'abord comprendre ce que sont les
arborescences, les forêts, les approbations et les unités d'organisation, et les rapports
entre ces structures et les domaines. Ces composants de domaine sont décrits dans les
sous-sections suivantes :
Arborescences
Forêts
Relations d'approbation Unités d'organisation
Windows 2000 introduit également le concept de sites, mais leur structure est différente
de celle des domaines, afin de garantir la flexibilité de leur administration (les sites sont
décrits dans une section ultérieure). Ce document présente les notions de base des
domaines et des sites Windows 2000. Pour des informations détaillées sur la planification
de leur structure et déploiement, voir le Guide de planification du déploiement de
Microsoft Windows 2000 Server dans la section « Pour plus d'informations » à la fin de ce
document.
Lorsque vous découvrirez les structures de domaines possibles décrites dans les sous-
sections suivantes, gardez à l'esprit que, pour de nombreuses organisations, il est
possible de disposer d'une structure composée d'un domaine qui serait simultanément
une forêt composée d'une arborescence. Il s'agit sans doute de la meilleure façon
d'organiser un réseau. Il faut toujours commencer par la structure la plus simple et
augmenter sa complexité si cela se justifie.
Arborescences
Dans Windows 2000, une arborescence est un ensemble d'un ou de plusieurs domaines
avec noms contigus. S'il existe plusieurs domaines, vous pouvez les associer en
arborescences. Il est parfois nécessaire de posséder plusieurs arborescences dans une
forêt ; par exemple, si une division de votre organisation possède son propre nom DNS
et utilise ses propres serveurs DNS.
Le premier domaine créé est le domaine racine de la première arborescence. Les
domaines supplémentaires de la même arborescence de domaine sont les domaines
enfants. Un domaine placé immédiatement au-dessus d'un autre dans la même
arborescence est son parent.
Tous les domaines qui ont un domaine racine commun forment ce qu'on appelle un
espace de noms contigus. Les domaines d'un espace de noms contigus (de la même
arborescence) ont des noms contigus formés de la manière suivante : le nom du
domaine enfant apparaît sur la gauche, suivi d'un point et du nom de son domaine
parent. Lorsqu'il y a plus de deux domaines, chaque domaine est suivi de son parent
dans le nom de domaine, comme l'illustre la figure 3. Les domaines Windows 2000 d'une
même arborescence sont liés par des relations d'approbation bidirectionnelles et
transitives. Ces relations sont décrites plus loin dans ce document.
Figure 3. Domaines parents et enfants d'une arborescence de domaines. Les
flèches à deux directions indiquent des relations d'approbation transitives
bidirectionnelles
La relation parent-enfant entre domaines d'une même arborescence est une relation
d'affectation de nom et une relation d'approbation. Les administrateurs d'un domaine
22
parent ne sont pas automatiquement ceux des domaines enfants et les stratégies
définies dans un domaine parent ne sont pas appliquées automatiquement aux domaines
enfants.
Forêts
Une forêt Active Directory est une base de données distribuée, composée de nombreuses
bases de données partielles enregistrées sur des ordinateurs différents. La distribution de
la base de données augmente l'efficacité du réseau en permettant de placer les données
là où elles sont le plus utilisées. Les partitions de la base de données de la forêt sont
définies par des domaines, ce qui signifie qu'une forêt est composée d'un ou plusieurs
domaines.
Tous les contrôleurs de domaine d'une forêt hébergent une copie des conteneurs de
configuration et de schéma de la forêt en plus d'une base de données de domaine. Une
base de données de domaine est une partie d'une base de données de forêt. Chaque
base de données de domaine contient des objets d'annuaire, tels que les objets entités
de sécurité (utilisateurs, ordinateurs et groupes) auxquels vous pouvez accorder ou
refuser l'accès aux ressources réseau.
Souvent, une forêt unique, simple à créer et à entretenir, suffit à répondre aux besoins
d'une organisation. Dans ce cas, les utilisateurs n'ont pas besoin de connaître la structure
d'annuaire car ils voient tous un annuaire unique par l'intermédiaire du catalogue global.
Lors de l'ajout d'un nouveau domaine dans la forêt, aucune configuration d'approbation
supplémentaire n'est requise. En effet, tous les domaines d'une même forêt sont
connectés par des relations d'approbation transitives bidirectionnelles. Dans une forêt de
plusieurs domaines, les modifications de configuration n'ont besoin d'être appliquées
qu'une seule fois pour affecter tous les domaines.
Ne créez pas de forêt supplémentaire, à moins que vous n'en ayez vraiment besoin, car
chaque forêt que vous créez entraîne une surcharge de travail de gestion12 . Il est parfois
nécessaire de créer plusieurs forêts ; par exemple, si l'administration de votre réseau est
distribuée entre plusieurs divisions autonomes qui ne peuvent pas se mettre d'accord sur
une gestion commune des conteneurs de schéma et de configuration. C'est également le
cas si vous voulez garantir que des utilisateurs spécifiques ne puissent jamais obtenir
l'accès à certaines ressources (dans une forêt unique, tout utilisateur peut être inclus
dans tout groupe ou peut être répertorié dans une liste de contrôle d'accès
discrétionnaire (DACL, Discretionary Access Control List)13, sur n'importe quel ordinateur
de la forêt). Si vous disposez de forêts distinctes, vous pouvez définir des relations
d'approbation explicites pour accorder aux utilisateurs d'une forêt l'accès à certaines
ressources d'une autre. (Pour un exemple avec deux forêts, voir la figure 7 dans la
section « Exemple : Environnement mixte constitué de deux forêts et d'un extranet ».)
Plusieurs arborescences de domaines au sein d'une même forêt ne forment pas un
espace de noms contigus ; en effet, leurs noms de domaine DNS ne sont pas contigus.
Bien que les arborescences d'une forêt ne partagent pas un même espace de nom, une
forêt possède un domaine racine unique, appelé domaine racine de la forêt. Ce domaine
racine est, par définition, le premier domaine créé dans la forêt. Les deux groupes
prédéfinis, Administrateurs d'entreprise et Administrateurs de schéma, résident dans ce
domaine.
Par exemple, comme le montre la figure 4, bien que trois arborescences de domaines
(Racine-SS.com, RacineEurope.com et RacineAsie.com) aient tous un domaine enfant
pour le service de comptabilité « Compt », les noms DNS de ces domaines enfants sont
respectivement Compt.Racine-SS.com, Compt.RacineEurope.com et
Compt.RacineAsie.com. Il n'existe aucun espace de noms partagé.
23
Figure 4. Forêt de trois arborescences de domaines. Les trois domaines racines
ne sont pas contigus, mais RacineEurope.com et RacineAsie.com sont des
domaines enfants de Racine-SS.com.
Le domaine racine de chaque arborescence de domaines de la forêt établit une relation
d'approbation transitive (expliquée plus en détails dans la section suivante) avec le
domaine racine de la forêt. Dans la figure 4, Racine-SS.com est le domaine racine de la
forêt. Les domaines racines des autres arborescences, RacineEurope.com et
RacineAsie.com, ont des relations d'approbation transitives avec Racine-SS.com. Il est
donc possible d'établir des relations d'approbation entre toutes les arborescences de la
forêt.
Tous les domaines Windows 2000 de toutes les arborescences de domaines d'une même
forêt présentent les caractéristiques suivantes :
Il existe des relations d'approbation transitives entre les domaines d'une même
arborescence.
Il existe des relations d'approbation transitives entre les arborescences de
domaines d'une même forêt.
Ils partagent des informations de configuration communes.
Ils partagent un schéma commun. Ils partagent un catalogue global commun.
Important Il est facile d'ajouter de nouveaux domaines à une forêt. Toutefois, vous ne
pouvez pas déplacer les domaines Windows 2000 Active Directory d'une forêt à une
autre. Vous pouvez supprimer un domaine d'une forêt uniquement s'il ne possède pas de
domaine enfant. Une fois que le domaine racine d'une arborescence a été défini, vous ne
pouvez pas ajouter à la forêt un domaine avec un nom de niveau supérieur. Il est
impossible de créer un parent pour un domaine existant ; vous pouvez uniquement créer
un enfant.
La mise en œuvre d'arborescences de domaines et de forêts vous permet d'utiliser à la
fois les conventions d'affectation de nom contigu et non contigu. Cette souplesse peut
être utile, par exemple, dans des sociétés composées de divisions indépendantes qui
veulent toutes conserver leur propre nom DNS, comme Microsoft.com et MSNBC.com.
Relations d'approbation
Une relation d'approbation est une relation établie entre deux domaines grâce à laquelle
les contrôleurs de domaine de l'un des domaines reconnaissent les utilisateurs de l'autre
domaine. Les approbations permettent aux utilisateurs d'un des domaines d'accéder aux
ressources de l'autre et aux administrateurs d'un des domaines d'administrer des droits
utilisateur pour les utilisateurs de l'autre. Pour les ordinateurs Windows 2000,
l'authentification de comptes entre domaines est activée par l'intermédiaire de relations
d'approbation bidirectionnelles et transitives.
Toutes les relations d'approbation au sein d'une forêt Windows 2000 sont
bidirectionnelles et transitives, et sont définies comme suit :
Bidirectionnelle. Lorsque vous créez un domaine enfant, ce domaine enfant
approuve automatiquement son domaine parent et réciproquement. D'un point de
vue pratique, des requêtes d'authentification peuvent être soumises d'un domaine
à l'autre dans les deux sens.
24
Transitive. Une approbation transitive va au-delà des deux domaines impliqués
dans la relation d'approbation initiale. Par exemple : si le domaine A et le domaine
B (parent et enfant) s'approuvent mutuellement et si le domaine B et le domaine
C (là encore parent et enfant) s'approuvent eux aussi mutuellement, alors le
domaine A et le domaine C s'approuvent mutuellement (de manière implicite),
même si aucune relation d'approbation directe n'existe entre eux. Au niveau de la
forêt, il se crée automatiquement une relation d'approbation entre le domaine
racine de la forêt et le domaine racine de chaque arborescence de domaines
ajoutée à la forêt, ce qui crée une approbation complète entre tous les domaines
appartenant à une forêt Active Directory. D'un point de vue pratique, dans la
mesure où les relations d'approbation sont transitives, un processus d'ouverture
de session unique permet au système d'authentifier un utilisateur (ou un
ordinateur) de n'importe quel domaine de la forêt. Ce processus d'ouverture de
session unique offre au compte un accès potentiel à toutes les ressources de tous les domaines de la forêt.
Notez toutefois que le fait que les approbations permettent un processus d'ouverture de
session unique ne signifie pas nécessairement qu'un utilisateur authentifié possédera des
droits et des autorisations dans tous les domaines de la forêt.
Au-delà des approbations bidirectionnelles et transitives générées automatiquement à
l'échelle de la forêt par le système d'exploitation Windows 2000, vous pouvez créer
explicitement les deux types de relations d'approbation suivants :
Approbations raccourcis. Avant d'accorder à un compte d'un domaine donné
l'accès à des ressources d'un autre domaine par l'intermédiaire d'un contrôleur de
domaine, Windows 2000 calcule le chemin d'approbation entre les contrôleurs du
domaine source (celui auquel appartient le compte) et le domaine cible (celui qui
comporte les ressources auxquelles le compte veut accéder). Un chemin
d'approbation se compose de la série de relations d'approbation de domaines que
la sécurité de Windows 2000 doit traverser pour transmettre les requêtes
d'authentification d'un domaine à un autre. Le calcul et le parcours d'un chemin
d'approbation entre arborescences de domaines dans une forêt complexe peut
prendre du temps. Pour améliorer les performances, vous pouvez créer
explicitement (manuellement) une approbation raccourci entre deux domaines
Windows 2000 non adjacents de la même forêt. Les approbations raccourcis sont
des approbations unidirectionnelles transitives qui vous permettent de raccourcir
le chemin d'approbation, comme le montre la figure 5. Vous pouvez combiner
deux approbations unidirectionnelles pour établir une relation d'approbation
bidirectionnelle. Si vous ne pouvez pas révoquer les approbations bidirectionnelles
transitives établies automatiquement par défaut entre tous les domaines d'une
forêt Windows 2000, vous pouvez en revanche supprimer les approbations
raccourcis créées explicitement.
25
Figure 5. Approbations raccourcis entre les domaines B et D, et entre les
domaines D et 2
Approbations externes. Les approbations externes établissent des relations
d'approbation vers des domaines d'une forêt Windows 2000 différente ou vers un
domaine non-Windows 2000 (il peut s'agir d'un domaine Windows NT ou d'un
domaine Kerberos version 514). Les approbations externes permettent
d'authentifier les utilisateurs dans un domaine externe. Toutes les approbations
externes sont des approbations unidirectionnelles non transitives, comme le
montre la figure 6. De nouveau, vous pouvez combiner deux approbations
unidirectionnelles pour établir une relation d'approbation bidirectionnelle.
Figure 6. Approbation non transitive externe unidirectionnelle
Dans Windows NT 4.0 et les versions antérieures de ce système d'exploitation, les
relations d'approbation sont unidirectionnelles et l'approbation est limitée aux deux
domaines entre lesquels elle est établie (elle n'est pas transitive). Lorsque vous mettez à
niveau un domaine Windows NT vers un domaine Windows 2000, les relations
d'approbation unidirectionnelles entre ce domaine et tout autre domaine Windows NT
sont maintenues. Si vous installez un nouveau domaine Windows 2000 et que vous
voulez établir pour lui des relations d'approbation avec des domaines Windows NT, vous
devez créer des approbations externes Windows 2000. Pour établir explicitement une
relation d'approbation, vous devez utilisez l'outil Domaines et approbations Active
Directory.
Exemple : Environnement mixte constitué de deux forêts et d'un extranet
La figure 7 illustre un environnement mixte comprenant deux forêts Windows 2000 et un
domaine Windows NT 4.0. Quatre espaces de noms séparés sont mis en œuvre : A.com,
D.com, G.com et F.
Figure 7. Réseau constitué de deux forêts et d'un extranet
La figure 7 illustre le cas suivant :
26
A.com et D.com sont les racines d'arborescences distinctes de la forêt 1. (A.com
est le domaine racine de la forêt.) L'approbation de racine d'arborescence
bidirectionnelle et transitive qui existe entre eux (générée automatiquement par
Windows 2000) assure une approbation complète entre tous les domaines des
deux arborescences de la forêt 1.
E.D.com utilise fréquemment des ressources dans C.A.com. Pour raccourcir le
chemin d'approbation entre les deux domaines, C.A.com approuve E.D.com
directement. Cette approbation raccourci unidirectionnelle et transitive raccourcit
le chemin d'approbation à parcourir pour authentifier les utilisateurs de E.D.com
(limite le nombre de tronçons nécessaires à leur authentification) afin qu'ils
puissent utiliser efficacement les ressources de C.A.com.
G.com est la racine de l'arborescence qui constitue à elle seule la forêt 2.
L'approbation bidirectionnelle et transitive automatique entre G.com et H.G.com
permet aux utilisateurs, aux ordinateurs et aux groupes des deux domaines
d'accéder à leurs ressources mutuelles.
Le domaine G.com de la forêt 2 implémente une relation d'approbation externe
unidirectionnelle explicite avec le domaine D.com de la forêt 1 de telle sorte que
les utilisateurs du domaine D.com puissent accéder aux ressources du domaine
G.com. Cette approbation n'étant pas transitive, aucun autre domaine de la
forêt 1 ne peut obtenir d'accès aux ressources de G.com, et les utilisateurs, les
groupes et les ordinateurs de D.com ne peuvent accéder aux ressources de
H.G.com.
Le domaine F est un domaine Windows NT 4.0 qui fournit des services
d'assistance aux utilisateurs de E.D.com. Cette approbation unidirectionnelle non
transitive ne s'étend à aucun autre domaine de la forêt 1. Dans ce scénario, le
domaine Windows NT 4.0 est un extranet. (Un extranet est un intranet accessible
en partie à des utilisateurs externes autorisés. Un intranet à part entière est situé
derrière un pare-feu et reste inaccessible, mais un extranet offre un accès restreint aux personnes n'appartenant pas à l'organisation.)
Unités d'organisation
Nouveau concept dans le système d'exploitation Windows 2000, les unités d'organisation
(également appelées OU) sont un type d'objets d'annuaire dans lequel vous pouvez
placer des utilisateurs, des groupes, des ordinateurs, des imprimantes, des dossiers
partagés et d'autres unités d'organisation au sein d'un domaine unique. L'unité
d'organisation (représentée sous la forme d'un dossier dans l'interface Utilisateurs et
ordinateurs Active Directory) vous permet d'organiser logiquement et d'enregistrer des
objets dans le domaine. Si vous avez plusieurs domaines, chacun d'entre eux peut
implémenter sa propre hiérarchie d'unités d'organisation.
Comme l'illustre la figure 8, les unités d'organisation peuvent contenir d'autres unités
d'organisation.
Figure 8. Hiérarchie d'unités d'organisation dans un domaine unique
27
Les unités d'organisation vous permettent essentiellement de déléguer l'autorité
administrative sur des jeux d'utilisateurs, de groupes et de ressources. Par exemple,
vous pouvez créer une unité d'organisation qui contient tous les comptes d'utilisateur de
votre société. Après avoir créé des unités d'organisation pour déléguer des pouvoirs
d'administration, vous pouvez leur appliquer des paramètres de stratégie de groupe pour
définir des configurations de bureau pour les utilisateurs et les ordinateurs. Dans la
mesure où vous utilisez des unités d'organisation pour déléguer des pouvoirs
administratifs, la structure que vous créez reflétera probablement davantage votre
modèle administratif que l'organisation technique de votre entreprise.
Bien que les utilisateurs puissent parcourir la structure d'unités d'organisation d'un
domaine lorsqu'ils recherchent des ressources, l'interroger du catalogue global est dans
ce cas-ci bien plus efficace. Il est donc inutile de créer une structure d'unités
d'organisation pour le seul bien-être des utilisateurs finaux. Vous pouvez aussi créer une
structure d'unités d'organisation qui reflète l'organisation technique de votre entreprise,
mais la mise en œuvre et la gestion d'une telle initiative peuvent être difficiles et
coûteuses. Au lieu de créer une structure d'unités d'organisation qui refléterait la
situation des ressources ou l'organisation par départements, basez-vous sur les
paramètres de délégation administrative et de stratégie de groupe lorsque vous créez
des unités d'organisation.
Pour plus d'informations sur la mise en œuvre de la délégation et de la stratégie de
groupe à l'aide d'unités d'organisation, voir la section « Utilisation de la délégation et de
la stratégie de groupe avec les unités d'organisation, les domaines et les sites ». Pour
des informations plus détaillée sur la conception d'une structure d'unités d'organisation
lors de la planification de la mise en œuvre de Windows 2000, voir le Guide de
planification du déploiement de Microsoft Windows 2000 Server dans la section « Pour
plus d'informations » à la fin de ce document.
Sites : services aux clients et réplication des données
Vous pouvez considérer un site Windows 2000 comme un ensemble d'ordinateurs
appartenant à un ou plusieurs réseaux IP connectés à l'aide de technologies LAN, ou
comme un ensemble de réseaux locaux connectés par une structure fondamentale à
haute vitesse. Les ordinateurs appartenant à un même site doivent être connectés
correctement, ce qui caractérise d'ailleurs les ordinateurs qui font partie d'un même
sous-réseau. En revanche, des sites distincts sont connectés par une liaison dont la
vitesse est plus faible que celle des transferts de données au sein d'un réseau local. Vous
pouvez utiliser l'outil Sites et services Active Directory pour configurer des connexions
tant pour un site donné (dans un réseau local ou un ensemble de réseaux locaux
connectés correctement) qu'entre plusieurs sites (dans un réseau étendu).
Avec le système d'exploitation Windows 2000, les sites offrent les services suivants :
Les clients peuvent faire appel à un service par l'intermédiaire d'un contrôleur de
domaine dans le site auquel ils appartiennent (s'il en existe un).
Active Directory tente de réduire le délai de la réplication intra-site.
Active Directory tente de réduire la consommation de bande passante de la
réplication inter-sites. Les sites vous permettent de planifier la réplication inter-sites.
Les utilisateurs et les services doivent pouvoir accéder aux informations d'annuaire à tout
moment à partir de n'importe quel ordinateur de la forêt. Pour ce faire, les ajouts,
modifications et suppressions des données d'annuaire du contrôleur de domaine d'origine
doivent être relayées (répliquées) vers les autres contrôleurs de domaine de la forêt.
Toutefois, il faut atteindre un équilibre entre la nécessité de distribuer largement les
données d'annuaire et celle d'optimiser la performance réseau. Les sites Active Directory
vous aident à maintenir un tel équilibre.
28
Vous devez bien comprendre que les sites sont indépendants des domaines.
L'architecture des sites représente la structure physique de votre réseau, alors que les
domaines (si vous en utilisez plusieurs) représentent traditionnellement la structure
logique de votre organisation. Les structures logique et physique sont indépendantes
l'une de l'autre, et par conséquent :
Il n'existe pas forcément de lien entre l'espace de noms des sites et celui des
domaines.
Il n'existe pas nécessairement de corrélation entre la structure physique de votre
réseau et celle de ses domaines. Cependant, dans de nombreuses organisations,
les domaines sont configurés pour refléter la structure physique du réseau. En
effet, les domaines sont des partitions, et le partitionnement joue sur la
réplication ; la partition d'une forêt en de multiples petits domaines permet de
réduire le trafic de réplication.
Active Directory permet d'établir plusieurs domaines dans un site unique, et inversement.
Utilisation des informations sur le site par Active Directory
Vous spécifiez les informations sur le site à l'aide de Sites et services Active Directory.
Active Directory utilise ensuite ces informations pour déterminer la meilleure façon
d'utiliser les ressources réseau disponibles. L'utilisation des sites rend optimise les
opérations suivantes :
Réponses aux requêtes des clients. Lorsqu'un client requiert un service auprès
d'un contrôleur de domaine, la requête est destinée à un contrôleur de domaine
appartenant au même site que lui, s'il existe. Le choix d'un contrôleur de domaine
connecté correctement au client permet d'optimiser le traitement de la requête.
Par exemple, si un client se connecte en utilisant un compte de domaine, le
mécanisme de connexion recherche d'abord des contrôleurs de domaine hébergés
sur le même site que le client. L'utilisation préférentielle des contrôleurs de
domaine appartenant au site du client permet de limiter le trafic réseau au niveau
local, ce qui optimise la procédure d'authentification.
Réplication de données d'annuaire. Les sites permettent de dupliquer les
données d'annuaire tant en leur sein qu'entre eux. Active Directory réplique les
données au sein d'un même site plus fréquemment que d'un site à l'autre, ce qui
signifie que les contrôleurs de domaine les mieux connectés, par conséquent les
plus susceptibles d'avoir besoin de données d'annuaire spécifiques, sont les
premiers destinataires de la réplication. Les contrôleurs de domaine des autres
sites reçoivent aussi toutes les modifications de l'annuaire, mais moins
fréquemment, ce qui réduit la consommation de bande passante. La réplication de
données Active Directory à destination des contrôleurs de domaine est
avantageuse en termes de disponibilité des données, de tolérance de pannes,
d'équilibrage de charge et de performances. (Pour plus d'informations sur la
manière dont le système d'exploitation Windows 2000 met en œuvre la
réplication, voir la sous-section « Réplication multimaître » à la fin de cette
section relative aux sites.)
Contrôleurs de domaine, catalogues globaux et données répliquées
Les données enregistrées dans Active Directory sur chaque contrôleur de domaine (qu'il
s'agisse ou non d'un serveur de catalogue global) sont réparties en trois catégories : les
données de domaine, de schéma et de configuration. Chacune de ces catégories se situe
dans une partition d'annuaire distincte, appelée également contexte d'affectation de
nom. Ces partitions d'annuaire constituent les unités de réplication. Les trois partitions
d'annuaire comprises dans chaque serveur Active Directory sont définies comme suit :
29
Partition d'annuaire de données de domaine. Contient tous les objets de
l'annuaire pour ce domaine. Les données de chaque domaine sont répliquées sur
tous les contrôleurs de domaine que le domaine contient, mais pas au-delà.
Partition d'annuaire de données de schéma. Contient tous les types d'objet
qui peuvent être créés dans Active Directory, ainsi que leurs attributs. Ces
données sont communes à tous les domaines de l'arborescence de domaines ou
de la forêt. Les données de schéma sont répliquées sur tous les contrôleurs de
domaine de la forêt.
Partition d'annuaire de données de configuration. Contient la topologie de
réplication et les métadonnées associées. Les applications qui reconnaissent
Active Directory enregistrent des données dans la partition d'annuaire de
configuration. Ces données sont communes à tous les domaines de l'arborescence
de domaines ou de la forêt. Les données de configuration sont répliquées sur tous les contrôleurs de domaine de la forêt.
Si le contrôleur de données est également le serveur de catalogue global, il contient en
outre une quatrième catégorie de données :
Réplica partiel de la partition d'annuaire de données de domaine pour
tous les domaines. Un serveur de catalogue global enregistre et réplique non
seulement un jeu complet de tous les objets de l'annuaire pour son propre
domaine hôte, mais également un réplica partiel de la partition d'annuaire de
domaine de tous les autres domaines de la forêt. Ce réplica partiel contient, par
définition, un sous-ensemble des propriétés de tous les objets de tous les
domaines de la forêt. (Un réplica partiel n'est accessible qu'en lecture seule, alors qu'un réplica complet l'est en lecture/écriture.)
Si un domaine contient un catalogue global, les autres contrôleurs de domaine
répliquent tous les objets de ce domaine (avec un sous-ensemble de leurs
propriétés) sur le catalogue global, puis une réplication partielle est exécutée
entre les catalogues globaux. Si un domaine ne possède pas de catalogue global, c'est un contrôleur de domaine standard qui sert de source au réplica partiel.
Par défaut, le sous-ensemble d'attributs enregistré dans le catalogue global
contient les attributs qui sont le plus souvent utilisés lors des opérations de
recherche, car l'une des fonctions essentielles du catalogue global est la prise en
charge des clients qui interrogent l'annuaire. Si vous utilisez des catalogues
globaux pour effectuer une réplication partielle de domaine au lieu de répliquer un
domaine complet, vous réduisez le trafic de réseau étendu.
Réplication dans un site
Si votre réseau est formé d'un réseau local (LAN) unique ou d'un ensemble de réseaux
locaux connectés par une structure fondamentale à haute vitesse, l'ensemble du réseau
peut constituer un site unique. Le premier contrôleur de domaine que vous installez crée
automatiquement le premier site, connu sous le nom de Default-First-Site-Name. Une
fois le premier contrôleur de domaine installé, tous les contrôleurs de domaine
supplémentaires sont automatiquement ajoutés au même site que le contrôleur de
domaine initial. (Si vous le souhaitez, vous pouvez ensuite les déplacer vers d'autres
sites.) Seule exception : Si, lorsque vous installez un contrôleur de domaine, l'adresse IP
de ce dernier correspond au sous-réseau déjà spécifié dans un autre site, le contrôleur de
domaine est ajouté à cet autre site.
Au sein d'un site, les données d'annuaire sont répliquées fréquemment et
automatiquement. La réplication intra-site est définie pour réduire au minimum le délai
de réplication, c'est-à-dire pour mettre les données à jour le plus possible. Les mises à
jour d'annuaire intra-site ne sont pas compressées. Les échanges non compressés
30
utilisent davantage de ressources réseau mais demandent une puissance de traitement
moins importante de la part des contrôleurs de domaine.
La figure 9 illustre la réplication au sein d'un site. Trois contrôleurs de domaine (dont l'un
est aussi le catalogue global) répliquent les données de schéma et de configuration de la
forêt, ainsi que tous les objets d'annuaire (avec un jeu complet des attributs de chaque
objet).
Figure 9. Réplication intra-site avec un domaine unique
La topologie de réplication, c'est-à-dire la configuration formée par les connexions qui
répliquent les données d'annuaire entre les contrôleurs de domaine, est générée
automatiquement par le service Knowledge Consistency Checker (KCC) dans Active
Directory. La topologie de site Active Directory est une représentation logique d'un
réseau physique ; elle est définie sur la base d'une forêt. Active Directory essaie d'établir
une topologie qui offre au moins deux connexions à chaque contrôleur de domaine, de
sorte que, si un contrôleur de domaine devient indisponible, les données d'annuaire
puissent toujours atteindre tous les contrôleurs de domaine en ligne par l'autre
connexion.
Active Directory évalue et ajuste automatiquement la topologie de réplication pour qu'elle
s'adapte à l'évolution du réseau. Par exemple, lorsqu'un contrôleur de domaine est
ajouté à un site, la topologie de réplication est adaptée pour englober efficacement cet
ajout.
Les clients et les serveurs de Active Directory utilisent la topologie de sites de la forêt
pour diriger efficacement le trafic des requêtes et des réplications.
Si vous élargissez votre déploiement du premier contrôleur de domaine d'un domaine à
plusieurs contrôleurs de domaine au sein de domaines multiples (toujours à l'intérieur
d'un même site), les données d'annuaire répliquées sont modifiées pour tenir compte de
la réplication du réplica partiel sur des catalogues globaux dans différents domaines. La
figure 10 montre deux domaines, comportant chacun trois contrôleurs de domaine. Dans
chacun des sites, l'un des contrôleurs de domaine est également le serveur de catalogue
global. Au sein de chaque domaine, les contrôleurs de domaine répliquent les données de
schéma et de configuration de la forêt, ainsi que tous les objets d'annuaire (avec un jeu
complet des attributs de chaque objet), exactement comme à la figure 9. En outre,
chaque catalogue global réplique sur l'autre catalogue global les objets d'annuaire (avec
uniquement un sous-ensemble de leurs attributs) pour son propre domaine.
31
Figure 10. Réplication intra-site avec deux domaines et deux catalogues
globaux
Réplication inter-sites
Créez des sites multiples pour optimiser à la fois le trafic serveur-serveur et le trafic
client-serveur sur les liaisons de réseau étendu. Dans le système d'exploitation
Windows 2000, la réplication inter-sites réduit automatiquement la consommation de
bande passante entre les sites.
Lorsque vous créez des sites multiples, respectez les recommandations suivantes :
Géographie. Définissez en tant que site distinct chaque zone géographique qui
nécessite un accès rapide aux données d'annuaire les plus récentes. Ainsi, vos
utilisateurs peuvent accéder à toutes les ressources dont ils ont besoin.
Contrôleurs de domaine et catalogues globaux. Placez au moins un
contrôleur de domaine dans chaque site et définissez au moins un contrôleur de
domaine en tant que catalogue global dans chaque site . Les sites qui n'ont ni
leurs propres contrôleurs de domaine ni catalogue global dépendent des autres sites pour obtenir leurs données d'annuaire et sont donc moins efficaces.
Connexion entre les sites
Les connexions réseau entre sites sont représentées par des liens de sites. Un lien de
sites est une connexion à faible bande passante ou une connexion non fiable entre au
moins deux sites. Un réseau étendu qui connecte deux réseaux rapides constitue un
exemple de lien de sites. D'une manière générale, n'importe quelle couple de réseaux
connectés par une liaison de vitesse inférieure à celle d'un réseau local sont considérés
comme connectés par un lien de sites. Par ailleurs, une liaison rapide proche de la
saturation dont la bande passante est peu efficace est également considérée comme un
lien de sites. Lorsque vous disposez de plusieurs sites, les sites connectés par des liens
de sites s'intègrent à la topologie de réplication.
Dans un réseau Windows 2000, les liens de sites ne sont pas générés automatiquement ;
vous devez les créer à l'aide de l'outil Sites et services Active Directory. Lorsque vous
créez des liens de sites et que vous configurez leur disponibilité de réplication, leur coût
relatif et leur fréquence de réplication, vous fournissez à Active Directory des
informations sur les objets de connexion à créer pour répliquer les données d'annuaire.
Active Directory utilise les liens de sites comme des indicateurs pour savoir où créer des
objets de connexion, et les objets de connexion utilisent les connexions réseau effectives
pour échanger des données d'annuaire.
32
Chaque lien de sites est associé à un planning qui indique à quels moments de la journée
le lien est disponible pour effectuer le trafic de réplication.
Par défaut, les liens de sites sont transitifs, ce qui signifie qu'un contrôleur de domaine
dans un site peut effectuer des connexions de réplication avec des contrôleurs de
domaine dans n'importe quel autre site. Ainsi, si le site A est connecté au site B, et si le
site B est connecté au site C, les contrôleurs de domaine du site A peuvent communiquer
avec les contrôleurs de domaine du site C. Lorsque vous créez un site, il se peut que
vous souhaitiez créer des liens supplémentaires pour permettre des connexions
spécifiques entre des sites et personnaliser des liens de sites existants.
La figure 11 montre deux sites connectés par un lien de sites. Parmi les six contrôleurs
de domaine représentés dans cette figure, deux sont des serveurs ponts (le rôle de
serveur pont est attribué automatiquement par le système).
Figure 11. Deux sites connectés par un lien de sites Le serveur pont de chaque
site est utilisé de manière préférentielle pour échanger des données entre les
sites.
Les serveurs ponts sont les serveurs choisis de préférence pour la réplication, mais vous
pouvez également configurer les autres contrôleurs de domaine du site pour qu'ils se
chargent de la réplication des modifications d'annuaire d'un site à l'autre.
Une fois les mises à jour répliquées d'un site sur le serveur pont de l'autre site, elles sont
répliquées vers les autres contrôleurs de domaine au sein du site par la réplication intra-
site. Bien qu'un seul contrôleur de domaine reçoive la mise à jour d'annuaire inter-sites
initiale, tous les contrôleurs de domaine servent les requêtes client.
Protocoles de réplication
Les données d'annuaire peuvent être échangées à l'aide des protocoles de réseau
suivants :
Réplication IP. La réplication IP utilise des RPC pour la réplication dans un même
site (réplication intra-site) et pour la réplication via des liens de sites (réplication
inter-sites). Par défaut, la réplication inter-sites se conforme aux plannings de
réplication. La réplication IP n'a pas besoin d'autorité de certification.
Réplication SMTP. Si un site ne dispose pas de connexion physique au reste de
votre réseau mais peut être joint par SMTP (Simple Mail Transfer Protocol), il ne
dispose que d'une connectivité par messagerie. La réplication SMTP n'est utilisée
que pour la réplication inter-sites. Vous ne pouvez pas utiliser la réplication SMTP
33
pour une réplication entre contrôleurs de domaine appartenant à un même
domaine ; SMTP ne prend en charge que la réplication inter-domaines (en
d'autres termes, SMTP ne peut être utilisé que pour la réplication inter-sites inter-
domaines). La réplication SMTP ne peut être utilisée que pour la réplication de
schéma, de configuration et de réplica partiel de catalogue global. La réplication SMTP se conforme au planning de réplication généré automatiquement.
Si vous décidez d'utiliser SMTP par l'intermédiaire de liens de sites, vous devez
installer et configurer une autorité de certification d'entreprise. Les contrôleurs de
domaine obtiennent auprès de l'autorité de certification des certificats qui leur
permettent ensuite de signer et de crypter les messages de courrier électronique
qui contiennent les données de réplication d'annuaire, garantissant ainsi
l'authenticité des mises à jour d'annuaire. La réplication SMTP utilise un cryptage sur 56 bits.
Réplication multimaître
Les contrôleurs de domaine de Active Directory prennent en charge la réplication
multimaître, en synchronisant les données sur chaque contrôleur de domaine et en
assurant la cohérence temporelle des données. La réplication multimaître réplique les
données de Active Directory entre les contrôleurs de domaine homologues, chacun
possédant une copie de l'annuaire en lecture/écriture. Il s'agit d'une nouveauté par
rapport au système d'exploitation Windows NT Server, dans lequel seul le contrôleur de
domaine principal disposait d'une copie de l'annuaire en lecture/écriture, les contrôleurs
de domaine secondaires ne recevant que des copies en lecture seule. Une fois configurée,
la réplication s'effectue de manière automatique et transparente.
Propagation de la mise à jour et numéros de séquence de mise à jour
Certains services d'annuaire utilisent des horodatages pour détecter et propager les
modifications. Avec de tels systèmes, il est impératif de s'assurer de la synchronisation
des horloges sur tous les serveurs d'annuaire. La synchronisation temporelle d'un réseau
est une tâche très ardue. Même si elle est excellente, l'heure d'un serveur d'annuaire
donné risque d'être mal réglée, ce qui peut entraîner la perte de mises à jour.
Le système de réplication de Active Directory propage les mises à jour indépendamment
du temps. En effet, il utilise des numéros de séquence de mise à jour (USN, Update
Sequence Number). Un USN est un nombre codé sur 64 bits maintenu par chaque
contrôleur de domaine Active Directory pour surveiller les mises à jour. Lorsque le
serveur écrit sur un attribut ou une propriété d'un objet Active Directory (y compris
l'écriture d'origine ou une écriture répliquée), l'USN est incrémenté et enregistré avec la
propriété mise à jour et une propriété spécifique au contrôleur de domaine. Cette
opération a lieu d'un seul tenant, c'est-à-dire que l'incrémentation et l'enregistrement de
l'USN ainsi que l'écriture de la propriété réussissent tous les trois ou échouent tous les
trois.
Chaque serveur Active Directory maintient également une table des USN reçus de ses
partenaires de réplication. L'USN le plus élevé reçu de chacun des partenaires est
enregistré. Lorsqu'un partenaire donné informe Active Directory d'une réplication
imminente, le serveur demande à recevoir toutes les modifications dont l'USN est
supérieur à la dernière valeur reçue. Cette approche simple ne dépend pas de la
précision des horodatages.
Comme l'USN enregistré dans la table est mis à jour au cours d'une opération groupée à
la réception de chaque mise à jour, la récupération après échec est aussi très simple.
Pour relancer la réplication, il suffit qu'un serveur demande à ses partenaires toutes les
modifications dont les USN sont supérieurs à la dernière entrée valide de la table. La
table étant mise à jour par une opération groupée au moment où les modifications sont
réellement effectuées, un cycle de réplication reprend toujours exactement là où il a été
interrompu, sans perte ni répétition des mises à jour.
Détection des collisions et numéros de version des propriétés
34
Dans un système de réplication multimaître comme celui de Active Directory, il est
possible que la même propriété soit mise à jour sur plusieurs réplicas différents. Si une
propriété est modifiée sur un deuxième (troisième, quatrième, etc.) réplica avant qu'une
modification du premier réplica ait été complètement propagée, une collision de
réplications se produit. Les collisions sont détectées à l'aide de numéros de version de
propriété. Contrairement aux USN, qui sont des valeurs spécifiques aux serveurs, un
numéro de version de propriété est spécifique à la propriété jointe à un objet dans Active
Directory. Lorsqu'une propriété est écrite pour la première fois sur un objet Active
Directory, le numéro de version est initialisé.
Les écritures d'origine incrémentent le numéro de version de propriété. Une écriture
d'origine est une écriture sur une propriété du système à l'origine de la modification. Les
écritures sur propriété engendrées par la réplication ne sont pas des écritures d'origine et
n'incrémentent pas le numéro de version. Par exemple, lorsqu'un utilisateur met à jour
son mot de passe, une écriture d'origine est effectuée et le numéro de version du mot de
passe est incrémenté. Par contre, les écritures de réplication du mot de passe modifié sur
d'autres serveurs n'incrémentent pas le numéro de version.
Il y a collision lorsque, lors d'une modification reçue par réplication, le numéro de version
reçu est égal au numéro de version enregistré localement, et que la valeur reçue et la
valeur enregistrées sont différentes. Dans ce cas, le système récepteur applique la mise
à jour dont l'horodatage est le plus récent. À l'exception de cette situation, l'heure et la
date n'interviennent pas dans la réplication.
Si le numéro de version reçu est inférieur au numéro de version enregistré localement, la
mise à jour est considérée comme caduque et rejetée. Si le numéro de version reçu est
supérieur au numéro de version enregistré localement, la mise à jour est acceptée.
Amortissement de la propagation
Le système de réplication de Active Directory autorise la présence de boucles dans la
topologie de réplication. L'administrateur peut ainsi configurer une topologie de
réplication comportant des chemins d'accès multiples entre serveurs pour accroître les
performances et la disponibilité. Le système de réplication de Active Directory pratique
l'amortissement de la propagation pour éviter que des modifications se propagent
indéfiniment et pour éliminer la transmission redondante de modifications à des réplicas
déjà à jour.
Pour amortir la propagation, le système de réplication de Active Directory utilise des
vecteurs de mise à jour. Le vecteur de mise à jour est une liste des paires serveur-USN
maintenues par chaque serveur. Le vecteur de mise à jour de chaque serveur indique
l'USN d'écritures d'origine le plus élevé reçu du serveur figurant dans la paire serveur-
USN. Le vecteur de mise à jour d'un serveur appartenant à un site donné répertorie tous
les autres serveurs de ce site15.
Lorsqu'un cycle de réplication commence, le serveur demandeur envoie son vecteur de
mise à jour au serveur émetteur. Le serveur émetteur utilise le vecteur de mise à jour
pour filtrer les modifications envoyées au serveur demandeur. Si l'USN le plus élevé pour
un serveur d'origine donné est supérieur ou égal à l'USN d'écriture d'origine d'une mise à
jour particulière, le serveur émetteur n'a pas besoin de transmettre la modification : le
serveur demandeur est déjà à jour par rapport au serveur d'origine.
35
Architecture Active Directory (dernière partie)
Utilisation de la délégation et de la stratégie de groupe avec les unités
d'organisation, les domaines et les sites
Vous pouvez déléguer des autorisations administratives pour les conteneurs Active
Directory suivants, auxquels vous pouvez également associer des stratégies de groupe :
unités d'organisation
domaines
sites
L'unité d'organisation est le plus petit conteneur Windows 2000 auquel vous pouvez
déléguer de l'autorité et appliquer une stratégie de groupe16. La délégation comme la
stratégie de groupe sont des fonctionnalités de sécurité du système d'exploitation
Windows 2000. Ce document décrit brièvement ces fonctionnalités du stricte point de vue
de l'architecture pour démontrer que la structure de Active Directory détermine la
manière d'utiliser la délégation et la stratégie de groupe des conteneurs.
L'attribution d'autorité administrative à des unités d'organisation, à des domaines ou à
des sites vous permet de déléguer l'administration des utilisateurs et des ressources.
L'attribution d'objets Stratégie de groupe à l'un ou l'autre de ces trois types de
conteneurs vous permet de définir des configurations de bureau et une politique de
sécurité pour les utilisateurs et les ordinateurs du conteneur. Les deux sous-sections
suivantes abordent ces thèmes de manière détaillée.
Délégation de conteneur
Dans le système d'exploitation Windows 2000, la délégation est ce qui permet à une
autorité administrative supérieure d'accorder des droits administratifs sur des unités
d'organisation, des domaines ou des sites à des groupes d'utilisateurs (ou à des
utilisateurs individuels). Vous pouvez ainsi réduire le nombre d'administrateurs disposant
d'une autorité globale sur des segments importants de la population des utilisateurs.
Déléguer le contrôle d'un conteneur vous permet de spécifier qui dispose des
autorisations nécessaires pour accéder à cet objet ou à ses objets enfants ou pour les
modifier. La délégation est l'une des fonctionnalités de sécurité les plus importantes de
Active Directory.
Délégation de domaine et d'unité d'organisation
Dans le système d'exploitation Windows NT 4.0, les administrateurs peuvent déléguer
une partie de l'administration en créant de multiples domaines qui leur permettent de
disposer d'ensembles d'administrateurs de domaine distincts. Dans Windows 2000, les
unités d'organisation sont plus faciles à créer, à supprimer, à déplacer et à modifier que
les domaines, et sont par conséquent plus adaptées à la délégation.
Pour déléguer de l'autorité administrative (à part l'autorité sur les sites, abordée dans la
section suivante), vous accordez à un groupe des droits spécifiques sur un domaine ou
une unité d'organisation en modifiant la liste de contrôle d'accès discrétionnaire (DACL)
du conteneur17. Par défaut, les membres du groupe de sécurité des administrateurs de
domaine ont autorité sur le domaine dans son ensemble, mais vous pouvez restreindre
l'appartenance à ce groupe à un nombre limité d'administrateurs en qui vous avez la plus
grande confiance. Pour créer des administrateurs à champ d'action limité, vous pouvez
déléguer de l'autorité à tous les niveaux de votre organisation, jusqu'au niveau le plus
bas, en créant un arborescence d'unités d'organisation au sein de chaque domaine et en
déléguant de l'autorité sur des parties de la sous-arborescence d'unités d'organisation.
36
Les administrateurs de domaine disposent d'un contrôle total sur tous les objets de leur
domaine. Par contre, ils n'ont aucun droit administratif sur les objets des autres
domaines18.
Vous pouvez déléguer l'administration d'un domaine ou d'une unité d'organisation à l'aide
de l'Assistant Délégation de contrôle, disponible dans le composant logiciel enfichable
Utilisateurs et ordinateurs Active Directory. Cliquez à l'aide du bouton droit de la souris
sur le domaine ou l'unité d'organisation de votre choix, sélectionnez Déléguer le contrôle,
ajoutez les groupes (ou les utilisateurs) auxquels vous souhaitez déléguer le contrôle,
puis déléguez les tâches courantes reprises dans la liste ou créez une tâche courante à
déléguer. Le tableau suivant reprend les tâches courantes que vous pouvez déléguer.
Tâches courantes de domaine que
vous pouvez déléguer
Tâches courantes d'unité d'organisation
que vous pouvez déléguer
Associer un ordinateur à un domaine
Administrer les liens de stratégie de
groupe
Créer, supprimer et administrer les comptes
d'utilisateur
Réinitialiser les mots de passe des comptes
d'utilisateur
Lire toutes les données utilisateur
Créer, supprimer et administrer les groupes
Modifier l'appartenance à un groupe
Administrer les imprimantes
Créer et supprimer des imprimantes
Administrer les liens de stratégie de groupe
En utilisant une combinaison d'unités d'organisation, de groupes et d'autorisations, vous
pouvez définir l'étendue administrative la plus appropriée à un groupe donné : un
domaine complet, une sous-arborescence d'unités d'organisation ou une unité
d'organisation unique. Par exemple, il se peut que vous souhaitiez créer une unité
d'organisation qui vous permette d'accorder le contrôle administratif à tous les
utilisateurs et à tous les comptes d'ordinateur de tous les services d'un même service, tel
que le service Comptabilité. D'autre part, il se peut que vous vouliez accorder le contrôle
administratif à certaines ressources du service, telles que les comptes d'ordinateur.
Enfin, une autre possibilité consisterait à accorder le contrôle administratif à l'unité
d'organisation Comptabilité, mais pas aux unités d'organisation qu'elle contient.
Dans la mesure où les unités d'organisation sont utilisées pour la délégation
administrative et ne constituent pas elles-mêmes des entités de sécurité, c'est l'unité
d'organisation parent d'un objet utilisateur qui indique qui administre cet objet. Par
contre, elle n'indique pas à quelles ressources cet utilisateur particulier peut accéder.
Délégation de site
Vous utilisez Sites et services Active Directory pour déléguer le contrôle sur des sites, des
conteneurs de serveur, des protocoles de transfert inter-sites (IP ou SMTP) ou des sous-
réseaux. La délégation de contrôle sur l'une ou l'autre de ces entités donne à
l'administrateur délégué la possibilité de manipuler cette entité, mais pas celle
d'administrer les utilisateurs ou les ordinateurs qu'elle contient.
Par exemple, lorsque vous déléguez le contrôle d'un site, vous pouvez choisir de déléguer
le contrôle de tous les objets, ou vous pouvez vous contenter de déléguer le contrôle
d'un ou de plusieurs objets situés dans ce site. Les objets dont vous pouvez déléguer le
contrôle sont les objets Utilisateur, Ordinateur, Groupe, Imprimante, Unité
d'organisation, Dossier partagé, Site, Lien de sites, Pont de lien de sites, etc. Vous êtes
ensuite invité à sélectionner la portée des autorisations que vous voulez déléguer
(générale, spécifique à une propriété ou simplement la création/suppression d'objets
enfants spécifiques). Si vous spécifiez une portée générale, vous êtes invité à accorder
une ou plusieurs des autorisations suivantes : Contrôle total, Lecture, Écriture, Création
de tous les objets enfants, Suppression de tous les objets enfants, Lecture de toutes les
propriétés, Écriture de toutes les propriétés.
Stratégie de groupe
37
Dans Windows NT 4.0, vous utilisez l'éditeur de stratégie système pour définir les
configurations utilisateur, groupe et ordinateur enregistrées dans la base de données du
registre Windows NT. Dans Windows 2000, la stratégie de groupe définit une gamme
plus large de composants gérables par les administrateurs dans l'environnement
utilisateur. Parmi ces composants se trouvent des paramètres pour les stratégies de
registre, des options de sécurité, des options de déploiement de logiciel, des scripts (pour
le démarrage et l'arrêt des ordinateurs et pour la connexion et la déconnexion des
utilisateurs) et une redirection de dossiers spéciaux19.
Le système applique les paramètres de configuration de stratégie de groupe aux
ordinateurs au moment de l'amorçage et aux utilisateurs lorsqu'ils ouvrent une session.
Pour appliquer les paramètres de stratégie de groupe aux utilisateurs ou aux ordinateurs
dans les sites, les domaines et les unités d'organisation, vous devez lier l'objet Stratégie
de groupe au conteneur de Active Directory des utilisateurs ou des ordinateurs
concernés.
Par défaut, la stratégie de groupe affecte tous les utilisateurs et tous les ordinateurs du
conteneur lié. Utilisez l'appartenance aux groupes de sécurité pour retenir les objets
Stratégie de groupe qui affectent les utilisateurs et les ordinateurs d'une unité
d'organisation, d'un domaine ou d'un site donné. Vous pouvez ainsi appliquer la stratégie
à un niveau plus granulaire. En d'autres termes, l'utilisation des groupes de sécurité vous
permet d'appliquer la stratégie à des ensembles d'objets spécifiques au sein d'un
conteneur. Pour filtrer la stratégie de groupe de cette manière, vous devez utiliser
l'onglet Sécurité de la page Propriétés d'un objet Stratégie de groupe, afin de décider
qui peut lire cet objet. L'objet n'est appliqué qu'aux utilisateurs dont les paramètres
Application de la stratégie de groupe et Lecture sont définis sur Autorisé (utilisateur
membre d'un groupe de sécurité). Toutefois, dans la mesure où les utilisateurs ordinaires
disposent de ces autorisations par défaut, la stratégie de groupe affecte tous les
utilisateurs et tous les ordinateurs du conteneur lié à moins que vous ne modifiiez
explicitement ces autorisations.
L'emplacement d'un groupe de sécurité dans Active Directory n'a aucun impact sur la
stratégie de groupe. Pour le conteneur spécifique auquel l'objet Stratégie de groupe est
appliqué, les paramètres de l'objet Stratégie de groupe déterminent :
les ressources de domaine (telles que les applications) dont les utilisateurs
peuvent disposer ; la configuration d'utilisation de ces ressources de domaine.
Par exemple, un objet Stratégie de groupe peut déterminer les applications dont les
utilisateurs peuvent disposer sur leur ordinateur lorsqu'ils ouvrent une session, le nombre
d'utilisateurs qui peuvent se connecter à Microsoft SQL Server quand il démarre sur un
serveur, ou encore les services auxquels les utilisateurs peuvent accéder lorsqu'ils
migrent vers des services ou des groupes différents. La stratégie de groupe vous permet
d'administrer un nombre restreint d'objets Stratégie de groupe plutôt qu'un grand
nombre d'utilisateurs et d'ordinateurs.
Les sites, les domaines et les unités d'organisation, contrairement aux groupes de
sécurité, n'accordent pas d'appartenance. Au contraire, ils contiennent et organisent des
objets d'annuaire. Vous pouvez utiliser les groupes de sécurité pour accorder des droits
et des autorisations aux utilisateurs, puis utiliser les trois types de conteneurs Active
Directory pour regrouper les utilisateurs et les ordinateurs et affecter des paramètres de
stratégie de groupe.
Dans la mesure où l'accès aux ressources est accordé via des groupes de sécurité, vous
jugerez peut-être qu'il est plus efficace d'utiliser les groupes de sécurité pour représenter
la structure d'organisation de votre entreprise plutôt qu'utiliser les domaines ou les
unités d'organisation pour refléter sa structure technique.
Par défaut, les paramètres de stratégie établis à l'échelle du domaine ou appliqués à une
unité d'organisation contenant d'autres unités d'organisation sont hérités par les
conteneurs enfants, à moins que l'administrateur ne spécifie explicitement que l'héritage
ne s'applique pas à l'un ou plusieurs de ces derniers.
38
Délégation du contrôle de la stratégie de groupe
Les administrateurs réseau (les membres des groupes Administrateurs d'entreprise et
Administrateurs de domaine) peuvent utiliser l'onglet Sécurité à la page Propriétés de
l'objet Stratégie de groupe pour déterminer les autres groupes d'administrateurs qui
peuvent modifier les paramètres de stratégie dans les objets Stratégie de groupe. Pour
ce faire, un administrateur réseau doit d'abord définir des groupes d'administrateurs (par
exemple celui des administrateurs du marketing), puis leur accorder l'accès en
lecture/écriture à des objets Stratégie de groupe précis. Le fait qu'il dispose du contrôle
total sur un objet Stratégie de groupe n'autorise pas un administrateur à le lier à un site,
à un domaine ou à une unité d'organisation. Toutefois, les administrateurs réseau
peuvent accorder ce pouvoir à l'aide de l'Assistant Délégation de contrôle.
Windows 2000 vous permet de déléguer de manière indépendante les trois tâches de
stratégie de groupe suivantes :
gestion des liens de stratégie de groupe pour un site, un domaine ou une unité
d'organisation ;
création d'objets Stratégie de groupe ;
modification d'objets Stratégie de groupe.
L'outil Stratégie de groupe, comme la plupart des autres outils d'administration de
Windows 2000, est hébergées dans les consoles MMC. Les droits de créer, de configurer
et d'utiliser les consoles MMC ont par conséquent des implications stratégiques. Vous
pouvez contrôler ces droits à l'aide de Stratégie de groupe sous
<nom d'objet Stratégie de groupe>/User Configuration/Administrative
Templates/Windows Components/Microsoft Management Console/
et ses sous-dossiers.
Le tableau 4 donne la liste des paramètres d'autorisation de sécurité pour un objet
Stratégie de groupe.
Tableau 4. Paramètres d'autorisation de sécurité pour un objet Stratégie de
groupe
Groupes (ou utilisateurs) Autorisation de sécurité
Utilisateur authentifié Lecture avec ACE Application de stratégie de
groupe
Administrateurs de domaine
Administrateurs d'entreprise
Système local de créateur
propriétaire
Contrôle total sans ACE Application de stratégie de
groupe
Remarque Par défaut, les administrateurs sont également des utilisateurs authentifiés,
ce qui signifie que leur attribut Application de stratégie de groupe est activé.
Pour des informations détaillées sur Stratégie de groupe, voir la section « Pour plus
d'informations » à la fin de ce document.
Interopérabilité
De nombreuses entreprises dépendent d'un ensemble de technologies variées qui doivent
collaborer. Active Directory prend en charge de nombreuses normes afin d'assurer
l'interopérabilité de l'environnement Windows 2000 avec d'autres produits Microsoft et
avec une large gamme de produits créés par d'autres éditeurs ou fabricants.
Cette section décrit les types d'interopérabilité suivants, pris en charge par Active
Directory :
Protocole LDAP
Interfaces de programmation d'applications (API)
Synchronisation de Active Directory avec d'autres services d'annuaire
39
Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité
Rôle de Kerberos dans l'interopérabilité Compatibilité ascendante avec le système d'exploitation Windows NT
Protocole LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est la norme industrielle de
l'accès aux annuaires. L'IETF (Internet Engineering Task Force) étudie actuellement LDAP
pour en faire une norme Internet.
Active Directory et LDAP
LDAP est le protocole principal d'accès aux annuaires qui permet d'ajouter, de modifier et
de supprimer des données enregistrées dans Active Directory, et qui permet en outre de
rechercher et de récupérer ces données. Le système d'exploitation Windows 2000 prend
en charge les versions 2 et 320 de LDAP. LDAP définit comment un client d'annuaire peut
accéder à un serveur d'annuaire, mais aussi comment il peut effectuer des opérations
d'annuaire et partager des données d'annuaire. En d'autres termes, les clients Active
Directory doivent utiliser LDAP pour obtenir des données de Active Directory ou pour y
maintenir des données.
LDAP permet à Active Directory d'être interopérable avec d'autres applications clientes
conformes à cette norme. Si vous disposez des autorisations nécessaires, vous pouvez
utiliser n'importe quelle application cliente conforme à LDAP pour parcourir et interroger
Active Directory ou pour y ajouter, y modifier ou y supprimer des données.
Interfaces de programmation d'applications
Vous pouvez utiliser les interfaces de programmation d'applications (API) suivantes pour
accéder aux données de Active Directory :
ADSI (Active Directory Service Interface).
API LDAP C.
Ces API sont décrites dans les deux sous-sections suivantes.
ADSI
ADSI (Active Directory Service Interface) permet d'accéder à Active Directory en
présentant les objets enregistrés dans l'annuaire comme des objets COM (Component
Object Model). Un objet d'annuaire est ainsi manipulé à l'aide des méthodes disponibles
dans une ou plusieurs des interfaces COM. ADSI dispose d'une architecture fournisseur
qui permet l'accès COM à différents types d'annuaires pour lesquels un fournisseur
existe.
À l'heure actuelle, Microsoft propose des fournisseurs ADSI pour Novell NDS (NetWare
Directory Services) et NetWare 3, Windows NT, LDAP et pour la métabase IIS (Internet
Information Services). (La métabase IIS rassemble les paramètres de configuration
d'IIS.) Le fournisseur LDAP peut être utilisé avec n'importe quel annuaire LDAP, dont
Active Directory, Microsoft Exchange 5.5 ou encore Netscape.
Vous pouvez utiliser ADSI à partir de nombreux outils différents, des applications
Microsoft Office à C/C++. ADSI est extensible, si bien que vous pouvez ajouter des
fonctionnalités à un objet ADSI pour prendre en charge de nouvelles propriétés et de
nouvelles méthodes. Par exemple, vous pouvez ajouter une méthode à l'objet utilisateur
qui crée une boîte aux lettres Exchange pour un utilisateur lorsque cette méthode est
appelée. ADSI possède un modèle de programmation très simple. Il permet de supprimer
la surcharge d'administration des données caractéristique des interfaces autres que COM,
40
comme les API LDAP C. ADSI est entièrement scriptable et permet donc de développer
facilement des applications Web étoffées. ADSI prend en charge ADO (ActiveX® Data
Objects) et OLE DB (Object Linking and Embedding Database) pour la formulation de
requêtes.
Les développeurs et les administrateurs peuvent ajouter des objets et des attributs à
Active Directory en créant des scripts basés sur ADSI (ainsi que des scripts basés sur
LDIFDE, abordé plus loin dans ce document).
API LDAP C
L'API LDAP C, définie dans la norme Internet RFC 1823, rassemble des API écrites en C
de bas niveau permettant une interface avec LDAP. Microsoft prend en charge les API
LDAP C sur toutes les plates-formes Windows.
Les développeurs peuvent choisir d'écrire leurs applications compatibles avec Active
Directory en utilisant des API LDAP C ou ADSI. Ils utilisent plus souvent les API LDAP C
pour faciliter la portabilité des applications compatibles annuaire sur la plate-forme
Windows. D'un autre côté, ADSI est un langage plus puissant et plus approprié pour les
développeurs qui écrivent du code compatible annuaires sur la plate-forme Windows.
Synchronisation de Active Directory avec d'autres services d'annuaire
Microsoft fournit des services de synchronisation d'annuaires qui vous permettent de
synchroniser Active Directory avec Microsoft Exchange 5.5, Novell NDS, Novell NetWare,
Lotus Notes et GroupWise. En outre, des utilitaires de ligne de commande vous
permettent d'importer et d'exporter des données d'annuaire à partir et vers d'autres
services d'annuaire.
Active Directory et Microsoft Exchange
Le système d'exploitation Windows 2000 dispose du service Connecteur Active Directory
qui permet une synchronisation bidirectionnelle avec Microsoft Exchange 5.5. Le
connecteur Active Directory offre un mappage étoffé des objets et des attributs lorsqu'il
synchronise les données entre les deux annuaires. Pour plus d'informations sur le
connecteur Active Directory, voir la section « Pour plus d'informations » à la fin de ce
document.
Active Directory et Novell NDS et NetWare
Microsoft compte livrer, dans le cadre des Services pour Netware 5.0, un service de
synchronisation d'annuaire qui permet une synchronisation bidirectionnelle entre Active
Directory et les produits Novell NDS et NetWare.
Active Directory et Lotus Notes
Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft
Exchange, Microsoft compte livrer un service de synchronisation d'annuaire qui effectuera
une synchronisation bidirectionnelle avec Lotus Notes en vue de synchroniser le courrier
électronique et d'autres attributs courants.
Active Directory et GroupWise
Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft
Exchange, Microsoft compte livrer un service de synchronisation d'annuaire qui effectuera
une synchronisation bidirectionnelle avec GroupWise en vue de synchroniser le courrier
électronique et d'autres attributs courants.
41
Active Directory et LDIFDE
Le système d'exploitation Windows 2000 fournit l'utilitaire de ligne de commande LDIFDE
pour la prise en charge de l'importation et de l'exportation des données d'annuaire. LDIF
(LDAP Data Interchange Format) est un projet de norme Internet, devenu une norme
industrielle, qui définit le format de fichier utilisé pour échanger des données d'annuaire.
LDIFDE est donc l'utilitaire Windows 2000 qui prend en charge l'importation de données
dans l'annuaire et l'exportation de données à partir de l'annuaire en utilisant LDIF.
LDIFDE vous permet d'exporter des données de Active Directory au format LDIF de sorte
que vous puissiez ensuite les importer dans un autre annuaire. Vous pouvez aussi utiliser
LDIFDE pour importer des données d'annuaire à partir d'un autre annuaire.
LDIFDE vous permet d'effectuer des traitements par lots, tels que l'ajout, la suppression,
le changement de nom ou la modification de données. Vous pouvez également remplir
Active Directory avec des données obtenues à partir d'autres sources, telles que d'autres
services d'annuaire. En outre, dans la mesure où le schéma de Active Directory est
enregistré dans l'annuaire lui-même, vous pouvez utiliser LDIFDE pour sauvegarder ou
étendre le schéma. Pour obtenir une liste des paramètres LDIFDE et savoir à quoi ils
servent, voir les rubriques d'aide de Windows 2000. Pour des informations sur l'utilisation
de LDIFDE pour des traitements par lots avec Active Directory, voir la section « Pour plus
d'informations » à la fin de ce document.
Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité
Un administrateur peut créer un objet de renvoi qui pointe sur un serveur dans un
annuaire extérieur à la forêt. Lorsqu'un utilisateur effectue une recherche dans une sous-
arborescence qui contient cet objet de renvoi, Active Directory renvoie un lien vers ce
serveur parmi les résultats et le client LDAP peut suivre le lien pour récupérer les
données requises par l'utilisateur.
De telles références sont des objets conteneurs Active Directory qui renvoient à un
annuaire extérieur à la forêt. Ici, une référence interne renvoie à un annuaire extérieur
qui apparaît dans l'espace de noms Active Directory comme enfant d'un objet Active
Directory existant, alors qu'une référence externe renvoie à un annuaire extérieur qui
n'apparaît pas en tant qu'enfant dans l'espace de noms Active Directory.
Tant pour les références internes qu'externes, Active Directory contient le nom de DNS
d'un serveur qui héberge une copie de l'annuaire extérieur ainsi que le nom unique de la
racine de l'annuaire extérieur à partir de laquelle les opérations de recherche doivent
débuter.
Rôle de Kerberos dans l'interopérabilité
Le système d'exploitation Windows 2000 prend en charge de nombreuses configurations
pour permettre une interopérabilité entre les plates-formes :
Clients. Un contrôleur de domaine Windows 2000 peut authentifier les systèmes
clients qui utilisent des mises en œuvre de Kerberos (RFC 1510), y compris s'ils
exécutent un système d'exploitation autre que Windows 2000. Les comptes
d'utilisateur et d'ordinateur Windows 2000 peuvent être utilisés comme des noms
principaux Kerberos pour des services UNIX.
Clients et services UNIX. Des clients et des serveurs UNIX peuvent disposer de
comptes Active Directory au sein d'un domaine Windows 2000 et peuvent donc
être authentifiés par un contrôleur de domaine. Dans un tel scénario, un nom
principal Kerberos est mappé sur un compte d'utilisateur ou d'ordinateur
Windows 2000.
Applications et systèmes d'exploitation. Les applications clientes pour
Win32® et pour les systèmes d'exploitation autres que Windows 2000 basés sur
42
l'API GSS (General Security Service) peuvent obtenir des tickets de session pour
des services au sein d'un domaine Windows 2000.
Dans un environnement qui utilise déjà un domaine Kerberos, le système d'exploitation
Windows 2000 prend en charge l'interopérabilité avec les services Kerberos :
Domaine Kerberos. Les systèmes Windows 2000 Professionnel peuvent
s'authentifier auprès d'un serveur Kerberos (RFC 1510) au sein d'un domaine
approuvé Kerberos avec une connexion commune au serveur et à un compte local
Windows 2000 Professionnel.
Relations d'approbation avec les domaines Kerberos. Il est possible d'établir
une relation d'approbation entre un domaine Windows 2000 et un domaine
Kerberos. En d'autres termes, un client d'un domaine Kerberos peut s'authentifier
auprès d'un domaine Active Directory pour accéder aux ressources réseau de ce domaine.
Compatibilité ascendante avec le système d'exploitation Windows NT
Un type particulier d'interopérabilité consiste à maintenir la compatibilité ascendante
avec les versions précédentes du système d'exploitation actuel. Le système d'exploitation
Windows 2000 s'installe par défaut dans une configuration réseau à mode mixte. Un
domaine à mode mixte est un ensemble d'ordinateurs mis en réseau qui exécutent à la
fois des contrôleurs de domaine Windows NT et Windows 2000. Dans la mesure où Active
Directory prend en charge ce mode mixte, vous pouvez mettre à niveau des domaines et
des ordinateurs au rythme qui vous convient, selon les besoins de votre organisation.
Active Directory prend en charge le protocole d'authentification NTLM (Windows NT LAN
Manager), utilisé par Windows NT, ce qui signifie que les utilisateurs et les ordinateurs
Windows NT autorisés peuvent se connecter à un domaine Windows 2000 et accéder à
ses ressources. Pour les clients Windows NT et les clients Windows 95 ou Windows 98 qui
n'exécutent pas le logiciel client Active Directory, un domaine Windows 2000 apparaît
comme un domaine Windows NT Server 4.0.
Résumé
L'introduction de Active Directory est sans aucun doute l'amélioration la plus significative
du système d'exploitation Windows 2000. Active Directory permet de centraliser et de
simplifier l'administration réseau et permet ainsi au réseau de garantir la prise en charge
des objectifs de l'entreprise.
Active Directory enregistre les informations sur les objets du réseau et les met à la
disponibilité des administrateurs, des utilisateurs et des applications. Il constitue un
espace de nom intégré avec le système de noms de domaine (DNS, Domain Name
System) d'Internet, et permet aussi de définir un serveur comme contrôleur de domaine.
Pour structurer le réseau Active Directory et ses objets, vous pouvez utiliser des
domaines, des arborescences, des forêts, des relations d'approbation, des unités
d'organisation et des sites. Vous pouvez déléguer la responsabilité administrative des
unités d'organisation, des domaines ou des sites aux personnes ou aux groupes de votre
choix, et vous pouvez attribuer des paramètres de configuration à ces trois conteneurs
Active Directory. Une telle architecture permet aux administrateurs d'administrer le
réseau de sorte que les utilisateurs puissent se consacrer totalement aux objectifs de leur
entreprise.
De nos jours, il est rare qu'une entreprise ne dépende pas de diverses technologies qui
doivent fonctionner ensemble. Active Directory est basé sur des protocoles d'accès aux
annuaires standard, qui, avec de multiples API, lui permettent d'interagir avec d'autres
services d'annuaire et une large gamme d'applications tierces. Enfin, Active Directory est
capable de synchroniser des données avec Microsoft Exchange et fournit des utilitaires de
43
ligne de commande qui permettent d'importer et d'exporter des données d'autres
services d'annuaire.
Pour plus d'informations
Pour obtenir les informations les plus récentes sur le système d'exploitation
Windows 2000, consultez Microsoft TechNet ou le site Web de Microsoft Windows 2000
Server (http://www.microsoft.com/france/windows/server/), le forum de Windows NT
Server sur MSN™ et le service en ligne The Microsoft Network (GO WORD: MSNTS).
Vous pouvez également explorer les liens suivants :
Kit de développement logiciel de la plate-forme Windows 2000
(http://www.microsoft.com/france/msdn/technologies/windows2000/)
— Utilisation de ADSI pour étendre le schéma par programme. Livre blanc « Introduction à la stratégie de groupe de Windows 2000 »
(http://www.microsoft.com/windows/server/Technical/management/GroupPolicyIntro.asp
(site en anglais))
— Détails de la stratégie de groupe de Windows 2000.
Visite guidée technique de la version Bêta 3 « Importation et exportation
groupées de et vers Active Directory »
(http://www.microsoft.com/Windows/server/Deploy/directory/Blkimpt.asp (site en
anglais))—
Utilisation de LDIFDE pour effectuer des traitements par lots avec Active
Directory.
Site Web de l'IETF (Internet Engineering Task Force – http://www.ietf.org/(site en
anglais)) –
RFC et projets de norme Internet de l'IETF.
Le Guide de planification du déploiement de Microsoft Windows 2000, qui explique
comment planifier la structure et le déploiement des domaines et des sites
Windows 2000, sera disponible en librairie dès début 2000. Il figure également parmi les
Outils de support sur les CD-ROM Windows 2000 Server et Windows 2000 Advanced
Server.
Annexe A : Outils
Cette annexe présente les logiciels que vous pouvez utiliser pour effectuer les tâches
associées à Active Directory.
Microsoft Management Console
Dans le système d'exploitation Windows 2000 Server, Microsoft Management Console
(MMC) fournit des interfaces cohérentes qui permettent aux administrateurs de visualiser
les fonctions réseau et d'utiliser les outils d'administration. Qu'ils soient responsables
d'un seul poste de travail ou d'un réseau d'ordinateurs, les administrateurs utilisent la
même console. MMC héberge des composants logiciels enfichables, qui traitent de tâches
d'administration réseau spécifiques. Quatre de ces composants logiciels enfichables sont
des outils Active Directory.
Composants logiciels enfichables Active Directory
Les outils d'administration Active Directory, livrés avec le système d'exploitation
Windows 2000 Server, simplifient l'administration des services d'annuaire. Vous pouvez
utiliser les outils standard ou MMC pour créer des outils personnalisés destinées à une
tâche d'administration spécifique. Vous pouvez combiner plusieurs outils en une console
44
unique. Vous pouvez également attribuer des outils personnalisés à des administrateurs
individuels responsables de tâches administratives spécifiques.
Les composants logiciels enfichables Active Directory suivants sont disponibles dans le
menu Outils d'administration Windows 2000 Server de tous les contrôleurs de domaine
Windows 2000 :
Utilisateurs et ordinateurs Active Directory
Domaines et approbations Active Directory Sites et services Active Directory
Le quatrième composant logiciel enfichable Active Directory est :
Schéma Active Directory
Il est recommandé d'étendre le schéma de Active Directory par programme, par
l'intermédiaire des ADSI ou de l'utilitaire LDIFDE. Toutefois, à des fins de développement
et de test, vous pouvez également visualiser et modifier le schéma de Active Directory
avec le composant logiciel enfichable Schéma Active Directory.
Schéma Active Directory n'est pas accessible par le menu Outils d'administration
Windows 2000 Server. Vous devez installer les outils d'administration Windows 2000 à
partir du CD-ROM Windows 2000 Server et les ajouter à une console MMC.
Il existe un cinquième composant logiciel enfichable lié à Active Directory :
Stratégie de groupe
La mise en œuvre de stratégies de groupe est une tâche liée à la gestion des utilisateurs,
des ordinateurs et des groupes dans Active Directory. Les objets Stratégie de groupe, qui
contiennent des paramètres de stratégie, contrôlent le paramétrage des utilisateurs et
des ordinateurs dans les sites, les domaines et les unités d'organisation. Pour créer ou
modifier des objets Stratégie de groupe, vous devez utilisez le composant logiciel
enfichable Stratégie de groupe, auquel vous accédez par le complément Utilisateurs et
ordinateurs Active Directory ou Sites et services Active Directory (selon la tâche que vous
voulez exécuter).
Pour utiliser les outils d'administration Active Directory à distance, à partir d'un
ordinateur qui n'est pas un contrôleur de domaine (par exemple, un ordinateur
Windows 2000 Professionnel), vous devez installer Outils d'administration Windows 2000.
Nouvelles procédures d'exécution de tâches courantes
Le tableau 5 liste les tâches que vous pouvez exécuter à l'aide des composants logiciels
enfichables Active Directory et des outils d'administration qui s'y rapportent. Pour les
utilisateurs du système d'exploitation Windows NT, le tableau indique également où ces
tâches sont exécutées lorsqu'ils utilisent les outils d'administration livrés avec Windows
NT Server 4.0.
Tableau 5. Tâches exécutées à l'aide des outils Active Directory et Stratégie de
groupe
Si vous souhaitez :
Avec Windows
NT 4.0, utilisez le
composant
suivant :
Avec Windows 2000, utilisez le
composant suivant :
installer un contrôleur de
domaine
Configuration
Windows
Assistant Installation de Active
Directory (accessible à partir de
Configurez votre serveur)
administrer des comptes Gestionnaire des Utilisateurs et ordinateurs Active
45
d'utilisateur utilisateurs Directory
administrer des groupes Gestionnaire des
utilisateurs
Utilisateurs et ordinateurs Active
Directory
administrer des comptes
d'ordinateur
Gestionnaire de
serveur
Utilisateurs et ordinateurs Active
Directory
ajouter un ordinateur à un
domaine
Gestionnaire de
serveurs
Utilisateurs et ordinateurs Active
Directory
créer ou administrer des
relations d'approbation
Gestionnaire des
utilisateurs
Domaines et approbations Active
Directory
administrer une stratégie
de compte
Gestionnaire des
utilisateurs
Utilisateurs et ordinateurs Active
Directory
administrer les droits de
l'utilisateur
Gestionnaire des
utilisateurs
Utilisateurs et ordinateurs Active
Directory :
modifiez l'objet Stratégie de groupe
du domaine ou de l'unité
d'organisation contenant les
ordinateurs auxquels les droits de
l'utilisateur s'appliquent.
administrer une stratégie
d'audit
Gestionnaire
d'utilisateurs
Utilisateurs et ordinateurs Active
Directory :
modifiez l'objet Stratégie de groupe
attribué à l'unité d'organisation des
contrôleurs de domaine.
appliquer des stratégies à
des utilisateurs ou à des
ordinateurs dans un site
Éditeur de stratégie
système
Stratégie de groupe, accessible à
partir du complément Sites et
services Active Directory
appliquer des stratégies à
des utilisateurs ou des
ordinateurs dans un
domaine
Éditeur de stratégie
système
Stratégie de groupe, accessible à
partir du complément Utilisateurs et
ordinateurs Active Directory
appliquer des stratégies à
des utilisateurs ou à des
ordinateurs dans une
unité d'organisation
Sans objet
Stratégie de groupe, accessible à
partir du complément Utilisateurs et
ordinateurs Active Directory
utiliser des groupes de
sécurité pour filtrer la
portée d'une stratégie
Sans objet
Modifier l'entrée autorisation pour
Appliquer la stratégie de groupe
sous l'onglet Sécurité à la page
Propriétés de l'objet Stratégie de
groupe.
Outils de ligne de commande Active Directory
Les administrateurs avancés et les spécialistes de la maintenance réseau peuvent
également utiliser toute une série d'outils de ligne de commande pour configurer,
administrer et dépanner Active Directory. Ces outils sont connus sous le nom d'Outils de
support et sont disponibles sur le CD-ROM de Windows 2000 Server dans le dossier
\SUPPORT\RESKIT. Ils sont décrits dans le tableau 6.
Tableau 6. Outils de ligne de commande associés à Active Directory
Outil Description
46
MoveTree Permet de déplacer des objets d'un domaine à un autre.
SIDWalker Permet d'appliquer les listes de contrôle d'accès à des objets qui
appartenaient à des comptes déplacés, isolés ou supprimés.
LDP Permet d'effectuer des opérations LDAP par rapport à Active Directory. Cet
outil dispose d'une interface utilisateur graphique.
DNSCMD
Permet de vérifier l'inscription dynamique des enregistrements de
ressources DNS, y compris la mise à jour sécurisée du DNS, ainsi que la
suppression des enregistrements de ressources.
DSACLS Permet de visualiser ou de modifier les listes de contrôle d'accès des
objets d'annuaire.
NETDOM
Permet le traitement par lots des approbations, l'ajout de nouveaux
ordinateurs aux domaines, la vérification des approbations et des canaux
sécurisés.
NETDIAG Permet de vérifier les fonctions de réseau et de services distribués de bout
en bout.
NLTest Permet de vérifier que le localisateur et le canal sécurisé fonctionnent.
REPAdmin
Permet de vérifier la cohérence de réplication entre partenaires de
réplication, de surveiller le statut de réplication, d'afficher les
métadonnées de réplication, de forcer des événements de réplication et de
forcer Knowledge Consistency Checker (KCC) à recalculer la topologie de
réplication.
REPLMon
Permet d'afficher la topologie de réplication, de surveiller l'état de la
réplication (y compris les stratégies de groupe), de forcer des événements
de réplication et de forcer Knowledge Consistency Checker (KCC) à
recalculer la topologie de réplication. Cet outil dispose d'une interface
utilisateur graphique.
DSAStat Permet de comparer les données d'annuaire sur les contrôleurs de
domaine et de détecter toute différence.
ADSIEdit
Composant logiciel enfichable MMC utilisé pour visualiser tous les objets
de l'annuaire (y compris les données de schéma et de configuration),
modifier les objets et appliquer des listes de contrôle d'accès aux objets.
SDCheck
Permet de vérifier la propagation et la réplication des listes de contrôle
d'accès pour des objets d'annuaire spécifiques. Cet outil aide
l'administrateur à déterminer si l'héritage des listes de contrôle d'accès est
correct et si les modifications des listes sont bien répliquées d'un
contrôleur de domaine à l'autre.
ACLDiag
Permet de déterminer si un utilisateur dispose ou non des droits d'accès
sur un objet d'annuaire. Cet outil peut également servir à réinitialiser les
listes de contrôle d'accès à leur état par défaut.
DFSCheck
Utilitaire de ligne de commande qui permet d'administrer tous les aspects
des systèmes de fichiers distribués (DFS), de vérifier la cohérence de
configuration des serveurs DFS et de visualiser la topologie DFS.
Page de référence des commandes Windows 2000
Vous trouverez une liste complète des commandes Windows 2000, ainsi que des
informations sur l'utilisation de chacune d'elles, dans les rubriques d'aide de
47
Windows 2000. Il vous suffit de taper « référence commandes » sous l'onglet Index ou
Recherche.
ADSI
Vous pouvez utiliser ADSI (Active Directory Service Interface) pour créer des scripts pour
toutes sortes d'usages. Le CD-ROM de Windows 2000 Server contient plusieurs exemples
de ADSI . Pour plus d'informations sur ADSI, voir les sections « ADSI » et « Pour plus
d'informations ».
© 1999 Microsoft Corporation. Tous droits réservés.
Les informations contenues dans ce document représentent l'opinion actuelle de
Microsoft Corporation sur les points cités à la date de publication. Microsoft s'adapte aux
conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un
engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité
de toute information présentée après la date de publication.
Ce livre blanc est fourni à des fins d'informations seulement. MICROSOFT N'OFFRE
AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, DANS CE DOCUMENT.
Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows et Windows NT sont soit
des marques de Microsoft Corporation, soit des marques déposées de Microsoft
Corporation aux États-Unis d'Amérique et/ou dans d'autres pays.
Les autres noms de produits ou de sociétés mentionnés dans ce document sont des
marques de leurs propriétaires respectifs.
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • États-Unis
0x99
1 Dans un domaine Windows 2000 Server, un contrôleur de domaine est un ordinateur
Windows 2000 Server qui gère l'accès utilisateur à un réseau, c'est-à-dire la connexion,
l'authentification et l'accès à l'annuaire et aux ressources partagées.
2 Une zone DNS est une partition d'un seul tenant de l'espace de noms DNS qui contient
les enregistrements de ressources pour les domaines DNS de cette zone.
3 LDAP est un protocole utilisé pour accéder à un service d'annuaire : voir les sections
« Noms LDAP » et « LDAP ».
4 Décrit dans le projet de norme Internet de l'IETF (Internet Engineering Task Force)
draft-ietf-dnsind-rfc2052bis-02.txt, « A DNS RR for specifying the location of services
(DNS SRV) » [Un enregistrement de ressources DNS permettant de spécifier
l'emplacement de services (DNS SRV)]. (Les projets de norme sont des documents de
travail de l'IETF, de ses domaines et de ses groupes de travail.)
5 Décrit dans la RFC 2136, « Observations on the use of Components of the Class A
Address Space within the Internet » [Observations sur l'utilisation des composants de
l'espace d'adresses de classe A sur l'Internet].
6 La façon dont les groupes sont définis dans Windows 2000 est légèrement différente de
celle dont ils sont définis dans Windows NT. Windows 2000 utilise deux types de groupe :
1. des groupes de sécurité (pour administrer l'accès des utilisateurs et des ordinateurs
aux ressources partagées et pour filtrer les paramètres de stratégie de groupe) ; et 2.
des groupes de distribution (pour créer des listes de distribution de courrier
électronique). Windows 2000 utilise également trois portées de groupe : 1. des groupes
avec une portée locale de domaine (pour définir et administrer l'accès aux ressources
dans les limites d'un domaine unique), 2. des groupes avec une portée globale (pour
administrer des objets d'annuaire qui exigent une maintenance quotidienne, comme les
comptes d'utilisateur et les comptes d'ordinateur. La portée globale vous permet de
grouper des comptes au sein d'un domaine), et 3. des groupes avec une portée
universelle (pour consolider les groupes qui chevauchent plusieurs domaines. Vous
pouvez ajouter des comptes d'utilisateur à des groupes à portée globale puis encapsuler
ces groupes dans des groupes à portée universelle). (Pour plus d'informations sur les
groupes Windows 2000, y compris sur le nouveau type de groupe universel, voir la
section « Pour plus d'informations » à la fin de ce document.)
7 Pour pouvoir recevoir le logo Certifié pour Windows, votre application doit être testée
par VeriTest, qui vérifie qu'elle est bien conforme aux spécifications arrêtées pour les
48
applications Windows 2000. Vous pouvez choisir n'importe quelle combinaison de plates-
formes, tant qu'elle comprenne l'un des systèmes d'exploitation Windows 2000. Les
applications pourront recevoir le logo « Certifié pour Microsoft Windows » si les tests de
conformité sont réussis et qu'un accord de licence logo est signé avec Microsoft. Le logo
que vous recevez indique les versions de Windows pour lesquelles votre produit est
certifié.
8 Active Directory prend en charge les versions 2 et 3 de LDAP, qui reconnaissent les
conventions d'affectation de noms des RFC 1779 et 2247.
9 Si aucun UPN n'a été ajouté, les utilisateurs peuvent se connecter en indiquant
explicitement leur nom d'utilisateur et le nom DNS du domaine racine.
10 Les stratégies de groupe qui contrôlent les paramètres par défaut des imprimantes du
point de vue de la publication sont Publier automatiquement les nouvelles
imprimantes dans Active Directory et Autoriser la publication des imprimantes
(cette dernière stratégie de groupe contrôle si les imprimantes d'une machine donnée
peuvent être publiées).
11 À comparer avec les versions précédentes de Windows NT Server, dans lesquelles la
base de données SAM était limitée à 40 000 objets par domaine.
12 Pour une description de cette charge supplémentaire, voir le « Guide de planification
du déploiement de Windows 2000 Server », qui traite de la planification de la structure et
du déploiement des domaines et des sites Windows 2000, dans la section « Pour plus
d'informations » à la fin de ce document.
13 Un DACL accorde ou refuse des droits sur un objet à des utilisateurs ou à des groupes
spécifiques.
14 Pour plus d'informations sur l'interopérabilité avec les domaines Kerberos, voir la
section « Rôle de Kerberos dans l'interopérabilité ».
15 Les vecteurs de mise à jour ne sont pas liés à un site donné. Un vecteur de mise à
jour comporte une entrée pour chacun des serveurs sur lesquels la partition d'annuaire
(contexte d'affectation de nom) peut être écrite.
16 Vous pouvez déléguer de l'autorité à des conteneurs, mais vous aussi accorder des
autorisations (comme la lecture/écriture) jusqu'au niveau de l'attribut d'un objet.
17 Dans la DACL d'un objet, les entrées de contrôle d'accès (ACE) qui déterminent qui
peut accéder à cet objet et le type d'accès. Lorsque vous créez un objet dans l'annuaire,
une DACL par défaut (définie dans le schéma) lui est affectée.
18 Par défaut, le groupe Administrateurs de l'entreprise reçoit le contrôle total sur tous
les objets d'une forêt.
19 Vous utilisez l'extension Redirection de dossier pour rediriger n'importe quel dossier
spécial suivant appartenant à un profil utilisateur vers un emplacement différent (comme
une partition réseau) : Données d'application, Bureau, Mes documents (et/ou Mes
images), Menu Démarrer.
20 LDAP version 2 est décrit dans la RFC 1777 ; LDAP version 3 est décrit dans la
RFC 2251.