C-D-001 Service d'Annuaire Active Directory

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Service d'annuiare Active Directory

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC


Sommaire1. Description dun service dannuaire.........................................................4 1.1. Rle dActive Directory.....................................................................4 1.2. Fonctionnement dActive Directory.....................................................5 1.2.1. Dfinition dun service dannuaire.................................................5 1.2.2. Dfinition dun schma...............................................................7 1.2.3. Dfinition dun catalogue global...................................................8 1.3. Processus de conception, de planification et dimplmentation dActive Directory.............................................................................................9 1.3.1. Processus de conception dActive Directory....................................9 1.3.2. Rsultat du processus de conception dActive Directory..................10 1.3.3. Processus de planification dActive Directory.................................11 1.3.4. Processus dimplmentation dActive Directory..............................12 1.4. Structure logique dActive Directory..................................................12 1.5. Structure physique dActive Directory...............................................13 2. Implmentation dune structure de fort et de domaine Active Directory......14 2.1. Cration dune structure de fort et de domaine.................................14 2.1.1. Conditions requises pour installer Active Directory.........................14 2.1.2. Processus dinstallation dActive Directory....................................15 2.1.3. Comment crer une structure de fort et de domaine....................18 2.1.4. Comment ajouter un contrleur de domaine rpliqu.....................20 2.2. Analyse du systme DNS intgr Active Directory............................21 2.2.1. Espaces de noms DNS et Active Directory....................................21 2.2.2. Zones intgres Active Directory..............................................22 2.2.3. Enregistrements de ressources SRV............................................23 2.3. Niveaux fonctionnels de la fort et du domaine...................................25 2.3.1. Conditions requises pour activer les nouvelles fonctionnalits de Windows Server 2003........................................................................26 2.3.2. Procdure daugmentation du niveau fonctionnel du domaine..........26 2.3.3. Procdure daugmentation du niveau fonctionnel de la fort............27 2.4. Relations dapprobation..................................................................28 2.4.1. Types dapprobations...............................................................28 3. Implmentation de la structure dune unit dorganisation.........................29 3.1. Cration et gestion dunits dorganisation.........................................29 3.1.1. Prsentation de la gestion des units dorganisation......................29 3.1.2. Mthodes de cration et de gestion des units dorganisation..........30 3.1.3. Procdure de cration dune unit dorganisation laide de la ligne de commande Dsadd.............................................................................31 3.1.4. Procdure de modification dune unit dorganisation.....................32 3.1.5. Procdure de suppression dune unit dorganisation......................32 3.1.6. Comment crer et grer des units dorganisation laide de loutil Ldifde 32 3.1.7. Comment crer des units dorganisation laide de lenvironnement dexcution de scripts Windows...........................................................33 3.2. Dlgation du contrle administratif des units dorganisation...............34 Document96253431.doc

OFPPT @

Millsimenovembre 08

Page 1 - 87

Service d'annuiare Active Directory 3.2.1. Dlgation de privilges administratifs........................................34 3.2.2. Comment dlguer le contrle administratif.................................35 3.3. Planification dune stratgie dunit dorganisation..............................36 3.3.1. Processus de planification dunit dorganisation...........................36 4. Implmentation de comptes dutilisateurs, de groupes et dordinateurs........37 4.1. Prsentation des comptes...............................................................37 4.1.1. Types de comptes....................................................................37 4.1.2. Types de groupes....................................................................38 4.1.3. Etendue de groupes.................................................................39 4.2. Cration et gestion de comptes........................................................40 4.2.1. Outils permettant de crer et grer des comptes...........................40 4.3. Dplacement dobjets dans Active Directory.......................................44 4.3.1. Dfinition de lhistorique SID.....................................................44 4.3.2. Dplacement dobjets...............................................................44 5. Implmentation dune stratgie de groupe..............................................46 5.1. Composants dun objet Stratgie de groupe.......................................46 5.2. Configuration des frquences dactualisation et des paramtres de stratgie de groupe..............................................................................47 5.2.1. quel moment la stratgie de groupe est-elle applique................47 5.3. Gestion des objets Stratgie de groupe.............................................48 5.3.1. Dfinition dune opration de copie.............................................48 5.3.2. Dfinition dune opration de sauvegarde.....................................49 5.3.3. Dfinition dune opration de restauration....................................51 5.3.4. Dfinition dune opration dimportation......................................52 5.4. Vrification et rsolution des problmes lis la stratgie de groupe. . . . .53 5.4.1. Problmes courants lis limplmentation de la stratgie de groupe 53 5.4.2. Comment vrifier les paramtres de stratgie de groupe laide de lAssistant Modlisation de stratgie de groupe......................................54 5.4.3. Comment vrifier les paramtres de stratgie de groupe laide des Rsultats de stratgie de groupe.........................................................55 5.5. Dlgation du contrle administratif de la stratgie de groupe..............55 5.5.1. Dlgation des objets Stratgie de groupe...................................55 5.5.2. Dlgation de la stratgie de groupe pour un site, un domaine ou une unit dorganisation..........................................................................57 5.6. Planification dune stratgie de groupe pour lentreprise.......................58 5.6.1. Instructions de planification des objets Stratgie de groupe............58 5.6.2. Instructions pour dterminer lhritage des objets Stratgie de groupe 59 5.6.3. Instructions pour dterminer une stratgie de groupe pour les sites. 59 5.6.4. Instructions de planification de ladministration des objets Stratgie de groupe 59 5.6.5. Instructions de dploiement des objets Stratgie de groupe............60 6. Dploiement et gestion des logiciels laide dune stratgie de groupe........61 6.1. Dploiement de logiciels.................................................................61 6.1.1. Affectation de logiciels et publication de logiciels...........................62 6.1.2. Cration dun point de distribution de logiciels..............................62 6.1.3. Utilisation dun objet Stratgie de groupe pour le dploiement de

OFPPT @

Document96253431.doc

Millsimenovembre 08

Page 2 - 87

Service d'annuiare Active Directory logiciels 62 6.1.4. Options par dfaut pour installation logicielle................................63 6.2. Configuration du dploiement des logiciels.........................................63 6.2.1. Dfinition des catgories de logiciels...........................................64 6.2.2. Cration de catgories de logiciels..............................................64 7. Implmentation de sites pour grer la rplication Active Directory .............65 7.1. Prsentation de la rplication Active Directory ...................................65 7.1.1. Rplication dattributs valeurs multiples lis...............................66 7.1.2. Dfinition des partitions dannuaire.............................................66 7.1.3. Dfinition de la topologie de rplication.......................................68 7.1.4. Gnration automatique de la topologie de rplication...................69 7.1.5. Catalogue global et rplication de partitions.................................70 7.2. Cration et configuration de sites.....................................................70 7.2.1. Dfinition des sites et des objets sous-rseau...............................71 7.2.2. Liens de sites..........................................................................71 7.2.3. Rplication lintrieur des sites et rplication entre les sites..........73 7.3. Gestion de la topologie de site.........................................................75 7.3.1. Serveur de tte de pont............................................................75 7.3.2. Gnrateur de topologie inter-sites.............................................76 8. Implmentation du placement des contrleurs de domaine........................76 8.1. Implmentation du catalogue global dans Active Directory...................77 8.2. Dtermination du placement de contrleurs de domaine dans Active Directory............................................................................................78 8.2.1. Active Directory Sizer...............................................................78 9. Planification du placement des contrleurs de domaine.............................79 10. Maintenance d'Active Directory ..........................................................80 10.1. Base de donnes Active Directory et fichiers journaux........................80 10.2. Dplacement et dfragmentation de la base de donnes Active Directory ........................................................................................................81 10.3. Sauvegarde dActive Directory.......................................................82 10.4. Restauration dActive Directory......................................................83

OFPPT @


Millsimenovembre 08

Page 3 - 87


1.Description dun service dannuaireUn service dannuaire est un service rseau qui identifie toutes les ressources dun rseau et met ces informations la disposition des utilisateurs ainsi que des applications. Les services dannuaires sont importants, car ils fournissent un moyen cohrent de nommer, dcrire, localiser, administrer et scuriser les informations relatives ces ressources et dy accder. Lorsquun utilisateur recherche un dossier partag sur le rseau, le service dannuaire identifie la ressource et fournit linformation lutilisateur.

1.1.

Rle dActive Directory

Active Directory est le service dannuaire de la famille Windows Server 2003. Il tend la fonctionnalit de base dun service dannuaire et fournit les avantages suivants : Intgration DNS Active Directory utilise les conventions dattribution de noms DNS pour crer une structure hirarchique qui fournit une vue familire, ordonne et volutive des connexions rseau. DNS sert galement faire correspondre les noms dhtes, tels que microsoft.com, des adresses numriques TCP/IP, telles que 192.168.19.2. volutivit Active Directory est organis en sections qui permettent de stocker un trs grand nombre dobjets. Active Directory peut de ce fait voluer en fonction des besoins de lentreprise. Une organisation qui dispose dun seul serveur avec quelques centaines dobjets peut voluer vers des milliers de serveurs et des millions dobjets. Administration centralise Active Directory permet aux administrateurs dadministrer les ordinateurs distribus, les services rseau et les applications partir dun emplacement central tout en utilisant une interface dadministration cohrente. Active Directory fournit galement un contrle centralis de laccs aux ressources rseau en permettant aux utilisateurs douvrir une fois une session et dobtenir un accs complet aux ressources dActive Directory. Administration dlgue La structure hirarchique dActive Directory permet de dlguer le contrle dadministration sur des parties spcifiques de la hirarchie. Un utilisateur autoris par une autorit administrative plus leve peut effectuer des tches dadministration dans la partie de la structure qui lui a t affecte.

OFPPT @


Millsimenovembre 08

Page 4 - 87


1.2.

Fonctionnement dActive DirectoryDfinition dun service dannuaire

1.2.1.

Dans de grands rseaux, les ressources sont partages par de nombreux utilisateurs et applications. Pour permettre aux utilisateurs et aux applications daccder ces ressources et aux informations les concernant, une mthode cohrente est ncessaire pour nommer, dcrire, localiser, accder, grer et scuriser les informations concernant ces ressources. Un service dannuaire remplit cette fonction. Un service dannuaire est un rfrentiel dinformations structur concernant les personnes et les ressources dune organisation. Dans un rseau Windows Server 2003, le service dannuaire sappelle Active Directory. Active Directory dispose des fonctionnalits suivantes : Accs pour les utilisateurs et les applications aux informations concernant des objets. Ces informations sont stockes sous forme de valeurs dattributs. Vous pouvez rechercher des objets selon leur classe dobjet, leurs attributs, leurs valeurs dattributs et leur emplacement au sein de la structure Active Directory ou selon toute combinaison de ces valeurs. Transparence des protocoles et de la topologie physique du rseau. Un utilisateur sur un rseau peut accder toute ressource, une imprimante par exemple, sans savoir o celle-ci se trouve ou comment elle est connecte physiquement au rseau.

OFPPT @


Millsimenovembre 08

Page 5 - 87

Service d'annuiare Active Directory Possibilit de stockage dun trs grand nombre dobjets. Comme il est organis en partitions, Active Directory peut rpondre aux besoins issus de la croissance dune organisation. Par exemple, un annuaire peut ainsi passer dun serveur unique contenant quelques centaines dobjets des milliers de serveurs contenant des millions dobjets. Possibilit dexcution en tant que service indpendant du systme dexploitation. AD/AM (Active Directory in Application Mode) est une nouvelle fonctionnalit de Microsoft Active Directory permettant de rsoudre certains scnarios de dploiement lis des applications utilisant un annuaire. AD/AM sexcute comme un service indpendant du systme dexploitation qui, en tant que tel, ne ncessite pas de dploiement sur un contrleur de domaine. Lexcution en tant que service indpendant du systme dexploitation signifie que plusieurs instances AD/AM peuvent sexcuter simultanment sur un serveur unique, chaque instance tant configurable de manire indpendante.

OFPPT @


Millsimenovembre 08

Page 6 - 87


1.2.2.

Dfinition dun schma

Le schma Active Directory contient les dfinitions de tous les objets, comme les utilisateurs, les ordinateurs et les imprimantes stocks dans Active Directory. Les contrleurs de domaine excutant Windows Server 2003 ne comportent quun seul schma pour toute une fort. Ainsi, tous les objets crs dans Active Directory se conforment aux mmes rgles. Le schma possde deux types de dfinitions : les classes dobjets et les attributs. Les classes dobjets comme utilisateur, ordinateur et imprimante dcrivent les objets dannuaire possibles que vous pouvez crer. Chaque classe dobjet est un ensemble dattributs. Les attributs sont dfinis sparment des classes dobjets. Chaque attribut nest dfini quune seule fois et peut tre utilis dans plusieurs classes dobjets. Par exemple, lattribut Description est utilis dans de nombreuses classes dobjets, mais il nest dfini quune seule fois dans le schma afin de prserver la cohrence.

OFPPT @


Millsimenovembre 08

Page 7 - 87


1.2.3.

Dfinition dun catalogue global

Dans Active Directory, les ressources peuvent tre partages parmi des domaines et des forts. Le catalogue global dActive Directory permet de rechercher des ressources parmi des domaines et des forts de manire transparente pour lutilisateur. Par exemple, si vous recherchez toutes les imprimantes prsentes dans une fort, un serveur de catalogue global traite la requte dans le catalogue global, puis renvoie les rsultats. En labsence de serveur de catalogue global, cette requte exigerait une recherche dans chaque domaine de la fort. Le catalogue global est un rfrentiel dinformations qui contient un sousensemble des attributs de tous les objets dActive Directory. Les membres du groupe Administrateurs du schma peuvent modifier les attributs stocks dans le catalogue global, en fonction des impratifs dune organisation. Le catalogue global contient : les attributs les plus frquemment utiliss dans les requtes, comme les nom et prnom dun utilisateur, et son nom douverture de session ; les informations requises pour dterminer lemplacement de tout objet dans lannuaire ; un sous-ensemble dattributs par dfaut pour chaque type dobjet ; les autorisations daccs pour chaque objet et attribut stock dans le catalogue global. Si vous recherchez un objet pour lequel vous ne possdez pas les autorisations de visualisation requises, cet objet napparatra pas dans les rsultats de la recherche. Les autorisations daccs garantissent que les utilisateurs ne puissent trouver que les objets pour lesquels ils possdent un droit daccs.

OFPPT @


Millsimenovembre 08

Page 8 - 87

Service d'annuiare Active Directory Un serveur de catalogue global est un contrleur de domaine qui traite efficacement les requtes intraforts dans le catalogue global. Le premier contrleur de domaine que vous crez dans Active Directory devient automatiquement un serveur de catalogue global. Vous pouvez configurer des serveurs de catalogue global supplmentaires pour quilibrer le trafic li aux authentifications de connexion et aux requtes. Le catalogue global permet aux utilisateurs dexcuter deux fonctions importantes : trouver les informations Active Directory en tout point de la fort, indpendamment de lemplacement des donnes ; utiliser les informations dappartenance au groupe universel pour se connecter au rseau. Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier des objets dans une base de donnes Active Directory. Le protocole LDAP est un sous-ensemble de la norme ISO X.500 relative aux services dannuaire. Il utilise les informations portant sur la structure dun annuaire pour trouver des objets individuels possdant chacun un nom unique. Le protocole LDAP utilise un nom reprsentant un objet Active Directory par une srie de composants concernant la structure logique. Cette reprsentation, appele nom unique de lobjet, identifie le domaine dans lequel se trouve lobjet ainsi que le chemin complet permettant daccder celui-ci. Un nom de ce type ne peut tre quunique dans une fort Active Directory. Le nom unique relatif dun objet identifie lobjet de manire unique dans son conteneur. Deux objets situs dans un mme conteneur ne peuvent porter le mme nom. Le nom unique relatif est toujours le premier composant du nom unique, mais il nest pas toujours un nom usuel. CN=Benharraf Mohammed,OU=Formation,DC=Gsimaroc,DC=com

1.3. Processus de conception, de planification et dimplmentation dActive Directory1.3.1. Processus de conception dActive Directory

Une conception dActive Directory inclut plusieurs tches. Chacune dfinit les besoins fonctionnels pour un composant de limplmentation dActive Directory. Le processus de conception dActive Directory inclut les tches suivantes : Collecte dinformations sur lorganisation. Cette premire tche dfinit les besoins en service dannuaire et les besoins de lentreprise concernant le projet. Les informations sur lorganisation incluent notamment un profil organisationnel de haut niveau, les implantations gographiques de lorganisation, linfrastructure technique et du rseau, et les plans lis aux modifications apporter dans lorganisation. Analyse des informations sur lorganisation. Vous devez analyser les informations collectes pour valuer leur pertinence et leur valeur par rapport au processus de conception. Vous devez ensuite dterminer quelles sont les informations les plus importantes et quels composants de la conception dActive Document96253431.doc

OFPPT @

Millsimenovembre 08

Page 9 - 87

Service d'annuiare Active Directory Directory ces informations affecteront. Soyez prt appliquer ces informations dans lensemble du processus de conception. Analyse des options de conception. Lorsque vous analysez des besoins dentreprise spcifiques, plusieurs options de conception peuvent y rpondre. Par exemple, un besoin administratif peut tre rsolu par le biais dune conception de domaine ou dune structure dunit dorganisation. Comme chaque choix que vous faites affecte les autres composants de la conception, restez flexible dans votre approche de la conception durant tout le processus. Slection dune conception. Dveloppez plusieurs conceptions dActive Directory, puis comparez leurs points forts et leurs points faibles. Lorsque vous slectionnez une conception, analysez les besoins dentreprise qui entrent en conflit et tenez compte de leurs effets sur les choix de vos conceptions. Il se peut quaucune des conceptions soumises ne fasse lunanimit. Choisissez la conception qui rpond le mieux vos besoins dentreprise et qui reprsente globalement le meilleur choix. Affinage de la conception. La premire version de votre plan de conception est susceptible dtre modifie avant la phase pilote de limplmentation. Le processus de conception est itratif parce que vous devez tenir compte de nombreuses variables lorsque vous concevez une infrastructure Active Directory. Rvisez et affinez plusieurs fois chacun des concepts de votre conception pour prendre en compte tous les besoins dentreprise.

1.3.2. Rsultat du processus de conception dActive DirectoryLe rsultat de la phase de conception dActive Directory inclut les lments ci dessous. La conception du domaine et de la fort. La conception de la fort inclut des informations comme le nombre de forts requis, les consignes de cration des approbations et le nom de domaine pleinement qualifi (FQDN, Fully Qualified Domain Name) pour le domaine racine de chaque fort. La conception inclut galement la stratgie de contrle des modifications de la fort, qui identifie les processus de proprit et dapprobation pour les modifications de la configuration prsentant un impact sur toute la fort.Identifiez la personne charge de dterminer la stratgie de contrle des modifications de chaque fort dans lorganisation. Si votre plan de conception comporte plusieurs forts, vous pouvez valuer si des approbations de forts sont requises pour rpartir les ressources du rseau parmi les forts.La conception du domaine indique le nombre de domaines requis dans chaque fort, le domaine qui sera le domaine racine pour chaque fort et la hirarchie des domaines si la conception comporte plusieurs domaines. La conception du domaine inclut galement le nom DNS pour chaque domaine et les relations dapprobation entre domaines. La conception de lunit dorganisation. Elle indique comment

OFPPT @


Millsimenovembre 08

Page 10 - 87

Service d'annuiare Active Directory vous crerez les units dorganisation pour chaque domaine dans la fort. Incluez une description de lautorit dadministration qui sera applique chaque unit dorganisation, et qui cette mme autorit sera dlgue. Pour finir, incluez la stratgie utilise pour appliquer la stratgie de groupe la structure de lunit dorganisation. La conception du site. Elle spcifie le nombre et lemplacement des sites dans lorganisation, les liens requis pour relier les sites et le cot de ces liens.

1.3.3.

Processus de planification dActive Directory

Le rsultat du processus de planification est le plan dimplmentation dActive Directory. Ce plan se compose lui-mme de plusieurs plans qui dfinissent les besoins fonctionnels pour un composant spcifique de limplmentation dActive Directory. Un plan Active Directory inclut les composants suivants : Stratgie de compte. Elle inclut des informations comme les consignes dattribution de nom aux comptes et la stratgie de verrouillage, la stratgie en matire de mots de passe et les consignes portant sur la scurit des objets. Stratgie daudit. Elle dtermine comment suivre les modifications apportes aux objets Active Directory. Plan dimplmentation dunit dorganisation. Il dfinit quelles units dorganisation crer et comment. Par exemple, si la conception dunit dorganisation spcifie que ces units seront cres gographiquement et organises par division lintrieur de chaque zone gographique, le plan dimplmentation des units dorganisation dfinit les units implmenter, telles que celles des ventes, des ressources humaines et de production. Le plan fournit galement des consignes portant sur la dlgation dautorit. Plan de stratgie de groupe. Il dtermine qui cre, relie et gre les objets de stratgie de groupe, et comment cette stratgie sera implmente. Plan dimplmentation du site. Il spcifie les sites, les liens qui les relient, et les liaisons de sites planifies. Il spcifie galement la planification et lintervalle de rplication ainsi que les consignes en matire de scurisation et de configuration de la rplication entre sites. Plan de dploiement de logiciels. Il spcifie comment vous utiliserez la stratgie de groupe pour dployer de nouveaux logiciels et des mises niveau de logiciels. Il peut, par exemple, spcifier si les mises niveau de logiciels sont obligatoires ou facultatives. Plan de placement des serveurs. Il spcifie le placement des contrleurs de domaine, des serveurs de catalogue global, des serveurs DNS intgrs Active Directory et des matres doprations. Il spcifie galement si vous activerez la mise en Document96253431.doc

OFPPT @

Millsimenovembre 08

Page 11 - 87

Service d'annuiare Active Directory cache des appartenances un groupe universel pour les sites ne possdant pas de serveur de catalogue global.

1.3.4.

Processus dimplmentation dActive Directory

Une fois le plan dimplmentation dActive Directory en place, vous pouvez commencer implmenter Active Directory conformment votre plan de conception. Vous devez excuter les tches ci-dessous pour implmenter Active Directory. Implmentation de la fort, du domaine et de la structure DNS. Crez le domaine racine de la fort, les arborescences de domaines et tout autre domaine enfant constituant la fort et la hirarchie des domaines. Cration des units dorganisation et des groupes de scurit. Crez la structure dunit dorganisation pour chaque domaine dans chaque fort, crez des groupes de scurit et dlguez lautorit administrative des groupes administratifs dans chaque unit dorganisation. Cration des comptes dutilisateur et dordinateur. Importez les comptes dutilisateur dans Active Directory. Cration des objets Stratgie de groupe. Crez des objets Stratgie de groupe bass sur la stratgie de groupe, puis reliezles des sites, des domaines ou des units dorganisation. Implmentation des sites. Crez des sites en fonction du plan des sites, crez des liens reliant ces sites, dfinissez les liaisons de sites planifies et dployez sur les sites des contrleurs de domaine, des serveurs de catalogue global, des serveurs DNS et des matres doprations.

1.4.

Structure logique dActive Directory

Active Directory offre un stockage scuris pour les informations concernant les objets dans sa structure logique hirarchique. Les objets Active Directory reprsentent des utilisateurs et des ressources, tels que des ordinateurs et des imprimantes. Certains objets en contiennent dautres. Lorsque vous aurez compris le rle et la fonction de ces objets, vous pourrez effectuer des tches diverses, comme linstallation, la configuration, la gestion et le dpannage dActive Directory. La structure logique dActive Directory inclut les composants suivants : Les objets. Il sagit des composants les plus lmentaires de la structure logique. Les classes dobjets sont des modles pour les types dobjets que vous pouvez crer dans Active Directory. Chaque classe dobjet est dfinie par une liste dattributs, qui dfinit les valeurs possibles que vous pouvez associer un objet. Chaque objet possde une combinaison unique de valeurs dattributs.

OFPPT @


Millsimenovembre 08

Page 12 - 87

Service d'annuiare Active Directory Les units dorganisation (OU, Organizational Unit). Vous utilisez ces objets conteneurs pour organiser dautres objets de telle manire quils prennent en compte vos objectifs administratifs. La disposition de ces objets par unit dorganisation simplifie la recherche et la gestion des objets. Vous pouvez galement dlguer lautorit de gestion dune unit dorganisation. Les units dorganisation peuvent tre imbriques les unes dans les autres, ce qui simplifie dautant la gestion dobjets. Les domaines. Units fonctionnelles centrales dans la structure logique dActive Directory, les domaines sont un ensemble dobjets dfinis administrativement qui partagent une base de donnes dannuaire commune, des stratgies de scurit et des relations dapprobation avec dautres domaines. Les domaines disposent des trois fonctions suivantes : Une limite dadministration pour objets Une mthode de gestion de la scurit pour les ressources partages Une unit de rplication pour les objets Les arborescences de domaines. Les domaines regroups en structures hirarchiques sont appels arborescences de domaines. Lorsque vous ajoutez un second domaine une arborescence, il devient enfant du domaine racine de larborescence. Le domaine auquel un domaine enfant est attach est appel domaine parent. Un domaine enfant peut son tour avoir son propre domaine enfant. Le nom dun domaine enfant est associ celui de son domaine parent pour former son nom DNS (Domain Name System) unique, par exemple corp.nwtraders.msft. De cette manire, une arborescence a un espace de noms contigu. Les forts. Une fort est une instance complte dActive Directory. Elle consiste en une ou plusieurs arborescences. Dans une arborescence unique deux niveaux, qui est recommande pour la plupart des organisations, tous les domaines enfants sont des enfants du domaine racine de la fort afin de former une arborescence contigu. Le premier domaine de la fort est appel le domaine racine de la fort. Le nom de ce domaine fait rfrence la fort, par exemple nwtraders.msft. Par dfaut, les informations dans Active Directory ne sont partages qu lintrieur de la fort. Ainsi, la fort est une limite de scurit pour les informations contenues dans linstance dActive Directory.

1.5.

Structure physique dActive Directory

Contrairement la structure logique, qui modlise des exigencesadministratives, la structure physique dActive Directory optimise le trafic rseau en dterminant o et quand se produit un trafic de connexions et de rplications. Pour optimiser lutilisation par Active Directory de la bande passante du rseau, vous devez en comprendre la structure physique. Les lments de la structure physique dActive Directory sont : Les contrleurs de domaine.

Ces ordinateurs excutent Microsoft Windows Server. 2003 ou Windows 2000

OFPPT @


Millsimenovembre 08

Page 13 - 87

Service d'annuiare Active Directory Server et Active Directory. Chaque contrleur de domaine excute des fonctions de stockage et de rplication. Un contrleur de domaine ne peut grer quun seul domaine. Pour assurer une disponibilit permanente dActive Directory, chaque domaine doit disposer de plusieurs contrleurs de domaine.

Les sites Active Directory.

Ces sites sont des groupes dordinateurs connects par des liaisons rapides. Lorsque vous crez des sites, les contrleurs de domaine au sein dun mme site communiquent frquemment. Ces communications rduisent le dlai de latence de rplication lintrieur du site ; autrement dit, le temps requis pour quune modification effectue sur un contrleur de domaine soit rplique sur dautres contrleurs de domaine. Vous pouvez donc crer des sites pour optimiser lutilisation de la bande passante entre des contrleurs de domaines situs des emplacements diffrents. Partitions Active Directory.

Chaque contrleur de domaine contient les partitions Active Directory suivantes : 1. La partition de domaine contient les rplicas de tous les objets de ce domaine. La partition de domaine nest rplique que dans dautres contrleurs appartenant au mme domaine. 2. La partition de configuration contient la topologie de la fort. La topologie est un enregistrement de tous les contrleurs de domaine et des connexions entre eux dans une fort. 3. La partition de schma contient le schma tendu au niveau de la fort. Chaque fort comporte un schma de sorte que la dfinition de chaque classe dobjet est cohrente. Les partitions de configuration et de schma sont rpliques dans chaque contrleur de domaine dans la fort. 4. Les partitions dapplications facultatives contiennent des objets non lis la scurit et utiliss par une ou plusieurs applications. Les partitions dapplications sont rpliques dans des contrleurs de domaine spcifis dans la fort.

2.Implmentation dune structure de fort et de domaine Active Directory2.1. Cration dune structure de fort et de domaineConditions requises pour installer Active Directory 2.1.1.

Avant dinstaller Active Directory, vous devez vous assurer que lordinateur devant tre configur comme contrleur de domaine satisfait certaines conditions de configuration relatives au matriel et au systme dexploitation.

OFPPT @


Millsimenovembre 08

Page 14 - 87

Service d'annuiare Active Directory De plus, le contrleur de domaine doit tre en mesure daccder un serveur DNS satisfaisant certaines conditions de configuration pour prendre en charge lintgration Active Directory. La liste ci-dessous identifie la configuration requise pour une installation dActive Directory. Un ordinateur quip de Microsoft Windows Server. 2003 Standard Edition, Enterprise Edition ou Datacenter Edition. Windows Server 2003, Web Edition, ne prend pas en charge Active Directory. 250 mgaoctets (Mo) despace disque disponible au minimum. 200 Mo pour la base de donnes Active Directory et 50 Mo pour les fichiers journaux des transactions de la base de donnes Active Directory. La taille des fichiers journaux et des fichiers de la base de donnes Active Directory dpend du nombre dobjets dans le domaine et de leur type ; un espace disque supplmentaire est ncessaire si le contrleur de domaine est galement un serveur de catalogue global. Une partition ou un volume format avec le systme de fichiers NTFS. La partition NTFS est ncessaire pour le dossier SYSVOL. Les privilges administratifs ncessaires pour la cration, le cas chant, dun domaine dans un rseau Windows Server 2003 existant. Protocole TCP/IP install et configur pour utiliser le systme DNS. Un serveur DNS qui fait autorit pour le domaine DNS et prend en charge les conditions requises rpertories dans le tableau cidessous.

2.1.2.

Processus dinstallation dActive Directory

Pour dmarrer le processus dinstallation dActive Directory, lancez lAssistant Installation dActive Directory. Lors de linstallation, un certain nombre de modifications sont apportes au serveur Windows Server 2003 sur lequel est install Active Directory. La connaissance de ces modifications va vous permettre de rsoudre les problmes susceptibles de survenir aprs linstallation. Le processus dinstallation excute les tches suivantes : Dmarrage du protocole dauthentification Kerberos version 5 Dfinition de la stratgie de lautorit de scurit locale (LSA, Local Security Authority). Le paramtre indique que ce serveur est un contrleur de domaine. Cration de partitions Active Directory. Une partition de rpertoire est une partie de lespace de noms du rpertoire. Chaque partition du rpertoire contient une hirarchie, ou une sous-arborescence, des objets dannuaire de larborescence de rpertoire. Lors de linstallation, les partitions ci-dessous sont cres sur le premier contrleur de domaine dune fort : partition dannuaire de schma partition dannuaire de configuration partition dannuaire de domaine zone DNS de la fort partition de la zone DNS du domaine Les partitions sont alors mises jour par lintermdiaire de la rplication sur chaque contrleur de domaine subsquent cr dans la fort.

OFPPT @


Millsimenovembre 08

Page 15 - 87

Service d'annuiare Active Directory ! Cration de la base de donnes Active Directory et des fichiers journaux. Lemplacement par dfaut de la base de donnes et des fichiers journaux est systemroot\Ntds.

Pour amliorer les performances, placez la base de donnes et les fichiers journaux sur des disques durs distincts. De cette manire, les oprations de lecture et dcriture ralises dans la base de donnes et dans les fichiers journaux nentrent pas en concurrence pour les ressources en entre et en sortie.

Cration du domaine racine de la fort. Si le serveur est le premier contrleur de domaine du rseau, le processus dinstallation cre le domaine racine de la fort, puis attribue les rles de matre doprations au contrleur de domaine, notamment : lmulateur de contrleur principal de domaine (PDC, Primary Domain Controller) le matre doprations des identificateurs relatifs (RID, Relative IDentifier) le matre de nommage de domaine le contrleur de schma le matre dinfrastructure

OFPPT @


Millsimenovembre 08

Page 16 - 87

Service d'annuiare Active Directory Vous pouvez attribuer les rles de matre doprations un autre contrleur de domaine lorsque vous ajoutez des contrleurs de domaine rpliqus au domaine. Cration du dossier volume systme partag. Cette structure de dossiers est hberge sur tous les contrleurs de domaine Windows Server 2003 et contient les dossiers suivants : le dossier partag SYSVOL, qui contient des informations relatives la stratgie de groupe ; le dossier partag Net Logon, qui contient les scripts de connexion des ordinateurs qui ne sont pas quips de Windows Server 2003. Configuration de lappartenance du contrleur de domaine sur un site appropri. Si ladresse IP du serveur que vous souhaitez promouvoir contrleur de domaine se trouve dans la plage dadresses dun sous-rseau donn dfini dans Active Directory, lAssistant configure lappartenance du contrleur de domaine dans le site associ au sous-rseau. Si aucun objet de sous-rseau nest dfini ou si ladresse IP du serveur ne se trouve pas dans la plage des objets de sous-rseau prsents dans Active Directory, le serveur est plac sur le site Premier-Site-par-Dfaut (premier site configur automatiquement lorsque vous crez le premier contrleur de domaine dans une fort). LAssistant Installation de Active Directory cre un objet serveur pour le contrleur de domaine dans le site appropri. Lobjet serveur contient les informations ncessaires pour la rplication. Cet objet serveur contient une rfrence lobjet ordinateur de lunit dorganisation Domain Controllers qui reprsente le contrleur de domaine en cours de cration. Activation de la scurit sur le service dannuaire et sur les dossiers de rplication de fichier. Ceci vous permet de contrler laccs des utilisateurs aux objets Active Directory. Application du mot de passe fournit par lutilisateur au compte administrateur. Vous utilisez ce compte pour lancer le contrleur de domaine en mode Restauration des services dannuaire.

Si un objet serveur pour ce domaine existe dj dans le conteneur Servers du site dans lequel vous ajoutez le contrleur de domaine, lAssistant le supprime, puis le cre nouveau car il suppose que vous rinstallez Active Directory.

OFPPT @


Millsimenovembre 08

Page 17 - 87


2.1.3. Comment crer une structure de fort et de domaineVous utilisez lAssistant Installation de Active Directory pour crer une structure de fort et de domaine. Lorsque vous installez Active Directory dans un rseau pour la premire fois, vous devez crer un domaine racine de la fort. Aprs avoir cr le domaine racine de la fort, utilisez lAssistant pour crer une arborescence et des domaines enfants supplmentaires. LAssistant Installation de Active Directory vous accompagne tout au long du processus dinstallation et vous donne des informations, qui diffrent en fonction des options que vous slectionnez.Procdure de cration du domaine racine de la fort

Pour crer un domaine racine de la fort, procdez comme suit : 1. Cliquez sur Dmarrer, sur Excuter, puis tapez dcpromo en tant que nom du programme. LAssistant vrifie les points suivants : lutilisateur actuellement connect est un membre du groupe local Administrateurs ; lordinateur est quip dun systme dexploitation prenant en charge Active Directory ; une installation prcdente ou une suppression dActive Directory na pas eu lieu sans un redmarrage de lordinateur ; une installation ou une suppression dActive Directory nest pas en cours. Si lun des ces quatre points ne se vrifie pas, un message derreur saffiche et vous quittez lAssistant. 2. Dans la page Assistant Installation de Active Directory, cliquez sur Suivant. 3. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant. 4. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de domaine pour un nouveau domaine, puis cliquez sur Suivant. 5. Dans la page Crer un nouveau domaine, cliquez sur Domaine dans une nouvelle fort, puis sur Suivant. 6. Dans la page Nouveau nom de domaine, tapez le nom DNS complet du nouveau domaine, puis cliquez sur Suivant. 7. Dans la page Nom de domaine NetBIOS, vrifiez le nom NetBIOS, puis cliquez sur Suivant. Le nom NetBIOS permet didentifier le domaine sur les ordinateurs clients quips de versions antrieures de Windows et Windows NT. LAssistant identifie que le nom de domaine NetBIOS est unique. Si ce nest pas le cas, il vous invite modifier le nom. 8. Dans la page Dossiers de la base de donnes et du journal, indiquez lemplacement dans lequel vous souhaitez installer les dossiers de la base de donnes et du journal, puis cliquez sur Suivant. 9. Dans la page Volume systme partag, tapez lemplacement dans lequel vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir un emplacement. Cliquez ensuite sur Suivant. 10. Dans la page Diagnostics des inscriptions DNS, assurez-vous quun serveur DNS existant va faire autorit pour cette fort ou, le cas chant, cliquez sur

OFPPT @


Millsimenovembre 08

Page 18 - 87

Service d'annuiare Active Directory Installer et configurer le serveur DNS sur cet ordinateur et dfinir cet ordinateur pour utiliser ce serveur DNS comme serveur DNS de prfrence. Cliquez ensuite sur Suivant. 11. Dans la page Autorisations, indiquez si vous souhaitez attribuer les autorisations par dfaut des objets utilisateur et groupe compatibles avec des serveurs quips de versions antrieures de Windows ou Windows NT, ou seulement avec des serveurs quips de Windows Server 2003. 12. A linvite, indiquez le mot de passe pour le mode Restauration des services dannuaire. Les contrleurs de domaine Windows Server 2003 grent une petite version de la base de donnes des comptes de Microsoft Windows NT 4.0. Le seul compte de cette base de donnes est le compte Administrateur. Il est requis pour lauthentification au dmarrage de lordinateur en mode Restauration des services dannuaire, tant donn quActive Directory nest pas dmarr dans ce mode. 13. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer linstallation. 14. A linvite, redmarrez lordinateur.Procdure de cration dun domaine enfant

La procdure de cration dun domaine enfant laide de lAssistant Installation de Active Directory est similaire celle permettant de crer un domaine racine de la fort. Le tableau suivant rpertorie les tapes que vous allez raliser lors de linstallation. Page de lAssistant Installation de Active Directory Crer un nouveau domaine Cliquez sur Domaine enfant dans une arborescence de domaine existante. Tapez le nom dutilisateur, le mot de passe et le domaine utilisateur du compte dutilisateur que vous souhaitez utiliser pour cette opration. Le compte dutilisateur doit tre un membre du groupe Administrateurs de lentreprise. Vrifiez le domaine parent, puis tapez le nom du nouveau domaine enfant. Nouvelle tape raliser

Informations didentification rseau

Installation dun domaine enfant

Lorsque vous utilisez lAssistant Installation de Active Directory pour crer ou supprimer un domaine enfant, il contacte le matre de nommage de domaine pour demander lajout ou la suppression. Le matre de nommage de domaine doit imprativement sassurer que les noms de domaine sont uniques. Si le matre de

OFPPT @


Millsimenovembre 08

Page 19 - 87

Service d'annuiare Active Directory nommage de domaine est indisponible, vous navez pas la possibilit dajouter ni de supprimer des domaines.

2.1.4. Comment rpliqu

ajouter

un

contrleur

de

domaine

Pour activer la tolrance de pannes au cas o le contrleur de domaine se dconnecte de manire inattendue, vous devez disposer dau moins deux contrleurs de domaine dans un seul domaine. Etant donn que tous les contrleurs de domaine dun domaine rpliquent les donnes spcifiques au domaine de lun vers un autre, linstallation de plusieurs contrleurs de domaine dans le domaine active automatiquement la tolrance de pannes pour les donnes enregistres dans Active Directory. Si un contrleur de domaine tombe en panne, les contrleurs de domaine restants fournissent les services dauthentification et assurent laccs aux objets dActive Directory, de telle sorte que le domaine, puisse continuer fonctionner. Avant de commencer linstallation, dterminez si vous allez effectuer la rplication initiale dActive Directory par le biais du rseau partir dun contrleur de domaine proximit ou dun support sauvegard. Choisissez de rpliquer Active Directory par le biais du rseau si le contrleur de domaine rpliqu va tre install : sur un site sur lequel un autre contrleur de domaine existe ; sur un nouveau site connect un site existant par un rseau grande

vitesse. Choisissez de rpliquer Active Directory partir dun support de sauvegarde si vous souhaitez installer le premier contrleur de domaine sur un site distant pour un domaine existant. Lorsque vous copiez des informations relatives au domaine partir de fichiers de sauvegarde restaurs, vous devez pralablement sauvegarder les donnes sur ltat du systme dun contrleur de domaine excutant Windows Server 2003 partir du domaine dans lequel ce serveur membre va devenir un contrleur de domaine supplmentaire. Ensuite, vous devez restaurer la sauvegarde de ltat du systme sur le serveur sur lequel vous installez Active Directory. Pour installer un contrleur de domaine rpliqu, procdez comme suit : 1. Excutez dcpromo. Pour installer un contrleur de domaine supplmentaire partir des fichiers de sauvegarde, excutez dcpromo avec loption /adv. 2. Sur la page Type de contrleur de domaine, cochez la case Contrleur de domaine supplmentaire pour un domaine existant. Sinon, si vous lancez lAssistant Installation de Active Directory avec loption /adv, choisissez lune des options suivantes sur la page Copie des informations du domaine en cours : Via le rseau. partir des fichiers de restauration de cette sauvegarde, puis indiquez lemplacement des fichiers de sauvegarde restaurs. 3. Sur la page Informations didentification rseau, tapez le nom dutilisateur, le mot de passe et le domaine utilisateur du compte dutilisateur que vous souhaitez utiliser pour cette opration. Le compte dutilisateur doit tre un membre du groupe Admins du domaine pour le domaine cible.

OFPPT @


Millsimenovembre 08

Page 20 - 87

Service d'annuiare Active Directory 4. Dans la page Contrleur de domaine supplmentaire, spcifiez le nom de domaine pour lequel ce serveur deviendra un contrleur de domaine supplmentaire. 5. Dans la page Dossiers de la base de donnes et du journal, indiquez lemplacement dans lequel vous souhaitez installer les dossiers de la base de donnes et du journal, ou cliquez sur Parcourir pour choisir un emplacement. 6. Dans la page Volume systme partag, tapez lemplacement dans lequel vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir un emplacement. 7. Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez et confirmez le mot de passe du mode de restauration des services dannuaire, puis cliquez sur Suivant. 8. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer linstallation. 9. Lorsque le systme vous y invite, redmarrez lordinateur.

2.2. Analyse du Directory2.2.1.

systme DNS intgr

Active

Espaces de noms DNS et Active Directory

Les domaines DNS et Active Directory utilisent des noms de domaine identiques pour diffrents espaces de noms. En utilisant des noms de domaine identiques, les ordinateurs dun rseau Windows Server 2003 peuvent utiliser le systme DNS pour rechercher des contrleurs de domaine et dautres ordinateurs qui fournissent des services Active Directory. Les domaines et les ordinateurs sont reprsents par des enregistrements de ressources dans lespace de noms DNS et par des objets Active Directory dans lespace de noms Active Directory. Le nom dhte DNS dun ordinateur est identique celui du compte dordinateur stock dans Active Directory. Le nom de domaine DNS (galement appel suffixe DNS principal) et le domaine Active Directory auquel appartient lordinateur ont le mme nom. Par exemple, un ordinateur appel Computer1 appartenant au domaine Active Directory appel training.microsoft.msft ont le nom FQDN suivant : computer1.training.microsoft.msft

OFPPT @


Millsimenovembre 08

Page 21 - 87


Lintgration du systme DNS et dActive Directory est essentielle car un ordinateur client dun rseau Windows Server 2003 doit pouvoir rechercher un contrleur de domaine de sorte que les utilisateurs, puissent ouvrir une session sur un domaine ou utiliser les services proposs par Active Directory. Les clients recherchent les contrleurs de domaine et les services grce aux enregistrements de ressources A et aux enregistrements SRV. Lenregistrement de ressources A contient le nom FQDN et ladresse IP du contrleur de domaine. Lenregistrement SRV contient le nom FQDN du contrleur de domaine et le nom du service que fournit le contrleur de domaine.

2.2.2.

Zones intgres Active Directory

Lintgration DNS et Active Directory offre la possibilit dintgrer des zones DNS dans une base de donnes Active Directory. Une zone est une partie de lespace de noms de domaine possdant un groupement logique denregistrements de ressources, qui permet de transfrer des zones de ces enregistrements pour fonctionner en tant quunit unique. Les serveurs DNS Microsoft stockent des informations utilises pour rsoudre des noms dhte en adresses IP, et inversement, dans un fichier de base de donnes suivi de lextension .dns pour chaque zone. Les zones intgres Active Directory sont des zones DNS principales et de stub stockes en tant quobjets dans la base de donnes Active Directory. Vous pouvez stocker des objets de zone dans une partition dapplication Active Directory ou dans une partition de domaine Active Directory. Si les objets de zone sont stocks dans une partition dapplication Active Directory, seuls les contrleurs de domaine qui souscrivent la partition dapplication participent

OFPPT @


Millsimenovembre 08

Page 22 - 87

Service d'annuiare Active Directory sa rplication. Toutefois, si les objets de zone sont stocks dans une partition de domaine Active Directory, ils sont rpliqus sur tous les contrleurs de domaine du domaine. Les zones intgres Active Directory offrent les avantages suivants : Rplication multimatre. Lorsque vous configurez les zones intgres Ative Directory, des mises jour dynamiques du systme sur le systme DNS sont menes en fonction dun modle de mise jour multimatre. Dans ce modle, les serveurs DNS qui font autorit (un contrleur de domaine excutant un serveur DNS, par exemple) sont conus en tant que source principale pour la zone. Etant donn que la copie principale de la zone est gre dans la base de donnes Active Directory, qui est intgralement rplique sur tous les contrleurs de domaine, la zone peut tre mise jour par les serveurs DNS fonctionnant sur un contrleur de domaine pour le domaine. Dans le modle de mise jour multimatre dActive Directory, tout serveur principal de la zone intgre dannuaire peut traiter des requtes mises par les clients DNS pour mettre jour la zone, aussi longtemps quun contrleur de domaine est disponible sur le rseau. Mises jour dynamiques scurises. Etant donn que les zones DNS sont des objets Active Directory des zones intgres Active Directory, vous pouvez dfinir des autorisations daccs aux enregistrements au sein de ces zones afin de contrler les ordinateurs qui peuvent mettre jour leurs enregistrements. De cette manire, les mises jour qui utilisent le protocole e mise jour dynamique ne peuvent provenir que des ordinateurs autoriss. Transferts de zone standard vers dautres serveurs DNS. Effectue des transferts de zone standard vers des serveurs DNS qui ne sont pas configurs en tant que contrleur de domaine. Cela permet galement effectuer des transferts de zone standard vers des serveurs DNS qui se trouvent dans dautres domaines. Il sagit de la mthode requise pour rpliquer des zones vers des serveurs DNS dans dautres domaines.

2.2.3.

Enregistrements de ressources SRV

Pour quActive Directory fonctionne correctement, les ordinateurs clients doivent tre en mesure de localiser les serveurs qui fournissent des services spcifiques tels que lauthentification des demandes douverture de session et la recherche dinformations dans Active Directory. Active Directory stocke les informations relatives lemplacement des ordinateurs qui fournissent ces services dans des enregistrements DNS connus sous le nom denregistrements de ressources SRV. Les enregistrements de ressources SRV tablissent un lien entre un service et le nom dordinateur DNS de lordinateur qui offre le service. Par exemple, un enregistrement SRV peut contenir des informations permettant aux clients de localiser un contrleur de domaine dans un domaine ou une fort spcifique. Lorsquun contrleur de domaine dmarre, il enregistre les enregistrements SRV et un enregistrement de ressources A, qui contiennent son nom dordinateur DNS et son adresse IP. Un ordinateur client DNS utilise ultrieurement ces

OFPPT @


Millsimenovembre 08

Page 23 - 87

Service d'annuiare Active Directory informations combines afin de localiser le service requis sur le contrleur de domaine appropri. Tous les enregistrements SRV utilisent un format standard compos de champs contenant les informations quActive Directory utilise afin de mapper un service lordinateur qui fournit le service. Les enregistrements SRV utilisent le format suivant : _ Service._Protocole.Nom Ttl Classe SRV Priorit Poids Port Cible Exemple: _ldap._tcp.gsimaroc.com 600 IN SRV 0 100 389 Casablanca.gsimaroc.com Le tableau ci-dessous prsente chaque champ dun enregistrement SRV. Champ _Service Description Spcifie le nom du service, (LDAP [Lightweight Directory Access Protocol] ou Kerberos, par exemple) fourni par le serveur qui enregistre cet enregistrement SRV. Spcifie le type de protocole de transport, tel que TCP ou UDP (User Datagram Protocol). Spcifie le nom de domaine auquel fait rfrence lenregistrement de ressources. Ttl Spcifie la dure de vie (TTL, Time To Live) en secondes. Cest un champ standard des enregistrements de ressources DNS prcisant la dure pendant laquelle lenregistrement est considr valide. Spcifie la valeur de la classe de lenregistrement de ressources DNS, qui est presque toujours IN pour le systme Internet. Il sagit de la seule classe prise en charge par le systme DNS de Windows Server 2003. Spcifie la priorit du serveur. Les clients tentent de contacter lhte dont Document96253431.doc

_Protocole

Nom

Classe

Priorit

OFPPT @

Millsimenovembre 08

Page 24 - 87

Service d'annuiare Active Directory la priorit est la plus faible. Poids Indique un mcanisme dquilibre de charge que les clients utilisent lors de la slection dun hte cible. Lorsque le champ de priorit est identique pour deux ou trois enregistrements dun mme domaine, les clients choisissent de manire alatoire des enregistrements SRV dont le poids est suprieur. Spcifie le port sur lequel le serveur coute ce service. Spcifie le nom FQDN, galement appel nom de domaine complet, de lordinateur qui fournit le service.

Port

Cible

2.3.

Niveaux fonctionnels de la fort et du domaine

Sous Windows Server 2003, les fonctionnalits des forts et des domaines offrent un moyen dactiver les fonctionnalits Active Directory tendues lchelle de la fort ou du domaine dans votre environnement rseau. Selon votre environnement, diffrents niveaux de fonctionnalit de fort et de fonctionnalit de domaine sont disponibles. La fonctionnalit de domaine active des fonctionnalits qui auront un impact sur le domaine entier, et sur ce domaine uniquement. Quatre niveaux fonctionnels de domaine sont disponibles : Windows 2000 mixte. Il sagit du niveau fonctionnel par dfaut. Vous pouvez augmenter le niveau fonctionnel du domaine vers Windows 2000 mode natif ou Windows Server 2003. Les domaines en mode mixte peuvent contenir des contrleurs secondaires de domaine Windows NT 4.0 mais ne peuvent pas utiliser les fonctionnalits de groupes de scurit universels, dimbrication de groupes ni dhistorique SID (Security IDentifier). Windows 2000 natif. Vous pouvez utiliser ce niveau fonctionnel si le domaine contient uniquement des contrleurs de domaine Windows 2000 et Windows Server 2003. Bien que les contrleurs de domaine excutant Windows 2000 Server ne connaissent pas la fonctionnalit de domaine, les fonctionnalits Active Directory (groupes de scurit universels, imbrication des groupes et dhistorique SID, par exemple) sont disponibles. Windows 2003 Server. Il sagit du niveau fonctionnel le plus lev pour un domaine. Vous pouvez lutiliser uniquement si tous les contrleurs de domaine du domaine excutent Windows Server 2003. Toutes les fonctionnalits Active Directory pour le domaine sont disponibles. Windows 2003 version prliminaire. Il sagit dun niveau

OFPPT @


Millsimenovembre 08

Page 25 - 87

Service d'annuiare Active Directory fonctionnel particulier qui prend en charge les contrleurs de domaine Windows NT 4.0 et Windows 2003 Server.Vous ne pouvez pas rduire le niveau fonctionnel du domaine ou de la fort aprs lavoir augment.

2.3.1. Conditions requises pour activer les nouvelles fonctionnalits de Windows Server 2003

Outre les fonctionnalits de base dActive Directory sur les contrleurs de domaine individuels, de nouvelles fonctionnalits Active Directory tendues la fort et au domaine sont disponibles lorsque certaines conditions sont satisfaites. Pour activer les nouvelles fonctionnalits tendues au domaine, tous les contrleurs de domaine du domaine doivent excuter Windows Server 2003, et le niveau fonctionnel du domaine doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre un administrateur de domaine. Pour activer les nouvelles fonctionnalits tendues la fort, tous les contrleurs de domaine de la fort doivent excuter Windows Server 2003, et le niveau fonctionnel de la fort doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre un administrateur dentreprise.

2.3.2. Procdure daugmentation du niveau fonctionnel du domainePour augmenter le niveau fonctionnel du domaine, procdez comme suit : Document96253431.doc

OFPPT @

Millsimenovembre 08

Page 26 - 87

Service d'annuiare Active Directory 1. Ouvrez Domaines et approbations Active Directory. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le noeud du domaine dont vous souhaitez augmenter le niveau fonctionnel, puis cliquez sur Augmenter le niveau fonctionnel du domaine. 3. Dans la bote de dialogue Slectionner un niveau fonctionnel du domaine disponible, slectionnez le niveau fonctionnel, puis cliquez sur Augmenter.

2.3.3. Procdure daugmentation du niveau fonctionnel de la fortPour augmenter le niveau fonctionnel de la fort, procdez comme suit : 1. Dans Domaines et approbations Active Directory, dans larborescence de la console, cliquez avec le bouton droit sur Domaine et approbations Active Directory, puis cliquez sur Augmenter le niveau fonctionnel de la fort. 2. Dans la bote de dialogue Slectionner un niveau fonctionnel de la fort disponible, slectionnez Windows Server 2003, puis cliquez sur Augmenter.

OFPPT @


Millsimenovembre 08

Page 27 - 87


2.4.

Relations dapprobationTypes dapprobations

2.4.1.

Les approbations sont des mcanismes qui permettent un utilisateur authentifi dans son propre domaine daccder aux ressources de tous les domaines approuvs. Dans Windows Server 2003, il existe deux types dapprobations : transitives et non transitives. Dans une approbation transitive, la relation dapprobation tendue un domaine est automatiquement tendue tous les autres domaines qui approuvent ce domaine. Par exemple, le domaine D approuve directement le domaine E, qui approuve directement le domaine F. Etant donn que les deux approbations sont transitives, le domaine D approuve indirectement le domaine F et inversement. Les approbations transitives sont automatiques. Une approbation parent/enfant est un bon exemple dapprobation. Les approbations non transitives ne sont pas automatiques et peuvent tre configures. Par exemple, une approbation non transitive peut tre externe, comme lapprobation entre deux domaines de deux forts distinctes. Dans Windows Server 2003, il existe trois directions dapprobation : unidirectionnel entrant, unidirectionnel sortant et bidirectionnelle. Si, dans un domaine B, vous avez configur une approbation unidirectionnelle entrante entre le domaine B et le domaine Q, les utilisateurs du domaine B peuvent tre authentifis dans le domaine Q. Si vous avez configur une approbation unidirectionnelle sortante entre le domaine B et le domaine Q, les utilisateurs du domaine Q peuvent tre authentifis dans le domaine B. Dans une approbation bidirectionnelle, les deux domaines peuvent authentifier les utilisateurs de lautre

OFPPT @


Millsimenovembre 08

Page 28 - 87

Service d'annuiare Active Directory domaine. Windows Server 2003 prend en charge les types dapprobation suivants, dans les catgories transitives et non transitives. Transitivit A utiliser souhaitez si vous

Type Raccourcie

Partiellement transitive

Rduire les sauts lauthentification Kerberos.

de

Fort

Partiellement transitive Non transitive

Activer lauthentification entre les forts. Configurer une relation dapprobation entre un domaine dune fort et un domaine dune autre fort.

Externe

Domaine

Transitive ou non Approuver un domaine transitive, au choix de Kerberos externe. lutilisateur

3.Implmentation de la structure dune unit dorganisation3.1. Cration et gestion dunits dorganisationde la gestion des units 3.1.1. Prsentation dorganisation

Les units dorganisation sont les conteneurs du service dannuaire Active Directory que vous utilisez pour placer des utilisateurs, des groupes, des ordinateurs et dautres units dorganisation. Lutilisation dunits dorganisation vous permet de crer des conteneurs dans un domaine reprsentant les structures hirarchique et logique de votre organisation. Vous pouvez ensuite grer la configuration et lutilisation de comptes et de ressources en fonction de votre modle dorganisation. Vous pouvez, par exemple, utiliser les units dorganisation pour appliquer automatiquement des stratgies de groupe dfinissant des paramtres par dfaut pour les comptes dordinateurs et dutilisateurs dans Active Directory. Le cycle de vie des units dorganisation inclut quatre phases : Planification. Vous planifiez au cours de cette phase la structure des units Document96253431.doc

OFPPT @

Millsimenovembre 08

Page 29 - 87

Service d'annuiare Active Directory dorganisation. Vous dterminez quelles units dorganisation vous allez crer et comment vous en dlguerez le contrle administratif. Dploiement. Vous crez au cours de cette phase la structure des units dorganisation en fonction de leur plan. Maintenance. Aprs avoir cr la structure des units dorganisation dans Active Directory, vous pouvez renommer, dplacer ou modifier les units cres en fonction des besoins permanents de lorganisation. Suppression. Dans Active Directory, tous les objets, y compris les units dorganisation, occupent de lespace dans le contrleur de domaine qui hberge Active Directory. Lorsque des units dorganisation ne sont plus requises, vous devez les supprimer.

3.1.2. Mthodes de cration et de gestion des units dorganisation

Microsoft Windows Server. 2003 fournit plusieurs composants logiciels enfichables et outils de ligne de commande vous permettant de crer des units dorganisation et de grer la configuration et lutilisation de comptes et de ressources dans le modle de votre organisation. Vous pouvez galement utiliser lenvironnement dexcution de scripts pour les plates-formes Microsoft Windows, afin de grer des units dorganisation. La liste suivante dcrit quelques composants logiciels enfichables et outils de ligne de commande vous permettant de crer et de grer des units dorganisation :

OFPPT @


Millsimenovembre 08

Page 30 - 87

Service d'annuiare Active Directory Utilisateurs et ordinateurs Active Directory. Ce composant logiciel enfichable MMC permet de crer, modifier et supprimer des units dorganisation. Utilisez ce composant logiciel enfichable lorsque vous navez que quelques units dorganisation grer, ou lorsque vous souhaitez grer des units de manire interactive. Outils de service dannuaire. Cet ensemble doutils de ligne de commande permet de grer des objets et deffectuer des requtes dinformations dans Active Directory. Les outils de ligne de commande incluent Dsadd, Dsmod et Dsrm. Lutilisation de ces outils avec le paramtre ou vous permet dajouter, de modifier et de supprimer des units dorganisation dans Active Directory. Vous pouvez galement utiliser des scripts et des fichiers de commandes avec ces outils pour grer des services dannuaire. Ldifde (Lightweight Directory Access Protocol Data Interchange Format Directory Exchange). Cet outil de ligne de commande permet de crer des units dorganisation et dautres objets Active Directory. Ldifde utilise un fichier dentre contenant des informations sur les objets ajouter, modifier ou supprimer. Ces informations sont stockes sous la forme dune srie denregistrements, spars par une ligne vide dans un fichier dentre. Environnement dexcution de scripts Windows. Vous pouvez crer des units dorganisation laide dapplications Windows, ou laide de scripts Windows avec les composants fournis par les interfaces ADSI (Active Directory Service Interfaces). Lutilisation de scripts vous permet de crer des units dorganisation dans le cadre dune configuration dapplication, le cas chant.

3.1.3. Procdure de cration dune unit dorganisation laide de la ligne de commande DsaddPour crer une unit dorganisation, excutez la commande Dsadd suivante partir de linvite de commande : dsadd ou NU_Unit_Organisation -desc Description -d Domaine u Nom_Utilisateur -p Mot_de_passe O : NU_Unit_Organisation spcifie le nom unique de lunit dorganisation que vous dsirez ajouter. Par exemple, pour le nom ajouter unique lunit serait poleformation au domaine gsimaroc.com,

ou=poleformation,dc=gsimaroc,dc=com. Description spcifie la description de lunit dorganisation que vous dsirez ajouter. Domaine spcifie le domaine auquel se connecter. Par dfaut, lordinateur est connect au contrleur de domaine du domaine sur lequel il a ouvert

OFPPT @


Millsimenovembre 08

Page 31 - 87

Service d'annuiare Active Directory une session. Nom_Utilisateur spcifie le nom dutilisateur permettant de se connecter un serveur distant. Par dfaut, le nom de lutilisateur connect est utilis. Vous pouvez spcifier un nom dutilisateur selon lun des formats suivants : nom dutilisateur (par exemple, Benharraf) domaine\nom dutilisateur (par exemple, gsimaroc\Benharraf) nom dutilisateur principal (UPN, User Principal Name) (par exemple, [email protected]) Mot_de_Passe est le mot de passe utiliser pour ouvrir une session sur un serveur distant. Si vous tapez * (astrisque), un mot de passe vous sera demand.

3.1.4. Procdure dorganisation

de

modification

dune

unit

Pour modifier la description dune unit dorganisation, excutez la commande suivante : dsmod ou NU_Unit_Organisation -desc Description -d Domaine u Nom_Utilisateur -p Mot_de_passe Les paramtres qui sont transmis la commande dsmod sont les mmes que ceux de la commande dsadd. La nouvelle description doit tre transmise comme paramtre desc.

3.1.5. Procdure dorganisation

de

suppression

dune

unit

Vous devez supprimer dActive Directory les units dorganisation qui ne sont plus utilises. Pour supprimer une unit dorganisation, excutez la commande suivante : dsrm ou NU_Unit_Organisation -d Domaine -u Nom_Utilisateur p Mot_de_passe Les paramtres qui sont transmis la commande dsrm sont les mmes que ceux de la commande dsadd. Vous pouvez utiliser les paramtres supplmentaires suivants avec dsrm : subtree. Spcifie de supprimer lobjet ainsi que tous les objets contenus dans la sous-arborescence situe sous cet objet. Exclude. Spcifie de ne pas supprimer lobjet de base fourni par NU_Unit_Organisation lorsque vous supprimez la sous-arborescence situe au-dessous. Par dfaut, seul lobjet de base spcifi est supprim. Le paramtre Exclude ne peut tre spcifi quavec le paramtre subtree.

3.1.6. Comment crer et grer des units dorganisation laide de loutil Ldifde OFPPT @Document96253431.doc

Millsimenovembre 08

Page 32 - 87

Service d'annuiare Active Directory Loutil de ligne de commande Ldifde vous permet de crer des units dorganisation en mode Batch et de dfinir des hirarchies dunits dorganisation. Vous pouvez galement utiliser Ldifde pour modifier et supprimer des units dorganisation. La premire tape excuter pour utiliser cet outil consiste crer le fichier dentre utiliser avec Ldifde. Aprs avoir cr ce fichier, vous excuterez la commande Ldifde. Procdez comme suit pour crer des units dorganisation laide de loutil de ligne de commande Ldifde : 1. Crez un fichier dentre. Lexemple suivant montre le format du fichier : dn: OU=formationOu,DC=gsimaroc,DC=com changetype: add objectClass: organizationalUnit Changetype dtermine le type dopration effectue sur lobjet Active Directory. ObjectClass spcifie la classe de lobjet Active Directory. Dans lexemple prcdent, Ldifde ajoute un objet dunit dorganisation appel ExempleOU au domaine nwtraders.msft. Vous pouvez ajouter plusieurs units dorganisation en ajoutant dautres entres comme celle ci-dessus. Chaque entre dn doit tre prcde dune ligne vide, sauf la premire. 2. Excutez Ldifde pour crer, modifier ou supprimer des units dorganisation en entrant la commande suivante : C:\>ldifde -i .k -f OUList.ldf -b Nom_Utilisateur Domaine Mot_de_Passe O : -i spcifie le mode dimportation. Si celui-ci nest pas spcifi, le mode par dfaut est exportation. -k permet de ne pas tenir compte des erreurs durant une opration dimportation et de poursuivre le traitement. -f spcifie le nom du fichier dimportation ou dexportation. OUList.ldf est le fichier dentre. -b spcifie le nom dutilisateur, le nom de domaine et le mot de passe associs au compte dutilisateur qui sera utilis pour excuter lopration dimportation ou dexportation.

3.1.7. Comment crer des units dorganisation laide de lenvironnement dexcution de scripts WindowsProcdez comme suit pour crer une unit dorganisation laide de lenvironnement dexcution de scripts Windows : 1. laide du Bloc-notes, crez un fichier texte portant lextension .vbs. Insrez dans ce fichier les commandes figurant ci-aprs sous les points a, b et c, puis enregistrez le fichier. a. Commencez par vous connecter au domaine dans lequel vous souhaitez crer lunit dorganisation, comme indiqu dans lexemple suivant : Set objDom = GetObject("LDAP://dc=gsimaroc,dc=com") b. Crez ensuite lunit dorganisation en spcifiant OrganizationalUnit comme

OFPPT @


Millsimenovembre 08

Page 33 - 87

Service d'annuiare Active Directory type dobjet Active Directory crer et le nom de lunit dorganisation, comme indiqu dans lexemple suivant : Set objOU = objDom.Create("OrganizationalUnit", "ou=formationOu") Dans cet exemple, FormationOu est le nom de lunit dorganisation que vous crez. c. Pour terminer, enregistrez ces informations dans la base de donnes Active Directory, comme indiqu dans lexemple suivant : objOU.SetInfo 2. Pour excuter les commandes dans le fichier .vbs, tapez le texte suivant linvite de commande : wscript nom_fichier_script.vbs

3.2. Dlgation du contrle administratif des units dorganisation3.2.1. Dlgation de privilges administratifs

La dlgation de ladministration est le processus de dcentralisation de la responsabilit de la gestion dunits dorganisation dun administrateur central vers dautres administrateurs. La capacit tablir laccs des units dorganisation individuelles est une fonctionnalit de scurit importante dans Active Directory ; vous pouvez contrler laccs jusquau niveau le plus bas dune organisation sans devoir crer de nombreux domaines Active Directory. Lautorit dlgue au niveau du site couvrira probablement plusieurs domaines ou, linverse, peut ne pas inclure de cibles dans le domaine. Lautorit dlgue au niveau du domaine affectera tous les objets qui sy trouvent. Lautorit dlgue au niveau de lunit dorganisation peut affecter cet objet et tous ses objets enfants, ou uniquement lobjet lui-mme. Vous dlguez le contrle administratif afin de permettre lautonomie administrative des organisations au niveau des services et des donnes ou, au contraire, pour isoler les services ou les donnes dans une organisation. Vous pouvez liminer le besoin de disposer de plusieurs comptes administrateur ayant une autorit tendue, sur un domaine entier par exemple, mais nanmoins utiliser le groupe prdfini Admins du domaine pour grer tout le domaine Lautonomie correspond la possibilit quont les administrateurs dune organisation de prendre en charge de manire indpendante : tout ou partie de la gestion des services (autonomie de la gestion des services) ; tout ou partie de la gestion des donnes de la base de donnes Active Directory ou des ordinateurs membres rattachs lannuaire (autonomie de la gestion des donnes). Lautonomie administrative : minimise le nombre dadministrateurs devant possder des droits daccs de haut niveau ;

OFPPT @


Millsimenovembre 08

Page 34 - 87

Service d'annuiare Active Directory limite limpact dune erreur administrative une zone dadministration plus administrateurs dune rduite. Lisolation correspond la possibilit quont les organisation dempcher les autres administrateurs de : gestion des services) ; contrler ou visualiser un sous-ensemble de donnes dans lannuaire ou sur les ordinateurs membres rattachs lannuaire (isolation de la gestion des donnes). Windows Server 2003 comporte des autorisations et des droits utilisateur spcifiques qui vous permettent de dlguer le contrle administratif. En utilisant une combinaison dunits dorganisation, de groupes et dautorisations, vous pouvez confrer des droits dadministration un utilisateur particulier de telle sorte que celui-ci dispose dun niveau appropri dadministration sur tout un domaine, sur toutes les units dorganisation dans un domaine ou sur une seule unit dorganisation.

contrler ou dinterfrer avec la gestion des services (isolation de la

3.2.2.

Comment dlguer le contrle administratif

Vous pouvez utiliser lAssistant Dlgation de Contrle pour dlguer le contrle administratif des objets Active Directory, comme les units dorganisation. Lutilisation de lAssistant vous permet de dlguer des tches dadministration courantes, telles que la cration, la suppression et la gestion des comptes dutilisateurs. Excutez la procdure ci-dessous pour dlguer des tches dadministration courantes pour une unit dorganisation. 1. Procdez comme suit pour dmarrer lAssistant Dlgation de contrle : a. Ouvrez la console Utilisateurs et ordinateurs Active Directory. b. Dans larborescence de la console, double-cliquez sur le n.ud du domaine. c. Dans le volet de dtails, cliquez avec le bouton droit sur lunit dorganisation, cliquez ensuite sur Dlguer le contrle, puis sur Suivant. 2. Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez dlguer des tches dadministration courantes. Pour ce faire, procdez comme suit : a. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter. b. Dans la bote de dialogue Slectionner des utilisateurs, des ordinateurs ou des groupes, tapez les noms des utilisateurs et des groupes auxquels vous souhaitez dlguer le contrle de lunit dorganisation, cliquez ensuite sur OK, puis sur Suivant. 3. Affectez des tches courantes dlguer. Pour ce faire, procdez comme suit : a. Dans la page Tches dlguer, cliquez sur Dlguer les tches courantes suivantes. b. Dans la page Tches dlguer, slectionnez les tches que vous souhaitez dlguer, puis cliquez sur Suivant. 4. Cliquez sur Terminer. Lorsque vous dlguez le contrle de la cration dobjets dans Active Directory un utilisateur ou un groupe, ces derniers peuvent crer un nombre dobjets illimit. Dans Windows Server 2003, vous pouvez limiter le nombre dobjets

OFPPT @


Millsimenovembre 08

Page 35 - 87

Service d'annuiare Active Directory quune entit de scurit peut possder dans une partition dannuaire, en implmentant un quota pour cette entit.

3.3.

Planification dune stratgie dunit dorganisationProcessus de planification dunit dorganisation

3.3.1.

La structure des units dorganisation dans Active Directory est base sur la structure administrative de lorganisation. La premire tape de planification dune structure dunit dorganisation consiste documenter la structure de lorganisation. Procdez comme suit pour planifier la stratgie dunit dorganisation pour votre organisation : Documentez la structure existante de lorganisation. Lors de la documentation de la structure existante de lorganisation, une stratgie consiste diviser les tches dadministration en catgories, puis documenter les administrateurs qui sont responsables de chacune delles. Identifiez les domaines amliorer. Travaillez avec lquipe de planification pour identifier les domaines amliorer. Par exemple, il peut tre plus rentable de combiner plusieurs quipes IT provenant de diffrentes divisions. Vous pouvez identifier le personnel non informatique susceptible de vous aider dans le processus dadministration et rduire la charge de travail du personnel informatique. Les administrateurs peuvent ainsi se concentrer sur les domaines o leur expertise est requise. Utilisez ensuite les points suivants comme consignes pour votre plan de dlgation : Dterminez le niveau dadministration. Dcidez ce que chaque groupe contrlera et quel niveau vous dlguerez ladministration dans la hirarchie administrative. Lorsque vous crez le plan, identifiez quels groupes : auront un contrle intgral sur les objets dune classe particulire ; ces groupes peuvent crer et supprimer des objets dans une classe spcifie et modifier tous les attributs des objets dans la classe spcifie. seront autoriss crer des objets dune classe particulire ; par dfaut, les utilisateurs ont le contrle intgral des objets quils crent ; seront autoriss ne modifier que des attributs spcifiques dobjets existants dune classe particulire. Identifiez chaque administrateur et compte dutilisateur dans votre organisation ainsi que les ressources quils administrent. Ces informations vous aideront dterminer la proprit et les autorisations affectes aux units dorganisation que vous crez pour prendre en charge le plan de dlgation.

OFPPT @


Millsimenovembre 08

Page 36 - 87


4.Implmentation de comptes dutilisateurs, de groupes et dordinateurs4.1. Prsentation des comptesTypes de comptes 4.1.1.

Vous pouvez crer trois types de comptes dans Active Directory : comptes dutilisateurs, de groupes et dordinateurs. Les comptes dutilisateurs et dordinateurs Active Directory reprsentent une entit physique, telle quun ordinateur ou une personne. Vous pouvez galement utiliser les comptes dutilisateurs comme comptes de services ddis pour certaines applications. Comptes dutilisateurs Un compte dutilisateur est un objet stock dans Active Directory qui permet une ouverture de session unique, autrement dit un utilisateur entre son mot de passe une seule fois lors de louverture de session sur une station de travail pour obtenir un accs authentifi aux ressources rseau. Il existe trois types de comptes dutilisateurs, chacun ayant une fonction spcifique : Un compte dutilisateur local permet un utilisateur douvrir une session sur un ordinateur spcifique pour accder aux ressources sur cet ordinateur. Un compte dutilisateur de domaine permet un utilisateur de se

OFPPT @


Millsimenovembre 08

Page 37 - 87

Service d'annuiare Active Directory connecter au domaine pour accder aux ressources rseau, ou un ordinateur individuel pour accder aux ressources sur cet ordinateur. Un compte dutilisateur intgr permet un utilisateur deffectuer des tches dadministration ou daccder temporairement aux ressources rseau. Comptes dordinateurs Chaque ordinateur excutant Microsoft Windows NT, Windows 2000 ou Windows XP, ou un serveur excutant Windows Server 2003 qui rejoint un domaine possde un compte dordinateur. limage des comptes dutilisateurs, les comptes dordinateurs permettent dauthentifier et dauditer laccs dun ordinateur aux ressources rseau et du domaine. Chaque compte dordinateur doit tre unique. Comptes de groupes Un compte de groupe est un ensemble dutilisateurs, dordinateurs ou de groupes. Vous pouvez utiliser des groupes pour grer efficacement laccs aux ressources du domaine, et ainsi simplifier ladministration. Lorsque vous utilisez des groupes, vous affectez en une fois des autorisations pour des ressources partages, telles que des dossiers et des imprimantes, des utilisateurs individuels.

4.1.2.

Types de groupes

Il existe deux types de groupes dans Active Directory, les groupes de distribution et les groupes de scurit. Tous deux possdent un attribut dtendue, qui dtermine qui peut tre membre du groupe et quel endroit vous pouvez utiliser ce groupe dans un rseau. Vous pouvez convertir tout moment un groupe de scurit en un groupe de distribution et inversement, mais uniquement si le niveau fonctionnel de domaine est dfini sur Windows 2000 natif ou ultrieur. Groupes de distribution Vous pouvez utiliser des groupes de distribution uniquement avec des applications de messagerie, telles que Microsoft Exchange, pour envoyer des messages un ensemble dutilisateurs. La scurit nest pas active sur les groupes de distribution, ce qui signifie quils ne peuvent pas tre rpertoris dans des listes de contrle daccs discrtionnaire (DACL, Discretionary Access Control List). Pour contrler laccs aux ressources partages, crez un groupe de scurit Groupes de scurit Vous utilisez des groupes de scurit pour affecter des droits et des autorisations aux groupes dutilisateurs et dordinateurs. Les droits dterminent les fonctions que les membres dun groupe de scurit peuvent effectuer dans un domaine ou une fort. Les autorisations dterminent quelles ressources sont accessibles un membre dun groupe sur le rseau. Une mthode dutilisation efficace des groupes de scurit consiste utiliser limbrication, cest dire, ajouter un groupe un autre groupe. Le groupe imbriqu hrite des autorisations du groupe dont il est membre, ce qui simplifie

OFPPT @


Millsimenovembre 08

Page 38 - 87

Service d'annuiare Active Directory laffectation en une fois des autorisations plusieurs groupes, et rduit le trafic que peut engendrer la rplication de lappartenance un groupe. Dans un domaine en mode mixte, vous ne pouvez pas imbriquer des groupes possdant la mme tendue de groupe. Les groupes de distribution et de scurit prennent en charge lune des trois tendues de groupe suivantes : locale de domaine, globale ou universelle. Le niveau fonctionnel de domaine dtermine le type de groupe que vous pouvez crer. En mode Windows 2000 mixte, vous ne pouvez pas crer de groupes de scurit universels.

4.1.3.

Etendue de groupes

Groupes locaux de domaine Un groupe local de domaine est un groupe de scurit ou de distribution qui peut contenir des groupes universels, des groupes globaux ou dautres groupes locaux de domaine issus de ses propres domaines et comptes dans la fort. Dans les groupes de scurit locaux de domaine, vous pouvez accorder des droits et autorisations sur des ressources qui rsident uniquement dans le mme domaine que celui o se trouve le groupe local de domaine. Les rgles suivantes sappliquent lappartenance au groupe local de domaine, ainsi qu ltendue et aux autorisations du groupe local de domaine : ! Appartenance. En mode Windows 2000 mixte, les groupes locaux de domaine peuvent contenir des comptes dutilisateurs et des groupes globaux de nimporte quel domaine. En mode Windows 2000 natif, les groupes locaux de domaine peuvent contenir des comptes dutilisateurs, des groupes globaux, des groupes universels de nimporte quel domaine approuv et des groupes locaux de domaine issus du mme domaine. Peut tre membre de. En mode Windows 2000 mixte, un groupe local de domaine ne peut pas tre membre de nimporte quel groupe. En mode Windows 2000 natif, un groupe local de domaine peut tre membre de groupes locaux de domaine issus du mme domaine. tendue. Un groupe local de domaine est visible uniquement dans son propre domaine. Autorisation. Vous pouvez affecter une autorisation qui sapplique au domaine dans lequel le groupe local de domaine existe. Groupes globaux Un groupe global est un groupe de scurit ou de distribution qui peut contenir des utilisateurs, des groupes et des ordinateurs comme membres de son propre domaine. Vous pouvez accorder des droits et autorisations des groupes de scurit globaux pour des ressources situes dans nimporte quel domaine de la fort. Les rgles suivantes sappliquent lappartenance au groupe global, ainsi qu ltendue et aux autorisations du groupe global : Appartenance. En mode Windows 2000 mixte, un groupe global peut contenir des comptes dutilisateurs du mme domaine. En mode Windows 2000 natif et en mode Windows Server 2003, des groupes globaux peuvent contenir des comptes dutilisateurs et des groupes globaux issus du mme domaine. Peut tre membre de. En mode Windows 2000 mixte, un groupe global peut tre membre des groupes locaux de domaine dans nimporte quel groupe approuv. En mode Windows 2000 mixte et en mode Windows

OFPPT @


Millsimenovembre 08

Page 39 - 87

Service d'annuiare Active Directory Server 2003, un groupe global peut tre membre de groupes universels et de groupes locaux de domaine dans nimporte quel domaine et tre galement membres de groupes globaux dans le mme domaine. tendue. Un groupe global est visible dans son domaine et tous les domaines approuvs, ce qui inclut tous les domaines de la fort. Autorisations. Vous pouvez aff

Documents

C-D-001 Service d'Annuaire Active Directory