1

Planification, implmentation et maintenance

dune infrastructure Active Directory Microsoft
Windows Server 2003



Module 1. Introduction linfrastructure
Active Directory

1.1. Prsentation dActive Directory

Active Directory permet de centraliser, de structurer, dorganiser et de contrler les ressources
rseau dans les environnements Windows 2000/2003. La structure Active Directory permet une
dlgation de ladministration trs fine pouvant tre dfinie par types dobjets.

1.1.1. Dfinition dActive Directory

Active Directory sert dannuaire des objets du rseau, il permet aux utilisateurs de localiser, de
grer et dutiliser facilement les ressources.
Il permet de raliser la gestion des objets sans liens avec la disposition relle ou les protocoles
rseaux employs. Active Directory organise lannuaire en sections, ce qui permet de suivre le
dveloppement dune socit allant de quelques objets des millions dobjets.
Combin aux stratgies de groupes, Active directory permet une gestion des postes distants de
faon compltement centralise.

1.1.2. Objets Active Directory

Active Directory stocke des informations sur les objets du rseau. Il en existe de plusieurs types :


serveurs
domaines
sites
utilisateurs
ordinateurs
imprimantes




Avec chaque objet, sont stockes des informations et des proprits qui permettent
deffectuer par exemple des recherches plus prcises (emplacement dune imprimante).
2

1.1.3. Schma Active Directory

Le schma Active Directory stocke la dfinition de tous les objets dActive Directory (ex : nom,
prnom pour lobjet utilisateur).
Il ny a quun seul schma pour lensemble de la fort, ce qui permet une homognit de
lensemble des domaines.
Le schma comprend deux types de dfinitions :
Les classes dobjets : Dcrit les objets dActive Directory quil est possible de crer.
Chaque classe est un regroupement dattributs.
Les attributs : Ils sont dfinis une seul fois et peuvent tre utiliss dans plusieurs classes (ex :
Description).

Le schma est stock dans la base de donnes dActive Directory ce qui permet des
modifications dynamiques exploitables instantanment.

1.1.4. Catalogue global

Le catalogue global contient une partie des attributs les plus utiliss de tous les objets Active
Directory. Il contient les informations ncessaires pour dterminer lemplacement de tout objet de
lannuaire.
Le catalogue global permet aux utilisateurs deffectuer 2 tches importantes :
Trouver des informations Active Directory sur toutes les forts, quel que soit lemplacement des
ces donnes.
Utiliser des informations dappartenance des groupes universels pour ouvrir une session sur
le rseau.
Un serveur de catalogue global est un contrleur de domaine qui conserve une copie du
catalogue global et peut ainsi traiter les requtes qui lui sont destines. Le premier contrleur de
domaine est automatiquement le serveur de catalogue global. Il est possible de configurer
dautres contrleurs de domaine en serveur de catalogue global afin de rguler le trafic.

Lauthentification douverture de session ne peut se faire que sur un contrleur de domaine.

1.1.5. Protocole LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole du service dannuaire utilis pour
interroger et mettre jour Active Directory.
Chaque objet de lannuaire est identifi par une srie de composants qui constituent son chemin
daccs LDAP au sein dActive Directory (CN=Loc THOBOIS, OU=Direction, DC=labo-microsoft,
DC=lan).
DC : Composant de domaine (lan, com, labo-microsoft, )
OU : Unit dorganisation (contient des objets)
CN : Nom usuel (Nom de lobjet)
Les chemins daccs LDAP comprennent les lments suivants :
Les noms uniques : le nom unique identifie le domaine dans lequel est situ lobjet, ainsi que
son chemin daccs complet (ex : CN=Brahim NEDJIMI, OU=Direction, DC=labomicrosoft,
DC=lan)
Les noms uniques relatifs : partie du nom unique qui permet didentifier lobjet dans son
conteneur (ex : Brahim NEDJIMI).

1.2. Structure logique dActive Directory
La structure logique dActive Directory offre une mthode efficace pour concevoir une hirarchie.
3
Les composants logiques de la structure dActive Directory sont les suivants :






1.2.1. Les Domaines

Unit de base de la structure Active Directory, un domaine est un ensemble dordinateurs et/ou
dutilisateurs qui partagent une mme base de donnes dannuaire. Un domaine a un nom
unique sur le rseau.
Dans un environnement Windows 2000/2003, le domaine sert de limite de scurit. Le rle dune
limite de scurit est de restreindre les droits dun administrateur ou de tout autre utilisateur avec
pouvoir uniquement aux ressources de ce domaine et que seuls les utilisateurs explicitement
promus puissent tendre leurs droits dautres domaines.
Dans un domaine Windows 2000/2003, tous les serveurs maintenant le domaine (contrleurs de
domaine) possdent une copie de lannuaire dActive Directory. Chaque contrleur de domaine
est capable de recevoir ou de dupliquer les modifications de lensemble de ses homologues du
domaine.

1.2.2. Les Units dorganisation

Une unit dorganisation est un objet conteneur utilis pour organiser les objets au sein du
domaine. Il peut contenir dautres objets comme des comptes dutilisateurs, des groupes, des
ordinateurs, des imprimantes ainsi que dautres units dorganisation.
Les units dorganisation permettent dorganiser de faon logique les objets de lannuaire (ex :
reprsentation physique des objets ou reprsentation logique).
Les units dorganisation permettent aussi de faciliter la dlgation de pouvoir selon
lorganisation des objets.

1.2.3. Les Arborescences

4

Le premier domaine install est le domaine racine de la fort. Au fur et mesure que des
domaines lui sont ajouts, cela forme la structure de larborescence ou la structure de la fort,
selon les exigences pour les noms de domaine.
Une arborescence est un ensemble de domaines partageant un nom commun. Par exemple,
supinfo.lan est le domaine parent du domaine paris.supinfo.lan et du domaine
martinique.supinfo.lan.
La relation dapprobation entre un domaine enfant et son domaine parent est de type
bidirectionnel transitif.



Une relation bidirectionnelle permet deux domaines de sapprouver mutuellement. Ainsi le
domaine A approuve le domaine B et le domaine B approuve le domaine A.

On dispose de trois domaines nomms A, B et C. A approuve B et B approuve C. La relation
dapprobation transitive implique donc que A approuve C.



1.2.4. Les forts

Une fort est un ensemble de domaines (ou darborescences) nayant pas le mme nom
commun mais partageant un schma et un catalogue global commun. Par exemple, une mme
fort peut rassembler deux arborescences diffrentes comme laboms.com et supinfo.lan.

5

Par dfaut, les relations entre les arborescences ou les domaines au sain dune fort sont des
relations dapprobation bidirectionnelles transitives. Il est possible de crer manuellement des
relations dapprobation entre deux domaines situs dans deux forts diffrentes. De plus
Windows Server 2003 propose un niveau fonctionnel permettant de dfinir des relations
dapprobations entre diffrentes forts.

1.2.5. Les rles de matres dopration
Avec Windows NT 4.0, les contrleurs de domaine suivent un schma matre/esclave. Ainsi n
distingue les contrleurs de domaine primaires ou PDC (Primary Domain Controler) accessibles
en lecture/criture et les contrleurs de domaine secondaires ou BDC (Backup Domain
Controler).
Dans un domaine Windows 2000/2003, cette notion nexiste plus, on parle de contrleurs de
domaine multi-matres. En effet, les modifications dActive Directory peuvent tre fates sur
nimporte quel contrleur de domaine. Cependant, il existe des exceptions pour lesquelles les
modifications sont ralises sur un contrleur de domaine spcifiques. Ces exceptions sont
nommes rles de matre dopration et sont au nombre de cinq :
Contrleur de schma : Cest le seul contrleur de domaine habilit modifier et mettre jour
le schma.
Matre dattribution des noms de domaine : Il permet dajouter ou de supprimer un domaine dans
une fort.
Emulateur PDC : Il ajoute la compatibilit avec les BDC sous Windows NT 4.0.
Matre didentificateur relatif ou matre RID : Il distribue des plage didentificateurs relatif (RID)
tous les contrleurs de domaine pour viter que deux objets diffrents possdent le mme RID.
Matre dinfrastructure : Il permet de mettre jour les ventuelles rfrences dun objet dans les
autres domaines lorsque cet objet est modifi (dplacement, suppression,).

Les deux premiers rles sont assigns au niveau de la fort et les trois derniers au niveau du
domaine.
Ainsi pour chaque domaine cre dans une fort, il faut dfinir le ou les contrleurs de domaine
qui auront les rles mulateur PDC, matre RID et matre dinfrastructure.
Par dfaut le premier contrleur de domaine dune nouvelle fort cumule les cinq rles.
6

1.3. Structure Physique dActive Directory
Dans Active Directory, la structure logique et la structure physique sont distinctes. La structure
physique permet doptimiser les changes dinformations entre les diffrentes machines en
fonction des dbits assurs par les rseaux qui les connectent.

1.3.1 Contrleurs de domaine

Un contrleur de domaine est un ordinateur excutant Windows 2000 Server ou Windows
2003 Server qui stocke un rpliqua de lannuaire. Il assure la propagation des modifications faites
sur lannuaire. Il assure lauthentification et louverture des sessions des utilisateurs, ainsi que les
recherches dans lannuaire.
Un domaine peut possder un ou plusieurs contrleurs de domaine. Dans le cas dune socit
constitue de plusieurs entits disperses gographiquement, on aura besoin dun contrleur de
domaine dans chacune de ses entits.





1.3.2. Sites et liens de sites

Un site est une combinaison dun ou plusieurs sous rseaux connects entre eux par une liaison
haut dbit fiable (liaison LAN). Dfinir des sites permet Active Directory doptimiser la
duplication et lauthentification afin dexploiter au mieux les liaisons les plus rapides.
En effet, les diffrents sites dune entreprise sont souvent relis entres eux par des liaisons bas
dbit et dont la fiabilit est faible (liaisons WAN). La cration de liens de sites permet de prendre
en compte la topologie physique du rseau pour les oprations de rplication. Un lien de site
avec des paramtres spcifiques. Ces paramtres peuvent prendre en compte le cot de la
liaison, la planification ainsi que lintervalle de temps entre deux rplications.

Dans lexemple ci-contre, on dispose de deux site : Paris et Martinique. Ces deux sites sont relis
par une liaison WAN proposant une bande passante de 128kb/s. A lintrieur du site Paris, les
contrleurs de domaine sont interconnects entre eux par le biais dun commutateur gigabit (avec
une bande passante de 1000 Mb/s).
En crant un lien de site, il est possible forcer la rplication entre les deux sites seffectuer
toutes les 90 minutes uniquement entre 20 heures et 6 heures.

7


La rplication Active Directory peut utiliser deux protocoles diffrents :
IP pour les liaisons intra site.
RPC pour les liaisons inter site.
SMTP pour les liaisons inter site.





Module 2. Implmentation dune structure de
fort et de domaine Active Directory

Un domaine dsigne lunit administrative de base dun rseau Windows 2000/2003.
Le premier domaine dune nouvelle fort cr dans Active Directory reprsente le domaine racine
de lensemble de la fort.
La cration dun domaine deffectue laide de la commande dcpromo. Lassistant dinstallation
dActive Directory vous guide alors dans la cration dun nouveau domaine ou dans la cration
dun contrleur de domaine supplmentaire dans un domaine Windows 2000/2003 existant.

2.1. Installation dActive Directory
2.1.1. Les pr requis pour installer Active Directory

8
Voici la configuration requise pour pouvoir installer Active Directory :

Un ordinateur excutant Windows 2003 Standard Edition, Enterprise Edition ou
Datacenter Edition. Attention, le service dannuaire Active Directory ne peut pas tre
install sur Windows 2003 Server Web Edition.
250 Mo despace libre sur une partition ou un volume NTFS
Les paramtres TCP/IP configur pour joindre un serveur DNS
Un serveur DNS faisant autorit pour grer les ressources SRV
Des privilges administratifs suffisants pour crer un domaine

Vous pouvez afficher les serveurs DNS faisant autorit pour un domaine donn en tapant la
commande nslookup -type=ns nom.du.domaine.

2.1.2. Le processus dinstallation dActive Directory

Lassistant dinstallation ralise diverses tches successives :

Dmarrage du protocole de scurit et dfinition de la scurit
Cration des partitions Active Directory, de la base de donnes et des fichiers journaux
Cration du domaine racine de la fort
Cration du dossier SYSVOL
Configuration de lappartenance au site du contrleur de domaine
Activation de la scurit sur le service dannuaire et sur les dossiers de rplication de
fichiers.
Activation du mot de passe pour le mode de restauration

2.1.3. Les tapes post installation

Une fois que linstallation dActive Directory termine, il faut vrifier la prsence et le bon
fonctionnement du service dannuaire. Cela passe par plusieurs tapes :

Contrler la cration du dossier SYSVOL et de ses partages
Vrifier la prsence de la base de donne dannuaire et des fichiers journaux
Contrler la structure Active Directory par dfaut
Analyser les journaux dvnements

2.2. Implmentation du systme DNS pour la prise en
charge dActive Directory
Les infrastructures Windows 2000/2003 intgrent le systme DNS (Domain Name Service) et le
service dannuaire Active Directory.
Ces deux lments sont lis: En effet, le systme DNS est un pr requis pour installer Active
Directory. Ces deux composants utilisent la mme structure de noms hirarchique afin de
reprsenter les domaines et les ordinateurs sous forme dobjets Active Directory ou bien sous
forme de domaines DNS et denregistrement de ressources.

2.2.1. Le rle du Systme DNS dans Active Directory

Le systme DNS fournit les principales fonctions ci-dessous sur un rseau excutant Active
Directory :

Rsolution de noms : le systme DNS rsout les noms de machines en adresses IP.
Par exemple, un ordinateur nomm labo-1 dsirant se connecter un autre ordinateur
9
nomm labo-2 enverra une requte au serveur DNS qui lui renverra ladresse IP de labo-
2. Le systme DNS peut aussi effectuer une rsolution de nom inverse, c'est--dire
fournir le nom dune machine partir de ladresse IP qui lui est communique.
Convention de dnomination : Active Directory emploie les conventions de
dnomination du systme DNS. Ainsi, microsoft.supinfo.com peut tre un nom de
domaine DNS et/ou un nom de domaine Windows 2000.
Localisation des composants physiques dActive Directory : Le systme DNS
identifie les contrleurs de domaine par rapport aux services spcifiques quils proposent
comme lauthentification dune connexion ou la recherche dinformations dans Active
Directory.

Lors de louverture dune session, une machine cliente doit sadresser un contrleur de
domaine, seul capable de lauthentifier. Le systme DNS pourra lui fournir lemplacement de lun
de ces contrleurs de domaine.


2.2.3. Les enregistrements de ressources cres lors de linstallation
dActive Directory

Lors de linstallation dActive Directory, la structure de la zone DNS de recherche directe est
modifie. Un certain nombre de sous domaines et denregistrements de ressources sont ajouts.
Il convient de vrifier la prsence de ces enregistrements la fin du processus dinstallation
Active
Directory.




Les sous domaine _tcp, _udp et _sites contiennent les enregistrements SRV faisant rfrences
tous les contrleurs de domaine de la fort.
Ce sont ces enregistrements qui permettent aux ordinateurs clients de connatre lemplacement
des contrleurs de domaine. De plus ces enregistrements sont aussi utiliss par le processus de
rplications.
Le sous domaine _mstsc permet notamment de trouver les contrleurs de domaine ayant un rle
de matre dopration (exemple : mulateur PDC).

2.3. Les diffrents niveaux fonctionnels
Le niveau fonctionnel dun domaine ou dune fort dfinit lensemble des fonctionnalits
supportes par le service dannuaire Active Directory dans ce domaine ou dans cette fort.

2.3.1. Les niveaux fonctionnels de domaine
10

Le niveau fonctionnel par dfaut dun domaine est Windows 2000 mixte. Il existe deux autres
niveaux fonctionnels disponibles sous Windows 2003 Server. Voici leurs caractristiques :

Windows 2000 mixte : supporte les groupes universels et les imbrications de groupes
Windows 2000 natif : supporte les groupes de conversion et lhistorique SID
Windows Server 2003 : supporte le changement du nom dun contrleur de domaine, la
mise jour du cachet d'ouverture de session, le numro de version des cls Kerberos
KDC et un mot de passe utilisateur sur l'objet InetOrgPerson.



2.3.2. Laugmentation dun niveau fonctionnel de domaine

Il est possible daugmenter le niveau fonctionnel dun domaine. Cette opration se ralise dans la
console Domaines et approbations Active Directory (accessible en tapant domain.msc dans la
boite de dialogue excuter) ou bien dans la console Utilisateurs et ordinateurs Active Directory
(accessible en tapant dsa.msc dans la boite de dialogue excuter). Pour raliser cette opration,
vous devez tre membre du groupe administrateurs du domaine.
Avant daugmenter le niveau fonctionnel dun domaine, il est ncessaire de vrifier que les
contrleurs de domaines excutent le systme dexploitation requis. En effet, une fois le niveau
fonctionnel augment, il est impossible de revenir en arrire sans dsinstaller le service
dannuaire sur lensemble des contrleurs de domaine du domaine. Voici les la liste des
systmes dexploitation utilisables pour chaque niveau fonctionnel :

Windows 2000 mixte : contrleurs de domaine excutant Windows NT 4.0, 2000 Server
ou 2003 Server.
Windows 2000 natif : contrleurs de domaine excutant Windows 2000 Server ou 2003
Server.
Windows Server 2003 : contrleurs de domaine excutant Windows 2003 Server
uniquement.

Ainsi, pour augmenter le niveau fonctionnel dun domaine vers le niveau Windows Server 2000
natif, il faudra imprativement effectuer une mise jour du systme dexploitation de tous
contrleurs de domaine du domaine ou de la fort fonctionnant avec Windows NT 4.0 ou une
version antrieure.
De plus, une fois le niveau fonctionnel du domaine augment, les contrleurs de domaine
excutant des versions antrieures du systme d'exploitation ne peuvent pas tre introduits dans
le domaine. Par exemple, si vous augmentez le niveau fonctionnel du domaine Windows
Server 2003, les contrleurs de domaine excutant Windows 2000 Server ne peuvent pas tre
ajouts ce domaine.

2.3.3. Les niveaux fonctionnels de fort

Le niveau fonctionnel d'une fort active des fonctionnalits spcifiques dans tous les domaines
de cette fort. Voici les trois niveaux fonctionnels disponibles pour une fort ainsi que la liste des
systmes dexploitations utilisables pour chaque niveau :

Windows 2000 (niveau par dfaut): contrleurs de domaine excutant Windows NT
4.0, 2000 Server ou 2003 Server.
Windows Server 2003 provisoire : contrleurs de domaine excutant Windows NT 4.0
ou 2003 Server.
Windows Server 2003 : contrleurs de domaine excutant Windows 2003 Server
uniquement.
11

2.3.4. Laugmentation dun niveau fonctionnel de fort

Lorsque tous les domaines dune fort ont le mme niveau fonctionnel, il est possible
daugmenter le niveau fonctionnel de la fort. Seul un membre du groupe administrateurs de
lentreprise peut raliser cette opration.
Une fois le niveau fonctionnel de la fort augment, les contrleurs de domaine excutant des
versions antrieures du systme d'exploitation ne peuvent pas tre introduits dans la fort. Par
exemple, si vous augmentez le niveau fonctionnel de la fort Windows Server 2003, les
contrleurs de domaine excutant Windows 2000 Server ne peuvent pas tre ajouts cette
fort.
Dans le cadre de la migration vers Windows 2003 Server dun domaine exclusivement compos
de machines sous Windows NT 4.0, il est possible dutiliser le niveau Windows 2003 Server
provisoire.
Ce niveau ne prend pas en charge les contrleurs de domaine sous Windows 2000 Server.

2.4. Les relations dapprobation
Les relations dapprobations permettent un utilisateur dun domaine donn daccder aux
ressources de son domaine, mais aussi dautres domaines (les domaines approuvs). Les
relations dapprobations se diffrencient de par leur type (transitif ou non transitif) et de par leur
direction (unidirectionnel entrant, unidirectionnel sortant, bidirectionnel).

2.4.1. Transitivit de lapprobation

Soient trois domaines distincts relis entres eux par les deux relations suivantes :



Le domaine A approuve directement le domaine B. Ainsi un utilisateur du domaine A peut
accder toutes les ressources du domaine A et du domaine B.
Le domaine B approuve directement le domaine C. Ainsi un utilisateur du domaine B
peut accder toutes les ressources du domaine B et du domaine C.

Si les deux relations dapprobations de A B et de B C sont transitives, alors le domaine A
approuve indirectement le domaine C. Dans ce cas de figure un utilisateur du domaine A peut
accder toutes les ressources du domaine A, du domaine B et du domaine C.
Si les deux relations dapprobations de A B et de B C ne sont pas transitives, alors le
domaine A napprouve pas le domaine C. Dans ce cas de figure, un utilisateur du domaine A ne
peut pas accder aux ressources du domaine C.





2.4.2. Direction de lapprobation
12

Lors de la cration dune relation dapprobation manuelle sous Windows Server 2003, trois
directions dapprobation diffrentes sont utilisables.

Si vous avez configur une relation dapprobation unidirectionnelle entrante entre le domaine A et
le domaine B, alors les utilisateurs du domaine A peuvent tre authentifis dans le domaine B.




Si vous avez configur une relation dapprobation unidirectionnelle sortante entre le domaine A et
le domaine B, alors les utilisateurs du domaine B peuvent tre authentifis dans le domaine A.



Si vous avez configur une relation dapprobation bidirectionnelle entre le domaine A et le
domaine B, alors les utilisateurs de chaque domaine peuvent tre authentifis dans les deux
domaines.



2.4.3. Les relations dapprobations

Approbation racine/arborescence

Lorsquune nouvelle arborescence est cre au sein dune fort, une relation dapprobation
bidirectionnelle transitive lie automatiquement cette nouvelle arborescence au domaine racine de
la fort.
Dans exemple ci-contre, larborescence supinfo.lan est lie laboms.lan, le domaine racine de la
fort, par le biais dune relation racine/arborescence.

13


Approbation parent-enfant

Une approbation parent-enfant est une relation dapprobation bidirectionnelle transitive. Elle est
automatiquement cre lorsquun nouveau domaine est ajout une arborescence.

Dans lexemple ci-contre, on ajoute le sous domaine paris.supinfo.lan lintrieur du domaine
supinfo.lan. Les deux domaines sont automatiquement relis par une relation parent-enfant. Ainsi
les utilisateurs du domaine supinfo.lan peuvent tre authentifis dans le domaine
paris.supinfo.lan et vice-versa.






14
Approbation raccourcie

Une approbation raccourcie est une relation dapprobation partiellement transitive. Elle doit tre
dfinie manuellement ainsi que sa direction. Les relations dapprobation raccourcie permettent de
rduire les sauts de lauthentification Kerberos.
En effet, si un utilisateur du domaine martinique.supinfo.lan souhaite sauthentifier dans le
domaine mail.laboms.lan, il doit passer par deux approbations parent/enfant et par une
approbation racine/arborescence. Lapprobation raccourcie permet donc dacclrer
lauthentification inter-domaine.




Approbation externe

Une approbation externe est une relation dapprobation non transitive. Elle doit tre cre
manuellement et peut avoir une direction unidirectionnelle ou bidirectionnelle.
Lapprobation externe permet de relier des domaines appartenant deux forts distinctes.




15
Approbation de domaine

Une approbation de domaine est une relation dapprobation dont la transitivit et la direction
doivent tre paramtres par ladministrateur.
Lapprobation de domaine permet de relier un domaine sous Active Directory avec un domaine
Kerberos non Microsoft.




Approbation de fort

Une approbation de fort permet de relier lintgralit des domaines de deux forts.
Les approbations de fort et leurs directions doivent tre dfinies manuellement. Les deux forts
doivent imprativement utiliser le niveau fonctionnel de fort Windows Server 2003. Il ny a pas
de transitivit entre les forts.









16
Module 3. Implmentation d'une structure
d'unit d'organisation

3.1. Cration et gestion d'units d'organisation
3.1.1. Prsentation de la gestion des units d'organisation

La cration et la gestion dunits dorganisation passent par quatre phases trs importantes :

La planification : Cest la phase la plus importante car cest ce moment que vous allez
dterminer le systme hirarchique des objets les uns par rapport aux autres. Ce
systme hirarchique sera lpine dorsale de votre systme administratif. Vous devez
prvoir aussi la nomenclature de nom des UO ce niveau.
Le dploiement : Cest la phase de cration des units dorganisation sur le serveur, elle
comprend aussi la phase de dplacement des objets dans les units dorganisation.
La maintenance : Cest la phase dexploitation des units dorganisation une fois quelle
seront en production. Cela comprend toutes les modifications lies aux modifications
courantes dorganisation de lentreprise.
La suppression : Tous les objets dans Active Directory occupent un certain espace sur
le disque ainsi que sur le rseau lors des rplications.

3.1.2. Mthodes de cration et de gestion des units d'organisation

Afin de pouvoir crer vos units dorganisation, quatre mthodes sont votre disposition :

Loutil Utilisateurs et ordinateurs Active Directory : Cet outil graphique est le moyen
le plus rapide pour crer une unit dorganisation. Il atteint rapidement ces limites lorsque
lon dsire crer plus dune cinquantaine de compte.
Les outils en ligne de commande (dsadd, dsmod, drrm) : Ces outils permettent via
ligne de commande ou via script batch de crer des units dorganisation.
Exemple :
dsadd ou "ou= SUPINFO Training Center, dc=supinfo, dc=lan" -u Administrateur -p
*
Loutil LDIFDE : Cet outil permet de faire de limport et de la modification en masse
partir dun fichier texte. La plupart des moteurs LDAP permettent dexporter vers ce
format.
Exemple :
dn: OU=Labo-Cisco,DC=supinfo, DC=lan
changetype: delete

dn: OU=Labo-Microsoft, DC=supinfo, DC=lan
changetype: add
objectClass: organizationalUnit

Les scripts VBS : Ces scripts permettent de faire de limport dunits dorganisation en
ajoutant des conditions pour la cration de ces UO.
Exemple :
Set objDom = GetObject("LDAP://dc=supinfo,dc=lan")
Set objOU = objDom.Create("OrganizationalUnit", "ou=Salle A")
objOU.SetInfo


17
3.2. Dlgation du contrle administratif des units
d'organisation
Active Directory est un systme intgrant la scuris : seuls les comptes ayant reu les
permissions adquates peuvent effectuer des oprations sur ces objets (ajout, modification, ).
Les administrateurs, en charge de cette affectation de permissions peuvent aussi dlguer des
tches dadministration des utilisateurs ou des groupes dutilisateurs.

3.2.1. Scurit des objets

Dans Active Directory, chaque objet est scuris, ce qui signifie que laccs a chacun deux est
cautionn par lexistence de permissions en ce sens.
A chaque objet est associ un descripteur de scurit unique qui dfinit les autorisations daccs
ncessaires pour lire ou modifier les proprits de cet objet.

En ce qui concerne la restriction daccs aux objets ou leurs proprits, le descripteur contient
la
DACL (Discretionary Access Control List) et en ce qui concerne laudit, le descripteur contient la
SACL (System Access Control List).
Le contrle daccs dans Active Directory repose non seulement sur les descripteurs de scurit
des objets, mais aussi sur les entits de scurit (par exemple un compte dutilisateur ou un
compte de machine), et les identificateurs de scurit (SID, dont le fonctionnement est
globalement identique celui sous NT 4.0 et Windows 2000).

Active Directory tant organis hirarchiquement, il est possible de dfinir des permissions sur un
conteneur et de voir ces permissions hrites ses sous conteneurs et ses objets enfants (si
on le souhaite). Grce cela, ladministrateur naura pas appliquer les mmes permissions
objet par objet, limitant ainsi la charge de travail, et le taux derreurs.

Dans le cas o lon dfinirait des permissions spcifiques pour un objet et que ces dernires
entrent en conflit avec des permissions hrites, ce seront les permissions hrites qui seront
appliques.

Dans certains cas, on ne souhaite pas que des permissions soient hrites, il est alors possible
de bloquer cet hritage. Par dfaut, lors de la cration dun objet, lhritage est activ. Par
consquent, une DACL correspondant aux permissions du conteneur parent est cre pour cet
objet. Lors du blocage de lhritage, on dfinit une nouvelle DACL qui sera soit copie depuis la
DACL du parent, soit vierge.

3.2.2. Dlgation de contrle

Il est possible de dlguer un certain niveau dadministration dobjets Active Directory nimporte
quel utilisateur, groupe ou unit organisationnelle.
Ainsi, vous pourrez par exemple dlguer certains droits administratifs dune unit
organisationnelle (ex : cration dobjets dans cette UO) un utilisateur.
Lun des principaux avantages quoffre cette fonctionnalit de dlgation de contrle est quil
nest plus ncessaire dattribuer des droits dadministration tendus un utilisateur lorsquil est
ncessaire de permettre un utilisateur deffectuer certaines tches.
Sous NT4, si lon souhaitait quun utilisateur dans un domaine gre les comptes dutilisateurs
pour son groupe, il fallait le mettre dans le groupe des Oprateurs de comptes, qui lui permet de
grer tous les comptes du domaine.

Avec Active Directory, il suffira de cliquez avec le bouton droit sur lUO dans laquelle on souhaite
lui dlguer ladministration dune tche et de slectionner Dlguer le contrle.
18
On pourra dfinir quelques paramtres comme les comptes concerns par cette dlgation et le
type de dlgation, dans notre cas, Crer, supprimer et grer des comptes dutilisateur (On
peut affiner en dlguant des tches personnalises comme par exemple uniquement le droit de
rinitialiser les mots de passe sur les objets de compte dutilisateur de lUO, ).




Module 4. Dploiement et gestion des
logiciels l'aide d'une stratgie de groupe
4.1. Prsentation de la gestion du dploiement de
logiciels
1. Prparation : Les fichiers dinstallation au format Windows Installer doivent tre copis
dans un partage sur un serveur de fichiers sur lequel les utilisateurs concerns auront les
droits de lecture. Ce partage est nomm point de distribution.
2. Dploiement : Une GPO doit tre cre afin que les logiciels sinstallent
automatiquement lors du dmarrage de lordinateur ou louverture de session dun
utilisateur.
3. Maintenance : Le logiciel qui a t dploy peut tre mis jour via le mme procd et
un Service Pack peut tre automatiquement dploy sur lensemble des postes sur
lesquels le logiciel a t install.
4. Suppression : Lorsque vous voulez dsinstaller un logiciel distance, il suffit de
supprimer la GPO permettant le dploiement du logiciel et automatiquement le logiciel
sera supprim des machines.

4.2. Prsentation de Windows Installer
Service Windows Installer : service sexcutant sur le client et permettant de raliser
les installations distance de faon compltement automatise. Il est capable de
modifier ou de rparer automatiquement les logiciels dfectueux.
Package Windows Installer : fichier de type .msi contenant toutes les informations
ncessaires linstallation du logiciel.

4.3. Dploiement de logiciels
4.3.1. Affectation de logiciels :

Laffectation permet de garantir la prsence dun logiciel pour un utilisateur ou une machine.
Dans le cas dune affectation un utilisateur, un raccourci de lapplication va apparatre dans son
menu Dmarrer et les types de fichier de lapplication seront directement enregistrs. Des que
lutilisateur va cliquer sur le raccourci ou sur un fichier de lapplication (ex : un fichier .doc dans le
cas de Word), le logiciel va sinstaller automatiquement.
Dans le cas dune affectation un ordinateur, lapplication va sinstaller des le dmarrage de la
machine. Le logiciel sera alors disponible pour tous les utilisateurs de la machine.

Laffectation dune application un contrleur de domaine ne fonctionne pas.
19

4.3.2. Publication de logiciels :

La publication dun logiciel laisse le choix lutilisateur dinstaller ou non lapplication sur sa
machine.
Elle ne peut tre mise en oeuvre que pour un utilisateur et pas pour un ordinateur.
Lapplication apparat dans le panneau de configuration Ajout/Suppression de programmes dans
une liste regroupant toutes les applications pouvant tre installes.
Une autre mthode permet dinstaller le logiciel en utilisant lappel de documents. Lorsquune
application est publie dans lActive Directory les types de fichiers quelle prend en charge sont
enregistrs et lorsquun fichier reconnu fait lobjet dune tentative douverture par un utilisateur
ayant lapplication correspondante publie, le programme est install.


4.3.3. Suppression de logiciels dploys

Lors de la suppression dun logiciel dans lActive Directory, une boite de dialogue souvre et deux
options de suppression vous sont proposes :

Dsinstallation immdiate : Le logiciel est dsinstall au prochain dmarrage de la
machine ou la prochaine ouverture de session de lutilisateur.
Autoriser lutilisateur continuer utiliser le logiciel : Les logiciels ne sont pas
dsinstalls mais ils napparatront plus dans la liste du panneau de configuration
Ajout/Suppression de programmes.






Module 5. Implmentation de sites pour grer
la rplication Active Directory
5.1. Fonctionnement de la duplication
Dans un domaine Windows 2003, un ou plusieurs contrleurs de domaine hbergent la base de
donnes Active Directory.

La duplication rpercute les modifications apportes a la base de donnes Active Directory
depuis un contrleur de domaine sur tous les autres contrleurs de domaine du domaine et ce,
de faon transparente pour les administrateurs et les utilisateurs.

Cette duplication est qualifie de multimatres car plusieurs contrleurs de domaine (appels
matres ou rpliquas) ont la capacit de grer ou modifier les mmes informations dActive
Directory.
La duplication peut se produire diffrents moments.
Par exemple, lors de lajout dobjets sur un contrleur de domaine, on peut dire que la copie de la
base de donnes Active Directory quil contient a subit une mise jour dorigine.
Lorsque cette mise jour est duplique sur un autre rpliqua du domaine, on dira alors que ce
dernier a effectu une mise jour duplique.
20
La mise jour effectue sur le second contrleur peut aussi tre duplique sur un troisime
contrleur de domaine.

Le processus de duplication nintervient quentre deux contrleurs de domaine la fois.

Aprs avoir apport une modification sur un contrleur de domaine, un temps de latence (par
dfaut 5 minutes) est observ avant denvoyer un message de notification au premier partenaire
de rplication.
Chaque partenaire direct supplmentaire est inform 30 secondes (valeur par dfaut) aprs la
rception de la notification. Lorsquun partenaire de rplication est inform dune modification
apporte la base, il rcupre celle ci depuis le contrleur de domaine ayant mis la notification.
Dans certains cas, la notification de changement est immdiate, ainsi que la duplication. Cest le
cas lors de la modification dattributs dobjets considrs comme critiques du point de vue
scurit (par exemple, la dsactivation dun compte). On parle alors de duplication urgente.

Toutes les heures (valeur par dfaut paramtrable), si aucune modification na t apporte la
base Active Directory, un processus de duplication est lanc. Ceci, pour sassurer que la copie de
la base de donnes Active Directory est identique sur tous les contrleurs de domaine.

5.2. Rsolution des conflits de duplication
La duplication DActive Directory tant multi matre, des conflits peuvent survenir lors des mises
jour.
Pour minimiser les conflits, les contrleurs de domaines se basent sur les modifications
apportes aux attributs des objets plutt que les objets eux mme. Ainsi, si deux attributs
distincts dun mme objet sont modifis simultanment par deux contrleurs de domaine, il ny
aura pas de conflit.
Pour rsoudre certains conflits, Active Directory emploie un cachet unique global qui est envoy
avec les mises jour dorigine (et uniquement celles-ci). Ce cachet contient les composants
suivants (du plus important au moins important):

Le numro de version : la numrotation commence a 1. Il est incrment de 1 chaque
mise jour dorigine.
Dateur : il sagit de la date et de lheure du dbut de la mise a jour, issue de lhorloge
systme du contrleur de domaine sur lequel a eu lieu la mise a jour dorigine.
Serveur GUID (Globally Unique IDentifier Identificateur universel unique) : il est
dfini par le DSA (Directory System Agent) dorigine qui identifie le contrleur de
domaine sur lequel a eu lieu la mise jour dorigine.

Pour que les dateurs soient justes, il est impratif que toutes les horloges des contrleurs de
domaine soient synchronises. Dans le cas contraire il y a un risque de perte de donnes dans
lannuaire ou que ce dernier soit endommag.

On dnombre trois types de conflits potentiels :

Valeur dattribut : il survient lorsque lattribut dun objet est modifi sur diffrents
contrleurs avec des valeurs diffrentes. On rsout le conflit en gardant lattribut modifi
ayant la plus grande valeur de cachet.
Lajout ou le dplacement dun objet dans un conteneur supprim : ce conflit
intervient lorsquun objet est ajout dans un conteneur (par exemple un utilisateur dans
lUO ventes) alors que ce conteneur a t supprim sur un autre contrleur de domaine.
La duplication nayant pas eu lieu, cette suppression na pas encore t prise en compte
par tous les contrleurs de domaine. Le conflit est rsolu par la rcupration des objets
orphelins dans le conteneur LostAndFound.
21
Nom parent : ce conflit se produit lorsquun rpliqua tente de dplacer un objet dans un
conteneur dans lequel un autre rpliqua a plac un objet portant le mme nom. Ce conflit
est rsolu par le changement de nom de lobjet ayant le cachet le moins important.

5.3. Topologie de duplication
5.3.1. Partitions dannuaire

La base de donnes Active Directory se compose logiquement de plusieurs partitions dannuaire
: la partition de schma, la partition de configuration et les partitions de domaine. Une partition
est une unit de duplication indpendante des autres utilisant une procdure de duplication
propre.





5.3.1.1. Partition de schma

Elle contient la dfinition de tous les objets et attributs pouvant tre crs dans lannuaire, ainsi
que les rgles de cration et de gestion de ces objets. Ces informations sont dupliques sur tous
les contrleurs de domaine de la fort car il ne peut y avoir quun seul schma pour une fort.

5.3.1.2. Partition de configuration

Elle contient toutes les informations lies la structure dActive Directory, avec entre autres les
domaines, domaines enfants, sites, etc
Ces informations sont, elles aussi, dupliques sur tous les contrleurs de domaine afin de
maintenir lunicit dans la fort.

5.3.1.3. Partitions de domaine

Une partition de domaine contient les informations lies aux objets dun domaine Active
Directory.
Ces informations sont dupliques sur lensemble des DC du domaine. Par consquent, il peut
exister plusieurs partitions de domaine dans une mme fort.

5.3.2. Topologie de duplication

La topologie de duplication est le chemin que va emprunter le processus de duplication pour
mettre jour les donnes sur les contrleurs de domaine.
Deux contrleurs de domaine impliqus dans la duplication dActive directory sont lis par des
objets de connections, qui sont des chemins de duplication unidirectionnels. On parle aussi de
partenaires de rplication.
Les objets de connexion peuvent tre crs manuellement par un administrateur o
automatiquement, via le KCC.
La gestion des objets de connexion se fait par lintermdiaire de la console Sites et Services
Active Directory.
Lorsque les partenaires de rplications sont directement lis par des objets de connexion, on
parle de partenaires de rplication directs.
Si lon a trois contrleurs de domaine A,B et C et quil existe des objets de connexion entre A-B et
BC, alors A et C sont partenaires de rplication transitifs.
22
Lutilitaire Rplication Monitor Active Directory permet de visualiser les partenaires de rplication
transitifs.

5.3.3. Gnration de topologie de duplication automatique

Lorsque lon ajoute un contrleur de domaine un site, Active Directory est capable de lier
automatiquement ce contrleur dautres via des paires dobjets de connexion. Ceci afin de
prendre en compte ce contrleur dans la duplication.
Cest le KCC (Knowledge Consistency Checker vrificateur de cohrence des connaissances)
sexcutant sur chaque contrleur de domaine qui est en charge de cela. Cest donc lui qui
gnre la topologie de duplication pour la fort.
Il utilise entre autre les informations sur les diffrents sites (sous-rseau, type de lien et cot de
transmission intersites,) pour calculer le meilleur chemin entre les contrleurs de domaine de la
fort.
Au sein dun mme site, la topologie par dfaut gnre est un anneau a communication
bidirectionnelle (deux objet de connexion unidirectionnels en sens opposs entre toutes les
paires de contrleurs de domaines). Des liens supplmentaires sont tablis lorsque le nombre de
sauts ncessaire pour quune mise a jour dorigine atteigne un rpliqua est suprieur trois.

Si un problme de communication intersite intervient, le KCC tentera dtablir automatiquement
un nouveau chemin de duplication.

5.4. Utilisation des sites pour optimiser la duplication
5.4.1. Prsentation des sites

Un site est reprsent par un ou plusieurs sous rseaux. Par consquent, les sites sappuient sur
la structure physique dun rseau, notamment au niveau des interconnexions de rseaux locaux
et tendus.
Un site est automatiquement mis en place lorsque lon installe le premier contrleur de domaine
dans un domaine. Il est nomm Premier-Site-par-dfaut.
Ainsi, mme si lon a un rseau non segment en sous rseaux, on aura quand mme un site.
Dans le cas dune entreprise ayant son sige dans une ville et une succursale dans une autre
ville, si elle dispose de un ou plusieurs sous rseaux par ville, elle pourra crer un site regroupant
les sous rseaux de la premire ville et un autre pour les sous rseaux de lautre ville.
Un site est constitu dobjets serveur qui correspondent des contrleurs de domaine. Les objets
serveurs sont crs lorsquun serveur sous Windows 2000/2003 est promu en tant que contrleur
de domaine. Ils contiennent entre autres des objets connexion ncessaire la duplication.

Un site peut contenir des contrleurs de domaine de nimporte quel domaine dune fort.

Pour crer un site, il faut utiliser loutil dadministration Sites et services Active Directory situe
dans les outils dadministration. On peut y dfinir des sous rseaux (reprsents par des objets
sous-rseau) en prcisant ladresse du sous rseau, le masque de sous rseau ainsi que le site
correspondant.

La mise en place de sites permet :

Loptimisation du trafic de duplication entre les sites.
La localisant les ressources du rseau (ex : un utilisateur qui ouvre une session le feras
sur un contrleur de domaine situ sur le mme site que lui).

En somme lintrt des sites dans un rseau peut tre de contrler le volume de donnes lis au
fonctionnement dActive Directory (trafic de duplication et de connexion). Ceci permet de limiter
23
lengorgement des liens entre les sous rseaux, en gnral, une ligne spcialise, voir mme un
simple modem 56K.

5.4.2. Duplication intrasite

Elle se produit entre les contrleurs de domaine situs sur un mme site. Les donnes lies ce
type de duplication ne sont pas compresses par dfaut car on considre que les connexions
rseau des machines dun mme site sont rapides et fiables. Cela limite le temps processeur
utilis par les contrleurs de domaine pour la compression.

5.4.3. Duplication intersite

Elle permet diffrents sites de rcuprer les modifications apportes Active Directory depuis
un contrleur de domaine situ sur un site, et ce, en empruntant des chemins considrs comme
non fiables et avec une faible bande passante.
If faudra crer des liens de site pour lesquels il faudra dfinir manuellement un certain nombre de
paramtres pour dterminer le moment auquel la duplication intervient et la frquence laquelle
les contrleurs de domaine vrifieront si des modifications ont t apportes Active Directory.
Le trafic li la duplication intersite est compress avec un ratio denviron 80% pour transiter
efficacement par des liaisons faible dbit. Linconvnient est la charge CPU supplmentaire sur
les contrleurs de domaine.

La duplication intersite tant programme manuellement, le systme de notification des
modifications nest employ que pour le trafic intrasite.




Module 6. Implmentation du placement des
contrleurs de domaine
6.1. Le rle du serveur de catalogue global
6.1.1. Dfinition du serveur de catalogue global

Le catalogue global ou GC (Global Catalogue) permet aux utilisateurs deffectuer 2 tches
importantes :
Trouver des informations Active Directory sur toutes les forts, quel que soit lemplacement des
ces donnes.
Utiliser des informations dappartenance des groupes universels pour ouvrir une session sur le
rseau.

Un serveur de catalogue global est un contrleur de domaine qui conserve une copie du
catalogue global et peut ainsi traiter les requtes qui lui sont destines. Le premier contrleur de
domaine est automatiquement le serveur de catalogue global.
Il est possible de configurer dautres contrleurs de domaine en serveur de catalogue global afin
de rguler le trafic.

6.1.2. Limportance du catalogue global dans le processus
dauthentification
24

Voici les tapes importantes qui sont ralises lorsquun utilisateur sauthentifie sur le domaine :

1. Lutilisateur entre des informations didentification (son identifiant, son mot de passe
ainsi que le domaine sur lequel il souhaite ouvrir une session) sur un ordinateur membre
du domaine afin douvrir une session.
2. Ces informations didentification sont cryptes par le centre de distribution de clefs ou
KDC (pour Key distribution Center), puis envoyes lun des contrleurs de domaine
du domaine de lordinateur client.
3. Le contrleur de domaine compare les informations didentification cryptes du client
avec celles se trouvant sur Active Directory (les informations stockes dans le service
dannuaire Active Directory qui sont cryptes nativement). Si les informations concordent
alors le processus continue, sinon il est interrompu.
4. Le contrleur de domaine cre ensuite la liste de tous les groupes dont lutilisateur
est membre. Pour cela, le contrleur de domaine interroge un serveur de catalogue
global.
5. Le contrleur de domaine fournit ensuite au client un ticket daccord ou TGT (Ticket
Granting Ticket). Le TGT contient les identificateurs de scurit ou SID (Security
Identifier) des groupes dont lutilisateur est membre (Un TGT expire au bout de 8 heures
ou bien quand lutilisateur ferme sa session).
6. Une fois que lordinateur client a reu le TGT, lutilisateur est authentifi et peut tenter
de charger sont profil et daccder aux ressources du rseau.

Si le serveur de catalogue global nest pas joignable, le processus dauthentification est mis en
chec. En effet, le contrleur de domaine ne peut pas obtenir les SID des groupes dont
lutilisateur est membre lorsque le serveur de catalogue global est indisponible. Dans ce cas le
contrleur de domaine nmet pas de TGT et lutilisateur ne peut pas ouvrir sa session.


6.1.3. Limportance du catalogue global dans le processus dautorisation

Voici les tapes importantes qui sont ralises lorsquun utilisateur authentifi essaye daccder
une ressource sur le domaine :

1. Le client essaye daccder une ressource situe le rseau (ex. : serveur de fichier).
2. Le client utilise le TGT qui lui a t remis lors du processus dauthentification pour
accder au service daccord de ticket ou TGS (Ticket Granting Service) situ sur le
contrleur de domaine.
3. Le TGS met un ticket de session pour le serveur sur lequel se trouve la ressource
quil envoie au client. Le ticket de session contient les identificateurs SID des groupes
auxquels lutilisateur appartient.
4. Le client envoie son Ticket de session au serveur de fichier.
5. Lautorit de scurit locale ou LSA (pour Local Security Authority) du serveur de
fichier utilise les informations du ticket de session pour crer un jeton daccs.
6. Lautorit LSA contacte ensuite le contrleur de domaine et lui envoie les SIDs de
tous les groupes figurant dans la liste DACL (Discretionary ACcess List) de la ressource.
Le contrleur de domaine doit ensuite joindre un serveur de catalogue global afin de
connatre les identificateurs de scurit (ou SIDs) des groupes de la liste DACL dont
lutilisateur est membre.
7. Enfin, lautorit LSA compare les identificateurs SID du jeton daccs avec les SID des
groupes dont lutilisateur est membre et qui figurent dans la liste DACL. Si les groupes
auxquels lutilisateur appartient sont autoriss accder la ressource alors lutilisateur
peut accder la ressource sinon, laccs est refus.

25
Si le serveur de catalogue global est indisponible, alors le processus dautorisation ne peut pas
se poursuivre et lutilisateur ne peut pas accder la ressource.

6.1.4. La mise en cache de lappartenance au groupe universel

La fonction de mise en cache de lappartenance au groupe universelle est disponible uniquement
sur les contrleurs de domaine excutant Windows 2003 server. La mise en cache de
lappartenance au groupe universel consiste stocker sur un contrleur de domaine les rsultats
des requtes effectues auprs dun serveur de catalogue global.
La mise en cache de lappartenance au groupe universel est principalement utilise lorsque deux
sites sont relis entre eux par une liaison WAN (Wide Area Network) possdant une faible bande
passante (par exemple une connexion RNIS 128Kb/s). En effet, dans ce cas de figure la
connexion WAN impose diverses restrictions au niveau de limplmentation du rseau :
Il est obligatoire de placer un contrleur de domaine dans le site distant sinon la connexion
ralentira les ouvertures de session.
Il nest pas possible dhberger le catalogue global sur le site distant car la rplication entre les
serveurs de catalogue global entrane un trafic rseau trop important.

Malgr le fait quun contrleur de domaine soit disponible en local dans le site distant, le trafic
entre les deux site reste lev puisque pour chaque ouverture de session ou bien chaque accs
une ressource partage, le contrleur de domaine accs un serveur de catalogue global situ
dans la maison mre. Une solution ce problme est donc limplmentation de la mise en cache
de lappartenance au groupe universel.


Le schma ci-dessous illustre lutilisation classique de la mise en cache de lappartenance au
groupe universel :



Lorsquun utilisateur du site Martinique tente douvrir sa session pour la premire fois, il contacte
le contrleur de domaine qui va lui-mme contacter le serveur de catalogue global (GS sur le
schma) afin de rcuprer les SIDs des groupes dont lutilisateur est membre. Le contrleur de
26
domaine va ensuite mettre en cache les informations quil a reues du serveur de catalogue
global pendant une dure de 8 heures (dure par dfaut). La mme opration (mise en cache)
est effectue lors du premier accs de lutilisateur une ressource partage.
Si lutilisateur se logge de manire rcurrente sur le domaine ou bien si il accde
rgulirement des partages rseaux, le contrleur de domaine du site Martinique utilise les
informations situes dans son cache. Cela offre trois grands avantages :
Les authentifications des utilisateurs et les accs aux ressources du rseau sont moins
dpendantes de la liaison WAN.
Le trafic dauthentification et dautorisation au niveau de la liaison WAN utilise peu de bande
passante.
La rsolution de lappartenance au groupe universel est plus rapide puisque le contrleur de
domaine possde les informations ncessaires en local.



Module 7. Gestion des matres d'oprations
7.1. Prsentation des matres doprations
Les modifications dActive Directory peuvent tre faites sur nimporte quel contrleur de domaine.
Il y a toutefois 5 exceptions pour lesquelles les modifications sont faites sur un et un seul
contrleur de domaine particulier : les 5 rles des matres doprations.

Voici les cinq rles des matres doprations :

Contrleur de schma
Matre dattribution des noms de domaine
Emulateur CPD
Matre didentificateur relatif
Matre dinfrastructure.

Les deux premiers sont assigns au niveau de la fort, les trois derniers au niveau du domaine.
Ce qui implique sil y a plusieurs domaines dans une fort, autant de matres doprations pour
les trois derniers rles, que de domaines.

Par dfaut le premier contrleur de domaine dune nouvelle fort contient les cinq rles.

7.1.1. Rle du contrleur de schma

Il est le seul dans une fort pouvoir modifier le schma. Il duplique les modifications aux autres
contrleurs de domaine dans la fort lorsquil y a eut une modification du schma. Le fait davoir
un seul ordinateur qui gre le schma vite tout risque de conflits.
Un seul groupe peut faire des modifications sur le schma : le groupe dadministration du
schma.

7.1.2. Matre dattribution de nom de domaine

Seul le contrleur de domaine ayant ce rle, est habilit ajouter un domaine dans une fort. Si
le matre dopration dattribution de nom de domaine nest pas disponible, il est impossible
dajouter ou de supprimer un domaine la fort.
Du fait de son rle, le matre dattribution de nom de domaine est aussi un serveur de catalogue
global.
27
En effet pour viter tous problmes, celui-ci doit connatre tous les noms des objets prsents
dans la fort.

7.1.3. Emulateur CPD (PDC)

Ce rle a t cr principalement dans un souci de permettre une compatibilit avec les versions
antrieures de Windows 2000.

Rle propre aux versions antrieures Windows 2000 :

Il permet la prise en charge des BDC Windows NT4.
Il a la gestion des modifications des mots de passes pour des clients antrieurs
Windows 2000.

Autres Rles :

Authentification de secours: Lorsque vous avez modifi votre mot de passe sur votre
ordinateur, et que vous vous connectez peu de temps aprs sur une autre machine, il se
peut que la rplication du changement de votre mot de passe nait pas encore t
effectue. Dans ce cas, le DC qui vrifie votre mot de passe va demander lmulateur
CPD si votre mot de passe na pas t chang avant de vous refuser laccs.
Synchroniser lheure de tous les DC en fonction de son horloge.
Elimine les risques dcrasement dobjets GPO : par dfaut la modification de GPO se
fait sur ce DC.

7.1.4. Matre RID

Un SID est compos de deux blocs : un identificateur de domaine et un RID (Identificateur unique
dans le domaine).
Pour quil ne puisse y avoir deux DC qui assigne le mme SID deux objets diffrents, le matre
RID distribue une plage de RID chacun des DC. Lorsque la plage de RID a t utilise, le DC
demande une nouvelle plage de RID au matre RID.
Le matre RID aussi la charge des dplacements inter-domaines, pour viter la duplication de
lobjet.

7.1.5. Matre dinfrastructure

Le matre dinfrastructure sert mettre jour, dans son domaine, les rfrences des objets
situs dans dautres domaines. Si des modifications dun objet du domaine surviennent
(dplacement intra et extra domaine), alors si cet objet est li un ou plusieurs objets dautres
domaines, le matre dinfrastructure est responsable de la mise jour vers les autres domaines.
La mise jour se fait par le biais dune rplication.
Un Matre dinfrastructure ne peut tre aussi un serveur de catalogue global.

7.2. Transfert et prise de rles de matres doprations
Si le serveur dfaillant sera rapidement remis en marche, ne transfrez pas le rle de matre
dopration.
On ne transfre le rle de matre dopration que lorsque le serveur ne pourra pas tre remis en
marche ou dans des dlais longs. (La limite en temps est vague car elle dpend de
lenvironnement de votre rseau, cela peut tre une journe comme une semaine).

7.2.1. La dfaillance de lEmulateur de CPD
28

La dfaillance est la plus handicapante :

Les ordinateurs clients excutant une version antrieure Windows 2000 ne pourront
plus sauthentifier.
Perte de la diminution de latence pour la mise jour des mots de passe.
Eventuelle perte de synchronisation horaire entre les contrleurs.

7.2.2. Dfaillance du matre dinfrastructure

Limite le dplacement des objets dans Active Directory

7.2.3. Dfaillance des autres matres doprations

Ces dfaillances sont les moins gnantes. Il est prfrable de restaurer une sauvegarde de ces
matres doprations plutt que de les transfrer, le transfert de ces matres doprations peut
entraner des erreurs dans les donnes.

La prise du rle de ces matres doprations ne doit tre envisage quen dernier recours.


Module 8. Maintenance d'Active Directory
8.1. Entretien de la base de donnes Active Directory
La sauvegarde dActive Directory doit tre effectue rgulirement. La sauvegarde de lEtat du
Systme sur un DC sauvegarde la base de donne AD (ainsi que le dossier sysvol, le Registre,
les fichiers de dmarrage du systme, linscription des classes et les certificats).
La dfragmentation dActive Directory doit tre effectue de temps en temps, pour viter que la
base de donnes AD ne prenne trop despace disque. (Lutilitaire NTDSUTIL permet de
dfragmenter la base de donnes).
Lors de la dfragmentation la base de donnes AD est dplace, loriginal peut tre conserv en
tant que backup.
Le dplacement de la base de donnes AD peut tre ncessaire lors dun manque despace
disque.

8.1.1. Fichiers dActive Directory

Ntds.dit : Base de donnes contenant les objets dActive Directory.
Edb*.log : Journal des modifications sur la base de donnes
Edb.chk : Fichier de contrle, permet de ne pas perdre dinformations ou de corrompre
la base de donnes lors dun sinistre.
Res*.log : ces fichiers ne sont l que pour rserver de lespace disque pour le fichier de
journal.

Le moteur de la base de donne Active Directory est nomm ESE (Extensive Storage Engine)

8.1.2. Nettoyage de la mmoire

Un processus sexcute toutes les douze heures pour supprimer les objets obsoltes dActive
Directory et dfragmenter la mmoire utilise par Active Directory. Lors de la suppression dun
objet Active Directory, il est plac dans le conteneur Deleted Objects et lorsquil aura dpass sa
29
dure de vie dsactive (par dfaut 60 jours), le processus de nettoyage de la mmoire le
supprimera.

8.1.3. Restauration dActive Directory

Il existe trois types de restauration :

Force (authoritative)
Normale ou Non Force (non authoritative)
Principale

Une restauration force est utile dans le cas ou vous avez effac des objets dans Active
Directory par erreur, et que la rplication a t effectue entre les diffrents contrleurs de
domaines. Les objets effacs vont tre restaurs et rpliqus aux autres DC.

Une restauration non force, est une restauration dite normale toutes les modifications faites
depuis la sauvegarde vont tre rcupres lors de la prochaine rplication entre les DCs.
La restauration principale doit tre utilise uniquement lorsque les donnes contenues dans
tous les contrleurs de domaine du domaine sont perdues. Une restauration principale
reconstruit le premier contrleur de domaine partir de la version sauvegarde. Utilisez ensuite
la restauration normale sur les autres contrleurs de domaine. Ce mode doit tre utilis lorsquil
nexiste aucune autre manire de reconstruire le domaine. En effet, toutes les modifications
postrieures la sauvegarde sont perdues.