Mdiaple de Guyancourt Lyce de Villaroy 2 rue Eugne Viollet Le Duc BP31 78041 GUYANCOURT Cedex

Tel : 01 30 48 91 88 / Fax : 01 30 57 49 70 www.mp-guyancourt.ac-versailles.fr

Jackie.Daon@crdp.ac-versailles.fr












A
A
c
c
t
t
i
i
v
v
e
e
D
D
i
i
r
r
e
e
c
c
t
t
o
o
r
r
y
y



S St ta ag ge e p pe er rs so on nn ne es s r re es ss so ou ur rc ce es s r r s se ea au u e en n t ta ab bl li is ss se em me en nt t
j ja an nv vi ie er r 2 20 00 05 5

















Formateur : Jackie DAN


Active Directory / J. Dan - janvier 2005 page 2 / 11
Sommaire


LES DOMAINES WINDOWS 2000/2003........................................................................................................... 3
PRINCIPES DE BASE ............................................................................................................................................. 3
STRUCTURE D'ACTIVE DIRECTORY..................................................................................................................... 3
Domaines....................................................................................................................................................... 3
Arbres de domaines ....................................................................................................................................... 3
Forts ............................................................................................................................................................ 4
QUY A-T-IL DANS UN DOMAINE ACTIVE DIRECTORY ? ...................................................................................... 4
ACTIVE DIRECTORY ET DNS ........................................................................................................................ 5
INSTALLER ACTIVE DIRECTORY................................................................................................................ 6
CREATION DUNE FORET QUI NE CONTIENDRA QUUN ARBRE QUI LUI-MEME SERA FORME DUN SEUL DOMAINE. 6
TACHES A EFFECTUER APRES LINSTALLATION DACTIVE DIRECTORY.................................... 9
VERIFICATION DE LINSTALLATION DACTIVE DIRECTORY ................................................................................ 9
Vrification des enregistrements de ressource SRV ...................................................................................... 9
Vrification du dossier SYSVOL.................................................................................................................... 9
Vrification des rsultats de linstallation par le biais des journaux dvnements. .................................. 10
INTEGRATION DES ZONES DNS A ACTIVE DIRECTORY...................................................................................... 10
SECURISATION DES MISES A JOUR POUR LES ZONES INTEGREES A ACTIVE DIRECTORY..................................... 10
AUGMENTER LE NIVEAU FONCTIONNEL DACTIVE DIRECTORY ........................................................................ 10
AJOUT DUN CONTROLEUR DE DOMAINE SUPPLEMENTAIRE. ...................................................... 11
Active Directory / J. Dan - janvier 2005 page 3 / 11
Les domaines Windows 2000/2003
Principes de base
Active Directory gre de manire hirarchise un certain nombre dobjets situs dans des
domaines et organiss selon un schma.
Ces objets peuvent tre des serveurs, des stations, des priphriques, des dossiers partags,
des utilisateurs, des groupes dobjets (groupes locaux, groupes globaux), des Units
dOrganisation (conteneurs dans lesquels les administrateurs rangent diffrents objets).
Structure d'Active Directory
Domaines
Un domaine Active Directory (AD) est la principale frontire logique dans un annuaire.
Pris sparment, un domaine AD ressemble beaucoup un domaine NT. Les utilisateurs
et les ordinateurs sont tous stocks et grs dans les limites qu'il dfinit.
Les domaines AD servent de limites de scurit pour les objets et contiennent leurs
propres stratgies de scurit. Par exemple, chaque domaine peut appliquer aux utilisa-
teurs des stratgies de mots de passe diffrentes. Un domaine tant une organisation
logique d'objets, il peut aisment s'tendre sur plusieurs emplacements physiques.



Un domaine regroupe des ordinateurs, des
priphriques, des utilisateurs. Cest une sorte de
zone scurise, sur laquelle on ne peut pntrer
que quand on a t authentifi par le Contrleur de
Domaine.
Arbres de domaines
Un arbre Active Directory est compos de plusieurs domaines relis par le biais
d'approbations transitives bidirectionnelles, qui partagent un schma et un catalogue
global communs.


Dans lexemple ci-contre,
le domaine racine de l'arbre est :
cite-scolaire.local

et les sous-domaines sont :
clg.cite-scolaire.local
et lyc.cite-scolaire.local

La relation d'approbation transitive est automatique, ce qui diffre de la structure de
domaines NT4 o toutes les relations doivent tre dfinies manuellement. L'expression
clg.cite-scolaire.local lyc.cite-scolaire.local
cite-scolaire.local
cite-scolaire
clg lyc
Un arbre AD simple avec
trois sous-domaines.

Active Directory / J. Dan - janvier 2005 page 4 / 11
approbation transitive signifie que le domaine CLG approuve le domaine LYC parce qu'en
premier lieu ils approuvent tous deux la racine cite-scolaire.local. Les approbations se
propagent ainsi travers la structure de domaines.

Tous les domaines d'un arbre partagent le mme espace de noms, ici cite-scolaire.local,
mais sont soumis des mcanismes de scurit qui empchent par dfaut l'accs inter-
domaines. Autrement dit, un administrateur du domaine LYC peut disposer d'un contrle
sur le domaine tout entier, sans que les utilisateurs du domaine CLG ou racine aient le
droit d'accder ses ressources. Mais s'il le souhaitait, il pourrait aussi autoriser des
groupes d'utilisateurs d'autres domaines se connecter. L'administration est granulaire et
configurable.
Forts
Une fort est un groupe d'arbres de domaines interconnects. Des approbations implicites
existent entre les racines des arbres d'une fort.
Si tous les domaines et arbres de domaines ont en commun un mme schma et un mme
catalogue global, ils ne partagent en revanche pas le mme espace de noms.

Remarque : dans la plupart des cas, le rseau dun tablissement scolaire sera limit un seul
domaine.
Quy a-t-il dans un domaine Active Directory ?
Des objets, qui peuvent tre

Des serveurs.
Il y a plusieurs types de serveurs
Serveurs Membres : simples serveurs auxquels on attribue une tche dfinie :
serveurs de fichiers, destins stocker des documents,
serveurs dapplications, sur lesquels sont installes les applications excuter
partir des stations
serveurs dimpressions, qui grent les imprimantes


mondomaine.net
enfant1.mondomaine.net enfant2.mondomaine.net
dc.mondomaine.net
dc.enfant1.mondomaine.net
S t1.mondomaine.net St2.mondomaine.net
S t1.enfant1.mondomaine.net
dc.enfant2.mondomaine.net
utilisateur@enfant2.mondomaine.net
autredomaine.net
Relations dapprobation
Fort
Arbre 1 Arbre 2
Active Directory / J. Dan - janvier 2005 page 5 / 11
Contrleurs de domaine
Ils sont les seuls habilits authentifier les utilisateurs qui se connectent au domaine
Ils remplissent plusieurs fonctions importantes.
Il est intressant de disposer de plusieurs contrleurs de domaines : rpartition des
services, rplication des donnes pour quun contrleur en panne soit remplac par
un autre.
Cest linstallation dActive Directory qui fait dun serveur un Contrleur de Domaine.

Des clients : stations, imprimantes, etc.
Seules les stations Windows 2000 et Windows XP bnficient de toutes les
fonctionnalits dActive Directory. Un utilisateur (sous Win9x) peut ouvrir une
session sur le domaine, mais la station nest pas un objet du domaine.

Des utilisateurs
Chaque utilisateur a un certain nombre dattributs et son propre UID (User Identity :
Un numro de code qui lui permet dtre identifi sur le domaine. Son UPN (User
Principal Name) est du type utilisateur@mondomaine.local


Des groupes
Les groupes peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes. Les
groupes simplifient la gestion d'un grand nombre d'objets.


Des stratgies de groupe
Elles dfinissent le comportement du domaine pour tel ou tel utilisateur ou groupe
dutilisateurs ou ordinateurs.
Vous les utiliserez pour grer les stations Windows 2000 ou XP, mais pas win9x



Des Units dorganisation
Vous crez des units d'organisation pour ranger des objets dans une hirarchie logique
et ordonne.
Les diffrents OU ne contiennent ni des dossiers, ni des fichiers, mais des ordinateurs,
des utilisateurs, des groupes d'utilisateurs, des imprimantes, etc.
Ce sont donc des conteneurs dobjets destins ladministration et non pas des groupes
dutilisateurs !
Active Directory et DNS
Le DNS est indispensable la configuration de Active Directory. Devez-vous utiliser le
serveur DNS de Microsoft pour prendre en charge Active Directory ? pas obligatoirement
mais cest quand mme bien pratique dutiliser le DNS de Microsoft qui sintgre
parfaitement Active Directory. Active Directory est intgr au DNS de la faon suivante :

Active Directory et DNS ont la mme structure hirarchique.
Mme s'ils sont spars et implments diffremment pour des raisons diverses, les espaces
de noms d'une organisation pour DNS et pour Active Directory ont une structure identique.
Par exemple, zonetest.local est un domaine DNS et un domaine Active Directory.

Les zones DNS peuvent tre stockes dans Active Directory.
Si vous utilisez le service DNS Windows 2000, vous pouvez stocker les fichiers de la zone
principale dans Active Directory en vue d'une rplication sur d'autres contrleurs de domaine
Active Directory.

Active Directory / J. Dan - janvier 2005 page 6 / 11
Les clients Active Directory utilisent DNS pour rechercher des contrleurs de domaine.
Pour rechercher un contrleur de domaine pour un domaine spcifique, les clients Active
Directory interrogent leur serveur DNS configur et lui demandent des enregistrements de
ressources spcifiques ; ils interrogent les enregistrements SRV.
Les ordinateurs Windows 2000 peuvent enregistrer et mettre jour dynamiquement les
enregistrements avec un serveur DNS prenant en charge le protocole de mise jour DNS
dynamique. Qu'en est-il des clients de bas niveau (comme Windows 9x ou Windows NT) et
les clients autres que Microsoft ne pouvant pas enregistrer dynamiquement leurs
enregistrements de ressources ?
Nous pouvons, pour ces clients, utiliser la capacit du serveur DHCP Windows 2000
enregistrer dynamiquement les enregistrements de ressources DNS.
Installer Active Directory
Linstallation dAD cre un contrleur de domaine, une arborescence de domaine et une fort
darborescence de domaines.
Cration dune fort qui ne contiendra quun arbre qui lui-mme sera form
dun seul domaine.
Menu Dmarrer / Excuter, taper dcpromo.

L'Assistant Installation de Active
Directory installe et configure les
composants qui fournissent le service
d'annuaire Active Directory aux utilisateurs
et aux ordinateurs du rseau.


Compatibilit avec les systmes d'exploitation prcdents
Par dfaut, les paramtres de scurit sur les
contrleurs de domaine excutant Windows
Server 2003 sont configurs pour aider
empcher toute interception ou falsification
des communications du contrleur de
domaine par des utilisateurs malveillants.

Pour ngocier correctement les
communications avec un contrleur de
domaine excutant Windows Server 2003,
ces paramtres de scurit par dfaut exigent
que les ordinateurs clients utilisent tous les
deux la signature SMB (Server Message
Block) et le cryptage ou la signature du
trafic du canal scuris.


Les systmes d'exploitation Windows suivants ne possdent pas la prise en charge intgre de
la signature SMB ou du cryptage et de la signature du canal scuris :
Windows pour Workgroups
Windows 95
Windows NT 4.0
Active Directory / J. Dan - janvier 2005 page 7 / 11


Nous dsirons que ce serveur devienne
contrleur de Domaine pour un nouveau
domaine.

Aucune fort nexistant, vous allez donc crer
un nouveau domaine dans une nouvelle fort.

Vous devez donner le nom DNS complet du
nouveau domaine.

Vous pouvez accepter le nom NetBIOS du
domaine qui est propos par dfaut.

Il serait prfrable de conserver ces fichiers sur
un disque diffrent (au moins 300 Mo) afin
damliorer la performance. Dans notre cas
garder lemplacement par dfaut.

Vous avez maintenant la possibilit de modifier
lemplacement du rpertoire partag qui stocke
la copie serveur des fichiers publics du
domaine.
Ce dossier permet denregistrer les scripts qui
font partie des objets Stratgie de groupe pour
le domaine courant et le rseau de lentreprise.
Le rpertoire par dfaut est \SYSVOL

Active Directory / J. Dan - janvier 2005 page 8 / 11



Une vrification de lexistence dun serveur
DNS oprationnel est effectue.


Windows 2003 Server assure une compatibilit
avec les versions prcdentes de Windows.
Lassistant vous offre le choix entre une
compatibilit avec ces anciennes versions ou
une compatibilit uniquement avec les
ordinateurs Windows 2000 ou 2003 (serveur et
professionnel).

On parlera de mode mixte pour le premier cas.


Le mot de passe pour la restauration de services
dannuaire vous est demand.

Un rsum rcapitulatif vous est donn avant de
confirmer les options choisies.

Lassistance effectue alors la configuration de
Active Directory.






Ensuite, lordinateur doit tre redmarr.

Active Directory / J. Dan - janvier 2005 page 9 / 11
Tches effectuer aprs linstallation dActive Directory
Vrification de linstallation dActive Directory
Vrification des enregistrements de ressource SRV


Dans la console DNS, la zone de recherche directe de votre domaine sest enrichie de 6
conteneurs supplmentaires correspondant AD.
Vrification du dossier SYSVOL
Vrifiez que le dossier \WINDOWS\SYSVOL contient bien ceci :



Vrifier les partages :

- par Gestion de lordinateur
Les partages NETLOGON et
SYSVOL doivent y apparatre.





- dans une invite de commande
tapez net share pour voir la liste
des partages.



Active Directory / J. Dan - janvier 2005 page 10 / 11
Vrification des rsultats de linstallation par le biais des journaux dvnements.
Intgration des zones DNS Active Directory
Pour intgrer les zones de recherche directes et de recherche inverse Active Directory, il
suffit, dans la console de gestion du DNS, par un clic-droit sur le nom de la zone de choisir
Proprits et ensuite daller Modifier le type de zone dans longlet Gnral .








Il ne reste plus qu cocher la case
Enregistrer la zone dans Active
Directory

Scurisation des mises jour pour les zones intgres Active Directory




Dans longlet Gnral des
Proprits de la zone DNS, on
peut dcider de nautoriser que les
Mises jour dynamiques Scuris
uniquement .



Augmenter le niveau fonctionnel dActive Directory
De mme que Windows 2000 prserve la compatibilit avec les domaines et clients NT
existants lors de son installation, Windows Server 2003 ne met pas, lors de son installation,
niveau la fort Active Directory afin de pouvoir continuer supporter les contrleurs de
domaines Windows NT 4.0 et 2000.
Il existe quatre niveaux fonctionnels de domaine et trois niveaux fonctionnels de fort.
Windows 2000 mixte
Lorsque Windows Server 2003 est install dans une fort Active Directory 2000 qui opre
dans le mode mixte, cela signifie que les contrleurs de domaines 2003 pourront communi-
quer avec les contrleurs NT et 2000 de la fort. II s'agit du niveau fonctionnel le plus limi-
tatif, car des fonctionnalits telles que les groupes universels, les groupes imbriqus et la
scurit renforce ne sont pas disponibles. Ce niveau sert en gnral d'tape vers une mise
niveau ultrieure.
Windows 2000 natif
Lorsqu'il est install dans un annuaire Windows 2000 qui fonctionne dans le mode 2000 natif,
Windows Server 2003 s'excute au niveau fonctionnel de 2000. Seuls des contrleurs de
domaines 2000 et 2003 sont supports dans cet environnement.
Active Directory / J. Dan - janvier 2005 page 11 / 11
Windows Server 2003 provisoire
Ce mode permet au service AD de Windows Server 2003 d'interoprer avec un domaine
compos uniquement de contrleurs de domaines NT4. Aprs que tous les contrleurs NT
ont t limins ou mis niveau, les niveaux fonctionnels peuvent tre relevs.
Windows Server 2003
Ce niveau reprsente limplmentation idale d'Active Directory. Cet environnement donne
accs des fonctionnalits avances telles que la dsactivation de schmas, le renommage de
domaines et de contrleurs, et les approbations inter-forts. Pour en bnficier, tous les
contrleurs doivent d'abord tre migrs vers 2003, aprs quoi les domaines puis la fort
peuvent tre mis niveau.

Pour activer ce mode, ouvrez le composant Domaines et approbations Active Directory
partir des Outils d'administration.
Dans le panneau de gauche, faites un clic-droit sur le nom de domaine puis sur Augmenter
le niveau fonctionnel du domaine .





Dans la fentre qui s'ouvre,
slectionnez Windows Server 2003
et cliquez sur Augmenter .

Cliquez sur OK deux reprises
pour terminer l'opration.


Elevez ensuite le niveau de la racine de la fort. Dans l'arborescence de la console, cliquez
avec le bouton droit sur Domaines et approbations Active Directory , puis cliquez sur
Augmenter le niveau fonctionnel de la fort .
Ajout dun contrleur de domaine supplmentaire.
Menu Dmarrer / Excuter, taper dcpromo.
L'Assistant Installation de Active Directory installe et configure les composants qui
fournissent le service d'annuaire Active Directory aux utilisateurs et aux ordinateurs du
rseau.


Nous dsirons que ce serveur devienne un
contrleur de Domaine supplmentaire pour
un domaine existant.


Vous devez spcifier le nom du domaine existant (on peut rechercher le domaine existant
laide de loption Parcourir) ainsi que le nom dun utilisateur autoris raliser cette
opration et son mot de passe.