Vous êtes sur la page 1sur 94

Module 0 dOS

Cr par Penchu et Nightsdarkangel Page 1 sur 6


Windows Server 2003

0. Installation / mise niveau / configuration de Windows Server 2003

0.1. Installation ou mise niveau

C Pour connatre la configuration systme minimum requise pour linstallation de WS2003,
il faut consulter le fichier RELNOTES.HTML qui se trouve sur le CD dinstallation ou
vrifier lURL http://www.microsoft.com/hwtest/hcl

En tout cas, il faut minimum : - Pentium 133
- 128 Mo de mmoire vive
- 1 Go despace libre sur le disque dur

C Mise jour et installation

C Choix dun mode de licence
- par serveur
- par client/sige

Serveur sige
Exemple : 1) 30 licences client et 1 serveur
=> par serveur, il faut 30 licences

2) ajout dun 2
me
serveur
=> par serveur 30 licences (donc 60 licences en tout pour les 2
serveurs
=> meilleure solution : passer le serveur 1 en mode par sige et installer
lautre en mode par sige => 30 licences au total

C Choix dune partition de disque

C Choix dun systme de fichiers
NTFS FAT32
Ntfs : scurit fichier et dossier, compression, quotas et cryptage
Fat/FAT32 : prise en charge double amrocage mais pas de scurit

Convert.exe convertit partition FAT32 en NTFS
Exemple : convert c:/fs :ntfs


0.2. Installation

Soit en local : installation normale partir du cd-rom
Soit par le rseau : - on copie le dossier i386 du cd-rom sur le disque dur dun
serveur de distribution et on partage le rpertoire
- sur chaque machine, un mini systme dexploitation avec une
gestion rseau se charge.
Ces machines ncessitent un espace libre de 120 200 Mo pour
les fichiers temporaires.
Module 0 dOS
Cr par Penchu et Nightsdarkangel Page 2 sur 6
- A partir du serveur de distribution, on excute :
- winnt.exe pour les versions antrieures Windows 95
- winnt32.exe pour les autres versions
Remarque :

Pour une installation sans interaction de lutilisateur, il faut rajouter /u winnt32.exe

= winnt32.exe /u
o on retrouve alors le fichier unattended.txt
Pour chaque machine diffrente, on retrouve un fichier UDF en plus


Mise niveau

On peut faire une mise niveau des versions de Windows suivantes :

- Windows NT Server 4.0 et Service Pack 5
+ Standard
+ Entreprise

- Windows 2000 Server
Advanced Server

Conformit du matriel :
A partir du cd-rom, on a un lien check system compatibility pour vrifier si on peut mettre
niveau le Windows avec lequel on travaille
On peut aussi vrifier la configuration de lordinateur actuel grce la ligne de commande
suivante : winnt.exe/checkupgradeonly

Si le systme contient un Active Directory avec domaines et forts, il faut prparer le domaine
et la fort avant la mise niveau.
Pour cela on excute les lignes de commande suivantes :
adprep /forestprep
adprep /domainprep



0.3. Prsentation de Windows Server 2003

0.3.1. Diffrentes versions

- Web Edition
o Fournisseur daccs internet
o Messagerie lectronique
o 1 2 processeurs
o 32 bits
o 2 Go maximum de mmoire vive
o Version allge de Active Directory
o Firewall intgr
o Rpartition des charges en rseau
Module 0 dOS
Cr par Penchu et Nightsdarkangel Page 3 sur 6
- Standard Edition
o Oriente PME
o 32 bits
o 1 4 processeurs
o 4 Go maximum de mmoire vive
o Rseau virtuel intgr (applications centraliss)
o Active Directory
o Pont, rseau virtuel
o Remplace Windows 2000 Server


- Entreprise Edition
o Moyennes et grandes entreprises
o 32 et 64 bits
o 1 8 processeurs
o Active Directory complte
o 32 Go maximum de mmoire vive
32 bits 4Go et 64bits 32 Go
o Remplace Windows 2000 Advanced Server
o Possibilit de clusters ( jusque 8 nuds)
o Prends toute les possibilits prcdentes


- Datacenter Edition
o Applications complexes (grosse base de donnes, gestion temps rel,)
o 1 32 processeurs
o Possibilits de clusters
o Pas de firewall intgr au dpart
o Remplace Windows 2000 Datacenter Server
o Prends toutes les caractristiques prcdentes


0.3.2. Nouveauts de Windows Server 2003

0.3.2.1. Active Directory

- amlioration au point de vue synchronisation, rplication des domaines
- renommer les noms de domaines
- approbation inter-fort
- amlioration des consoles MMC

0.3.2.2. Services dapplications

- intgration de Framework.net (comprend les bibliothques de classes pour
ADO.net*, Windows Forms, ASP.net) *ADO = Active Data Objects
- intgration de la prise en charge de XML pour les applications Web

0.3.2.3. Technologies de mise en clusters

Module 0 dOS
Cr par Penchu et Nightsdarkangel Page 4 sur 6
Un cluster est une association de plusieurs serveurs relis ensemble pour nen faire voir quun
seul par lutilisateur.
Si un serveur est hors service, les autres continuent leurs applications et prennent en charge
les applications qui tournaient sur le serveur hors service.



Serveur source : basculement
Cluster service : gre la grappe et le basculement
Network Lood Balancing : quilibrage de la charge rseau


0.3.2.4. Serveur de fichiers et dimpression

- choisir un rle pour le serveur
o administrative tools
o Manage your server

- EFS : cryptage de fichier
- DFS : systme de fichiers distribus
Organisation logique des fichiers

- transformer le serveur de fichier en un serveur de collaboration
=> utilisation de Microsoft Sharepoint Services
+ travail de collaboration par le web


0.3.2.5. Internet Information Server (IIS 6.0)

Scurit supplmentaire
+ par dfaut, la scurit est maximale (pas charg de Control Active X,
scripts,)

http://www.microsoft.com
+ domaine Microsoft est ajout la liste de confiance

0.3.2.6. Terminal Server

- Diminution de lutilisation de la bande passante
- Seules les informations crire lcran et passes au clavier ou la souris sont
transmises


Module 0 dOS
Cr par Penchu et Nightsdarkangel Page 5 sur 6
0.3.2.7. Rseau

- scurit pour les rseaux sans fils
- utilisation du protocole IPv6


0.3.2.8. Services de gestion

- site du catalogue des services Microsoft (Windows Catalog)
- site de Windows Update


0.3.3. Architecture de Windows Server 2003


- Mode utilisateur :
o ne peut accder directement au hardware
o possde un niveau de priorit infrieur au mode noyau

- mode noyau :
o comprend des privilges spciaux
accder au matriel
allouer la mmoire aux applications
choix du processus excuter

o modification de win32 (pour grer le cas du travail en terminal server)
o ajout de gestionnaires de clusters
o ajout de gestionnaires de http

0.3.3.1. Stockage de base.

- Partition systme : partition sur laquelle on boot
- Partition damorage : contient le rpertoire winnt
- Partition principales/tendues : 4 max (3+1) diviser en lecteurs logiques
- Partition active partition systme

0.3.3.2. Stockage dynamique.

- Volume : portion de disque vue comme partie distincte

- Volume simple : crer partir dun espace non allou sur HD
- Spanned volume : volume fractionn regroupement de diffrents espace non
allous sur diffrents HD en une seule partie.
- Striped volume : agrgat de bande remplis les diffrents espace par 64Ko

0.3.3.3. Conversion de base en dynamique.

Onglet Computeur management\disk management
Cliquer sur le disque et le convertir en disque dynamique.
Rebooter 2x la machine.
Module 0 dOS
Cr par Penchu et Nightsdarkangel Page 6 sur 6
0.3.3.4. Gestion de tolrance de panne.

- Uniquement en dynamique
- Intgre de faon logicielle : RAIDI et RAIDS

0.3.3.5. Assignation de quotas.

Permet de limiter lespace disque disponible aux utilisateurs sur le serveur.

Crer un quota : Sur proprit du HD onglet quota\enable quota management


Console de gestion microsoft (MMC).

Elle contient les snop in (composants enfichable) qui sont intgr dans le s.e
Module 1 : Introduction linfrastructure Active Directory

1. Introduction.

Ce module prsente la structure physique et logique du service dannuaire Active
Directory et sa fonction en tant quannuaire. Le module prsente galement les composant
logiciels enfichables, les outils de ligne de commande et lenvironnement dexcution de
scripts Windows vous permettant de grer les composants Active Directory ainsi que ses
processus de conception, de planification et dimplmentation.

2. Architecture dActive Directory .

a) Introduction

Active Directory inclut des composants qui constituent sa structure logique et
physique. Vous devez planifier les structures logique et physique dActive Directory
pour rpondre vos impratifs organisationnels. Pour grer Active Directory, vous
devez comprendre le rle de ces composants et comment les utiliser.

b) Rle dActive Directory
Centralisation du contrle des ressources du rseau
Centralisation et dcentralisation de la gestion des ressources
Stockage des objets de manire scurise dans une structure logique
Optimisation du trafic rseau

Active Directory stocke des informations sur les utilisateurs, les ordinateurs et les
ressources du rseau, afin de permettre aux utilisateurs et aux applications daccder
ces ressources. Il constitue un moyen cohrent de nommer, de dcrire, de localiser,
daccder, de grer et de scuriser les informations concernant ces ressources.

Active Directory fournit les fonctions suivantes :

Centralisation du contrle des ressources du rseau. La centralisation du
contrle des ressources, comme les serveurs, les fichiers partag et les
imprimantes, permet aux seuls utilisateurs autoriss daccder aux
ressources dans Active Directory.
Centralisation et dcentralisation de la gestion des ressources. Les
administrateurs peuvent grer des ordinateurs clients distribus, des
services rseau et des applications partir dun emplacement centralis
laide dune interface de gestion cohrente, ou distribuer des tches
dadministration en dlguant le contrle des ressources dautres
administrateurs.
Stockage des objets de manire scurise dans une structure logique.
Active Directory stocke toutes les ressources sous forme dobjets dans une
structure logique hirarchique scurise.
Optimisation du trafic rseau. La structure physique dActive Directory
vous permet dutiliser plus efficacement la bande passante du rseau. Il
vous garantit que lorsque des utilisateurs se connectent au rseau, ils sont
authentifis par lautorit dauthentification la plus proche de lutilisateur,
rduisant dautant la quantit de trafic rseau.
c) Structure logique dActive Directory

Active Directory offre un stockage scuris pour les informations concernant les
objets dans une structure logique hirarchique. Les objets Active Directory
reprsentent des utilisateurs et des ressources. Certains objets en contiennent dautres.

La structure logique dActive Directory inclut les composants suivants :

Les objets. Il sagit des composants les plus lmentaires de la structure
logique. Les classes objets sont des modles pour les types dobjets que
vous pouvez crer dans Active Directory. Chaque classe dobjet est dfinie
par une liste dattributs, qui dfinit les valeurs possibles que vous pouvez
associer un objet. Chaque objet possde une combinaison unique de
valeurs dattributs.
Le units dorganisation (OU, Organizational Unit). Vous utiliser ces
objets conteneurs pour organiser dautres objets de telle manire quils
prennent en compte vos objectifs administratifs. La disposition de ces
objets par unit dorganisation simplifie la recherche et la gestion des
objets. Vous pouvez galement dlguer lautorit de gestion dune unit
dorganisation. Les units dorganisation peuvent tre imbriques les unes
dans les autres, ce qui simplifie dautant la gestion dobjets.
Les domaines. Units fonctionnelles centrales dans la structure logique
dActive Directory, les domaines sont un ensemble dobjets dfinis
administrativement qui partagent une base de donnes dannuaire
commune, des stratgies de scurit et de relations dapprobation avec
dautres domaines. Les domaines disposent des trois fonctions suivantes :
Une limite dadministration pour objets.
Une mthode de gestion de la scurit pour les ressources
partages.
Une unit de rplication pour les objets.
Les arborescences de domaines. Les domaines regroups en structures
hirarchiques sont appels arborescence de domaines. Lorsque vous ajoutez
un second domaine une arborescence, il devient enfant du domaineracine
de larborescence. Le domaine auquel un domaine enfant est attach est
appel domaine parent. Un domaine enfant peut son tour avoir son propre
domaine enfant.
Le nom dun domaine enfant est associ celui de son domaine parent
pour former son nom DNS (Domain Name System) unique. De cette
manire, une arborescence a un espace de noms contigu.
Les forts. Une fort est une instance complte dActive Directory. Elle
consiste en une ou plusieurs arborescences. Dans une arborescence unique
deux niveaux, qui est recommande pour la plupart des organisations,
tous les domaines enfants sont des enfants du domaine racine de la fort
afin de former une arborescence contigu.
Le premier domaine de la fort est appel le domaine racine de la fort. Le
nom de ce domaine fait rfrence la fort. Par dfaut, les informations
dans Active Directory ne sont partages qu lintrieur de la fort. Ainsi,
la fort est une limite de scurit pour les informations contenues dans
linstance dActive Directory.

d) Structure physique dActive Directory

La structure physique dActive Directory optimise le trafic rseau en dterminant
o et quand se produit un trafic de connexions et de rplications.

Les lments de la structure physique dActive Directory sont :

Les contrleurs de domaine. (excute Win Server 2003 ou Win 2000 et
Active Directory). Chaque contrleur de domaine excute des fonctions de
stockage et de rplication. Un contrleur de domaine ne peut grer quun
seul domaine. Pour assurer une disponibilit permanente dActive
Directory, chaque domaine doit disposer de plusieurs contrleur de
domaine.
Les sites Active Directory. Ces sites sont des groupes dordinateurs
connects par des liaisons rapides. Lorsque vous crez des sites, les
contrleurs de domaine au sein dun mme site communiquent
frquemment. Ces communications rduisent le dlai de latence de
rplication lintrieur du site ; autrement dit, le temps requis pour quune
modification effectue sur un contrleur de domaine soit rplique sur
dautres contrleurs de domaine. Vous pouvez donc crer des sites pour
optimiser lutilisation de la bande passante entre des contrleurs de
domaine situs des emplacements diffrents. (Pour plus dinfos sur les
sites voir module 7).
Partitions Active Directory. Chaque contrleur de domaine contient les
partitions Active Directory suivantes :
La partition de domaine contient les rplicas de tous les objets de
ce domaine. La partition de domaine nest rplique que dans
dautres contrleurs appartenant au mme domaine.
La partition de configuration contient la topologie de la fort. La
topologie est un enregistrement de tous les contrleurs de domaine
et des connexions entre eux dans une fort.
La partition de schma contient le schma tendu au niveau de la
fort. Chaque fort comporte un schma de sorte que la dfinition
de chaque classe dobjet est cohrente. Les partitions de
configurations et de schma sont rpliques dans chaque contrleur
de domaine dans la fort.
Les partitions dapplications facultatives contiennent des objets
non lis la scurit et utiliss par une ou plusieurs applications.
Les partitions dapplications sont rpliques dans des contrleurs de
domaine spcifis dans la fort.
(Pour plus dinfos sur les partitions voir module 7)

e) Dfinitions des matres doprations

Lorsquun domaine est modifi, la modification est rplique sur tous les contrleurs
du domaine. Certaines modifications, telles que celles apportes au schma, sont
rpliques dans tous les domaines de la fort. Cette rplication est appele rplication
multimatre.

Oprations de matre unique.
Lors dune rplication multimatre, un conflit de rplication peut se produire si des
mises jour dorigine sont effectues simultanment sur le mme attribut dun objet sur
deux contrleurs de domaine. Pour viter des conflits de rplication, vous utiliserez une
rplication matre unique, qui dsigne un contrleur de domaine comme tant le seul sur
lequel certaines modifications de lannuaire peuvent tre effectues. Ainsi, des
modifications ne peuvent intervenir simultanment sur diffrents endroits du rseau.
Active Directory utilise une rplication matre unique pour des modifications
importantes, comme lajout dun nouveau domaine ou une modification dans le schma au
niveau de la fort.

Rles de matre doprations.
Les oprations utilisant une rplication matre unique sont regroupes dans des rles
spcifiques dans une fort ou un domaine. Ces rles sont appels rles de matre
doprations. Pour chaque rle de matre doprations, seul le contrleur de domaine
possdant ce rle peut effectuer les modifications dans lannuaire correspondant. Le
contrleur de domaine responsable dun rle particulier est appel matre doprations
pour ce rle. Active directory stocke les informations concernant le contrleur de domaine
qui joue un rle spcifique.
Active Directory dfinit cinq rles de matre doprations, chacun possdant un
emplacement par dfaut. Les rles de matre doprations stendent au niveau dune fort
ou dun domaine.
Rles tendus au niveau dune fort :
Le contrleur de schma. Il contrle toutes les mises jour du schma. Le
schma contient la liste principale des classes et des attributs dobjets
utiliss pour crer tous les objets Active Directory, comme les utilisateurs,
les ordinateurs et les imprimantes.
Le matre dattribution des noms de domaine. Il contrle lajout ou la
suppression de domaine dans une fort. Lorsque vous ajoutez un domaine
la fort, seul le contrleur de domaine possdant le rle de matre
dattribution des noms de domaine peut ajouter le nouveau domaine.
Lensemble de la fort ne contient quun seul contrleur de schma et quun seul
matre dattribution des noms de domaine.

Rles tendus au niveau dun domaine :
Lmulateur de contrleur principal de domaine (PDC, Primary Domain
Controller). Il se comporte comme un contrleur principal de domaine Win
NT pour la prise en charge de tout contrleur secondaire de domaine (BDC,
Backup Domain Controller) excutant Win NT au sein dun domaine en
mode mixte. Ce type de domaine possde des contrleurs de domaine
excutant Win NT 4.0. Lmulateur PDC est le premier contrleur de
domaine que vous crez dans un nouveau domaine.
Le matre des identificateurs relatifs (matre RID). Lorsquun nouvel objet
est cr, le contrleur de domaine cre une nouvelle entit de scurit qui
reprsente lobjet et auquel un identificateur de scurit (SID, Security
IDentifier) unique. Cet identificateur consiste en un identificateur de
scurit de domaine, qui est le mme pour toutes les entits de scurit
cres dans le domaine, et en un identificateur relatif (RID, Relative
IDentifier) qui est unique pour chaque units de scurit cres dans le
domaine. Le matre RID alloue des blocs didentificateurs relatifs chaque
contrleur de domaine du domaine. Le contrleur de domaine affecte
ensuite un matre RID aux objets crs partir de son bloc de matres RID
allous.

Le matre dinfrastructure. Lorsque des objets sont dplacs dun domaine vers un
autre, le matre dinfrastructure met jour dans son domaine les rfrences
dobjets qui pointent sur lobjet dans lautre domaine. La rfrence dobjet
contient lidentificateur global unique (GUID, Globally Unique IDentifier) de
lobjet, son nom unique, et un identificateur de scurit. Active Directory met
rgulirement jour le nom unique et lidentificateur de scurit sur la rfrence
dobjet afin de reflter les modifications apportes lobjet rel.

Dans une fort, chaque domaine possde ses propres mulateur PDC, matre RID et
matre dinfrastructure.
(Pour plus dinfos sur les rles de matre doprations voir module 9)

3. Fonctionnement dActive Directory

a) Introduction.

Cette partie prsente la fonction dActive Directory en tant que service dannuaire.
Comprendre le fonctionnement dActive Directory vous aidera grer les ressources et
rsoudre les problmes daccs ces ressources.

b) Dfinition dun service dannuaire.

Dans de grands rseaux, les ressources sont partages par de nombreux utilisateurs et
applications. Pour permettre aux utilisateurs et aux applications daccder ces ressources
et aux informations les concernant, une mthode cohrente est ncessaire pour nommer,
dcrire, localiser, accder, grer et scuriser les informations concernant ces ressources.
Un service dannuaire remplit cette fonction.

Dfinition dun service dannuaire.
Un service dannuaire est un rfrentiel dinformations structur concernant les
personnes et les ressources dune organisation. Dans un rseau Windows Server 2003, le
service dannuaire sappelle Active Directory.

Fonctionnalits dActive Directory.
Accs pour les utilisateurs et les applications aux informations concernant des
objets. Ces informations sont stockes sous forme de valeurs dattributs. Vous
pouvez rechercher des objets selon leur classe dobjet, leurs attributs, leurs
valeurs dattributs et leur emplacement au sein de la structure Active Directory
ou selon toutes combinaison de ces valeurs.
Transparence des protocoles et de la topologie physique du rseau. Un
utilisateur sur un rseau peut accder toutes ressources sans savoir o celle-ci
se trouve ou comment elle est connecte physiquement au rseau.
Possibilit de stockage dun trs grand nombre dobjets. Comme il est
organis en partitions, Active Directory peut rpondre aux besoins issus de la
croissance dune organisation.
Possibilit dexcution en tant que service indpendant du systme
dexploitation. AD/AM (Active Directory in Application Mode) est une
nouvelle fonctionnalit de lActive Directory permettant de rsoudre certains
scnarios de dploiement lis des applications utilisant un annuaire. AD/AM
sexcute comme un service indpendant du systme dexploitation qui ne
ncessite pas de dploiement sur un contrleur de domaine.

c) Dfinition dun schma

Le schma Active Directory dfinit les genres dobjet, les types dinformations
concernant ces objets, et la configuration de scurit par dfaut pour les objets pouvant
tre stocks dans Active Directory.

Dfinition du schma.
Le schma contient les dfinitions de tous les objets comme les utilisateurs, les
ordinateurs et les imprimantes stocks dans Active Directory. Les contrleurs de domaine
ne comportent quun seul schma pour toute une fort. Ainsi, tous les objets crs dans
Active Directory se conforme aux mmes rgles.
Le schma possde deux types de dfinitions : Les classes dobjets et les attributs. Les
classes dobjets dcrivent les objets dannuaires possibles que vous pouvez crer. Chaque
classe dobjet est un ensemble dattributs.
Les attributs sont dfinis sparment des classes dobjets. Chaque attribut nest dfini
quune seule fois et peut tre utilis dans plusieurs classes dobjets.

Schma Active Directory et extensibilit.
Vous pouvez crer de nouveaux types dobjets dans Active Directory en dveloppant
le schma.

Modifications et dsactivation de schma.
Sur le contrleur de domaine, vous pouvez annuler des modifications apportes un
schma en les dsactivant, permettant ainsi aux organisations de mieux exploiter les
fonctionnalits dActive Directory. Vous pouvez galement redfinir une classe ou un
attribut de schma. Vous pourriez, par exemple, modifier la syntaxe de la chane Unicode
dun attribut appel SalesManager pour en faire un nom unique.

d) dfinition dun catalogue global.

Dans Active Directory, les ressources peuvent tre partages parmi des domaines et
des forts. Le catalogue global dActive Directory permet de rechercher des ressources
parmi des domaines et des forts de manire transparentes pour lutilisateur. En labsence
de serveur de catalogue global, cette requte exigerait une recherche dans chaque domaine
de la fort.

Dfinition du catalogue global.
Le catalogue global est un rfrentiel dinformations qui contient un sous-ensemble
des attributs de tous les objets dActive Directory. Les membres du groupe
Administrateurs du schma peuvent modifier les attributs stocks dans le catalogue global,
en fonction des impratifs dune organisation. Le catalogue global contient :
Les attributs les plus frquemment utiliss dans les requtes, comme les nom et
prnom dun utilisateur, et son nom douverture de session ;
Les informations requises pour dterminer lemplacement de tout objet dans
lannuaire ;
Un sous-ensemble dattributs par dfaut pour chaque type dobjet ;
Les autorisations daccs pour chaque objet et attribut stock dans le catalogue
global. Si vous recherchez un objet pour lequel vous ne possdez pas les
autorisations de visualisation requises, cet objet napparatra pas dans les
rsultats de la recherche. Les autorisations daccs garantissent que les
utilisateurs ne puissent trouver que les objets pour lesquels ils possdent un
droit daccs.
Dfinition dun serveur de catalogue global.
Un serveur de catalogue global est un contrleur de domaine qui traite efficacement
les requtes intraforts dans le catalogue global. Le premier contrleur de domaine que
vous crez dans Active Directory devient automatiquement un serveur de catalogue
global. Vous pouvez configurer des serveurs de catalogue global supplmentaires pour
quilibrer le trafic li aux authentifications de connexion et aux requtes.

Fonctions du catalogue global.
Le catalogue global permet aux utilisateurs dexcuter deux fonctions importantes :
Trouver les informations Active Directory en tout point de la fort,
indpendamment de lemplacement des donnes ;
Utiliser les informations dappartenance au groupe universel pour se connecter
au rseau.
(Pour plus dinfos sur le catalogue, voir module 8)

e) Dfinition dun nom unique et dun nom unique relatif.

Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier des
objets dans une base de donnes Active Directory. Le protocole LDAP est un sous-
ensemble de la norme ISO X.500 relative aux services dannuaire. Il utilise les
informations portant sur la structure dun annuaire pour trouver des objets individuels
possdant chacun un nom unique.

Dfinition.
Le protocole LDAP utilise un nom reprsentant un objet Active Directory par une
srie de composants concernant la structure logique. Cette reprsentation, appele nom
unique de lobjet, identifie le domaine dans lequel se trouve lobjet ainsi que le chemin
complet permettant daccder celui-ci. Un nom de ce type ne peut tre quunique dans
une fort Active Directory.
Le nom unique relatif dun objet identifie lobjet de manire unique dans son
conteneur. Deux objets situs dans un mme conteneur ne peuvent porter le mme nom.
Le nom unique relatif est toujours le premier composant du nom unique, mais il nest pas
toujours un nom usuel.

Exemple de nom unique
Chaque lment de la structure logique de lutilisatrice Laura Bertoli de lunit
dorganisation Sales (ventes) du domaine Contoso.msft est reprsent dans le nom unique
suivant :
CN = Laura Bartoli, OU = Sales, DC = contoso, DC = msft

CN (Common Name) est le nom usuel de lobjet dans son conteneur.
OU (Organizatioal Unit) est lunit dorganisation qui contient lobjet. Plusieurs
valeurs dOU peuvent exister si lobjet se trouve dans une unit dorganisation
imbrique.
DC (Domain Component) est un composant de domaine, tel que com ou
msft . Il existe toujours au moins deux composants de domaine, voire davantage
si le domaine est un domaine enfant.
Les composants de domaine du nom unique sont bass sur le DNS (Domain Name
System).

Exemple de nom unique relatif.
Dans lexemple suivant, Sales est le nom unique relatif dune unit dorganisation
reprsente par le chemin LDAP suivant :
OU = Sales, DC = contoso, DC = msft

f) Ouverture de session unique avec Active Directory.

Lactivation dune ouverture de session unique permet Active Directory de rendre
transparents pour lutilisateur les processus complexes dauthentification et dautorisation.
Les utilisateurs nont pas besoin de grer plusieurs ensembles dautorisations.
Une ouverture de session unique consiste en :
une authentification, qui vrifie les autorisations de la tentative de connexion ;
une autorisation, qui vrifie que la demande de connexion est autorise.
En tant quingnieur systme, vous devez comprendre le fonctionnement de ces processus
afin doptimiser et de dpanner votre structure Active Directory.

4. Analyse dActive Directory

a) Introduction

Sous Windows Server 2003, les administrateurs disposent de composants logiciels
enfichables et doutils de ligne de commande pour grer Active Directory. Ce chapitre
prsente ces composants et outils, et explique comment les utiliser pour analyser la
structure logique et physique dActive Directory.

b) Gestion dActive Directory

Lutilisation dActive Directory vous permet de grer un grand nombre dutilisateur,
dordinateurs et de ressources rseau partir dun emplacement centralis, laide des
outils et des composants logiciels enfichables dadministration de Windows Server 2003.
Active Directory prend galement en charge ladministration dcentralise. Un
administrateur possdant lautorit requise peut dlguer un ensemble slectionns de
privilges administratifs dautres utilisateurs ou groupes dans une organisation.

Prise en charge par Active Directory de la gestion centralise.
Active Directory inclut plusieurs fonctionnalits de prise en charge de la gestion
centralise :
Informations concernant tous les objets et leurs attributs. Les attributs
contiennent des donnes qui dcrivent la ressource que lobjet identifie ;
comme les informations concernant toutes les ressources du rseau sont
stockes dans Active Directory, un administrateur peut grer et administrer ces
ressources de faon centralise.
Vous pouvez interroger Active Directory laide de protocoles tels que LDAP.
Vous pouvez aisment localiser des informations concernant des objets en
recherchant des attributs slectionns de lobjet, laide doutils prenant en
charge le protocole LDAP.
Vous pouvez grouper en units dorganisation des objets possdant des
exigences similaires en termes dadministration et de scurit. Les units
dorganisations offrent plusieurs niveaux dautorits administratives, de sorte
que vous pouvez appliquer des paramtres de stratgie de groupe et dlguer le
contrle administratif. Cette dlgation simplifie le travail de gestion de ces
objets et vous permet de structurer Active Directory en fonction des impratifs
de votre organisation.
Vous pouvez spcifier des paramtres de stratgie de groupe pour un site, un
domaine, ou une unit dorganisation. Active Directory applique ensuite ces
paramtres de stratgie de groupe tous les utilisateurs et ordinateurs
lintrieur du conteneur.

Prise en charge par Active Directory de la gestion dcentralise.
Active Directory prend galement en charge la gestion dcentralise. Vous pouvez
affecter des autorisations et accorder des droits aux utilisateurs de manire trs spcifique.
Vous pouvez dlguer laffectation des autorisations :
pour des units dorganisation spcifiques diffrents groupes de Domaine
local ; par exemple, dlgation de lautorisation Contrle total pour lunit
dorganisation Sales.
pour modifier des attributs spcifiques dun objet dans une unit
dorganisation ; par exemple, affecter lautorisation permettant de modifier les
nom, adresse et numro de tlphone dun utilisateur et de rinitialiser les mots
de passe sur lobjet compte dutilisateur.
pour excuter la mme tche ; par exemple, rinitialiser les mots de passe, dans
toutes les units dorganisation dun domaine
.
c) Outils et composants logiciels enfichables dadministration dActive Directory.

Windows Server 2003 comporte plusieurs composants logiciels enfichables et outils
de ligne de commande permettant de grer Active Directory. Vous pouvez galement
grer Active Directory laide dobjets ADSI (Active Directory Service Interfaces)
partir de lenvironnement dexcution de scripts Windows. ADSI est une interface simple
mais nanmoins puissante dActive Directory permettant de crer des scripts rutilisables
pour la gestion dActive Directory.

Composants logiciels enfichables dadministration
Composant logiciel
enfichable. Description
Utilisateurs et ordinateurs
Active Directory.
Cette console MMC est utilise pour la gestion et la publication
dinformation dans Active Directory. Vous pouvez grer des comptes
dutilisateur, des groupes et des comptes dordinateurs, ajoutez des
ordinateurs un domaine, grer des stratgies de compte ainsi que des
droits dutilisateur, et procder laudit des stratgie.
Domaines et approbations
Active Directory.
Cette console MMC est utilise pour grer des approbations de domaines
et de forts, ajouter des suffixes au nom dutilisateur principal, et
modifier les niveaux fonctionnels de domaines et de forts.
Sites et services Active
Directory
Cette console MMC vous permet de grer la rplication de donnes
dannuaire.
Schma Active Directory Cette console MMC vous permet de grer le schma. Il nest pas
disponible par dfaut dans le menu Outils dadministration. Vous devez
lajouter manuellement.
Vous pouvez personnaliser les consoles dadministration afin quelles correspondent aux
tches dadministration que vous dlguez dautres administrateurs. Vous pouvez
galement regrouper dans une mme console toutes les consoles requises pour chaque
fonction dadministration.

Outils de ligne de commande dadministration.
Outil Description
Dsadd Ajoute dans Active Directory des objets, comme des ordinateurs, des utilisateurs,
des groupes, des units dorganisation et des contacts.
Dsmod Modifie dans Active Directory des objets, comme des ordinateurs, des utilisateurs,
des groupes, des units dorganisation et des contacts.
Dsquery Excute des requtes dans Active Directory en fonction de critres spcifis. Vous
pouvez excuter des requtes portant sur des serveurs, des ordinateurs, des groupes,
des utilisateurs, des sites, des units dorganisation et des partitions.
Dsmove Dplace un objet unique, lintrieur dun domaine, vers un nouvel emplacement
dans Active Directory ou renomme un objet unique sans le dplacer.
Dsrm Supprime un objet dans Active Directory
Dsget Affiche des attributs slectionns dun ordinateur, dun contact, dun groupe, dune
unit dorganisation, dun serveur ou dun utilisateur dans Active directory
Csvde Importe et exporte des donnes Active Directory laide dun format de sparation
par virgule
Ldifde Cre, modifie et supprime des objets Active Directory. Peut galement prolonger le
schma Active Directory, exporter des informations utilisateur et de groupe vers
dautres applications ou service, et charger dans Active Directory des donnes
dautres services dannuaire.

Environnement dexcution de scripts Windows.
Bien que Windows Server 2003 fournisse plusieurs composants logiciels enfichables
et outils de ligne de commande pour grer Active Directory, ceux-ci ne sont pas adapts
pour des oprations de commandes destines effectuer des modifications dans Active
Directory impliquant des conditions complexes. En pareils cas, vous pouvez procder plus
rapidement des modifications laide de scripts

Vous pouvez crer des scripts partir de lenvironnement dexcution de scripts Windows
utilisant ADSI pour excuter les tches suivantes :
Extraire les informations concernant les objets Active Directory ;
Ajouter des objets dans Active Directory ;
Modifier les valeurs dattributs pour les objets Active Directory ;
Supprimer des objets dans Active directory ;
Etendre le schma Active Directory.
ADSI utilise le protocole LDAP pour communiquer avec Active Directory.

5. Processus de conception, de planification et dimplmentation dActive Directory.

a) Vue densemble de la conception, de la planification et de limplmentation
dActive Directory

Conception dactive Directory
Un ou plusieurs architectes de systmes crent la conception dActive
Directory, en se basant sur les besoins dune entreprise. Ces besoins dterminent
les spcifications fonctionnelles pour la conception.

Plan dimplmentation dActive Directory
Le plan dimplmentation dActive Directory dtermine la mise en uvre de la
conception dActive Directory en fonction de linfrastructure matrielle de
lorganisation. La conception dActive Directory peut spcifier le nombre de
contrleur de domaine pour chaque domaine sur la base de la configuration dun
serveur spcifique. Cependant, si cette configuration nest pas disponible, lors de
la phase de planification vous pouvez dcider de modifier le nombre de serveurs
afin de rpondre aux besoins de lentreprise.
Aprs avoir implment Active Directory, vous devez grer et assurer la
maintenance dActive Directory afin de garantir disponibilit, fiabilit et scurit
du rseau.

Implmentation dActive Directory
Durant le dploiement dActive Directory, les ingnieurs systme :
Crent la structure du domaine et de la fort, et dploient les serveurs ;
Crent la structure de lunit dorganisation ;
Crent les comptes dutilisateur et dordinateur ;
Crent des groupes de scurit et de distribution ;
Crent les objets Stratgies de groupe (GPO, Groupe Policy Object) quils
appliquent aux domaines, aux sites et aux units dorganisation ;
Crent les stratgies de distribution de logiciels.


b) Processus de conception dActive Directory

Une conception dActive Directory inclut plusieurs tches. Chacune dfinit les
besoins fonctionnels pour un composant de limplmentation dActive Directory.

Tches incluses dans le processus de conception dActive Directory.
Collecte dinformations sur lorganisation. Cette premire tche dfinit
les besoins en service dannuaire et les besoins de lentreprise
concernant le projet. Les informations sur lorganisation incluent
notamment un profil organisationnel de haut niveau, les implantations
gographiques de lorganisation, linfrastructure technique et du rseau,
et les plans lis aux modifications apporter dans lorganisation.
Analyse des informations sur lorganisation. Vous devez analyser les
informations collectes pour valuer leur pertinence et leur valeur par
rapport au processus de conception. Vous devez ensuite dterminer
quelles sont les informations les plus importantes et quels composants
de la conception dActive Directory ces informations affecteront. Soyez
prt appliquer ces informations dans lensemble du processus de
conception.
Analyse des options de conception. Lorsque vous analyser des besoins
dune entreprise spcifiques, plusieurs options de conception peuvent y
rpondre. Comme chaque choix que vous faites affecte les autres
composants de la conception, restez flexible dans votre approche de la
conception durant tout le processus.
Slection dune conception. Dveloppez plusieurs conceptions dActive
Directory, puis comparez leurs points forts et leurs points faibles.
Lorsque vous slectionnez un conception, analyser les besoins dune
entreprise qui entre en conflit et tenez compte de leurs effets sur les
choix de vos conceptions. Il se peut quaucune des conceptions
soumises ne fasse lunanimit. Choisissez la conception qui rpond le
mieux vos besoins dentreprise et qui reprsente globalement le
meilleur choix.
Affinage de la conception. La premire version de votre plan de
conception est susceptible dtre modifie avant la phase pilote de
limplmentation. Le processus de conception est itratif parce que
vous devez tenir compte de nombreuses variables lorsque vous
concevez une infrastructure Active Directory. Rvisez et affinez
plusieurs fois chacun des concepts de votre conception pour prendre en
compte tous les besoins dentreprise.

Rsultat du processus de conception dActive Directory
La conception du domaine et de la fort. La conception de la fort
inclut des informations comme le nombre de forts requis, les
consignes de cration des approbations et le nom de domaine
pleinement qualifi (FQDN, Fully Qualified Domain Name) pour le
domaine racine de chaque fort. La conception inclut galement la
stratgie de contrle des modifications de la fort, qui identifie les
processus de proprit et dapprobation pour les modifications de la
configuration prsentant un impact sur toute la fort. Identifiez la
personne charge de dterminer la stratgie de contrle des
modifications de chaque fort dans lorganisation. Si votre plan de
conception comporte plusieurs forts, vous pouvez valuer si des
approbations de forts sont requises pour rpartir les ressources du
rseau parmi les forts.
La conception du domaine indique le nombre de domaines requis dans
chaque fort, le domaine qui sera le domaine racine pour chaque fort et
la hirarchie des domaines si la conception comporte plusieurs
domaines. La conception du domaine inclut galement le nom DNS
pour chaque domaine et les relations dapprobation entre domaines.
La conception de lunit dorganisation. Elle indique comment vous
crerez les units dorganisation pour chaque domaine dans la fort.
Incluez une description de lautorit dadministration qui sera
applique chaque unit dorganisation, et qui cette mme autorit
sera dlgue. Pour finir, incluez la stratgie utilise pour appliquer la
stratgie de groupe la structure de lunit dorganisation.
La conception du site. Elle spcifie le nombre et lemplacement des
sites dans lorganisation, les liens requis pour relier les sites et le cot
de ces liens.

c) Processus de planification dActive Directory

Composant dun plan Active Directory
Stratgie de compte. Elle inclut des informations comme les consignes
dattribution de nom aux comptes et la stratgie de verrouillage, la
stratgie en matire de mots de passe et les consignes portant sur la
scurit des objets.
Stratgie daudit. Elle dtermine comment suivre les modifications
apportes aux objets Active Directory.
Plan dimplmentation dunit dorganisation. Il dfinit quelles units
dorganisation crer et comment. Si la conception dunit
dorganisation spcifie que ces units seront cres gographiquement
et organises par division lintrieur de chaque zone gographique, le
plan dimplmentation des units dorganisation dfinit les units
implmenter. Le plan fournit galement des consignes portant sur la
dlgation dautorit.
Plan de stratgie de groupe. Il dtermine qui cre, relie et gre les
objets de stratgie de groupe, et comment cette stratgie sera
implmente.
Plan dimplmentation du site. Il spcifie les sites, les liens qui les
relient, et les liaisons de sites planifies. Il spcifie galement la
planification et lintervalle de rplication ainsi que les consignes en
matires de scurisation et de configuration de la rplication entre sites.
Plan de dploiement de logiciels. Il spcifie comment vous utiliserez la
stratgie de groupe pour dployer de nouveaux logiciels et des mises
niveaux logiciels. Il peut spcifier si les mises a niveau de logiciels sont
obligatoires ou facultatives.
Plan de placement des serveurs. Il spcifie le placement des contrleurs
de domaine, des serveurs de catalogue global, des serveurs DNS
intgrs Active Directory et des maitre doprations. Il spcifie
galement si vous activerez la mise en cache des appartenances un
groupe universel pour les sites ne possdant pas de serveur de catalogue
global.
Lorsque tous les plans de composants sont termins, vous devez les combiner
pour former le plan complet dimplmentation dActive Directory.

d) Processus dimplmentation dActive Directory

Processus dimplmentation.
Vous devez excuter les tches suivantes pour implmenter Active Directory.
Implmentation de la fort, du domaine et de la structure DNS. Crez le
domaine racine de la fort, les arborescences de domaines et tout autre
domaine enfant constituant la fort et la hirarchie des domaines.
Cration des units dorganisation et des groupes de scurit. Crez la
structure dunit dorganisation pour chaque domaine dans chaque
fort, crez des groupes de scurit et dlguez lautorit administrative
des groupes administratifs dans chaque unit dorganisation.
Cration des comptes dutilisateur et dordinateur. Importez les
comptes dutilisateurs dans Active Directory.
Cration des objets de stratgies de groupe. Crez des objets Stratgies
de groupe bass sur la stratgie de groupe, puis reliez-les des sites, a
des domaines ou des units dorganisation.
Implmentation des sites. Crez des sites en fonction du plan des sites,
crez des liens reliant ces sites, dfinissez les liaisons de sites planifies
et dployez sur les sites des contrleurs de domaine, des serveurs de
catalogue global, des serveurs DNS et des matres doprations.
Module 2 : Implmentation dune structure de fort et de domaine Active
Directory

1. Introduction.

Ce module prsente la configuration requise de service dannuaire Active Directory et
explique comment crer une structure de fort et de domaine laide de lAssistant
Installation de Active Directory. Il fournit galement les connaissances et comptences
ncessaires pour analyser le systme DNS (Domain Name System) dans un environnement
Active Directory, augmenter les niveaux fonctionnels de la fort et du domaine et crer des
relations dapprobation.

2. Cration dune structure de fort et de domaine.

a) Introduction

Cette leon fournit les comptences et connaissances pour crer une structure de
fort et de domaine. Vous allez apprendre vrifier quActive Directory t installer
correctement, identifier et rsoudre les problmes courants qui peuvent survenir
lors de linstallation dActive Directory.

b) Conditions requises pour installer Active Directory.
Un ordinateur fonctionnant sous Windows Server 2003.
Un espace disque minimum de 250Mo et une partition formate NTFS.
200Mo pour la base de donnes Active Directory et 50Mo pour les
fichiers journaux de transactions de la base de donnes Active Directory.
La taille des fichiers journaux et des fichiers de la base de donnes Active
Directory dpend du nombre dobjets sans le domaine et de leur type ; un
espace disque supplmentaire est ncessaire si le contrleur de domaine est
galement un serveur de catalogue global.
Une partition ou un volume format avec le systme de fichiers NTFS.
La partition NTFS est ncessaire pour le dossier SYSVOL.

Des privilges administratifs pour la cration dun domaine dans un rseau
Windows Server 2003 existant.

TCP/IP install et configur pour utiliser DNS

Un serveur DNS faisant autorit pour le domaine DNS et prenant en charge
les conditions requises rpertories dans le tableau ci-dessous.

Condition requise Description
Enregistrements de
ressources SRV
(obligatoires)
Les enregistrements de ressources SRV sont des enregistrements DNS
qui identifie les ordinateurs qui hbergent des services spcifiques dans
un rseau Windows Server 2003. Le serveur DNS qui prend en charge
le dploiement dActive Directory doit galement prendre en charge les
enregistrements de ressources SRV. Si ce nest pas le cas, vous devez
configurer le systme DNS localement lors du processus dinstallation
dActive Directory ou le configurer manuellement aprs linstallation
dActive Directory.
Mises jour
dynamiques
(facultatives)
Microsoft recommande vivement de faire en sorte que les serveurs
DNS prennent en charge les mises jour dynamiques. Le protocole de
mises jour dynamique permet aux serveurs et aux clients voluant
dans un environnement DNS dajouter et de modifier automatiquement
des enregistrements dans la base de donnes DNS, ce qui permet de
rduire les tches administratives. Si vous utilisez un logiciel DNS qui
prend en charge des enregistrements de ressources SRV mais pas le
protocole de mise jour dynamique, vous devez entrer les
enregistrements de ressources SRV manuellement dans la base de
donnes DNS.
Transferts de zones
incrmentiels
(facultatif)
Dans un transfert de zone incrmentiel, les modifications apportes
une zone dun serveur DNS matre doivent tre rpliques sur les
serveurs DNS secondaires pour cette zone. Les transferts de zone
incrmentiels sont facultatifs. Ils sont toutefois recommands car ils
permettent dconomiser de la bande passante rseau en permettant
uniquement aux enregistrements de ressources nouveaux ou modifis
dtre rpliqus entre des serveurs DNS, au lieu de rpliquer le fichier
de base de donnes de zone entier.



c) Processus dinstallation dActive Directory

Pour dmarrer le processus dinstallation dActive Directory, lancez lassistant
dinstallation dActive Directory. Lors de linstallation un certain nombre de
modifications sont apportes au serveur Windows Server 2003 sur lequel est install
Active Directory. La connaissance de ces modifications va vous permettre de rsoudre
les problmes susceptibles de survenir aprs linstallation.

Processus dinstallation : Le processus dinstallation excute les tches suivantes :

Dmarrage du protocole dauthentification Kerberos version5.

Dfinition de la stratgie de lautorit de scurit locale (LSA, Local
Security Authority). Le paramtre indique que ce serveur est un contrleur
de domaine.

Cration de partitions Active Directory. Une partition de rpertoire est une
partie de lespace de noms du rpertoire. Chaque partition du rpertoire
contient une hirarchie, ou une sous-arborescence, des objets dannuaire de
larborescence de rpertoire. Lors de linstallation, les partitions ci-dessous
sont cres sur le premier contrleur de domaine dune fort :
Partition dannuaire de schma.
Partition dannuaire de configuration.
Partition dannuaire de domaine.
Zone DNS de la fort
Partition de la zone DNS du domaine
Les partitions sont alors mises jours par lintermdiaire de la rplication
sur chaque contrleur de domaine subsquent cr dans la fort.

Cration de la base de donnes Active Directory et des fichiers journaux.
Lemplacement par dfaut de la base de donnes et des fichiers journaux
est systemroot\Ntds.
Cration du domaine racine de la fort. Si le serveur est le premier
contrleur de domaine du rseau, le processus dinstallation cre le
domaine racine de la fort, puis attribue les rles de matre doprations au
contrleur de domaine, notamment :
Lmulateur de contrleur principal de domaine (PDC, Primary
Domain Controller)
Le matre doprations des identificateurs relatifs (RID, Relative
Identifier)
Le matre de nommage de domaine
Le contrleur de schma
Le matre dinfrastructure.

Cration du dossier volume systme partag. Cette structure de dossiers est
hberge sur tous les contrleurs de domaine Windows Server 2003 et
contient les dossiers suivants :
Le dossier partag SYSVOL, qui contient des informations relatives
la stratgie de groupe ;
Le dossier partag Net Logon, qui contient les scripts de connexion
des ordinateurs qui ne sont pas quips de Windows Server 2003.

Configuration de lappartenance du contrleur de domaine sur un site
appropri. Si ladresse IP du serveur que vous souhaitez promouvoir
contrleur de domaine se trouve dans la plage dadresses dun sous-rseau
donn dfini dans Active Directory, lassistant configure lappartenance du
contrleur de domaine dans le site associ au sous-rseau.
Si aucun objet de sous-rseau nest dfini ou si ladresse IP du serveur ne
se trouve pas dans la plage des objets de sous-rseau prsents dans Active
Directory, le serveur est plac sur le Premier-Site-par-Dfaut (premier site
configur automatiquement lorsque vous crez le premier contrleur de
domaine dans une fort).
Lassistant Installation de Active Directory cre un objet serveur pour le
contrleur de domaine dans le site appropri. Lobjet serveur contient les
informations ncessaires pour la rplication. Cet objet serveur contient une
rfrence lobjet ordinateur de lunit dorganisation Domain Controllers
qui reprsente le contrleur de domaine en cours de cration.

Activation de la scurit sur les services dannuaire et sur les dossiers de
rplication de fichier. Ceci vous permet de contrler laccs des utilisateurs
aux objets Active Directory.

Application du mot de passe fournit par lutilisateur au compte
administrateur. Vous utilisez ce compte pour lancer le contrleur de
domaine en mode Restauration des services dannuaire.

d) Comment crer une structure de fort et de domaine.

Lassistant Installation de Active Directory vous accompagne tout au long du
processus dinstallation et vous donne des informations, qui diffrent en fonction
des options que vous slectionnez.

Cration dun domaine racine de la fort
1. Cliquez sur Dmarrer, sur Excuter, puis tapez dcpromo en tant que nom du
programme.
Lassistant vrifie les points suivants :
- lutilisateur actuellement connect est un membre du groupe local
Administrateurs ;
- lordinateur est quip dun systme dexploitation prenant en charge
Active Directory ;
- une installation prcdente ou une suppression dActive Directory na
pas eu lieu sans un redmarrage de lordinateur ; une installation ou une
suppression dActive Directory nest pas en cours.
2. Dans la page Assistant I nstallation de Active Directory, cliquez sur Suivant.
3. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant.
4. Sur la page type de contrleur de domaine, cliquez sur Contrleur de
domaine pour un nouveau domaine, puis cliquez sur Suivant.
5. Dans la page Crer un nouveau domaine, cliquez sur Domaine dans une
nouvelle fort, puis sur Suivant.
6. Dans la page Nouveau nom de domaine, tapez le nom DNS complet du
nouveau domaine, puis cliquez sur Suivant.
7. Dans la page Nom de domaine NetBI OS, vrifier le nom NetBIOS, puis
cliquez sur Suivant.
Le nom NetBIOS permet didentifier le domaine sur les ordinateurs clients
quips de versions antrieures de Windows et Windows NT. Lassistant
identifie que le nom de domaine NetBIOS est unique. Si ce nest pas le cas, il
vous invite modifier le nom.
8. Dans la page Dossiers de la base de donnes et du journal, indiquez
lemplacement dans lequel vous souhaitez installer les dossiers de la base de
donnes et du journal, puis cliquez sur Suivant.
9. Dans la page Volume systme partag, tapez lemplacement dans lequel vous
souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir
lemplacement. Cliquez ensuite sur Suivant.
10. Dans la page Diagnostics des inscriptions DNS, assurez-vous quun serveur
DNS existant va faire autorit pour cette fort ou, le cas chant, cliquez sur
I nstaller et configurer le serveur DNS sur cet ordinateur et dfinir cet
ordinateur pour utiliser ce serveur DNS comme serveur DNS de
prfrence. Cliquez ensuite sur Suivant.
11. Dans la page Autorisations, indiquez si vous souhaitez attribuer les
autorisations par dfaut des objets utilisateur et groupe compatibles avec des
serveur quips de versions antrieures de Windows ou Windows NT, ou
seulement quips de serveurs Windows Server 2003.
12. A linvite, indiquez le mot de passe pour le mode Restauration des services
dannuaire.
Les contrleurs de domaine Windows Server 2003 grent une petite version de
la base de donnes des comptes Microsoft Windows NT 4.0. Le seul compte de
cette base de donnes est le compte Administrateur. Il est requis pour
lauthentification au dmarrage de lordinateur en mode Restauration des
services dannuaire, tant donn quActive Directory nest pas dmarr dans ce
mode.
13. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer
linstallation.
14. A linvite, redmarrer lordinateur.

Cration dun enfant
La procdure de cration dun domaine enfant laide de lassistant Installation de
Active Directory est similaire celle permettant de crer un domaine racine de la
fort.
Page de lassistant
I nstallation de Active
Directory
Nouvelle tape raliser
Crer un nouveau
domaine
Cliquez sur Domaine enfant dans une arborescence de domaine
existante.
Informations
didentification rseau
Tapez le nom dutilisateur, le mot de passe et le domaine
utilisateur du compte utilisateur que vous souhaitez utiliser pour
cette opration. Le compte dutilisateur doit tre un membre du
groupe Administrateurs de lentreprise.
Installation dun
domaine enfant
Vrifier le domaine parent, puis tapez le nom du nouveau domaine
enfant.
Lorsque vous utilisez lAssistant Installation Active Directory pour crer ou
supprimer un domaine enfant, il contacte le matre de nommage de domaine pour
demander lajout ou la suppression. Le matre de nommage de domaine doit
imprativement sassurer que les noms de domaine sont uniques. Si le matre de
nommage de domaine est indisponible, vous navez pas la possibilit dajouter ni
de supprimer des domaines.
Cration dune arborescence
La procdure de cration dune arborescence laide de lAssistant Installation de
Active Directory est similaire celle permettant de crer un domaine racine de la
fort.
Page de lAssistant
I nstallation de Active
Directory
Nouvelle tape raliser
Crer un nouveau
domaine
Cliquez sur Arborescence de domaine dans une fort existante.
Informations
didentification rseau
Tapez le nom dutilisateur, le mot de passe et le domaine
utilisateur du compte dutilisateur que vous souhaiter utiliser pour
cette opration. Le compte dutilisateur doit tre un membre du
groupe Administrateurs de lentreprise.
Nouvelle arborescence
de domaine
Tapez le nom DNS complet du nouveau domaine.

e) Comment ajouter un contrleur de domaine rpliqu

Pour activer la tolrance de pannes au cas o le contrleur de domaine se dconnecte
de manire inattendue, vous devez disposer dau moins deux contrleur de domaine dans
un seul domaine. Etant donn que tous les contrleurs de domaine dun domaine
rpliquent les donnes spcifiques au domaine de lun vers lautre, linstallation de
plusieurs contrleurs de domaine dans le domaine active automatiquement la tolrance de
pannes pour les donnes enregistres dans Active Directory. Si un contrleur de domaine
tombe en panne, les contrleurs de domaine restants fournissent les services
dauthentification et assurent laccs aux objets dActive Directory, de telles sorte que le
domaine, puisse continuer fonctionner.

Procdure
Avant de commencer linstallation, dterminez si vous allez effectuer la rplication
initiale dActive Directory par le biais du rseau partir dun contrleur de domaine
proximit ou dun support sauvegard.
Choisissez de rpliquer Active Directory par le biais du rseau si le contrleur de
domaine rpliquez va tre install :
Sur un site sur lequel un autre contrleur de domaine existe ;
Sur un nouveau site connect un site existant par un rseau grande vitesse.
Choisissez de rpliquer Active Directory partir dun support de sauvegarde si vous
souhaitez installer le premier contrleur de domaine sur un site distant pour un domaine
existant.
Lorsque vous copiez des informations relatives au domaine partir de fichiers de
sauvegarde restaurs, vous devez pralablement sauvegarder les donnes sur ltat du
systme dun contrleur de domaine excutant Windows Server 2003 partir du domaine
dans lequel ce serveur membre va devenir un contrleur de domaine supplmentaire.
Ensuite, vous devez restaurer la sauvegarde de ltat du systme sur le serveur sur lequel
vous installer Active Directory.
Pour installer un contrleur de domaine rpliqu :
1. Excuter dcpromo. Pour installer un contrleur de domaine supplmentaire partir
des fichiers de sauvegarde, excuter dcpromo avec loption /adv.
2. Sur la page Type de contrleur de domaine, cochez la case Contrleur de domaine
supplmentaire pour un domaine existant.
Sinon, si vous lancer lAssistant dinstallation de Active Directory avec loption /adv,
choisissez lune des options suivantes sur la page Copie des informations du
domaine en cours :
Via le rseau.
A partir des fichiers de restauration de cette sauvegarde, puis indiquez
lemplacement des fichiers de sauvegarde restaurs.
3. Sur la page I nformations didentification rseau, tapez le nom dutilisateur, le mot
de passe et le domaine utilisateur du compte dutilisateur que vous souhaitez utiliser
pour cette opration.
Le compte dutilisateur doit tre un membre du groupe Admins du domaine pour le
domaine cible.
4. Dans la page Contrleur de domaine supplmentaire, spcifiez le nom de domaine
pour lequel ce serveur deviendra un contrleur de domaine supplmentaire.

5. Dans la page Dossiers de la base de donnes et du journal, indiquez lemplacement
dans lequel vous souhaitez installez les dossiers de la base de donnes et du journal,
ou cliquez sur Parcourir pour choisir un emplacement.
6. Dans la page Volume partag, tapez lemplacement dans lequel vous souhaitez
installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir un emplacement.
7. Sur la page Mot de passe administrateur de restauration des services dannuaire,
tapez et confirmez le mot de passe du mode restauration des services dannuaire, puis
cliquez sur Suivant.
8. Passer en revue la page Rsum, puis cliquez sur Suivant pour commencer
linstallation.
9. Lorsque le systme vous y invite, redmarrer lordinateur.

f) Comment renommer un contrleur de domaine.
Dans Windows Server 2003, vous avez la possibilit de renommer un contrleur de
domaine aprs lavoir install. Pour ce faire, vous devez disposer des droits
Administrateurs du domaine. Lorsque vous renommez un contrleur de domaine, vous
devez ajouter le nouveau nom du contrleur de domaine et supprimer lancien des bases
de donnes DNS et Active Directory. Vous pouvez renommer un contrleur de domaine
uniquement si le niveau fonctionnel du domaine est dfini sur Windows Server 2003.

Procdure
Pour renommer un contrleur de domaine
1. Dans le panneau de configuration, double cliquez sur licne Systme.
2. Dans la bote de dialogue Proprits Systme, sous longlet Nom de lordinateur,
cliquez sur Modifier.
3. Lorsque vous y tes invit, confirmez que vous souhaitez renommer le contrleur de
domaine.
4. Entrez le nom complet de lordinateur (notamment le suffixe DNS principal), puis
cliquez sur OK.

Lorsque vous renommez un contrleur de domaine, vous pouvez modifier son suffixe
DNS principal. Toutefois, cette modification ne permet pas de dplacer le contrleur de
domaine vers un nouveau domaine Active Directory. Pour dplacer un contrleur de
domaine vers un autre domaine, vous devez pralablement rtrograder le contrleur de
domaine, puis le promouvoir au titre de contrleur de domaine dans le nouveau domaine.

g) Comment supprimer un contrleur de domaine Active Directory
Vous avez la possibilit de supprimer un contrleur de domaine qui nest plus
ncessaire ou qui a t endommag par une catastrophe naturelle. Sil sagit du dernier
contrleur de domaine, le domaine sera supprim de la fort. Si ce domaine est le
dernier de la fort, le retrait du contrleur de domaine va supprimer la fort.

Procdure de suppression dun contrleur de domaine qui est en ligne
1. Ouvrez lAssistant de Active Directory
2. Dans la page Supprimer Active Directory, sil sagit du dernier contrleur de
domaine, cochez la case Ce serveur est le dernier contrleur du domaine, puis
cliquez sur suivant.
3. Dans la page Mot de passe administrateur, tapez le nouveau mot de passe
administrateur dans les botes de dialogue Nouveau mot de passe administrateur et
Confirmer mot de passe, puis cliquez sur Suivant.
4. Dans la page Rsum, passez en revue le rsum, puis cliquez sur Suivant.

Procdure de suppression dun contrleur de domaine endommag
Pour supprimer un contrleur de domaine endommag et qui ne peut pas tre
dmarr partir dActive Directory, redmarrez le contrleur de domaine en mode
restauration Active Directory, puis excutez la commande ntdsutil laide de loption
de nettoyage des mtadonnes. Pour ce faire, procdez comme suit :
1. A linvite, tapez la commande suivante et appuyez sur ENTREE
Ntdsutil.exe : metadata cleanup

2. A linvite Metadata cleanup, tapez la commande suivante et appuyez sur ENTREE
Metadata cleanup : connections

3. A linvite Server connexion, tapez la squence de commande suivante pour vous
connecter au contrleur de domaine du domaine qui contient le contrleur de domaine
endommag :
Server connections : connect to serveur Nom_Seveur FQDN
Server connections : quit

4. A linvite Metadata cleanup, slectionnez la cible des oprations en entrant la
commande suivante :
Metadata cleanup : select operation target

5. A linvite Select operation target, tapez la squence de commande suivante afin
didentifier et de slectionner le contrleur de domaine endommag :
Select operation target : list sites
Select operation target : select site numero
Select operation target : list servers in site
Select operation target : select server numero
Select operation target : quit


6. A linvite Metadata cleanup, tapez la commande suivante pour supprimer le contrleur
de domaine endommag dActive Directory :
Metadata cleanup : remove selected server
Metadata cleanup : quit


h) Comment vrifier linstallation dActive Directory

Vrification de la cration de la structure de dossiers SYSVOL et de ses dossiers
partags
Vous devez vrifier que la structure de dossiers SYSVOL et que ses dossiers
partags ncessaires ont t crs. Si le dossier SYSVOL na pas t cr
correctement, les donnes du dossier SYSVOL ne seront pas rpliques entre les
contrleurs de domaine.
Pour vrifier que la structure de dossiers a t cre, excutez la procdure suivante :
Cliquez sur dmarrer, puis sur Excuter, tapez %systemroot%\sysvol et
cliquez sur OK
Lexplorateur Windows affiche le contenu du dossier SYSVOL, qui doit contenir
les sous dossiers domain, staging, staging areas et sysvol.
Pour vrifier que les dossiers partags ncessaires ont t crs, excutez la
procdure suivante :
A linvite de commande, tapez net share et appuyer sur ENTREE.
La liste suivante des dossiers partags doit safficher sur lordinateur.
Nom de
partage
Enregistrements Remarque
NETLOGON %systemroot%\SYSVOL\sysvol\domaine\SCRIPTS Partage de serveur
daccs
SYSVOL %systemroot%\SYSVOL\sysvol Partage de serveur
daccs

Vrification de la cration de la base de donnes et des fichiers journaux dActive
Directory
Pour vrifier que la base donnes et les fichiers journaux dActive Directory
ont t crs, excutez la procdure suivante :
Cliquez sur Dmarrer, sur Excuter, tapez %systremroot%\ntds et cliquez
sur OK
Lexplorateur Windows affiche le contenu du dossier Ntds, sui doit comporter
les fichiers suivants :
Ntds.dit. Il sagit du fichier de la base de donnes de lannuaire.
Edb.*. Il sagit des fichiers journaux des transactions et de points de
vrification.
Res*.log. Il sagit des fichiers journaux rservs.

Vrification de la cration de la structure Active Directory par dfaut
Lors de linstallation dActive directory sur le premier contrleur de domaine
dun nouveau domaine, plusieurs objets par dfaut sont crs. Ces objets peuvent
tre des conteneurs, des utilisateurs, des ordinateurs, des groupes et des units
dorganisation.
Affichez ces objets par dfaut laide du composant logiciels enfichable
Utilisateurs et ordinateurs Active Directory. Le tableau suivant prsente lobjectif
de certains de ces objets par dfaut :
Objet Description
Builtin Dtient les groupes de scurit intgrs par dfaut
Computers Emplacement par dfaut des comptes dordinateurs
Domain COntrollers Unit dorganisation et emplacements par dfaut des comptes
dordinateurs du contrleur de domaine
ForeignSecurityPrincipals Dtient les identificateurs de scurit (SID, Security Identifier)
des domaines externes approuvs
Users Emplacement par dfaut des comptes dutilisateurs et de groupes.
LostAndFound Conteneur par dfaut des objets orphelins
NTDS Quotas Enregistre les spcifications relatives au quota. Les objets Quota
dterminent le nombre dobjets dannuaire quune entit de
scurit peut dtenir dans Active Directory.
Program Data Emplacement de stockage par dfaut des donnes dapplications
System Enregistre les paramtres systme intgrs.

Analyse des journaux dvnements pour voir les erreurs
Aprs avoir install Active Directory, jetez un il dans les journaux des
vnements pour prendre connaissance des ventuelles erreurs qui se sont
produites lors du processus dinstallation. Les messages derreur gnrs lors de
linstallation sont enregistrs dans les journaux systme, services dannuaire,
Serveur DNS et Service de rplication de fichier.

i) Comment rsoudre les problmes lis linstallation dActive Directory
Problmes courants lis linstallation
Le tableau suivant dcrit certains problmes courants que vous tes susceptible
de rencontrer lors de linstallation dActive Directory, ainsi que les stratgies
permettant de les rsoudre.
Problme Solution
Accs refus lors de
linstallation ou de
lajout de contrleurs
de domaine
Fermez la session, puis ouvrez-l de nouveau laide dun compte
appartenant au groupe Administrateurs local.
Fournissez les informations didentification dun compte
dutilisateur membre des groupe Admins du domaine et
Administrateurs de lentreprise.
Les noms de domaine
DNS ou NetBIOS ne
sont pas uniques
Modifiez le nom de sorte quil soit unique.
Le domaine ne peut
pas tre contact
Assurez-vous que la connexion rseau est effective entre e serveur
que vous souhaitez promouvoir au titre de contrleur de domaine et
au moins lun des contrleurs de domaine du domaine. Utilisez la
commande ping partir de linvite de commande pour tester la
connexion avec le contrleur de domaine du domaine.
Vrifiez que le systme DNS fournit une rsolution de noms au
moins un contrleur en vous connectant un contrleur de domaine
laide de son nom DNS. Pour ce faire, invite de commande,
tapez le nom de domaine pleinement qualifi (FQDN, Fully
Qualified Domain Name) du contrleur de domaine. Si le systme
DNS est configur correctement, vous pourrez vous connecter au
contrleur de domaine.
Vous pouvez galement vous assurer que le systme DNS a t
configur correctement en vrifiant les enregistrements A que les
contrleurs de domaine enregistrent dans la base de donnes DNS.
Espace disque
insuffisant
Augmentez la taille de la partition ou installez la base de donnes et
les fichiers journaux Active Directory Sur des partitions distinctes.


3.
Analyse du systme DNS intgr Active Directory

a) Introduction.

Windows Server 2003 exige quune infrastructure DNS soit en place avant dinstaller
Active Directory. Il est important de comprendre comment DNS et Active Directory sont
intgrs et comment les ordinateurs clients utilisent le systme DNS lors de louverture de
session afin de rsoudre les problmes lis au systme DNS.
Ce chapitre dcrit le format des enregistrements de ressources SRV (enregistrements
DNS que les contrleurs de domaine enregistrent) et explique comment Active Directory
utilise ces enregistrements pour rechercher les fournisseurs de ressources.

b) Espaces de noms DNS et Active Directory

Les domaines DNS et Active Directory utilisent des noms de domaine identiques pour
diffrents espaces de noms. En utilisant des noms de domaines identiques, les ordinateurs
dun rseau Windows Server 2003 peuvent utiliser le systme DNS pour rechercher des
contrleurs de domaine et dautres ordinateurs qui fournissent des services Active
Directory.

Relations entre lespace de noms DNS et lespace de noms Active Directory
Les domaines et les ordinateurs sont reprsents par des enregistrements de ressources
dans lespace de noms DNS et par des objets Active Directory dans lespace de noms
Active Directory.
Le nom dhte DNS dun ordinateur est identique celui du compte dordinateur
stock dans Active Directory. Le nom de domaine DNS (galement appel suffixe DNS
principal) et le domaine Active Directory auquel appartient lordinateur ont le mme nom.

I ntgration du systme DNS et dActive Directory
Lintgration du systme DNS et dActive Directory est essentielle car un ordinateur
client dun rseau Windows Server 2003 doit pouvoir rechercher un contrleur de
domaine de sorte que les utilisateurs, puissent ouvrir une session sur un domaine ou
utiliser les services proposs par Active Directory. Les clients recherchent les contrleurs
de domaine et les services grce aux enregistrements de ressources A et aux
enregistrements SRV. Lenregistrement de ressources A contient le nom FQDN et adresse
IP du contrleur de domaine. Lenregistrement SRV contient le nom FQDN du contrleur
de domaine et le nom du service que fournit le contrleur de domaine.

c) Dfinition des zones intgres Active Directory.

Lintgration DNS et Active Directory offre la possibilit dintgrer des zones DNS
dans une base de donnes Active Directory. Une zone est une partie de lespace de noms
de domaine possdant un groupement logique denregistrements de ressources, qui permet
de transfrer des zones de ces enregistrements pour fonctionner en tant quunit unique.

Zones intgres Active Directory
Les serveurs DNS Microsoft stockent des informations utiliss pour rsoudre des
noms dhte en adresse IP, et inversement, dans un fichier de base de donnes suivi de
lextension .dns pour chaque zone.
Les zones intgres Active Directory sont des zones DNS principales et de stub
stockes en tant quobjets dans la base de donnes Active Directory. Vous pouvez stocker
des objets de zones dans une partition dapplication Active Directory ou dans une partition
de domaine Active Directory. Si les objets de zones sont stocks dans une partition
dapplication Active Directory, seuls les contrleurs de domaine qui souscrivent la
partition dapplication participent se rplication. Toutefois, si les objets de zone sont
stocks dans une partition de domaine, ils sont rpliqus sur tous les contrleurs de
domaine du domaine.

Avantages des zones intgres Active Directory
Les zones intgres Active Directory offrent les avantages suivants :
Rplication multimatre. Lorsque vous configurez les zones intgres
Active Directory, des mises jour dynamiques du systme sur le systme
DNS sont menes en fonction dun modle de mise jour multimatre.
Dans ce modle, les serveurs DNS qui font autorit sont conus en tant que
source principale pour la zone. Etant donn que la copie principale de la
zone est gre dans la base de donnes Active Directory, qui est
intgralement rplique sur tous les contrleurs de domaine, la zone peut
tre mise jour par les serveurs DNS fonctionnant sur un contrleur de
domaine pour le domaine.
Dans ce modle de mise jour multimatre dActive Directory, tout serveur
principal de la zone intgre dannuaire peut traiter des requtes mises par
les clients DNS pour mettre jour la zone, aussi longtemps quun
contrleur de domaine est disponible sur le rseau.

Mises jour dynamiques scurises. Etant donn que les zones DNS sont
des objets Active Directory des zones intgres Active Directory, vous
pouvez dfinir des autorisations daccs aux renseignements au sein de ces
zones afin de contrler les ordinateurs qui peuvent mettre jour leurs
enregistrements. De cette manire, les mises jour qui utilisent le protocole
de mise jour dynamique ne peuvent provenir que des ordinateurs
autoriss.

Transferts de zone standard vers dautres serveurs DNS. Effectue des
transferts de zone standard vers des serveurs DNS qui ne sont pas
configurs en tant que contrleur de domaine. Cela permet galement
deffectuer des transferts de zone standard vers des serveurs DNS qui se
trouvent dans dautres domaines. Il sagit de la mthode requise pour
rpliquer des zones vers des serveurs DNS dans dautres domaines.
d) Dfinition des enregistrements de ressources SRV.

Pour quActive Directory fonctionne correctement, les ordinateurs clients doivent tre
en mesure de localiser les serveurs qui fournissent des services spcifiques tels que
lauthentification des demandes douverture de session et la recherche dinformations
dans Active Directory. Active Directory stocke les informations relatives lemplacement
des ordinateurs qui fournissent ces services dans des enregistrements DNS connus sous le
nom denregistrements de ressources SRV.

Finalit des enregistrements SRV.
Les enregistrements de ressources SRV tablissent un lien entre un service et le nom
dordinateur qui offre le service et le nom dordinateur DNS de lordinateur qui offre le
service. Un enregistrement SRV peut contenir des informations permettant aux clients de
localiser un contrleur de domaine dans un domaine ou une fort spcifique.
Lorsquun contrleur de domaine dmarre, il enregistre les enregistrements SRV et un
enregistrement de ressources A, qui contiennent son nom dordinateur DNS et son adresse
IP. Un ordinateur client DNS utilise ultrieurement ces informations combines afin de
localiser le service requis sur le contrleur de domaine appropri.

Format des enregistrements SRV
Tout les enregistrements SRV utilisent un format standard compos de champs
contenant les informations quActive Directory utilise afin de mapper un service
lordinateur qui fournit le service. Les enregistrements SRV utilisent le format suivant :
_Service._Protocole.NomTtl Classe SRV Priorit Poids Port Cible
Le tableau ci-dessous prsente chaque champ dun enregistrement SRV.
Champ Description
_Service Spcifie le nom du service, (LDAP [Lightweight Directory Access Protocol] ou
Kerberos, par exemple) fourni par le serveur qui enregistre cet enregistrement
SRV.
_Protocole Spcifie le type de protocole de transport, tel que TCP ou UDP (User Datagram
Protocol)
Nom Spcifie le nom du domaine auquel fait rfrence lenregistrement de ressources.
Ttl Spcifie la dure de vie (TTL, Time To Live) en secondes. Cest un champ
standard des enregistrements de ressources DNS prcisant la dure pendant
laquelle lenregistrement est considr valide.
Classe Spcifie la valeur de la classe de lenregistrement de ressources DNS, qui est
presque toujours IN pour le systme internet. Il sagit de la seule classe prise
en charge par le systme DNS de Windows Server 2003.
Priorit Spcifie la priorit du serveur. Les clients tentent de contacter lhte dont la
priorit est la plus faible.
Poids Indique un mcanisme dquilibre de charge que les clients utilisent lors de la
slection dun hte cible. Lorsque le champ de priorit est identique pour deux
ou trois enregistrements dun mme domaine, les clients choisissent de manire
alatoire des enregistrements SRV dont le poids est suprieur.
Port Spcifie le port sur lequel le serveur coute ce service.
Cible Spcifie le nom FQDN, galement appel nom de domaine complet, de
lordinateur qui fournit le service.

Exemple
Lexemple suivant illustre un enregistrement SRV dun ordinateur :
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 London.contoso.msft

Lenregistrement SRV indique que lordinateur possde les services ou les
caractristiques suivantes :
Fournit le service LDAP
Fournit le service LDAP grce au protocole de transport TCP
Enregistre lenregistrement SRV dans le domaine DNS contoso.msft
Dispose dune dure de vie de 600 secondes ou de 10 minutes.
Possde un nom FQDN de london.contoso.msft.

e) Enregistrements SRV enregistrs par les contrleurs de domaine.

Les enregistrements de ressources SRV sont enregistrs parles ordinateurs qui
fournissent un service Active Directory. Dans Windows Server 2003, les contrleurs de
domaine et les serveurs de catalogue global enregistrent les services avec le systme DNS.

Comment les services sont enregistrs avec le systme DNS
Lorsquun contrleur de domaine dmarrer, le service Ouverture de session rseau
install sur le contrleur de domaine utilise les mises jour dynamiques pour enregistrer
les enregistrements de ressources SRV dans la base de donnes DNS. Les enregistrements
de ressources SRV mappent le nom de service que le contrleur de domaine fournit sur le
nom dordinateur DNS de ce contrleur de domaine.

Services enregistrs avec le systme DNS
Pour permettre un ordinateur de localiser un contrleur de domaine, les contrleurs
de domaine excutant Windows Server 2003 enregistrent les enregistrements de ressource
SRV en utilisant le format suivant :
_Service._protocole.DcType._msdcs.Nom_domaine_Dns ouNom_Fort_Dns
Le composant _msdcs indique un sous-domaine dans lespace de noms DNS
spcifique Microsoft, qui permet aux ordinateurs de localiser les contrleurs de domaine
ayant des fonctions dans le domaine ou la fort de Windows Server 2003.
Les valeurs possibles pour le composant DCType, qui est un prfixe du sous-
domaine_msdcs, spcifient les types de rles du serveur suivants :

dc pour le contrleur de domaine
gc pour le serveur de catalogue global

La prsence du sous-domaine _msdcs signifie que les contrleurs de domaine
excutant Windows Server 2003 enregistrent galement les enregistrements de ressources
SRV suivants :
_ldap._tcp.dc._msdcs.Nom_Domaine_DNS
_ldap._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_Dns
_ldap._tcp.gc._msdcs.Nom_Fort_DNS
_ldap._tcp.Nom_Site._sites.gc._msdcs.Nom_Fort_Dns
_kerberos._tcp.dc._msdcs.Nom_Domaine_Dns
_kerberos._tcp.Nom_Site._site.dc._msdcs.Nom_Domaine_Dns

Le tableau suivant rpertorie certains enregistrements de ressources SRV enregistrs
par les contrleurs de domaine et dfinit les critres de recherche pris en charge par
chaque enregistrement.

Enregistrement SRV Permet un ordinateur de
rechercher
_ldap._tcp.dc._msdcs.Nom_Domaine_DNS Un serveur LDAP dans le domaine
spcifi par Nom_Domaine_Dns
Tous les contrleurs de domaine
enregistrent cet enregistrement
_ldap._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_Dn
s
Un contrleur de domaine spcifi par
Nom_Domaine_Dns et dans le site
appel Nom_Site.
Nom_Site est le nom unique relatif de
lobjet Site qui est enregistr dans
Active Directory.
Tous les contrleurs de domaine
enregistrent cet enregistrement.
_ldap._tcp.gc._msdcs.Nom_Fort_DNS Un serveur de catalogue global dans la
fort appele par Nom_Fort_Dns.
Nom_Fort_Dns est le nom de domaine
du domaine racine de la fort.
Seuls les contrleurs de domaine
configurs en tant que serveur de
catalogue global enregistrent cet
enregistrement.
_ldap._tcp.Nom_Site._sites.gc._msdcs.Nom_Fort_Dns Un serveur de catalogue global de la
fort appele Nom_fort_Dns et dans le
site spcifi par Nom_Site.
Seuls les contrleurs de domaine
configurs en tant que serveurs de
catalogue global enregistre cet
enregistrement.
_kerberos._tcp.dc._msdcs.Nom_Domaine_Dns Un serveur KDC (Key Distribution
Center) pour le domaine spcifi par
Nom_Domaine_Dns.
Tous les contrleurs de domaine
excutant le protocole dauthentification
Kerberos version 5 procdent cet
enregistrement.
_kerberos._tcp.Nom_Site._site.dc._msdcs.Nom_Domaine
_Dns
Un serveur KDC pour le domaine
spcifi par Nom_Domaine_Dns dans le
site spcifi par Nom_Site.
Tous les contrleurs de domaine
excutant le protocole Kerberos version
5 procdent cet enregistrement.


f) Comment analyser les enregistrements enregistrs par un contrleur de domaine.

Vous pouvez utiliser la console DNS ou lutilitaire Nslookup pour afficher les
enregistrements de ressources SRV que les contrleurs de domaine enregistrent.

Procdure daffichage des enregistrements SRV grce la console DNS
Pour afficher les enregistrements de ressources SRV enregistrs laide de la console
DNS, suivez la procdure suivante :
1. Ouvrez DNS partir du menu Outils dadministration.
2. Double cliquez sur Serveur (o serveur est le nom de votre DNS), sur zones de
recherche directes, puis sur domaine (o domaine est le nom de domaine).
3. Ouvrez les dossiers suivants dans le dossier domaine pour afficher les enregistrements
de ressources enregistrs :
_msdcs
_sites
_tcp
_udp

Procdure daffichage des enregistrements SRV grce Nslookup
Pour afficher les enregistrements de ressources SRV enregistrs laide de la
commande Nslookup, excuter la procdure suivante :
1. Ouvrez une fentre dinvite de commande, puis excutez lutilitaire Nslookup.
2. tapez, ls-t SRV domaine (o domaine est le nom de domaine) et appuyez sur
ENTREE.
Les enregistrements de ressources SRV enregistrs sont rpertoris.
Pour enregistrer les rsultats de cette liste dans un fichier, tapez ls t SRV domaine
>nom_fichier (o nom_fichier est le nom que vous attribuez au fichier).

g) Utilisation de DNS par les ordinateurs clients pour trouver un contrleur de domaine.

Processus dutilisation du systme DNS pour localiser un contrleur de domaine

La procdure ci-dessous explique comment un client utilise le systme DNS pour
localiser un contrleur de domaine :
1. Un service sur lordinateur client collecte les informations sur le client et le
service requis.
2. Le service client envoie les informations collectes un serveur DNS sous
forme de requte DNS.
3. Le serveur DNS renvoie une liste denregistrements SRV pour les
contrleurs de domaine qui fournissent le service requis dans le domaine et
le site spcifis.
4. Le service client parcourt les enregistrements SRV et en slectionne un en
fonction de la priorit et du poids affects dans lenregistrement SRV.
5. Le service client envoie une seconde requte DNS pour demander ladresse
IP du contrleur de domaine spcifique.
6. Le serveur DNS retourne lenregistrement hte pour ce contrleur de
domaine, qui contient ladresse IP du contrleur de domaine.
7. Le client utilise ladresse IP pour contacter le contrleur de domaine et
lancer une communication avec le service requis.
Si le client ne parvient pas contacter le contrleur de domaine, il
slectionne un autre enregistrement parmi les enregistrements SRV
retourns pour trouver en contrleur de domaine alternatif.
8. Le service client place ensuite en mmoire cache le nom du contrleur de
domaine et les informations relatives aux services quil offre. Les requtes
suivantes du client utilisent les informations places dans la mmoire cache.

4. Augmentation des niveaux fonctionnels de la fort et du domaine.

a) Introduction

Les fonctionnalits des forts et des domaines dterminent quelles sont les
fonctionnalits actives dActive Directory. Cette leon prsente ces fonctionnalits et
explique comment augmenter les fonctionnalits des forts ou des domaines.

b) Dfinition des fonctionnalits des forts et des domaines.

Sous Windows Server 2003, les fonctionnalits des forts et des domaines offrent un
moyen dactiver les fonctionnalits Active Directory tendue lchelle de la fort ou du
domaine dans votre environnement rseau. Selon votre environnement, diffrents niveaux
de fonctionnalit de fort et de fonctionnalit de fort et de fonctionnalit de domaine sont
disponibles.

Dfinition de la fonctionnalit de domaine.
La fonctionnalit de domaine active des fonctionnalits qui auront un impact sur le
domaine entier, et sur ce domaine uniquement. Quatre niveaux fonctionnels de domaine
sont disponibles :
Windows 2000 mixte. Il sagit du niveau fonctionnel par dfaut. Vous pouvez
augmenter le niveau fonctionnel du domaine vers Windows 2000 mode natif
ou Windows Server 2003. Les domaines en mode mixte peuvent contenir des
contrleurs secondaires de domaine Windows NT 4.0 mais ne peuvent pas
utiliser les fonctionnalits de groupes de scurit universels, dimbrication de
groupes ni dhistorique SID (Security Identifier).
Windows 2000 natif. Vous pouvez utiliser ce niveau fonctionnel si le domaine
contient uniquement des contrleurs de domaine Windows 2000 et Windows
Server 2003. Bien que les contrleurs de domaine excutant Windows 2000
Server ne connaissent pas la fonctionnalit de domaine, les fonctionnalits
Active Directory (groupes de scurit universels, imbrication des groupes et
dhistorique SID, par exemple) sont disponibles.
Windows Serveur 2003. Il sagit du niveau fonctionnel le plus lev pour un
domaine. Vous pouvez lutiliser uniquement si tous les contrleurs de domaine
du domaine excutent Windows Server 2003. Toutes les fonctionnalits Active
Directory pour le domaine sont disponibles.
Windows 2003 version prliminaire. Il sagit dun niveau fonctionnel
particulier qui prend en charge les contrleurs de domaine Windows NT 4.0 et
Windows 2003 Server.

Dfinition de la fonctionnalit de fort.
La fonctionnalit de fort active les fonctionnalits travers tous les domaines de
votre fort. Deux niveaux fonctionnels de fort sont disponibles :
Windows 2000 et Windows Server 2003. Par dfaut, les forts oprent au niveau
fonctionnel Windows 2000. Vous pouvez lever le niveau fonctionnel de la fort vers
Windows Server 2003 afin dactiver des fonctionnalits qui ne sont pas disponibles au niveau
fonctionnel Windows 2000, notamment :
Les approbations de fort
Une rplication accrue

c) Conditions requises pour activer la nouvelle fonctionnalit de Windows Server 2003.

Outre les fonctionnalits de base dActive Directory sur les contrleurs de domaine
individuels, de nouvelles fonctionnalits Active Directory tendues la fort et au
domaine sont disponibles lorsque certaines conditions sont satisfaites.

Conditions requises pour activer de nouvelles fonctionnalits tendues au
domaine.
Pour activer les nouvelles fonctionnalits tendues au domaine, tous les contrleurs de
domaine du domaine doivent excuter Windows Server 2003, et le niveau fonctionnel du
domaine doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre
administrateur de domaine.

Conditions requises pour activer de nouvelles fonctionnalits tendues la fort.
Pour activer les nouvelles fonctionnalits tendues la fort, tous les contrleurs de
domaine de la fort doivent excuter Windows Server 2003, et le niveau fonctionnel de la
fort doit tre lev au niveau Windows Server 2003. Pour ce faire vous devez tre
administrateur de lentreprise.

d) Comment augmenter le niveau fonctionnel.

En augmentant les fonctionnalits de la fort et du domaine vers Windows Server
2003, vous activez certaines fonctionnalits qui ne sont pas disponibles dautres niveaux
fonctionnels. Vous pouvez augmenter les fonctionnalits de la fort ou du domaine en
utilisant Domaines et approbations Active Directory.

Procdure daugmentation du niveau fonctionnel du domaine
Pour augmenter le niveau fonctionnel du domaine, procdez comme suit :

1. Ouvrez Domaines et approbations Active Directory.
2. Dans larborescence de la console, cliquez avec le bouton droit sur le nud du
domaine dont vous souhaitez augmenter le niveau fonctionnel, puis cliquez sur
Augmenter le niveau fonctionnel du domaine.
3. Dans la boite de dialogue Slectionner un niveau fonctionnel du domaine
disponible, slectionnez le niveau fonctionnel, puis cliquez sur Augmenter.

Procdure daugmentation du niveau fonctionnel de la fort
Pour augmenter le niveau fonctionnel de la fort, procdez comme suit :

1. Dans Domaines et approbations Active Directory, dans larborescence de la
console, cliquez avec le bouton droit sur Domaine et approbations Active
Directory, puis cliquez sur Augmenter le niveau fonctionnel de la fort.
2. Dans la boite de dialogue Slectionner un niveau fonctionnel de la fort
disponible, slectionnez Windows Server 2003, puis cliquez sur Augmenter.

Rmq : Vous devez augmenter le niveau fonctionnel de tous les domaines dune fort
vers Windows 2000 natif ou suprieur avant de pouvoir augmenter celui de la fort.

5. Cration de relations dapprobation

Active Directory propose une scurit travers plusieurs domaines et forts en
utilisant des approbations de domaine et de fort. Ce chapitre explique les types
dapprobations, leur fonctionnement et la mthode de cration, de vrification et
dannulation des relations dapprobation.

a) Types dapprobations.

Les approbations sont des mcanismes qui permettent un utilisateur authentifi dans
son propre domaine daccder aux ressources de tous les domaines approuvs. Dans
Windows Server 2003, il existe deux types dapprobations : transitives ou non transitives.

Approbations transitives/non transitives.
Dans une approbation transitive, la relation dapprobation tendue un domaine est
automatiquement tendue tous les autres domaines qui approuvent ce domaine. Par
exemple, le domaine D approuve le domaine E, qui approuve directement le domaine F.
Etant donn que les deux approbations sont transitives, le domaine D approuve
indirectement le domaine F et inversement.
Les approbations transitives sont automatiques. Une approbation parent/enfant est un bon
exemple dapprobation. Les approbations non transitives ne sont pas automatiques et
peuvent tre configures. Par exemple, une approbation non transitive peut tre externe,
comme lapprobation entre deux domaines de deux forts distinctes.

Direction de lapprobation.
Dans Windows Server 2003, il existe trois directions dapprobation :
Unidirectionnel entrant, unidirectionnel sortant et bidirectionnelle. Si, dans un domaine B,
vous avez configur un approbation unidirectionnelle entrante entre le domaine B et le
domaine Q, les utilisateurs du domaine B peuvent tre authentifis dans le domaine Q. Si
vous avez configur une approbation unidirectionnelle sortante entre le domaine B et le
domaine Q, les utilisateurs du domaine Q peuvent tre authentifis dans le domaine B.
Dans une approbation bidirectionnelle, les deux domaines peuvent authentifier les
utilisateurs de lautre domaine.

Types dapprobations
Windows Server 2003 prend en charge les types dapprobations suivants, dans les
catgories transitives et non transitives.

Type Transitivit A utiliser si vous souhaitez
Raccourcie Partiellement
transitive
Rduire les sauts de lauthentification Kerberos
Fort Partiellement
transitive
Activer lauthentification entre les forts
Externe Non transitive Configurer une relation dapprobation entre un
domaine dune fort et un domaine dune autre fort
Domaine Transitive ou non
transitive, au choix de
lutilisateur
Approuver un domaine Kerberos externe.

Le type dapprobation domaine ( realm , en anglais) reprsente un ensemble de
principes de scurit dans un environnement non-Windows faisant lobjet dune
authentification Kerberos.
Les approbations raccourcies sont partiellement transitives car la transitivit de
lapprobation est uniquement tendue vers le bas de la hirarchie partir du domaine
approuv, et non vers le haut de la hirarchie. Par exemple, sil existe une approbation
raccourcie entre le domaine E et le domaine A, Active Directory tend lapprobation vers
le domaine enfant (le domaine C), mais pas vers le haut de la hirarchie vers le domaine
racine de la fort. Les utilisateurs du domaine E ne peuvent accder quaux ressources du
domaine racine de la fort par lintermdiaire de lapprobation parent/enfant avec le
domaine D et de lapprobation arborescence/racine que le domaine D entretient avec le
domaine racine de la fort.
Les approbations de fort ne sont galement que partiellement transitives car elles
peuvent uniquement tre cres entre deux forts et ne peuvent pas tre implicitement
tendues une troisime fort. Par exemple, si la fort 1 approuve la fort 2, et quel a
fort 2 approuve la fort 3, les domaine des forts 1 et 2 approuvent respectivement de
manire transitive les domaines des forts 2 et 3. Toutefois, la fort 1 napprouve pas de
manire transitive la fort 3.

b) Dfinition des objets du domaine approuv.

Lorsque vous configurez des approbations entre domaine de la mme fort, entre des
forts ou avec un domaine externe, les informations relatives ces approbations sont
stockes dans Active Directory de sorte quelles, puissent tre extraites au moment voulu.

Objets du domaine approuv
Chaque relation dapprobation dun domaine est reprsente par un objet connu sous
le nom dobjet Domaine approuv (TDO, Trusted Domain Object). Le TDO stocke des
informations relatives lapprobation, comme sa transitivit ou son type. A chaque
cration dune approbation, un TDO est cr et stock dans le conteneur System du
domaine de lapprobation.
Les TDO dapprobation de fort stockent des informations supplmentaires permettant
didentifier la totalit des espaces de noms approuvs partir de la fort de son partenaire.
Lorsque vous crez une approbation de fort, chaque fort rassemble tous les espaces de
noms approuvs dans la fort de son partenaire et stocke les informations dun TDO. Ces
informations contiennent :
Les noms darborescence de domaine ;
Les suffixes du nom principal du service (SPN, Service, Principal Name) ;
Les espaces de noms de lidentificateur de scurit (SID) ;
Les SPN sont des structures permettant didentifier lordinateur sur lequel est excut
un service.
Lorsquun poste de travail demande un service qui est introuvable dans le
domaine ou dans la fort dont il est membre, les TDO recherchent le service
dans toutes les forts approuves.

c) Comment fonctionnent les approbations dans une fort.
Les approbations permettent aux utilisateurs dun domaine daccder aux ressources
dun autre domaine. Les relations dapprobation peuvent tre transitives ou non
transitives.

Comment les approbations permettent aux utilisateurs daccder aux ressources
dune fort.
Lorsquun utilisateur tente daccder une ressource dun autre domaine, le protocole
dauthentification Kerberos version 5 doit dterminer si le domaine approuver (cest--
dire le domaine qui contient la ressource laquelle tente daccder lutilisateur) possde
une relation dapprobation avec le domaine approuv (cest--dire le domaine dans lequel
lutilisateur tente douvrir une session).
Pour dterminer cette relation, le protocole Kerberos version 5 suit le chemin
dapprobation en utilisant le TDO afin dobtenir une rfrence au contrleur de domaine
du domaine cible. Le contrleur de domaine cible met un ticket de service pour le service
demand. Le chemin dapprobation est le chemin daccs le plus court dans la hirarchie
dapprobation.
Lorsquun utilisateur du domaine approuv tente daccder aux ressources dun autre
domaine, son ordinateur contacte dabord le contrleur de domaine de son domaine afin
dobtenir lauthentification pour la ressource. Si la ressource ne se trouve pas dans le
domaine de lutilisateur, le contrleur de domaine utilise la relation dapprobation avec
son parent et renvoie lordinateur de lutilisateur vers un contrleur de domaine de son
domaine parent.
Cette tentative de localisation de la ressources se poursuit jusquau sommet de la
hirarchie, si possible vers le domaine racine de la fort, et vers le bas de la hirarchie tant
quun contact net pas tablit avec un contrleur de domaine du domaine dans lequel se
trouve la ressource.

d) Comment fonctionnent les approbations entre les forts.

Windows Server 2003 prend en charge les approbations entre forts, qui permettent
aux utilisateurs daccder aux ressources dune autre fort. Lorsquun utilisateur tente
daccder aux ressources dune fort approuve, Active Directory doit pralablement
rechercher les ressources. Une fois que les ressources ont t localises, lutilisateur peut
tre authentifi et autoris accder aux ressources. Si vous comprenez bien le
fonctionnement de ce processus, vous serez mme de rsoudre les problmes
susceptibles de survenir avec les approbations entre les forts.

Comment seffectue laccs une ressource
Ci-dessous un description de la manire dont un ordinateur client Windows 2000
Professional ou Windows Xp Professional recherche et accde au ressources dune autre
fort dot de serveurs Windows 2000 Server ou Windows Server 2003.
1. Un utilisateur qui a ouvert une session sur le domaine
vancouver.nwtraders.msft tente daccder un dossier partag de la fort
contoso.msft. Lordinateur de lutilisateur contacte le KDC dun contrleur
de domaine de vancouver.nwtraders.msft et demande un ticket de service
en utilisant le SPN de lordinateur sur lequel rsident les ressources. Un
SPN peut tre le nom DNS dun hte ou dun domaine, ou le nom unique
dun objet point de connexion de service.
2. Les ressources ne sont pas localises dans vancouver.nwtraders.msft, le
contrleur de domaine de vancouver.nwtraders.msft demande donc au
catalogue global de voir si elles se trouvent dans un autre domaine de la
fort.
Etant donn quun catalogue global ne contient que des informations
relatives sa propre fort, il ne trouve pas le SPN. Il recherche alors dans
sa base de donnes les informations relatives des approbations de fort
qui ont t tablies avec sa fort. Sil en trouve une, il compare les suffixes
de noms de rpertoris dans le TDO de lapprobation de fort par rapport
au suffixe du SPN cible. Sil trouve une correspondance, le catalogue
global fournit les informations de routage relatives la manire de localiser
les ressources au contrleur de domaine de vancouver.nwtraders.msft.
3. Le contrleur de domaine de vancouver.nwtraders.msft envoie une
rfrence son domaine parent, nwtraders.msft, lordinateur de
lutilisateur.
4. Lordinateur de lutilisateur contacte un contrleur de domaine de
mwtraders.msft pour obtenir une rfrence un contrleur de domaine du
domaine racine de la fort contoso.msft.
5. Grce la rfrence renvoye par le contrleur de domaine de
nwtraders.msft, lordinateur de lutilisateur contacte un contrleur de
domaine de la fort contoso.msft pour obtenir un ticket de service pour le
service demand.
6. Les ressources ne se trouvent pas dans le domaine racine de la fort
contoso.msft, le contrleur de domaine contacte donc son catalogue global
pour trouver le SPN. Le catalogue global trouve une correspondance pour
le SPN et lenvoie au contrleur de domaine.
7. Le contrleur de domaine envoie une rfrence seattle.contoso.msft
lordinateur de lutilisateur.
8. Lordinateur de lutilisateur contacte le KDC sur le contrleur de domaine
de seattle.contoso.msft et ngocie un ticket pour lutilisateur afin de
pouvoir accder aux ressources du domaine seattle.contoxo.msft.
9. Lordinateur de lutilisateur envoie le ticket de service lordinateur sur
lequel se trouvent les ressources partages, qui lit les informations
didentification de scurit et cre un jeton daccs permettant
lutilisateur daccder aux ressources.

e) Comment crer des approbations.

Vous pouvez utiliser Domaines et approbations Active Directory pour crer des
relations dapprobation entre des forts ou des domaines de la mme fort ; Vous pouvez
galement lutiliser pour crer des approbations raccourcies.

Avant de crer une relation de fort, vous devez crer une zone secondaire de
recherche inverse sur le serveur DNS dans chaque fort qui pointe vers le serveur DNS
dune autre fort. La cration de zones secondaires de recherche inverse garantit que le
contrleur de domaine de la fort dans laquelle vous crez une approbation de fort est
mme de localiser un contrleur de domaine de lautre fort et de dfinir une relation
dapprobation.

Procdure.
Pour crer un approbation, procdez comme suit :

1. Ouvrez Domaines et approbations Active Directory.

2. Dans larborescence de la console, suivez lune des tapes ci-dessous.

Pour crer une approbation de fort, cliquez avec le bouton droit sur
le nud de domaine du domaine racine de la fort, puis cliquez sur
Proprits.
Pour crer une approbation raccourcie, cliquez avec le bouton droit
sur le nud de domaine du domaine avec lequel vous souhaitez
tablir une approbation raccourcie, puis cliquez sur Proprits.
Pour crer une approbation externe, cliquez avec le bouton droit sur
le nud de domaine du domaine avec lequel vous souhaitez tablir
une approbation, puis cliquez sur Proprits.
Pour crer une approbation de domaine, cliquez avec le bouton droit
sur le nud de domaine du domaine que vous souhaitez administrer,
puis cliquez sur Proprits.

3. Dans longlet Approbation, cliquez sur Nouvelle approbation, puis sur
Suivant.
4. Dans la page daccueil de lassistant Nouvelle approbation, cliquez sur
suivant.
5. Sur la page Nom dapprobation, suivez lune des tapes ci-dessous.

Si vous crer une approbation de fort, tapez le nom DNS de la
deuxime fort, puis cliquez sur Suivant.
Si vous crer une approbation raccourcie, tapez le nom DNS du
domaine, tapez et confirmez le mot de passe dapprobation, puis
cliquez sur Suivant.
Si vous crer une approbation externe, tapez le nom DNS du
domaine, puis cliquez sur Suivant.
Si vous crer une approbation de domaine, tapez le nom DNS du
domaine cible, puis cliquez sur Suivant.

6. Sur la page Type dapprobation, suivez lune des tapes suivantes :

Si vous crer une approbation de fort, cliquez sur Approbation de
fort, puis sur Suivant.
Si vous crez une approbation raccourcie, passez ltape 7.
Si vous crez une approbation externe, cliquez sur Approbation
externe, puis sur Suivant.
Si vous crez une approbation de domaine, cliquez sur
Approbation de domaine, puis sur Suivant. Sur la page
Transitivit de lapprobation, suivez lune des tapes suivantes :
Pour crer une relation dapprobation avec le domaine et
le domaine Kerberos spcifi, cliquez sur Non transitif,
puis sur Suivant.
Pour crer une relation dapprobation avec le domaine et
le domaine Kerberos spcifi, cliquez sur Transitif, puis
sur Suivant.

7. Dans la page Direction de lapprobation, suivez lune des tapes ci-
dessous.
Pour crer une approbation bidirectionnelle, cliquez sur
bidirectionnel, puis suivez les instructions de lAssistant.
Pour crer un approbation unidirectionnelle entrante, cliquez sur
sens unique : en entre, puis suivez les instructions de
lAssistant.
Pour crer un approbation unidirectionnelle sortante, cliquez sur
sens unique : en sortie, puis suivez les instructions de
lAssistant.


f) Comment vrifier et rvoquer une approbation.

Lorsque vous crer des approbations non transitives, vous devez parfois vrifier et
rvoquer les chemins dapprobation que vous avez crs. Vous vrifier une approbation
afin de vous assurer quelle peut valider les demandes dauthentification provenant
dautres domaines. Vous rvoquez une approbation pour viter que le chemin
dauthentification ne soit utilis lors dune authentification. Vous pouvez utiliser
Domaines et approbations Active Directory ou la commande netdom pour vrifier et
rvoquer les chemins dapprobation.

Procdure de vrification des approbations.
Pour vrifier une approbation laide de Domaine et approbation Active Directory,
excutez la procdure suivante :

1. Dans Domaines et approbations Active Directory, dans larborescence de
la console, cliquez avec le bouton droit sur lun des domaines de
lapprobation que vous souhaitez vrifier, puis cliquez sur Proprits.
2. Dans longlet Approbations, sous Domaines approuvs par ce
domaine (approbations sortantes) ou Domaine qui approuvent ce
domaine (approbation entrantes), cliquez sur lapprobation que vous
souhaitez vrifier, puis sur Proprits.
3. Cliquez sur Valider, puis sur Non, ne pas valider lapprobation
entrante.
4. Reprenez les tapes 1 3 afin de vrifier lapprobation de lautre
domaine de la relation.

Pour vrifier une approbation laide de la commande netdom, conformez-vous
ltape ci-dessous :

A linvite, tapez la commande suivante et appuyer sur ENTREE.

NETDOM TRUST nom_domaine__approuver
/Domaine : nom_domaine_approuv /Verify

Procdure de rvocation des approbations.
Pour rvoquer une approbation laide de Domaines et approbations Active Directory,
excutez la procdure suivante :

1. Dans Domaine et approbations Active Directory, dans larborescence de
la console, cliquez avec le bouton droit sur lun des domaines de
lapprobation que vous souhaitez refuser, puis cliquez sur Proprits.
2. Dans longlet Approbations, sous Domaines approuvs par ce
domaine (approbations sortantes) ou Domaines qui approuvent ce
domaine (approbations entrantes), cliquez sur lapprobation que vous
souhaitez refuser, puis cliquez sur Supprimer.
3. Reprenez les tapes 1 et 2 afin de rvoquer lapprobation de lautre
domaine de la relation dapprobation.

Pour rvoquer une approbation laide de la commande netdom, conformez-vous
ltape ci-dessous :
A linvite, tapez la commande suivante et appuyer sur ENTREE.

NETDOM TRUST nom_domaine__approuver
/Domaien : nom_domaine_approuv /remove



Module 3 : Implmentation de la structure dune unit dorganisation.

1. Introduction.

Ce module explique comment crer et grer des units dorganisation, dlguer des
tches dadministration courantes et planifier limplmentation de la structure dune unit
dorganisation.

2. Cration et gestion dunits dorganisation.

a) Introduction

Cette leon prsente les outils de ligne de commande et les composants logiciels
enfichables MMC permettant la cration et la gestion dunits dorganisation. Elle
apporte galement les comptences requises pour crer, modifier et supprimer des
units dorganisation.

b) Prsentation de la gestion des units dorganisation.

Les units dorganisation sont les conteneurs du service dannuaire Active
Directory que vous utiliser pour placer des utilisateurs, des groupes, des ordinateurs et
dautres units dorganisation. Lutilisation dunits dorganisation vous permet de
crer des conteneurs dans un domaine reprsentant les structures hirarchique et
logique de votre organisation. Vous pouvez ensuite grer la configuration et
lutilisation de comptes et de ressources en fonction de votre modle dorganisation.

Cycle de vie dunits dorganisation.
Le cycle de vie des units dorganisation inclut quatre phases :

Planification. Vous planifiez au cours de cette phase la structure des units
dorganisation. Vous dterminez quelles units dorganisation vous allez
crer et comment vous en dlguerez le contrle administratif.
Dploiement. Vous crez au cours de cette phase la structure des units
dorganisation en fonction de leur plan.
Maintenance. Aprs avoir cr la structure des units dorganisation dans
Active Directory, vous pouvez renommer, dplacer ou modifier les units
cres en fonction des besoins permanents de lorganisation.
Suppression. Dans Active Directory, tous les objets, y compris les units
dorganisation, occupent de lespace dans le contrleur de domaine qui
hberge Active Directory. Lorsque des units dorganisation ne sont plus
requises, vous devez les supprimer.

c) Mthode de cration et de gestion des units dorganisation.

Microsoft Windows Server 2003 fournit plusieurs comosants logiciels enfichables
et outils de ligne de commande vous permettant de crer des units dorganisation et
de grer la configuration et lutilisation de comptes et de ressources dans le modle de
votre organisation. Vous pouvez galement utiliser lenvironnement dexcution de
scripts pour les plates-formes Microsoft Windows, afin de grer des units
dorganisation.

Mthodes de cration et de gestion des units dorganisation
La liste suivante dcrit quelques composants logiciels enfichables et outils de ligne
de commande vous permettant de crer et de grer des units dorganisation :

Utilisateurs et ordinateurs Active Directory. Ce composant logiciel
enfichable MMC permet de crer, modifier et supprimer des units
dorganisation. Utilisez ce composant logiciels enfichable lorsque vous
navez que quelques units dorganisation grer, ou lorsque vous
souhaitez grer des units de manire interactive.

Outils de service dannuaire. Cet ensemble doutils de ligne de commande
permet de grer des objets et deffectuer des requtes dinformations dans
active Directory. Les outils de ligne de commande incluent Dsadd, Dsmod
et Dsrm. Lutilisation de ces outils avec le paramtre ou vous permet
dajouter, de modifier et de supprimer des units dorganisation dans
Active Directory. Vous pouvez galement utiliser des scripts et des fichiers
de commandes avec ces outils pour grer des services dannuaire.

Ldifde (lightweight Directory Access Protocol Data Interchange Format
Directory Exchange). Cet outils de ligne de commande permet de crer des
units dorganisation et dautre objets Active Directory. Ldifde utilise un
fichier dentre contenant des informations sur les objets ajouter,
modifier ou supprimer. Ces informations sont stockes sous la forme dune
srie denregistrements, spars par une ligne vide dans un fichier dentre.

Environnement dexcution de scripts Windows. Vous pouvez crer des
units dorganisation laide dapplications Windows, ou laide de
scripts Windows avec les composants fournit par les interfaces ADSI
(Active Directory Service Interfaces). Lutilisation de scripts vous permet
de crer des units dorganisation dans le cadre dune configuration
dapplication, le cas chant.

d) Comment crer et grer des units dorganisation laide doutils de service
dannuaire.

Les outils de ligne de commande Dsadd, Dsmod et Dsrm du service dannuaire
vous permettent de crer et de grer des units dorganisation partir de linvite de
commande. Vous pouvez galement utiliser ces commandes dans des scripts et des
fichiers de commandes.

Procdure de cration dune unit dorganisation
Pour crer une unit dorganisation, excuter la commande Dsadd suivante
partir de linvite de commande :

Dsadd ou NU_Unit_Organisation desc Description d Domaine u
Nom_Utilisateur p Mot_de_passe

O :
NU_Unit_Organisation spcifie le nom unique de lunit dorganisation
que vous dsirez ajouter. Par exemple, pour ajouter lunit dorganisation
SupportTechnique au domaine nwtraders.msft, le nom unique serait
ou=supporttechnique,dc=nwtarders,dc=msft.
Description spcifie la description de lunit dorganisation que vous
dsirez ajouter.
Domaine spcifie le domaine auquel se connecter. Par dfaut, lordinateur
est connect au contrleur de domaine du domaine sur lequel il a ouvert
une session.
Nom_Utilisateur spcifie le nom permettant de se connecter un serveur
distant. Par dfaut, le nom de lutilisateur connect est utilis. Vous pouvez
spcifier un nom dutilisateur selon lun des formats suivants :

Nom dutilisateur (par exemple, Linda)
Domaine\nom dutilisateur (par exemple, widgets\Linda)
Nom dutilisateur principal (UPN, User Principal Name) (par
exemple, Linda@widgets.microsoft.com)

Mot_de_passe est le mot de passe utiliser pour ouvrir une session sur un
serveur distant.Si vous tapez *(astrisque), un mot de passe vous sera
demand.

Procdure de modification dune unit dorganisation
Pour modifier la description dune unit dorganisation, excutez la commande
suivante :
Dsmod ou NU_Unit_Organisation desc Description d Domaine u
Nom_Utilisateur p Mot_de_passe

Les paramtres qui sont transmis la commande dsmod sont les mmes que ceux
de la commande dsadd. La nouvelle description doit tre transmise comme
paramtre desc.
Procdure de suppression dune unit dorganisation
Vous devez suprimer dActive Directory les units dorganisation qui ne sont plus
utilises. Pour supprimer une unit dorganisation, excuter la commande suivante :

Dsrm ou NU_Unit_Organisation d Domaine u Nom_Utilisateur p
Mot_de_passe
Les paramtres qui sont transmis la commande dsrm sont les mmes que ceux
de la commande dsadd. Vous pouvez utiliser les paramtres supplmentaires suivants
avec dsrl :

Subtree. Spcifie de supprimer lobjet ainsi que tous les objet contenus
dans la sous-arborescence situe sous cet objet.
Exclude. Spcifie de ne pas supprimer lobjet de base fournit par
NU_Unit_Organisatio lorsque vous supprimer la sous-arborescence situe
au dessous. Par dfaut, seul lobjet de base spcifi est supprim. Le
paramtre Exclude ne peut tre spcifi quavec le paramtre subtree.

e) Comment crer et grer des units dorganisation laide de loutils Ldifde.

Loutil de ligne de commande Ldifde vous permet de crer des units dorganisation
en mode batch et de dfinir des hirarchies dunits dorganisation. Vous pouvez
galement utiliser Ldifde pour modifier et supprimer des units dorganisation.

Procdure
La premire tape excuter pour utiliser cet outil consiste crer le fichier dentre
(*.ldf) utiliser avec Ldifde. Aprs avoir crer ce fichier, vous excuterez la commande
Ldifde.

Procdez comme suit pour crer des units dorganisation laide de loutil de ligne de
commande Ldifde :

1. Crez un fichier dentre. Lexemple suivant montre le format du fichier :

dn : OU=ExempleOU,DC=nwtraders,DC=msft
changetype : add
objectClass : organizationalUnit

Changetype dtermine le type dopration effectue sur lobjet Active Directory.
ObjectClass spcifie la classe de lobjet Active Directory.

Dans lexemple prcdent, Ldifde ajoute un objet dunit dorganisation appel
ExempleOU au domaine nwtraders.msft. Vous pouvez ajouter plusieurs units
dorganisation en ajoutant dautres entres comme celle ci-dessus. Chaque entre
dn doit tre prcde dune ligne vide, sauf la premire.

2. Excutez Ldifde pour crer, modifier ou supprimer des units dorganisation en
entrant la commande suivante :

C:\>ldifde i k f OUList.ldf b Nom_Utilisateur Domaine Mot_de_passe

O :
-i spcifie le mode dimportation. Si celui-ci nest pas spcifi, le mode par
dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
dimportation et de poursuivre le traitement.
-f spcifie le nom du fichier dimportation ou dexportation.
OUList.ldf est le fichier dentre.
-b spcifie le nom dutilisateur, le nom de domaine et le mot de passe
associs au compte dutilisateur qui sera utilis pour excuter lopration
dimportation ou dexportation.
f) Comment crer des units dorganisation laide de lenvironnement dexcution
de scripts Windows.

ADSI est une interface de programmation dapplication (API, Application
Programming Interface) que vous utilisez partir de lenvironnement dexcution de
scripts Windows pour automatiser ladministration dActive Directory. ADSI utilise le
protocole LDAP (Lightweight Directory Access Protocol) pour communiquer avec
Active Directory. Toutes les oprations ADSI que vous effectuez sur Active Directory
respectent la mme procdure. Vous devez tout dabord vous connecter Active
Directory. Vous pouvez ensuite effectuer des tches, comme extraire des informations
concernant des objets, et ajouter, modifier ou supprimer des objets. Si vousq apportez
des modifications Active Directory, vous devez les enregistrer dans la base de
donnes Active Directory afin quelles soient conserves.

Procdure
Procdez comme suit pour crer une unit dorganisation laide de
lenvironnement dexcution de scripts Windows :

1. A laide du bloc-notes, crez un fichier texte portant lextension *.vbs. Insrez
dans ce fichier les commandes figurant ci-aprs sous les points a, b et c, puis
enregistrez le fichier.
a) Commencez par vous connecter au domaine dans lequel vous souhaitez
crer lunit dorganisation, comme indiqu dans lexemple suivant :

Set objDom =GetObject( LDAP://dc=nwtraders,dc=msft )

b) Crez ensuite lunit dorganisation en spcifiant OrganizationalUnit
comme type dobjet Active Directory crer et le nom de lunit
dorganisation, comme indiqu dans lexemple suivant :

Set objOU =objDom.Create
( OrganizationalUnit , ou=NouvelleOU )

Dans cet exemple, NouvelleOU est le nom de lunit dorganisation que
vous crez.

c) Pour terminer, enregistrez ces informations dans la base de donnes
Active Directory, comme indiqu dans lexemple suivant :

objOU.SetInfo

2. Pour excuter les commandes dans le fichier *.vbs, tapez le texte suivant
linvite de comande :

Wscript nom_fichier_script.vbs

3.
Dlgation du contrle administratif des units dorganisation.

a) Introduction.

Ce chapitre explique le rle de la dlgation de privilges administratifs, les tches
dadministration que vous pouvez dlguer, comment les dlguer et comment vrifier
que vous avez dlgu les privilges requis pour effectuer ces tches.

b) Quest-ce que la dlgation de privilges administratifs ?

La raison majeure motivant la cration dunit dorganisation est de distribuer les
tches dadministration dans toute lorganisation en dlguant le contrle administratif
diffrents administrateurs. La dlgation est particulirement importante lorsque vous
dveloppez un modle dadministration dcentralis.

Quest-ce que la dlgation de ladministration ?
La dlgation de ladministration est le processus de dcentralisation de la
responsabilit de la gestion dunits dorganisation dun administrateur central vers
dautres administrateurs. La capacit tablir laccs des units dorganisation
individuelles est une fonctionnalit de scurit importante dans Active Directory ; vous
pouvez contrler laccs jusquau niveau le plus bas dune organisation sans devoir crer
de nombreux domaines Active Directory.
Lautorit dlgue au niveau du site couvrira probablement plusieurs domaines ou,
linverse, peut ne pas inclure de cibles dans le domaine. Lautorit dlgue au niveau du
domaine affectera tous les objets qui sy trouvent. Lautorit dlgue au niveau de lunit
dorganisation peut affecter cet objet et tous ses objets enfants, ou uniquement lobjet lui-
mme.

Pourquoi dlguer ladministration ?
Vous dlguez le contrle administratif afin de permettre lautonomie administrative
des organisations au niveau des services et des donnes ou, au contraire, pour isoler les
services ou les donnes dans une organisation. Vous pouvez liminer le besoin de disposer
de plusieurs comptes administrateur ayant une autorit tendue, sur un domaine entier par
exemple, mais nanmoins utiliser le groupe prdfini Admins du domaine pour grer tout
le domaine.
Lautonomie correspond la possibilit quon les administarteurs dune organisation
de prendre en charge de manire indpendante :
Tout ou partie de la gestion des services (autonomie de la gestion des
services) ;
Tout ou partie de la gestion des donnes de la base de donnes Active
Directory ou des ordinateurs membres rattachs lannuaire (autonomie dela
gestion des donnes).

Lautonomie administrative :
Minimise le nombre dadministrateurs devant possder des droits daccs de
haut niveau ;
Limite limpact dune erreur administrative une zone dadministration plus
rduite.

Lisolation correspond la possibilit quont les administrateurs dune organisation
dempcher les autres administrateurs de :
Contrler ou dinterfrer avec la gestion des services (isolation de la gestion
des services) ;
Contrler ou visualiser un sous-ensemble de donnes dans lannuaire ou sur les
ordinateurs membres rattachs lannuaire (isolation de la gestion des
donnes).

Windows Server 2003 comporte des autorisations et des droits utilisateur spcifiques
qui vous permettent de dlguer le contrle administratif. En utilisant une combinaison
dunits dorganisation, de groupes et dautorisations, vous pouvez confrer des droits
dadministration un utilisateur particulier de telle sorte que celui-ci dispose dun niveau
appropri dadministration sur tout un domaine, sur toutes les units dorganisation dans
un domaine ou sur une seule unit dorganisation.

c) Tches dadministration pour units dorganisation.

Utilisez des units dorganisation pour regrouper des objets Active Directory par type
(par exemple, par utilisateurs, groupes et ordinateurs) afin de pouvoir les grer de manire
efficace.

Tches dadministration courantes.
Les administrateurs excutent rgulirement les tches suivantes dans Active
Directory :

Modification des proprits sur un conteneur particulier. Par exemple,
lorsquun nouvel ensemble de logiciels est disponible, les administrateurs
peuvent crer une stratgie de groupe qui contrle leur distribution.

Cration et suppression dobjets dun type particulier. Dans une unit
dorganisation, ces types spcifiques peuvent tre les utilisateurs, les
groupes et les imprimantes. Lorsquun nouvel employ rejoint
lorganisation, par exemple, vous crez un compte dutilisateur pour
lemploy, puis vous ajoutez cet employ dans lunit ou le groupe
dorganisation appropri.

Mise jour de proprits spcifiques sur des objets dun type donn dans
une unit dorganisation. Il se peut que la tche dadministration la plus
courante que vous effectuiez, concernant la mise jour de proprits, inclut
des tches comme la rinitialisation des mots de passe et la modification
des informations personnelles dun employ, telles que son adresse et son
numro de tlphone en cas de dmnagement, par exemple.
d) Comment dlguer le contrle administratif.

Vous pouvez utiliser lAssistant Dlgation de Contrle pour dlguer le contrle
administratif des objets Active Directory, comme les units dorganisation. Lutilisation
de lAssistant vous permet de dlguer des tches dadministration courantes, telles que la
cration, la suppression et la gestion des comptes dutilisateurs.

Procdure.
Excutez la procdure ci-dessous pour dlguer des tches dadministration courantes
pour une unit dorganisation.

1. Procdez comme suit pour dmarrer lAssistant Dlgation de contrle :
a. ouvrez la console Utilisateurs et ordinateurs Active Directory.
b. Dans larborescence de la console, double-cliquez sur le nud du domaine.
c. Dans le volet de dtails, cliquez avec le bouton droit sur lunit
dorganisation, cliquez ensuite sur Dlguer le contrle, puis sur Suivant.

2. Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez dlguer des
tches dadministration courantes. Pour ce faire, procdez comme suit :
a. Dans la page Utilisateurs ou groupes cliquez sur Ajouter.
b. Dans la boite de dialogue Slectionner des utilisateurs, des ordinateurs
ou des groupes, tapez les noms des utilisateurs et des groupes auxquels
vous souhaitez dlguer le contrle de lunit dorganisation, cliquez
ensuite sur OK, puis sur Suivant.

3. Affectez des tches courantes dlguer. Pour ce faire, procdez comme suit :
a. Dans la page Tches dlguer, cliquez sur Dlguer les tches
courantes suivantes.
b. Dans la page Tches dlguer, slectionner les tches que vous
souhaitez dlguer, puis cliquez sur Suivant.

4. Cliquez sur Terminer.

Lorsque vous dlguez le contrle de la cration dobjets dans Active Directory
un utilisateur ou un groupe, ces derniers peuvent crer un nombre dobjets illimit.
Dans Windows Server 2003, vous pouvez limiter le nombre dobjets quune entit de
scurit peut possder dans une partition dannuaire, en implmentant un quota pour
cette entit.


e) Comment personnaliser le contrle administratif dlgu.

Outre lutilisation de lAssistant Dlgation de contrle pour dlguer un ensemble
personnalis de tches dadministration, telles que le cration, la suppression et la gestion
des comptes dutilisateurs, vous pouvez utiliser lAssistant pour slectionner un ensemble
de tches personnalises et ne dlguer le contrle que de ces tches.
Vous pouvez, par exemple, dlguer le contrle de tous les objets existant dans une
unit dorganisation et de tous les objets qui ne sont ajouts. Mais vous pouvez galement
slectionner dans lunit dorganisation les objets dont vous souhaitez dlguer le contrle
administratif, par exemple les objets utilisateur dune unit dorganisation. Vous pouvez
par ailleurs spcifier que vous ne souhaitez dlguer que la cration de lobjet slectionn,
ou sa suppression, ou les deux.

Procdure.
Procdez comme suit pour dlguer des tches dadministration personnalises dans le
cadre dune unit dorganisation :
1. Dmarrer lAssistant Dlgation de contrle.
2. Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez dlguer des
tches dadministration.
3. Affectez les tches personnalises dlguer. Pour ce faire, procdez comme suit :
a) Dans la page Tches dlguer, cliquez sur Crer une tache
personnalise dlguer, puis cliquez sur Suivant.
b) Dans la page Types dobjet Active Directory, effectuez lune des
oprations suivantes :
i. Cliquez sur De ce dossier et des objets qui sy trouvent. Dlguer
aussi la cration de nouveaux objets dans ce dossier, puis cliquez
sur Suivant.
ii. Cliquez sur Seulement des objets suivants dans le dossier,
slectionner le type dobjet Active Directory dont vous souhaitez
dlguer le contrle, puis cliquez sur Suivant.
c) Slectionnez les autorisations que vous souhaitez dlguer, puis cliquez sur
Suivant.
4. Cliquer sur Terminer



f) Comment vrifier la dlgation du contrle administratif.

Utilisez Utilisateur et Ordinateurs Active Directory pour vrifier que lAssistant
Dlgation de contrle a correctement dlgu lautorit deffectuer les tches.

Procdure
Procdez comme suit pour vrifier la dlgation du contrle :

1. Dans la console Utilisateurs et Ordinateurs Active Directory, cliquez dans le menu
Affichage sur Fonctionnalits avances.
2. Dans larborescence de la console, double-cliquez sur le nud du domaine.
3. Dans le volet de dtails, cliquez avec le bouton droit sur lunit dorganisation,
puis cliquez sur Proprits.
4. Sous longlet Scurit, cliquez sur Paramtres avancs.
5. Sous longlet Autorisations, sous Entres dautorisations, visualisez les
autorisations affectes.


4. Augmentation des niveaux fonctionnels de la fort et du domaine.

a) Introduction

Les units dorganisation dont des conteneurs dans chaque domaine Active Directory
reprsentant les structures hirarchiques dans une organisation. Pour crer la structure
dune unit dorganisation reprsentant au mieux la structure de lorganisation, vous
devez comprendre les facteurs qui affectent dans votre organisation la cration dunits
dorganisation. Ce chapitre vous apporte les connaissances et les comptences ncessaires
pour planifier une stratgie dunit dorganisation.

b) Processus de planification dunit dorganisation.

La structure des units dorganisation dans Active Directory est base sur la structure
administrative de lorganisation. La premire tape de planification dune structure dunit
dorganisation consiste documenter la structure de lorganisation.

Processus de planification dunit dorganisation
Procdez comme suit pour planifier la stratgie dunit dorganisation pour votre
organisation :

Documentez la structure existante de lorganisation. Lors de la documentation
de la structure existante de lorganisation, une stratgie consiste diviser les
tches dadministration en catgories, puis documenter les administrateurs
qui sont responsable de chacune delles.
Identifiez les domaines amliorer. Travaillez avec lquipe de planification
pour identifier les domaines amliorer. Par exemple, il peut tre plus rentable
de combiner plusieurs quipes IT provenant de diffrentes divisions. Vous
pouvez identifier le personnel non informatique susceptible de vous aider dans
le processus dadministration et rduire la charge de travaille du personnel
informatique. Les administrateurs peuvent ainsi se concentrer sur les domaines
o leur expertise est requise.
Utilisez ensuite les points suivants comme consignes pour votre plan dlgation :

Dterminez le niveau dadministration. Dcidez ce que chaque groupe
contrlera et quel niveau vous dlguerez ladministration dans la hirarchie
administrative. Lorsque vous crez le plan, identifiez quels groupes :
Auront un contrle intgral sur les objets dune classe particulire ;
ces groupes peuvent crer et supprimer des objets dans une classe
spcifie et modifier tous les attributs des objets dans la classe
spcifie.
Seront autoriss crer des objets dune classe particulires ;par
dfaut,les utilisateurs ont le contrle intgral des objets quils crent ;
Seront autoriss ne modifier que des attributs spcifiques dobjets
existants dune classe particulire.

Identifiez chaque administrateur et compte dutilisateur dans votre
organisation ainsi que les ressources quils administrent. Ces informations
vous aideront dterminer la proprit et les autorisations affectes aux units
dorganisation que vous crez pour prendre en charge la plan de dlgation.

c) Facteurs organisationnels dterminant la structure dune unit dorganisation.

Les facteurs qui affectent la structure dune unit dorganisation sont : le type et la
structure du modle dadministration informatique. La comprhension de ces facteurs
vous aidera crer la structure dune unit dorganisation la mieux adapte vos
impratifs organisationnels.

Types de modles dadministration informatique.
Les organisations informatiques les plus courantes sont les suivantes :

Informatique centralise. Dans ce modle, lorganisation informatique ne rend
de comptes qu une seule personne et est gnralement le groupe responsable
pour tous les services dinformation et de rseau, bien que certaines tches de
routine puissent tre dlgues certains groupes ou services.
Informatique centralise avec gestion dcentralise. Dans ce modle, une
quipe informatique principale centralise est responsable des principaux
services dinfrastructure, mais elle dlgue la plupart des oprations
quotidiennes aux groupes informatiques situs dans des succursales, lesquels
assurent un support administratif local leurs utilisateurs.
Informatique dcentralise. Ce type dorganisation permet diverses units
commerciales de slectionner un modle informatique appropri pour rpondre
leurs besoins. Une organisation de ce type peut comporter plusieurs groupes
informatiques avec des objectifs et des besoins divers. Pour chaque initiative
technologique affectant toute lorganisation, comme la mise niveau dune
application de messagerie, les groupes informatiques doivent travailler
ensemble pour implmenter les modifications.
Informatique externalise. Certaines organisations sous-traitent la gestion de
tout ou partie de leur organisation informatique. Lorsque seuls quelques
lments de lorganisation informatique sont externaliss, il devient impratif
dimplmenter un modle de dlgation en bonne et due forme. Ainsi, le
groupe informatique interne conserve le contrle de lorganisation sans
compromettre les accords de niveau de service que le sous-traitant sest engag
fournir.

Structure dun modle dadministration informatique.
La structure du modle dadministration informatique reflte la faon dont une
organisation gre ses ressources informatiques, comme les utilisateurs, les ordinateurs, les
groupes, les imprimantes et les fichiers partags.
Les diffrentes manires selon lesquelles les modles dadministration sont structurs
incluent :

Administration base sur lemplacement gographique. Lorganisation
informatique est centralise, par exemple au sige, mais ladministration du rseau
est distribue gographiquement (par exemple, chaque succursale possde son
propre groupe dadministration qui gre les ressources sur place).
Administration base sur lorganisation. Dans cette structure, lorganisation
informatique est divise en services ou en units commerciales, chacun possdant
son propre groupe informatique.
Administration base sur une fonction business. Une organisation informatique
dcentralise base souvent son modle dadministration sur des fonctions business
dans lorganisation.
Administration hybride. Cette structure associe les points forts de plusieurs
modles pour rpondre aux besoins dadministration de lorganisation.

d) Consignes de planification dune structure dunit dorganisation

La conception dunits dorganisation est base sur le modle dadministration
informatique dune organisation.

I nstructions
Utilisez les consignes suivantes pour vous aider planifier la structure dunit
dorganisation dune organisation. La structure peut tre base sur :

Lemplacement gographique. Si le modle dadministration est distribu
gographiquement et si des administrateurs sont prsents dans chaque
emplacement, organisez la structure dActive Directory par emplacement.
Lorganisation. Si ladministration informatique est base par service ou par
division, concevez Active Directory en fonction de la structure de lorganisation.
Vrifiez que vous respectez bien la structure dadministration, plutt que
lorganigramme, lorsque vous vous basez sur lorganisation. Il se peut que
lorganigramme ne corresponde pas aux besoins dadministration dune
organisation.
Les fonctions business. Si ladministration informatique est dcentralise,
concevez la structure dActive Directory en vous basant sur les fonctions de
lorganisation. Ne choisissez cette approche que si la fonction informatique nest
pas base sur lemplacement ou lorganisation. Cette structure est idale (cest la
mieux approprie) pour de petites organisations avec des responsabilits
professionnelles couvrant plusieurs services.
Le modle hybride. Dans le cas dune organisation fortement distribue avec une
fonction informatique centralise et une forte sparation de services ou
divisionnaire, concevez les units ou les domaines de niveau suprieure par
emplacement et les niveaux infrieurs par organisation. Comme les niveaux les
plus levs sont bass sur lemplacement, ce modle est le moins susceptible dtre
modifi et, par consquent, moins susceptible dexiger un effort important lors
dune rorganisation.

Utilisez le diagramme suivant comme arborescence de dcision pour dterminer la
structure dunit dorganisation approprie pour une organisation.

e) Consignes pour la dlgation du contrle administratif.

Dlguez autant que possible le droit doctroyer des autorisations afin de limiter les
cots et les difficults dadministration et, par consquent, rduire le cot total de
possession. Avant daffecter des autorisations aux utilisateurs dans une organisation, vous
devez dterminer qui peut et ne peut pas accder un objet et son contenu, ainsi que le
type daccs dont une personne peut ou non disposer.

I nstructions
Tenez compte des consignes suivantes lorsque vous planifiez la dlgation du contrle
administratif dans votre organisation :
Affectez le contrle au niveau le plus lev possible dunit dorganisation et
utilisez la fonction dhritage. Vous pouvez ensuite grer les autorisations de
manire plus efficace. Cela cre un journal daudit plus simple et rduit les
risques dincident si un administrateur commet une erreur alors quil a ouvert
une session avec un compte administrateur.
Evitez daffecter des autorisations au niveau proprits ou tche afin de
simplifier ladministration. Envisager de placer des objet dans les units
dorganisation spares selon la manire dont ils seront grs, plutt que de
grer les proprits laide de listes de contrle daccs discrtionnaire
(DACL, Discretionary Access Control List) distinctes pour objets dans une
unit dorganisation unique.

Lors de laffectation dautorisations, excutez les tches suivantes :
Dlguez des utilisateurs ou des groupes dutilisateurs le droit
daffecter des autorisations de contrle daccs des objets. En dautres
termes, dlguez le droit de dlguer.
Affectez des autorisations courantes ou spciales sur des objets.
Utilisez la fonction dhritage pour permettre le transfert des autorisations
de contrle daccs aux objets enfants. Parfois, cependant, vous devrez
bloquer lhritage pour viter quun objet enfant nhrite des autorisations
dfinies sur lobjet parent. Le blocage de lhritage rend difficile la
documentation et le dpannage des autorisations sur un objet. Par
consquent, vitez dy avoir recours.

Affectez des autorisations daccs des groupes, plutt qu des individus. Les
autorisations de groupe simplifient lactualisation des DACL sur les rseaux
comportant de nombreux utilisateurs et objets. Par ailleurs, laffectation
dautorisations des groupes est une puissante fonctionnalit car elle vous
permet dimbriquer des groupes, ce qui rduit le nombre total dobjets grer.
Minimisez le nombre dadministrateurs de domaine. Le groupe Admins du
domaine possde des droits spciaux dans un domaine, comme celui de
sapproprier tout objet et de dfinir des stratgies de scurit pour tout le
domaine. Lorsque vous souhaitez contrler troitement les privilges de
ladministrateur de domaine, accordez des droits dadministration aux
utilisateurs pour les diverses units dorganisation et limitez lappartenance
dans le groupe Admins du domaine.
Rmq : Pour plus dinformations sur la dlgation du contrle, consulter le Guide de
planification et de dploiement Windows Srver 2003 ladresse
http://www.microsoft.com/reskit
Module 4 : Implmentation de comptes dutilisateurs,
de groupes et dordinateurs


Types de comptes

On peut crer 3 types de comptes dans Active Directory :

Comptes dutilisateurs

Cest un objet stock dans Active Directory qui permet une ouverture de session
unique pour un utilisateur qui obtient donc laccs aux ressources .Il y a 3 types de
comptes dutilisateurs, chacun ayant une fonction spcifique :

Un compte dutilisateur local permet un utilisateur douvrir une
session sur un ordinateur spcifique pour accder aux ressources sur
cet ordinateur.

Un compte dutilisateur de domaine permet un utilisateur de se
connecter au domaine pour accder aux ressources rseaux ou un
ordinateur individuel pour accder aux ressources sur cet
ordinateur.

Un compte dutilisateur intgr permet un utilisateur deffectuer
des tches dadministration ou daccder temporairement aux
ressources rseau.

Comptes dordinateurs

Chaque ordinateur xecutant Win NT, 2000, XP ou 2003 Server qui rejoint un
domaine possde un compte dordinateur. Celui ci permet dauthentifier et dauditer
laccs dun ordinateur au ressources rseau et du domaine. Chaque compte
dordinateur doit tre unique.



Comptes de groupes

Un compte de groupe est un ensemble dutilisateur, dordinateurs ou de groupes.
Vous pouvez utiliser des groupes pour grer efficacement laccs aux ressources du
domaine, et ainsi simplifier ladministration. Lorsque vous utilisez des groupes, vous
affectez en une fois des autorisations pour des ressources partages, telles que des
dossiers et des imprimantes, des utilisateurs individuels.





Windows Server 2003 Module 4 1
Types de groupes

Il existe 2 types de groupes : les groupes de distribution et les groupes de scurit.
Tous 2 possdent un attribut dtendue, qui dtermine qui peut tre membre du groupe
et quel endroit vous pouvez utiliser ce groupe dans un rseau. Vous pouvez convertir
tout moment un groupe de scurit en un groupe de distribution et inversement, mais
uniquement si le niveau fonctionnel de domaine est dfini sur Windows 2000 ou
ultrieur.

Groupes de distribution

Utilisable uniquement avec des applications de messagerie telles que Microsoft
Exchange, pour envoyer des messages un ensemble dutilisateurs.
La scurit nest pas active sur les groupes de distribution, donc ils ne peuvent
pas tre rpertoris dans des listes de contrle daccs discrtionnaire(DACL).

Groupes de scurit

Vous pouvez utiliser des groupes de scurit pour affecter des droits et des
autorisations aux groupes dutilisateurs et dordinateurs :

- Les droits dterminent les fonctions que les membres dun groupe de scurit
peuvent effectuer dans un domaine ou une fort.
- Les autorisations dterminent quelles ressources sont accessibles un membre
dun groupe sur le rseau.

Une mthode dutilisation efficace est limbrication, cest dire, ajouter un groupe
un autre groupe. Le groupe imbriqu hrite des autorisations du groupe dont il est
membre, ce qui rduit le trafic que peut engendrer la rplication de lappartenance un
groupe. Dans un domaine en mode mixte, vous ne pouvez pas imbriquer des groupes
possdant la mme tendue de groupe.

Les groupes de distribution et de scurit prennent en charge lune des trois
tendues de groupe suivantes : locale de domaine, globale ou universelle. Le niveau
fonctionnel de domaine dtermine le type de groupe que vous pouvez crer.














Windows Server 2003 Module 4 2
Dfinition des groupes locaux de domaine

La structure physique dActive Directory optimise le trafic rseau en dterminant
o et quand se produit un trafic de connexions et de rplications.

Les lments de la structure physique dActive Directory sont :

Les contrleurs de domaine. (excute Win Server 2003 ou Win 2000 et
Active Directory). Chaque contrleur de domaine excute des fonctions de
stockage et de rplication. Un contrleur de domaine ne peut grer quun
seul domaine. Pour assurer une disponibilit permanente dActive
Directory, chaque domaine doit disposer de plusieurs contrleur de
domaine.
Les sites Active Directory. Ces sites sont des groupes dordinateurs
connects par des liaisons rapides. Lorsque vous crez des sites, les
contrleurs de domaine au sein dun mme site communiquent
frquemment. Ces communications rduisent le dlai de latence de
rplication lintrieur du site ; autrement dit, le temps requis pour quune
modification effectue sur un contrleur de domaine soit rplique sur
dautres contrleurs de domaine. Vous pouvez donc crer des sites pour
optimiser lutilisation de la bande passante entre des contrleurs de
domaine situs des emplacements diffrents. (Pour plus dinfos sur les
sites voir module 7).
Partitions Active Directory. Chaque contrleur de domaine contient les
partitions Active Directory suivantes :
La partition de domaine contient les rplicas de tous les objets de
ce domaine. La partition de domaine nest rplique que dans
dautres contrleurs appartenant au mme domaine.
La partition de configuration contient la topologie de la fort. La
topologie est un enregistrement de tous les contrleurs de domaine
et des connexions entre eux dans une fort.
La partition de schma contient le schma tendu au niveau de la
fort. Chaque fort comporte un schma de sorte que la dfinition
de chaque classe dobjet est cohrente. Les partitions de
configurations et de schma sont rpliques dans chaque contrleur
de domaine dans la fort.
Les partitions dapplications facultatives contiennent des objets
non lis la scurit et utiliss par une ou plusieurs applications.
Les partitions dapplications sont rpliques dans des contrleurs de
domaine spcifis dans la fort.

Windows Server 2003 Module 4 3
b) Dfinitions des matres doprations

Lorsquun domaine est modifi, la modification est rplique sur tous les contrleurs
du domaine. Certaines modifications, telles que celles apportes au schma, sont
rpliques dans tous les domaines de la fort. Cette rplication est appele rplication
multimatre.

Oprations de matre unique

Lors dune rplication multimatre, un conflit de rplication peut se produire si des
mises jour dorigine sont effectues simultanment sur le mme attribut dun objet sur
deux contrleurs de domaine. Pour viter des conflits de rplication, vous utiliserez une
rplication matre unique, qui dsigne un contrleur de domaine comme tant le seul sur
lequel certaines modifications de lannuaire peuvent tre effectues. Ainsi, des
modifications ne peuvent intervenir simultanment sur diffrents endroits du rseau.
Active Directory utilise une rplication matre unique pour des modifications
importantes, comme lajout dun nouveau domaine ou une modification dans le schma au
niveau de la fort.

Rles de matre doprations

Les oprations utilisant une rplication matre unique sont regroupes dans des rles
spcifiques dans une fort ou un domaine. Ces rles sont appels rles de matre
doprations. Pour chaque rle de matre doprations, seul le contrleur de domaine
possdant ce rle peut effectuer les modifications dans lannuaire correspondant. Le
contrleur de domaine responsable dun rle particulier est appel matre doprations
pour ce rle. Active directory stocke les informations concernant le contrleur de domaine
qui joue un rle spcifique.
Active Directory dfinit cinq rles de matre doprations, chacun possdant un
emplacement par dfaut. Les rles de matre doprations stendent au niveau dune fort
ou dun domaine.

Rles tendus au niveau dune fort :

Le contrleur de schma. Il contrle toutes les mises jour du schma. Le
schma contient la liste principale des classes et des attributs dobjets
utiliss pour crer tous les objets Active Directory, comme les utilisateurs,
les ordinateurs et les imprimantes.
Le matre dattribution des noms de domaine. Il contrle lajout ou la
suppression de domaine dans une fort. Lorsque vous ajoutez un domaine
la fort, seul le contrleur de domaine possdant le rle de matre
dattribution des noms de domaine peut ajouter le nouveau domaine.
Lensemble de la fort ne contient quun seul contrleur de schma et quun seul
matre dattribution des noms de domaine.





Windows Server 2003 Module 4 4
Rles tendus au niveau dun domaine :

Lmulateur de contrleur principal de domaine (PDC, Primary Domain
Controller). Il se comporte comme un contrleur principal de domaine Win
NT pour la prise en charge de tout contrleur secondaire de domaine (BDC,
Backup Domain Controller) excutant Win NT au sein dun domaine en
mode mixte. Ce type de domaine possde des contrleurs de domaine
excutant Win NT 4.0. Lmulateur PDC est le premier contrleur de
domaine que vous crez dans un nouveau domaine.

Le matre des identificateurs relatifs (matre RID). Lorsquun nouvel objet
est cr, le contrleur de domaine cre une nouvelle entit de scurit qui
reprsente lobjet et auquel un identificateur de scurit (SID, Security
IDentifier) unique. Cet identificateur consiste en un identificateur de
scurit de domaine, qui est le mme pour toutes les entits de scurit
cres dans le domaine, et en un identificateur relatif (RID, Relative
IDentifier) qui est unique pour chaque units de scurit cres dans le
domaine. Le matre RID alloue des blocs didentificateurs relatifs chaque
contrleur de domaine du domaine. Le contrleur de domaine affecte
ensuite un matre RID aux objets crs partir de son bloc de matres RID
allous.

Le matre dinfrastructure. Lorsque des objets sont dplacs dun domaine vers un
autre, le matre dinfrastructure met jour dans son domaine les rfrences
dobjets qui pointent sur lobjet dans lautre domaine. La rfrence dobjet
contient lidentificateur global unique (GUID, Globally Unique IDentifier) de
lobjet, son nom unique, et un identificateur de scurit. Active Directory met
rgulirement jour le nom unique et lidentificateur de scurit sur la rfrence
dobjet afin de reflter les modifications apportes lobjet rel.

Dans une fort, chaque domaine possde ses propres mulateur PDC, matre RID et
matre dinfrastructure.
(Pour plus dinfos sur les rles de matre doprations voir module 9)

Dfinition dun catalogue global.

Dans Active Directory, les ressources peuvent tre partages parmi des domaines et
des forts. Le catalogue global dActive Directory permet de rechercher des ressources
parmi des domaines et des forts de manire transparentes pour lutilisateur. En labsence
de serveur de catalogue global, cette requte exigerait une recherche dans chaque domaine
de la fort.

Dfinition du catalogue global.

Le catalogue global est un rfrentiel dinformations qui contient un sous-ensemble
des attributs de tous les objets dActive Directory. Les membres du groupe
Administrateurs du schma peuvent modifier les attributs stocks dans le catalogue global,
en fonction des impratifs dune organisation. Le catalogue global contient :
Windows Server 2003 Module 4 5
- Les attributs les plus frquemment utiliss dans les requtes, comme les nom et
prnom dun utilisateur, et son nom douverture de session ;
- Les informations requises pour dterminer lemplacement de tout objet dans
lannuaire ;
- Un sous-ensemble dattributs par dfaut pour chaque type dobjet ;
- Les autorisations daccs pour chaque objet et attribut stock dans le catalogue
global. Si vous recherchez un objet pour lequel vous ne possdez pas les
autorisations de visualisation requises, cet objet napparatra pas dans les
rsultats de la recherche. Les autorisations daccs garantissent que les
utilisateurs ne puissent trouver que les objets pour lesquels ils possdent un
droit daccs.
Dfinition dun serveur de catalogue global.

Un serveur de catalogue global est un contrleur de domaine qui traite efficacement
les requtes intraforts dans le catalogue global. Le premier contrleur de domaine que
vous crez dans Active Directory devient automatiquement un serveur de catalogue
global. Vous pouvez configurer des serveurs de catalogue global supplmentaires pour
quilibrer le trafic li aux authentifications de connexion et aux requtes.

Fonctions du catalogue global.

Le catalogue global permet aux utilisateurs dexcuter deux fonctions importantes :
- Trouver les informations Active Directory en tout point de la fort,
indpendamment de lemplacement des donnes ;
- Utiliser les informations dappartenance au groupe universel pour se connecter
au rseau.

Dfinition de groupes locaux de domaines

Introduction

Un groupe local de domaine est un groupe de scurit ou de distribution qui peut contenir des
groupes universels, des groupes globaux ou dautres groupes locaux de domaines issus de ses
propres domaines et comptes dans la fort. Dans les groupes de scurit locaux de domaine,
vous pouvez accorder des droits et autorisations sur des ressources qui rsident uniquement
dans le mme domaine que celui o se trouve le groupe local de domaine.

Par exemple, vous pouvez crer un groupe de scurit local nomm Setup et accorder des
autorisations de groupes un partage nomm Setup sur lun des serveurs membres du
domaine. Vous pouvez ajouter des groupes globaux ou universels en tant que membres du
groupe local de domaine Setup. Les membres auront alors lautorisation daccder au dossier
partag Setup.







Windows Server 2003 Module 4 6
Appartenance au groupe local de domaine, tendues et autorisation

Les rgles suivantes sappliquent lappartenance au groupe local de domaine, ainsi qu
ltendue et aux autorisations du groupe local de domaine :

- Appartenance. En mode Windows 2000 mixte, les groupes locaux de domaine
peuvent contenir des comptes utilisateurs et des groupes globaux de nimporte
quel domaine. En mode Windows 2000 natif, les groupes de domaine peuvent
contenir des comptes utilisateur, des groupes globaux, des groupes universels
de nimporte quel domaine approuv et des groupes locaux issus du mme
domaine
- Peut tre membre de. En mode Windows 2000 mixte, un groupe local de
domaine ne peut pas tre membre de nimporte quel groupe. En mode
Windows 2000 natif, un groupe local de domaine peut tre membre de groupes
locaux de domaine issus du mme domaine.
- Etendue. Un groupe local de domaine est visible uniquement dans son propre
domaine.
- Autorisation. Vous pouvez affecter une autorisation qui sapplique au domaine
dans lequel le groupe local de domaine existe.

A quel moment utiliser des groupes locaux de domaine

Utiliser un groupe local de domaine lorsque vous souhaitez affecter des autorisations daccs
des ressources qui se situent dans le mme domaine que celui dans lequel vous crez le
groupe local de domaine. Vous pouvez ajouter des groupes globaux partageant les mmes
ressources au groupe local de domaine appropri.

Dfinition de groupes globaux

Introduction

Un groupe global est un groupe de scurit ou de distribution qui peut contenir des
utilisateurs, des groupes et des ordinateurs comme membres de son propre domaine. Vous
pouvez accorder des droits et autorisations des groupes de scurit globaux pour des
ressources situes dans nimporte quel domaine de la fort.

Utilisez un groupe global pour organiser des utilisateurs qui partagent les mmes tches
professionnelles et ont des conditions daccs similaires, tels que tous les comptables du
service comptabilit dune organisation.

Appartenance au groupe global, tendues et autorisation

Les rgles suivantes sappliquent lappartenance au groupe global , ainsi qu ltendue et
aux autorisations du groupe global :

- Appartenance. En mode Windows 2000 mixte, un groupe global peut contenir
des comptes utilisateurs du mme domaine. En mode Windows 2000 natif et
en mode Windows Server 2003, les groupes globaux peuvent contenir des
comptes utilisateur et des groupes globaux issus du mme domaine
Windows Server 2003 Module 4 7
- Peut tre membre de. En mode Windows 2000 mixte, un groupe global peut
tre membre des groupes locaux de domaine dans nimporte quel groupe
approuv. En mode Windows 2000 natif et en mode Windows Server 2003, un
groupe global peut tre membre de groupes universels et de groupes locaux de
domaine dans nimporte quel domaine et tre galement membres de groupes
globaux dans le mme domaine mme domaine.
- Etendue. Un groupe global est visible dans son domaine et tous les domaines
approuvs, ce qui inclut tous les domaines de la fort.
- Autorisation. Vous pouvez affecter une autorisation un groupe global qui
sapplique tous les domaines approuvs.

A quel moment utiliser des groupes globaux

Les groupes globaux tant visibles dans toute la fort, ne les crez pas dans le but de
permettre aux utilisateurs daccder des ressources spcifiques un domaine. Utilisez les
groupes globaux pour organiser des utilisateurs ou des groupes dutilisateurs. Un groupe local
de domaine est plus appropri pour contrler laccs dun utilisateur aux ressources situes
dans un domaine unique.

Dfinition de groupes universels

Introduction

Un groupe universel est un groupe de scurit ou de distribution qui peut contenir des
utilisateurs, des groupes et des ordinateurs comme menbres dun domaine dune fort. Les
groupes de scurit universel peuvent bnficier de droits et autorisations sur des ressources
situes dans nimporte quel domaine de la fort.

Appartenance au groupe universel, tendue et autorisations

Les rgles suivantes sappliquent lappartenance au groupe universel, ainsi qu ltendue et
aux autorisations du groupe universel :

- Appartenance. Vous ne pouvez pas crer de groupes de scurit universels en
mode Windows 2000 mixte. En mode Windows 2000 natif et en mode
Windows Server 2003, des groupes universels peuvent contenir des comptes
utilisateur, des groupes globaux, et dautres groupes universels de nimporte
quel domaine de la fort.

- Peut tre membre de. Le groupe universel ne sapplique pas au mode Windows
2000 mixte. En mode Windows 2000 natif, un groupe universel peut tre
membre de groupes locaux de domaine et de groupes universels de nimporte
quel domaine.
- Etendue. Les groupes universels sont visibles dans tous les domaines de la
fort.
- Autorisations. Vous pouvez affecter une autorisation un groupe universel qui
sapplique tous les domaines de la fort.


Windows Server 2003 Module 4 8
A quel moment utiliser des groupes locaux de domaine

Utilisez les groupes universels lorsque vous souhaitez imbriquer des groupes globaux. De
cette manire, vous pouvez affecter des autorisations aux ressources connexes dans plusieurs
domaines. Un domaine Windows Server 2003 doit tre en mode Windows 2000 natif ou en
mode Windows 2003 Server pour utiliser des groupes de scurit universels. Vous pouvez
utiliser des groupes de distribution universels dans un domaine Windows 2003 Server en
mode Windows 2000 mixte ou ultrieur.

Cration et gestion de plusieurs comptes

Introduction

Windows Server 2003 procure de nombreux outils et composants logiciels enfichables MMC
(Microsoft Management Console) pour crer automatiquement plusieurs comptes
dutilisateurs dans AD. Certains de ces outils ncessitent lutilisation dun fichier texte qui
contient des informations sur les comptes dutilisateurs que vous souhaitez crer. Vous
pouvez galement grer des scripts pour ajouter ou modifier des objets dans AD.

Utilisateurs et ordinateurs AD

La console utilisateurs et ordinateurs Active Directory est un composant logiciel enfichable
MMC que vous pouvez utiliser pour grer des comptes dutilisateurs, dordinateurs et de
groupes. Il convient de lutiliser lorsque vous grez un petit nombre de comptes.

Outils de service dannuaire

Vous pouvez galement utiliser les outils de lignes de commande Dsadd, Dsmod et Dsrm
pour grer des comptes dutilisateurs, dordinateurs et de groupes dans AD. Vous devez
spcifier le type dobjet que vous souhaitez crer, modifier ou supprimer. Par exemple,
utilisez la commande dsadd user pour crer un compte utilisateur. Utilisez la commande dsrm
group pour supprimer un compte de groupe. Bien que les outils Directory Service permettent
de crer un seul objet AD la fois, vous pouvez les utiliser dans des fichiers de commandes et
des scripts.

Outil Csvde

Loutil de ligne de commande Csvde utilise un fichier texte spar par des virgules, galement
appel format valeurs spares par des virgules (format Csvde), comme entre pour crer
plusieurs comptes dans AD.

Vous devez utiliser le format Csvde pour ajouter des objets utilisateur et dautres types
dobjets AD. Vous ne pouvez pas utiliser le format Csvde pour modifier ou supprimer des
objets dans Active Directory. Avant dimporter un fichier Csvde, assurez vous que le fichier
est correctement format. Le fichier dentre :

- doit inclure le chemin daccs au compte utilisateur dans Active Directory, le
type dobjet, qui est le compte utilisateur, et le nom douverture de session de
lutilisateur (pour Win NT 4.0 et ultrieur) ;
Windows Server 2003 Module 4 9
- doit inclure le suffixe UPN (user principal name) et indiquer si le compte
dutilisateur est activ ou non. Si aucune valeur, compte supprim.
- Peut inclure des infos personnelles (num tel, adresse) .Incluez autant dinfo que
possible pour faciliter les recherches dans AD.
Ne peut pas inclure de mots de passe. Une importation en bloc laisse le mot de
passe vide donc nimporte qui peut se connecter avec juste le nom dutilisateur.
Activez les comptes juste avant la connexion des utilisateurs.

Outil Ldifde

Outil utilisant un format valeurs spares par des lignes pour crer, modifier ou supprimer
des objets. Facilement importable dune application de base de donnes car format identique.
Mme fichier dentre que Csvde.

Environnement de scripts Windows

On peut crer des scripts qui utilisent des interfaces ADSI pour crer, modifier, supprimer des
objets. Utiliser de prfrence pour changer les attributs de plusieurs objets.


Implmentation des suffixes UPN

Dfinition dun nom dutilisateur principal

Cest un nom douverture de session utilis uniquement pour la connexion sur un rseau Win
server 2003. ex : Haludo@contoso.msft.

Avantages : - Nom unique dans AD
- Peut tre identique une adresse de messagerie
Rgles dunicit des noms douverture de session

- Le nom complet doit tre unique dans son conteneur et dans la fort.
- Le nom dutilisateur doit tre unique dans la fort

Dtection et rsolution des conflits de suffixes de noms

Un conflit de suffixes de noms se produit quand :

- Un nom de DNS dj utilis
- Un nom NetBios dj utilis
- Un SID de domaine est en conflit avec un autre SID

Les conflits de suffixes de noms dans un domaine empchent laccs ce domaine depuis
lextrieur de la fort. Laccs inter-fort est toujours possible.


Windows Server 2003 Module 4 10
Dplacement dobjets dans AD

Dfinition de lhistorique SI D

Rles de lhistorique SID

- Liste de tous les identificateurs SID affects un compte utilisateur
- Fournit un compte dutilisateur migr avec un accs continu aux ressources

I mplications du dplacement dobjets

Dans un domaine :

- Pas de changement de SID ou de GUID

Dans une fort

- Nouveau SID
- Historique SID
- GUID identique

Entre les fotts
- Nouveaus SID
- Historique SID
- Nouvel identificateur GUID


Implications sur la scurit dun historique SID

Un historique SID permet des utilisateurs migrs daccder aux ressources situes dans leurs
anciens domaines. Cependant, il permet aussi aux utilisateurs de tromper laccs aux autres
domaines, cd donner lillusion quune transmission provient dun utilisateur autoris, en
plaant des SID dautres domaines dans lhistorique SID de leurs comptes dutilisateurs. On
peut se protger de tels comportements en appliquant un filtrage des identificateurs SID aux
relations approuves.

Autres applications de dplacement dobjets

- Les comptes dutilisateurs qui ont des privilges administratifs pour lOU vers
laquelle le compte est dplac
- Les restrictions lies la stratgie de groupe de lOU, du domaine ou du site
depuis lequel le compte dutilisateur a t dplac ne sappliquent plus au
compte dutilisateur
- Les paramtres de stratgie de groupe du nouvel emplacement sappliquent au
compte dutilisateur

Windows Server 2003 Module 4 11
Planification dune stratgie de compte dutilisateur, de
groupe et dordinateur

I nstruction dattribution des noms de comptes

Dfinir des conventions dattribution de nom pour :
- Les noms de comptes utilisateur qui identifient lutilisateur
- Les noms dordinateur qui identifient le propritaire, lemplacement et le type
dordinateurs
- Les noms de groupe qui identifient le type de groupe, lemplacement et la
fonction du groupe





I nstruction de dfinitions dune stratgie de mots de passe

L e mot de passe constitue la premire ligne de dfense en cas daccs non-autoriss votre
organisation. Stratgie :

- Paramtrez loption Conserver lhistorique des mots de passe sur un
minimum de 24 mots de passes retenus.
- Dfinissez la dure de vie maximale du mot de passe sur 42 jours.
- Dfinissez la dure de vie minimale du mot de passe sur 2 jours.
- Dfinissez la longueur du mot de passe sur 8 caractres maximum.
- Activer loption Le mot de passe doit respecter des exigences de scurit .

I nstruction dauthentification, dautorisation et dadministration des
comptes

Cette stratgie aidera protger le rseau de lorganisation.
On utilise les instructions suivantes pour authentifier, autoriser et administrer des comptes
dans votre organisation :

- Attribuez une valeur leve au paramtre de stratgie seuil de verrouillage de
compte
- Eviter dutiliser des comptes administrateurs pour rpondre au besoin
informatiques de routines.
- Utilisez une authentification multifactorielle
- Utilisez des groupes de scurit bases sur la stratgie C-G-U-LD-A.
- Dsactivez le compte administrateur et affectez aux utilisateurs et
administrateurs le moindre privilge ncessaire pour affecter leurs tches
professionnelles.


Windows Server 2003 Module 4 12
I nstruction de planification dune stratgie de groupe

La planification dune stratgie de groupe implique la planification de lutilisation des
groupes globaux, groupes locaux de domaine et groupes universels pour simplifier les tches
dadministration. On utilise les instructions suivantes pour planifier une stratgie de groupe :

- Affectez les utilisateurs aux responsabilits professionnelles commune aux
groupes globaux
- Crez un groupe local de domaine pour partager les ressources.
- Ajoutez aux groupes locaux de domaine des groupes globaux qui exigent un
accs aux ressources.
- Utilisez des groupes universels pour accorder laccs aux ressources situes
dans plusieurs domaines.
- Utilisez des groupes universels lorsque lappartenance est statique.


Planification dune stratgie daudit AD

Pourquoi auditer laccs AD ?

- Pour enregistrer toutes les modification russies dans AD.
- Pour assurer un suivi de laccs une ressource ou par un compte spcifique.
- Pour dtecter et enregistrer les tentatives daccs infructueuses

I nstruction danalyse des modifications apportes AD

Des audits russis gnrent une entre daudit lorsquun vnement de gestion de comptes
sexcute avec succs. Mme si les vnements de gestion des comptes russis sont
gnralement inoffensifs, ils fournissent un enregistrement inestimable dactivits pouvant
compromettre la scurit dun rseau.

Utilisez ces instructions lors de la cration dune stratgie daudit :

- Activez laudit des vnements de gestion de comptes.
- Activez laudit des succs de modifications de stratgie
- Activez laudit des checs des vnements systme
- Activez laudit des checs des vnements de modification de stratgie et des
vnements de gestion de comptes uniquement lorsque cela est ncssaire.







Windows Server 2003 Module 4 13
MODULE 5 : Implmentation dune stratgie de groupe


A) Introduction

Lutilisation de la stratgie de groupe dans le service dannuaire Active Directory permet
de grer de faon centralise les utilisateurs et les ordinateurs dune entreprise. Vous pouvez
centraliser les stratgies en dfinissant une stratgie de groupe pour toute une organisation au
niveau du domaine du site ou au niveau d une unit dorganisation (OU) . Ou bien vous
pouvez dcentraliser les paramtres de stratgie de groupe en dfinissant une stratgie de
groupe pour chaque service au niveau dune unit dorganisation.

Ainsi vous pouvez vous assurer que chaque utilisateurs dispose de lenvironnement
utilisateur dont il a besoin , tout en appliquant les stratgies de lorganisation ,notamment en
matire de scurit . Par ailleurs vous pouvez abaissez le cot total de possession en
contrlant les environnements utilisateurs et les ordinateurs et en rduisant de ce fait le niveau
de support technique ncessaire aux utilisateurs et la perte de productivit qui en dcoule .

B) Cration et configuration dobjets stratgie de groupe

La stratgie de groupe vous donne le contrle administratif sur les utilisateurs et les
ordinateurs de votre rseau. Lutilisation dune stratgie de groupe vous permet de dfinir une
seule fois ltat de lenvironnement de travail dun utilisateur et dappliquer ces paramtres
une organisation entire ou des groupes spcifiques dutilisateurs et dordinateurs.

Introduction aux stratgie de groupe

1. Types de paramtres
Vous pouvez configurer diffrents paramtres de stratgie de groupe pour
dfinir les stratgies affectant les utilisateurs et les ordinateurs :

Modles dadministrations : Paramtres bass sur le Registre permettant de
configurer les paramtres dapplications et les environnements de stations de
travail utilisateur .
Scripts : Paramtres permettant de spcifier quand Serveur 2003 excute des
scripts spcifiques .
Services dinstallation distance : Paramtres qui contrlent les options dont
disposent les utilisateurs lorsquils excutent lassistant installation client
utilis par les services dinstallation distance (RIS ,Remote Installation
Service) .
Maintenance Internet Explorer : Paramtres permettant dadministrer et de
personnaliser I.E. sur des ordinateurs excutant 2003 Serveur.
Redirections des dossiers : Paramtres permettant de stocker des dossier de
profils dutilisateurs spcifiques sur un serveur rseau .
Scurit : Paramtre permettant de configurer la scurit des ordinateurs
locaux, du domaine et du rseau.
Installation des logiciels : paramtre permettant de centraliser la gestion de
installations, des mises jour et des suppressions de logiciels.


Systme dexploitation
Module 5 J uin 2004
1
2. Flux dhritage
Les GPO (Group Policy Object =Objet de stratgie de groupe) sont lis
des sites , des domaines ou des OU (Organisation Unit) . Un objets GPO
associ un domaine sapplique galement aux utilisateurs et au
ordinateurs qui se trouve dans les unit dorganisations figurant dans ce
domaine. Une stratgie de groupe est transmise de lunit dorganisation
parent lunit dorganisation enfant dans un domaine mais elle ne se
transmet pas dun domaine parent un domaine enfant. Il est possible que
des paramtres de stratgie soient appliqus un conteneur dannuaire
parents et que dautres paramtres de stratgies soient appliqus un une
unit dorganisation enfant. Dans ce cas-l , si les paramtres parent et
enfant sont compatibles , ils sont tous les deux appliqus . Si il ne sont
pas compatible , lunit dorganisation enfant nhrite daucun paramtres
et seuls ses paramtres sont appliqus.

3. Ordre de traitement des GPO
Ces objet sont appliqus dans un ordre correspondant la nature
hirarchique dActive Directory . Lordre de priorit par dfaut est site ,
domaine et unit dorganisation.

4. Paramtres des GPO valeurs multiples
Certains paramtres sont valeurs multiples . Ceux-ci sont traits
comme des paramtres valeurs simples cest dire que si le paramtre est
dfini dans plusieurs objets stratgie de groupe seuls les paramtres de lun
des objets stratgie de groupe observant les rgles de lhritage sont
appliqus .

5. Fonctions avances
Blocage de lhritage : Vous pouvez empcher un conteneur
dhriter de tous les objets stratgie de groupe de ses conteneurs
parents en activant le blocage de lhritage pour le conteneur
enfant.
Option Appliqu (ou ne pas passer outre) : Cette option force tous
les conteneurs enfant hriter de la stratgie du parent mme si
celle-ci est en conflit avec la stratgie du conteneur enfant et que
loption bloquer lhritage na pas t configurer pour lenfant.
Si un objet stratgie de groupe est li plusieurs conteneurs , vous
pouvez configurer loption Appliqu individuellement pour
chaque conteneur car cette option est un attribut de liaison et non un
attribut de lobjet stratgie de groupe .

6. Filtrer des objets GPO
En dfinissant les autorisations appropries pour les groupes de
scurit, vous pouvez filtrer la stratgie de groupe pou quelle sapplique
uniquement aux ordinateurs et aux utilisateurs spcifis .





Systme dexploitation
Module 5 J uin 2004
2

Composant dun objet stratgie de groupe

1) Conteneur stratgie de groupe (GPC,Group Policy Container)
Le conteneur stratgie de groupe est un objet Active Directory qui
contient ltat de lobjet stratgie de groupe , les informations de version,
les informations de filtres WMI et une liste de composants dont les
paramtres se trouvent dans lobjet stratgie de groupe . Les ordinateurs
peuvent y accder pour localiser des modles Stratgie de groupe et les
contrleurs de domaines y accdent pour obtenir des informations de
version (qui est directement remplac si la version nest plus jour) .

2) Modle Stratgie de groupe (GPT,Group Policy Template)
Cest une arborescence de dossiers situ dans le dossier partag
SYSVOL dun contrleur de domaine. Lorsque quun objet Stratgie de
groupe est cr , un modle Stratgie de groupe correspondant est
galement cr .Il contient tous les paramtres et informations Stratgie de
groupe correspondant (modle dadministration, scurit, installation de
logiciels, scripts et redirection des dossiers) . Les ordinateurs se connecte
au dossier SYSVOL pour obtenir ces paramtres.

Gestion des objets Stratgie de groupe

Il est recommand de spcifier un contrleur de domaine pour la
gestion des objets Stratgie de groupe pour viter tout risque de conflit de
rplication . En effet si deux administrateurs modifient simultanment un
mme objet Stratgie de groupe sur des contrleurs de domaine diffrents , les
modifications de lun des administrateurs risquent de remplacer celles de
lautre . Il est dautant plus conseill de spcifier un contrleur de domaine
pour cette gestion quand on sait que les donnes concernant les objets Stratgie
de groupe sont prsente la fois dans Active Directory et dans le dossier
SYSVOL du contrleur de domaine.

Emulateur PDC(Primary Domain Controler) :
Par dfaut , la console de gestion de stratgie de groupe utilise
lmulateur PDC de chaque domaine pour garantir que tous les administrateurs
utilisent le mme contrleur de domaine mais vous pouvez trs bien cibler un
autre contrleur de domaine si vous en estimez lutilit grce loption
Modifier le contrleur de domaine .











Systme dexploitation
Module 5 J uin 2004
3
Dfinition des filtres WMI

On utilise des filtres WMI pour dterminer de faon dynamique ltendue des
objets Stratgie de groupe partir des attributs de lutilisateur ou de lordinateur .
Un filtre WMI est li un objet Stratgie de groupe . Lorsque vous appliquez
un objet Stratgie de groupe lordinateur de destination , Active Directory value le
filtre sur lordinateur de destination . Un filtre WMI dune ou de plusieurs requtes
values par Active Directory en fonction de lespace de stockage WMI de
lordinateur de destination .Si la valeur totale des requtes est FALSE , lobjet
Stratgie de groupe nest pas appliqu . Par contre si elle est TRUE, Active Directory
applique lobjet Stratgie de groupe .Les requtes sont exprimes en langage
WQL(WMI Query Language) similaire au langage SQL. Chaque objet Stratgie de
groupe ne peut comporter quun seul filtre . Par contre un filtre WMI peut tre li
plusieurs objets Stratgie de groupe.

Quelques exemples dutilisations des filtres WMI :

Services :Ordinateurs sur lequel DHCP est install et en cours dexcution .
Inventaire matriel : Ordinateurs quips qun processeur PentiumIII et dau
moins 128 Mo de mmoire vive.
Configuration logicielle :Ordinateurs sur lesquels la multidiffusion est active.

Pour les ordinateurs clients excutant Windows 2000, Active Directory ignore
les filtres WMI et applique toujours lobjet Stratgie de groupe .

Dfinition du traitement par boucle de rappel

Par dfaut , les objets Stratgie de groupe dun utilisateur dterminent les
paramtres appliquer lors dune ouverture de session de cet utilisateur . En revanche
, le traitement par boucle de rappel permet dappliquer lensemble des objets Stratgie
de groupe de lordinateur tout utilisateur qui ouvre une session sur lordinateur
affect par ce paramtre . Ce paramtre est bien utile dans le cas o lordinateur est
,par exemple, plac dans un endroit public.

Il y a deux modes de traitement des boucles de rappel :
Mode de remplacement : Ce mode remplace les paramtres utilisateur dfinis
dans les objets Stratgie de groupe de lordinateur par les paramtres utilisateurs
habituellement appliqus lutilisateur ( ? ,module 5 page 15 , a me parat bizarre a
devrait tre linverse , verifier).
Mode de fusion : Ce mode combine les paramtres utilisateurs dfinis dans les
objets Stratgie de groupe de lordinateurs avec les paramtres utilisateur
habituellement appliqu lutilisateur . En cas de conflits , Les paramtres utilisateurs
des objets Stratgie de groupe de lordinateurs sont prioritaires.







Systme dexploitation
Module 5 J uin 2004
4
C) Configuration des frquences dactualisation et des paramtres de stratgie de groupe

Windows 2003 Serveur excute les paramtres et les stratgies dordinateur et
dutilisateur selon un ordre spcifique . Comprendre le traitement des stratgies de groupe et
leur ordre de traitement vous permettra de crer les scripts appropri et de configurer les
frquences dactualisation.

A quel moment la stratgie de groupe est elle applique ?

Lorsquun utilisateur dmarre un ordinateur et ouvre une session , 2003
Serveur traite dabord les paramtres de lordinateur et ensuite les paramtres de
lutilisateur.
Voici les diffrentes action qui sexcutent :
1) Dmarrage du rseau ,du service RPCSS( Remote Procedure Call System
Service) et du MUP (Multiple Universal Naming Convention Provider) .

2) 2003 Serveur obtient la liste classe des objets Stratgie de groupe pour
lordinateur selon les facteurs suivant :
Est ce que lordinateur fait partie dun domaine ? Si oui , il est sujet
la stratgie de groupe vie Active Directory.
Lemplacement de lordinateur dans Active Directory.
La liste des objets Stratgie de groupe a-t-elle t modifie ?

3) Windows applique la stratgie de lordinateur cest dire les paramtres se
trouvant sous Configuration de lordinateur dans le liste des objets Stratgie
de groupe obtenue. Cette liste saffiche dans lordre suivant :local,
domaine, unit dorganisation, unit dorganisation enfant . Pendant ce
traitement ,il ny a aucune interface utilisateur.

4) Les scripts de dmarrage sexcutent les uns aprs les autres . On peut
modifier les paramtre dexcution de ces scripts dans les paramtres de
stratgie de groupe (Par dfaut ,ces scripts sont masqu et synchrone( ?))

5) Ouverture de session de lutilisateur (CTR-ALT-DELETE)

6) 2003 Serveur charge le profil de lutilisateur , lequel est control par les
paramtre de stratgie de groupe en vigueur

7) 2003 Serveur obtient la liste classe des objets Stratgie de groupe pour
lutilisateur selon les facteurs suivant :
Est ce que lutilisateur fait partie dun domaine ? Si oui , il est sujet
la stratgie de groupe vie Active Directory.
Le traitement par boucle de rappel est il activ ? Quel est ltat du
paramtre de stratgie de bouclage ?
Lemplacement de lutilisateur dans Active Directory.
La liste des objets Stratgie de groupe a-t-elle t modifie ?




Systme dexploitation
Module 5 J uin 2004
5
8) Windows applique la stratgie de lutilisateur cest dire les paramtres se
trouvant sous Configuration de lordinateur dans le liste des objets Stratgie
de groupe obtenue. Cette liste saffiche dans lordre suivant :local,
domaine, unit dorganisation, unit dorganisation enfant . Pendant ce
traitement ,il ny a aucune interface utilisateur.

9) Les scripts douverture de session sexcutent ( Par dfaut ,ces scripts sont
masqu et asynchrone( ?))

10) Linterface utilisateur du SE prescrite par la stratgie de groupe saffiche.

Les ordinateurs excutant 2003 serveur actualisent et rappliquent les
paramtres de stratgie de groupe intervalles dfinis ce qui permet dassurer
que les paramtres sont toujours appliqus aux ordinateurs et aux utilisateurs
mme si ceux-ci ne redmarrent jamais ou ne ferment jamais leur session.
(Pour la configuration des paramtres de scripts, de frquence dactualisation et
pour lutilisation de Gpupdate.exe : voir page 22 29 du module 5 (javoue jai
pas envie de tout retaper et puis a ma pas lair super important tudier par
cur !))
D) Gestion des objets Stratgie de groupe .

Vous pouvez utiliser la console Gestion de stratgie de groupe pour grer les objets
Stratgie de groupe , savoir pou copier un objet Stratgie de groupe un autre emplacement,
sauvegarder un objet Stratgie de groupe , restaurer un objet Stratgie de groupe partir de la
sauvegarde ou encore importer dans un objet Stratgie de groupe les paramtres dun autre
objet Stratgie de groupe.

Opration de copie

La copie dun objet Stratgie de groupe transfert uniquement les paramtres de
lobjet Stratgie de groupe . Le nouvel objet possde un nouvel identificateur unique
global (GUID, Globally Unique IDentifier ) et de la liste de contrle daccs
discrtionnaire (DACL , Discretionary Access Control List )de lobjet Stratgie de
groupe copi . Le nouvel objet est cr mais pas li car les liaisons sont une proprit
de lobjet ayant dfini lobjet Stratgie de groupe plutot quune proprit de lobjet
Stratgie de groupe.

Le mappage des entits de scurit dsigne le fait de modifier les
paramtre se rapportant aux entits de scurit en convertissant les valeurs des
entits de scurit de lobjet copi en fonction du nouvel objet Stratgie de
groupe (emplacement,)
La console Gestion de stratgie de groupe offre deux techniques de
mappage pour la copie des objets Stratgie de groupe :
Copie identique de lobjet source
Utilisation dune table de migration pour mapper de
nouvelles valeurs pour le nouvel objet .
Un table de migration est un fichier texte XML spcifiant le mappage
personnalis des entits de scurit depuis le domaine source vers le domaine
destination.

Systme dexploitation
Module 5 J uin 2004
6
Opration de sauvegarde

Lors de la sauvegarde dobjet Stratgie de groupe , la console de Gestion
exporte les donnes dans le fichier de votre choix et enregistre tous les fichiers de
modle Stratgie de groupe. Lobjet Stratgie de groupe sauvegard pourra par la suite
tre restaur (c--d restaur dans le domaine o il a t cr) ou import (c--d restaur
dans un domaine diffrent ).
Vous pouvez stockez plusieurs objets Stratgie de groupe sauvegard (y
compris plusieurs versions du mme objet) dans un dossier de fichiers unique dans
lequel vous pouvez identifi chaque objet par lun des critres suivants :
Nom complet de lobjet Stratgie de groupe
Identificateur GUID de lobjet Stratgie de groupe
Description de la sauvegarde
Date et horodatage de la sauvegarde
Nom de domaine

Remarque :Vrifiez que le rpertoire des sauvegardes se trouve un
emplacement scuris du systme de fichiers.


Opration de restauration

Cette opration permet simplement de rtablir le contenu de lobjet Stratgie de
groupe dans ltat dans lequel il tait lors de la sauvegarde (possible uniquement dans
le domaine o lobjet Stratgie de groupe sauvegard a t cr). Vous pouvez restaur
un objet Stratgie de groupe existant ou supprim . Les autorisations de restauration
varient selon lexistence ou non de lobjet Stratgie de groupe dans Active Directory
lors de la restauration.

Opration dimportation

Une opration dimportation copie lensemble des paramtres de stratgie de
groupe depuis lobjet Stratgie de groupe source vers lobjet Stratgie de groupe de
destination .
Il faut spcifier une table de migration afin dtre certain que le chemin UNC
de lobjet Stratgie de groupe source est correctement mapp sur le chemin UNC de
lobjet Stratgie de groupe de destination .

Remarque :Toutes les procdures correspondantes au oprations dcrites ci-dessus sont
prsente dans la farde entre les pages 35 et 43 et vous expliquent comment accder aux
consoles de gestion des sauvegardes, etc









Systme dexploitation
Module 5 J uin 2004
7
E) Vrification et rsolution des problmes lis la stratgie de groupe

Lors de limplmentation dune stratgie de groupe , il est possible que vous
rencontriez quelques problmes . Lors de la rsolution de ces problmes noubliez pas de
prendre en compte les dpendance entre les diffrents composants (par exemple , la stratgie
de groupe dpend de Active Directory qui lui mme se base sur une configuration correcte des
services rseaux .
2003 Serveur est dot de deux outils vous permettant de rsoudre ces problmes :
LAssistant Modlisation de stratgie de groupe et des Rsultats des stratgie de groupe .

Problme courant lis limplmentation de la stratgie de groupe

La premire tapes de rsolution des problmes consiste bien sur identifier
les symptmes et les causes du problme . Dans la plupart des cas , le problme est li
une valeur conflictuelle dun paramtre entre deux objets Stratgie de groupe ce qui
implique la stratgie de groupe ne nous donne pas leffet escompt car dans ces cas-l
cest la stratgie prioritaire (en fonction du filtrage , du blocage de lhritage,) qui
est applique .
Voici une liste de quelques symptmes et des mthodes de rsolution
possibles :
Symptme Rsolution
Vous ne parvenez pas ouvrir un objet stratgie de groupe,
mme avec lautorisation en lecture
Devenez membre dun groupe de scurit avec les
autorisations lier et crire pour lobjet
Lorsque vous essayez de modifier un objet Stratgie de
groupe, un message signalant quil est impossible de louvrir
saffiche.

Assurez vous que le systme DNS fonctionne
correctement .
La stratgie de groupe nest pas applique aux utilisateurs et
ordinateurs dun groupe de scurit qui les contient, alors
quun objet Stratgie de groupe est li une unit
dorganisation contenant le groupe de scurit.
Liez les objets Stratgie de groupe uniquement de sites,
domaines et units dorganisation.
La stratgie de groupe naffecte pas les utilisateurs et
ordinateurs dun conteneur Active Directory.
Liez un objet Stratgie de groupe une unit
dorganisation qui est parente du conteneur Active
Directory . Ces paramtres sont alors appliqus par dfaut
aux utilisateurs et ordinateurs du conteneurs via lhritage.
La stratgie de groupe nest pas applique sur lordinateur
client.
Dterminez quels objets Stratgie de groupe sont
appliqus via Active Directory et si ces objets possdent
des paramtres en conflit avec les paramtres locaux


Lassistant Modlisation de stratgie de groupe : Cet assistant permet de
simuler un dploiement de stratgie pour les utilisateurs et ordinateurs avant de
rellement appliquer les stratgies. Cette fonctionnalit de la console de gestion de
stratgie de groupe est appel J eu de stratgies rsultant (RsoP, Resultant Set of
Policies)-mode de planification et elle requiert un contrleur de domaine excutant
2003 Serveur dans la fort.
Rsultats de stratgie de groupe : On utilise les Rsultats de stratgie de
groupe pour dterminer les paramtres de stratgie qui sont appliqus un ordinateurs,
ainsi qu lutilisateurs qui a ouvert une session sur cet ordinateur .Ces donnes sont
directement obtenue de lordinateur client contrairement la modlisation de stratgie
de groupe qui les simulent. Les Rsultats de stratgie de groupe sont accessible par la
console Gestion de stratgie de groupe.

Systme dexploitation
Module 5 J uin 2004
8
F) Dlgation du contrle administratif de la stratgie de groupe

Vous pouvez utiliser la stratgie de groupe pour dlguer certaines tches dautres
administrateurs . La console Gestion de stratgie de groupe simplifie la gestion des
autorisations en combinant les autorisations de bas niveau sur un objet et en les grant comme
une seule unit. Celle-ci permet de dlguer le contrle administratif des objets Stratgie de
groupe, la stratgie de groupe pour un site, un domaine ou une unit dorganisation, les filtres
WMI.

Dlgation des objets Stratgie de groupe.

Par dfaut, la capacit de crer des objets Stratgie de groupe appartient au
groupe Propritaires crateurs de la stratgie de groupe mais vous pouvez dlguer ce
pouvoir tout groupe ou utilisateurs de 2 faons diffrentes :
Ajouter le groupe ou lutilisateur au groupe Propritaires crateurs de la
stratgie de groupe accessible avant la console Gestion de stratgie de
groupe.
Attribuer explicitement au groupe ou lutilisateur lautorisation de crer
des objets Stratgie de groupe disponible via la console Gestion de
stratgie de groupe.

Les deux autorisations sont identique et confre les mmes droits . Les
utilisateurs peuvent crer des objets Stratgie de groupe dans le domaine et disposer
dun contrle total sur ces objets mais ils nont aucunes autorisations sur des objets
Stratgie de groupe crs par dautres utilisateurs et cela ne signifie aucunement quil
puissent lier les objets crs un site ,un domaine ou une unit dorganisation.

Vous pouvez galement grer les autorisations sur lobjet Stratgie de groupe
au niveau des taches. Les cinq catgories suivantes sont des autorisations sur un objet
Stratgie de groupe : Lecture , Modifier les paramtres , Modifier les
paramtres, supprimer, modifier la scurit , Lire ( partir du filtrage scuris) ,
Paramtres personnaliss .

Dlgation de la stratgie de groupe pour un site, un domaine ou une unit
dorganisation.

Cette dlgation inclut la capacit lier des objets Stratgie de groupe et les
autorisations pour la Modlisation de stratgie de groupe et les Rsultats de stratgie
de groupe.
Pour la liaison des objets Stratgie de groupe, la console Gestion de stratgie
de groupe utilise une autorisation unique, appele Lier les objets GPO , qui permet
de modifier les attributs gPLink et gPOption du site, du domaine ou de lunit
dorganisation. Cette autorisation est spcifique un site, un domaine ou une unit
dorganisation .
Le fait de dlguer les autorisations pour la Modlisation de stratgie de groupe
un utilisateurs ou un groupe affecte cet utilisateur ou ce groupe lautorisation
Gnrer jeu de stratgie rsultant (planification) ce qui leur permet dutiliser la
Modlisation de stratgie de groupe. La console Gestion de stratgie de groupe
soccupe de la gestion de cet autorisation .
Systme dexploitation
Module 5 J uin 2004
9
Comme pour la Modlisation de stratgie de groupe, il est possible de dlguer
les autorisations pour les Rsultats de stratgie de groupe. Ces autorisations sont
dlgues sur un domaine ou une unit dorganisation. Les utilisateurs disposant de
ces autorisations peuvent lire les donnes des Rsultats de stratgie de groupe pour
tout objet de ce conteneur. Cette dlgation affecte galement lutilisateur ou au
groupe lautorisation Gnrer jeu de stratgie rsultant (enregistrement) . La
console Gestion de stratgie de groupe soccupe de la gestion de cet autorisation .

Dlgation des filtres WMI

Vous pouvez dlguer la capacit de crer des filtres WMI dans un domaine et
affecter des autorisations sur ces filtres.
Vous crez des filtres WMI dans le conteneur Filtres WMI de la console
Gestion de stratgie de groupe. Lorsque vous crez un nouveau filtre WMI, Active
Directory stocke celui-ci dans le conteneur WMIPolicy du conteneur system du
domaine. Les autorisations sur le conteneur WMIPolicy dterminent les autorisations
dun utilisateurs pour crer, modifier et supprimer des filtres WMI.
Il existe deux autorisations de cration de filtre WMI :
Propritaire crateur : autorise crer de nouveaux filtres mais naffecte
pas dautorisation sur les filtres cr par dautres utilisateurs.
Contrle total : autorise crer des filtres et affecte un contrle total sur
tous les filtres WMI du domaine.

Il existe deux autres autorisation sur les filtres WMI :
Modifier : autorise modifier le filtre WMI
Contrle total : autorise modifier, supprimer et modifier la scurit sur le
filtre WMI.

Remarque :Toutes les procdures correspondantes au oprations dcrites ci-dessus
sont prsente dans la farde entre aux pages 62 et 63 .

G) Planification dune stratgie de groupe pour lentreprise

Instruction de planification des objets Stratgie de groupe

Crez des objets Stratgie de groupe de faon offrir le plus de simplicit
dutilisation et de gestion optimale, notamment via lutilisation de lhritage et des
liaisons multiples.

Appliquez les paramtres de stratgie de groupe au plus haut niveau : pour
bnficier de lhritage de stratgie de groupe. Dterminez le plus de
paramtres communs.
Diminuez le nombre des objets Stratgie de groupe : en utilisant plusieurs
liaisons au lieu de crer plusieurs objets Stratgie de groupe identique et
toujours de lier lobjet au plus grand conteneur possible.
Crez des objets Stratgie de groupe spcialiss : pour appliquer des
paramtres unique si ncessaire . Les objets Stratgie de groupe un
niveau suprieur nappliqueront pas les paramtres des ces objets
spcialiss.
Systme dexploitation
Module 5 J uin 2004
10
Dsactivez les paramtres de configuration de lutilisateur ou de
lordinateur : Lorsque vous crez un objets Stratgie de groupe destin
un utilisateur ou un ordinateur ,dsactiver lautre zone . Cela permet
damliorer les performances dapplication des objets Stratgie de groupe
lors de la connexion de lutilisateurs et empche lapplication accidentelle
de paramtres dans lautre zone.

Instruction pou dterminer lhritage des objets Stratgie de groupe

Lhritage des objets Stratgie de groupe tient une place importante dans
limplmentation de la stratgie de groupe et il vaut mieux dcider lavance
dappliquer la stratgie tout ou une partie des utilisateurs.
Utilisez loption Appliqu (Ne pas passer outre) uniquement lorsque cest
ncessaire : par exemple pour les paramtres de scurit exigs par
lentreprise et assurez vous que ces objets Stratgie de groupe contiendront
uniquement ces paramtres importants.
Utilisez loption blocage de lhritage avec modration : car cela
complique la rsolution des problmes et ladministration des objets
Stratgie de groupe.
Utilisez le filtrage de scurit en cas de besoin uniquement : lorsque des
paramtres sappliquent uniquement un groupe de scurit particulier
dans un conteneur. Limitez le nombre de filtres en crant et liant les objets
Stratgie de groupe au niveau appropri .

Instruction pour dterminer une stratgie de groupe pour les sites

Vous pouvez lier des objets Stratgie de groupe un site, de faon appliquer
des paramtres lensemble des ordinateurs et utilisateurs se trouvant physiquement
sur le site . Lorsque la stratgie de groupe est dfinie au niveau du site, elle naffecte
pas les utilisateurs itinrants sur ce site sils ont accs au rseau depuis un autre site.
Appliquez un objet Stratgie de groupe un site uniquement si les
paramtres sont spcifiques au site et no au domaine : sinon la rsolution
des problmes de paramtres de stratgie de groupe lis au site peut
savrer complique.
Crez des objets Stratgie de groupe dans le domaine qui comporte le plus
grand nombre de contrleur de domaine sur ce site : car un contrleur de
domaine du domaine contenant lobjet Stratgie de groupe li au site est
contact avant lapplication de lobjet, quel que soit le domaine auquel
appartient lutilisateur ou lordinateur.

Instructions de planification de ladministration des objets Stratgie de groupe

Identifiez votre stratgie dadministration pour la gestion des objets
stratgie de groupe : Dterminez qui pourra cr des objet et les li et qui
ne pourra pas et qui va grer les objets Stratgie de groupe.
Organisez les objets Stratgie de groupe en fonction de la maintenance
administrative : De cette faon vous pourrez dlguer le contrle des objets
Stratgie de groupe appropri et rduire le risque potentiel quun
administrateur remplace les modifications apportes par un autre
administrateur un objet Stratgie de groupe donn.
Systme dexploitation
Module 5 J uin 2004
11
Planifiez laudit des objets Stratgie de groupe : Votre organisation peut
vous demander denregistrer les modifications apporte aux objets
Stratgie de groupe ainsi que leur utilisation, afin que vous puissiez vrifier
que Active Directory applique correctement les paramtres.

Instructions de dploiement des objets Stratgie de groupe

Testez les paramtres de stratgie de groupe : dans diffrentes situations
soit sur une version miniature de lenvironnement de production dune
entreprise si il en existe une (beaucoup de grande entreprise le font) soit en
dehors des heures de pointes et mettez en place une stratgie de rgression
afin de corriger tout problme qui surviendrait. Les stratgie de test
incluent :
o Louverture de session en tant quutilisateur reprsentatif sur des
stations de travail reprsentative afin de vrifier que tout les
paramtres sont appliqus et quil nexiste aucun conflit. Vous
pouvez vous aidez de la Modlisation de stratgie de groupe et des
Rsultats de stratgie de groupe afin de voir quel paramtres sont
appliqus et partir de quel objet.
o Louverture de session dans toutes les conditions envisageable
o Le test des ordinateurs portables en les connectant au reseau depuis
les diffrents sites sur lesquels les utilisateurs sont susceptibles
douvrir une session.
Documentez le plan de stratgie de groupe : Conservez toujours la liste
dtaille de tous les objets Stratgie de groupe afin de facilement rsoudre
les problmes et grer la stratgie de groupe. Pensez y rajouter les
informations suivantes :
o Le nom et la fonction de chaque objet de Stratgie de groupe
o Les paramtres de stratgie de groupe un site, un domaine, ou une
unit dorganisation
o Les liaisons dobjet Stratgie de groupe un site, un domaine ou
une unit dorganisation
o Tout paramtre spcial appliqu lobjet Stratgie de groupe.





Pour ce rsum, je nai pas trouv lutilit de reprendre les procdures daccs aux
diffrentes consoles parce quon ne peut dj pas les rsumer et parce que je ne vois pas
lutilit dapprendre a par cur . Mais si vous en avez besoin sachez quelle sont toutes
prsentes dans la farde. Ensuite je ne prtend pas tre trs balze en OS alors si vous reprez
une erreur , nhsitez pas la signaler tous. Travaillez bien.
Roadie
Systme dexploitation
Module 5 J uin 2004
12
- 1 -
Module 6 : dploiement et gestion des logiciels laide dune stratgie de
groupe.

1. Introduction.

Ce module prsente les concepts de base du dploiement de logiciels laide de la
stratgie de groupe (SDG). Il explique comment, dployer des logiciels laide de la stratgie
de groupe, configurer le dploiement de logiciels laide de la SDG, dassurer la maintenance
des logiciels dploys laide de la SDG, de rsoudre quelque problme courants lis au
dploiement des logiciels et de planifier une stratgie de dploiement de groupe.

2. Prsentation de la gestion du dploiement de logiciels.

a) Processus dinstallation et de maintenance de logiciels

La stratgie de groupe vous permet dautomatiser linstallation, la mise niveau et
la suppression de logiciel en appliquant des paramtres de stratgie de groupe
des utilisateur ou des ordinateurs dans un site, un domaine ou une unit
dorganisation.
4 phases du processus dinstallation et de maintenance de logiciel :
1. Prparation :
a. Dterminer si on peut dployer le logiciel laide de la structure
des objets SDG courant.
b. Identifier les risques lis lutilisation de linfrastructure courante
qui empcherait linstallation logicielle.
c. Prparer les fichiers permettant le dploiement dune application
laide de la SDG soit en copiant les fichiers package Windows
Installer pour une application dans un pont de distribution de
logiciel.
2. Dploiement :
Cre un objet SDG qui installe le logiciel sur lordinateur et reli lobjet
SDG un conteneur Active directory. Le logiciel est install au
dmarrage de lordinateur ou lorsquun utilisateur dmarre
lapplication.
3. Maintenance :
Si vous procder a des mises niveau ou redploiement dun logiciel,
cela sera fait automatiquement au dmarrage de lordinateur ou
lorsquun utilisateur dmarre lapplication
4. Suppression :
Supprimez les paramtres du package de logiciel dans lobjet SDG
lorigine de son dploiement. Cela sera fait automatiquement au
dmarrage de lordinateur ou lorsquun utilisateur ouvre une session


b) Dfinition de Windows installer.
Ce composant sert a automatis linstallation et la suppression dapplication.
Composant de Windows Installer :
1. Le service Windows Installer :
Service ct client qui automatise le processus dinstallation et de
configuration logicielle partir du CD-ROM ou laide de la SDG.
- 2 -
2. Le package Windows Installer :
Fichier qui contient toute les infos dont Windows Installer a besoin pour
ds/installer des logiciels ce fichier contient :
Un fichier Windows Installer *.msi
Tout fichier source externe requis pour ds/installer le logiciel.
Un rsum des infos standard concernant le logiciel et le package.
Les fichiers du produit ou une rfrence un point dinstallation o ces
fichiers se trouvent.
Avantages :
Installation personnalise
Application tolrantes aux pannes : si un fichier critique est endommag,
lapplication le rcupre partir de la source dinstallation automatique.
Suppression propre : Windows Installer supprime tout sauf les fichier utile
a dautre application.

3. Dploiement de logiciels.

a) Introduction.

Le dploiement de logiciels garantis que les applications requises sont disponibles partir de
chaque ordinateur auxquels lutilisateur se connecte.
b) Vue densemble du processus de dploiement de logiciels

1. Crez un point de distribution de logiciels :
Dossier partag sur le serveur qui contient les fichiers de package et de logiciels. Lors de
linstallation de logiciel Windows installer ira chercher les fichiers dans ce dossier.

2. Utilisez un objet SDG pour le dploiement de logiciels.
Vous devez crer ou modifier un objet SDG pour le conteneur dans lequel vous souhaitez
dployer lapplication.
3. Modifiez les proprits de dploiement des logiciels en fonction des besoins.

c) Affectation de logiciels et publication de logiciels.


Affecter un logiciel : Laffectation de logiciels vous permet de vous assurer que lutilisateur
peut en disposer en permanence. Des raccourcis dans le menu dmarrer et des icnes sur le
bureau correspondant aux logiciels apparaissant

1. Affecter un logiciel : Laffectation de logiciels vous permet de vous assurer
que lutilisateur peut en disposer en permanence. Des raccourcis dans le menu
dmarrer et des icnes sur le bureau correspondant aux logiciels apparaissant.
Le logiciel est install automatiquement en cas de besoin.
Mthodes :
Durant la configuration de lutilisateur : le logiciel sinstalle quand
lutilisateur ouvre le logiciel ou un fichier sy rapportant.
Le logiciel sinstalle lors du dmarrage de lordinateur.
2. Publier un logiciel : sassurer que le logiciel soit disponible pour su lutilisateur
puissent linstaller.

- 3 -
Mthodes :
Installation a laide de Ajouter ou supprimer des programmes
0 laide de lactivation de documents : Lorsque vous publier une
application dans active directory, les extension de noms de fichier des
documents quelle prend en charge sont enregistres dans Active
directory. Si un utilisateur double clique sur un type de fichier inconnu,
lordinateur envoie une requte Active directory pour dterminer si
lune des applications est associe lextension. Si Active directory
contient lapplication requise, lordinateur linstalle.



d) Cration dun point de distribution de logiciels.
1. Crez un dossier partag en mode lecture.
2. Crez les dossiers dapplications appropries dans le dossier partag
3. Copiez dans les dossier approprier les package Windows installer ainsi que les
fichier connexes.

e) Utilisation dun objet SDG pour le dploiement de logiciels

Aprs avoir cre un pont de distribution de logiciels, crez un objet SDG qui dploie
ces applications, puis reliez lobjet SDG au conteneur qui contient les utilisateurs et les
ordinateurs auprs desquels vous souhaitez dployer des logiciels.

f) Options par dfaut pour installation logicielle

Emplacement des packages par dfaut.
Afficher la boite de dialogue de dploiement de logiciels : si il y a plusieurs fichier de
package
Publier : Pour publier automatiquement par dfaut un nouveau fichier de package
dinstallation.
Attribuer : pour affecter automatiquement un nouveau fichier de package
Avanc : pour plus de contrle
Interface utilisateur : - De base : utilise les paramtre par dfaut
- Toute : lutilisateur entre les valeurs.

g) Modification des options dinstallation logicielle.

Aprs avoir dploy un package de logiciels, vous pouvez modifiez les proprit qui avant
t dfinie durant le dploiement initial des logiciels.

4. Configuration du dploiement des logiciels

a) Dfinition des catgories de logiciels :

On utilise des catgories de logiciel pour organiser des logiciels affects et publis en
groupes logiques, afin que les utilisateurs puissent trouver aisment les applications dans
ajouter/supprimer. On peut crer des catgorie de logiciels pour regrouper diffrente
applications sous une entte spcifique. Les catgories de logiciels recouvrent plusieurs
- 4 -
domaines. On les dfinit une seule fois pour toute une fort. On peut utiliser la mme liste
de catgorie de logiciels dans toutes les stratgies dans la fort.

b) Dfinition de lassociation de logiciels.

Pour dterminer quels logiciels les utilisateur installent lorsquils slectionnent un
fichier, on peut choisir un extension de nom de fichier et configurer un priorit
dinstallation des application associe a lextension.
Un ordinateur client gre une liste des extensions et des applications enregistres
qui utilisent ces extensions. Lorsquun utilisateur double clique sur un type de
fichier inconnu, Windows installer utilise cette liste pour installer une application.

c) Dfinition de la modification de logiciels.

Des modifications sont associes au package W. I. au moment du dploiement plutt que
lorsque W.I. utilise le package pour installer ou modifier lapplication.
Le dploiement de plusieurs configurations dune application permet diffrents groupes
dans lorganisation dutiliser un package de logiciels de manire diffrent.
UN fichier *.mst est un package de logiciels personnalis qui modifie la manire dont
W.I. installe le package *.msi associ.

5. Maintenance des logiciels dploys.

a) Types de mises niveau de logiciels.

Mise niveau obligatoire : lutilisateur final ne peut exploiter que la version mise
niveau.
Mises niveau facultatives : Les utilisateur ont le choix de linstaller ou de ne pas
linstaller
Mises niveau slectives : On peut choisir les utilisateur qui devront faire la mise
niveau.

b) Fonctionnement de redploiement de logiciels

Un redploiement est lapplication de service packs et de mises
niveau de logiciel des logiciels dploys. On peut redployer un
package dployer pour forcer une rinstallation logiciel.
Un redploiement peut tre ncessaire si le package de logiciels
dploy prcdemment est mis jour mais conserve la mme version,
ou en cas de problme dinteroprabilit ou de virus quune installation
peut rsoudre.

c) Mthode de suppression de logiciels dploys.

Suppression force : le logiciel est automatique supprim dun ordinateur sans
avertissement
Suppression facultative : le logiciel nest pas supprimer dun ordinateur et aucune
mise niveau ne peut tre installer


- 5 -
6. Rsolution de problmes lis au dploiement de logiciels

a) Problme courant.

SYMPTOME CAUSE POSSIBLE
Les applications napparaissent pas dans
Ajouter/supprimer des programmes
Lapplication a t affecte, et non
publie
Aucun objet SDG na t appliqu
Les applications napparaissent pas dans le
menu Dmarrer
Lapplication a t publie, et non
affecte
Aucun objet SDG na t appliqu
Lapplication apparat, mais ne peut tre
installe
Le point de distribution logicielle
nest pas accessible
Les applications prcdemment
installes empchent toute nouvelle
installation.

b) Comment dterminer la cause du problme.

CAUSE METHODE DE TEST
Lapplication a t publie, et non
affecte.
Lapplication a t affecte et non
publie
Aucun objet SDG na t appliqu
Utiliser RSoP pour dterminer quel objet
SDG est appliqu
Le point de distribution logicielle
nest pas accessible
Installer manuellement Windows Installer
Les applications prcdemment installes
empchent toute nouvelle installation.
Crer le fichier journal Windows Installer
.

c) Comment Rsoudre les problmes dinstallation logiciels

CAUSE METHODE DE RESOLUTION
Lapplication a t publie, et non
affecte.
Lapplication a t affecte et non
publie
Aucun objet SDG na t appliqu
Modifier lobjet SDG
Le point de distribution logicielle
nest pas accessible
Modifier les autorisations
Les applications prcdemment installes
empchent toute nouvelle installation.
Supprimer les composants de registre





- 6 -
7. Planification dun SDG de dploiement de logiciels

a) Instruction de planification des ponts de distribution de logiciels.
Utilisez un systme de fichier DFS bas sur un domaine pour les points de distribution
de logiciels.
Spcifiez un emplacement par dfaut pour les packages
Organisez les applications par fonction
Configurer les autorisations NTFS
Utilisez un dossier partager cach
Procdez laudit daccs aux objets pour les fichiers Windows Installer.


b) Instruction de planification dun dploiement de logiciels laide de la SDG

Dployer les fichiers package en plusieurs phases.
Classez les applications par catgorie
Utilisez autant que possible des fichiers de transformation pour les package
Dterminez les conflits potentiels dans les extensions de noms de fichiers
Dployez les logiciels un niveau lev dans la hirarchie Active directory

c) Instruction de planification de maintenance de logiciels

Dterminez sil est prfrable de dployer la mise jour graduellement ou rapidement
vers tous les utilisateur et ordinateur.
Dterminez si la mise niveau sera obligatoire ou facultative.