48
1 Architecture Active Directory Système d'exploitation Livre blanc Résumé Pour pouvoir utiliser le système d'exploitation Microsoft® Windows® 2000 Server le plus efficacement possible, vous devez d'abord comprendre ce qu'est le service d'annuaire Active Directory™. Ce nouveau service Windows 2000 tient un rôle majeur dans la mise en œuvre du réseau de votre organisation et, par conséquent, dans la réalisation de vos objectifs professionnels. Ce document présente Active Directory aux administrateurs réseau, expose son architecture et décrit son mode de fonctionnement avec les applications et les autres services d'annuaire. Ce document s'appuie sur les informations disponibles à l'heure du lancement de la version Bêta 3 de Windows 2000. Les informations fournies pourront faire l'objet de modifications jusqu'au lancement de la version finale de Windows 2000 Server. Introduction La compréhension du service d'annuaire Active Directory™ est la première étape qui vous permet de comprendre le fonctionnement de Windows® 2000 et la manière dont ce système d'exploitation peut vous aider à atteindre les objectifs de votre entreprise. Ce document s'intéresse à Active Directory sous trois perspectives différentes : Stockage. Active Directory, le service d'annuaire de Windows 2000 Server, enregistre sous la forme de hiérarchies les informations relatives aux objets du réseau et met ces informations à la disposition des administrateurs, des utilisateurs et des applications. La première section de ce document donne la définition d'un service d'annuaire, décrit l'intégration du service Active Directory avec le système DNS (Domain Name System) Internet et explique l'actualisation de Active Directory lorsqu'un serveur est désigné en tant que contrôleur de domaine 1 . Structure. Active Directory permet d'organiser le réseau et ses objets à l'aide d'entités telles que les domaines, les arborescences, les forêts, les relations d'approbation, les unités d'organisation et les sites. La deuxième section de ce document décrit la structure et la fonction de ces composants Active Directory, ainsi que la manière dont cette architecture permet aux administrateurs de gérer le réseau pour que les utilisateurs puissent atteindre leurs objectifs professionnels. Intercommunications. Comme Active Directory s'appuie sur des protocoles d'accès aux annuaires standard, il peut fonctionner avec d'autres services d'annuaire. De même, les applications tierces qui prennent en charge ces protocoles peuvent accéder au service. La dernière section de ce document décrit les relations entre Active Directory et de nombreuses autres technologies. Avantages offerts par Active Directory L'introduction de Active Directory dans le système d'exploitation Windows 2000 apporte les avantages suivants : Intégration avec DNS. Active Directory utilise le système DNS (Domain Name System). DNS est un service standard Internet qui convertit les noms d'ordinateur lisibles par les utilisateurs (comme mon_ordinateur.microsoft.com) en adresses IP (Internet Protocol) numériques lisibles par les ordinateurs (quatre numéros

Architecture Active Directory

Embed Size (px)

Citation preview

Page 1: Architecture Active Directory

1

Architecture Active Directory

Système d'exploitation

Livre blanc

Résumé

Pour pouvoir utiliser le système d'exploitation Microsoft® Windows® 2000 Server le plus

efficacement possible, vous devez d'abord comprendre ce qu'est le service d'annuaire

Active Directory™. Ce nouveau service Windows 2000 tient un rôle majeur dans la mise

en œuvre du réseau de votre organisation et, par conséquent, dans la réalisation de vos

objectifs professionnels. Ce document présente Active Directory aux administrateurs

réseau, expose son architecture et décrit son mode de fonctionnement avec les

applications et les autres services d'annuaire.

Ce document s'appuie sur les informations disponibles à l'heure du lancement de la

version Bêta 3 de Windows 2000. Les informations fournies pourront faire l'objet de

modifications jusqu'au lancement de la version finale de Windows 2000 Server.

Introduction

La compréhension du service d'annuaire Active Directory™ est la première étape qui vous

permet de comprendre le fonctionnement de Windows® 2000 et la manière dont ce

système d'exploitation peut vous aider à atteindre les objectifs de votre entreprise. Ce

document s'intéresse à Active Directory sous trois perspectives différentes :

Stockage. Active Directory, le service d'annuaire de Windows 2000 Server,

enregistre sous la forme de hiérarchies les informations relatives aux objets du

réseau et met ces informations à la disposition des administrateurs, des

utilisateurs et des applications. La première section de ce document donne la

définition d'un service d'annuaire, décrit l'intégration du service Active Directory

avec le système DNS (Domain Name System) Internet et explique l'actualisation

de Active Directory lorsqu'un serveur est désigné en tant que contrôleur de

domaine1.

Structure. Active Directory permet d'organiser le réseau et ses objets à l'aide

d'entités telles que les domaines, les arborescences, les forêts, les relations

d'approbation, les unités d'organisation et les sites. La deuxième section de ce

document décrit la structure et la fonction de ces composants Active Directory,

ainsi que la manière dont cette architecture permet aux administrateurs de gérer

le réseau pour que les utilisateurs puissent atteindre leurs objectifs

professionnels.

Intercommunications. Comme Active Directory s'appuie sur des protocoles

d'accès aux annuaires standard, il peut fonctionner avec d'autres services

d'annuaire. De même, les applications tierces qui prennent en charge ces

protocoles peuvent accéder au service. La dernière section de ce document décrit les relations entre Active Directory et de nombreuses autres technologies.

Avantages offerts par Active Directory

L'introduction de Active Directory dans le système d'exploitation Windows 2000 apporte

les avantages suivants :

Intégration avec DNS. Active Directory utilise le système DNS (Domain Name

System). DNS est un service standard Internet qui convertit les noms d'ordinateur

lisibles par les utilisateurs (comme mon_ordinateur.microsoft.com) en adresses IP

(Internet Protocol) numériques lisibles par les ordinateurs (quatre numéros

Page 2: Architecture Active Directory

2

séparés par des points). Ainsi, des processus s'exécutant sur des ordinateurs

inscrits dans des réseaux TCP/IP peuvent s'identifier et se connecter entre eux.

Flexibilité des requêtes. Les utilisateurs et les administrateurs peuvent utiliser

la commande Rechercher du menu Démarrer, l'icône Favoris réseau sur le

bureau ou le composant logiciel enfichable Utilisateurs et ordinateurs Active

Directory pour rechercher rapidement un objet sur le réseau sur la base de ses

propriétés. Par exemple, vous pouvez effectuer la recherche sur le prénom, le

nom, le nom de messagerie, l'emplacement du bureau ou d'autres propriétés du

compte d'utilisateur. L'utilisation du catalogue global optimise la recherche

d'informations.

Capacités d'extension. Active Directory est extensible. En d'autres termes, les

administrateurs peuvent ajouter de nouvelles classes d'objets au schéma et de

nouveaux attributs aux classes d'objets existantes. Le schéma contient une

définition de toutes les classes d'objets et de leurs attributs, qui peuvent être

enregistrés dans l'annuaire. Par exemple, vous pouvez ajouter un attribut

Autorisation d'achat à l'objet Utilisateur, puis enregistrer la limite d'autorisation

d'achat de chaque utilisateur dans son compte d'utilisateur.

Administration par stratégie. Les stratégies de groupe sont des paramètres de

configuration appliqués aux ordinateurs ou aux utilisateurs lors de leur

initialisation. Tous les paramètres de stratégie de groupe sont contenus dans les

objets Stratégie de groupe (GPO) appliqués aux sites, aux domaines ou aux

unités d'organisation Active Directory. Les paramètres GPO définissent l'accès aux

objets d'annuaire et aux ressources de domaine, les ressources de domaine (telles

que les applications) mises à la disposition des utilisateurs et la configuration de

ces ressources.

Adaptabilité. Active Directory inclut un ou plusieurs domaines, possédant chacun

un ou plusieurs contrôleurs de domaine, vous permettant d'adapter l'annuaire aux

conditions requises par le réseau. Plusieurs domaines peuvent être associés dans

une arborescence de domaines et plusieurs arborescences de domaines peuvent

être regroupées dans une forêt. La structure la plus simple possible, un réseau à

un seul domaine, est à la fois un arborescence unique et une forêt unique.

Réplication d'informations. Active Directory utilise la réplication multimaître,

qui vous permet de mettre à jour l'annuaire sur n'importe quel contrôleur de

domaine. Le déploiement de plusieurs contrôleurs de domaine dans un seul

domaine garantit la tolérance de pannes et l'équilibrage de charge. Si le

fonctionnement d'un contrôleur de domaine au sein d'un domaine ralentit, s'arrête

ou échoue, les autres contrôleurs du même domaine peuvent fournir un accès à

l'annuaire, étant donné qu'ils possèdent les mêmes données d'annuaire.

Sécurité des informations. La gestion de l'authentification des utilisateurs et le

contrôle d'accès, tous deux entièrement intégrés dans Active Directory, sont les

fonctionnalités de sécurité clés du système d'exploitation Windows 2000. Active

Directory centralise l'authentification. Le contrôle d'accès peut être défini non

seulement sur chaque objet de l'annuaire, mais aussi sur chaque propriété de ces

objets. En outre, Active Directory fournit à la fois le stockage et l'étendue

d'application des stratégies de sécurité. (Pour plus d'informations sur

l'authentification d'ouverture de session et le contrôle d'accès Active Directory,

voir la section « Pour plus d'informations » à la fin de ce document.)

Interopérabilité. Comme Active Directory s'appuie sur des protocoles d'accès

aux annuaires standard, tels que LDAP (Lightweight Directory Access Protocol), il

peut fonctionner avec d'autres services d'annuaire utilisant ces protocoles.

Plusieurs interfaces de programmation d'applications (API), telles que l'interface

ADSI (Active Directory Service Interface), permettent aux développeurs d'accéder à ces protocoles.

À la fin de ce document, l'annexe A, « Outils », présente les outils logiciels qui vous

permettent d'exécuter les tâches associées à Active Directory.

Page 3: Architecture Active Directory

3

Service d'annuaire Active Directory

Avant d'aborder les sections principales de ce document (l'architecture de Active

Directory et son interopérabilité), cette section préliminaire analyse rapidement Active

Directory sous deux perspectives très différentes :

La première considère Active Directory sous sa forme la plus abstraite, c'est-à-

dire un espace de noms intégré au système DNS (Domain Name System)

Internet.

La seconde consiste à voir Active Directory sous sa forme la plus banale, c'est-à-dire un logiciel qui transforme un serveur en contrôleur de domaine.

Dans le contexte d'un réseau d'ordinateurs, un annuaire (aussi appelé un magasin de

données) est une structure hiérarchique permettant de stocker les informations sur les

objets du réseau. Ces objets comprennent les ressources partagées comme les serveurs,

les volumes partagés et les imprimantes, les comptes d'utilisateur et d'ordinateur réseau,

ainsi que les domaines, les applications, les services, les stratégies de sécurité et à peu

près tout ce qui reste sur votre réseau. Les informations qu'un annuaire de réseau peut

stocker pour un compte d'utilisateur sur un type particulier d'objet sont en général le

nom d'utilisateur, le mot de passe, l'adresse de messagerie, le numéro de téléphone, etc.

Un service d'annuaire diffère d'un annuaire en ce qu'il constitue à la fois la source

d'informations et les services rendant ces informations disponibles et exploitables aux

administrateurs, aux utilisateurs, aux services réseau et aux applications. Idéalement, un

service d'annuaire rend la topologie du réseau physique et les protocoles (formats de

transmission des données entre deux périphériques) transparents, de sorte qu'un

utilisateur peut accéder à toute ressource sans savoir où et comment elle est connectée

physiquement. Pour reprendre l'exemple du compte d'utilisateur, c'est le service

d'annuaire qui permet aux autres utilisateurs autorisés sur le même réseau d'accéder aux

informations enregistrées (comme par exemple une adresse de messagerie) sur l'objet

Compte d'utilisateur.

Les services d'annuaire prennent en charge une large palette de fonctionnalités. Certains

sont intégrés à un système d'exploitation et d'autres sont des applications, telles que les

annuaires de messagerie. Les services d'annuaire de système d'exploitation, comme

Active Directory, permettent de gérer des utilisateurs, des ordinateurs et des ressources

partagées. Les services d'annuaire qui prennent en charge la messagerie électronique,

comme Microsoft Exchange, permettent aux utilisateurs de rechercher d'autres

utilisateurs et de leur envoyer des messages.

Active Directory, le nouveau service d'annuaire central du système d'exploitation

Windows 2000 Server, s'exécute uniquement sur des contrôleurs de domaine. Active

Directory ne fournit pas seulement un emplacement de stockage de données et de

services permettant de rendre ces données accessibles , mais protège également les

objets du réseau contre les accès non autorisés et réplique les objets pour éviter toute

perte de données lors de l'échec d'un contrôleur de domaine.

Intégration de DNS dans Active Directory

Active Directory et DNS sont deux espaces de noms. Toute zone délimitée, au sein de

laquelle un nom donné peut être résolu, constitue un espace de noms. La résolution de

nom consiste à passer d'un nom à l'objet ou l'information que ce nom représente. Un

annuaire téléphonique constitue un espace de noms dans lequel les noms des abonnés

peuvent être résolus en numéros de téléphone. Le système de fichiers NTFS de

Windows 2000 constitue un espace de noms dans lequel le nom d'un fichier peut être

résolu pour obtenir le fichier lui-même.

DNS et Internet

Page 4: Architecture Active Directory

4

Pour comprendre comment Windows 2000 utilise les espaces de noms Active Directory et

DNS, il convient de s'intéresser à quelques éléments de base du système DNS lui-même

et à ses relations avec Internet et le protocole TCP/IP. Internet est un réseau TCP/IP. Les

protocoles de communication TCP/IP permettent de connecter des ordinateurs et de les

laisser transmettre des données sur les réseaux. Chaque ordinateur sur Internet ou sur

tout autre réseau TCP/IP (un réseau Windows, par exemple) possède une adresse IP.

DNS localise les hôtes TCP/IP (ordinateurs) en traduisant les noms d'ordinateur que les

utilisateurs comprennent en adresses IP compréhensibles pour les ordinateurs. Les

adresses IP sur Internet sont gérées à l'aide de la base de données DNS distribuée

globalement, mais DNS peut également être mis en œuvre localement pour gérer les

adresses sur des réseaux TCP/IP privés.

DNS, organisé en une arborescence de domaines, fait d'Internet un espace de noms

unique. DNS possède plusieurs domaines de premier niveau, subdivisés en domaines de

second niveau. La racine de l'espace de noms du domaine Internet est gérée par une

autorité Internet (actuellement, InterNIC, le centre d'informations du réseau Internet)

responsable de la délégation des responsabilités d'administration des domaines de

premier niveau de l'espace de noms DNS et de l'enregistrement des noms de domaines

de second niveau. Les domaines de premier niveau sont les domaines commerciaux

(.com), éducatifs (.edu), gouvernementaux (.gov), etc. En-dehors des États-Unis, des

codes de pays/région à deux lettres sont utilisés, comme par exemple .fr pour la France.

Les domaines de second niveau représentent des espaces de noms auxquels sont inscrits

de manière formelle des institutions (et des utilisateurs individuels) pour bénéficier d'une

présence sur Internet. La figure 1 montre comment un réseau d'entreprise se connecte à

l'espace de noms DNS d'Internet.

Figure 1. Intégration de l'espace de noms DNS d'Internet par Microsoft

Intégration des espaces de noms DNS et Active Directory

L'intégration de DNS et de Active Directory représente une fonctionnalité centrale de

Windows 2000 Server. Les domaines DNS et Active Directory utilisent des noms de

domaines identiques. Comme les deux espaces de noms partagent une structure de

domaines identique, il est important de bien comprendre qu'ils ne représentent pas le

même espace de noms. Chacun d'eux enregistre des données différentes et gère ainsi

des objets différents. DNS stocke les enregistrements de ressources et de zones2 ; Active

Directory stocke ses domaines et leurs objets.

Page 5: Architecture Active Directory

5

Les noms de domaines DNS s'appuient sur la structure de noms hiérarchique DNS, qui

est une arborescence inversée : un domaine racine unique, sous lequel peuvent se

trouver des domaines parents ou enfants (les branches et les feuilles). Par exemple, un

nom de domaine Windows 2000 tel que enfant.parent.microsoft.com fait référence à un

domaine nommé enfant, qui est un domaine enfant du domaine nommé parent, lui-

même enfant du domaine microsoft.com.

Chaque ordinateur d'un domaine DNS est identifié de manière unique par son nom de

domaine complet. Le nom de domaine complet d'un ordinateur situé dans le domaine

enfant.parent.microsoft.com est nom_de_l'ordinateur.enfant.parent.microsoft.com.

Chaque domaine Windows 2000 possède un nom DNS (par exemple, NomOrg.com) et

tous les ordinateurs Windows 2000 aussi (par exemple, ServeurCompt.NomOrg.com).

Ainsi, les domaines et les ordinateurs sont tous représentés comme des objets Active

Directory et comme des nœuds DNS (dans la hiérarchie DNS, un nœud représente un

domaine ou un ordinateur).

DNS et Active Directory utilisent tous deux une base de données pour la résolution des

noms.

DNS est un service de résolution de noms. DNS résout les noms de domaines

et les noms d'ordinateurs en renvoyant les adresses IP via les demandes reçues

par les serveurs DNS en tant que requêtes sur la base de données DNS. Plus

précisément, les clients DNS envoient des requêtes de noms DNS à leur serveur

DNS configuré. Le serveur DNS reçoit la requête de nom et la résout par

l'intermédiaire de fichiers enregistrés localement ou consulte un autre serveur

DNS pour la résolution. DNS n'a pas besoin de Active Directory pour fonctionner.

Active Directory est un service d'annuaire. Il résout les noms d'objets de

domaine en renvoyant des enregistrements d'objets par l'intermédiaire de

demandes de modification ou de recherche LDAP (Lightweight Directory Access

Protocol)3 reçues par les contrôleurs de domaine et qui s'appliquent à la base de

données Active Directory. En d'autres termes, les clients Active Directory utilisent

LDAP pour envoyer des requêtes aux serveurs Active Directory. Pour localiser un

tel serveur, un client Active Directory interroge DNS. Active Directory utilise donc

DNS comme service localisateur, pour résoudre les noms de domaines, de sites et

de services et renvoyer des adresses IP. Par exemple, pour se connecter à un

domaine Active Directory, un client peut demander à son serveur DNS l'adresse IP

du service LDAP en cours d'exécution sur un contrôleur de domaine d'un domaine

spécifié. Active Directory requiert DNS.

Dans la pratique, les espaces de noms DNS et Active Directory d'un environnement

Windows 2000 diffèrent dans la mesure où l'enregistrement d'hôte DNS représentant un

ordinateur spécifique d'une zone DNS se trouve dans un autre espace de noms que

l'objet Compte d'ordinateur du domaine Active Directory représentant le même

ordinateur.

En résumé, Active Directory est intégré à DNS de différentes manières :

Les domaines Active Directory et DNS sont organisés sous des structures

hiérarchiques identiques. Bien qu'ils diffèrent et soient mis en œuvre

différemment pour des objectifs distincts, les espaces de noms d'une organisation

pour ces deux types de domaines ont une structure identique. Par exemple,

microsoft.com est à la fois un domaine DNS et un domaine Active Directory.

Les zones DNS peuvent être enregistrées dans Active Directory. Si vous

utilisez le service DNS de Windows 2000, les zones principales peuvent être

enregistrées dans Active Directory pour être répliquées vers d'autres contrôleurs

de domaine Active Directory et pour assurer une meilleure sécurité du service

DNS.

Les clients Active Directory utilisent DNS pour localiser les contrôleurs de

domaine. Dans le cas d'un domaine particulier, les clients Active Directory demandent à leur serveur DNS les enregistrements de ressources spécifiques.

Page 6: Architecture Active Directory

6

Active Directory et l'espace de noms DNS global

Active Directory a été conçu pour exister au sein de l'espace de noms DNS global

d'Internet. Lorsqu'une organisation équipée du système d'exploitation réseau

Windows 2000 Server souhaite être présente sur Internet, l'espace de noms Active

Directory est conservé sous la forme d'un ou de plusieurs domaines hiérarchiques

Windows 2000 au-dessous d'un domaine racine enregistré comme espace de noms DNS.

(L'organisation peut choisir de ne pas faire partie de l'espace de noms DNS global

d'Internet, mais le service DNS sera toujours requis pour localiser les ordinateurs

Windows 2000.)

Selon les conventions d'affectation des noms DNS, chaque partie séparée par un point (.)

représente un nœud dans l'arborescence DNS et un nom de domaine Active Directory

potentiel dans l'arborescence des domaines Windows 2000. Comme l'illustre la figure 2,

la racine de l'arborescence DNS est un nœud de nom nul (« »). La racine de l'espace de

noms Active Directory (la racine de la forêt) n'a pas de parent et fournit le point d'entrée

LDAP dans Active Directory.

Figure 2. Comparaison des racines des espaces de noms DNS et Active Directory

Enregistrements de ressources SRV et mises à jour dynamiques

DNS existe indépendamment de Active Directory, tandis que ce dernier a spécialement

été conçu pour utiliser DNS. Pour qu'Active Directory fonctionne correctement, les

serveurs DNS doivent prendre en charge les enregistrements des ressources SRV4

(Emplacement du service). Ces enregistrements mappent le nom d'un service en

renvoyant le nom d'un serveur offrant ce service. Les clients et les contrôleurs de

domaine Active Directory utilisent les enregistrements des ressources SRV pour

déterminer les adresses IP des contrôleurs de domaine.

Remarque Pour plus d'informations sur la planification du déploiement de serveurs DNS

comme support de vos domaines Active Directory, et sur d'autres problèmes liés au

déploiement, voir le Guide de planification du déploiement de Microsoft Windows 2000

Server dans la section « Pour plus d'informations » de ce document.

Les serveurs DNS d'un réseau Windows 2000 doivent prendre en charge les

enregistrements de ressources SRV, mais Microsoft recommande également la prise en

charge des mises à jour dynamiques DNS5. Celles-ci définissent un protocole de mise à

jour d'un serveur DNS avec de nouvelles valeurs ou des valeurs modifiées. Sans ce

protocole, les administrateurs doivent configurer manuellement les enregistrements créés

par les contrôleurs de domaine et enregistrés par les serveurs DNS.

Le nouveau service DNS de Windows 2000 prend en charge à la fois les enregistrements

de ressources SRV et les mises à jour dynamiques. Si vous voulez utiliser un serveur

DNS non Windows 2000, vous devez vous assurer qu'il prend en charge les

enregistrements de ressources SRV ou effectuer sa mise à niveau vers une version qui

les prend en charge. Dans le cas d'un serveur DNS hérité de ce type mais ne prenant pas

en charge les mises à jour dynamiques, vous devez mettre les enregistrements de

ressources à jour manuellement lorsque vous définissez un serveur Windows 2000

comme contrôleur de domaine. Pour ce faire, utilisez le fichier Netlogon.dns (situé dans

le dossier %systemroot%\System32\config), créé par l'Assistant Installation de Active

Directory.

Création de contrôleurs de domaine à l'aide de Active Directory

La mise en œuvre et l'administration d'un réseau sont des tâches concrètes. Pour

comprendre comment Active Directory fonctionne dans la pratique, vous devez d'abord

savoir que son installation sur un ordinateur Windows 2000 Server a pour effet de

transformer le serveur en contrôleur de domaine. Un contrôleur de domaine ne peut

héberger qu'un seul domaine.

Page 7: Architecture Active Directory

7

Plus précisément, il s'agit d'un ordinateur Windows 2000 Server, configuré à l'aide de

l'Assistant Installation de Active Directory, qui installe et configure les composants

permettant aux utilisateurs et aux ordinateurs du réseau d'utiliser les services d'annuaire

Active Directory. Les contrôleurs de domaine enregistrent les données d'annuaire du

domaine (comme les stratégies de sécurité système et les données d'authentification de

l'utilisateur) et gèrent les interactions entre domaines, y compris les processus

d'ouverture de session, d'authentification et de recherche dans l'annuaire.

La définition d'un serveur comme contrôleur de domaine à l'aide de l'Assistant

Installation de Active Directory entraîne la création d'un domaine Windows 2000 ou

l'ajout de contrôleurs de domaine supplémentaires à un domaine existant.

Cette section décrit les contrôleurs de domaine Active Directory et leur rôle sur le réseau.

Avec l'introduction de Active Directory, les contrôleurs de domaine Windows 2000

fonctionnent comme des homologues. Le concept de rôles supérieur-subordonné des

contrôleurs de domaine principaux (PDC) et secondaires (BDC) Windows NT Server est

donc abandonné. Les contrôleurs de domaine prennent en charge la réplication

multimaître et répliquent les informations Active Directory entre tous les contrôleurs de

domaine. L'introduction de la réplication multimaître permet aux administrateurs

d'effectuer des mises à jour Active Directory sur n'importe quel contrôleur de domaine

Windows 2000 du domaine. Dans Windows NT Server, seul le contrôleur PDC dispose

d'une copie en lecture et écriture de l'annuaire ; il réplique ensuite une copie en lecture

seule des informations d'annuaire vers les contrôleurs BDC. (Pour des informations plus

détaillées sur la réplication multimaître, voir la section « Réplication multimaître ».)

La mise à niveau du système d'exploitation vers Windows 2000 à partir d'un domaine

existant peut s'effectuer par étapes, de la manière qui vous convient le mieux. Lorsque le

premier contrôleur de domaine d'une nouvelle installation est créé, plusieurs entités sont

automatiquement chargées en même temps qu'Active Directory. Les sous-sections

suivantes développent les deux aspects différents de l'installation d'un contrôleur de

domaine Active Directory sur un nouveau réseau :

Le premier contrôleur de domaine est un serveur de catalogue global.

Le premier contrôleur de domaine joue le rôle de maître d'opérations.

Catalogue global

Le système d'exploitation Windows 2000 introduit le catalogue global, une base de

données conservée sur un ou plusieurs contrôleurs de domaine. Il joue un rôle majeur

dans la connexion des utilisateurs et le mécanisme des requêtes.

Par défaut, un catalogue global est créé automatiquement sur le contrôleur de domaine

initial de la forêt Windows 2000 et chaque forêt doit en posséder au moins un. Si vous

utilisez plusieurs sites, vous voudrez peut-être affecter un contrôleur de domaine comme

catalogue global sur chaque site, car un tel catalogue est nécessaire pour terminer le

processus d'authentification d'ouverture de session (il détermine le groupe

d'appartenance d'un compte) dans le cadre des domaines en mode natif. Les domaines

en mode mixte, par contre, ne nécessitent aucune requête de catalogue global pour

l'ouverture de session.

Une fois que des contrôleurs de domaine supplémentaires ont été installés dans la forêt,

vous pouvez changer l'emplacement par défaut du catalogue global en précisant un autre

contrôleur de domaine à l'aide de l'outil Sites et services Active Directory. Si vous le

souhaitez, vous pouvez configurer un contrôleur de domaine quelconque pour héberger

un catalogue global, selon les besoins de votre organisation en matière de demandes

d'ouverture de session et de recherche. Plus il y a de serveurs de catalogue global, plus

la réponse aux demandes de l'utilisateur est rapide ; en contrepartie, l'activation de

nombreux contrôleurs de domaine comme serveurs de catalogue global augmente le

trafic réseau de réplication.

Le catalogue global joue un rôle dans deux processus clés de Active Directory, l'ouverture

de session et le traitement des requêtes :

Page 8: Architecture Active Directory

8

Ouverture de session. Dans un domaine en mode natif, le catalogue global

permet aux clients Active Directory d'ouvrir une session sur le réseau en

fournissant à un contrôleur de domaine les informations d'appartenance aux

groupes universels6 du compte qui envoie la demande d'ouverture de session. En

fait, les utilisateurs mais aussi tous les objets s'authentifiant à Active Directory

doivent référencer le serveur de catalogue global, y compris les ordinateurs en

cours de démarrage. Dans une installation à plusieurs domaines, au moins un

contrôleur de domaine détenant le catalogue global doit être en cours d'exécution

et disponible pour que les utilisateurs puissent ouvrir une session. Un serveur de

catalogue global doit également être disponible lorsqu'un utilisateur ouvre une

session en précisant un nom UPN (nom utilisateur principal) non défini par défaut.

(Pour plus d'informations sur l'ouverture de session, voir la section « Noms

d'ouverture de session : noms UPN et noms de comptes SAM ».)

Si aucun catalogue global n'est disponible lorsqu'un utilisateur initialise un

processus d'ouverture de session sur le réseau, l'utilisateur ne peut se connecter

qu'à l'ordinateur local (et non au réseau). L'unique exception à cette règle

concerne les utilisateurs membres du groupe des administrateurs de domaines,

qui sont en mesure d'ouvrir une session sur le réseau même si aucun catalogue global n'est disponible.

Traitement des requêtes. Dans une forêt contenant de nombreux domaines, le

catalogue global permet aux clients d'effectuer des recherches rapides et aisées

sur l'ensemble des domaines, sans avoir à parcourir chaque domaine individuel. Il

rend les structures de répertoires d'une forêt transparentes aux utilisateurs finaux

à la recherche d'informations. La majorité du trafic réseau correspond au

traitement des requêtes : les informations demandées par les utilisateurs, les

administrateurs et les programmes sur les objets d'annuaire. L'annuaire est

soumis à davantage de requêtes que de mises à jour. Pour améliorer le temps de

réponse aux utilisateurs qui recherchent des informations dans l'annuaire, vous

pouvez affecter plusieurs contrôleurs de domaine comme serveurs de catalogue

global. Il convient toutefois de trouver un juste équilibre car cette opération peut également augmenter le trafic réseau de réplication.

Rôles de maître d'opérations

La réplication multimaître entre contrôleurs de domaine homologues est impossible pour

certains types de modifications. Seul un contrôleur de domaine, le maître d'opérations,

accepte les demandes de modification de ce genre. Comme la réplication multimaître

joue un rôle important dans les réseaux Active Directory, il est essentiel que vous

connaissiez ces exceptions. Dans toute forêt Active Directory, le contrôleur de domaine

initial se voit assigner au moins cinq rôles différents de maître d'opérations pendant

l'installation.

Lorsque vous créez le premier domaine d'une nouvelle forêt, les cinq rôles sont assignés

automatiquement au premier contrôleur de ce domaine. Dans une forêt Active Directory

de petite taille contenant un seul domaine et un seul contrôleur de domaine, ce dernier

tiendra tous les rôles de maître d'opérations. Dans un réseau de plus grande taille, d'un

ou de plusieurs domaines, vous pouvez réattribuer ces rôles à un ou à plusieurs autres

contrôleurs de domaine. Certains rôles doivent être tenus dans chaque forêt, d'autres

dans chaque domaine d'une forêt.

Les deux rôles suivants doivent être uniques au niveau d'une forêt, ce qui signifie que

seul l'un des deux peut être appliqué sur l'ensemble d'une forêt :

Contrôleur de schéma. Le contrôleur de domaine qui tient le rôle de contrôleur

de schéma contrôle toutes les mises à jour et les modifications appliquées au

schéma. Le schéma définit chaque objet (et ses attributs) qui peut être enregistré

Page 9: Architecture Active Directory

9

dans l'annuaire. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès

au contrôleur de schéma.

Maître d'affectation de nom de domaine. Le contrôleur de domaine qui tient le

rôle de maître d'affectation de nom de domaine contrôle l'ajout et la suppression

de domaines dans la forêt.

Les trois rôles suivants doivent être uniques au niveau de chaque domaine. Seul un rôle

peut être tenu par domaine dans la forêt :

Maître RID (Relative ID). Le maître RID alloue des séquences d'identificateurs

relatifs (RID) à chaque contrôleur de son domaine. Chaque fois qu'un contrôleur

de domaine crée un objet Utilisateur, Groupe ou Ordinateur, il attribue à

l'objet un identificateur unique de sécurité (SID). Cet identificateur est composé

d'un identificateur de sécurité de domaine (identique pour tous les SID créés dans

le domaine) et d'un identificateur relatif (unique pour chaque SID créé dans le

domaine). Lorsque le contrôleur de domaine a épuisé son pool de RID, il en

demande un autre au maître RID.

Émulateur PDC. Si le domaine contient des ordinateurs fonctionnant sans le

logiciel client Windows 2000 ou des contrôleurs de domaine secondaires Windows

NT, l'émulateur PDC (Primary Domain Controller) agit comme un contrôleur de

domaine principal Windows NT. Il traite les changements de mots de passe client

et réplique les mises à jour vers les contrôleurs BDC. L'émulateur PDC reçoit la

réplication préférentielle des changements de mots de passe effectués par

d'autres contrôleurs du domaine. En cas d'échec d'authentification d'ouverture de

session au niveau d'un autre contrôleur de domaine en raison d'un mot de passe

incorrect, le contrôleur transmet la demande d'authentification à l'émulateur PDC

avant de rejeter la tentative d'ouverture de session.

Maître d'infrastructure. Le maître d'infrastructure est responsable de la mise à

jour de toutes les références croisées des domaines lors du déplacement d'un

objet référencé par un autre. Par exemple, chaque fois que des membres de

groupes sont renommés ou modifiés, le maître d'infrastructure met à jour les

références des groupes aux utilisateurs. Lorsque vous renommez ou déplacez un

membre d'un groupe (et que ce membre réside dans un autre domaine que le

groupe), le groupe risque de ne pas contenir ce membre temporairement. Le

maître d'infrastructure du domaine du groupe en question est responsable de la

mise à jour du groupe, qui connaît ainsi le nouveau nom ou le nouvel emplacement du membre.

Le maître d'infrastructure distribue la mise à jour par réplication multimaître.

N'attribuez pas ce rôle au contrôleur de domaine qui héberge le catalogue global,

à moins que le domaine ne contienne qu'un seul contrôleur. Si vous procédez

ainsi, le maître d'infrastructure ne fonctionnera pas. Si tous les contrôleurs d'un

domaine hébergent le catalogue global (même s'il n'existe qu'un seul contrôleur

de domaine), ils disposent tous des données actualisées et le rôle de maître d'infrastructure n'est pas indispensable.

Page 10: Architecture Active Directory

10

Architecture Active Directory (2ème partie)

Architecture

L'installation d'un contrôleur de domaine Active Directory crée simultanément le domaine

Windows 2000 initial ou ajoute le nouveau contrôleur à un domaine existant. Comment

les contrôleurs de domaine et les domaines s'inscrivent-ils dans l'architecture globale du

réseau ?

Cette section détaille les composants d'un réseau Active Directory et leur organisation.

En outre, elle décrit comment déléguer la responsabilité d'administration d'unités

d'organisation, de domaines ou de sites aux personnes appropriées et comment assigner

des paramètres de configuration à ces trois conteneurs Active Directory. Cette section

comprend les rubriques suivantes :

Objets (y compris le schéma)

Conventions d'affectation de nom d'objet (dont les noms des entités de sécurité,

les SID, les noms LDAP, les GUID d'objets et les noms d'ouverture de session)

Publication d'objets

Domaines (y compris les arborescences, les forêts, les approbations et les unités

d'organisation)

Sites (y compris la réplication)

Application de la délégation et des stratégies de groupe aux unités d'organisation, aux domaines et aux sites

Objets

Les objets Active Directory sont des éléments qui constituent un réseau. Un objet est un

ensemble d'attributs nommé et circonscrit qui représente un élément concret, comme un

utilisateur, une imprimante ou une application. Lorsque vous créez un objet Active

Directory, certains de ses attributs sont paramétrés automatiquement et d'autres vous

sont demandés. Par exemple, si vous créez un objet Utilisateur, Active Directory fournit

l'identificateur globalement unique (GUID, Globally Unique Identifier) tandis que vous

fournissez les valeurs d'attributs tels que le prénom et le nom de l'utilisateur,

l'identificateur d'ouverture de session, etc.

Schéma

Le schéma est une description des classes d'objet (différents types d'objet) et de leurs

attributs. Le schéma définit les attributs que chaque classe d'objet doit posséder, les

attributs supplémentaires dont elle doit disposer et la classe d'objet dont elle peut être

l'enfant. Chaque objet Active Directory est une instance d'une classe d'objet. Chaque

attribut est défini une seule fois mais peut être utilisé dans plusieurs classes. C'est le cas,

par exemple, de l'attribut Description, qui est utilisé dans de nombreuses classes

différentes.

Le schéma est enregistré dans Active Directory. Les définitions du schéma sont elles-

mêmes enregistrées comme objets (les objets Schéma de classe et Schéma d'attributs).

Active Directory peut ainsi gérer les objets de classe et d'attribut comme les autres

objets d'annuaire.

Les applications qui créent ou modifient des objets Active Directory utilisent le schéma

pour déterminer les attributs que l'objet doit posséder et à quoi ces attributs peuvent

ressembler en termes de structure des données et de contraintes de syntaxe.

Les objets sont soit des objets conteneurs, soit des objets feuilles (également appelés

objets non-conteneurs). Les objets conteneurs stockent d'autres objets, alors que les

Page 11: Architecture Active Directory

11

objets feuilles, non. Par exemple, un dossier est un objet conteneur de fichiers, qui sont

eux-mêmes des objets feuilles.

Chaque classe d'objet du schéma Active Directory possède des attributs qui

garantissent :

l'identification unique de chaque objet d'un magasin de données d'annuaire ;

la compatibilité pour les entités de sécurité (utilisateurs, ordinateurs ou groupes)

avec les identificateurs de sécurité (SID) utilisés dans les systèmes d'exploitation

Windows NT 4.0 et antérieurs ; la conformité aux normes LDAP en matière de noms d'objets d'annuaire.

Attributs du schéma et requêtes

L'outil Schéma Active Directory permet de marquer un attribut comme indexé. Cela a

pour effet d'ajouter toutes les instances de cet attribut à l'index et non pas seulement

celles qui sont membres d'une classe particulière. L'indexation d'un attribut permet de

retrouver plus rapidement les objets possédant cet attribut.

Vous pouvez également inclure des attributs dans le catalogue global. Ce dernier contient

un ensemble d'attributs par défaut pour chaque objet de la forêt, mais vous pouvez en

ajouter d'autres. Les utilisateurs et les applications utilisent le catalogue global pour

localiser des objets dans une forêt. Ajoutez-y uniquement des attributs possédant les

caractéristiques suivantes :

Utilité globale. L'attribut doit pouvoir servir à localiser des objets (même pour

un accès en lecture, seulement) sur l'ensemble d'une forêt.

Non-volatilité. L'attribut ne doit pas changer, ou bien très rarement. Les

attributs d'un catalogue global sont répliqués vers tous les autres catalogues

globaux de la forêt. Si l'attribut change souvent, le trafic de réplication augmente

de manière significative.

Petite taille. Les attributs d'un catalogue global sont répliqués vers tous les

autres catalogues globaux de la forêt. Plus l'attribut sera petit, moins sa

réplication aura d'impact sur le trafic du réseau.

Noms des objets de schéma

Comme précisé plus haut, les classes et les attributs sont tous des objets de schéma. En

tant que tels, ils peuvent être référencés par les types de noms suivants :

Nom complet LDAP. Le nom complet LDAP est globalement unique pour chaque

objet de schéma. Il est composé d'un ou de plusieurs mots, avec initiale

majuscule à partir du deuxième mot. Par exemple, mailAddress et

machinePasswordChangeInterval sont les noms complets LDAP de deux attributs

de schéma. Schéma Active Directory et d'autres outils d'administration

Windows 2000 affichent le nom complet LDAP des objets. Celui-ci permet aux

programmeurs et aux administrateurs de référencer l'objet par programme. Pour

plus d'informations sur l'extension par programme du schéma, voir la sous-section

suivante ; pour plus d'informations sur LDAP, voir la section « Protocole LDAP ».

Nom commun. Le nom commun d'un objet de schéma est également

globalement unique. Vous devez le spécifier lors de la création de nouveaux

attributs ou classes d'objet dans le schéma — c'est le nom unique relatif (RDN,

Relative Distinguished Name) de l'objet du schéma qui représente cette classe

d'objet. Pour plus de détails sur les noms RDN, reportez-vous à la section « Noms

RDN et noms uniques LDAP ». Par exemple, les noms communs des deux attributs

mentionnés précédemment sont SMTP-Mail-Address et Machine-Password-

Change-Interval.

Page 12: Architecture Active Directory

12

Identificateur d'objet (OID). Un identificateur d'objet de schéma est un

numéro attribué par une autorité telle que l'Association internationale de

normalisation (ISO, International Organization for Standardization) ou l'ANSI

(American National Standards Institute). Par exemple, l'OID de l'attribut SMTP-

Mail-Address est 1.2.840.113556.1.4.786. Les OID sont garantis comme étant

uniques sur l'ensemble des réseaux du monde entier. Une fois que vous avez

obtenu un OID racine à partir d'une autorité compétente, vous pouvez l'utiliser

pour en attribuer d'autres. Les OID sont organisés sous forme hiérarchique. Par

exemple, Microsoft s'est vu allouer l'OID racine 1.2.840.113556. Microsoft gère en

interne d'autres branches issues de cette racine. Une de ces branches est utilisée

pour allouer des OID aux classes de schéma Active Directory et une autre pour les

attributs. Pour reprendre notre exemple, l'OID 1.2.840.113556.1.5.4 identifie

dans Active Directory la classe de domaine prédéfini et peut être analysé de la manière illustrée dans le tableau 1.

Tableau 1. Identificateur d'objet

Numéro

d'OID Identifie

1 ISO (autorité « racine ») a attribué 1.2 à ANSI, puis U

2 ANSI a attribué 1.2.840 aux États-Unis, puis U

840 les États-Unis ont attribué 1.2.840.113556 à Microsoft, puis U

113556 Microsoft gère en interne plusieurs branches d'OID sous

1.2.840.113556, dont U

1 une branche appelée Active Directory qui inclut U

5 une branche appelée Classes qui inclut U

4 une branche appelée Domaine prédéfini

Pour plus d'informations sur les OID et sur la manière de les obtenir, voir la section

« Pour plus d'informations » à la fin de ce document.

Extension du schéma

Le système d'exploitation Windows 2000 Server fournit un ensemble de classes d'objet et

d'attributs par défaut suffisants pour la plupart des organisations. Bien que vous ne

puissiez pas supprimer les objets de schéma, vous pouvez les marquer comme

désactivés.

Les développeurs et les administrateurs réseau expérimentés peuvent étendre

dynamiquement le schéma en définissant de nouvelles classes et de nouveaux attributs

pour les classes existantes. Il est conseillé d'étendre le schéma Active Directory par

programme, via l'interface ADSI (Active Directory Service Interface). Vous pouvez

également utiliser l'utilitaire LDIFDE (LDAP Data Interchange Format). (Pour plus

d'informations sur ADSI et LDIFDE, voir les sections « ADSI » et « Active Directory et

LDIFDE ».)

L'outil Schéma Active Directory, conçu à des fins de développement et de test, vous

permet d'afficher et de modifier le schéma Active Directory.

Si vous envisagez de modifier le schéma, prenez les points suivants en considération :

Les modifications du schéma s'appliquent à l'ensemble de la forêt.

Les extensions du schéma sont irréversibles (même si vous pouvez modifier

certains attributs).

Microsoft exige de toute personne étendant le schéma qu'elle adhère aux règles

d'affectation de noms (évoquées dans la sous-section précédente) à la fois pour

les noms complets LDAP et pour les noms communs. La compatibilité est garantie

Page 13: Architecture Active Directory

13

par le logo Certifié compatible Windows7. Pour plus d'informations, voir le Site

Web : msdn - L'information pour les Développeurs.

Toutes les classes du schéma sont dérivées de la classe spéciale Top. À

l'exception de Top, toutes les classes sont des sous-classes dérivées d'une autre

classe. L'héritage des attributs permet de construire de nouvelles classes à partir

de classes existantes. La nouvelle sous-classe hérite des attributs de sa superclasse (classe parent).

L'extension du schéma est une opération avancée. Pour plus d'informations sur

l'extension du schéma par programme, voir la section « Pour plus d'informations » à la

fin de ce document.

Conventions d'affectation de noms d'objet

Active Directory prend en charge plusieurs formats de noms d'objet pour tenir compte

des différentes formes que peut prendre un nom, selon le contexte d'utilisation (certains

noms correspondent à des numéros). Les sous-sections suivantes décrivent les types de

conventions d'affectation de nom des objets Active Directory :

Noms des entités de sécurité

Identificateurs de sécurité (aussi appelés SID ou identificateurs SID)

Noms LDAP (dont les noms canoniques, les noms RDN, les URL et les noms

uniques)

GUID d'objets

Noms d'ouverture de session (dont les noms UPN et les noms de comptes SAM)

Si votre organisation possède plusieurs domaines, vous pouvez utiliser les mêmes noms

d'utilisateur et d'ordinateur dans les différents domaines. Le SID, le GUID, le nom unique

LDAP et le nom canonique générés par Active Directory identifient de manière unique

chaque utilisateur et chaque ordinateur de l'annuaire. Si l'objet Utilisateur ou Ordinateur

est renommé ou déplacé vers un domaine différent, le SID, le nom unique relatif LDAP, le

nom unique et le nom canonique changent. En revanche, le GUID généré par Active

Directory reste identique.

Noms des entités de sécurité

Une entité de sécurité est un objet Windows 2000 géré par Active Directory, auquel est

automatiquement affecté un identificateur de sécurité (SID) pour l'authentification

d'ouverture de session et l'accès aux ressources. Une entité de sécurité peut être un

compte d'utilisateur, un compte d'ordinateur ou un groupe. En d'autres termes, un nom

d'entité de sécurité identifie de manière unique un utilisateur, un ordinateur ou un

groupe au sein d'un domaine unique. Un objet entité de sécurité doit être authentifié par

un contrôleur du domaine dans lequel il se trouve et l'accès aux ressources réseau peut

lui être accordé ou refusé.

Les noms des entités de sécurité ne sont pas uniques sur l'ensemble des domaines, mais

doivent être uniques dans leur propre domaine pour des raisons de compatibilité

ascendante. Les objets entités de sécurité peuvent être renommés, déplacés ou

enregistrés au sein d'une arborescence de domaines imbriqués.

Leur nom doit être conforme aux lignes directrices suivantes :

Le nom ne doit pas être identique à un autre nom d'utilisateur, d'ordinateur ou de

groupe du domaine. Il peut contenir jusqu'à 20 caractères majuscules ou

minuscules, à l'exception des caractères suivants : " / \ [ ] : ; | = , + * ? <>

Les noms d'utilisateurs, d'ordinateurs et de groupes ne doivent pas être composés

uniquement de points (.) et d'espaces.

Page 14: Architecture Active Directory

14

Identificateurs de sécurité (SID)

Un SID est un numéro unique, créé par le sous-système de sécurité de Windows 2000 et

affecté aux objets entités de sécurité, à savoir les comptes d'utilisateurs, de groupes et

d'ordinateurs. Chaque compte de votre réseau a reçu un SID unique à sa création. Les

processus internes de Windows 2000 font référence au SID d'un compte plutôt qu'à son

nom d'utilisateur ou de groupe.

Des entrées de contrôle d'accès (ACE, Access Control Entrie) protègent chaque objet

Active Directory en identifiant les utilisateurs et les groupes pouvant y accéder. Chaque

ACE contient le SID de chaque utilisateur et de chaque groupe ayant l'autorisation

d'accéder à l'objet et définit le niveau d'accès autorisé. Par exemple, un utilisateur peut

disposer pour certains fichiers de droits d'accès en lecture seule, pour d'autres de droits

d'accès en lecture et en écriture, et pour d'autres encore, d'aucun droit d'accès.

Si vous créez un compte, que vous le supprimez, puis que vous créez un autre compte

avec le même nom d'utilisateur, le nouveau compte n'hérite ni des autorisations, ni des

droits accordés à l'ancien compte car les comptes ont des identificateurs SID différents.

Noms LDAP

Active Directory est un service d'annuaire conforme LDAP (Lightweight Directory Access

Protocol). Dans Windows 2000, tout accès à un objet Active Directory s'effectue à l'aide

du protocole LDAP. Il définit les opérations à effectuer pour rechercher et modifier des

informations dans un annuaire, et la manière d'accéder de manière sécurisée à ces

informations. Ainsi, c'est LDAP qui est utilisé pour rechercher ou énumérer des objets

d'annuaire et pour interroger ou administrer Active Directory. (Pour plus d'informations

sur LDAP, voir la section « Protocole LDAP ».)

Il est possible de faire porter les requêtes sur le nom unique LDAP (lui-même un attribut

de l'objet), mais comme ceux-ci sont difficiles à mémoriser, LDAP prend également en

charge les requêtes portant sur d'autres attributs (par exemple, la couleur pour

rechercher les imprimantes couleur). Vous pouvez ainsi rechercher un objet même si

vous ne connaissez pas son nom unique.

Les formats d'affectation de noms d'objet, pris en charge par Active Directory et fondés

sur le nom unique LDAP, sont décrits dans les trois sous-sections suivantes :

Noms RDN et noms uniques LDAP

URL LDAP Noms canoniques LDAP

Noms RDN et noms uniques LDAP

LDAP fournit des noms uniques (DN) et des noms uniques relatifs (RDN) aux objets8.

Active Directory met en œuvre ces conventions d'affectation de noms LDAP avec les

variantes illustrées dans le tableau 2.

Tableau 2. Conventions d'affectation de noms LDAP et correspondances dans

Active Directory

Convention d'affectation des

noms DN & RDN LDAP

Convention d'affectation de noms

correspondante dans Active Directory

cn=nom commun cn=nom commun

ou=unité d'organisation ou=unité d'organisation

o=organisation dc=composant de domaine

c=pays (non pris en charge)

Page 15: Architecture Active Directory

15

Remarque cn=, ou=, … sont des types d'attributs. Les attributs permettant de détailler

le nom RDN d'un objet sont appelés attributs d'affectation de nom. Les attributs

d'affectation de nom Active Directory, illustrés en haut à droite, sont destinés aux classes

d'objet Active Directory suivantes :

L'attribut cn est utilisé pour la classe d'objet utilisateur.

L'attribut ou est utilisé pour la classe d'objet unité d'organisation (OU).

L'attribut dc est utilisé pour la classe d'objet DNS de domaine.

Chaque objet Active Directory possède un nom unique LDAP. Les objets sont localisés

dans les domaines Active Directory à l'aide d'un chemin hiérarchique qui inclut les

étiquettes du nom de domaine et chaque niveau d'objet conteneur. Le chemin complet

vers l'objet est défini par le nom unique. Le nom de l'objet lui-même correspond au nom

RDN. Ce nom est le segment du nom unique d'un objet, attribut de l'objet lui-même.

Représentant le chemin complet vers un objet, composé du nom de l'objet et de tous ses

objets parents jusqu'à la racine du domaine, le nom unique permet d'identifier un objet

unique dans l'arborescence de domaines. Chaque nom RDN est stocké dans la base de

données Active Directory et contient une référence à son parent. Au cours d'une

opération LDAP, le nom unique est construit entièrement en suivant les références à la

racine. Dans un nom unique LDAP complet, le nom RDN de l'objet à identifier commence

sur la gauche avec le nom de la feuille et se termine sur la droite avec le nom de la

racine, comme le montre l'exemple suivant :

cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com

Le nom RDN de l'objet Utilisateur MDurand est cn=MDurand, celui de Widget (l'objet

parent de MDurand) est ou=Widgets, etc.

Les outils Active Directory n'affichent pas les abréviations LDAP des attributs d'affectation

de nom (dc=, ou= ou cn=). Elles apparaissent dans l'exemple pour illustrer la manière

dont LDAP reconnaît les différentes parties des noms uniques. La plupart des outils Active

Directory affichent les noms d'objets sous leur forme canonique (décrite plus loin dans ce

document). Dans Windows 2000, les noms uniques permettent aux clients LDAP de

récupérer des informations sur des objets à partir de l'annuaire, mais aucune interface

utilisateur ne demande d'entrer le nom unique. L'utilisation explicite des noms uniques,

des noms RDN et des attributs d'affectation de nom est requise uniquement lors de

l'écriture de programmes ou de scripts conformes LDAP.

Noms d'URL LDAP

Active Directory prend en charge l'accès de tous les clients LDAP à l'aide du protocole

LDAP. La RFC 1959 décrit un format d'URL LDAP permettant aux clients Internet

d'accéder directement au protocole LDAP. Les URL LDAP sont également utilisées dans

l'écriture de scripts. Une telle URL est composée du préfixe « LDAP », du nom du serveur

contenant les services Active Directory, suivi du nom attribué à l'objet (le nom unique).

Par exemple :

LDAP://serveur1.France.NomOrg.com/cn=MDurand,ou=Widgets,ou=Fabrication,dc=Fran

ce,dcNomOrg,dc=com

Noms canoniques LDAP de Active Directory

Par défaut, les outils d'administration de Active Directory affichent les noms des objets

au format de nom canonique, qui répertorie les noms RDN à partir de la racine, sans les

descripteurs d'attribut d'affectation de nom RFC 1779 (dc=, ou= et cn=). Le nom

canonique utilise le format DNS, c'est-à-dire que les constituants de la partie du nom

contenant les noms de domaines sont séparés par des points — France.NomOrg.com. Le

tableau 3 montre les différences entre un nom unique LDAP et le même nom au format

de nom canonique.

Tableau 3. Format de nom unique LDAP et format de nom canonique

Page 16: Architecture Active Directory

16

Nom identique dans deux formats différents

Nom unique

LDAP : cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com

Nom

canonique : France.NomOrg.com/Fabrication/Widgets/MDurand

GUID d'objets

Parallèlement à son nom unique LDAP, chaque objet Active Directory possède un

identificateur globalement unique (GUID), un numéro à 128 bits assigné par l'Agent

système d'annuaire lors de la création de l'objet. Le GUID, qui ne peut être ni modifié ni

supprimé, est enregistré dans un attribut, objectGUID, requis pour chaque objet. À la

différence des noms uniques et RDN susceptibles d'être modifiés, le GUID ne change

jamais.

Si vous enregistrez une référence à un objet Active Directory dans un magasin de

données externe (par exemple, une base de données Microsoft SQL Server™), vous

devez utiliser l'attribut objectGUID.

Noms d'ouverture de session : noms UPN et noms de comptes SAM

Comme décrit précédemment, les entités de sécurité sont des objets sur lesquels

s'applique la sécurité Windows pour l'authentification d'ouverture de session et les

autorisations d'accès aux ressources. Les utilisateurs représentent le premier type

d'entités de sécurité. Dans Windows 2000, ils ont besoin d'un nom d'ouverture de session

unique pour accéder à un domaine et à ses ressources. Les deux types de noms

d'ouverture de session — les noms UPN et les noms de comptes SAM (Security Account

Manager) — sont décrits dans les deux sous-sections ci-dessous.

Noms UPN

Dans Active Directory, chaque compte d'utilisateur possède un nom UPN (nom utilisateur

principal) au format <utilisateur>@<nom-domaine-DNS>. Un nom UPN est un nom

convivial assigné par un administrateur. Il est plus court que le nom unique LDAP utilisé

par le système et plus facile à mémoriser. Le nom UPN d'un objet Utilisateur est

indépendant de son nom unique, si bien que le déplacement et la modification du nom de

l'objet n'affectent pas le nom d'ouverture de session de l'utilisateur. Lors d'une connexion

par nom UPN, les utilisateurs ne sont plus invités à sélectionner un domaine dans une

liste dans la boîte de dialogue d'ouverture de session.

Les noms UPN se composent de trois parties : le préfixe UPN (nom d'ouverture de

session de l'utilisateur), le caractère @ et le suffixe UPN (en général, un nom de

domaine). Le suffixe UPN par défaut d'un compte d'utilisateur est le nom DNS du

domaine Active Directory dans lequel se trouve le compte9. Par exemple, le nom UPN de

l'utilisateur Marc Durand, qui possède un compte d'utilisateur dans le domaine

NomOrg.com (si NomOrg.com est le seul domaine de l'arborescence), est

[email protected]. C'est un attribut (userPrincipalName) de l'objet entité de

sécurité. Si l'attribut userPrincipalName d'un objet Utilisateur n'a pas de valeur, l'objet a

le nom UPN par défaut nomUtilisateur@NomDomaineDns.

Si votre organisation possède une arborescence de domaines composée de nombreux

domaines, organisés par départements et régions, les noms UPN par défaut peuvent

s'avérer encombrants. Par exemple, le nom UPN par défaut d'un utilisateur pourrait être

ventes.coteouest.microsoft.com. Le nom d'ouverture de session des utilisateurs dans ce

domaine serait [email protected]. Au lieu d'accepter le nom de

domaine DNS par défaut comme suffixe UPN, vous pouvez simplifier l'administration et

les processus de connexion utilisateur en fournissant un suffixe UPN unique pour tous les

utilisateurs. (Le suffixe UPN est utilisé uniquement au sein du domaine Windows 2000 et

Page 17: Architecture Active Directory

17

il ne correspond pas nécessairement à un nom de domaine DNS valide.) Vous pouvez

décider d'utiliser votre nom de domaine de messagerie comme suffixe UPN —

[email protected]. Le nom UPN de l'utilisateur de notre exemple

devient alors [email protected].

Lors d'une ouverture de session par nom UPN, un catalogue global peut s'avérer

nécessaire, selon l'identité de l'utilisateur qui se connecte et l'appartenance de

l'ordinateur de l'utilisateur au domaine. C'est le cas si l'utilisateur se connecte à l'aide

d'un nom UPN différent du nom par défaut et si le compte d'ordinateur de l'utilisateur se

trouve dans un autre domaine que son compte d'utilisateur. C'est-à-dire si, au lieu

d'accepter le nom de domaine DNS par défaut comme suffixe UPN (comme dans

l'exemple précédent, [email protected]), vous fournissez un

suffixe UPN unique pour tous les utilisateurs (l'utilisateur a alors pour nom utilisateur@

microsoft.com).

L'outil Domaines et approbations Active Directory permet de gérer les suffixes UPN d'un

domaine. Les noms UPN sont assignés lors de la création d'un utilisateur. Si vous avez

créé des suffixes supplémentaires pour un domaine, vous devez sélectionner le suffixe de

votre choix dans une liste lorsque vous créez le compte d'utilisateur ou de groupe. Les

suffixes sont répertoriés dans l'ordre suivant :

autres suffixes (s'il en existe, le dernier créé apparaît en tête de liste) ;

domaine racine ;

domaine actif.

Noms de comptes SAM

Un nom de compte SAM (Security Account Manager) est requis pour la compatibilité avec

les domaines Windows NT 3.x et Windows NT 4.0. Dans l'interface utilisateur

Windows 2000, un nom de compte SAM est appelé « Nom d'ouverture de session de

l'utilisateur (avant l'installation de Windows 2000) ».

Ces noms sont aussi parfois appelés noms plan car, contrairement aux noms DNS, ils ne

sont pas affectés hiérarchiquement. Comme les noms SAM sont plan, chacun doit être

unique dans le domaine.

Publication d'objets

La publication représente la création d'objets dans l'annuaire, qui contiennent

directement les informations que vous voulez rendre accessibles ou y font référence. Par

exemple, un objet Utilisateur contiendra des informations utiles sur les utilisateurs,

comme leurs numéros de téléphone et leurs adresses de messagerie, tandis qu'un objet

Volume contiendra une référence à un volume d'un système de fichiers partagé.

Les deux exemples suivants décrivent la publication d'objets Imprimantes et Fichiers

dans Active Directory :

Publication de partage. Vous pouvez publier un dossier partagé comme objet

Volume (également appelé objet Dossier partagé) dans Active Directory en

utilisant le composant logiciel enfichable Utilisateurs et groupes Active Directory.

Les utilisateurs peuvent ainsi interroger rapidement et facilement Active Directory

sur ce dossier partagé.

Publication d'imprimante. Dans un domaine Windows 2000, la manière la plus

simple de gérer, de rechercher et de se connecter à des imprimantes consiste à

utiliser Active Directory. Par défaut10, si vous ajoutez une imprimante à l'aide de

l'Assistant Ajout d'imprimante et décidez de la partager, Windows 2000 Server la

publie dans le domaine en tant qu'objet Active Directory. La publication

(affichage) d'imprimantes dans Active Directory permet aux utilisateurs de

localiser l'imprimante la plus appropriée. Ils peuvent interroger aisément Active

Directory sur une de ces imprimantes, en effectuant une recherche par attributs

Page 18: Architecture Active Directory

18

d'imprimante, tels que le type (PostScript, couleur, papier de taille autorisée, etc.)

et l'emplacement. Lorsqu'une imprimante est supprimée du serveur, ce dernier annule sa publication.

Vous pouvez également publier des imprimantes non-Windows 2000 (c'est-à-dire

des imprimantes sur des serveurs d'impression autres que Windows 2000) dans

Active Directory. Pour ce faire, utilisez l'outil Utilisateurs et ordinateurs Active

Directory pour entrer le chemin UNC de l'imprimante. Vous pouvez aussi utiliser le

script Pubprn.vbs inclus dans le dossier System32. La stratégie de groupe

Nettoyage des imprimantes de bas niveau détermine la manière dont le service de

nettoyage (suppression automatique d'imprimantes) traite les imprimantes

situées sur des serveurs d'impression non-Windows 2000, lorsqu'une imprimante n'est pas disponible.

Décision de publication

Vous publiez une information dans Active Directory quand elle peut être utile ou

intéressante pour une partie importante de la communauté des utilisateurs et quand elle

doit être facilement accessible.

L'information publiée dans Active Directory présente deux caractéristiques essentielles :

Elle est relativement statique. Publiez uniquement une information qui change

rarement. Les numéros de téléphone et les adresses de messagerie sont des

exemples d'informations relativement statiques, aptes à être publiées. Au

contraire, le courrier électronique actuellement sélectionné par l'utilisateur est un

exemple d'information particulièrement volatile.

Elle est structurée. Publiez une information structurée qui peut être représentée

sous la forme d'un ensemble d'attributs discrets. L'adresse professionnelle d'un

utilisateur est un exemple d'information structurée, apte à être publiée. Un extrait

audio de la voix de l'utilisateur est un exemple d'information non structurée mieux adaptée au système de fichiers.

Les informations de fonctionnement utilisées par les applications constituent d'excellentes

candidates à la publication dans Active Directory. En font partie les informations de

configuration globales qui s'appliquent à toutes les instances d'une application donnée.

Par exemple, un produit de bases de données relationnelles pourrait enregistrer en tant

qu'objet dans Active Directory la configuration par défaut des serveurs de bases de

données. De nouvelles installations du produit pourraient alors récupérer la configuration

par défaut contenue dans l'objet, ce qui simplifierait le processus d'installation et

augmenterait la cohérence des installations au sein d'une entreprise.

Les applications peuvent également publier leurs points de connexion dans Active

Directory. Les points de connexion servent aux rendez-vous client-serveur. Active

Directory définit une architecture pour l'administration de services intégrée utilisant des

objets Points d'administration de services et fournit des points de connexion standard

pour les applications RPC (Remote Procedure Call), Winsock et COM (Component Object

Model). Les applications qui n'utilisent pas les interfaces RPC ou Winsock pour publier

leurs points de connexion peuvent publier explicitement des objets point de connexion de

services dans l'annuaire.

Les données des applications peuvent également être publiées dans l'annuaire avec des

objets spécifiques aux applications. Les données spécifiques aux applications doivent

correspondre aux critères évoqués plus haut, c'est-à-dire être globalement intéressantes,

relativement non volatiles et structurées.

Outils de publication

Les outils de publication dépendent de l'application ou du service concerné :

Page 19: Architecture Active Directory

19

RPC (Remote Procedure Call). Les applications RPC utilisent la famille de API

RpcNs* pour publier leurs points de connexion dans l'annuaire et pour rechercher

les points de connexion des services qui ont publié les leurs.

Windows Sockets. Les applications Windows Sockets utilisent les familles de API

Enregistrement et Résolution de Winsock 2.0 pour publier leurs points de

connexion et pour rechercher les points de connexion des services qui ont publié

les leurs.

DCOM (Distributed Component Object Model). Les services DCOM publient leurs

points de connexion par l'intermédiaire de la banque de classes DCOM, hébergée

dans Active Directory. DCOM est la spécification COM de Microsoft qui définit la

manière dont les composants communiquent sur les réseaux Windows. Utilisez

l'outil Configuration DCOM pour intégrer des applications client-serveur sur

plusieurs ordinateurs. DCOM peut également être utilisé pour intégrer des applications robustes de navigateur Web.

Page 20: Architecture Active Directory

20

Architecture Active Directory (3ème partie)

Domaines : arborescences, forêts, approbations et unités d'organisation

Active Directory est constitué d'un ou de plusieurs domaines. La création du contrôleur

de domaine initial dans un réseau crée également le domaine. Vous ne pouvez pas avoir

de domaine sans au moins un contrôleur de domaine. Chaque domaine de l'annuaire est

identifié par un nom de domaine DNS. L'outil Domaines et approbations Active Directory

permet de gérer les domaines.

Les domaines sont utilisés pour réaliser les objectifs de gestion de réseau suivants :

Délimitation de la sécurité. Les domaines Windows 2000 définissent une limite

de sécurité. Les stratégies et les paramètres de sécurité (comme par exemple les

droits d'administration et les listes de contrôle d'accès) ne passent pas d'un

domaine à un autre. Active Directory peut inclure un ou plusieurs domaines,

possédant tous leurs propres stratégies de sécurité.

Réplication des informations. Un domaine est une partition d'annuaire

Windows 2000 (appelée également contexte d'affectation de nom). Ces partitions

sont les unités de réplication. Chaque domaine enregistre uniquement les

informations concernant les objets qu'il contient. Chaque contrôleur d'un domaine

peut recevoir les modifications apportées à des objets et répliquer ces

modifications vers tous les autres contrôleurs du même domaine.

Application des stratégies de groupe. Un domaine représente une étendue

possible de stratégie (les paramètres de stratégie de groupe peuvent aussi être

appliqués à des unités d'organisation ou à des sites). L'application d'un objet

Stratégie de groupe (GPO, Group Policy Object) au domaine définit la manière

dont les ressources du domaine peuvent être configurées et utilisées. Par

exemple, vous pouvez employer une stratégie de groupe pour contrôler les

paramètres du bureau, comme par exemple le déploiement d'applications et de

verrouillages. Ces stratégies sont appliquées uniquement au sein d'un même

domaine. Elles ne sont pas transmises d'un domaine à un autre.

Structure du réseau. Comme un domaine Active Directory peut englober de

nombreux sites et contenir des millions d'objets11, la plupart des organisations

n'ont pas besoin de créer de domaines distincts pour refléter leurs différents

départements et divisions. Normalement, vous ne devriez pas avoir à créer

d'autres domaines pour traiter des objets supplémentaires. Toutefois, certaines

organisations requièrent plusieurs domaines pour prendre en charge, par

exemple, des unités professionnelles indépendantes ou complètement autonomes

qui ne veulent pas qu'une personne extérieure à leur unité dispose d'autorisations

sur leurs objets. De telles organisations peuvent créer des domaines

supplémentaires et les organiser en une forêt Active Directory. Il peut également

être utile de séparer le réseau en domaines distincts si deux parties de votre

réseau sont séparées par un lien si lent que vous refusez que le trafic de

réplication l'emprunte. (Dans le cas de liens lents encore capables de prendre en

charge le trafic de réplication de manière moins fréquente, vous pouvez configurer

un simple domaine avec plusieurs sites).

Délégation de l'autorité d'administration. Sur les réseaux Windows 2000,

vous pouvez déléguer l'autorité d'administration d'unités d'organisation et de

domaines individuels, ce qui réduit le nombre requis d'administrateurs disposant

d'une autorité d'administration élevée. Comme un domaine est une limite de

sécurité, les autorisations d'administration d'un domaine sont restreintes au

domaine par défaut. Par exemple, un administrateur ayant l'autorisation de définir

les stratégies de sécurité d'un domaine n'est pas automatiquement autorisé à

faire de même dans tout autre domaine de l'annuaire.

Page 21: Architecture Active Directory

21

Pour pouvoir comprendre les domaines, vous devez d'abord comprendre ce que sont les

arborescences, les forêts, les approbations et les unités d'organisation, et les rapports

entre ces structures et les domaines. Ces composants de domaine sont décrits dans les

sous-sections suivantes :

Arborescences

Forêts

Relations d'approbation Unités d'organisation

Windows 2000 introduit également le concept de sites, mais leur structure est différente

de celle des domaines, afin de garantir la flexibilité de leur administration (les sites sont

décrits dans une section ultérieure). Ce document présente les notions de base des

domaines et des sites Windows 2000. Pour des informations détaillées sur la planification

de leur structure et déploiement, voir le Guide de planification du déploiement de

Microsoft Windows 2000 Server dans la section « Pour plus d'informations » à la fin de ce

document.

Lorsque vous découvrirez les structures de domaines possibles décrites dans les sous-

sections suivantes, gardez à l'esprit que, pour de nombreuses organisations, il est

possible de disposer d'une structure composée d'un domaine qui serait simultanément

une forêt composée d'une arborescence. Il s'agit sans doute de la meilleure façon

d'organiser un réseau. Il faut toujours commencer par la structure la plus simple et

augmenter sa complexité si cela se justifie.

Arborescences

Dans Windows 2000, une arborescence est un ensemble d'un ou de plusieurs domaines

avec noms contigus. S'il existe plusieurs domaines, vous pouvez les associer en

arborescences. Il est parfois nécessaire de posséder plusieurs arborescences dans une

forêt ; par exemple, si une division de votre organisation possède son propre nom DNS

et utilise ses propres serveurs DNS.

Le premier domaine créé est le domaine racine de la première arborescence. Les

domaines supplémentaires de la même arborescence de domaine sont les domaines

enfants. Un domaine placé immédiatement au-dessus d'un autre dans la même

arborescence est son parent.

Tous les domaines qui ont un domaine racine commun forment ce qu'on appelle un

espace de noms contigus. Les domaines d'un espace de noms contigus (de la même

arborescence) ont des noms contigus formés de la manière suivante : le nom du

domaine enfant apparaît sur la gauche, suivi d'un point et du nom de son domaine

parent. Lorsqu'il y a plus de deux domaines, chaque domaine est suivi de son parent

dans le nom de domaine, comme l'illustre la figure 3. Les domaines Windows 2000 d'une

même arborescence sont liés par des relations d'approbation bidirectionnelles et

transitives. Ces relations sont décrites plus loin dans ce document.

Figure 3. Domaines parents et enfants d'une arborescence de domaines. Les

flèches à deux directions indiquent des relations d'approbation transitives

bidirectionnelles

La relation parent-enfant entre domaines d'une même arborescence est une relation

d'affectation de nom et une relation d'approbation. Les administrateurs d'un domaine

Page 22: Architecture Active Directory

22

parent ne sont pas automatiquement ceux des domaines enfants et les stratégies

définies dans un domaine parent ne sont pas appliquées automatiquement aux domaines

enfants.

Forêts

Une forêt Active Directory est une base de données distribuée, composée de nombreuses

bases de données partielles enregistrées sur des ordinateurs différents. La distribution de

la base de données augmente l'efficacité du réseau en permettant de placer les données

là où elles sont le plus utilisées. Les partitions de la base de données de la forêt sont

définies par des domaines, ce qui signifie qu'une forêt est composée d'un ou plusieurs

domaines.

Tous les contrôleurs de domaine d'une forêt hébergent une copie des conteneurs de

configuration et de schéma de la forêt en plus d'une base de données de domaine. Une

base de données de domaine est une partie d'une base de données de forêt. Chaque

base de données de domaine contient des objets d'annuaire, tels que les objets entités

de sécurité (utilisateurs, ordinateurs et groupes) auxquels vous pouvez accorder ou

refuser l'accès aux ressources réseau.

Souvent, une forêt unique, simple à créer et à entretenir, suffit à répondre aux besoins

d'une organisation. Dans ce cas, les utilisateurs n'ont pas besoin de connaître la structure

d'annuaire car ils voient tous un annuaire unique par l'intermédiaire du catalogue global.

Lors de l'ajout d'un nouveau domaine dans la forêt, aucune configuration d'approbation

supplémentaire n'est requise. En effet, tous les domaines d'une même forêt sont

connectés par des relations d'approbation transitives bidirectionnelles. Dans une forêt de

plusieurs domaines, les modifications de configuration n'ont besoin d'être appliquées

qu'une seule fois pour affecter tous les domaines.

Ne créez pas de forêt supplémentaire, à moins que vous n'en ayez vraiment besoin, car

chaque forêt que vous créez entraîne une surcharge de travail de gestion12 . Il est parfois

nécessaire de créer plusieurs forêts ; par exemple, si l'administration de votre réseau est

distribuée entre plusieurs divisions autonomes qui ne peuvent pas se mettre d'accord sur

une gestion commune des conteneurs de schéma et de configuration. C'est également le

cas si vous voulez garantir que des utilisateurs spécifiques ne puissent jamais obtenir

l'accès à certaines ressources (dans une forêt unique, tout utilisateur peut être inclus

dans tout groupe ou peut être répertorié dans une liste de contrôle d'accès

discrétionnaire (DACL, Discretionary Access Control List)13, sur n'importe quel ordinateur

de la forêt). Si vous disposez de forêts distinctes, vous pouvez définir des relations

d'approbation explicites pour accorder aux utilisateurs d'une forêt l'accès à certaines

ressources d'une autre. (Pour un exemple avec deux forêts, voir la figure 7 dans la

section « Exemple : Environnement mixte constitué de deux forêts et d'un extranet ».)

Plusieurs arborescences de domaines au sein d'une même forêt ne forment pas un

espace de noms contigus ; en effet, leurs noms de domaine DNS ne sont pas contigus.

Bien que les arborescences d'une forêt ne partagent pas un même espace de nom, une

forêt possède un domaine racine unique, appelé domaine racine de la forêt. Ce domaine

racine est, par définition, le premier domaine créé dans la forêt. Les deux groupes

prédéfinis, Administrateurs d'entreprise et Administrateurs de schéma, résident dans ce

domaine.

Par exemple, comme le montre la figure 4, bien que trois arborescences de domaines

(Racine-SS.com, RacineEurope.com et RacineAsie.com) aient tous un domaine enfant

pour le service de comptabilité « Compt », les noms DNS de ces domaines enfants sont

respectivement Compt.Racine-SS.com, Compt.RacineEurope.com et

Compt.RacineAsie.com. Il n'existe aucun espace de noms partagé.

Page 23: Architecture Active Directory

23

Figure 4. Forêt de trois arborescences de domaines. Les trois domaines racines

ne sont pas contigus, mais RacineEurope.com et RacineAsie.com sont des

domaines enfants de Racine-SS.com.

Le domaine racine de chaque arborescence de domaines de la forêt établit une relation

d'approbation transitive (expliquée plus en détails dans la section suivante) avec le

domaine racine de la forêt. Dans la figure 4, Racine-SS.com est le domaine racine de la

forêt. Les domaines racines des autres arborescences, RacineEurope.com et

RacineAsie.com, ont des relations d'approbation transitives avec Racine-SS.com. Il est

donc possible d'établir des relations d'approbation entre toutes les arborescences de la

forêt.

Tous les domaines Windows 2000 de toutes les arborescences de domaines d'une même

forêt présentent les caractéristiques suivantes :

Il existe des relations d'approbation transitives entre les domaines d'une même

arborescence.

Il existe des relations d'approbation transitives entre les arborescences de

domaines d'une même forêt.

Ils partagent des informations de configuration communes.

Ils partagent un schéma commun. Ils partagent un catalogue global commun.

Important Il est facile d'ajouter de nouveaux domaines à une forêt. Toutefois, vous ne

pouvez pas déplacer les domaines Windows 2000 Active Directory d'une forêt à une

autre. Vous pouvez supprimer un domaine d'une forêt uniquement s'il ne possède pas de

domaine enfant. Une fois que le domaine racine d'une arborescence a été défini, vous ne

pouvez pas ajouter à la forêt un domaine avec un nom de niveau supérieur. Il est

impossible de créer un parent pour un domaine existant ; vous pouvez uniquement créer

un enfant.

La mise en œuvre d'arborescences de domaines et de forêts vous permet d'utiliser à la

fois les conventions d'affectation de nom contigu et non contigu. Cette souplesse peut

être utile, par exemple, dans des sociétés composées de divisions indépendantes qui

veulent toutes conserver leur propre nom DNS, comme Microsoft.com et MSNBC.com.

Relations d'approbation

Une relation d'approbation est une relation établie entre deux domaines grâce à laquelle

les contrôleurs de domaine de l'un des domaines reconnaissent les utilisateurs de l'autre

domaine. Les approbations permettent aux utilisateurs d'un des domaines d'accéder aux

ressources de l'autre et aux administrateurs d'un des domaines d'administrer des droits

utilisateur pour les utilisateurs de l'autre. Pour les ordinateurs Windows 2000,

l'authentification de comptes entre domaines est activée par l'intermédiaire de relations

d'approbation bidirectionnelles et transitives.

Toutes les relations d'approbation au sein d'une forêt Windows 2000 sont

bidirectionnelles et transitives, et sont définies comme suit :

Bidirectionnelle. Lorsque vous créez un domaine enfant, ce domaine enfant

approuve automatiquement son domaine parent et réciproquement. D'un point de

vue pratique, des requêtes d'authentification peuvent être soumises d'un domaine

à l'autre dans les deux sens.

Page 24: Architecture Active Directory

24

Transitive. Une approbation transitive va au-delà des deux domaines impliqués

dans la relation d'approbation initiale. Par exemple : si le domaine A et le domaine

B (parent et enfant) s'approuvent mutuellement et si le domaine B et le domaine

C (là encore parent et enfant) s'approuvent eux aussi mutuellement, alors le

domaine A et le domaine C s'approuvent mutuellement (de manière implicite),

même si aucune relation d'approbation directe n'existe entre eux. Au niveau de la

forêt, il se crée automatiquement une relation d'approbation entre le domaine

racine de la forêt et le domaine racine de chaque arborescence de domaines

ajoutée à la forêt, ce qui crée une approbation complète entre tous les domaines

appartenant à une forêt Active Directory. D'un point de vue pratique, dans la

mesure où les relations d'approbation sont transitives, un processus d'ouverture

de session unique permet au système d'authentifier un utilisateur (ou un

ordinateur) de n'importe quel domaine de la forêt. Ce processus d'ouverture de

session unique offre au compte un accès potentiel à toutes les ressources de tous les domaines de la forêt.

Notez toutefois que le fait que les approbations permettent un processus d'ouverture de

session unique ne signifie pas nécessairement qu'un utilisateur authentifié possédera des

droits et des autorisations dans tous les domaines de la forêt.

Au-delà des approbations bidirectionnelles et transitives générées automatiquement à

l'échelle de la forêt par le système d'exploitation Windows 2000, vous pouvez créer

explicitement les deux types de relations d'approbation suivants :

Approbations raccourcis. Avant d'accorder à un compte d'un domaine donné

l'accès à des ressources d'un autre domaine par l'intermédiaire d'un contrôleur de

domaine, Windows 2000 calcule le chemin d'approbation entre les contrôleurs du

domaine source (celui auquel appartient le compte) et le domaine cible (celui qui

comporte les ressources auxquelles le compte veut accéder). Un chemin

d'approbation se compose de la série de relations d'approbation de domaines que

la sécurité de Windows 2000 doit traverser pour transmettre les requêtes

d'authentification d'un domaine à un autre. Le calcul et le parcours d'un chemin

d'approbation entre arborescences de domaines dans une forêt complexe peut

prendre du temps. Pour améliorer les performances, vous pouvez créer

explicitement (manuellement) une approbation raccourci entre deux domaines

Windows 2000 non adjacents de la même forêt. Les approbations raccourcis sont

des approbations unidirectionnelles transitives qui vous permettent de raccourcir

le chemin d'approbation, comme le montre la figure 5. Vous pouvez combiner

deux approbations unidirectionnelles pour établir une relation d'approbation

bidirectionnelle. Si vous ne pouvez pas révoquer les approbations bidirectionnelles

transitives établies automatiquement par défaut entre tous les domaines d'une

forêt Windows 2000, vous pouvez en revanche supprimer les approbations

raccourcis créées explicitement.

Page 25: Architecture Active Directory

25

Figure 5. Approbations raccourcis entre les domaines B et D, et entre les

domaines D et 2

Approbations externes. Les approbations externes établissent des relations

d'approbation vers des domaines d'une forêt Windows 2000 différente ou vers un

domaine non-Windows 2000 (il peut s'agir d'un domaine Windows NT ou d'un

domaine Kerberos version 514). Les approbations externes permettent

d'authentifier les utilisateurs dans un domaine externe. Toutes les approbations

externes sont des approbations unidirectionnelles non transitives, comme le

montre la figure 6. De nouveau, vous pouvez combiner deux approbations

unidirectionnelles pour établir une relation d'approbation bidirectionnelle.

Figure 6. Approbation non transitive externe unidirectionnelle

Dans Windows NT 4.0 et les versions antérieures de ce système d'exploitation, les

relations d'approbation sont unidirectionnelles et l'approbation est limitée aux deux

domaines entre lesquels elle est établie (elle n'est pas transitive). Lorsque vous mettez à

niveau un domaine Windows NT vers un domaine Windows 2000, les relations

d'approbation unidirectionnelles entre ce domaine et tout autre domaine Windows NT

sont maintenues. Si vous installez un nouveau domaine Windows 2000 et que vous

voulez établir pour lui des relations d'approbation avec des domaines Windows NT, vous

devez créer des approbations externes Windows 2000. Pour établir explicitement une

relation d'approbation, vous devez utilisez l'outil Domaines et approbations Active

Directory.

Exemple : Environnement mixte constitué de deux forêts et d'un extranet

La figure 7 illustre un environnement mixte comprenant deux forêts Windows 2000 et un

domaine Windows NT 4.0. Quatre espaces de noms séparés sont mis en œuvre : A.com,

D.com, G.com et F.

Figure 7. Réseau constitué de deux forêts et d'un extranet

La figure 7 illustre le cas suivant :

Page 26: Architecture Active Directory

26

A.com et D.com sont les racines d'arborescences distinctes de la forêt 1. (A.com

est le domaine racine de la forêt.) L'approbation de racine d'arborescence

bidirectionnelle et transitive qui existe entre eux (générée automatiquement par

Windows 2000) assure une approbation complète entre tous les domaines des

deux arborescences de la forêt 1.

E.D.com utilise fréquemment des ressources dans C.A.com. Pour raccourcir le

chemin d'approbation entre les deux domaines, C.A.com approuve E.D.com

directement. Cette approbation raccourci unidirectionnelle et transitive raccourcit

le chemin d'approbation à parcourir pour authentifier les utilisateurs de E.D.com

(limite le nombre de tronçons nécessaires à leur authentification) afin qu'ils

puissent utiliser efficacement les ressources de C.A.com.

G.com est la racine de l'arborescence qui constitue à elle seule la forêt 2.

L'approbation bidirectionnelle et transitive automatique entre G.com et H.G.com

permet aux utilisateurs, aux ordinateurs et aux groupes des deux domaines

d'accéder à leurs ressources mutuelles.

Le domaine G.com de la forêt 2 implémente une relation d'approbation externe

unidirectionnelle explicite avec le domaine D.com de la forêt 1 de telle sorte que

les utilisateurs du domaine D.com puissent accéder aux ressources du domaine

G.com. Cette approbation n'étant pas transitive, aucun autre domaine de la

forêt 1 ne peut obtenir d'accès aux ressources de G.com, et les utilisateurs, les

groupes et les ordinateurs de D.com ne peuvent accéder aux ressources de

H.G.com.

Le domaine F est un domaine Windows NT 4.0 qui fournit des services

d'assistance aux utilisateurs de E.D.com. Cette approbation unidirectionnelle non

transitive ne s'étend à aucun autre domaine de la forêt 1. Dans ce scénario, le

domaine Windows NT 4.0 est un extranet. (Un extranet est un intranet accessible

en partie à des utilisateurs externes autorisés. Un intranet à part entière est situé

derrière un pare-feu et reste inaccessible, mais un extranet offre un accès restreint aux personnes n'appartenant pas à l'organisation.)

Unités d'organisation

Nouveau concept dans le système d'exploitation Windows 2000, les unités d'organisation

(également appelées OU) sont un type d'objets d'annuaire dans lequel vous pouvez

placer des utilisateurs, des groupes, des ordinateurs, des imprimantes, des dossiers

partagés et d'autres unités d'organisation au sein d'un domaine unique. L'unité

d'organisation (représentée sous la forme d'un dossier dans l'interface Utilisateurs et

ordinateurs Active Directory) vous permet d'organiser logiquement et d'enregistrer des

objets dans le domaine. Si vous avez plusieurs domaines, chacun d'entre eux peut

implémenter sa propre hiérarchie d'unités d'organisation.

Comme l'illustre la figure 8, les unités d'organisation peuvent contenir d'autres unités

d'organisation.

Figure 8. Hiérarchie d'unités d'organisation dans un domaine unique

Page 27: Architecture Active Directory

27

Les unités d'organisation vous permettent essentiellement de déléguer l'autorité

administrative sur des jeux d'utilisateurs, de groupes et de ressources. Par exemple,

vous pouvez créer une unité d'organisation qui contient tous les comptes d'utilisateur de

votre société. Après avoir créé des unités d'organisation pour déléguer des pouvoirs

d'administration, vous pouvez leur appliquer des paramètres de stratégie de groupe pour

définir des configurations de bureau pour les utilisateurs et les ordinateurs. Dans la

mesure où vous utilisez des unités d'organisation pour déléguer des pouvoirs

administratifs, la structure que vous créez reflétera probablement davantage votre

modèle administratif que l'organisation technique de votre entreprise.

Bien que les utilisateurs puissent parcourir la structure d'unités d'organisation d'un

domaine lorsqu'ils recherchent des ressources, l'interroger du catalogue global est dans

ce cas-ci bien plus efficace. Il est donc inutile de créer une structure d'unités

d'organisation pour le seul bien-être des utilisateurs finaux. Vous pouvez aussi créer une

structure d'unités d'organisation qui reflète l'organisation technique de votre entreprise,

mais la mise en œuvre et la gestion d'une telle initiative peuvent être difficiles et

coûteuses. Au lieu de créer une structure d'unités d'organisation qui refléterait la

situation des ressources ou l'organisation par départements, basez-vous sur les

paramètres de délégation administrative et de stratégie de groupe lorsque vous créez

des unités d'organisation.

Pour plus d'informations sur la mise en œuvre de la délégation et de la stratégie de

groupe à l'aide d'unités d'organisation, voir la section « Utilisation de la délégation et de

la stratégie de groupe avec les unités d'organisation, les domaines et les sites ». Pour

des informations plus détaillée sur la conception d'une structure d'unités d'organisation

lors de la planification de la mise en œuvre de Windows 2000, voir le Guide de

planification du déploiement de Microsoft Windows 2000 Server dans la section « Pour

plus d'informations » à la fin de ce document.

Sites : services aux clients et réplication des données

Vous pouvez considérer un site Windows 2000 comme un ensemble d'ordinateurs

appartenant à un ou plusieurs réseaux IP connectés à l'aide de technologies LAN, ou

comme un ensemble de réseaux locaux connectés par une structure fondamentale à

haute vitesse. Les ordinateurs appartenant à un même site doivent être connectés

correctement, ce qui caractérise d'ailleurs les ordinateurs qui font partie d'un même

sous-réseau. En revanche, des sites distincts sont connectés par une liaison dont la

vitesse est plus faible que celle des transferts de données au sein d'un réseau local. Vous

pouvez utiliser l'outil Sites et services Active Directory pour configurer des connexions

tant pour un site donné (dans un réseau local ou un ensemble de réseaux locaux

connectés correctement) qu'entre plusieurs sites (dans un réseau étendu).

Avec le système d'exploitation Windows 2000, les sites offrent les services suivants :

Les clients peuvent faire appel à un service par l'intermédiaire d'un contrôleur de

domaine dans le site auquel ils appartiennent (s'il en existe un).

Active Directory tente de réduire le délai de la réplication intra-site.

Active Directory tente de réduire la consommation de bande passante de la

réplication inter-sites. Les sites vous permettent de planifier la réplication inter-sites.

Les utilisateurs et les services doivent pouvoir accéder aux informations d'annuaire à tout

moment à partir de n'importe quel ordinateur de la forêt. Pour ce faire, les ajouts,

modifications et suppressions des données d'annuaire du contrôleur de domaine d'origine

doivent être relayées (répliquées) vers les autres contrôleurs de domaine de la forêt.

Toutefois, il faut atteindre un équilibre entre la nécessité de distribuer largement les

données d'annuaire et celle d'optimiser la performance réseau. Les sites Active Directory

vous aident à maintenir un tel équilibre.

Page 28: Architecture Active Directory

28

Vous devez bien comprendre que les sites sont indépendants des domaines.

L'architecture des sites représente la structure physique de votre réseau, alors que les

domaines (si vous en utilisez plusieurs) représentent traditionnellement la structure

logique de votre organisation. Les structures logique et physique sont indépendantes

l'une de l'autre, et par conséquent :

Il n'existe pas forcément de lien entre l'espace de noms des sites et celui des

domaines.

Il n'existe pas nécessairement de corrélation entre la structure physique de votre

réseau et celle de ses domaines. Cependant, dans de nombreuses organisations,

les domaines sont configurés pour refléter la structure physique du réseau. En

effet, les domaines sont des partitions, et le partitionnement joue sur la

réplication ; la partition d'une forêt en de multiples petits domaines permet de

réduire le trafic de réplication.

Active Directory permet d'établir plusieurs domaines dans un site unique, et inversement.

Utilisation des informations sur le site par Active Directory

Vous spécifiez les informations sur le site à l'aide de Sites et services Active Directory.

Active Directory utilise ensuite ces informations pour déterminer la meilleure façon

d'utiliser les ressources réseau disponibles. L'utilisation des sites rend optimise les

opérations suivantes :

Réponses aux requêtes des clients. Lorsqu'un client requiert un service auprès

d'un contrôleur de domaine, la requête est destinée à un contrôleur de domaine

appartenant au même site que lui, s'il existe. Le choix d'un contrôleur de domaine

connecté correctement au client permet d'optimiser le traitement de la requête.

Par exemple, si un client se connecte en utilisant un compte de domaine, le

mécanisme de connexion recherche d'abord des contrôleurs de domaine hébergés

sur le même site que le client. L'utilisation préférentielle des contrôleurs de

domaine appartenant au site du client permet de limiter le trafic réseau au niveau

local, ce qui optimise la procédure d'authentification.

Réplication de données d'annuaire. Les sites permettent de dupliquer les

données d'annuaire tant en leur sein qu'entre eux. Active Directory réplique les

données au sein d'un même site plus fréquemment que d'un site à l'autre, ce qui

signifie que les contrôleurs de domaine les mieux connectés, par conséquent les

plus susceptibles d'avoir besoin de données d'annuaire spécifiques, sont les

premiers destinataires de la réplication. Les contrôleurs de domaine des autres

sites reçoivent aussi toutes les modifications de l'annuaire, mais moins

fréquemment, ce qui réduit la consommation de bande passante. La réplication de

données Active Directory à destination des contrôleurs de domaine est

avantageuse en termes de disponibilité des données, de tolérance de pannes,

d'équilibrage de charge et de performances. (Pour plus d'informations sur la

manière dont le système d'exploitation Windows 2000 met en œuvre la

réplication, voir la sous-section « Réplication multimaître » à la fin de cette

section relative aux sites.)

Contrôleurs de domaine, catalogues globaux et données répliquées

Les données enregistrées dans Active Directory sur chaque contrôleur de domaine (qu'il

s'agisse ou non d'un serveur de catalogue global) sont réparties en trois catégories : les

données de domaine, de schéma et de configuration. Chacune de ces catégories se situe

dans une partition d'annuaire distincte, appelée également contexte d'affectation de

nom. Ces partitions d'annuaire constituent les unités de réplication. Les trois partitions

d'annuaire comprises dans chaque serveur Active Directory sont définies comme suit :

Page 29: Architecture Active Directory

29

Partition d'annuaire de données de domaine. Contient tous les objets de

l'annuaire pour ce domaine. Les données de chaque domaine sont répliquées sur

tous les contrôleurs de domaine que le domaine contient, mais pas au-delà.

Partition d'annuaire de données de schéma. Contient tous les types d'objet

qui peuvent être créés dans Active Directory, ainsi que leurs attributs. Ces

données sont communes à tous les domaines de l'arborescence de domaines ou

de la forêt. Les données de schéma sont répliquées sur tous les contrôleurs de

domaine de la forêt.

Partition d'annuaire de données de configuration. Contient la topologie de

réplication et les métadonnées associées. Les applications qui reconnaissent

Active Directory enregistrent des données dans la partition d'annuaire de

configuration. Ces données sont communes à tous les domaines de l'arborescence

de domaines ou de la forêt. Les données de configuration sont répliquées sur tous les contrôleurs de domaine de la forêt.

Si le contrôleur de données est également le serveur de catalogue global, il contient en

outre une quatrième catégorie de données :

Réplica partiel de la partition d'annuaire de données de domaine pour

tous les domaines. Un serveur de catalogue global enregistre et réplique non

seulement un jeu complet de tous les objets de l'annuaire pour son propre

domaine hôte, mais également un réplica partiel de la partition d'annuaire de

domaine de tous les autres domaines de la forêt. Ce réplica partiel contient, par

définition, un sous-ensemble des propriétés de tous les objets de tous les

domaines de la forêt. (Un réplica partiel n'est accessible qu'en lecture seule, alors qu'un réplica complet l'est en lecture/écriture.)

Si un domaine contient un catalogue global, les autres contrôleurs de domaine

répliquent tous les objets de ce domaine (avec un sous-ensemble de leurs

propriétés) sur le catalogue global, puis une réplication partielle est exécutée

entre les catalogues globaux. Si un domaine ne possède pas de catalogue global, c'est un contrôleur de domaine standard qui sert de source au réplica partiel.

Par défaut, le sous-ensemble d'attributs enregistré dans le catalogue global

contient les attributs qui sont le plus souvent utilisés lors des opérations de

recherche, car l'une des fonctions essentielles du catalogue global est la prise en

charge des clients qui interrogent l'annuaire. Si vous utilisez des catalogues

globaux pour effectuer une réplication partielle de domaine au lieu de répliquer un

domaine complet, vous réduisez le trafic de réseau étendu.

Réplication dans un site

Si votre réseau est formé d'un réseau local (LAN) unique ou d'un ensemble de réseaux

locaux connectés par une structure fondamentale à haute vitesse, l'ensemble du réseau

peut constituer un site unique. Le premier contrôleur de domaine que vous installez crée

automatiquement le premier site, connu sous le nom de Default-First-Site-Name. Une

fois le premier contrôleur de domaine installé, tous les contrôleurs de domaine

supplémentaires sont automatiquement ajoutés au même site que le contrôleur de

domaine initial. (Si vous le souhaitez, vous pouvez ensuite les déplacer vers d'autres

sites.) Seule exception : Si, lorsque vous installez un contrôleur de domaine, l'adresse IP

de ce dernier correspond au sous-réseau déjà spécifié dans un autre site, le contrôleur de

domaine est ajouté à cet autre site.

Au sein d'un site, les données d'annuaire sont répliquées fréquemment et

automatiquement. La réplication intra-site est définie pour réduire au minimum le délai

de réplication, c'est-à-dire pour mettre les données à jour le plus possible. Les mises à

jour d'annuaire intra-site ne sont pas compressées. Les échanges non compressés

Page 30: Architecture Active Directory

30

utilisent davantage de ressources réseau mais demandent une puissance de traitement

moins importante de la part des contrôleurs de domaine.

La figure 9 illustre la réplication au sein d'un site. Trois contrôleurs de domaine (dont l'un

est aussi le catalogue global) répliquent les données de schéma et de configuration de la

forêt, ainsi que tous les objets d'annuaire (avec un jeu complet des attributs de chaque

objet).

Figure 9. Réplication intra-site avec un domaine unique

La topologie de réplication, c'est-à-dire la configuration formée par les connexions qui

répliquent les données d'annuaire entre les contrôleurs de domaine, est générée

automatiquement par le service Knowledge Consistency Checker (KCC) dans Active

Directory. La topologie de site Active Directory est une représentation logique d'un

réseau physique ; elle est définie sur la base d'une forêt. Active Directory essaie d'établir

une topologie qui offre au moins deux connexions à chaque contrôleur de domaine, de

sorte que, si un contrôleur de domaine devient indisponible, les données d'annuaire

puissent toujours atteindre tous les contrôleurs de domaine en ligne par l'autre

connexion.

Active Directory évalue et ajuste automatiquement la topologie de réplication pour qu'elle

s'adapte à l'évolution du réseau. Par exemple, lorsqu'un contrôleur de domaine est

ajouté à un site, la topologie de réplication est adaptée pour englober efficacement cet

ajout.

Les clients et les serveurs de Active Directory utilisent la topologie de sites de la forêt

pour diriger efficacement le trafic des requêtes et des réplications.

Si vous élargissez votre déploiement du premier contrôleur de domaine d'un domaine à

plusieurs contrôleurs de domaine au sein de domaines multiples (toujours à l'intérieur

d'un même site), les données d'annuaire répliquées sont modifiées pour tenir compte de

la réplication du réplica partiel sur des catalogues globaux dans différents domaines. La

figure 10 montre deux domaines, comportant chacun trois contrôleurs de domaine. Dans

chacun des sites, l'un des contrôleurs de domaine est également le serveur de catalogue

global. Au sein de chaque domaine, les contrôleurs de domaine répliquent les données de

schéma et de configuration de la forêt, ainsi que tous les objets d'annuaire (avec un jeu

complet des attributs de chaque objet), exactement comme à la figure 9. En outre,

chaque catalogue global réplique sur l'autre catalogue global les objets d'annuaire (avec

uniquement un sous-ensemble de leurs attributs) pour son propre domaine.

Page 31: Architecture Active Directory

31

Figure 10. Réplication intra-site avec deux domaines et deux catalogues

globaux

Réplication inter-sites

Créez des sites multiples pour optimiser à la fois le trafic serveur-serveur et le trafic

client-serveur sur les liaisons de réseau étendu. Dans le système d'exploitation

Windows 2000, la réplication inter-sites réduit automatiquement la consommation de

bande passante entre les sites.

Lorsque vous créez des sites multiples, respectez les recommandations suivantes :

Géographie. Définissez en tant que site distinct chaque zone géographique qui

nécessite un accès rapide aux données d'annuaire les plus récentes. Ainsi, vos

utilisateurs peuvent accéder à toutes les ressources dont ils ont besoin.

Contrôleurs de domaine et catalogues globaux. Placez au moins un

contrôleur de domaine dans chaque site et définissez au moins un contrôleur de

domaine en tant que catalogue global dans chaque site . Les sites qui n'ont ni

leurs propres contrôleurs de domaine ni catalogue global dépendent des autres sites pour obtenir leurs données d'annuaire et sont donc moins efficaces.

Connexion entre les sites

Les connexions réseau entre sites sont représentées par des liens de sites. Un lien de

sites est une connexion à faible bande passante ou une connexion non fiable entre au

moins deux sites. Un réseau étendu qui connecte deux réseaux rapides constitue un

exemple de lien de sites. D'une manière générale, n'importe quelle couple de réseaux

connectés par une liaison de vitesse inférieure à celle d'un réseau local sont considérés

comme connectés par un lien de sites. Par ailleurs, une liaison rapide proche de la

saturation dont la bande passante est peu efficace est également considérée comme un

lien de sites. Lorsque vous disposez de plusieurs sites, les sites connectés par des liens

de sites s'intègrent à la topologie de réplication.

Dans un réseau Windows 2000, les liens de sites ne sont pas générés automatiquement ;

vous devez les créer à l'aide de l'outil Sites et services Active Directory. Lorsque vous

créez des liens de sites et que vous configurez leur disponibilité de réplication, leur coût

relatif et leur fréquence de réplication, vous fournissez à Active Directory des

informations sur les objets de connexion à créer pour répliquer les données d'annuaire.

Active Directory utilise les liens de sites comme des indicateurs pour savoir où créer des

objets de connexion, et les objets de connexion utilisent les connexions réseau effectives

pour échanger des données d'annuaire.

Page 32: Architecture Active Directory

32

Chaque lien de sites est associé à un planning qui indique à quels moments de la journée

le lien est disponible pour effectuer le trafic de réplication.

Par défaut, les liens de sites sont transitifs, ce qui signifie qu'un contrôleur de domaine

dans un site peut effectuer des connexions de réplication avec des contrôleurs de

domaine dans n'importe quel autre site. Ainsi, si le site A est connecté au site B, et si le

site B est connecté au site C, les contrôleurs de domaine du site A peuvent communiquer

avec les contrôleurs de domaine du site C. Lorsque vous créez un site, il se peut que

vous souhaitiez créer des liens supplémentaires pour permettre des connexions

spécifiques entre des sites et personnaliser des liens de sites existants.

La figure 11 montre deux sites connectés par un lien de sites. Parmi les six contrôleurs

de domaine représentés dans cette figure, deux sont des serveurs ponts (le rôle de

serveur pont est attribué automatiquement par le système).

Figure 11. Deux sites connectés par un lien de sites Le serveur pont de chaque

site est utilisé de manière préférentielle pour échanger des données entre les

sites.

Les serveurs ponts sont les serveurs choisis de préférence pour la réplication, mais vous

pouvez également configurer les autres contrôleurs de domaine du site pour qu'ils se

chargent de la réplication des modifications d'annuaire d'un site à l'autre.

Une fois les mises à jour répliquées d'un site sur le serveur pont de l'autre site, elles sont

répliquées vers les autres contrôleurs de domaine au sein du site par la réplication intra-

site. Bien qu'un seul contrôleur de domaine reçoive la mise à jour d'annuaire inter-sites

initiale, tous les contrôleurs de domaine servent les requêtes client.

Protocoles de réplication

Les données d'annuaire peuvent être échangées à l'aide des protocoles de réseau

suivants :

Réplication IP. La réplication IP utilise des RPC pour la réplication dans un même

site (réplication intra-site) et pour la réplication via des liens de sites (réplication

inter-sites). Par défaut, la réplication inter-sites se conforme aux plannings de

réplication. La réplication IP n'a pas besoin d'autorité de certification.

Réplication SMTP. Si un site ne dispose pas de connexion physique au reste de

votre réseau mais peut être joint par SMTP (Simple Mail Transfer Protocol), il ne

dispose que d'une connectivité par messagerie. La réplication SMTP n'est utilisée

que pour la réplication inter-sites. Vous ne pouvez pas utiliser la réplication SMTP

Page 33: Architecture Active Directory

33

pour une réplication entre contrôleurs de domaine appartenant à un même

domaine ; SMTP ne prend en charge que la réplication inter-domaines (en

d'autres termes, SMTP ne peut être utilisé que pour la réplication inter-sites inter-

domaines). La réplication SMTP ne peut être utilisée que pour la réplication de

schéma, de configuration et de réplica partiel de catalogue global. La réplication SMTP se conforme au planning de réplication généré automatiquement.

Si vous décidez d'utiliser SMTP par l'intermédiaire de liens de sites, vous devez

installer et configurer une autorité de certification d'entreprise. Les contrôleurs de

domaine obtiennent auprès de l'autorité de certification des certificats qui leur

permettent ensuite de signer et de crypter les messages de courrier électronique

qui contiennent les données de réplication d'annuaire, garantissant ainsi

l'authenticité des mises à jour d'annuaire. La réplication SMTP utilise un cryptage sur 56 bits.

Réplication multimaître

Les contrôleurs de domaine de Active Directory prennent en charge la réplication

multimaître, en synchronisant les données sur chaque contrôleur de domaine et en

assurant la cohérence temporelle des données. La réplication multimaître réplique les

données de Active Directory entre les contrôleurs de domaine homologues, chacun

possédant une copie de l'annuaire en lecture/écriture. Il s'agit d'une nouveauté par

rapport au système d'exploitation Windows NT Server, dans lequel seul le contrôleur de

domaine principal disposait d'une copie de l'annuaire en lecture/écriture, les contrôleurs

de domaine secondaires ne recevant que des copies en lecture seule. Une fois configurée,

la réplication s'effectue de manière automatique et transparente.

Propagation de la mise à jour et numéros de séquence de mise à jour

Certains services d'annuaire utilisent des horodatages pour détecter et propager les

modifications. Avec de tels systèmes, il est impératif de s'assurer de la synchronisation

des horloges sur tous les serveurs d'annuaire. La synchronisation temporelle d'un réseau

est une tâche très ardue. Même si elle est excellente, l'heure d'un serveur d'annuaire

donné risque d'être mal réglée, ce qui peut entraîner la perte de mises à jour.

Le système de réplication de Active Directory propage les mises à jour indépendamment

du temps. En effet, il utilise des numéros de séquence de mise à jour (USN, Update

Sequence Number). Un USN est un nombre codé sur 64 bits maintenu par chaque

contrôleur de domaine Active Directory pour surveiller les mises à jour. Lorsque le

serveur écrit sur un attribut ou une propriété d'un objet Active Directory (y compris

l'écriture d'origine ou une écriture répliquée), l'USN est incrémenté et enregistré avec la

propriété mise à jour et une propriété spécifique au contrôleur de domaine. Cette

opération a lieu d'un seul tenant, c'est-à-dire que l'incrémentation et l'enregistrement de

l'USN ainsi que l'écriture de la propriété réussissent tous les trois ou échouent tous les

trois.

Chaque serveur Active Directory maintient également une table des USN reçus de ses

partenaires de réplication. L'USN le plus élevé reçu de chacun des partenaires est

enregistré. Lorsqu'un partenaire donné informe Active Directory d'une réplication

imminente, le serveur demande à recevoir toutes les modifications dont l'USN est

supérieur à la dernière valeur reçue. Cette approche simple ne dépend pas de la

précision des horodatages.

Comme l'USN enregistré dans la table est mis à jour au cours d'une opération groupée à

la réception de chaque mise à jour, la récupération après échec est aussi très simple.

Pour relancer la réplication, il suffit qu'un serveur demande à ses partenaires toutes les

modifications dont les USN sont supérieurs à la dernière entrée valide de la table. La

table étant mise à jour par une opération groupée au moment où les modifications sont

réellement effectuées, un cycle de réplication reprend toujours exactement là où il a été

interrompu, sans perte ni répétition des mises à jour.

Détection des collisions et numéros de version des propriétés

Page 34: Architecture Active Directory

34

Dans un système de réplication multimaître comme celui de Active Directory, il est

possible que la même propriété soit mise à jour sur plusieurs réplicas différents. Si une

propriété est modifiée sur un deuxième (troisième, quatrième, etc.) réplica avant qu'une

modification du premier réplica ait été complètement propagée, une collision de

réplications se produit. Les collisions sont détectées à l'aide de numéros de version de

propriété. Contrairement aux USN, qui sont des valeurs spécifiques aux serveurs, un

numéro de version de propriété est spécifique à la propriété jointe à un objet dans Active

Directory. Lorsqu'une propriété est écrite pour la première fois sur un objet Active

Directory, le numéro de version est initialisé.

Les écritures d'origine incrémentent le numéro de version de propriété. Une écriture

d'origine est une écriture sur une propriété du système à l'origine de la modification. Les

écritures sur propriété engendrées par la réplication ne sont pas des écritures d'origine et

n'incrémentent pas le numéro de version. Par exemple, lorsqu'un utilisateur met à jour

son mot de passe, une écriture d'origine est effectuée et le numéro de version du mot de

passe est incrémenté. Par contre, les écritures de réplication du mot de passe modifié sur

d'autres serveurs n'incrémentent pas le numéro de version.

Il y a collision lorsque, lors d'une modification reçue par réplication, le numéro de version

reçu est égal au numéro de version enregistré localement, et que la valeur reçue et la

valeur enregistrées sont différentes. Dans ce cas, le système récepteur applique la mise

à jour dont l'horodatage est le plus récent. À l'exception de cette situation, l'heure et la

date n'interviennent pas dans la réplication.

Si le numéro de version reçu est inférieur au numéro de version enregistré localement, la

mise à jour est considérée comme caduque et rejetée. Si le numéro de version reçu est

supérieur au numéro de version enregistré localement, la mise à jour est acceptée.

Amortissement de la propagation

Le système de réplication de Active Directory autorise la présence de boucles dans la

topologie de réplication. L'administrateur peut ainsi configurer une topologie de

réplication comportant des chemins d'accès multiples entre serveurs pour accroître les

performances et la disponibilité. Le système de réplication de Active Directory pratique

l'amortissement de la propagation pour éviter que des modifications se propagent

indéfiniment et pour éliminer la transmission redondante de modifications à des réplicas

déjà à jour.

Pour amortir la propagation, le système de réplication de Active Directory utilise des

vecteurs de mise à jour. Le vecteur de mise à jour est une liste des paires serveur-USN

maintenues par chaque serveur. Le vecteur de mise à jour de chaque serveur indique

l'USN d'écritures d'origine le plus élevé reçu du serveur figurant dans la paire serveur-

USN. Le vecteur de mise à jour d'un serveur appartenant à un site donné répertorie tous

les autres serveurs de ce site15.

Lorsqu'un cycle de réplication commence, le serveur demandeur envoie son vecteur de

mise à jour au serveur émetteur. Le serveur émetteur utilise le vecteur de mise à jour

pour filtrer les modifications envoyées au serveur demandeur. Si l'USN le plus élevé pour

un serveur d'origine donné est supérieur ou égal à l'USN d'écriture d'origine d'une mise à

jour particulière, le serveur émetteur n'a pas besoin de transmettre la modification : le

serveur demandeur est déjà à jour par rapport au serveur d'origine.

Page 35: Architecture Active Directory

35

Architecture Active Directory (dernière partie)

Utilisation de la délégation et de la stratégie de groupe avec les unités

d'organisation, les domaines et les sites

Vous pouvez déléguer des autorisations administratives pour les conteneurs Active

Directory suivants, auxquels vous pouvez également associer des stratégies de groupe :

unités d'organisation

domaines

sites

L'unité d'organisation est le plus petit conteneur Windows 2000 auquel vous pouvez

déléguer de l'autorité et appliquer une stratégie de groupe16. La délégation comme la

stratégie de groupe sont des fonctionnalités de sécurité du système d'exploitation

Windows 2000. Ce document décrit brièvement ces fonctionnalités du stricte point de vue

de l'architecture pour démontrer que la structure de Active Directory détermine la

manière d'utiliser la délégation et la stratégie de groupe des conteneurs.

L'attribution d'autorité administrative à des unités d'organisation, à des domaines ou à

des sites vous permet de déléguer l'administration des utilisateurs et des ressources.

L'attribution d'objets Stratégie de groupe à l'un ou l'autre de ces trois types de

conteneurs vous permet de définir des configurations de bureau et une politique de

sécurité pour les utilisateurs et les ordinateurs du conteneur. Les deux sous-sections

suivantes abordent ces thèmes de manière détaillée.

Délégation de conteneur

Dans le système d'exploitation Windows 2000, la délégation est ce qui permet à une

autorité administrative supérieure d'accorder des droits administratifs sur des unités

d'organisation, des domaines ou des sites à des groupes d'utilisateurs (ou à des

utilisateurs individuels). Vous pouvez ainsi réduire le nombre d'administrateurs disposant

d'une autorité globale sur des segments importants de la population des utilisateurs.

Déléguer le contrôle d'un conteneur vous permet de spécifier qui dispose des

autorisations nécessaires pour accéder à cet objet ou à ses objets enfants ou pour les

modifier. La délégation est l'une des fonctionnalités de sécurité les plus importantes de

Active Directory.

Délégation de domaine et d'unité d'organisation

Dans le système d'exploitation Windows NT 4.0, les administrateurs peuvent déléguer

une partie de l'administration en créant de multiples domaines qui leur permettent de

disposer d'ensembles d'administrateurs de domaine distincts. Dans Windows 2000, les

unités d'organisation sont plus faciles à créer, à supprimer, à déplacer et à modifier que

les domaines, et sont par conséquent plus adaptées à la délégation.

Pour déléguer de l'autorité administrative (à part l'autorité sur les sites, abordée dans la

section suivante), vous accordez à un groupe des droits spécifiques sur un domaine ou

une unité d'organisation en modifiant la liste de contrôle d'accès discrétionnaire (DACL)

du conteneur17. Par défaut, les membres du groupe de sécurité des administrateurs de

domaine ont autorité sur le domaine dans son ensemble, mais vous pouvez restreindre

l'appartenance à ce groupe à un nombre limité d'administrateurs en qui vous avez la plus

grande confiance. Pour créer des administrateurs à champ d'action limité, vous pouvez

déléguer de l'autorité à tous les niveaux de votre organisation, jusqu'au niveau le plus

bas, en créant un arborescence d'unités d'organisation au sein de chaque domaine et en

déléguant de l'autorité sur des parties de la sous-arborescence d'unités d'organisation.

Page 36: Architecture Active Directory

36

Les administrateurs de domaine disposent d'un contrôle total sur tous les objets de leur

domaine. Par contre, ils n'ont aucun droit administratif sur les objets des autres

domaines18.

Vous pouvez déléguer l'administration d'un domaine ou d'une unité d'organisation à l'aide

de l'Assistant Délégation de contrôle, disponible dans le composant logiciel enfichable

Utilisateurs et ordinateurs Active Directory. Cliquez à l'aide du bouton droit de la souris

sur le domaine ou l'unité d'organisation de votre choix, sélectionnez Déléguer le contrôle,

ajoutez les groupes (ou les utilisateurs) auxquels vous souhaitez déléguer le contrôle,

puis déléguez les tâches courantes reprises dans la liste ou créez une tâche courante à

déléguer. Le tableau suivant reprend les tâches courantes que vous pouvez déléguer.

Tâches courantes de domaine que

vous pouvez déléguer

Tâches courantes d'unité d'organisation

que vous pouvez déléguer

Associer un ordinateur à un domaine

Administrer les liens de stratégie de

groupe

Créer, supprimer et administrer les comptes

d'utilisateur

Réinitialiser les mots de passe des comptes

d'utilisateur

Lire toutes les données utilisateur

Créer, supprimer et administrer les groupes

Modifier l'appartenance à un groupe

Administrer les imprimantes

Créer et supprimer des imprimantes

Administrer les liens de stratégie de groupe

En utilisant une combinaison d'unités d'organisation, de groupes et d'autorisations, vous

pouvez définir l'étendue administrative la plus appropriée à un groupe donné : un

domaine complet, une sous-arborescence d'unités d'organisation ou une unité

d'organisation unique. Par exemple, il se peut que vous souhaitiez créer une unité

d'organisation qui vous permette d'accorder le contrôle administratif à tous les

utilisateurs et à tous les comptes d'ordinateur de tous les services d'un même service, tel

que le service Comptabilité. D'autre part, il se peut que vous vouliez accorder le contrôle

administratif à certaines ressources du service, telles que les comptes d'ordinateur.

Enfin, une autre possibilité consisterait à accorder le contrôle administratif à l'unité

d'organisation Comptabilité, mais pas aux unités d'organisation qu'elle contient.

Dans la mesure où les unités d'organisation sont utilisées pour la délégation

administrative et ne constituent pas elles-mêmes des entités de sécurité, c'est l'unité

d'organisation parent d'un objet utilisateur qui indique qui administre cet objet. Par

contre, elle n'indique pas à quelles ressources cet utilisateur particulier peut accéder.

Délégation de site

Vous utilisez Sites et services Active Directory pour déléguer le contrôle sur des sites, des

conteneurs de serveur, des protocoles de transfert inter-sites (IP ou SMTP) ou des sous-

réseaux. La délégation de contrôle sur l'une ou l'autre de ces entités donne à

l'administrateur délégué la possibilité de manipuler cette entité, mais pas celle

d'administrer les utilisateurs ou les ordinateurs qu'elle contient.

Par exemple, lorsque vous déléguez le contrôle d'un site, vous pouvez choisir de déléguer

le contrôle de tous les objets, ou vous pouvez vous contenter de déléguer le contrôle

d'un ou de plusieurs objets situés dans ce site. Les objets dont vous pouvez déléguer le

contrôle sont les objets Utilisateur, Ordinateur, Groupe, Imprimante, Unité

d'organisation, Dossier partagé, Site, Lien de sites, Pont de lien de sites, etc. Vous êtes

ensuite invité à sélectionner la portée des autorisations que vous voulez déléguer

(générale, spécifique à une propriété ou simplement la création/suppression d'objets

enfants spécifiques). Si vous spécifiez une portée générale, vous êtes invité à accorder

une ou plusieurs des autorisations suivantes : Contrôle total, Lecture, Écriture, Création

de tous les objets enfants, Suppression de tous les objets enfants, Lecture de toutes les

propriétés, Écriture de toutes les propriétés.

Stratégie de groupe

Page 37: Architecture Active Directory

37

Dans Windows NT 4.0, vous utilisez l'éditeur de stratégie système pour définir les

configurations utilisateur, groupe et ordinateur enregistrées dans la base de données du

registre Windows NT. Dans Windows 2000, la stratégie de groupe définit une gamme

plus large de composants gérables par les administrateurs dans l'environnement

utilisateur. Parmi ces composants se trouvent des paramètres pour les stratégies de

registre, des options de sécurité, des options de déploiement de logiciel, des scripts (pour

le démarrage et l'arrêt des ordinateurs et pour la connexion et la déconnexion des

utilisateurs) et une redirection de dossiers spéciaux19.

Le système applique les paramètres de configuration de stratégie de groupe aux

ordinateurs au moment de l'amorçage et aux utilisateurs lorsqu'ils ouvrent une session.

Pour appliquer les paramètres de stratégie de groupe aux utilisateurs ou aux ordinateurs

dans les sites, les domaines et les unités d'organisation, vous devez lier l'objet Stratégie

de groupe au conteneur de Active Directory des utilisateurs ou des ordinateurs

concernés.

Par défaut, la stratégie de groupe affecte tous les utilisateurs et tous les ordinateurs du

conteneur lié. Utilisez l'appartenance aux groupes de sécurité pour retenir les objets

Stratégie de groupe qui affectent les utilisateurs et les ordinateurs d'une unité

d'organisation, d'un domaine ou d'un site donné. Vous pouvez ainsi appliquer la stratégie

à un niveau plus granulaire. En d'autres termes, l'utilisation des groupes de sécurité vous

permet d'appliquer la stratégie à des ensembles d'objets spécifiques au sein d'un

conteneur. Pour filtrer la stratégie de groupe de cette manière, vous devez utiliser

l'onglet Sécurité de la page Propriétés d'un objet Stratégie de groupe, afin de décider

qui peut lire cet objet. L'objet n'est appliqué qu'aux utilisateurs dont les paramètres

Application de la stratégie de groupe et Lecture sont définis sur Autorisé (utilisateur

membre d'un groupe de sécurité). Toutefois, dans la mesure où les utilisateurs ordinaires

disposent de ces autorisations par défaut, la stratégie de groupe affecte tous les

utilisateurs et tous les ordinateurs du conteneur lié à moins que vous ne modifiiez

explicitement ces autorisations.

L'emplacement d'un groupe de sécurité dans Active Directory n'a aucun impact sur la

stratégie de groupe. Pour le conteneur spécifique auquel l'objet Stratégie de groupe est

appliqué, les paramètres de l'objet Stratégie de groupe déterminent :

les ressources de domaine (telles que les applications) dont les utilisateurs

peuvent disposer ; la configuration d'utilisation de ces ressources de domaine.

Par exemple, un objet Stratégie de groupe peut déterminer les applications dont les

utilisateurs peuvent disposer sur leur ordinateur lorsqu'ils ouvrent une session, le nombre

d'utilisateurs qui peuvent se connecter à Microsoft SQL Server quand il démarre sur un

serveur, ou encore les services auxquels les utilisateurs peuvent accéder lorsqu'ils

migrent vers des services ou des groupes différents. La stratégie de groupe vous permet

d'administrer un nombre restreint d'objets Stratégie de groupe plutôt qu'un grand

nombre d'utilisateurs et d'ordinateurs.

Les sites, les domaines et les unités d'organisation, contrairement aux groupes de

sécurité, n'accordent pas d'appartenance. Au contraire, ils contiennent et organisent des

objets d'annuaire. Vous pouvez utiliser les groupes de sécurité pour accorder des droits

et des autorisations aux utilisateurs, puis utiliser les trois types de conteneurs Active

Directory pour regrouper les utilisateurs et les ordinateurs et affecter des paramètres de

stratégie de groupe.

Dans la mesure où l'accès aux ressources est accordé via des groupes de sécurité, vous

jugerez peut-être qu'il est plus efficace d'utiliser les groupes de sécurité pour représenter

la structure d'organisation de votre entreprise plutôt qu'utiliser les domaines ou les

unités d'organisation pour refléter sa structure technique.

Par défaut, les paramètres de stratégie établis à l'échelle du domaine ou appliqués à une

unité d'organisation contenant d'autres unités d'organisation sont hérités par les

conteneurs enfants, à moins que l'administrateur ne spécifie explicitement que l'héritage

ne s'applique pas à l'un ou plusieurs de ces derniers.

Page 38: Architecture Active Directory

38

Délégation du contrôle de la stratégie de groupe

Les administrateurs réseau (les membres des groupes Administrateurs d'entreprise et

Administrateurs de domaine) peuvent utiliser l'onglet Sécurité à la page Propriétés de

l'objet Stratégie de groupe pour déterminer les autres groupes d'administrateurs qui

peuvent modifier les paramètres de stratégie dans les objets Stratégie de groupe. Pour

ce faire, un administrateur réseau doit d'abord définir des groupes d'administrateurs (par

exemple celui des administrateurs du marketing), puis leur accorder l'accès en

lecture/écriture à des objets Stratégie de groupe précis. Le fait qu'il dispose du contrôle

total sur un objet Stratégie de groupe n'autorise pas un administrateur à le lier à un site,

à un domaine ou à une unité d'organisation. Toutefois, les administrateurs réseau

peuvent accorder ce pouvoir à l'aide de l'Assistant Délégation de contrôle.

Windows 2000 vous permet de déléguer de manière indépendante les trois tâches de

stratégie de groupe suivantes :

gestion des liens de stratégie de groupe pour un site, un domaine ou une unité

d'organisation ;

création d'objets Stratégie de groupe ;

modification d'objets Stratégie de groupe.

L'outil Stratégie de groupe, comme la plupart des autres outils d'administration de

Windows 2000, est hébergées dans les consoles MMC. Les droits de créer, de configurer

et d'utiliser les consoles MMC ont par conséquent des implications stratégiques. Vous

pouvez contrôler ces droits à l'aide de Stratégie de groupe sous

<nom d'objet Stratégie de groupe>/User Configuration/Administrative

Templates/Windows Components/Microsoft Management Console/

et ses sous-dossiers.

Le tableau 4 donne la liste des paramètres d'autorisation de sécurité pour un objet

Stratégie de groupe.

Tableau 4. Paramètres d'autorisation de sécurité pour un objet Stratégie de

groupe

Groupes (ou utilisateurs) Autorisation de sécurité

Utilisateur authentifié Lecture avec ACE Application de stratégie de

groupe

Administrateurs de domaine

Administrateurs d'entreprise

Système local de créateur

propriétaire

Contrôle total sans ACE Application de stratégie de

groupe

Remarque Par défaut, les administrateurs sont également des utilisateurs authentifiés,

ce qui signifie que leur attribut Application de stratégie de groupe est activé.

Pour des informations détaillées sur Stratégie de groupe, voir la section « Pour plus

d'informations » à la fin de ce document.

Interopérabilité

De nombreuses entreprises dépendent d'un ensemble de technologies variées qui doivent

collaborer. Active Directory prend en charge de nombreuses normes afin d'assurer

l'interopérabilité de l'environnement Windows 2000 avec d'autres produits Microsoft et

avec une large gamme de produits créés par d'autres éditeurs ou fabricants.

Cette section décrit les types d'interopérabilité suivants, pris en charge par Active

Directory :

Protocole LDAP

Interfaces de programmation d'applications (API)

Synchronisation de Active Directory avec d'autres services d'annuaire

Page 39: Architecture Active Directory

39

Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité

Rôle de Kerberos dans l'interopérabilité Compatibilité ascendante avec le système d'exploitation Windows NT

Protocole LDAP

Le protocole LDAP (Lightweight Directory Access Protocol) est la norme industrielle de

l'accès aux annuaires. L'IETF (Internet Engineering Task Force) étudie actuellement LDAP

pour en faire une norme Internet.

Active Directory et LDAP

LDAP est le protocole principal d'accès aux annuaires qui permet d'ajouter, de modifier et

de supprimer des données enregistrées dans Active Directory, et qui permet en outre de

rechercher et de récupérer ces données. Le système d'exploitation Windows 2000 prend

en charge les versions 2 et 320 de LDAP. LDAP définit comment un client d'annuaire peut

accéder à un serveur d'annuaire, mais aussi comment il peut effectuer des opérations

d'annuaire et partager des données d'annuaire. En d'autres termes, les clients Active

Directory doivent utiliser LDAP pour obtenir des données de Active Directory ou pour y

maintenir des données.

LDAP permet à Active Directory d'être interopérable avec d'autres applications clientes

conformes à cette norme. Si vous disposez des autorisations nécessaires, vous pouvez

utiliser n'importe quelle application cliente conforme à LDAP pour parcourir et interroger

Active Directory ou pour y ajouter, y modifier ou y supprimer des données.

Interfaces de programmation d'applications

Vous pouvez utiliser les interfaces de programmation d'applications (API) suivantes pour

accéder aux données de Active Directory :

ADSI (Active Directory Service Interface).

API LDAP C.

Ces API sont décrites dans les deux sous-sections suivantes.

ADSI

ADSI (Active Directory Service Interface) permet d'accéder à Active Directory en

présentant les objets enregistrés dans l'annuaire comme des objets COM (Component

Object Model). Un objet d'annuaire est ainsi manipulé à l'aide des méthodes disponibles

dans une ou plusieurs des interfaces COM. ADSI dispose d'une architecture fournisseur

qui permet l'accès COM à différents types d'annuaires pour lesquels un fournisseur

existe.

À l'heure actuelle, Microsoft propose des fournisseurs ADSI pour Novell NDS (NetWare

Directory Services) et NetWare 3, Windows NT, LDAP et pour la métabase IIS (Internet

Information Services). (La métabase IIS rassemble les paramètres de configuration

d'IIS.) Le fournisseur LDAP peut être utilisé avec n'importe quel annuaire LDAP, dont

Active Directory, Microsoft Exchange 5.5 ou encore Netscape.

Vous pouvez utiliser ADSI à partir de nombreux outils différents, des applications

Microsoft Office à C/C++. ADSI est extensible, si bien que vous pouvez ajouter des

fonctionnalités à un objet ADSI pour prendre en charge de nouvelles propriétés et de

nouvelles méthodes. Par exemple, vous pouvez ajouter une méthode à l'objet utilisateur

qui crée une boîte aux lettres Exchange pour un utilisateur lorsque cette méthode est

appelée. ADSI possède un modèle de programmation très simple. Il permet de supprimer

la surcharge d'administration des données caractéristique des interfaces autres que COM,

Page 40: Architecture Active Directory

40

comme les API LDAP C. ADSI est entièrement scriptable et permet donc de développer

facilement des applications Web étoffées. ADSI prend en charge ADO (ActiveX® Data

Objects) et OLE DB (Object Linking and Embedding Database) pour la formulation de

requêtes.

Les développeurs et les administrateurs peuvent ajouter des objets et des attributs à

Active Directory en créant des scripts basés sur ADSI (ainsi que des scripts basés sur

LDIFDE, abordé plus loin dans ce document).

API LDAP C

L'API LDAP C, définie dans la norme Internet RFC 1823, rassemble des API écrites en C

de bas niveau permettant une interface avec LDAP. Microsoft prend en charge les API

LDAP C sur toutes les plates-formes Windows.

Les développeurs peuvent choisir d'écrire leurs applications compatibles avec Active

Directory en utilisant des API LDAP C ou ADSI. Ils utilisent plus souvent les API LDAP C

pour faciliter la portabilité des applications compatibles annuaire sur la plate-forme

Windows. D'un autre côté, ADSI est un langage plus puissant et plus approprié pour les

développeurs qui écrivent du code compatible annuaires sur la plate-forme Windows.

Synchronisation de Active Directory avec d'autres services d'annuaire

Microsoft fournit des services de synchronisation d'annuaires qui vous permettent de

synchroniser Active Directory avec Microsoft Exchange 5.5, Novell NDS, Novell NetWare,

Lotus Notes et GroupWise. En outre, des utilitaires de ligne de commande vous

permettent d'importer et d'exporter des données d'annuaire à partir et vers d'autres

services d'annuaire.

Active Directory et Microsoft Exchange

Le système d'exploitation Windows 2000 dispose du service Connecteur Active Directory

qui permet une synchronisation bidirectionnelle avec Microsoft Exchange 5.5. Le

connecteur Active Directory offre un mappage étoffé des objets et des attributs lorsqu'il

synchronise les données entre les deux annuaires. Pour plus d'informations sur le

connecteur Active Directory, voir la section « Pour plus d'informations » à la fin de ce

document.

Active Directory et Novell NDS et NetWare

Microsoft compte livrer, dans le cadre des Services pour Netware 5.0, un service de

synchronisation d'annuaire qui permet une synchronisation bidirectionnelle entre Active

Directory et les produits Novell NDS et NetWare.

Active Directory et Lotus Notes

Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft

Exchange, Microsoft compte livrer un service de synchronisation d'annuaire qui effectuera

une synchronisation bidirectionnelle avec Lotus Notes en vue de synchroniser le courrier

électronique et d'autres attributs courants.

Active Directory et GroupWise

Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft

Exchange, Microsoft compte livrer un service de synchronisation d'annuaire qui effectuera

une synchronisation bidirectionnelle avec GroupWise en vue de synchroniser le courrier

électronique et d'autres attributs courants.

Page 41: Architecture Active Directory

41

Active Directory et LDIFDE

Le système d'exploitation Windows 2000 fournit l'utilitaire de ligne de commande LDIFDE

pour la prise en charge de l'importation et de l'exportation des données d'annuaire. LDIF

(LDAP Data Interchange Format) est un projet de norme Internet, devenu une norme

industrielle, qui définit le format de fichier utilisé pour échanger des données d'annuaire.

LDIFDE est donc l'utilitaire Windows 2000 qui prend en charge l'importation de données

dans l'annuaire et l'exportation de données à partir de l'annuaire en utilisant LDIF.

LDIFDE vous permet d'exporter des données de Active Directory au format LDIF de sorte

que vous puissiez ensuite les importer dans un autre annuaire. Vous pouvez aussi utiliser

LDIFDE pour importer des données d'annuaire à partir d'un autre annuaire.

LDIFDE vous permet d'effectuer des traitements par lots, tels que l'ajout, la suppression,

le changement de nom ou la modification de données. Vous pouvez également remplir

Active Directory avec des données obtenues à partir d'autres sources, telles que d'autres

services d'annuaire. En outre, dans la mesure où le schéma de Active Directory est

enregistré dans l'annuaire lui-même, vous pouvez utiliser LDIFDE pour sauvegarder ou

étendre le schéma. Pour obtenir une liste des paramètres LDIFDE et savoir à quoi ils

servent, voir les rubriques d'aide de Windows 2000. Pour des informations sur l'utilisation

de LDIFDE pour des traitements par lots avec Active Directory, voir la section « Pour plus

d'informations » à la fin de ce document.

Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité

Un administrateur peut créer un objet de renvoi qui pointe sur un serveur dans un

annuaire extérieur à la forêt. Lorsqu'un utilisateur effectue une recherche dans une sous-

arborescence qui contient cet objet de renvoi, Active Directory renvoie un lien vers ce

serveur parmi les résultats et le client LDAP peut suivre le lien pour récupérer les

données requises par l'utilisateur.

De telles références sont des objets conteneurs Active Directory qui renvoient à un

annuaire extérieur à la forêt. Ici, une référence interne renvoie à un annuaire extérieur

qui apparaît dans l'espace de noms Active Directory comme enfant d'un objet Active

Directory existant, alors qu'une référence externe renvoie à un annuaire extérieur qui

n'apparaît pas en tant qu'enfant dans l'espace de noms Active Directory.

Tant pour les références internes qu'externes, Active Directory contient le nom de DNS

d'un serveur qui héberge une copie de l'annuaire extérieur ainsi que le nom unique de la

racine de l'annuaire extérieur à partir de laquelle les opérations de recherche doivent

débuter.

Rôle de Kerberos dans l'interopérabilité

Le système d'exploitation Windows 2000 prend en charge de nombreuses configurations

pour permettre une interopérabilité entre les plates-formes :

Clients. Un contrôleur de domaine Windows 2000 peut authentifier les systèmes

clients qui utilisent des mises en œuvre de Kerberos (RFC 1510), y compris s'ils

exécutent un système d'exploitation autre que Windows 2000. Les comptes

d'utilisateur et d'ordinateur Windows 2000 peuvent être utilisés comme des noms

principaux Kerberos pour des services UNIX.

Clients et services UNIX. Des clients et des serveurs UNIX peuvent disposer de

comptes Active Directory au sein d'un domaine Windows 2000 et peuvent donc

être authentifiés par un contrôleur de domaine. Dans un tel scénario, un nom

principal Kerberos est mappé sur un compte d'utilisateur ou d'ordinateur

Windows 2000.

Applications et systèmes d'exploitation. Les applications clientes pour

Win32® et pour les systèmes d'exploitation autres que Windows 2000 basés sur

Page 42: Architecture Active Directory

42

l'API GSS (General Security Service) peuvent obtenir des tickets de session pour

des services au sein d'un domaine Windows 2000.

Dans un environnement qui utilise déjà un domaine Kerberos, le système d'exploitation

Windows 2000 prend en charge l'interopérabilité avec les services Kerberos :

Domaine Kerberos. Les systèmes Windows 2000 Professionnel peuvent

s'authentifier auprès d'un serveur Kerberos (RFC 1510) au sein d'un domaine

approuvé Kerberos avec une connexion commune au serveur et à un compte local

Windows 2000 Professionnel.

Relations d'approbation avec les domaines Kerberos. Il est possible d'établir

une relation d'approbation entre un domaine Windows 2000 et un domaine

Kerberos. En d'autres termes, un client d'un domaine Kerberos peut s'authentifier

auprès d'un domaine Active Directory pour accéder aux ressources réseau de ce domaine.

Compatibilité ascendante avec le système d'exploitation Windows NT

Un type particulier d'interopérabilité consiste à maintenir la compatibilité ascendante

avec les versions précédentes du système d'exploitation actuel. Le système d'exploitation

Windows 2000 s'installe par défaut dans une configuration réseau à mode mixte. Un

domaine à mode mixte est un ensemble d'ordinateurs mis en réseau qui exécutent à la

fois des contrôleurs de domaine Windows NT et Windows 2000. Dans la mesure où Active

Directory prend en charge ce mode mixte, vous pouvez mettre à niveau des domaines et

des ordinateurs au rythme qui vous convient, selon les besoins de votre organisation.

Active Directory prend en charge le protocole d'authentification NTLM (Windows NT LAN

Manager), utilisé par Windows NT, ce qui signifie que les utilisateurs et les ordinateurs

Windows NT autorisés peuvent se connecter à un domaine Windows 2000 et accéder à

ses ressources. Pour les clients Windows NT et les clients Windows 95 ou Windows 98 qui

n'exécutent pas le logiciel client Active Directory, un domaine Windows 2000 apparaît

comme un domaine Windows NT Server 4.0.

Résumé

L'introduction de Active Directory est sans aucun doute l'amélioration la plus significative

du système d'exploitation Windows 2000. Active Directory permet de centraliser et de

simplifier l'administration réseau et permet ainsi au réseau de garantir la prise en charge

des objectifs de l'entreprise.

Active Directory enregistre les informations sur les objets du réseau et les met à la

disponibilité des administrateurs, des utilisateurs et des applications. Il constitue un

espace de nom intégré avec le système de noms de domaine (DNS, Domain Name

System) d'Internet, et permet aussi de définir un serveur comme contrôleur de domaine.

Pour structurer le réseau Active Directory et ses objets, vous pouvez utiliser des

domaines, des arborescences, des forêts, des relations d'approbation, des unités

d'organisation et des sites. Vous pouvez déléguer la responsabilité administrative des

unités d'organisation, des domaines ou des sites aux personnes ou aux groupes de votre

choix, et vous pouvez attribuer des paramètres de configuration à ces trois conteneurs

Active Directory. Une telle architecture permet aux administrateurs d'administrer le

réseau de sorte que les utilisateurs puissent se consacrer totalement aux objectifs de leur

entreprise.

De nos jours, il est rare qu'une entreprise ne dépende pas de diverses technologies qui

doivent fonctionner ensemble. Active Directory est basé sur des protocoles d'accès aux

annuaires standard, qui, avec de multiples API, lui permettent d'interagir avec d'autres

services d'annuaire et une large gamme d'applications tierces. Enfin, Active Directory est

capable de synchroniser des données avec Microsoft Exchange et fournit des utilitaires de

Page 43: Architecture Active Directory

43

ligne de commande qui permettent d'importer et d'exporter des données d'autres

services d'annuaire.

Pour plus d'informations

Pour obtenir les informations les plus récentes sur le système d'exploitation

Windows 2000, consultez Microsoft TechNet ou le site Web de Microsoft Windows 2000

Server (http://www.microsoft.com/france/windows/server/), le forum de Windows NT

Server sur MSN™ et le service en ligne The Microsoft Network (GO WORD: MSNTS).

Vous pouvez également explorer les liens suivants :

Kit de développement logiciel de la plate-forme Windows 2000

(http://www.microsoft.com/france/msdn/technologies/windows2000/)

— Utilisation de ADSI pour étendre le schéma par programme. Livre blanc « Introduction à la stratégie de groupe de Windows 2000 »

(http://www.microsoft.com/windows/server/Technical/management/GroupPolicyIntro.asp

(site en anglais))

— Détails de la stratégie de groupe de Windows 2000.

Visite guidée technique de la version Bêta 3 « Importation et exportation

groupées de et vers Active Directory »

(http://www.microsoft.com/Windows/server/Deploy/directory/Blkimpt.asp (site en

anglais))—

Utilisation de LDIFDE pour effectuer des traitements par lots avec Active

Directory.

Site Web de l'IETF (Internet Engineering Task Force – http://www.ietf.org/(site en

anglais)) –

RFC et projets de norme Internet de l'IETF.

Le Guide de planification du déploiement de Microsoft Windows 2000, qui explique

comment planifier la structure et le déploiement des domaines et des sites

Windows 2000, sera disponible en librairie dès début 2000. Il figure également parmi les

Outils de support sur les CD-ROM Windows 2000 Server et Windows 2000 Advanced

Server.

Annexe A : Outils

Cette annexe présente les logiciels que vous pouvez utiliser pour effectuer les tâches

associées à Active Directory.

Microsoft Management Console

Dans le système d'exploitation Windows 2000 Server, Microsoft Management Console

(MMC) fournit des interfaces cohérentes qui permettent aux administrateurs de visualiser

les fonctions réseau et d'utiliser les outils d'administration. Qu'ils soient responsables

d'un seul poste de travail ou d'un réseau d'ordinateurs, les administrateurs utilisent la

même console. MMC héberge des composants logiciels enfichables, qui traitent de tâches

d'administration réseau spécifiques. Quatre de ces composants logiciels enfichables sont

des outils Active Directory.

Composants logiciels enfichables Active Directory

Les outils d'administration Active Directory, livrés avec le système d'exploitation

Windows 2000 Server, simplifient l'administration des services d'annuaire. Vous pouvez

utiliser les outils standard ou MMC pour créer des outils personnalisés destinées à une

tâche d'administration spécifique. Vous pouvez combiner plusieurs outils en une console

Page 44: Architecture Active Directory

44

unique. Vous pouvez également attribuer des outils personnalisés à des administrateurs

individuels responsables de tâches administratives spécifiques.

Les composants logiciels enfichables Active Directory suivants sont disponibles dans le

menu Outils d'administration Windows 2000 Server de tous les contrôleurs de domaine

Windows 2000 :

Utilisateurs et ordinateurs Active Directory

Domaines et approbations Active Directory Sites et services Active Directory

Le quatrième composant logiciel enfichable Active Directory est :

Schéma Active Directory

Il est recommandé d'étendre le schéma de Active Directory par programme, par

l'intermédiaire des ADSI ou de l'utilitaire LDIFDE. Toutefois, à des fins de développement

et de test, vous pouvez également visualiser et modifier le schéma de Active Directory

avec le composant logiciel enfichable Schéma Active Directory.

Schéma Active Directory n'est pas accessible par le menu Outils d'administration

Windows 2000 Server. Vous devez installer les outils d'administration Windows 2000 à

partir du CD-ROM Windows 2000 Server et les ajouter à une console MMC.

Il existe un cinquième composant logiciel enfichable lié à Active Directory :

Stratégie de groupe

La mise en œuvre de stratégies de groupe est une tâche liée à la gestion des utilisateurs,

des ordinateurs et des groupes dans Active Directory. Les objets Stratégie de groupe, qui

contiennent des paramètres de stratégie, contrôlent le paramétrage des utilisateurs et

des ordinateurs dans les sites, les domaines et les unités d'organisation. Pour créer ou

modifier des objets Stratégie de groupe, vous devez utilisez le composant logiciel

enfichable Stratégie de groupe, auquel vous accédez par le complément Utilisateurs et

ordinateurs Active Directory ou Sites et services Active Directory (selon la tâche que vous

voulez exécuter).

Pour utiliser les outils d'administration Active Directory à distance, à partir d'un

ordinateur qui n'est pas un contrôleur de domaine (par exemple, un ordinateur

Windows 2000 Professionnel), vous devez installer Outils d'administration Windows 2000.

Nouvelles procédures d'exécution de tâches courantes

Le tableau 5 liste les tâches que vous pouvez exécuter à l'aide des composants logiciels

enfichables Active Directory et des outils d'administration qui s'y rapportent. Pour les

utilisateurs du système d'exploitation Windows NT, le tableau indique également où ces

tâches sont exécutées lorsqu'ils utilisent les outils d'administration livrés avec Windows

NT Server 4.0.

Tableau 5. Tâches exécutées à l'aide des outils Active Directory et Stratégie de

groupe

Si vous souhaitez :

Avec Windows

NT 4.0, utilisez le

composant

suivant :

Avec Windows 2000, utilisez le

composant suivant :

installer un contrôleur de

domaine

Configuration

Windows

Assistant Installation de Active

Directory (accessible à partir de

Configurez votre serveur)

administrer des comptes Gestionnaire des Utilisateurs et ordinateurs Active

Page 45: Architecture Active Directory

45

d'utilisateur utilisateurs Directory

administrer des groupes Gestionnaire des

utilisateurs

Utilisateurs et ordinateurs Active

Directory

administrer des comptes

d'ordinateur

Gestionnaire de

serveur

Utilisateurs et ordinateurs Active

Directory

ajouter un ordinateur à un

domaine

Gestionnaire de

serveurs

Utilisateurs et ordinateurs Active

Directory

créer ou administrer des

relations d'approbation

Gestionnaire des

utilisateurs

Domaines et approbations Active

Directory

administrer une stratégie

de compte

Gestionnaire des

utilisateurs

Utilisateurs et ordinateurs Active

Directory

administrer les droits de

l'utilisateur

Gestionnaire des

utilisateurs

Utilisateurs et ordinateurs Active

Directory :

modifiez l'objet Stratégie de groupe

du domaine ou de l'unité

d'organisation contenant les

ordinateurs auxquels les droits de

l'utilisateur s'appliquent.

administrer une stratégie

d'audit

Gestionnaire

d'utilisateurs

Utilisateurs et ordinateurs Active

Directory :

modifiez l'objet Stratégie de groupe

attribué à l'unité d'organisation des

contrôleurs de domaine.

appliquer des stratégies à

des utilisateurs ou à des

ordinateurs dans un site

Éditeur de stratégie

système

Stratégie de groupe, accessible à

partir du complément Sites et

services Active Directory

appliquer des stratégies à

des utilisateurs ou des

ordinateurs dans un

domaine

Éditeur de stratégie

système

Stratégie de groupe, accessible à

partir du complément Utilisateurs et

ordinateurs Active Directory

appliquer des stratégies à

des utilisateurs ou à des

ordinateurs dans une

unité d'organisation

Sans objet

Stratégie de groupe, accessible à

partir du complément Utilisateurs et

ordinateurs Active Directory

utiliser des groupes de

sécurité pour filtrer la

portée d'une stratégie

Sans objet

Modifier l'entrée autorisation pour

Appliquer la stratégie de groupe

sous l'onglet Sécurité à la page

Propriétés de l'objet Stratégie de

groupe.

Outils de ligne de commande Active Directory

Les administrateurs avancés et les spécialistes de la maintenance réseau peuvent

également utiliser toute une série d'outils de ligne de commande pour configurer,

administrer et dépanner Active Directory. Ces outils sont connus sous le nom d'Outils de

support et sont disponibles sur le CD-ROM de Windows 2000 Server dans le dossier

\SUPPORT\RESKIT. Ils sont décrits dans le tableau 6.

Tableau 6. Outils de ligne de commande associés à Active Directory

Outil Description

Page 46: Architecture Active Directory

46

MoveTree Permet de déplacer des objets d'un domaine à un autre.

SIDWalker Permet d'appliquer les listes de contrôle d'accès à des objets qui

appartenaient à des comptes déplacés, isolés ou supprimés.

LDP Permet d'effectuer des opérations LDAP par rapport à Active Directory. Cet

outil dispose d'une interface utilisateur graphique.

DNSCMD

Permet de vérifier l'inscription dynamique des enregistrements de

ressources DNS, y compris la mise à jour sécurisée du DNS, ainsi que la

suppression des enregistrements de ressources.

DSACLS Permet de visualiser ou de modifier les listes de contrôle d'accès des

objets d'annuaire.

NETDOM

Permet le traitement par lots des approbations, l'ajout de nouveaux

ordinateurs aux domaines, la vérification des approbations et des canaux

sécurisés.

NETDIAG Permet de vérifier les fonctions de réseau et de services distribués de bout

en bout.

NLTest Permet de vérifier que le localisateur et le canal sécurisé fonctionnent.

REPAdmin

Permet de vérifier la cohérence de réplication entre partenaires de

réplication, de surveiller le statut de réplication, d'afficher les

métadonnées de réplication, de forcer des événements de réplication et de

forcer Knowledge Consistency Checker (KCC) à recalculer la topologie de

réplication.

REPLMon

Permet d'afficher la topologie de réplication, de surveiller l'état de la

réplication (y compris les stratégies de groupe), de forcer des événements

de réplication et de forcer Knowledge Consistency Checker (KCC) à

recalculer la topologie de réplication. Cet outil dispose d'une interface

utilisateur graphique.

DSAStat Permet de comparer les données d'annuaire sur les contrôleurs de

domaine et de détecter toute différence.

ADSIEdit

Composant logiciel enfichable MMC utilisé pour visualiser tous les objets

de l'annuaire (y compris les données de schéma et de configuration),

modifier les objets et appliquer des listes de contrôle d'accès aux objets.

SDCheck

Permet de vérifier la propagation et la réplication des listes de contrôle

d'accès pour des objets d'annuaire spécifiques. Cet outil aide

l'administrateur à déterminer si l'héritage des listes de contrôle d'accès est

correct et si les modifications des listes sont bien répliquées d'un

contrôleur de domaine à l'autre.

ACLDiag

Permet de déterminer si un utilisateur dispose ou non des droits d'accès

sur un objet d'annuaire. Cet outil peut également servir à réinitialiser les

listes de contrôle d'accès à leur état par défaut.

DFSCheck

Utilitaire de ligne de commande qui permet d'administrer tous les aspects

des systèmes de fichiers distribués (DFS), de vérifier la cohérence de

configuration des serveurs DFS et de visualiser la topologie DFS.

Page de référence des commandes Windows 2000

Vous trouverez une liste complète des commandes Windows 2000, ainsi que des

informations sur l'utilisation de chacune d'elles, dans les rubriques d'aide de

Page 47: Architecture Active Directory

47

Windows 2000. Il vous suffit de taper « référence commandes » sous l'onglet Index ou

Recherche.

ADSI

Vous pouvez utiliser ADSI (Active Directory Service Interface) pour créer des scripts pour

toutes sortes d'usages. Le CD-ROM de Windows 2000 Server contient plusieurs exemples

de ADSI . Pour plus d'informations sur ADSI, voir les sections « ADSI » et « Pour plus

d'informations ».

© 1999 Microsoft Corporation. Tous droits réservés.

Les informations contenues dans ce document représentent l'opinion actuelle de

Microsoft Corporation sur les points cités à la date de publication. Microsoft s'adapte aux

conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un

engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité

de toute information présentée après la date de publication.

Ce livre blanc est fourni à des fins d'informations seulement. MICROSOFT N'OFFRE

AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, DANS CE DOCUMENT.

Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows et Windows NT sont soit

des marques de Microsoft Corporation, soit des marques déposées de Microsoft

Corporation aux États-Unis d'Amérique et/ou dans d'autres pays.

Les autres noms de produits ou de sociétés mentionnés dans ce document sont des

marques de leurs propriétaires respectifs.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • États-Unis

0x99

1 Dans un domaine Windows 2000 Server, un contrôleur de domaine est un ordinateur

Windows 2000 Server qui gère l'accès utilisateur à un réseau, c'est-à-dire la connexion,

l'authentification et l'accès à l'annuaire et aux ressources partagées.

2 Une zone DNS est une partition d'un seul tenant de l'espace de noms DNS qui contient

les enregistrements de ressources pour les domaines DNS de cette zone.

3 LDAP est un protocole utilisé pour accéder à un service d'annuaire : voir les sections

« Noms LDAP » et « LDAP ».

4 Décrit dans le projet de norme Internet de l'IETF (Internet Engineering Task Force)

draft-ietf-dnsind-rfc2052bis-02.txt, « A DNS RR for specifying the location of services

(DNS SRV) » [Un enregistrement de ressources DNS permettant de spécifier

l'emplacement de services (DNS SRV)]. (Les projets de norme sont des documents de

travail de l'IETF, de ses domaines et de ses groupes de travail.)

5 Décrit dans la RFC 2136, « Observations on the use of Components of the Class A

Address Space within the Internet » [Observations sur l'utilisation des composants de

l'espace d'adresses de classe A sur l'Internet].

6 La façon dont les groupes sont définis dans Windows 2000 est légèrement différente de

celle dont ils sont définis dans Windows NT. Windows 2000 utilise deux types de groupe :

1. des groupes de sécurité (pour administrer l'accès des utilisateurs et des ordinateurs

aux ressources partagées et pour filtrer les paramètres de stratégie de groupe) ; et 2.

des groupes de distribution (pour créer des listes de distribution de courrier

électronique). Windows 2000 utilise également trois portées de groupe : 1. des groupes

avec une portée locale de domaine (pour définir et administrer l'accès aux ressources

dans les limites d'un domaine unique), 2. des groupes avec une portée globale (pour

administrer des objets d'annuaire qui exigent une maintenance quotidienne, comme les

comptes d'utilisateur et les comptes d'ordinateur. La portée globale vous permet de

grouper des comptes au sein d'un domaine), et 3. des groupes avec une portée

universelle (pour consolider les groupes qui chevauchent plusieurs domaines. Vous

pouvez ajouter des comptes d'utilisateur à des groupes à portée globale puis encapsuler

ces groupes dans des groupes à portée universelle). (Pour plus d'informations sur les

groupes Windows 2000, y compris sur le nouveau type de groupe universel, voir la

section « Pour plus d'informations » à la fin de ce document.)

7 Pour pouvoir recevoir le logo Certifié pour Windows, votre application doit être testée

par VeriTest, qui vérifie qu'elle est bien conforme aux spécifications arrêtées pour les

Page 48: Architecture Active Directory

48

applications Windows 2000. Vous pouvez choisir n'importe quelle combinaison de plates-

formes, tant qu'elle comprenne l'un des systèmes d'exploitation Windows 2000. Les

applications pourront recevoir le logo « Certifié pour Microsoft Windows » si les tests de

conformité sont réussis et qu'un accord de licence logo est signé avec Microsoft. Le logo

que vous recevez indique les versions de Windows pour lesquelles votre produit est

certifié.

8 Active Directory prend en charge les versions 2 et 3 de LDAP, qui reconnaissent les

conventions d'affectation de noms des RFC 1779 et 2247.

9 Si aucun UPN n'a été ajouté, les utilisateurs peuvent se connecter en indiquant

explicitement leur nom d'utilisateur et le nom DNS du domaine racine.

10 Les stratégies de groupe qui contrôlent les paramètres par défaut des imprimantes du

point de vue de la publication sont Publier automatiquement les nouvelles

imprimantes dans Active Directory et Autoriser la publication des imprimantes

(cette dernière stratégie de groupe contrôle si les imprimantes d'une machine donnée

peuvent être publiées).

11 À comparer avec les versions précédentes de Windows NT Server, dans lesquelles la

base de données SAM était limitée à 40 000 objets par domaine.

12 Pour une description de cette charge supplémentaire, voir le « Guide de planification

du déploiement de Windows 2000 Server », qui traite de la planification de la structure et

du déploiement des domaines et des sites Windows 2000, dans la section « Pour plus

d'informations » à la fin de ce document.

13 Un DACL accorde ou refuse des droits sur un objet à des utilisateurs ou à des groupes

spécifiques.

14 Pour plus d'informations sur l'interopérabilité avec les domaines Kerberos, voir la

section « Rôle de Kerberos dans l'interopérabilité ».

15 Les vecteurs de mise à jour ne sont pas liés à un site donné. Un vecteur de mise à

jour comporte une entrée pour chacun des serveurs sur lesquels la partition d'annuaire

(contexte d'affectation de nom) peut être écrite.

16 Vous pouvez déléguer de l'autorité à des conteneurs, mais vous aussi accorder des

autorisations (comme la lecture/écriture) jusqu'au niveau de l'attribut d'un objet.

17 Dans la DACL d'un objet, les entrées de contrôle d'accès (ACE) qui déterminent qui

peut accéder à cet objet et le type d'accès. Lorsque vous créez un objet dans l'annuaire,

une DACL par défaut (définie dans le schéma) lui est affectée.

18 Par défaut, le groupe Administrateurs de l'entreprise reçoit le contrôle total sur tous

les objets d'une forêt.

19 Vous utilisez l'extension Redirection de dossier pour rediriger n'importe quel dossier

spécial suivant appartenant à un profil utilisateur vers un emplacement différent (comme

une partition réseau) : Données d'application, Bureau, Mes documents (et/ou Mes

images), Menu Démarrer.

20 LDAP version 2 est décrit dans la RFC 1777 ; LDAP version 3 est décrit dans la

RFC 2251.