Active Directory

Stage personnes ressources réseau en établissement

janvier 2005

Formateur : Jackie DAÖN

Médiapôle de Guyancourt Lycée de Villaroy – 2 rue Eugène Viollet Le Duc – BP31 – 78041 GUYANCOURT Cedex
Tel : 01 30 48 91 88 / Fax : 01 30 57 49 70 – www.mp-guyancourt.ac-versailles.fr
Jackie.Daon@crdp.ac-versailles.fr
 Sommaire

LES DOMAINES WINDOWS 2000/2003........................................................................................................... 3

PRINCIPES DE BASE ............................................................................................................................................. 3
STRUCTURE D'ACTIVE DIRECTORY ..................................................................................................................... 3
Domaines....................................................................................................................................................... 3
Arbres de domaines ....................................................................................................................................... 3
Forêts ............................................................................................................................................................ 4
QU’Y A-T-IL DANS UN DOMAINE ACTIVE DIRECTORY ? ...................................................................................... 4
ACTIVE DIRECTORY ET DNS ........................................................................................................................ 5
INSTALLER ACTIVE DIRECTORY................................................................................................................ 6
CREATION D’UNE FORET QUI NE CONTIENDRA QU’UN ARBRE QUI LUI-MEME SERA FORME D’UN SEUL DOMAINE. 6
TACHES A EFFECTUER APRES L’INSTALLATION D’ACTIVE DIRECTORY.................................... 9
VERIFICATION DE L’INSTALLATION D’ACTIVE DIRECTORY ................................................................................ 9
Vérification des enregistrements de ressource SRV ...................................................................................... 9
Vérification du dossier SYSVOL.................................................................................................................... 9
Vérification des résultats de l’installation par le biais des journaux d’événements. .................................. 10
INTEGRATION DES ZONES DNS A ACTIVE DIRECTORY ...................................................................................... 10
SECURISATION DES MISES A JOUR POUR LES ZONES INTEGREES A ACTIVE DIRECTORY ..................................... 10
AUGMENTER LE NIVEAU FONCTIONNEL D’ACTIVE DIRECTORY ........................................................................ 10
AJOUT D’UN CONTROLEUR DE DOMAINE SUPPLEMENTAIRE. ...................................................... 11

Active Directory / J. Daön - janvier 2005 page 2 / 11

Les domaines Windows 2000/2003
Principes de base
Active Directory gère de manière hiérarchisée un certain nombre d’objets situés dans des
domaines et organisés selon un schéma.
Ces objets peuvent être des serveurs, des stations, des périphériques, des dossiers partagés,
des utilisateurs, des groupes d’objets (groupes locaux, groupes globaux), des Unités
d’Organisation (conteneurs dans lesquels les administrateurs rangent différents objets).

Structure d'Active Directory

Domaines
Un domaine Active Directory (AD) est la principale frontière logique dans un annuaire.
Pris séparément, un domaine AD ressemble beaucoup à un domaine NT. Les utilisateurs
et les ordinateurs sont tous stockés et gérés dans les limites qu'il définit.
Les domaines AD servent de limites de sécurité pour les objets et contiennent leurs
propres stratégies de sécurité. Par exemple, chaque domaine peut appliquer aux utilisa-
teurs des stratégies de mots de passe différentes. Un domaine étant une organisation
logique d'objets, il peut aisément s'étendre sur plusieurs emplacements physiques.

Un domaine regroupe des ordinateurs, des

périphériques, des utilisateurs. C’est une sorte de
zone sécurisée, sur laquelle on ne peut pénétrer
que quand on a été authentifié par le Contrôleur de
Domaine.

Arbres de domaines
Un arbre Active Directory est composé de plusieurs domaines reliés par le biais
d'approbations transitives bidirectionnelles, qui partagent un schéma et un catalogue
global communs.

Dans l’exemple ci-contre,

le domaine racine de l'arbre est :
cite-scolaire
cite-scolaire.local
cite-scolaire.local
et les sous-domaines sont :
clg.cite-scolaire.local
et lyc.cite-scolaire.local

clg lyc

clg.cite-scolaire.local lyc.cite-scolaire.local
Un arbre AD simple avec
trois sous-domaines.

La relation d'approbation transitive est automatique, ce qui diffère de la structure de

domaines NT4 où toutes les relations doivent être définies manuellement. L'expression

Active Directory / J. Daön - janvier 2005 page 3 / 11

approbation transitive signifie que le domaine CLG approuve le domaine LYC parce qu'en
premier lieu ils approuvent tous deux la racine cite-scolaire.local. Les approbations se
propagent ainsi à travers la structure de domaines.

Tous les domaines d'un arbre partagent le même espace de noms, ici cite-scolaire.local,
mais sont soumis à des mécanismes de sécurité qui empêchent par défaut l'accès inter-
domaines. Autrement dit, un administrateur du domaine LYC peut disposer d'un contrôle
sur le domaine tout entier, sans que les utilisateurs du domaine CLG ou racine aient le
droit d'accéder à ses ressources. Mais s'il le souhaitait, il pourrait aussi autoriser des
groupes d'utilisateurs d'autres domaines à se connecter. L'administration est granulaire et
configurable.

Forêts
Une forêt est un groupe d'arbres de domaines interconnectés. Des approbations implicites
existent entre les racines des arbres d'une forêt.
Si tous les domaines et arbres de domaines ont en commun un même schéma et un même
catalogue global, ils ne partagent en revanche pas le même espace de noms.
Forêt
Arbre 1 Arbre 2
mondomaine.net autredomaine.net

Relations d’approbation

dc.mondomaine.net

S t1.mondomaine.net St2.mondomaine.net

enfant1.mondomaine.net enfant2.mondomaine.net

dc.enfant2.mondomaine.net
dc.enfant1.mondomaine.net

utilisateur@enfant2.mondomaine.net
S t1.enfant1.mondomaine.net

Remarque : dans la plupart des cas, le réseau d’un établissement scolaire sera limité à un seul
domaine.

Qu’y a-t-il dans un domaine Active Directory ?

Des objets, qui peuvent être…

Des serveurs.
Il y a plusieurs types de serveurs
Serveurs Membres : simples serveurs auxquels on attribue une tâche définie :
serveurs de fichiers, destinés à stocker des documents,
serveurs d’applications, sur lesquels sont installées les applications à exécuter à
partir des stations
serveurs d’impressions, qui gèrent les imprimantes

Active Directory / J. Daön - janvier 2005 page 4 / 11

Contrôleurs de domaine
Ils sont les seuls habilités à authentifier les utilisateurs qui se connectent au domaine
Ils remplissent plusieurs fonctions importantes.
Il est intéressant de disposer de plusieurs contrôleurs de domaines : répartition des
services, réplication des données pour qu’un contrôleur en panne soit remplacé par
un autre.
C’est l’installation d’Active Directory qui fait d’un serveur un Contrôleur de Domaine.

Des “clients” : stations, imprimantes, etc.

Seules les stations Windows 2000 et Windows XP bénéficient de toutes les
fonctionnalités d’Active Directory. Un utilisateur (sous Win9x) peut ouvrir une
session sur le domaine, mais la station n’est pas un objet du domaine.

Des utilisateurs
Chaque utilisateur a un certain nombre d’attributs et son propre UID (User Identity :
Un numéro de code qui lui permet d’être identifié sur le domaine. Son UPN (User
Principal Name) est du type utilisateur@mondomaine.local

Des groupes
Les groupes peuvent contenir des utilisateurs, des ordinateurs et d'autres groupes. Les
groupes simplifient la gestion d'un grand nombre d'objets.

Des stratégies de groupe

Elles définissent le comportement du domaine pour tel ou tel utilisateur ou groupe
d’utilisateurs ou ordinateurs.
Vous les utiliserez pour « gérer » les stations Windows 2000 ou XP, mais pas win9x

Des Unités d’organisation

Vous créez des unités d'organisation pour ranger des objets dans une hiérarchie logique
et ordonnée.
Les différents OU ne contiennent ni des dossiers, ni des fichiers, mais des ordinateurs,
des utilisateurs, des groupes d'utilisateurs, des imprimantes, etc. …
Ce sont donc des conteneurs d’objets destinés à l’administration et non pas des groupes
d’utilisateurs !

Active Directory et DNS

Le DNS est indispensable à la configuration de Active Directory. Devez-vous utiliser le
serveur DNS de Microsoft pour prendre en charge Active Directory ? pas obligatoirement
mais c’est quand même bien pratique d’utiliser le DNS de Microsoft qui s’intègre
parfaitement à Active Directory. Active Directory est intégré au DNS de la façon suivante :

Active Directory et DNS ont la même structure hiérarchique.

Même s'ils sont séparés et implémentés différemment pour des raisons diverses, les espaces
de noms d'une organisation pour DNS et pour Active Directory ont une structure identique.
Par exemple, zonetest.local est un domaine DNS et un domaine Active Directory.

Les zones DNS peuvent être stockées dans Active Directory.

Si vous utilisez le service DNS Windows 2000, vous pouvez stocker les fichiers de la zone
principale dans Active Directory en vue d'une réplication sur d'autres contrôleurs de domaine
Active Directory.

Active Directory / J. Daön - janvier 2005 page 5 / 11

Les clients Active Directory utilisent DNS pour rechercher des contrôleurs de domaine.
Pour rechercher un contrôleur de domaine pour un domaine spécifique, les clients Active
Directory interrogent leur serveur DNS configuré et lui demandent des enregistrements de
ressources spécifiques ; ils interrogent les enregistrements SRV.
Les ordinateurs Windows 2000 peuvent enregistrer et mettre à jour dynamiquement les
enregistrements avec un serveur DNS prenant en charge le protocole de mise à jour DNS
dynamique. Qu'en est-il des clients de bas niveau (comme Windows 9x ou Windows NT) et
les clients autres que Microsoft ne pouvant pas enregistrer dynamiquement leurs
enregistrements de ressources ?
Nous pouvons, pour ces clients, utiliser la capacité du serveur DHCP Windows 2000 à
enregistrer dynamiquement les enregistrements de ressources DNS.

Installer Active Directory

L’installation d’AD crée un contrôleur de domaine, une arborescence de domaine et une forêt
d’arborescence de domaines.

Création d’une forêt qui ne contiendra qu’un arbre qui lui-même sera formé
d’un seul domaine.
Menu Démarrer / Exécuter, taper dcpromo.

L'Assistant Installation de Active

Directory installe et configure les
composants qui fournissent le service
d'annuaire Active Directory aux utilisateurs
et aux ordinateurs du réseau.

Compatibilité avec les systèmes d'exploitation précédents

Par défaut, les paramètres de sécurité sur les
contrôleurs de domaine exécutant Windows
Server 2003 sont configurés pour aider à
empêcher toute interception ou falsification
des communications du contrôleur de
domaine par des utilisateurs malveillants.

Pour négocier correctement les

communications avec un contrôleur de
domaine exécutant Windows Server 2003,
ces paramètres de sécurité par défaut exigent
que les ordinateurs clients utilisent tous les
deux la signature SMB (Server Message
Block) et le cryptage ou la signature du
trafic du canal sécurisé.
Les systèmes d'exploitation Windows suivants ne possèdent pas la prise en charge intégrée de
la signature SMB ou du cryptage et de la signature du canal sécurisé :
• Windows pour Workgroups
• Windows 95
• Windows NT 4.0

Active Directory / J. Daön - janvier 2005 page 6 / 11

Nous désirons que ce serveur devienne
contrôleur de Domaine pour un nouveau Aucune forêt n’existant, vous allez donc créer
domaine. un nouveau domaine dans une nouvelle forêt.

Vous devez donner le nom DNS complet du Vous pouvez accepter le nom NetBIOS du
nouveau domaine. domaine qui est proposé par défaut.

Il serait préférable de conserver ces fichiers sur
un disque différent (au moins 300 Mo) afin
d’améliorer la performance. Dans notre cas
garder l’emplacement par défaut.
Vous avez maintenant la possibilité de modifier
l’emplacement du répertoire partagé qui stocke
la copie serveur des fichiers publics du
domaine.
Ce dossier permet d’enregistrer les scripts qui
font partie des objets Stratégie de groupe pour
le domaine courant et le réseau de l’entreprise.
Le répertoire par défaut est \SYSVOL

Active Directory / J. Daön - janvier 2005 page 7 / 11

Une vérification de l’existence d’un serveur
DNS opérationnel est effectuée.

Windows 2003 Server assure une compatibilité

avec les versions précédentes de Windows.
L’assistant vous offre le choix entre une
compatibilité avec ces anciennes versions ou
une compatibilité uniquement avec les
ordinateurs Windows 2000 ou 2003 (serveur et
professionnel).

On parlera de mode mixte pour le premier cas.

Le mot de passe pour la restauration de services Un résumé récapitulatif vous est donné avant de
d’annuaire vous est demandé. confirmer les options choisies.

L’assistance effectue alors la configuration de

Active Directory.

Ensuite, l’ordinateur doit être redémarré.

Active Directory / J. Daön - janvier 2005 page 8 / 11

Tâches à effectuer après l’installation d’Active Directory
Vérification de l’installation d’Active Directory

Vérification des enregistrements de ressource SRV

Dans la console DNS, la zone de recherche directe de votre domaine s’est enrichie de 6
conteneurs supplémentaires correspondant à AD.

Vérification du dossier SYSVOL

Vérifiez que le dossier \WINDOWS\SYSVOL contient bien ceci :

Vérifier les partages :

- par « Gestion de l’ordinateur »

Les partages NETLOGON et
SYSVOL doivent y apparaître.

- dans une invite de commande

tapez net share pour voir la liste
des partages.

Active Directory / J. Daön - janvier 2005 page 9 / 11

Vérification des résultats de l’installation par le biais des journaux d’événements.

Intégration des zones DNS à Active Directory

Pour intégrer les zones de recherche directes et de recherche inversée à Active Directory, il
suffit, dans la console de gestion du DNS, par un clic-droit sur le nom de la zone de choisir
« Propriétés » et ensuite d’aller « Modifier » le type de zone dans l’onglet « Général ».

Il ne reste plus qu’à cocher la case

« Enregistrer la zone dans Active
Directory »

Sécurisation des mises à jour pour les zones intégrées à Active Directory

Dans l’onglet « Général » des

« Propriétés » de la zone DNS, on
peut décider de n’autoriser que les
Mises à jour dynamiques « Sécurisé
uniquement ».

Augmenter le niveau fonctionnel d’Active Directory

De même que Windows 2000 préserve la compatibilité avec les domaines et clients NT
existants lors de son installation, Windows Server 2003 ne met pas, lors de son installation, à
niveau la forêt Active Directory afin de pouvoir continuer à supporter les contrôleurs de
domaines Windows NT 4.0 et 2000.
Il existe quatre niveaux fonctionnels de domaine et trois niveaux fonctionnels de forêt.
Windows 2000 mixte
Lorsque Windows Server 2003 est installé dans une forêt Active Directory 2000 qui opère
dans le mode mixte, cela signifie que les contrôleurs de domaines 2003 pourront communi-
quer avec les contrôleurs NT et 2000 de la forêt. II s'agit du niveau fonctionnel le plus limi-
tatif, car des fonctionnalités telles que les groupes universels, les groupes imbriqués et la
sécurité renforcée ne sont pas disponibles. Ce niveau sert en général d'étape vers une mise à
niveau ultérieure.
Windows 2000 natif
Lorsqu'il est installé dans un annuaire Windows 2000 qui fonctionne dans le mode 2000 natif,
Windows Server 2003 s'exécute au niveau fonctionnel de 2000. Seuls des contrôleurs de
domaines 2000 et 2003 sont supportés dans cet environnement.

Active Directory / J. Daön - janvier 2005 page 10 / 11

Windows Server 2003 provisoire
Ce mode permet au service AD de Windows Server 2003 d'interopérer avec un domaine
composé uniquement de contrôleurs de domaines NT4. Après que tous les contrôleurs NT
ont été éliminés ou mis à niveau, les niveaux fonctionnels peuvent être relevés.
Windows Server 2003
Ce niveau représente l’implémentation idéale d'Active Directory. Cet environnement donne
accès à des fonctionnalités avancées telles que la désactivation de schémas, le renommage de
domaines et de contrôleurs, et les approbations inter-forêts. Pour en bénéficier, tous les
contrôleurs doivent d'abord être migrés vers 2003, après quoi les domaines puis la forêt
peuvent être mis à niveau.

Pour activer ce mode, ouvrez le composant « Domaines et approbations Active Directory » à

partir des Outils d'administration.
Dans le panneau de gauche, faites un clic-droit sur le nom de domaine puis sur « Augmenter
le niveau fonctionnel du domaine ».

Dans la fenêtre qui s'ouvre,

sélectionnez Windows Server 2003
et cliquez sur « Augmenter ».

Cliquez sur OK à deux reprises

pour terminer l'opération.

Elevez ensuite le niveau de la racine de la forêt. Dans l'arborescence de la console, cliquez

avec le bouton droit sur « Domaines et approbations Active Directory », puis cliquez sur
« Augmenter le niveau fonctionnel de la forêt ».

Ajout d’un contrôleur de domaine supplémentaire.

Menu Démarrer / Exécuter, taper dcpromo.
L'Assistant Installation de Active Directory installe et configure les composants qui
fournissent le service d'annuaire Active Directory aux utilisateurs et aux ordinateurs du
réseau.

Nous désirons que ce serveur devienne un

contrôleur de Domaine supplémentaire pour
un domaine existant.

Vous devez spécifier le nom du domaine existant (on peut rechercher le domaine existant à
l’aide de l’option Parcourir) ainsi que le nom d’un utilisateur autorisé à réaliser cette
opération et son mot de passe.

Active Directory / J. Daön - janvier 2005 page 11 / 11