Vous êtes sur la page 1sur 52

Architecture Active Directory

Sur cette page


Architecture Active Directory
Résumé
Introduction
Avantages offerts par Active Directory
Service d'annuaire Active Directory
Intégration de DNS dans Active Directory
DNS et Internet
Intégration des espaces de noms DNS et Active Directory
Active Directory et l'espace de noms DNS global
Enregistrements de ressources SRV et mises à jour dynamiques
Création de contrôleurs de domaine à l'aide de Active Directory
Catalogue global
Rôles de maître d'opérations

Architecture Active Directory


Système d'exploitation

Livre blanc

Résumé
Pour pouvoir utiliser le système d'exploitation Microsoft Windows 2000 Server le plus efficacement possible, vous
devez d'abord comprendre ce qu'est le service d'annuaire Active Directory™. Ce nouveau service Windows 2000 tient
un rôle majeur dans la mise en œuvre du réseau de votre organisation et, par conséquent, dans la réalisation de vos
objectifs professionnels. Ce document présente Active Directory aux administrateurs réseau, expose son architecture et
décrit son mode de fonctionnement avec les applications et les autres services d'annuaire.

Ce document s'appuie sur les informations disponibles à l'heure du lancement de la version Bêta 3 de Windows 2000.
Les informations fournies pourront faire l'objet de modifications jusqu'au lancement de la version finale de
Windows 2000 Server.

Introduction
La compréhension du service d'annuaire Active Directory™ est la première étape qui vous permet de comprendre le
fonctionnement de Windows 2000 et la manière dont ce système d'exploitation peut vous aider à atteindre les objectifs
de votre entreprise. Ce document s'intéresse à Active Directory sous trois perspectives différentes :

Stockage. Active Directory, le service d'annuaire de Windows 2000 Server, enregistre sous la forme de hiérarchies

les informations relatives aux objets du réseau et met ces informations à la disposition des administrateurs, des
utilisateurs et des applications. La première section de ce document donne la définition d'un service d'annuaire, décrit
l'intégration du service Active Directory avec le système DNS (Domain Name System) Internet et explique
l'actualisation de Active Directory lorsqu'un serveur est désigné en tant que contrôleur de domaine1.

Structure. Active Directory permet d'organiser le réseau et ses objets à l'aide d'entités telles que les domaines, les

arborescences, les forêts, les relations d'approbation, les unités d'organisation et les sites. La deuxième section de ce
document décrit la structure et la fonction de ces composants Active Directory, ainsi que la manière dont cette
architecture permet aux administrateurs de gérer le réseau pour que les utilisateurs puissent atteindre leurs objectifs
professionnels.

Intercommunications. Comme Active Directory s'appuie sur des protocoles d'accès aux annuaires standard, il

peut fonctionner avec d'autres services d'annuaire. De même, les applications tierces qui prennent en charge ces
protocoles peuvent accéder au service. La dernière section de ce document décrit les relations entre Active Directory
et de nombreuses autres technologies.

Avantages offerts par Active Directory


L'introduction de Active Directory dans le système d'exploitation Windows 2000 apporte les avantages suivants :

Intégration avec DNS. Active Directory utilise le système DNS (Domain Name System). DNS est un service

standard Internet qui convertit les noms d'ordinateur lisibles par les utilisateurs (comme
mon_ordinateur.microsoft.com) en adresses IP (Internet Protocol) numériques lisibles par les ordinateurs (quatre
numéros séparés par des points). Ainsi, des processus s'exécutant sur des ordinateurs inscrits dans des réseaux
TCP/IP peuvent s'identifier et se connecter entre eux.

Flexibilité des requêtes. Les utilisateurs et les administrateurs peuvent utiliser la commande Rechercher du

menu Démarrer, l'icône Favoris réseau sur le bureau ou le composant logiciel enfichable Utilisateurs et
ordinateurs Active Directory pour rechercher rapidement un objet sur le réseau sur la base de ses propriétés. Par
exemple, vous pouvez effectuer la recherche sur le prénom, le nom, le nom de messagerie, l'emplacement du bureau
ou d'autres propriétés du compte d'utilisateur. L'utilisation du catalogue global optimise la recherche d'informations.

Capacités d'extension. Active Directory est extensible. En d'autres termes, les administrateurs peuvent ajouter

de nouvelles classes d'objets au schéma et de nouveaux attributs aux classes d'objets existantes. Le schéma contient
une définition de toutes les classes d'objets et de leurs attributs, qui peuvent être enregistrés dans l'annuaire. Par
exemple, vous pouvez ajouter un attribut Autorisation d'achat à l'objet Utilisateur, puis enregistrer la limite
d'autorisation d'achat de chaque utilisateur dans son compte d'utilisateur.

Administration par stratégie. Les stratégies de groupe sont des paramètres de configuration appliqués aux

ordinateurs ou aux utilisateurs lors de leur initialisation. Tous les paramètres de stratégie de groupe sont contenus
dans les objets Stratégie de groupe (GPO) appliqués aux sites, aux domaines ou aux unités d'organisation Active
Directory. Les paramètres GPO définissent l'accès aux objets d'annuaire et aux ressources de domaine, les
ressources de domaine (telles que les applications) mises à la disposition des utilisateurs et la configuration de ces
ressources.

Adaptabilité. Active Directory inclut un ou plusieurs domaines, possédant chacun un ou plusieurs contrôleurs de

domaine, vous permettant d'adapter l'annuaire aux conditions requises par le réseau. Plusieurs domaines peuvent
être associés dans une arborescence de domaines et plusieurs arborescences de domaines peuvent être regroupées
dans une forêt. La structure la plus simple possible, un réseau à un seul domaine, est à la fois un arborescence
unique et une forêt unique.

Réplication d'informations. Active Directory utilise la réplication multimaître, qui vous permet de mettre à jour

l'annuaire sur n'importe quel contrôleur de domaine. Le déploiement de plusieurs contrôleurs de domaine dans un
seul domaine garantit la tolérance de pannes et l'équilibrage de charge. Si le fonctionnement d'un contrôleur de
domaine au sein d'un domaine ralentit, s'arrête ou échoue, les autres contrôleurs du même domaine peuvent fournir
un accès à l'annuaire, étant donné qu'ils possèdent les mêmes données d'annuaire.

Sécurité des informations. La gestion de l'authentification des utilisateurs et le contrôle d'accès, tous deux

entièrement intégrés dans Active Directory, sont les fonctionnalités de sécurité clés du système d'exploitation
Windows 2000. Active Directory centralise l'authentification. Le contrôle d'accès peut être défini non seulement sur
chaque objet de l'annuaire, mais aussi sur chaque propriété de ces objets. En outre, Active Directory fournit à la fois
le stockage et l'étendue d'application des stratégies de sécurité. (Pour plus d'informations sur l'authentification
d'ouverture de session et le contrôle d'accès Active Directory, voir la section "Pour plus d'informations" à la fin de ce
document.)

Interopérabilité. Comme Active Directory s'appuie sur des protocoles d'accès aux annuaires standard, tels que

LDAP (Lightweight Directory Access Protocol), il peut fonctionner avec d'autres services d'annuaire utilisant ces
protocoles. Plusieurs interfaces de programmation d'applications (API), telles que l'interface ADSI (Active Directory
Service Interface), permettent aux développeurs d'accéder à ces protocoles.

À la fin de ce document, l'annexe A, "Outils", présente les outils logiciels qui vous permettent d'exécuter les tâches
associées à Active Directory.

Service d'annuaire Active Directory


Avant d'aborder les sections principales de ce document (l'architecture de Active Directory et son interopérabilité),
cette section préliminaire analyse rapidement Active Directory sous deux perspectives très différentes :

La première considère Active Directory sous sa forme la plus abstraite, c'est-à-dire un espace de noms intégré au

système DNS (Domain Name System) Internet.

La seconde consiste à voir Active Directory sous sa forme la plus banale, c'est-à-dire un logiciel qui transforme un

serveur en contrôleur de domaine.

Dans le contexte d'un réseau d'ordinateurs, un annuaire (aussi appelé un magasin de données) est une structure
hiérarchique permettant de stocker les informations sur les objets du réseau. Ces objets comprennent les ressources
partagées comme les serveurs, les volumes partagés et les imprimantes, les comptes d'utilisateur et d'ordinateur
réseau, ainsi que les domaines, les applications, les services, les stratégies de sécurité et à peu près tout ce qui reste
sur votre réseau. Les informations qu'un annuaire de réseau peut stocker pour un compte d'utilisateur sur un type
particulier d'objet sont en général le nom d'utilisateur, le mot de passe, l'adresse de messagerie, le numéro de
téléphone, etc.

Un service d'annuaire diffère d'un annuaire en ce qu'il constitue à la fois la source d'informations et les services
rendant ces informations disponibles et exploitables aux administrateurs, aux utilisateurs, aux services réseau et aux
applications. Idéalement, un service d'annuaire rend la topologie du réseau physique et les protocoles (formats de
transmission des données entre deux périphériques) transparents, de sorte qu'un utilisateur peut accéder à toute
ressource sans savoir où et comment elle est connectée physiquement. Pour reprendre l'exemple du compte
d'utilisateur, c'est le service d'annuaire qui permet aux autres utilisateurs autorisés sur le même réseau d'accéder aux
informations enregistrées (comme par exemple une adresse de messagerie) sur l'objet Compte d'utilisateur.

Les services d'annuaire prennent en charge une large palette de fonctionnalités. Certains sont intégrés à un système
d'exploitation et d'autres sont des applications, telles que les annuaires de messagerie. Les services d'annuaire de
système d'exploitation, comme Active Directory, permettent de gérer des utilisateurs, des ordinateurs et des ressources
partagées. Les services d'annuaire qui prennent en charge la messagerie électronique, comme Microsoft Exchange,
permettent aux utilisateurs de rechercher d'autres utilisateurs et de leur envoyer des messages.

Active Directory, le nouveau service d'annuaire central du système d'exploitation Windows 2000 Server, s'exécute
uniquement sur des contrôleurs de domaine. Active Directory ne fournit pas seulement un emplacement de stockage de
données et de services permettant de rendre ces données accessibles , mais protège également les objets du réseau
contre les accès non autorisés et réplique les objets pour éviter toute perte de données lors de l'échec d'un contrôleur
de domaine.

Intégration de DNS dans Active Directory


Active Directory et DNS sont deux espaces de noms. Toute zone délimitée, au sein de laquelle un nom donné peut
être résolu, constitue un espace de noms. La résolution de nom consiste à passer d'un nom à l'objet ou l'information
que ce nom représente. Un annuaire téléphonique constitue un espace de noms dans lequel les noms des abonnés
peuvent être résolus en numéros de téléphone. Le système de fichiers NTFS de Windows 2000 constitue un espace de
noms dans lequel le nom d'un fichier peut être résolu pour obtenir le fichier lui-même.

DNS et Internet
Pour comprendre comment Windows 2000 utilise les espaces de noms Active Directory et DNS, il convient de
s'intéresser à quelques éléments de base du système DNS lui-même et à ses relations avec Internet et le protocole
TCP/IP. Internet est un réseau TCP/IP. Les protocoles de communication TCP/IP permettent de connecter des
ordinateurs et de les laisser transmettre des données sur les réseaux. Chaque ordinateur sur Internet ou sur tout autre
réseau TCP/IP (un réseau Windows, par exemple) possède une adresse IP. DNS localise les hôtes TCP/IP (ordinateurs)
en traduisant les noms d'ordinateur que les utilisateurs comprennent en adresses IP compréhensibles pour les
ordinateurs. Les adresses IP sur Internet sont gérées à l'aide de la base de données DNS distribuée globalement, mais
DNS peut également être mis en œuvre localement pour gérer les adresses sur des réseaux TCP/IP privés.

DNS, organisé en une arborescence de domaines, fait d'Internet un espace de noms unique. DNS possède plusieurs
domaines de premier niveau, subdivisés en domaines de second niveau. La racine de l'espace de noms du domaine
Internet est gérée par une autorité Internet (actuellement, InterNIC, le centre d'informations du réseau Internet)
responsable de la délégation des responsabilités d'administration des domaines de premier niveau de l'espace de noms
DNS et de l'enregistrement des noms de domaines de second niveau. Les domaines de premier niveau sont les
domaines commerciaux (.com), éducatifs (.edu), gouvernementaux (.gov), etc. En-dehors des États-Unis, des codes de
pays/région à deux lettres sont utilisés, comme par exemple .fr pour la France. Les domaines de second niveau
représentent des espaces de noms auxquels sont inscrits de manière formelle des institutions (et des utilisateurs
individuels) pour bénéficier d'une présence sur Internet. La figure 1 montre comment un réseau d'entreprise se
connecte à l'espace de noms DNS d'Internet.
Figure 1. Intégration de l'espace de noms DNS d'Internet par Microsoft

Intégration des espaces de noms DNS et Active Directory


L'intégration de DNS et de Active Directory représente une fonctionnalité centrale de Windows 2000 Server. Les
domaines DNS et Active Directory utilisent des noms de domaines identiques. Comme les deux espaces de noms
partagent une structure de domaines identique, il est important de bien comprendre qu'ils ne représentent pas le même
espace de noms. Chacun d'eux enregistre des données différentes et gère ainsi des objets différents. DNS stocke les
enregistrements de ressources et de zones2 ; Active Directory stocke ses domaines et leurs objets.

Les noms de domaines DNS s'appuient sur la structure de noms hiérarchique DNS, qui est une arborescence
inversée : un domaine racine unique, sous lequel peuvent se trouver des domaines parents ou enfants (les branches et
les feuilles). Par exemple, un nom de domaine Windows 2000 tel que enfant.parent.microsoft.com fait référence à un
domaine nommé enfant, qui est un domaine enfant du domaine nommé parent, lui-même enfant du domaine
microsoft.com.

Chaque ordinateur d'un domaine DNS est identifié de manière unique par son nom de domaine complet. Le nom de
domaine complet d'un ordinateur situé dans le domaine enfant.parent.microsoft.com est
nom_de_l'ordinateur.enfant.parent.microsoft.com.

Chaque domaine Windows 2000 possède un nom DNS (par exemple, NomOrg.com) et tous les ordinateurs
Windows 2000 aussi (par exemple, ServeurCompt.NomOrg.com). Ainsi, les domaines et les ordinateurs sont tous
représentés comme des objets Active Directory et comme des nœuds DNS (dans la hiérarchie DNS, un nœud représente
un domaine ou un ordinateur).

DNS et Active Directory utilisent tous deux une base de données pour la résolution des noms.

DNS est un service de résolution de noms. DNS résout les noms de domaines et les noms d'ordinateurs en

renvoyant les adresses IP via les demandes reçues par les serveurs DNS en tant que requêtes sur la base de données
DNS. Plus précisément, les clients DNS envoient des requêtes de noms DNS à leur serveur DNS configuré. Le serveur
DNS reçoit la requête de nom et la résout par l'intermédiaire de fichiers enregistrés localement ou consulte un autre
serveur DNS pour la résolution. DNS n'a pas besoin de Active Directory pour fonctionner.

Active Directory est un service d'annuaire. Il résout les noms d'objets de domaine en renvoyant des

enregistrements d'objets par l'intermédiaire de demandes de modification ou de recherche LDAP (Lightweight
Directory Access Protocol)3 reçues par les contrôleurs de domaine et qui s'appliquent à la base de données Active
Directory. En d'autres termes, les clients Active Directory utilisent LDAP pour envoyer des requêtes aux serveurs
Active Directory. Pour localiser un tel serveur, un client Active Directory interroge DNS. Active Directory utilise donc
DNS comme service localisateur, pour résoudre les noms de domaines, de sites et de services et renvoyer des
adresses IP. Par exemple, pour se connecter à un domaine Active Directory, un client peut demander à son serveur
DNS l'adresse IP du service LDAP en cours d'exécution sur un contrôleur de domaine d'un domaine spécifié. Active
Directory requiert DNS.

Dans la pratique, les espaces de noms DNS et Active Directory d'un environnement Windows 2000 diffèrent dans la
mesure où l'enregistrement d'hôte DNS représentant un ordinateur spécifique d'une zone DNS se trouve dans un autre
espace de noms que l'objet Compte d'ordinateur du domaine Active Directory représentant le même ordinateur.

En résumé, Active Directory est intégré à DNS de différentes manières :

Les domaines Active Directory et DNS sont organisés sous des structures hiérarchiques identiques. Bien

qu'ils diffèrent et soient mis en œuvre différemment pour des objectifs distincts, les espaces de noms d'une
organisation pour ces deux types de domaines ont une structure identique. Par exemple, microsoft.com est à la fois
un domaine DNS et un domaine Active Directory.

Les zones DNS peuvent être enregistrées dans Active Directory. Si vous utilisez le service DNS de

Windows 2000, les zones principales peuvent être enregistrées dans Active Directory pour être répliquées vers
d'autres contrôleurs de domaine Active Directory et pour assurer une meilleure sécurité du service DNS.

Les clients Active Directory utilisent DNS pour localiser les contrôleurs de domaine. Dans le cas d'un

domaine particulier, les clients Active Directory demandent à leur serveur DNS les enregistrements de ressources
spécifiques.

Active Directory et l'espace de noms DNS global


Active Directory a été conçu pour exister au sein de l'espace de noms DNS global d'Internet. Lorsqu'une organisation
équipée du système d'exploitation réseau Windows 2000 Server souhaite être présente sur Internet, l'espace de noms
Active Directory est conservé sous la forme d'un ou de plusieurs domaines hiérarchiques Windows 2000 au-dessous
d'un domaine racine enregistré comme espace de noms DNS. (L'organisation peut choisir de ne pas faire partie de
l'espace de noms DNS global d'Internet, mais le service DNS sera toujours requis pour localiser les ordinateurs
Windows 2000.)

Selon les conventions d'affectation des noms DNS, chaque partie séparée par un point (.) représente un nœud dans
l'arborescence DNS et un nom de domaine Active Directory potentiel dans l'arborescence des domaines Windows 2000.
Comme l'illustre la figure 2, la racine de l'arborescence DNS est un nœud de nom nul (""). La racine de l'espace de
noms Active Directory (la racine de la forêt) n'a pas de parent et fournit le point d'entrée LDAP dans Active Directory.
Figure 2. Comparaison des racines des espaces de noms DNS et Active Directory

Enregistrements de ressources SRV et mises à jour dynamiques


DNS existe indépendamment de Active Directory, tandis que ce dernier a spécialement été conçu pour utiliser DNS.
Pour qu'Active Directory fonctionne correctement, les serveurs DNS doivent prendre en charge les enregistrements des
ressources SRV4 (Emplacement du service). Ces enregistrements mappent le nom d'un service en renvoyant le nom
d'un serveur offrant ce service. Les clients et les contrôleurs de domaine Active Directory utilisent les enregistrements
des ressources SRV pour déterminer les adresses IP des contrôleurs de domaine.

Remarque Pour plus d'informations sur la planification du déploiement de serveurs DNS comme support de vos
domaines Active Directory, et sur d'autres problèmes liés au déploiement, voir le Guide de planification dudéploiement
de Microsoft Windows 2000 Server dans la section "Pour plus d'informations" de ce document.

Les serveurs DNS d'un réseau Windows 2000 doivent prendre en charge les enregistrements de ressources SRV, mais
Microsoft recommande également la prise en charge des mises à jour dynamiques DNS5. Celles-ci définissent un
protocole de mise à jour d'un serveur DNS avec de nouvelles valeurs ou des valeurs modifiées. Sans ce protocole, les
administrateurs doivent configurer manuellement les enregistrements créés par les contrôleurs de domaine et
enregistrés par les serveurs DNS.

Le nouveau service DNS de Windows 2000 prend en charge à la fois les enregistrements de ressources SRV et les
mises à jour dynamiques. Si vous voulez utiliser un serveur DNS non Windows 2000, vous devez vous assurer qu'il
prend en charge les enregistrements de ressources SRV ou effectuer sa mise à niveau vers une version qui les prend en
charge. Dans le cas d'un serveur DNS hérité de ce type mais ne prenant pas en charge les mises à jour dynamiques,
vous devez mettre les enregistrements de ressources à jour manuellement lorsque vous définissez un serveur
Windows 2000 comme contrôleur de domaine. Pour ce faire, utilisez le fichier Netlogon.dns (situé dans le dossier
%systemroot%\System32\config), créé par l'Assistant Installation de Active Directory.

Création de contrôleurs de domaine à l'aide de Active Directory


La mise en œuvre et l'administration d'un réseau sont des tâches concrètes. Pour comprendre comment Active
Directory fonctionne dans la pratique, vous devez d'abord savoir que son installation sur un ordinateur Windows 2000
Server a pour effet de transformer le serveur en contrôleur de domaine. Un contrôleur de domaine ne peut héberger
qu'un seul domaine.

Plus précisément, il s'agit d'un ordinateur Windows 2000 Server, configuré à l'aide de l'Assistant Installation de Active
Directory, qui installe et configure les composants permettant aux utilisateurs et aux ordinateurs du réseau d'utiliser les
services d'annuaire Active Directory. Les contrôleurs de domaine enregistrent les données d'annuaire du domaine
(comme les stratégies de sécurité système et les données d'authentification de l'utilisateur) et gèrent les interactions
entre domaines, y compris les processus d'ouverture de session, d'authentification et de recherche dans l'annuaire.

La définition d'un serveur comme contrôleur de domaine à l'aide de l'Assistant Installation de Active Directory
entraîne la création d'un domaine Windows 2000 ou l'ajout de contrôleurs de domaine supplémentaires à un domaine
existant.

Cette section décrit les contrôleurs de domaine Active Directory et leur rôle sur le réseau.

Avec l'introduction de Active Directory, les contrôleurs de domaine Windows 2000 fonctionnent comme des
homologues. Le concept de rôles supérieur-subordonné des contrôleurs de domaine principaux (PDC) et secondaires
(BDC) Windows NT Server est donc abandonné. Les contrôleurs de domaine prennent en charge la réplication
multimaître et répliquent les informations Active Directory entre tous les contrôleurs de domaine. L'introduction de la
réplication multimaître permet aux administrateurs d'effectuer des mises à jour Active Directory sur n'importe quel
contrôleur de domaine Windows 2000 du domaine. Dans Windows NT Server, seul le contrôleur PDC dispose d'une copie
en lecture et écriture de l'annuaire ; il réplique ensuite une copie en lecture seule des informations d'annuaire vers les
contrôleurs BDC. (Pour des informations plus détaillées sur la réplication multimaître, voir la section "Réplication
multimaître".)

La mise à niveau du système d'exploitation vers Windows 2000 à partir d'un domaine existant peut s'effectuer par
étapes, de la manière qui vous convient le mieux. Lorsque le premier contrôleur de domaine d'une nouvelle installation
est créé, plusieurs entités sont automatiquement chargées en même temps qu'Active Directory. Les sous-sections
suivantes développent les deux aspects différents de l'installation d'un contrôleur de domaine Active Directory sur un
nouveau réseau :

• Le premier contrôleur de domaine est un serveur de catalogue global.

• Le premier contrôleur de domaine joue le rôle de maître d'opérations.

Catalogue global
Le système d'exploitation Windows 2000 introduit le catalogue global, une base de données conservée sur un ou
plusieurs contrôleurs de domaine. Il joue un rôle majeur dans la connexion des utilisateurs et le mécanisme des
requêtes.

Par défaut, un catalogue global est créé automatiquement sur le contrôleur de domaine initial de la forêt
Windows 2000 et chaque forêt doit en posséder au moins un. Si vous utilisez plusieurs sites, vous voudrez peut-être
affecter un contrôleur de domaine comme catalogue global sur chaque site, car un tel catalogue est nécessaire pour
terminer le processus d'authentification d'ouverture de session (il détermine le groupe d'appartenance d'un compte)
dans le cadre des domaines en mode natif. Les domaines en mode mixte, par contre, ne nécessitent aucune requête de
catalogue global pour l'ouverture de session.

Une fois que des contrôleurs de domaine supplémentaires ont été installés dans la forêt, vous pouvez changer
l'emplacement par défaut du catalogue global en précisant un autre contrôleur de domaine à l'aide de l'outil Sites et
services Active Directory. Si vous le souhaitez, vous pouvez configurer un contrôleur de domaine quelconque pour
héberger un catalogue global, selon les besoins de votre organisation en matière de demandes d'ouverture de session
et de recherche. Plus il y a de serveurs de catalogue global, plus la réponse aux demandes de l'utilisateur est rapide ;
en contrepartie, l'activation de nombreux contrôleurs de domaine comme serveurs de catalogue global augmente le
trafic réseau de réplication.

Le catalogue global joue un rôle dans deux processus clés de Active Directory, l'ouverture de session et le traitement
des requêtes :

Ouverture de session. Dans un domaine en mode natif, le catalogue global permet aux clients Active Directory

d'ouvrir une session sur le réseau en fournissant à un contrôleur de domaine les informations d'appartenance aux
groupes universels6 du compte qui envoie la demande d'ouverture de session. En fait, les utilisateurs mais aussi tous
les objets s'authentifiant à Active Directory doivent référencer le serveur de catalogue global, y compris les
ordinateurs en cours de démarrage. Dans une installation à plusieurs domaines, au moins un contrôleur de domaine
détenant le catalogue global doit être en cours d'exécution et disponible pour que les utilisateurs puissent ouvrir une
session. Un serveur de catalogue global doit également être disponible lorsqu'un utilisateur ouvre une session en
précisant un nom UPN (nom utilisateur principal) non défini par défaut. (Pour plus d'informations sur l'ouverture de
session, voir la section "Noms d'ouverture de session : noms UPN et noms de comptes SAM".)

Si aucun catalogue global n'est disponible lorsqu'un utilisateur initialise un processus d'ouverture de session sur le
réseau, l'utilisateur ne peut se connecter qu'à l'ordinateur local (et non au réseau). L'unique exception à cette règle
concerne les utilisateurs membres du groupe des administrateurs de domaines, qui sont en mesure d'ouvrir une
session sur le réseau même si aucun catalogue global n'est disponible.

Traitement des requêtes. Dans une forêt contenant de nombreux domaines, le catalogue global permet aux

clients d'effectuer des recherches rapides et aisées sur l'ensemble des domaines, sans avoir à parcourir chaque
domaine individuel. Il rend les structures de répertoires d'une forêt transparentes aux utilisateurs finaux à la
recherche d'informations. La majorité du trafic réseau correspond au traitement des requêtes : les informations
demandées par les utilisateurs, les administrateurs et les programmes sur les objets d'annuaire. L'annuaire est
soumis à davantage de requêtes que de mises à jour. Pour améliorer le temps de réponse aux utilisateurs qui
recherchent des informations dans l'annuaire, vous pouvez affecter plusieurs contrôleurs de domaine comme
serveurs de catalogue global. Il convient toutefois de trouver un juste équilibre car cette opération peut également
augmenter le trafic réseau de réplication.

Rôles de maître d'opérations


La réplication multimaître entre contrôleurs de domaine homologues est impossible pour certains types de
modifications. Seul un contrôleur de domaine, le maître d'opérations, accepte les demandes de modification de ce
genre. Comme la réplication multimaître joue un rôle important dans les réseaux Active Directory, il est essentiel que
vous connaissiez ces exceptions. Dans toute forêt Active Directory, le contrôleur de domaine initial se voit assigner au
moins cinq rôles différents de maître d'opérations pendant l'installation.

Lorsque vous créez le premier domaine d'une nouvelle forêt, les cinq rôles sont assignés automatiquement au premier
contrôleur de ce domaine. Dans une forêt Active Directory de petite taille contenant un seul domaine et un seul
contrôleur de domaine, ce dernier tiendra tous les rôles de maître d'opérations. Dans un réseau de plus grande taille,
d'un ou de plusieurs domaines, vous pouvez réattribuer ces rôles à un ou à plusieurs autres contrôleurs de domaine.
Certains rôles doivent être tenus dans chaque forêt, d'autres dans chaque domaine d'une forêt.

Les deux rôles suivants doivent être uniques au niveau d'une forêt, ce qui signifie que seul l'un des deux peut être
appliqué sur l'ensemble d'une forêt :

Contrôleur de schéma. Le contrôleur de domaine qui tient le rôle de contrôleur de schéma contrôle toutes les

mises à jour et les modifications appliquées au schéma. Le schéma définit chaque objet (et ses attributs) qui peut
être enregistré dans l'annuaire. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès au contrôleur de
schéma.

Maître d'affectation de nom de domaine. Le contrôleur de domaine qui tient le rôle de maître d'affectation de

nom de domaine contrôle l'ajout et la suppression de domaines dans la forêt.

Les trois rôles suivants doivent être uniques au niveau de chaque domaine. Seul un rôle peut être tenu par domaine
dans la forêt :

Maître RID (Relative ID). Le maître RID alloue des séquences d'identificateurs relatifs (RID) à chaque contrôleur

de son domaine. Chaque fois qu'un contrôleur de domaine crée un objet Utilisateur, Groupe ou Ordinateur, il
attribue à l'objet un identificateur unique de sécurité (SID). Cet identificateur est composé d'un identificateur de
sécurité de domaine (identique pour tous les SID créés dans le domaine) et d'un identificateur relatif (unique pour
chaque SID créé dans le domaine). Lorsque le contrôleur de domaine a épuisé son pool de RID, il en demande un
autre au maître RID.

Émulateur PDC. Si le domaine contient des ordinateurs fonctionnant sans le logiciel client Windows 2000 ou des

contrôleurs de domaine secondaires Windows NT, l'émulateur PDC (Primary Domain Controller) agit comme un
contrôleur de domaine principal Windows NT. Il traite les changements de mots de passe client et réplique les mises
à jour vers les contrôleurs BDC. L'émulateur PDC reçoit la réplication préférentielle des changements de mots de
passe effectués par d'autres contrôleurs du domaine. En cas d'échec d'authentification d'ouverture de session au
niveau d'un autre contrôleur de domaine en raison d'un mot de passe incorrect, le contrôleur transmet la demande
d'authentification à l'émulateur PDC avant de rejeter la tentative d'ouverture de session.

Maître d'infrastructure. Le maître d'infrastructure est responsable de la mise à jour de toutes les références

croisées des domaines lors du déplacement d'un objet référencé par un autre. Par exemple, chaque fois que des
membres de groupes sont renommés ou modifiés, le maître d'infrastructure met à jour les références des groupes
aux utilisateurs. Lorsque vous renommez ou déplacez un membre d'un groupe (et que ce membre réside dans un
autre domaine que le groupe), le groupe risque de ne pas contenir ce membre temporairement. Le maître
d'infrastructure du domaine du groupe en question est responsable de la mise à jour du groupe, qui connaît ainsi le
nouveau nom ou le nouvel emplacement du membre.

Le maître d'infrastructure distribue la mise à jour par réplication multimaître. N'attribuez pas ce rôle au contrôleur
de domaine qui héberge le catalogue global, à moins que le domaine ne contienne qu'un seul contrôleur. Si vous
procédez ainsi, le maître d'infrastructure ne fonctionnera pas. Si tous les contrôleurs d'un domaine hébergent le
catalogue global (même s'il n'existe qu'un seul contrôleur de domaine), ils disposent tous des données actualisées et
le rôle de maître d'infrastructure n'est pas indispensable.
Architecture Active Directory (2/4)
Sur cette page
Architecture
Objets
Schéma
Attributs du schéma et requêtes
Noms des objets de schéma
Extension du schéma
Conventions d'affectation de noms d'objet
Noms des entités de sécurité
Identificateurs de sécurité (SID)
Noms LDAP
Noms RDN et noms uniques LDAP
Noms d'URL LDAP
Noms canoniques LDAP de Active Directory
GUID d'objets
Noms d'ouverture de session : noms UPN et noms de comptes SAM
Noms UPN
Noms de comptes SAM
Publication d'objets
Décision de publication
Outils de publication

Architecture
L'installation d'un contrôleur de domaine Active Directory crée simultanément le domaine Windows 2000 initial ou
ajoute le nouveau contrôleur à un domaine existant. Comment les contrôleurs de domaine et les domaines s'inscrivent-
ils dans l'architecture globale du réseau ?

Cette section détaille les composants d'un réseau Active Directory et leur organisation. En outre, elle décrit comment
déléguer la responsabilité d'administration d'unités d'organisation, de domaines ou de sites aux personnes appropriées
et comment assigner des paramètres de configuration à ces trois conteneurs Active Directory. Cette section comprend
les rubriques suivantes :

• Objets (y compris le schéma)

Conventions d'affectation de nom d'objet (dont les noms des entités de sécurité, les SID, les noms LDAP, les GUID

d'objets et les noms d'ouverture de session)

• Publication d'objets

• Domaines (y compris les arborescences, les forêts, les approbations et les unités d'organisation)

• Sites (y compris la réplication)

• Application de la délégation et des stratégies de groupe aux unités d'organisation, aux domaines et aux sites

Objets
Les objets Active Directory sont des éléments qui constituent un réseau. Un objet est un ensemble d'attributs nommé
et circonscrit qui représente un élément concret, comme un utilisateur, une imprimante ou une application. Lorsque
vous créez un objet Active Directory, certains de ses attributs sont paramétrés automatiquement et d'autres vous sont
demandés. Par exemple, si vous créez un objet Utilisateur, Active Directory fournit l'identificateur globalement unique
(GUID, Globally Unique Identifier) tandis que vous fournissez les valeurs d'attributs tels que le prénom et le nom de
l'utilisateur, l'identificateur d'ouverture de session, etc.

Schéma
Le schéma est une description des classes d'objet (différents types d'objet) et de leurs attributs. Le schéma définit les
attributs que chaque classe d'objet doit posséder, les attributs supplémentaires dont elle doit disposer et la classe
d'objet dont elle peut être l'enfant. Chaque objet Active Directory est une instance d'une classe d'objet. Chaque attribut
est défini une seule fois mais peut être utilisé dans plusieurs classes. C'est le cas, par exemple, de l'attribut Description,
qui est utilisé dans de nombreuses classes différentes.

Le schéma est enregistré dans Active Directory. Les définitions du schéma sont elles-mêmes enregistrées comme
objets (les objets Schéma de classe et Schéma d'attributs). Active Directory peut ainsi gérer les objets de classe et
d'attribut comme les autres objets d'annuaire.

Les applications qui créent ou modifient des objets Active Directory utilisent le schéma pour déterminer les attributs
que l'objet doit posséder et à quoi ces attributs peuvent ressembler en termes de structure des données et de
contraintes de syntaxe.

Les objets sont soit des objets conteneurs, soit des objets feuilles (également appelés objets non-conteneurs). Les
objets conteneurs stockent d'autres objets, alors que les objets feuilles, non. Par exemple, un dossier est un objet
conteneur de fichiers, qui sont eux-mêmes des objets feuilles.

Chaque classe d'objet du schéma Active Directory possède des attributs qui garantissent :

• l'identification unique de chaque objet d'un magasin de données d'annuaire ;

la compatibilité pour les entités de sécurité (utilisateurs, ordinateurs ou groupes) avec les identificateurs de

sécurité (SID) utilisés dans les systèmes d'exploitation Windows NT 4.0 et antérieurs ;

• la conformité aux normes LDAP en matière de noms d'objets d'annuaire.

Attributs du schéma et requêtes


L'outil Schéma Active Directory permet de marquer un attribut comme indexé. Cela a pour effet d'ajouter toutes les
instances de cet attribut à l'index et non pas seulement celles qui sont membres d'une classe particulière. L'indexation
d'un attribut permet de retrouver plus rapidement les objets possédant cet attribut.

Vous pouvez également inclure des attributs dans le catalogue global. Ce dernier contient un ensemble d'attributs par
défaut pour chaque objet de la forêt, mais vous pouvez en ajouter d'autres. Les utilisateurs et les applications utilisent
le catalogue global pour localiser des objets dans une forêt. Ajoutez-y uniquement des attributs possédant les
caractéristiques suivantes :

Utilité globale. L'attribut doit pouvoir servir à localiser des objets (même pour un accès en lecture, seulement)

sur l'ensemble d'une forêt.

Non-volatilité. L'attribut ne doit pas changer, ou bien très rarement. Les attributs d'un catalogue global sont

répliqués vers tous les autres catalogues globaux de la forêt. Si l'attribut change souvent, le trafic de réplication
augmente de manière significative.

Petite taille. Les attributs d'un catalogue global sont répliqués vers tous les autres catalogues globaux de la forêt.

Plus l'attribut sera petit, moins sa réplication aura d'impact sur le trafic du réseau.

Noms des objets de schéma


Comme précisé plus haut, les classes et les attributs sont tous des objets de schéma. En tant que tels, ils peuvent
être référencés par les types de noms suivants :

Nom complet LDAP. Le nom complet LDAP est globalement unique pour chaque objet de schéma. Il est composé

d'un ou de plusieurs mots, avec initiale majuscule à partir du deuxième mot. Par exemple, mailAddress et
machinePasswordChangeInterval sont les noms complets LDAP de deux attributs de schéma. Schéma Active
Directory et d'autres outils d'administration Windows 2000 affichent le nom complet LDAP des objets. Celui-ci permet
aux programmeurs et aux administrateurs de référencer l'objet par programme. Pour plus d'informations sur
l'extension par programme du schéma, voir la sous-section suivante ; pour plus d'informations sur LDAP, voir la
section "Protocole LDAP".

Nom commun. Le nom commun d'un objet de schéma est également globalement unique. Vous devez le spécifier

lors de la création de nouveaux attributs ou classes d'objet dans le schéma — c'est le nom unique relatif (RDN,
Relative Distinguished Name) de l'objet du schéma qui représente cette classe d'objet. Pour plus de détails sur les
noms RDN, reportez-vous à la section "Noms RDN et noms uniques LDAP". Par exemple, les noms communs des
deux attributs mentionnés précédemment sont SMTP-Mail-Address et Machine-Password-Change-Interval.

Identificateur d'objet (OID). Un identificateur d'objet de schéma est un numéro attribué par une autorité telle

que l'Association internationale de normalisation (ISO, International Organization for Standardization) ou l'ANSI
(American National Standards Institute). Par exemple, l'OID de l'attribut SMTP-Mail-Address est
1.2.840.113556.1.4.786. Les OID sont garantis comme étant uniques sur l'ensemble des réseaux du monde entier.
Une fois que vous avez obtenu un OID racine à partir d'une autorité compétente, vous pouvez l'utiliser pour en
attribuer d'autres. Les OID sont organisés sous forme hiérarchique. Par exemple, Microsoft s'est vu allouer l'OID
racine 1.2.840.113556. Microsoft gère en interne d'autres branches issues de cette racine. Une de ces branches est
utilisée pour allouer des OID aux classes de schéma Active Directory et une autre pour les attributs. Pour reprendre
notre exemple, l'OID 1.2.840.113556.1.5.4 identifie dans Active Directory la classe de domaine prédéfini et peut être
analysé de la manière illustrée dans le tableau 1.

Tableau 1. Identificateur d'objet


Numéro Identifie
d'OID

1 ISO (autorité "racine") a attribué 1.2 à ANSI, puis U

2 ANSI a attribué 1.2.840 aux États-Unis, puis U

840 les États-Unis ont attribué 1.2.840.113556 à Microsoft, puis U

113556 Microsoft gère en interne plusieurs branches d'OID sous 1.2.840.113556, dont U

1 une branche appelée Active Directory qui inclut U

5 une branche appelée Classes qui inclut U

4 une branche appelée Domaine prédéfini

Pour plus d'informations sur les OID et sur la manière de les obtenir, voir la section "Pour plus d'informations" à la fin
de ce document.

Extension du schéma
Le système d'exploitation Windows 2000 Server fournit un ensemble de classes d'objet et d'attributs par défaut
suffisants pour la plupart des organisations. Bien que vous ne puissiez pas supprimer les objets de schéma, vous
pouvez les marquer comme désactivés.

Les développeurs et les administrateurs réseau expérimentés peuvent étendre dynamiquement le schéma en
définissant de nouvelles classes et de nouveaux attributs pour les classes existantes. Il est conseillé d'étendre le
schéma Active Directory par programme, via l'interface ADSI (Active Directory Service Interface). Vous pouvez
également utiliser l'utilitaire LDIFDE (LDAP Data Interchange Format). (Pour plus d'informations sur ADSI et LDIFDE,
voir les sections "ADSI" et "Active Directory et LDIFDE".)

L'outil Schéma Active Directory, conçu à des fins de développement et de test, vous permet d'afficher et de modifier
le schéma Active Directory.

Si vous envisagez de modifier le schéma, prenez les points suivants en considération :

• Les modifications du schéma s'appliquent à l'ensemble de la forêt.

• Les extensions du schéma sont irréversibles (même si vous pouvez modifier certains attributs).

Microsoft exige de toute personne étendant le schéma qu'elle adhère aux règles d'affectation de noms (évoquées

dans la sous-section précédente) à la fois pour les noms complets LDAP et pour les noms communs. La compatibilité
est garantie par le logo Certifié compatible Windows7. Pour plus d'informations, voir le Site Web : msdn -
L'information pour les Développeurs.

Toutes les classes du schéma sont dérivées de la classe spéciale Top. À l'exception de Top, toutes les classes sont

des sous-classes dérivées d'une autre classe. L'héritage des attributs permet de construire de nouvelles classes à
partir de classes existantes. La nouvelle sous-classe hérite des attributs de sa superclasse (classe parent).

L'extension du schéma est une opération avancée. Pour plus d'informations sur l'extension du schéma par
programme, voir la section "Pour plus d'informations" à la fin de ce document.
Conventions d'affectation de noms d'objet
Active Directory prend en charge plusieurs formats de noms d'objet pour tenir compte des différentes formes que
peut prendre un nom, selon le contexte d'utilisation (certains noms correspondent à des numéros). Les sous-sections
suivantes décrivent les types de conventions d'affectation de nom des objets Active Directory :

• Noms des entités de sécurité

• Identificateurs de sécurité (aussi appelés SID ou identificateurs SID)

• Noms LDAP (dont les noms canoniques, les noms RDN, les URL et les noms uniques)

• GUID d'objets

• Noms d'ouverture de session (dont les noms UPN et les noms de comptes SAM)

Si votre organisation possède plusieurs domaines, vous pouvez utiliser les mêmes noms d'utilisateur et d'ordinateur
dans les différents domaines. Le SID, le GUID, le nom unique LDAP et le nom canonique générés par Active Directory
identifient de manière unique chaque utilisateur et chaque ordinateur de l'annuaire. Si l'objet Utilisateur ou Ordinateur
est renommé ou déplacé vers un domaine différent, le SID, le nom unique relatif LDAP, le nom unique et le nom
canonique changent. En revanche, le GUID généré par Active Directory reste identique.

Noms des entités de sécurité


Une entité de sécurité est un objet Windows 2000 géré par Active Directory, auquel est automatiquement affecté un
identificateur de sécurité (SID) pour l'authentification d'ouverture de session et l'accès aux ressources. Une entité de
sécurité peut être un compte d'utilisateur, un compte d'ordinateur ou un groupe. En d'autres termes, un nom d'entité
de sécurité identifie de manière unique un utilisateur, un ordinateur ou un groupe au sein d'un domaine unique. Un
objet entité de sécurité doit être authentifié par un contrôleur du domaine dans lequel il se trouve et l'accès aux
ressources réseau peut lui être accordé ou refusé.

Les noms des entités de sécurité ne sont pas uniques sur l'ensemble des domaines, mais doivent être uniques dans
leur propre domaine pour des raisons de compatibilité ascendante. Les objets entités de sécurité peuvent être
renommés, déplacés ou enregistrés au sein d'une arborescence de domaines imbriqués.

Leur nom doit être conforme aux lignes directrices suivantes :

Le nom ne doit pas être identique à un autre nom d'utilisateur, d'ordinateur ou de groupe du domaine. Il peut

contenir jusqu'à 20 caractères majuscules ou minuscules, à l'exception des caractères suivants : " / \ [ ] : ; | = , + *
? <>

Les noms d'utilisateurs, d'ordinateurs et de groupes ne doivent pas être composés uniquement de points (.) et

d'espaces.

Identificateurs de sécurité (SID)


Un SID est un numéro unique, créé par le sous-système de sécurité de Windows 2000 et affecté aux objets entités de
sécurité, à savoir les comptes d'utilisateurs, de groupes et d'ordinateurs. Chaque compte de votre réseau a reçu un SID
unique à sa création. Les processus internes de Windows 2000 font référence au SID d'un compte plutôt qu'à son nom
d'utilisateur ou de groupe.

Des entrées de contrôle d'accès (ACE, Access Control Entrie) protègent chaque objet Active Directory en identifiant les
utilisateurs et les groupes pouvant y accéder. Chaque ACE contient le SID de chaque utilisateur et de chaque groupe
ayant l'autorisation d'accéder à l'objet et définit le niveau d'accès autorisé. Par exemple, un utilisateur peut disposer
pour certains fichiers de droits d'accès en lecture seule, pour d'autres de droits d'accès en lecture et en écriture, et pour
d'autres encore, d'aucun droit d'accès.

Si vous créez un compte, que vous le supprimez, puis que vous créez un autre compte avec le même nom
d'utilisateur, le nouveau compte n'hérite ni des autorisations, ni des droits accordés à l'ancien compte car les comptes
ont des identificateurs SID différents.

Noms LDAP
Active Directory est un service d'annuaire conforme LDAP (Lightweight Directory Access Protocol). Dans
Windows 2000, tout accès à un objet Active Directory s'effectue à l'aide du protocole LDAP. Il définit les opérations à
effectuer pour rechercher et modifier des informations dans un annuaire, et la manière d'accéder de manière sécurisée
à ces informations. Ainsi, c'est LDAP qui est utilisé pour rechercher ou énumérer des objets d'annuaire et pour
interroger ou administrer Active Directory. (Pour plus d'informations sur LDAP, voir la section "Protocole LDAP".)

Il est possible de faire porter les requêtes sur le nom unique LDAP (lui-même un attribut de l'objet), mais comme
ceux-ci sont difficiles à mémoriser, LDAP prend également en charge les requêtes portant sur d'autres attributs (par
exemple, la couleur pour rechercher les imprimantes couleur). Vous pouvez ainsi rechercher un objet même si vous ne
connaissez pas son nom unique.

Les formats d'affectation de noms d'objet, pris en charge par Active Directory et fondés sur le nom unique LDAP, sont
décrits dans les trois sous-sections suivantes :

• Noms RDN et noms uniques LDAP

• URL LDAP

• Noms canoniques LDAP

Noms RDN et noms uniques LDAP


LDAP fournit des noms uniques (DN) et des noms uniques relatifs (RDN) aux objets8. Active Directory met en œuvre
ces conventions d'affectation de noms LDAP avec les variantes illustrées dans le tableau 2.

Tableau 2. Conventions d'affectation de noms LDAP et correspondances dans Active Directory

Convention d'affectation des Convention d'affectation de noms


noms DN & RDN LDAP correspondante dans Active Directory

cn=nom commun cn=nom commun

ou=unité d'organisation ou=unité d'organisation

o=organisation dc=composant de domaine

c=pays (non pris en charge)

Remarque cn=, ou=, … sont des types d'attributs. Les attributs permettant de détailler le nom RDN d'un objet sont
appelés attributs d'affectation de nom. Les attributs d'affectation de nom Active Directory, illustrés en haut à droite,
sont destinés aux classes d'objet Active Directory suivantes :
• L'attribut cn est utilisé pour la classe d'objet utilisateur.

• L'attribut ou est utilisé pour la classe d'objet unité d'organisation (OU).

• L'attribut dc est utilisé pour la classe d'objet DNS de domaine.

Chaque objet Active Directory possède un nom unique LDAP. Les objets sont localisés dans les domaines Active
Directory à l'aide d'un chemin hiérarchique qui inclut les étiquettes du nom de domaine et chaque niveau d'objet
conteneur. Le chemin complet vers l'objet est défini par le nom unique. Le nom de l'objet lui-même correspond au nom
RDN. Ce nom est le segment du nom unique d'un objet, attribut de l'objet lui-même.

Représentant le chemin complet vers un objet, composé du nom de l'objet et de tous ses objets parents jusqu'à la
racine du domaine, le nom unique permet d'identifier un objet unique dans l'arborescence de domaines. Chaque nom
RDN est stocké dans la base de données Active Directory et contient une référence à son parent. Au cours d'une
opération LDAP, le nom unique est construit entièrement en suivant les références à la racine. Dans un nom unique
LDAP complet, le nom RDN de l'objet à identifier commence sur la gauche avec le nom de la feuille et se termine sur la
droite avec le nom de la racine, comme le montre l'exemple suivant :

cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com

Le nom RDN de l'objet Utilisateur MDurand est cn=MDurand, celui de Widget (l'objet parent de MDurand) est
ou=Widgets, etc.

Les outils Active Directory n'affichent pas les abréviations LDAP des attributs d'affectation de nom (dc=, ou= ou cn=).
Elles apparaissent dans l'exemple pour illustrer la manière dont LDAP reconnaît les différentes parties des noms
uniques. La plupart des outils Active Directory affichent les noms d'objets sous leur forme canonique (décrite plus loin
dans ce document). Dans Windows 2000, les noms uniques permettent aux clients LDAP de récupérer des informations
sur des objets à partir de l'annuaire, mais aucune interface utilisateur ne demande d'entrer le nom unique. L'utilisation
explicite des noms uniques, des noms RDN et des attributs d'affectation de nom est requise uniquement lors de
l'écriture de programmes ou de scripts conformes LDAP.

Noms d'URL LDAP


Active Directory prend en charge l'accès de tous les clients LDAP à l'aide du protocole LDAP. La RFC 1959 décrit un
format d'URL LDAP permettant aux clients Internet d'accéder directement au protocole LDAP. Les URL LDAP sont
également utilisées dans l'écriture de scripts. Une telle URL est composée du préfixe "LDAP", du nom du serveur
contenant les services Active Directory, suivi du nom attribué à l'objet (le nom unique). Par exemple :

LDAP://serveur1.France.NomOrg.com/cn=MDurand, ou=Widgets,ou=Fabrication,dc=France,dcNomOrg,dc=com

Noms canoniques LDAP de Active Directory


Par défaut, les outils d'administration de Active Directory affichent les noms des objets au format de nom canonique,
qui répertorie les noms RDN à partir de la racine, sans les descripteurs d'attribut d'affectation de nom RFC 1779 (dc=,
ou= et cn=). Le nom canonique utilise le format DNS, c'est-à-dire que les constituants de la partie du nom contenant
les noms de domaines sont séparés par des points — France.NomOrg.com. Le tableau 3 montre les différences entre un
nom unique LDAP et le même nom au format de nom canonique.

Tableau 3. Format de nom unique LDAP et format de nom canonique

Nom identique dans deux formats différents


Nom unique LDAP : cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com

Nom canonique : France.NomOrg.com/Fabrication/Widgets/MDurand

GUID d'objets
Parallèlement à son nom unique LDAP, chaque objet Active Directory possède un identificateur globalement unique
(GUID), un numéro à 128 bits assigné par l'Agent système d'annuaire lors de la création de l'objet. Le GUID, qui ne
peut être ni modifié ni supprimé, est enregistré dans un attribut, objectGUID, requis pour chaque objet. À la différence
des noms uniques et RDN susceptibles d'être modifiés, le GUID ne change jamais.

Si vous enregistrez une référence à un objet Active Directory dans un magasin de données externe (par exemple, une
base de données Microsoft SQL Server™), vous devez utiliser l'attribut objectGUID.

Noms d'ouverture de session : noms UPN et noms de comptes SAM


Comme décrit précédemment, les entités de sécurité sont des objets sur lesquels s'applique la sécurité Windows pour
l'authentification d'ouverture de session et les autorisations d'accès aux ressources. Les utilisateurs représentent le
premier type d'entités de sécurité. Dans Windows 2000, ils ont besoin d'un nom d'ouverture de session unique pour
accéder à un domaine et à ses ressources. Les deux types de noms d'ouverture de session — les noms UPN et les noms
de comptes SAM (Security Account Manager) — sont décrits dans les deux sous-sections ci-dessous.

Noms UPN
Dans Active Directory, chaque compte d'utilisateur possède un nom UPN (nom utilisateur principal) au format
<utilisateur>@<nom-domaine-DNS>. Un nom UPN est un nom convivial assigné par un administrateur. Il est plus court
que le nom unique LDAP utilisé par le système et plus facile à mémoriser. Le nom UPN d'un objet Utilisateur est
indépendant de son nom unique, si bien que le déplacement et la modification du nom de l'objet n'affectent pas le nom
d'ouverture de session de l'utilisateur. Lors d'une connexion par nom UPN, les utilisateurs ne sont plus invités à
sélectionner un domaine dans une liste dans la boîte de dialogue d'ouverture de session.

Les noms UPN se composent de trois parties : le préfixe UPN (nom d'ouverture de session de l'utilisateur), le
caractère @ et le suffixe UPN (en général, un nom de domaine). Le suffixe UPN par défaut d'un compte d'utilisateur est
le nom DNS du domaine Active Directory dans lequel se trouve le compte9. Par exemple, le nom UPN de l'utilisateur
Marc Durand, qui possède un compte d'utilisateur dans le domaine NomOrg.com (si NomOrg.com est le seul domaine
de l'arborescence), est MDurand@NomOrg.com. C'est un attribut (userPrincipalName) de l'objet entité de sécurité. Si
l'attribut userPrincipalName d'un objet Utilisateur n'a pas de valeur, l'objet a le nom UPN par défaut
nomUtilisateur@NomDomaineDns.

Si votre organisation possède une arborescence de domaines composée de nombreux domaines, organisés par
départements et régions, les noms UPN par défaut peuvent s'avérer encombrants. Par exemple, le nom UPN par défaut
d'un utilisateur pourrait être ventes.coteouest.microsoft.com. Le nom d'ouverture de session des utilisateurs dans ce
domaine serait utilisateur@ventes.coteouest.microsoft.com. Au lieu d'accepter le nom de domaine DNS par défaut
comme suffixe UPN, vous pouvez simplifier l'administration et les processus de connexion utilisateur en fournissant un
suffixe UPN unique pour tous les utilisateurs. (Le suffixe UPN est utilisé uniquement au sein du domaine Windows 2000
et il ne correspond pas nécessairement à un nom de domaine DNS valide.) Vous pouvez décider d'utiliser votre nom de
domaine de messagerie comme suffixe UPN — nomUtilisateur@nomEntreprise.com. Le nom UPN de l'utilisateur de notre
exemple devient alors utilisateur@microsoft.com.

Lors d'une ouverture de session par nom UPN, un catalogue global peut s'avérer nécessaire, selon l'identité de
l'utilisateur qui se connecte et l'appartenance de l'ordinateur de l'utilisateur au domaine. C'est le cas si l'utilisateur se
connecte à l'aide d'un nom UPN différent du nom par défaut et si le compte d'ordinateur de l'utilisateur se trouve dans
un autre domaine que son compte d'utilisateur. C'est-à-dire si, au lieu d'accepter le nom de domaine DNS par défaut
comme suffixe UPN (comme dans l'exemple précédent, utilisateur@ventes.coteouest.microsoft.com), vous fournissez un
suffixe UPN unique pour tous les utilisateurs (l'utilisateur a alors pour nom utilisateur@ microsoft.com).

L'outil Domaines et approbations Active Directory permet de gérer les suffixes UPN d'un domaine. Les noms UPN sont
assignés lors de la création d'un utilisateur. Si vous avez créé des suffixes supplémentaires pour un domaine, vous
devez sélectionner le suffixe de votre choix dans une liste lorsque vous créez le compte d'utilisateur ou de groupe. Les
suffixes sont répertoriés dans l'ordre suivant :

• autres suffixes (s'il en existe, le dernier créé apparaît en tête de liste) ;

• domaine racine ;

• domaine actif.

Noms de comptes SAM


Un nom de compte SAM (Security Account Manager) est requis pour la compatibilité avec les domaines Windows
NT 3.x et Windows NT 4.0. Dans l'interface utilisateur Windows 2000, un nom de compte SAM est appelé "Nom
d'ouverture de session de l'utilisateur (avant l'installation de Windows 2000)".

Ces noms sont aussi parfois appelés noms plan car, contrairement aux noms DNS, ils ne sont pas affectés
hiérarchiquement. Comme les noms SAM sont plan, chacun doit être unique dans le domaine.

Publication d'objets
La publication représente la création d'objets dans l'annuaire, qui contiennent directement les informations que vous
voulez rendre accessibles ou y font référence. Par exemple, un objet Utilisateur contiendra des informations utiles sur
les utilisateurs, comme leurs numéros de téléphone et leurs adresses de messagerie, tandis qu'un objet Volume
contiendra une référence à un volume d'un système de fichiers partagé.

Les deux exemples suivants décrivent la publication d'objets Imprimantes et Fichiers dans Active Directory :

Publication de partage. Vous pouvez publier un dossier partagé comme objet Volume (également appelé objet

Dossier partagé) dans Active Directory en utilisant le composant logiciel enfichable Utilisateurs et groupes Active
Directory. Les utilisateurs peuvent ainsi interroger rapidement et facilement Active Directory sur ce dossier partagé.

Publication d'imprimante. Dans un domaine Windows 2000, la manière la plus simple de gérer, de rechercher et

de se connecter à des imprimantes consiste à utiliser Active Directory. Par défaut10, si vous ajoutez une imprimante
à l'aide de l'Assistant Ajout d'imprimante et décidez de la partager, Windows 2000 Server la publie dans le domaine
en tant qu'objet Active Directory. La publication (affichage) d'imprimantes dans Active Directory permet aux
utilisateurs de localiser l'imprimante la plus appropriée. Ils peuvent interroger aisément Active Directory sur une de
ces imprimantes, en effectuant une recherche par attributs d'imprimante, tels que le type (PostScript, couleur, papier
de taille autorisée, etc.) et l'emplacement. Lorsqu'une imprimante est supprimée du serveur, ce dernier annule sa
publication.
Vous pouvez également publier des imprimantes non-Windows 2000 (c'est-à-dire des imprimantes sur des serveurs
d'impression autres que Windows 2000) dans Active Directory. Pour ce faire, utilisez l'outil Utilisateurs et ordinateurs
Active Directory pour entrer le chemin UNC de l'imprimante. Vous pouvez aussi utiliser le script Pubprn.vbs inclus
dans le dossier System32. La stratégie de groupe Nettoyage des imprimantes de bas niveau détermine la manière
dont le service de nettoyage (suppression automatique d'imprimantes) traite les imprimantes situées sur des
serveurs d'impression non-Windows 2000, lorsqu'une imprimante n'est pas disponible.

Décision de publication
Vous publiez une information dans Active Directory quand elle peut être utile ou intéressante pour une partie
importante de la communauté des utilisateurs et quand elle doit être facilement accessible.

L'information publiée dans Active Directory présente deux caractéristiques essentielles :

Elle est relativement statique. Publiez uniquement une information qui change rarement. Les numéros de

téléphone et les adresses de messagerie sont des exemples d'informations relativement statiques, aptes à être
publiées. Au contraire, le courrier électronique actuellement sélectionné par l'utilisateur est un exemple d'information
particulièrement volatile.

Elle est structurée. Publiez une information structurée qui peut être représentée sous la forme d'un ensemble

d'attributs discrets. L'adresse professionnelle d'un utilisateur est un exemple d'information structurée, apte à être
publiée. Un extrait audio de la voix de l'utilisateur est un exemple d'information non structurée mieux adaptée au
système de fichiers.

Les informations de fonctionnement utilisées par les applications constituent d'excellentes candidates à la publication
dans Active Directory. En font partie les informations de configuration globales qui s'appliquent à toutes les instances
d'une application donnée. Par exemple, un produit de bases de données relationnelles pourrait enregistrer en tant
qu'objet dans Active Directory la configuration par défaut des serveurs de bases de données. De nouvelles installations
du produit pourraient alors récupérer la configuration par défaut contenue dans l'objet, ce qui simplifierait le processus
d'installation et augmenterait la cohérence des installations au sein d'une entreprise.

Les applications peuvent également publier leurs points de connexion dans Active Directory. Les points de connexion
servent aux rendez-vous client-serveur. Active Directory définit une architecture pour l'administration de services
intégrée utilisant des objets Points d'administration de services et fournit des points de connexion standard pour les
applications RPC (Remote Procedure Call), Winsock et COM (Component Object Model). Les applications qui n'utilisent
pas les interfaces RPC ou Winsock pour publier leurs points de connexion peuvent publier explicitement des objets point
de connexion de services dans l'annuaire.

Les données des applications peuvent également être publiées dans l'annuaire avec des objets spécifiques aux
applications. Les données spécifiques aux applications doivent correspondre aux critères évoqués plus haut, c'est-à-dire
être globalement intéressantes, relativement non volatiles et structurées.

Outils de publication
Les outils de publication dépendent de l'application ou du service concerné :

RPC (Remote Procedure Call). Les applications RPC utilisent la famille de API RpcNs* pour publier leurs points de

connexion dans l'annuaire et pour rechercher les points de connexion des services qui ont publié les leurs.

Windows Sockets. Les applications Windows Sockets utilisent les familles de API Enregistrement et Résolution de

Winsock 2.0 pour publier leurs points de connexion et pour rechercher les points de connexion des services qui ont
publié les leurs.

DCOM (Distributed Component Object Model). Les services DCOM publient leurs points de connexion par

l'intermédiaire de la banque de classes DCOM, hébergée dans Active Directory. DCOM est la spécification COM de
Microsoft qui définit la manière dont les composants communiquent sur les réseaux Windows. Utilisez l'outil
Configuration DCOM pour intégrer des applications client-serveur sur plusieurs ordinateurs. DCOM peut également
être utilisé pour intégrer des applications robustes de navigateur Web.
Architecture Active Directory (3/4)
Sur cette page
Domaines : arborescences, forêts, approbations et unités d'organisation

Arborescences
Forêts
Relations d'approbation
Unités d'organisation
Sites : services aux clients et réplication des données
Utilisation des informations sur le site par Active Directory
Contrôleurs de domaine, catalogues globaux et données répliquées
Réplication dans un site
Réplication inter-sites
Protocoles de réplication
Réplication multimaître

Domaines : arborescences, forêts, approbations et unités d'organisation


Active Directory est constitué d'un ou de plusieurs domaines. La création du contrôleur de domaine initial dans un
réseau crée également le domaine. Vous ne pouvez pas avoir de domaine sans au moins un contrôleur de domaine.
Chaque domaine de l'annuaire est identifié par un nom de domaine DNS. L'outil Domaines et approbations Active
Directory permet de gérer les domaines.

Les domaines sont utilisés pour réaliser les objectifs de gestion de réseau suivants :

Délimitation de la sécurité. Les domaines Windows 2000 définissent une limite de sécurité. Les stratégies et les

paramètres de sécurité (comme par exemple les droits d'administration et les listes de contrôle d'accès) ne passent
pas d'un domaine à un autre. Active Directory peut inclure un ou plusieurs domaines, possédant tous leurs propres
stratégies de sécurité.

Réplication des informations. Un domaine est une partition d'annuaire Windows 2000 (appelée également

contexte d'affectation de nom). Ces partitions sont les unités de réplication. Chaque domaine enregistre uniquement
les informations concernant les objets qu'il contient. Chaque contrôleur d'un domaine peut recevoir les modifications
apportées à des objets et répliquer ces modifications vers tous les autres contrôleurs du même domaine.

Application des stratégies de groupe. Un domaine représente une étendue possible de stratégie (les

paramètres de stratégie de groupe peuvent aussi être appliqués à des unités d'organisation ou à des sites).
L'application d'un objet Stratégie de groupe (GPO, Group Policy Object) au domaine définit la manière dont les
ressources du domaine peuvent être configurées et utilisées. Par exemple, vous pouvez employer une stratégie de
groupe pour contrôler les paramètres du bureau, comme par exemple le déploiement d'applications et de
verrouillages. Ces stratégies sont appliquées uniquement au sein d'un même domaine. Elles ne sont pas transmises
d'un domaine à un autre.

Structure du réseau. Comme un domaine Active Directory peut englober de nombreux sites et contenir des

millions d'objets11, la plupart des organisations n'ont pas besoin de créer de domaines distincts pour refléter leurs
différents départements et divisions. Normalement, vous ne devriez pas avoir à créer d'autres domaines pour traiter
des objets supplémentaires. Toutefois, certaines organisations requièrent plusieurs domaines pour prendre en
charge, par exemple, des unités professionnelles indépendantes ou complètement autonomes qui ne veulent pas
qu'une personne extérieure à leur unité dispose d'autorisations sur leurs objets. De telles organisations peuvent créer
des domaines supplémentaires et les organiser en une forêt Active Directory. Il peut également être utile de séparer
le réseau en domaines distincts si deux parties de votre réseau sont séparées par un lien si lent que vous refusez que
le trafic de réplication l'emprunte. (Dans le cas de liens lents encore capables de prendre en charge le trafic de
réplication de manière moins fréquente, vous pouvez configurer un simple domaine avec plusieurs sites).

Délégation de l'autorité d'administration. Sur les réseaux Windows 2000, vous pouvez déléguer l'autorité

d'administration d'unités d'organisation et de domaines individuels, ce qui réduit le nombre requis d'administrateurs
disposant d'une autorité d'administration élevée. Comme un domaine est une limite de sécurité, les autorisations
d'administration d'un domaine sont restreintes au domaine par défaut. Par exemple, un administrateur ayant
l'autorisation de définir les stratégies de sécurité d'un domaine n'est pas automatiquement autorisé à faire de même
dans tout autre domaine de l'annuaire.

Pour pouvoir comprendre les domaines, vous devez d'abord comprendre ce que sont les arborescences, les forêts, les
approbations et les unités d'organisation, et les rapports entre ces structures et les domaines. Ces composants de
domaine sont décrits dans les sous-sections suivantes :

• Arborescences

• Forêts

• Relations d'approbation

• Unités d'organisation

Windows 2000 introduit également le concept de sites, mais leur structure est différente de celle des domaines, afin
de garantir la flexibilité de leur administration (les sites sont décrits dans une section ultérieure). Ce document présente
les notions de base des domaines et des sites Windows 2000. Pour des informations détaillées sur la planification de
leur structure et déploiement, voir le Guide de planification du déploiement de Microsoft Windows 2000 Server dans la
section "Pour plus d'informations" à la fin de ce document.

Lorsque vous découvrirez les structures de domaines possibles décrites dans les sous-sections suivantes, gardez à
l'esprit que, pour de nombreuses organisations, il est possible de disposer d'une structure composée d'un domaine qui
serait simultanément une forêt composée d'une arborescence. Il s'agit sans doute de la meilleure façon d'organiser un
réseau. Il faut toujours commencer par la structure la plus simple et augmenter sa complexité si cela se justifie.

Arborescences
Dans Windows 2000, une arborescence est un ensemble d'un ou de plusieurs domaines avec noms contigus. S'il
existe plusieurs domaines, vous pouvez les associer en arborescences. Il est parfois nécessaire de posséder plusieurs
arborescences dans une forêt ; par exemple, si une division de votre organisation possède son propre nom DNS et
utilise ses propres serveurs DNS.

Le premier domaine créé est le domaine racine de la première arborescence. Les domaines supplémentaires de la
même arborescence de domaine sont les domaines enfants. Un domaine placé immédiatement au-dessus d'un autre
dans la même arborescence est son parent.

Tous les domaines qui ont un domaine racine commun forment ce qu'on appelle un espace de noms contigus. Les
domaines d'un espace de noms contigus (de la même arborescence) ont des noms contigus formés de la manière
suivante : le nom du domaine enfant apparaît sur la gauche, suivi d'un point et du nom de son domaine parent.
Lorsqu'il y a plus de deux domaines, chaque domaine est suivi de son parent dans le nom de domaine, comme l'illustre
la figure 3. Les domaines Windows 2000 d'une même arborescence sont liés par des relations d'approbation
bidirectionnelles et transitives. Ces relations sont décrites plus loin dans ce document.
Figure 3. Domaines parents et enfants d'une arborescence de domaines. Les flèches à deux directions indiquent des
relations d'approbation transitives bidirectionnelles

La relation parent-enfant entre domaines d'une même arborescence est une relation d'affectation de nom et une
relation d'approbation. Les administrateurs d'un domaine parent ne sont pas automatiquement ceux des domaines
enfants et les stratégies définies dans un domaine parent ne sont pas appliquées automatiquement aux domaines
enfants.

Forêts
Une forêt Active Directory est une base de données distribuée, composée de nombreuses bases de données partielles
enregistrées sur des ordinateurs différents. La distribution de la base de données augmente l'efficacité du réseau en
permettant de placer les données là où elles sont le plus utilisées. Les partitions de la base de données de la forêt sont
définies par des domaines, ce qui signifie qu'une forêt est composée d'un ou plusieurs domaines.

Tous les contrôleurs de domaine d'une forêt hébergent une copie des conteneurs de configuration et de schéma de la
forêt en plus d'une base de données de domaine. Une base de données de domaine est une partie d'une base de
données de forêt. Chaque base de données de domaine contient des objets d'annuaire, tels que les objets entités de
sécurité (utilisateurs, ordinateurs et groupes) auxquels vous pouvez accorder ou refuser l'accès aux ressources réseau.

Souvent, une forêt unique, simple à créer et à entretenir, suffit à répondre aux besoins d'une organisation. Dans ce
cas, les utilisateurs n'ont pas besoin de connaître la structure d'annuaire car ils voient tous un annuaire unique par
l'intermédiaire du catalogue global. Lors de l'ajout d'un nouveau domaine dans la forêt, aucune configuration
d'approbation supplémentaire n'est requise. En effet, tous les domaines d'une même forêt sont connectés par des
relations d'approbation transitives bidirectionnelles. Dans une forêt de plusieurs domaines, les modifications de
configuration n'ont besoin d'être appliquées qu'une seule fois pour affecter tous les domaines.

Ne créez pas de forêt supplémentaire, à moins que vous n'en ayez vraiment besoin, car chaque forêt que vous créez
entraîne une surcharge de travail de gestion12 . Il est parfois nécessaire de créer plusieurs forêts ; par exemple, si
l'administration de votre réseau est distribuée entre plusieurs divisions autonomes qui ne peuvent pas se mettre
d'accord sur une gestion commune des conteneurs de schéma et de configuration. C'est également le cas si vous voulez
garantir que des utilisateurs spécifiques ne puissent jamais obtenir l'accès à certaines ressources (dans une forêt
unique, tout utilisateur peut être inclus dans tout groupe ou peut être répertorié dans une liste de contrôle d'accès
discrétionnaire (DACL, Discretionary Access Control List)13, sur n'importe quel ordinateur de la forêt). Si vous disposez
de forêts distinctes, vous pouvez définir des relations d'approbation explicites pour accorder aux utilisateurs d'une forêt
l'accès à certaines ressources d'une autre. (Pour un exemple avec deux forêts, voir la figure 7 dans la section
"Exemple : Environnement mixte constitué de deux forêts et d'un extranet".)

Plusieurs arborescences de domaines au sein d'une même forêt ne forment pas un espace de noms contigus ; en
effet, leurs noms de domaine DNS ne sont pas contigus. Bien que les arborescences d'une forêt ne partagent pas un
même espace de nom, une forêt possède un domaine racine unique, appelé domaine racine de la forêt. Ce domaine
racine est, par définition, le premier domaine créé dans la forêt. Les deux groupes prédéfinis, Administrateurs
d'entreprise et Administrateurs de schéma, résident dans ce domaine.

Par exemple, comme le montre la figure 4, bien que trois arborescences de domaines (Racine-SS.com,
RacineEurope.com et RacineAsie.com) aient tous un domaine enfant pour le service de comptabilité "Compt", les noms
DNS de ces domaines enfants sont respectivement Compt.Racine-SS.com, Compt.RacineEurope.com et
Compt.RacineAsie.com. Il n'existe aucun espace de noms partagé.

Figure 4. Forêt de trois arborescences de domaines. Les trois domaines racines ne sont pas contigus, mais
RacineEurope.com et RacineAsie.com sont des domaines enfants de Racine-SS.com.

Le domaine racine de chaque arborescence de domaines de la forêt établit une relation d'approbation transitive
(expliquée plus en détails dans la section suivante) avec le domaine racine de la forêt. Dans la figure 4, Racine-SS.com
est le domaine racine de la forêt. Les domaines racines des autres arborescences, RacineEurope.com et
RacineAsie.com, ont des relations d'approbation transitives avec Racine-SS.com. Il est donc possible d'établir des
relations d'approbation entre toutes les arborescences de la forêt.

Tous les domaines Windows 2000 de toutes les arborescences de domaines d'une même forêt présentent les
caractéristiques suivantes :

• Il existe des relations d'approbation transitives entre les domaines d'une même arborescence.

Il existe des relations d'approbation transitives entre les arborescences de domaines d'une même

forêt.

• Ils partagent des informations de configuration communes.

• Ils partagent un schéma commun.

• Ils partagent un catalogue global commun.

Important Il est facile d'ajouter de nouveaux domaines à une forêt. Toutefois, vous ne pouvez pas déplacer les
domaines Windows 2000 Active Directory d'une forêt à une autre. Vous pouvez supprimer un domaine d'une forêt
uniquement s'il ne possède pas de domaine enfant. Une fois que le domaine racine d'une arborescence a été défini,
vous ne pouvez pas ajouter à la forêt un domaine avec un nom de niveau supérieur. Il est impossible de créer un
parent pour un domaine existant ; vous pouvez uniquement créer un enfant.

La mise en œuvre d'arborescences de domaines et de forêts vous permet d'utiliser à la fois les conventions
d'affectation de nom contigu et non contigu. Cette souplesse peut être utile, par exemple, dans des sociétés composées
de divisions indépendantes qui veulent toutes conserver leur propre nom DNS, comme Microsoft.com et MSNBC.com.

Relations d'approbation
Une relation d'approbation est une relation établie entre deux domaines grâce à laquelle les contrôleurs de domaine
de l'un des domaines reconnaissent les utilisateurs de l'autre domaine. Les approbations permettent aux utilisateurs
d'un des domaines d'accéder aux ressources de l'autre et aux administrateurs d'un des domaines d'administrer des
droits utilisateur pour les utilisateurs de l'autre. Pour les ordinateurs Windows 2000, l'authentification de comptes entre
domaines est activée par l'intermédiaire de relations d'approbation bidirectionnelles et transitives.

Toutes les relations d'approbation au sein d'une forêt Windows 2000 sont bidirectionnelles et transitives, et sont
définies comme suit :

Bidirectionnelle. Lorsque vous créez un domaine enfant, ce domaine enfant approuve automatiquement son

domaine parent et réciproquement. D'un point de vue pratique, des requêtes d'authentification peuvent être
soumises d'un domaine à l'autre dans les deux sens.

Transitive. Une approbation transitive va au-delà des deux domaines impliqués dans la relation d'approbation

initiale. Par exemple : si le domaine A et le domaine B (parent et enfant) s'approuvent mutuellement et si le domaine
B et le domaine C (là encore parent et enfant) s'approuvent eux aussi mutuellement, alors le domaine A et le
domaine C s'approuvent mutuellement (de manière implicite), même si aucune relation d'approbation directe n'existe
entre eux. Au niveau de la forêt, il se crée automatiquement une relation d'approbation entre le domaine racine de la
forêt et le domaine racine de chaque arborescence de domaines ajoutée à la forêt, ce qui crée une approbation
complète entre tous les domaines appartenant à une forêt Active Directory. D'un point de vue pratique, dans la
mesure où les relations d'approbation sont transitives, un processus d'ouverture de session unique permet au
système d'authentifier un utilisateur (ou un ordinateur) de n'importe quel domaine de la forêt. Ce processus
d'ouverture de session unique offre au compte un accès potentiel à toutes les ressources de tous les domaines de la
forêt.

Notez toutefois que le fait que les approbations permettent un processus d'ouverture de session unique ne signifie pas
nécessairement qu'un utilisateur authentifié possédera des droits et des autorisations dans tous les domaines de la
forêt.

Au-delà des approbations bidirectionnelles et transitives générées automatiquement à l'échelle de la forêt par le
système d'exploitation Windows 2000, vous pouvez créer explicitement les deux types de relations d'approbation
suivants :

Approbations raccourcis. Avant d'accorder à un compte d'un domaine donné l'accès à des ressources d'un autre

domaine par l'intermédiaire d'un contrôleur de domaine, Windows 2000 calcule le chemin d'approbation entre les
contrôleurs du domaine source (celui auquel appartient le compte) et le domaine cible (celui qui comporte les
ressources auxquelles le compte veut accéder). Un chemin d'approbation se compose de la série de relations
d'approbation de domaines que la sécurité de Windows 2000 doit traverser pour transmettre les requêtes
d'authentification d'un domaine à un autre. Le calcul et le parcours d'un chemin d'approbation entre arborescences
de domaines dans une forêt complexe peut prendre du temps. Pour améliorer les performances, vous pouvez créer
explicitement (manuellement) une approbation raccourci entre deux domaines Windows 2000 non adjacents de la
même forêt. Les approbations raccourcis sont des approbations unidirectionnelles transitives qui vous permettent de
raccourcir le chemin d'approbation, comme le montre la figure 5. Vous pouvez combiner deux approbations
unidirectionnelles pour établir une relation d'approbation bidirectionnelle. Si vous ne pouvez pas révoquer les
approbations bidirectionnelles transitives établies automatiquement par défaut entre tous les domaines d'une forêt
Windows 2000, vous pouvez en revanche supprimer les approbations raccourcis créées explicitement.
Figure 5. Approbations raccourcis entre les domaines B et D, et entre les domaines D et 2

Approbations externes. Les approbations externes établissent des relations d'approbation vers des domaines

d'une forêt Windows 2000 différente ou vers un domaine non-Windows 2000 (il peut s'agir d'un domaine Windows NT
ou d'un domaine Kerberos version 514). Les approbations externes permettent d'authentifier les utilisateurs dans un
domaine externe. Toutes les approbations externes sont des approbations unidirectionnelles non transitives, comme
le montre la figure 6. De nouveau, vous pouvez combiner deux approbations unidirectionnelles pour établir une
relation d'approbation bidirectionnelle.

Figure 6. Approbation non transitive externe unidirectionnelle

Dans Windows NT 4.0 et les versions antérieures de ce système d'exploitation, les relations d'approbation sont
unidirectionnelles et l'approbation est limitée aux deux domaines entre lesquels elle est établie (elle n'est pas
transitive). Lorsque vous mettez à niveau un domaine Windows NT vers un domaine Windows 2000, les relations
d'approbation unidirectionnelles entre ce domaine et tout autre domaine Windows NT sont maintenues. Si vous installez
un nouveau domaine Windows 2000 et que vous voulez établir pour lui des relations d'approbation avec des domaines
Windows NT, vous devez créer des approbations externes Windows 2000. Pour établir explicitement une relation
d'approbation, vous devez utilisez l'outil Domaines et approbations Active Directory.

Exemple : Environnement mixte constitué de deux forêts et d'un extranet

La figure 7 illustre un environnement mixte comprenant deux forêts Windows 2000 et un domaine Windows NT 4.0.
Quatre espaces de noms séparés sont mis en œuvre : A.com, D.com, G.com et F.
Figure 7. Réseau constitué de deux forêts et d'un extranet

La figure 7 illustre le cas suivant :

A.com et D.com sont les racines d'arborescences distinctes de la forêt 1. (A.com est le domaine racine de la forêt.)

L'approbation de racine d'arborescence bidirectionnelle et transitive qui existe entre eux (générée automatiquement
par Windows 2000) assure une approbation complète entre tous les domaines des deux arborescences de la forêt 1.

E.D.com utilise fréquemment des ressources dans C.A.com. Pour raccourcir le chemin d'approbation entre les deux

domaines, C.A.com approuve E.D.com directement. Cette approbation raccourci unidirectionnelle et transitive
raccourcit le chemin d'approbation à parcourir pour authentifier les utilisateurs de E.D.com (limite le nombre de
tronçons nécessaires à leur authentification) afin qu'ils puissent utiliser efficacement les ressources de C.A.com.

G.com est la racine de l'arborescence qui constitue à elle seule la forêt 2. L'approbation bidirectionnelle et transitive

automatique entre G.com et H.G.com permet aux utilisateurs, aux ordinateurs et aux groupes des deux domaines
d'accéder à leurs ressources mutuelles.

Le domaine G.com de la forêt 2 implémente une relation d'approbation externe unidirectionnelle explicite avec le

domaine D.com de la forêt 1 de telle sorte que les utilisateurs du domaine D.com puissent accéder aux ressources du
domaine G.com. Cette approbation n'étant pas transitive, aucun autre domaine de la forêt 1 ne peut obtenir d'accès
aux ressources de G.com, et les utilisateurs, les groupes et les ordinateurs de D.com ne peuvent accéder aux
ressources de H.G.com.

Le domaine F est un domaine Windows NT 4.0 qui fournit des services d'assistance aux utilisateurs de E.D.com.

Cette approbation unidirectionnelle non transitive ne s'étend à aucun autre domaine de la forêt 1. Dans ce scénario,
le domaine Windows NT 4.0 est un extranet. (Un extranet est un intranet accessible en partie à des utilisateurs
externes autorisés. Un intranet à part entière est situé derrière un pare-feu et reste inaccessible, mais un extranet
offre un accès restreint aux personnes n'appartenant pas à l'organisation.)

Unités d'organisation
Nouveau concept dans le système d'exploitation Windows 2000, les unités d'organisation (également appelées OU)
sont un type d'objets d'annuaire dans lequel vous pouvez placer des utilisateurs, des groupes, des ordinateurs, des
imprimantes, des dossiers partagés et d'autres unités d'organisation au sein d'un domaine unique. L'unité
d'organisation (représentée sous la forme d'un dossier dans l'interface Utilisateurs et ordinateurs Active Directory) vous
permet d'organiser logiquement et d'enregistrer des objets dans le domaine. Si vous avez plusieurs domaines, chacun
d'entre eux peut implémenter sa propre hiérarchie d'unités d'organisation.

Comme l'illustre la figure 8, les unités d'organisation peuvent contenir d'autres unités d'organisation.

Figure 8. Hiérarchie d'unités d'organisation dans un domaine unique

Les unités d'organisation vous permettent essentiellement de déléguer l'autorité administrative sur des jeux
d'utilisateurs, de groupes et de ressources. Par exemple, vous pouvez créer une unité d'organisation qui contient tous
les comptes d'utilisateur de votre société. Après avoir créé des unités d'organisation pour déléguer des pouvoirs
d'administration, vous pouvez leur appliquer des paramètres de stratégie de groupe pour définir des configurations de
bureau pour les utilisateurs et les ordinateurs. Dans la mesure où vous utilisez des unités d'organisation pour déléguer
des pouvoirs administratifs, la structure que vous créez reflétera probablement davantage votre modèle administratif
que l'organisation technique de votre entreprise.

Bien que les utilisateurs puissent parcourir la structure d'unités d'organisation d'un domaine lorsqu'ils recherchent des
ressources, l'interroger du catalogue global est dans ce cas-ci bien plus efficace. Il est donc inutile de créer une
structure d'unités d'organisation pour le seul bien-être des utilisateurs finaux. Vous pouvez aussi créer une structure
d'unités d'organisation qui reflète l'organisation technique de votre entreprise, mais la mise en œuvre et la gestion
d'une telle initiative peuvent être difficiles et coûteuses. Au lieu de créer une structure d'unités d'organisation qui
refléterait la situation des ressources ou l'organisation par départements, basez-vous sur les paramètres de délégation
administrative et de stratégie de groupe lorsque vous créez des unités d'organisation.

Pour plus d'informations sur la mise en œuvre de la délégation et de la stratégie de groupe à l'aide d'unités
d'organisation, voir la section "Utilisation de la délégation et de la stratégie de groupe avec les unités d'organisation, les
domaines et les sites". Pour des informations plus détaillée sur la conception d'une structure d'unités d'organisation lors
de la planification de la mise en œuvre de Windows 2000, voir le Guide de planification du déploiement de Microsoft
Windows 2000 Server dans la section "Pour plus d'informations" à la fin de ce document.

Sites : services aux clients et réplication des données


Vous pouvez considérer un site Windows 2000 comme un ensemble d'ordinateurs appartenant à un ou plusieurs
réseaux IP connectés à l'aide de technologies LAN, ou comme un ensemble de réseaux locaux connectés par une
structure fondamentale à haute vitesse. Les ordinateurs appartenant à un même site doivent être connectés
correctement, ce qui caractérise d'ailleurs les ordinateurs qui font partie d'un même sous-réseau. En revanche, des
sites distincts sont connectés par une liaison dont la vitesse est plus faible que celle des transferts de données au sein
d'un réseau local. Vous pouvez utiliser l'outil Sites et services Active Directory pour configurer des connexions tant pour
un site donné (dans un réseau local ou un ensemble de réseaux locaux connectés correctement) qu'entre plusieurs sites
(dans un réseau étendu).

Avec le système d'exploitation Windows 2000, les sites offrent les services suivants :

Les clients peuvent faire appel à un service par l'intermédiaire d'un contrôleur de domaine dans le site auquel ils

appartiennent (s'il en existe un).

• Active Directory tente de réduire le délai de la réplication intra-site.

• Active Directory tente de réduire la consommation de bande passante de la réplication inter-sites.

• Les sites vous permettent de planifier la réplication inter-sites.

Les utilisateurs et les services doivent pouvoir accéder aux informations d'annuaire à tout moment à partir de
n'importe quel ordinateur de la forêt. Pour ce faire, les ajouts, modifications et suppressions des données d'annuaire du
contrôleur de domaine d'origine doivent être relayées (répliquées) vers les autres contrôleurs de domaine de la forêt.
Toutefois, il faut atteindre un équilibre entre la nécessité de distribuer largement les données d'annuaire et celle
d'optimiser la performance réseau. Les sites Active Directory vous aident à maintenir un tel équilibre.

Vous devez bien comprendre que les sites sont indépendants des domaines. L'architecture des sites représente la
structure physique de votre réseau, alors que les domaines (si vous en utilisez plusieurs) représentent
traditionnellement la structure logique de votre organisation. Les structures logique et physique sont indépendantes
l'une de l'autre, et par conséquent :

• Il n'existe pas forcément de lien entre l'espace de noms des sites et celui des domaines.

Il n'existe pas nécessairement de corrélation entre la structure physique de votre réseau et celle de ses domaines.

Cependant, dans de nombreuses organisations, les domaines sont configurés pour refléter la structure physique du
réseau. En effet, les domaines sont des partitions, et le partitionnement joue sur la réplication ; la partition d'une
forêt en de multiples petits domaines permet de réduire le trafic de réplication.

• Active Directory permet d'établir plusieurs domaines dans un site unique, et inversement.

Utilisation des informations sur le site par Active Directory


Vous spécifiez les informations sur le site à l'aide de Sites et services Active Directory. Active Directory utilise ensuite
ces informations pour déterminer la meilleure façon d'utiliser les ressources réseau disponibles. L'utilisation des sites
rend optimise les opérations suivantes :

Réponses aux requêtes des clients. Lorsqu'un client requiert un service auprès d'un contrôleur de domaine, la

requête est destinée à un contrôleur de domaine appartenant au même site que lui, s'il existe. Le choix d'un
contrôleur de domaine connecté correctement au client permet d'optimiser le traitement de la requête. Par exemple,
si un client se connecte en utilisant un compte de domaine, le mécanisme de connexion recherche d'abord des
contrôleurs de domaine hébergés sur le même site que le client. L'utilisation préférentielle des contrôleurs de
domaine appartenant au site du client permet de limiter le trafic réseau au niveau local, ce qui optimise la procédure
d'authentification.

Réplication de données d'annuaire. Les sites permettent de dupliquer les données d'annuaire tant en leur sein

qu'entre eux. Active Directory réplique les données au sein d'un même site plus fréquemment que d'un site à l'autre,
ce qui signifie que les contrôleurs de domaine les mieux connectés, par conséquent les plus susceptibles d'avoir
besoin de données d'annuaire spécifiques, sont les premiers destinataires de la réplication. Les contrôleurs de
domaine des autres sites reçoivent aussi toutes les modifications de l'annuaire, mais moins fréquemment, ce qui
réduit la consommation de bande passante. La réplication de données Active Directory à destination des contrôleurs
de domaine est avantageuse en termes de disponibilité des données, de tolérance de pannes, d'équilibrage de charge
et de performances. (Pour plus d'informations sur la manière dont le système d'exploitation Windows 2000 met en
œuvre la réplication, voir la sous-section "Réplication multimaître" à la fin de cette section relative aux sites.)

Contrôleurs de domaine, catalogues globaux et données répliquées


Les données enregistrées dans Active Directory sur chaque contrôleur de domaine (qu'il s'agisse ou non d'un serveur
de catalogue global) sont réparties en trois catégories : les données de domaine, de schéma et de configuration.
Chacune de ces catégories se situe dans une partition d'annuaire distincte, appelée également contexte d'affectation de
nom.

Ces partitions d'annuaire constituent les unités de réplication. Les trois partitions d'annuaire comprises dans chaque
serveur Active Directory sont définies comme suit :

Partition d'annuaire de données de domaine. Contient tous les objets de l'annuaire pour ce domaine. Les

données de chaque domaine sont répliquées sur tous les contrôleurs de domaine que le domaine contient, mais pas
au-delà.

Partition d'annuaire de données de schéma. Contient tous les types d'objet qui peuvent être créés dans Active

Directory, ainsi que leurs attributs. Ces données sont communes à tous les domaines de l'arborescence de domaines
ou de la forêt. Les données de schéma sont répliquées sur tous les contrôleurs de domaine de la forêt.

Partition d'annuaire de données de configuration. Contient la topologie de réplication et les métadonnées



associées. Les applications qui reconnaissent Active Directory enregistrent des données dans la partition d'annuaire
de configuration. Ces données sont communes à tous les domaines de l'arborescence de domaines ou de la forêt. Les
données de configuration sont répliquées sur tous les contrôleurs de domaine de la forêt.

Si le contrôleur de données est également le serveur de catalogue global, il contient en outre une quatrième catégorie
de données :

Réplica partiel de la partition d'annuaire de données de domaine pour tous les domaines. Un serveur de

catalogue global enregistre et réplique non seulement un jeu complet de tous les objets de l'annuaire pour son
propre domaine hôte, mais également un réplica partiel de la partition d'annuaire de domaine de tous les autres
domaines de la forêt. Ce réplica partiel contient, par définition, un sous-ensemble des propriétés de tous les objets
de tous les domaines de la forêt. (Un réplica partiel n'est accessible qu'en lecture seule, alors qu'un réplica complet
l'est en lecture/écriture.)

Si un domaine contient un catalogue global, les autres contrôleurs de domaine répliquent tous les objets de ce
domaine (avec un sous-ensemble de leurs propriétés) sur le catalogue global, puis une réplication partielle est
exécutée entre les catalogues globaux. Si un domaine ne possède pas de catalogue global, c'est un contrôleur de
domaine standard qui sert de source au réplica partiel.

Par défaut, le sous-ensemble d'attributs enregistré dans le catalogue global contient les attributs qui sont le plus
souvent utilisés lors des opérations de recherche, car l'une des fonctions essentielles du catalogue global est la prise
en charge des clients qui interrogent l'annuaire. Si vous utilisez des catalogues globaux pour effectuer une réplication
partielle de domaine au lieu de répliquer un domaine complet, vous réduisez le trafic de réseau étendu.

Réplication dans un site


Si votre réseau est formé d'un réseau local (LAN) unique ou d'un ensemble de réseaux locaux connectés par une
structure fondamentale à haute vitesse, l'ensemble du réseau peut constituer un site unique. Le premier contrôleur de
domaine que vous installez crée automatiquement le premier site, connu sous le nom de Default-First-Site-Name. Une
fois le premier contrôleur de domaine installé, tous les contrôleurs de domaine supplémentaires sont automatiquement
ajoutés au même site que le contrôleur de domaine initial. (Si vous le souhaitez, vous pouvez ensuite les déplacer vers
d'autres sites.) Seule exception : Si, lorsque vous installez un contrôleur de domaine, l'adresse IP de ce dernier
correspond au sous-réseau déjà spécifié dans un autre site, le contrôleur de domaine est ajouté à cet autre site.

Au sein d'un site, les données d'annuaire sont répliquées fréquemment et automatiquement. La réplication intra-site
est définie pour réduire au minimum le délai de réplication, c'est-à-dire pour mettre les données à jour le plus possible.
Les mises à jour d'annuaire intra-site ne sont pas compressées. Les échanges non compressés utilisent davantage de
ressources réseau mais demandent une puissance de traitement moins importante de la part des contrôleurs de
domaine.

La figure 9 illustre la réplication au sein d'un site. Trois contrôleurs de domaine (dont l'un est aussi le catalogue
global) répliquent les données de schéma et de configuration de la forêt, ainsi que tous les objets d'annuaire (avec un
jeu complet des attributs de chaque objet).

Figure 9. Réplication intra-site avec un domaine unique

La topologie de réplication, c'est-à-dire la configuration formée par les connexions qui répliquent les données
d'annuaire entre les contrôleurs de domaine, est générée automatiquement par le service Knowledge Consistency
Checker (KCC) dans Active Directory. La topologie de site Active Directory est une représentation logique d'un réseau
physique ; elle est définie sur la base d'une forêt. Active Directory essaie d'établir une topologie qui offre au moins deux
connexions à chaque contrôleur de domaine, de sorte que, si un contrôleur de domaine devient indisponible, les
données d'annuaire puissent toujours atteindre tous les contrôleurs de domaine en ligne par l'autre connexion.

Active Directory évalue et ajuste automatiquement la topologie de réplication pour qu'elle s'adapte à l'évolution du
réseau. Par exemple, lorsqu'un contrôleur de domaine est ajouté à un site, la topologie de réplication est adaptée pour
englober efficacement cet ajout.

Les clients et les serveurs de Active Directory utilisent la topologie de sites de la forêt pour diriger efficacement le
trafic des requêtes et des réplications.

Si vous élargissez votre déploiement du premier contrôleur de domaine d'un domaine à plusieurs contrôleurs de
domaine au sein de domaines multiples (toujours à l'intérieur d'un même site), les données d'annuaire répliquées sont
modifiées pour tenir compte de la réplication du réplica partiel sur des catalogues globaux dans différents domaines. La
figure 10 montre deux domaines, comportant chacun trois contrôleurs de domaine. Dans chacun des sites, l'un des
contrôleurs de domaine est également le serveur de catalogue global. Au sein de chaque domaine, les contrôleurs de
domaine répliquent les données de schéma et de configuration de la forêt, ainsi que tous les objets d'annuaire (avec un
jeu complet des attributs de chaque objet), exactement comme à la figure 9. En outre, chaque catalogue global réplique
sur l'autre catalogue global les objets d'annuaire (avec uniquement un sous-ensemble de leurs attributs) pour son
propre domaine.

Figure 10. Réplication intra-site avec deux domaines et deux catalogues globaux

Réplication inter-sites
Créez des sites multiples pour optimiser à la fois le trafic serveur-serveur et le trafic client-serveur sur les liaisons de
réseau étendu. Dans le système d'exploitation Windows 2000, la réplication inter-sites réduit automatiquement la
consommation de bande passante entre les sites.

Lorsque vous créez des sites multiples, respectez les recommandations suivantes :

Géographie. Définissez en tant que site distinct chaque zone géographique qui nécessite un accès rapide aux

données d'annuaire les plus récentes. Ainsi, vos utilisateurs peuvent accéder à toutes les ressources dont ils ont
besoin.

Contrôleurs de domaine et catalogues globaux. Placez au moins un contrôleur de domaine dans chaque site et

définissez au moins un contrôleur de domaine en tant que catalogue global dans chaque site . Les sites qui n'ont ni
leurs propres contrôleurs de domaine ni catalogue global dépendent des autres sites pour obtenir leurs données
d'annuaire et sont donc moins efficaces.

Connexion entre les sites

Les connexions réseau entre sites sont représentées par des liens de sites. Un lien de sites est une connexion à faible
bande passante ou une connexion non fiable entre au moins deux sites. Un réseau étendu qui connecte deux réseaux
rapides constitue un exemple de lien de sites. D'une manière générale, n'importe quelle couple de réseaux connectés
par une liaison de vitesse inférieure à celle d'un réseau local sont considérés comme connectés par un lien de sites. Par
ailleurs, une liaison rapide proche de la saturation dont la bande passante est peu efficace est également considérée
comme un lien de sites. Lorsque vous disposez de plusieurs sites, les sites connectés par des liens de sites s'intègrent à
la topologie de réplication.
Dans un réseau Windows 2000, les liens de sites ne sont pas générés automatiquement ; vous devez les créer à l'aide
de l'outil Sites et services Active Directory. Lorsque vous créez des liens de sites et que vous configurez leur
disponibilité de réplication, leur coût relatif et leur fréquence de réplication, vous fournissez à Active Directory des
informations sur les objets de connexion à créer pour répliquer les données d'annuaire. Active Directory utilise les liens
de sites comme des indicateurs pour savoir où créer des objets de connexion, et les objets de connexion utilisent les
connexions réseau effectives pour échanger des données d'annuaire.

Chaque lien de sites est associé à un planning qui indique à quels moments de la journée le lien est disponible pour
effectuer le trafic de réplication.

Par défaut, les liens de sites sont transitifs, ce qui signifie qu'un contrôleur de domaine dans un site peut effectuer des
connexions de réplication avec des contrôleurs de domaine dans n'importe quel autre site. Ainsi, si le site A est
connecté au site B, et si le site B est connecté au site C, les contrôleurs de domaine du site A peuvent communiquer
avec les contrôleurs de domaine du site C. Lorsque vous créez un site, il se peut que vous souhaitiez créer des liens
supplémentaires pour permettre des connexions spécifiques entre des sites et personnaliser des liens de sites existants.

La figure 11 montre deux sites connectés par un lien de sites. Parmi les six contrôleurs de domaine représentés dans
cette figure, deux sont des serveurs ponts (le rôle de serveur pont est attribué automatiquement par le système).

Figure 11. Deux sites connectés par un lien de sites. Le serveur pont de chaque site est utilisé de manière
préférentielle pour échanger des données entre les sites.

Les serveurs ponts sont les serveurs choisis de préférence pour la réplication, mais vous pouvez également configurer
les autres contrôleurs de domaine du site pour qu'ils se chargent de la réplication des modifications d'annuaire d'un site
à l'autre.

Une fois les mises à jour répliquées d'un site sur le serveur pont de l'autre site, elles sont répliquées vers les autres
contrôleurs de domaine au sein du site par la réplication intra-site. Bien qu'un seul contrôleur de domaine reçoive la
mise à jour d'annuaire inter-sites initiale, tous les contrôleurs de domaine servent les requêtes client.

Protocoles de réplication
Les données d'annuaire peuvent être échangées à l'aide des protocoles de réseau suivants :

Réplication IP. La réplication IP utilise des RPC pour la réplication dans un même site (réplication intra-site) et

pour la réplication via des liens de sites (réplication inter-sites). Par défaut, la réplication inter-sites se conforme aux
plannings de réplication. La réplication IP n'a pas besoin d'autorité de certification.

Réplication SMTP. Si un site ne dispose pas de connexion physique au reste de votre réseau mais peut être joint

par SMTP (Simple Mail Transfer Protocol), il ne dispose que d'une connectivité par messagerie. La réplication SMTP
n'est utilisée que pour la réplication inter-sites. Vous ne pouvez pas utiliser la réplication SMTP pour une réplication
entre contrôleurs de domaine appartenant à un même domaine ; SMTP ne prend en charge que la réplication inter-
domaines (en d'autres termes, SMTP ne peut être utilisé que pour la réplication inter-sites inter-domaines). La
réplication SMTP ne peut être utilisée que pour la réplication de schéma, de configuration et de réplica partiel de
catalogue global. La réplication SMTP se conforme au planning de réplication généré automatiquement.

Si vous décidez d'utiliser SMTP par l'intermédiaire de liens de sites, vous devez installer et configurer une autorité
de certification d'entreprise. Les contrôleurs de domaine obtiennent auprès de l'autorité de certification des certificats
qui leur permettent ensuite de signer et de crypter les messages de courrier électronique qui contiennent les données
de réplication d'annuaire, garantissant ainsi l'authenticité des mises à jour d'annuaire. La réplication SMTP utilise un
cryptage sur 56 bits.

Réplication multimaître
Les contrôleurs de domaine de Active Directory prennent en charge la réplication multimaître, en synchronisant les
données sur chaque contrôleur de domaine et en assurant la cohérence temporelle des données. La réplication
multimaître réplique les données de Active Directory entre les contrôleurs de domaine homologues, chacun possédant
une copie de l'annuaire en lecture/écriture. Il s'agit d'une nouveauté par rapport au système d'exploitation Windows NT
Server, dans lequel seul le contrôleur de domaine principal disposait d'une copie de l'annuaire en lecture/écriture, les
contrôleurs de domaine secondaires ne recevant que des copies en lecture seule. Une fois configurée, la réplication
s'effectue de manière automatique et transparente.

Propagation de la mise à jour et numéros de séquence de mise à jour

Certains services d'annuaire utilisent des horodatages pour détecter et propager les modifications. Avec de tels
systèmes, il est impératif de s'assurer de la synchronisation des horloges sur tous les serveurs d'annuaire. La
synchronisation temporelle d'un réseau est une tâche très ardue. Même si elle est excellente, l'heure d'un serveur
d'annuaire donné risque d'être mal réglée, ce qui peut entraîner la perte de mises à jour.

Le système de réplication de Active Directory propage les mises à jour indépendamment du temps. En effet, il utilise
des numéros de séquence de mise à jour (USN, Update Sequence Number). Un USN est un nombre codé sur 64 bits
maintenu par chaque contrôleur de domaine Active Directory pour surveiller les mises à jour. Lorsque le serveur écrit
sur un attribut ou une propriété d'un objet Active Directory (y compris l'écriture d'origine ou une écriture répliquée),
l'USN est incrémenté et enregistré avec la propriété mise à jour et une propriété spécifique au contrôleur de domaine.
Cette opération a lieu d'un seul tenant, c'est-à-dire que l'incrémentation et l'enregistrement de l'USN ainsi que l'écriture
de la propriété réussissent tous les trois ou échouent tous les trois.

Chaque serveur Active Directory maintient également une table des USN reçus de ses partenaires de réplication.
L'USN le plus élevé reçu de chacun des partenaires est enregistré. Lorsqu'un partenaire donné informe Active Directory
d'une réplication imminente, le serveur demande à recevoir toutes les modifications dont l'USN est supérieur à la
dernière valeur reçue. Cette approche simple ne dépend pas de la précision des horodatages.

Comme l'USN enregistré dans la table est mis à jour au cours d'une opération groupée à la réception de chaque mise
à jour, la récupération après échec est aussi très simple. Pour relancer la réplication, il suffit qu'un serveur demande à
ses partenaires toutes les modifications dont les USN sont supérieurs à la dernière entrée valide de la table. La table
étant mise à jour par une opération groupée au moment où les modifications sont réellement effectuées, un cycle de
réplication reprend toujours exactement là où il a été interrompu, sans perte ni répétition des mises à jour.

Détection des collisions et numéros de version des propriétés

Dans un système de réplication multimaître comme celui de Active Directory, il est possible que la même propriété
soit mise à jour sur plusieurs réplicas différents. Si une propriété est modifiée sur un deuxième (troisième, quatrième,
etc.) réplica avant qu'une modification du premier réplica ait été complètement propagée, une collision de réplications
se produit. Les collisions sont détectées à l'aide de numéros de version de propriété. Contrairement aux USN, qui sont
des valeurs spécifiques aux serveurs, un numéro de version de propriété est spécifique à la propriété jointe à un objet
dans Active Directory. Lorsqu'une propriété est écrite pour la première fois sur un objet Active Directory, le numéro de
version est initialisé.

Les écritures d'origine incrémentent le numéro de version de propriété. Une écriture d'origine est une écriture sur une
propriété du système à l'origine de la modification. Les écritures sur propriété engendrées par la réplication ne sont pas
des écritures d'origine et n'incrémentent pas le numéro de version. Par exemple, lorsqu'un utilisateur met à jour son
mot de passe, une écriture d'origine est effectuée et le numéro de version du mot de passe est incrémenté. Par contre,
les écritures de réplication du mot de passe modifié sur d'autres serveurs n'incrémentent pas le numéro de version.

Il y a collision lorsque, lors d'une modification reçue par réplication, le numéro de version reçu est égal au numéro de
version enregistré localement, et que la valeur reçue et la valeur enregistrées sont différentes. Dans ce cas, le système
récepteur applique la mise à jour dont l'horodatage est le plus récent. À l'exception de cette situation, l'heure et la date
n'interviennent pas dans la réplication.

Si le numéro de version reçu est inférieur au numéro de version enregistré localement, la mise à jour est considérée
comme caduque et rejetée. Si le numéro de version reçu est supérieur au numéro de version enregistré localement, la
mise à jour est acceptée.

Amortissement de la propagation

Le système de réplication de Active Directory autorise la présence de boucles dans la topologie de réplication.
L'administrateur peut ainsi configurer une topologie de réplication comportant des chemins d'accès multiples entre
serveurs pour accroître les performances et la disponibilité. Le système de réplication de Active Directory pratique
l'amortissement de la propagation pour éviter que des modifications se propagent indéfiniment et pour éliminer la
transmission redondante de modifications à des réplicas déjà à jour.

Pour amortir la propagation, le système de réplication de Active Directory utilise des vecteurs de mise à jour. Le
vecteur de mise à jour est une liste des paires serveur-USN maintenues par chaque serveur. Le vecteur de mise à jour
de chaque serveur indique l'USN d'écritures d'origine le plus élevé reçu du serveur figurant dans la paire serveur-USN.
Le vecteur de mise à jour d'un serveur appartenant à un site donné répertorie tous les autres serveurs de ce site15.

Lorsqu'un cycle de réplication commence, le serveur demandeur envoie son vecteur de mise à jour au serveur
émetteur. Le serveur émetteur utilise le vecteur de mise à jour pour filtrer les modifications envoyées au serveur
demandeur. Si l'USN le plus élevé pour un serveur d'origine donné est supérieur ou égal à l'USN d'écriture d'origine
d'une mise à jour particulière, le serveur émetteur n'a pas besoin de transmettre la modification : le serveur demandeur
est déjà à jour par rapport au serveur d'origine.
Architecture Active Directory (4/4)
Sur cette page
Utilisation de la délégation et de la stratégie de groupe avec les unités d'organisation, les domaines et les sites
Délégation de conteneur
Stratégie de groupe
Interopérabilité
Protocole LDAP
Active Directory et LDAP
Interfaces de programmation d'applications
ADSI
API LDAP C
Synchronisation de Active Directory avec d'autres services d'annuaire
Active Directory et Microsoft Exchange
Active Directory et Novell NDS et NetWare
Active Directory et Lotus Notes
Active Directory et GroupWise
Active Directory et LDIFDE
Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité
Rôle de Kerberos dans l'interopérabilité
Compatibilité ascendante avec le système d'exploitation Windows NT
Résumé
Pour plus d'informations
Annexe : Outils
Microsoft Management Console
Composants logiciels enfichables Active Directory
Nouvelles procédures d'exécution de tâches courantes
Outils de ligne de commande Active Directory
Page de référence des commandes Windows 2000
ADSI

Utilisation de la délégation et de la stratégie de groupe avec les unités


d'organisation, les domaines et les sites

Vous pouvez déléguer des autorisations administratives pour les conteneurs Active Directory suivants, auxquels vous
pouvez également associer des stratégies de groupe :

• unités d'organisation

• domaines

• sites

L'unité d'organisation est le plus petit conteneur Windows 2000 auquel vous pouvez déléguer de l'autorité et appliquer
une stratégie de groupe16. La délégation comme la stratégie de groupe sont des fonctionnalités de sécurité du système
d'exploitation Windows 2000. Ce document décrit brièvement ces fonctionnalités du stricte point de vue de
l'architecture pour démontrer que la structure de Active Directory détermine la manière d'utiliser la délégation et la
stratégie de groupe des conteneurs.

L'attribution d'autorité administrative à des unités d'organisation, à des domaines ou à des sites vous permet de
déléguer l'administration des utilisateurs et des ressources. L'attribution d'objets Stratégie de groupe à l'un ou l'autre
de ces trois types de conteneurs vous permet de définir des configurations de bureau et une politique de sécurité pour
les utilisateurs et les ordinateurs du conteneur. Les deux sous-sections suivantes abordent ces thèmes de manière
détaillée.

Délégation de conteneur
Dans le système d'exploitation Windows 2000, la délégation est ce qui permet à une autorité administrative
supérieure d'accorder des droits administratifs sur des unités d'organisation, des domaines ou des sites à des groupes
d'utilisateurs (ou à des utilisateurs individuels). Vous pouvez ainsi réduire le nombre d'administrateurs disposant d'une
autorité globale sur des segments importants de la population des utilisateurs. Déléguer le contrôle d'un conteneur vous
permet de spécifier qui dispose des autorisations nécessaires pour accéder à cet objet ou à ses objets enfants ou pour
les modifier. La délégation est l'une des fonctionnalités de sécurité les plus importantes de Active Directory.

Délégation de domaine et d'unité d'organisation

Dans le système d'exploitation Windows NT 4.0, les administrateurs peuvent déléguer une partie de l'administration
en créant de multiples domaines qui leur permettent de disposer d'ensembles d'administrateurs de domaine distincts.
Dans Windows 2000, les unités d'organisation sont plus faciles à créer, à supprimer, à déplacer et à modifier que les
domaines, et sont par conséquent plus adaptées à la délégation.

Pour déléguer de l'autorité administrative (à part l'autorité sur les sites, abordée dans la section suivante), vous
accordez à un groupe des droits spécifiques sur un domaine ou une unité d'organisation en modifiant la liste de contrôle
d'accès discrétionnaire (DACL) du conteneur17. Par défaut, les membres du groupe de sécurité des administrateurs de
domaine ont autorité sur le domaine dans son ensemble, mais vous pouvez restreindre l'appartenance à ce groupe à un
nombre limité d'administrateurs en qui vous avez la plus grande confiance. Pour créer des administrateurs à champ
d'action limité, vous pouvez déléguer de l'autorité à tous les niveaux de votre organisation, jusqu'au niveau le plus bas,
en créant un arborescence d'unités d'organisation au sein de chaque domaine et en déléguant de l'autorité sur des
parties de la sous-arborescence d'unités d'organisation.

Les administrateurs de domaine disposent d'un contrôle total sur tous les objets de leur domaine. Par contre, ils n'ont
aucun droit administratif sur les objets des autres domaines18.

Vous pouvez déléguer l'administration d'un domaine ou d'une unité d'organisation à l'aide de l'Assistant Délégation de
contrôle, disponible dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquez à l'aide du
bouton droit de la souris sur le domaine ou l'unité d'organisation de votre choix, sélectionnez Déléguer le contrôle,
ajoutez les groupes (ou les utilisateurs) auxquels vous souhaitez déléguer le contrôle, puis déléguez les tâches
courantes reprises dans la liste ou créez une tâche courante à déléguer. Le tableau suivant reprend les tâches courantes
que vous pouvez déléguer.
Tâches courantes de domaine que vous Tâches courantes d'unité d'organisation que vous
pouvez déléguer pouvez déléguer

Associer un ordinateur à un domaine Créer, supprimer et administrer les comptes


Administrer les liens de stratégie de groupe d'utilisateur
Réinitialiser les mots de passe des comptes d'utilisateur
Lire toutes les données utilisateur
Créer, supprimer et administrer les groupes
Modifier l'appartenance à un groupe
Administrer les imprimantes
Créer et supprimer des imprimantes
Administrer les liens de stratégie de groupe

En utilisant une combinaison d'unités d'organisation, de groupes et d'autorisations, vous pouvez définir l'étendue
administrative la plus appropriée à un groupe donné : un domaine complet, une sous-arborescence d'unités
d'organisation ou une unité d'organisation unique. Par exemple, il se peut que vous souhaitiez créer une unité
d'organisation qui vous permette d'accorder le contrôle administratif à tous les utilisateurs et à tous les comptes
d'ordinateur de tous les services d'un même service, tel que le service Comptabilité. D'autre part, il se peut que vous
vouliez accorder le contrôle administratif à certaines ressources du service, telles que les comptes d'ordinateur. Enfin,
une autre possibilité consisterait à accorder le contrôle administratif à l'unité d'organisation Comptabilité, mais pas aux
unités d'organisation qu'elle contient.

Dans la mesure où les unités d'organisation sont utilisées pour la délégation administrative et ne constituent pas
elles-mêmes des entités de sécurité, c'est l'unité d'organisation parent d'un objet utilisateur qui indique qui administre
cet objet. Par contre, elle n'indique pas à quelles ressources cet utilisateur particulier peut accéder.

Délégation de site

Vous utilisez Sites et services Active Directory pour déléguer le contrôle sur des sites, des conteneurs de serveur, des
protocoles de transfert inter-sites (IP ou SMTP) ou des sous-réseaux. La délégation de contrôle sur l'une ou l'autre de
ces entités donne à l'administrateur délégué la possibilité de manipuler cette entité, mais pas celle d'administrer les
utilisateurs ou les ordinateurs qu'elle contient.

Par exemple, lorsque vous déléguez le contrôle d'un site, vous pouvez choisir de déléguer le contrôle de tous les
objets, ou vous pouvez vous contenter de déléguer le contrôle d'un ou de plusieurs objets situés dans ce site. Les objets
dont vous pouvez déléguer le contrôle sont les objets Utilisateur, Ordinateur, Groupe, Imprimante, Unité d'organisation,
Dossier partagé, Site, Lien de sites, Pont de lien de sites, etc. Vous êtes ensuite invité à sélectionner la portée des
autorisations que vous voulez déléguer (générale, spécifique à une propriété ou simplement la création/suppression
d'objets enfants spécifiques). Si vous spécifiez une portée générale, vous êtes invité à accorder une ou plusieurs des
autorisations suivantes : Contrôle total, Lecture, Écriture, Création de tous les objets enfants, Suppression de tous les
objets enfants, Lecture de toutes les propriétés, Écriture de toutes les propriétés.

Stratégie de groupe
Dans Windows NT 4.0, vous utilisez l'éditeur de stratégie système pour définir les configurations utilisateur, groupe et
ordinateur enregistrées dans la base de données du registre Windows NT. Dans Windows 2000, la stratégie de groupe
définit une gamme plus large de composants gérables par les administrateurs dans l'environnement utilisateur. Parmi
ces composants se trouvent des paramètres pour les stratégies de registre, des options de sécurité, des options de
déploiement de logiciel, des scripts (pour le démarrage et l'arrêt des ordinateurs et pour la connexion et la déconnexion
des utilisateurs) et une redirection de dossiers spéciaux19.
Le système applique les paramètres de configuration de stratégie de groupe aux ordinateurs au moment de
l'amorçage et aux utilisateurs lorsqu'ils ouvrent une session. Pour appliquer les paramètres de stratégie de groupe aux
utilisateurs ou aux ordinateurs dans les sites, les domaines et les unités d'organisation, vous devez lier l'objet Stratégie
de groupe au conteneur de Active Directory des utilisateurs ou des ordinateurs concernés.

Par défaut, la stratégie de groupe affecte tous les utilisateurs et tous les ordinateurs du conteneur lié. Utilisez
l'appartenance aux groupes de sécurité pour retenir les objets Stratégie de groupe qui affectent les utilisateurs et les
ordinateurs d'une unité d'organisation, d'un domaine ou d'un site donné. Vous pouvez ainsi appliquer la stratégie à un
niveau plus granulaire. En d'autres termes, l'utilisation des groupes de sécurité vous permet d'appliquer la stratégie à
des ensembles d'objets spécifiques au sein d'un conteneur. Pour filtrer la stratégie de groupe de cette manière, vous
devez utiliser l'onglet Sécurité de la page Propriétés d'un objet Stratégie de groupe, afin de décider qui peut lire cet
objet. L'objet n'est appliqué qu'aux utilisateurs dont les paramètres Application de la stratégie de groupe et Lecture
sont définis sur Autorisé (utilisateur membre d'un groupe de sécurité). Toutefois, dans la mesure où les utilisateurs
ordinaires disposent de ces autorisations par défaut, la stratégie de groupe affecte tous les utilisateurs et tous les
ordinateurs du conteneur lié à moins que vous ne modifiiez explicitement ces autorisations.

L'emplacement d'un groupe de sécurité dans Active Directory n'a aucun impact sur la stratégie de groupe. Pour le
conteneur spécifique auquel l'objet Stratégie de groupe est appliqué, les paramètres de l'objet Stratégie de groupe
déterminent :

les ressources de domaine (telles que les applications) dont les utilisateurs peuvent

disposer ;

• la configuration d'utilisation de ces ressources de domaine.

Par exemple, un objet Stratégie de groupe peut déterminer les applications dont les utilisateurs peuvent disposer sur
leur ordinateur lorsqu'ils ouvrent une session, le nombre d'utilisateurs qui peuvent se connecter à Microsoft SQL Server
quand il démarre sur un serveur, ou encore les services auxquels les utilisateurs peuvent accéder lorsqu'ils migrent vers
des services ou des groupes différents. La stratégie de groupe vous permet d'administrer un nombre restreint d'objets
Stratégie de groupe plutôt qu'un grand nombre d'utilisateurs et d'ordinateurs.

Les sites, les domaines et les unités d'organisation, contrairement aux groupes de sécurité, n'accordent pas
d'appartenance. Au contraire, ils contiennent et organisent des objets d'annuaire. Vous pouvez utiliser les groupes de
sécurité pour accorder des droits et des autorisations aux utilisateurs, puis utiliser les trois types de conteneurs Active
Directory pour regrouper les utilisateurs et les ordinateurs et affecter des paramètres de stratégie de groupe.

Dans la mesure où l'accès aux ressources est accordé via des groupes de sécurité, vous jugerez peut-être qu'il est
plus efficace d'utiliser les groupes de sécurité pour représenter la structure d'organisation de votre entreprise plutôt
qu'utiliser les domaines ou les unités d'organisation pour refléter sa structure technique.

Par défaut, les paramètres de stratégie établis à l'échelle du domaine ou appliqués à une unité d'organisation
contenant d'autres unités d'organisation sont hérités par les conteneurs enfants, à moins que l'administrateur ne
spécifie explicitement que l'héritage ne s'applique pas à l'un ou plusieurs de ces derniers.

Délégation du contrôle de la stratégie de groupe

Les administrateurs réseau (les membres des groupes Administrateurs d'entreprise et Administrateurs de domaine)
peuvent utiliser l'onglet Sécurité à la page Propriétés de l'objet Stratégie de groupe pour déterminer les autres
groupes d'administrateurs qui peuvent modifier les paramètres de stratégie dans les objets Stratégie de groupe. Pour ce
faire, un administrateur réseau doit d'abord définir des groupes d'administrateurs (par exemple celui des
administrateurs du marketing), puis leur accorder l'accès en lecture/écriture à des objets Stratégie de groupe précis. Le
fait qu'il dispose du contrôle total sur un objet Stratégie de groupe n'autorise pas un administrateur à le lier à un site, à
un domaine ou à une unité d'organisation. Toutefois, les administrateurs réseau peuvent accorder ce pouvoir à l'aide de
l'Assistant Délégation de contrôle.
Windows 2000 vous permet de déléguer de manière indépendante les trois tâches de stratégie de groupe suivantes :

gestion des liens de stratégie de groupe pour un site, un domaine ou une unité

d'organisation ;

• création d'objets Stratégie de groupe ;

• modification d'objets Stratégie de groupe.

L'outil Stratégie de groupe, comme la plupart des autres outils d'administration de Windows 2000, est hébergées dans
les consoles MMC. Les droits de créer, de configurer et d'utiliser les consoles MMC ont par conséquent des implications
stratégiques. Vous pouvez contrôler ces droits à l'aide de Stratégie de groupe sous

<nom d'objet Stratégie de groupe>/User Configuration/Administrative Templates/Windows Components/Microsoft


Management Console/

et ses sous-dossiers.

Le tableau 4 donne la liste des paramètres d'autorisation de sécurité pour un objet Stratégie de groupe.

Tableau 4. Paramètres d'autorisation de sécurité pour un objet Stratégie de groupe

Groupes (ou utilisateurs) Autorisation de sécurité

Utilisateur authentifié Lecture avec ACE Application de stratégie de groupe

Administrateurs de domaine Contrôle total sans ACE Application de stratégie de


Administrateurs d'entreprise groupe
Système local de créateur propriétaire

Remarque Par défaut, les administrateurs sont également des utilisateurs authentifiés, ce qui signifie que leur
attribut Application de stratégie de groupe est activé.

Pour des informations détaillées sur Stratégie de groupe, voir la section "Pour plus d'informations" à la fin de ce
document.

Interopérabilité
De nombreuses entreprises dépendent d'un ensemble de technologies variées qui doivent collaborer. Active Directory
prend en charge de nombreuses normes afin d'assurer l'interopérabilité de l'environnement Windows 2000 avec
d'autres produits Microsoft et avec une large gamme de produits créés par d'autres éditeurs ou fabricants.

Cette section décrit les types d'interopérabilité suivants, pris en charge par Active Directory :

• Protocole LDAP

• Interfaces de programmation d'applications (API)

• Synchronisation de Active Directory avec d'autres services d'annuaire

• Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité

• Rôle de Kerberos dans l'interopérabilité

• Compatibilité ascendante avec le système d'exploitation Windows NT


Protocole LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est la norme industrielle de l'accès aux annuaires. L'IETF
(Internet Engineering Task Force) étudie actuellement LDAP pour en faire une norme Internet.

Active Directory et LDAP


LDAP est le protocole principal d'accès aux annuaires qui permet d'ajouter, de modifier et de supprimer des données
enregistrées dans Active Directory, et qui permet en outre de rechercher et de récupérer ces données. Le système
d'exploitation Windows 2000 prend en charge les versions 2 et 320 de LDAP. LDAP définit comment un client d'annuaire
peut accéder à un serveur d'annuaire, mais aussi comment il peut effectuer des opérations d'annuaire et partager des
données d'annuaire. En d'autres termes, les clients Active Directory doivent utiliser LDAP pour obtenir des données de
Active Directory ou pour y maintenir des données.

LDAP permet à Active Directory d'être interopérable avec d'autres applications clientes conformes à cette norme. Si
vous disposez des autorisations nécessaires, vous pouvez utiliser n'importe quelle application cliente conforme à LDAP
pour parcourir et interroger Active Directory ou pour y ajouter, y modifier ou y supprimer des données.

Interfaces de programmation d'applications


Vous pouvez utiliser les interfaces de programmation d'applications (API) suivantes pour accéder aux données de
Active Directory :

• ADSI (Active Directory Service Interface).

• API LDAP C.

Ces API sont décrites dans les deux sous-sections suivantes.

ADSI
ADSI (Active Directory Service Interface) permet d'accéder à Active Directory en présentant les objets enregistrés
dans l'annuaire comme des objets COM (Component Object Model). Un objet d'annuaire est ainsi manipulé à l'aide des
méthodes disponibles dans une ou plusieurs des interfaces COM. ADSI dispose d'une architecture fournisseur qui
permet l'accès COM à différents types d'annuaires pour lesquels un fournisseur existe.

À l'heure actuelle, Microsoft propose des fournisseurs ADSI pour Novell NDS (NetWare Directory Services) et
NetWare 3, Windows NT, LDAP et pour la métabase IIS (Internet Information Services). (La métabase IIS rassemble les
paramètres de configuration d'IIS.) Le fournisseur LDAP peut être utilisé avec n'importe quel annuaire LDAP, dont
Active Directory, Microsoft Exchange 5.5 ou encore Netscape.

Vous pouvez utiliser ADSI à partir de nombreux outils différents, des applications Microsoft Office à C/C++. ADSI est
extensible, si bien que vous pouvez ajouter des fonctionnalités à un objet ADSI pour prendre en charge de nouvelles
propriétés et de nouvelles méthodes. Par exemple, vous pouvez ajouter une méthode à l'objet utilisateur qui crée une
boîte aux lettres Exchange pour un utilisateur lorsque cette méthode est appelée. ADSI possède un modèle de
programmation très simple. Il permet de supprimer la surcharge d'administration des données caractéristique des
interfaces autres que COM, comme les API LDAP C. ADSI est entièrement scriptable et permet donc de développer
facilement des applications Web étoffées. ADSI prend en charge ADO (ActiveX Data Objects) et OLE DB (Object Linking
and Embedding Database) pour la formulation de requêtes.
Les développeurs et les administrateurs peuvent ajouter des objets et des attributs à Active Directory en créant des
scripts basés sur ADSI (ainsi que des scripts basés sur LDIFDE, abordé plus loin dans ce document).

API LDAP C
L'API LDAP C, définie dans la norme Internet RFC 1823, rassemble des API écrites en C de bas niveau permettant une
interface avec LDAP. Microsoft prend en charge les API LDAP C sur toutes les plates-formes Windows.

Les développeurs peuvent choisir d'écrire leurs applications compatibles avec Active Directory en utilisant des API
LDAP C ou ADSI. Ils utilisent plus souvent les API LDAP C pour faciliter la portabilité des applications compatibles
annuaire sur la plate-forme Windows. D'un autre côté, ADSI est un langage plus puissant et plus approprié pour les
développeurs qui écrivent du code compatible annuaires sur la plate-forme Windows.

Synchronisation de Active Directory avec d'autres services d'annuaire


Microsoft fournit des services de synchronisation d'annuaires qui vous permettent de synchroniser Active Directory
avec Microsoft Exchange 5.5, Novell NDS, Novell NetWare, Lotus Notes et GroupWise. En outre, des utilitaires de ligne
de commande vous permettent d'importer et d'exporter des données d'annuaire à partir et vers d'autres services
d'annuaire.

Active Directory et Microsoft Exchange


Le système d'exploitation Windows 2000 dispose du service Connecteur Active Directory qui permet une
synchronisation bidirectionnelle avec Microsoft Exchange 5.5. Le connecteur Active Directory offre un mappage étoffé
des objets et des attributs lorsqu'il synchronise les données entre les deux annuaires. Pour plus d'informations sur le
connecteur Active Directory, voir la section "Pour plus d'informations" à la fin de ce document.

Active Directory et Novell NDS et NetWare


Microsoft compte livrer, dans le cadre des Services pour Netware 5.0, un service de synchronisation d'annuaire qui
permet une synchronisation bidirectionnelle entre Active Directory et les produits Novell NDS et NetWare.

Active Directory et Lotus Notes


Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft Exchange, Microsoft compte livrer un
service de synchronisation d'annuaire qui effectuera une synchronisation bidirectionnelle avec Lotus Notes en vue de
synchroniser le courrier électronique et d'autres attributs courants.

Active Directory et GroupWise


Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft Exchange, Microsoft compte livrer un
service de synchronisation d'annuaire qui effectuera une synchronisation bidirectionnelle avec GroupWise en vue de
synchroniser le courrier électronique et d'autres attributs courants.

Active Directory et LDIFDE


Le système d'exploitation Windows 2000 fournit l'utilitaire de ligne de commande LDIFDE pour la prise en charge de
l'importation et de l'exportation des données d'annuaire. LDIF (LDAP Data Interchange Format) est un projet de norme
Internet, devenu une norme industrielle, qui définit le format de fichier utilisé pour échanger des données d'annuaire.
LDIFDE est donc l'utilitaire Windows 2000 qui prend en charge l'importation de données dans l'annuaire et l'exportation
de données à partir de l'annuaire en utilisant LDIF. LDIFDE vous permet d'exporter des données de Active Directory au
format LDIF de sorte que vous puissiez ensuite les importer dans un autre annuaire. Vous pouvez aussi utiliser LDIFDE
pour importer des données d'annuaire à partir d'un autre annuaire.

LDIFDE vous permet d'effectuer des traitements par lots, tels que l'ajout, la suppression, le changement de nom ou la
modification de données. Vous pouvez également remplir Active Directory avec des données obtenues à partir d'autres
sources, telles que d'autres services d'annuaire. En outre, dans la mesure où le schéma de Active Directory est
enregistré dans l'annuaire lui-même, vous pouvez utiliser LDIFDE pour sauvegarder ou étendre le schéma. Pour obtenir
une liste des paramètres LDIFDE et savoir à quoi ils servent, voir les rubriques d'aide de Windows 2000. Pour des
informations sur l'utilisation de LDIFDE pour des traitements par lots avec Active Directory, voir la section "Pour plus
d'informations" à la fin de ce document.

Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité


Un administrateur peut créer un objet de renvoi qui pointe sur un serveur dans un annuaire extérieur à la forêt.
Lorsqu'un utilisateur effectue une recherche dans une sous-arborescence qui contient cet objet de renvoi, Active
Directory renvoie un lien vers ce serveur parmi les résultats et le client LDAP peut suivre le lien pour récupérer les
données requises par l'utilisateur.

De telles références sont des objets conteneurs Active Directory qui renvoient à un annuaire extérieur à la forêt. Ici,
une référence interne renvoie à un annuaire extérieur qui apparaît dans l'espace de noms Active Directory comme
enfant d'un objet Active Directory existant, alors qu'une référence externe renvoie à un annuaire extérieur qui
n'apparaît pas en tant qu'enfant dans l'espace de noms Active Directory.

Tant pour les références internes qu'externes, Active Directory contient le nom de DNS d'un serveur qui héberge une
copie de l'annuaire extérieur ainsi que le nom unique de la racine de l'annuaire extérieur à partir de laquelle les
opérations de recherche doivent débuter.

Rôle de Kerberos dans l'interopérabilité


Le système d'exploitation Windows 2000 prend en charge de nombreuses configurations pour permettre une
interopérabilité entre les plates-formes :

Clients. Un contrôleur de domaine Windows 2000 peut authentifier les systèmes clients qui utilisent des mises en

œuvre de Kerberos (RFC 1510), y compris s'ils exécutent un système d'exploitation autre que Windows 2000. Les
comptes d'utilisateur et d'ordinateur Windows 2000 peuvent être utilisés comme des noms principaux Kerberos pour
des services UNIX.

Clients et services UNIX. Des clients et des serveurs UNIX peuvent disposer de comptes Active Directory au sein

d'un domaine Windows 2000 et peuvent donc être authentifiés par un contrôleur de domaine. Dans un tel scénario,
un nom principal Kerberos est mappé sur un compte d'utilisateur ou d'ordinateur Windows 2000.

Applications et systèmes d'exploitation. Les applications clientes pour Win32 et pour les systèmes

d'exploitation autres que Windows 2000 basés sur l'API GSS (General Security Service) peuvent obtenir des tickets
de session pour des services au sein d'un domaine Windows 2000.
Dans un environnement qui utilise déjà un domaine Kerberos, le système d'exploitation Windows 2000 prend en
charge l'interopérabilité avec les services Kerberos :

Domaine Kerberos. Les systèmes Windows 2000 Professionnel peuvent s'authentifier auprès d'un serveur

Kerberos (RFC 1510) au sein d'un domaine approuvé Kerberos avec une connexion commune au serveur et à un
compte local Windows 2000 Professionnel.

Relations d'approbation avec les domaines Kerberos. Il est possible d'établir une relation d'approbation entre

un domaine Windows 2000 et un domaine Kerberos. En d'autres termes, un client d'un domaine Kerberos peut
s'authentifier auprès d'un domaine Active Directory pour accéder aux ressources réseau de ce domaine.

Compatibilité ascendante avec le système d'exploitation Windows NT


Un type particulier d'interopérabilité consiste à maintenir la compatibilité ascendante avec les versions précédentes du
système d'exploitation actuel. Le système d'exploitation Windows 2000 s'installe par défaut dans une configuration
réseau à mode mixte. Un domaine à mode mixte est un ensemble d'ordinateurs mis en réseau qui exécutent à la fois
des contrôleurs de domaine Windows NT et Windows 2000. Dans la mesure où Active Directory prend en charge ce
mode mixte, vous pouvez mettre à niveau des domaines et des ordinateurs au rythme qui vous convient, selon les
besoins de votre organisation.

Active Directory prend en charge le protocole d'authentification NTLM (Windows NT LAN Manager), utilisé par
Windows NT, ce qui signifie que les utilisateurs et les ordinateurs Windows NT autorisés peuvent se connecter à un
domaine Windows 2000 et accéder à ses ressources. Pour les clients Windows NT et les clients Windows 95 ou
Windows 98 qui n'exécutent pas le logiciel client Active Directory, un domaine Windows 2000 apparaît comme un
domaine Windows NT Server 4.0.

Résumé
L'introduction de Active Directory est sans aucun doute l'amélioration la plus significative du système d'exploitation
Windows 2000. Active Directory permet de centraliser et de simplifier l'administration réseau et permet ainsi au réseau
de garantir la prise en charge des objectifs de l'entreprise.

Active Directory enregistre les informations sur les objets du réseau et les met à la disponibilité des administrateurs,
des utilisateurs et des applications. Il constitue un espace de nom intégré avec le système de noms de domaine (DNS,
Domain Name System) d'Internet, et permet aussi de définir un serveur comme contrôleur de domaine.

Pour structurer le réseau Active Directory et ses objets, vous pouvez utiliser des domaines, des arborescences, des
forêts, des relations d'approbation, des unités d'organisation et des sites. Vous pouvez déléguer la responsabilité
administrative des unités d'organisation, des domaines ou des sites aux personnes ou aux groupes de votre choix, et
vous pouvez attribuer des paramètres de configuration à ces trois conteneurs Active Directory. Une telle architecture
permet aux administrateurs d'administrer le réseau de sorte que les utilisateurs puissent se consacrer totalement aux
objectifs de leur entreprise.

De nos jours, il est rare qu'une entreprise ne dépende pas de diverses technologies qui doivent fonctionner ensemble.
Active Directory est basé sur des protocoles d'accès aux annuaires standard, qui, avec de multiples API, lui permettent
d'interagir avec d'autres services d'annuaire et une large gamme d'applications tierces. Enfin, Active Directory est
capable de synchroniser des données avec Microsoft Exchange et fournit des utilitaires de ligne de commande qui
permettent d'importer et d'exporter des données d'autres services d'annuaire.

Pour plus d'informations


Pour obtenir les informations les plus récentes sur le système d'exploitation Windows 2000, consultez Microsoft
TechNet ou le site Web de Microsoft Windows 2000 Server.

Vous pouvez également explorer les liens suivants :

Kit de développement logiciel de la plate-forme Windows 2000



Utilisation de ADSI pour étendre le schéma par programme.

• Livre blanc "Introduction à la stratégie de groupe de Windows 2000"


Détails de la stratégie de groupe de Windows 2000.

Visite guidée technique de la version Bêta 3 "Importation et exportation groupées de et vers Active

Directory"
Utilisation de LDIFDE pour effectuer des traitements par lots avec Active Directory.

• Site Web de l'IETF (Internet Engineering Task Force)


RFC et projets de norme Internet de l'IETF.

Annexe : Outils
Cette annexe présente les logiciels que vous pouvez utiliser pour effectuer les tâches associées à Active Directory.

Microsoft Management Console


Dans le système d'exploitation Windows 2000 Server, Microsoft Management Console (MMC) fournit des interfaces
cohérentes qui permettent aux administrateurs de visualiser les fonctions réseau et d'utiliser les outils d'administration.
Qu'ils soient responsables d'un seul poste de travail ou d'un réseau d'ordinateurs, les administrateurs utilisent la même
console. MMC héberge des composants logiciels enfichables, qui traitent de tâches d'administration réseau spécifiques.
Quatre de ces composants logiciels enfichables sont des outils Active Directory.

Composants logiciels enfichables Active Directory


Les outils d'administration Active Directory, livrés avec le système d'exploitation Windows 2000 Server, simplifient
l'administration des services d'annuaire. Vous pouvez utiliser les outils standard ou MMC pour créer des outils
personnalisés destinées à une tâche d'administration spécifique. Vous pouvez combiner plusieurs outils en une console
unique. Vous pouvez également attribuer des outils personnalisés à des administrateurs individuels responsables de
tâches administratives spécifiques.

Les composants logiciels enfichables Active Directory suivants sont disponibles dans le menu Outils d'administration
Windows 2000 Server de tous les contrôleurs de domaine Windows 2000 :

• Utilisateurs et ordinateurs Active Directory

• Domaines et approbations Active Directory

• Sites et services Active Directory

Le quatrième composant logiciel enfichable Active Directory est :

• Schéma Active Directory


Il est recommandé d'étendre le schéma de Active Directory par programme, par l'intermédiaire des ADSI ou de
l'utilitaire LDIFDE. Toutefois, à des fins de développement et de test, vous pouvez également visualiser et modifier le
schéma de Active Directory avec le composant logiciel enfichable Schéma Active Directory.

Schéma Active Directory n'est pas accessible par le menu Outils d'administration Windows 2000 Server. Vous devez
installer les outils d'administration Windows 2000 à partir du CD-ROM Windows 2000 Server et les ajouter à une
console MMC.

Il existe un cinquième composant logiciel enfichable lié à Active Directory :

• Stratégie de groupe

La mise en œuvre de stratégies de groupe est une tâche liée à la gestion des utilisateurs, des ordinateurs et des
groupes dans Active Directory. Les objets Stratégie de groupe, qui contiennent des paramètres de stratégie, contrôlent
le paramétrage des utilisateurs et des ordinateurs dans les sites, les domaines et les unités d'organisation. Pour créer
ou modifier des objets Stratégie de groupe, vous devez utilisez le composant logiciel enfichable Stratégie de groupe,
auquel vous accédez par le complément Utilisateurs et ordinateurs Active Directory ou Sites et services Active Directory
(selon la tâche que vous voulez exécuter).

Pour utiliser les outils d'administration Active Directory à distance, à partir d'un ordinateur qui n'est pas un contrôleur
de domaine (par exemple, un ordinateur Windows 2000 Professionnel), vous devez installer Outils d'administration
Windows 2000.

Nouvelles procédures d'exécution de tâches courantes


Le tableau 5 liste les tâches que vous pouvez exécuter à l'aide des composants logiciels enfichables Active Directory
et des outils d'administration qui s'y rapportent. Pour les utilisateurs du système d'exploitation Windows NT, le tableau
indique également où ces tâches sont exécutées lorsqu'ils utilisent les outils d'administration livrés avec Windows NT
Server 4.0.

Tableau 5. Tâches exécutées à l'aide des outils Active Directory et Stratégie de groupe
Si vous souhaitez : Avec Windows Avec Windows 2000, utilisez le composant
NT 4.0, utilisez le suivant :
composant suivant :

installer un contrôleur de Configuration Assistant Installation de Active Directory


domaine Windows (accessible à partir de Configurez votre
serveur)

administrer des comptes Gestionnaire des Utilisateurs et ordinateurs Active Directory


d'utilisateur utilisateurs

administrer des groupes Gestionnaire des Utilisateurs et ordinateurs Active Directory


utilisateurs

administrer des comptes Gestionnaire de Utilisateurs et ordinateurs Active Directory


d'ordinateur serveur

ajouter un ordinateur à un Gestionnaire de Utilisateurs et ordinateurs Active Directory


domaine serveurs

créer ou administrer des Gestionnaire des Domaines et approbations Active Directory


relations d'approbation utilisateurs

administrer une stratégie de Gestionnaire des Utilisateurs et ordinateurs Active Directory


compte utilisateurs

administrer les droits de Gestionnaire des Utilisateurs et ordinateurs Active Directory :


l'utilisateur utilisateurs modifiez l'objet Stratégie de groupe du
domaine ou de l'unité d'organisation contenant
les ordinateurs auxquels les droits de
l'utilisateur s'appliquent.

administrer une stratégie Gestionnaire Utilisateurs et ordinateurs Active Directory :


d'audit d'utilisateurs modifiez l'objet Stratégie de groupe attribué à
l'unité d'organisation des contrôleurs de
domaine.

appliquer des stratégies à des Éditeur de stratégie Stratégie de groupe, accessible à partir du
utilisateurs ou à des ordinateurs système complément Sites et services Active Directory
dans un site

appliquer des stratégies à des Éditeur de stratégie Stratégie de groupe, accessible à partir du
utilisateurs ou des ordinateurs système complément Utilisateurs et ordinateurs Active
dans un domaine Directory

appliquer des stratégies à des Sans objet Stratégie de groupe, accessible à partir du
utilisateurs ou à des ordinateurs complément Utilisateurs et ordinateurs Active
dans une unité d'organisation Directory

utiliser des groupes de Sans objet Modifier l'entrée autorisation pour


sécurité pour filtrer la portée Appliquer la stratégie de groupe sous
d'une stratégie l'onglet Sécurité à la page Propriétés de l'objet
Stratégie de groupe.
Outils de ligne de commande Active Directory
Les administrateurs avancés et les spécialistes de la maintenance réseau peuvent également utiliser toute une série
d'outils de ligne de commande pour configurer, administrer et dépanner Active Directory. Ces outils sont connus sous le
nom d'Outils de support et sont disponibles sur le CD-ROM de Windows 2000 Server dans le dossier \SUPPORT\RESKIT.
Ils sont décrits dans le tableau 6.

Tableau 6. Outils de ligne de commande associés à Active Directory


Outil Description

MoveTre Permet de déplacer des objets d'un domaine à un autre.


e

SIDWalk Permet d'appliquer les listes de contrôle d'accès à des objets qui appartenaient à des
er comptes déplacés, isolés ou supprimés.

LDP Permet d'effectuer des opérations LDAP par rapport à Active Directory. Cet outil dispose
d'une interface utilisateur graphique.

DNSCM Permet de vérifier l'inscription dynamique des enregistrements de ressources DNS, y


D compris la mise à jour sécurisée du DNS, ainsi que la suppression des enregistrements de
ressources.

DSACLS Permet de visualiser ou de modifier les listes de contrôle d'accès des objets d'annuaire.

NETDO Permet le traitement par lots des approbations, l'ajout de nouveaux ordinateurs aux
M domaines, la vérification des approbations et des canaux sécurisés.

NETDIA Permet de vérifier les fonctions de réseau et de services distribués de bout en bout.
G

NLTest Permet de vérifier que le localisateur et le canal sécurisé fonctionnent.

REPAdm Permet de vérifier la cohérence de réplication entre partenaires de réplication, de surveiller


in le statut de réplication, d'afficher les métadonnées de réplication, de forcer des événements
de réplication et de forcer Knowledge Consistency Checker (KCC) à recalculer la topologie
de réplication.

REPLMo Permet d'afficher la topologie de réplication, de surveiller l'état de la réplication (y


n compris les stratégies de groupe), de forcer des événements de réplication et de forcer
Knowledge Consistency Checker (KCC) à recalculer la topologie de réplication. Cet outil
dispose d'une interface utilisateur graphique.

DSAStat Permet de comparer les données d'annuaire sur les contrôleurs de domaine et de détecter
toute différence.

ADSIEdit Composant logiciel enfichable MMC utilisé pour visualiser tous les objets de l'annuaire (y
compris les données de schéma et de configuration), modifier les objets et appliquer des
listes de contrôle d'accès aux objets.

SDCheck Permet de vérifier la propagation et la réplication des listes de contrôle d'accès pour des
objets d'annuaire spécifiques. Cet outil aide l'administrateur à déterminer si l'héritage des
listes de contrôle d'accès est correct et si les modifications des listes sont bien répliquées
d'un contrôleur de domaine à l'autre.

ACLDiag Permet de déterminer si un utilisateur dispose ou non des droits d'accès sur un objet
d'annuaire. Cet outil peut également servir à réinitialiser les listes de contrôle d'accès à leur
état par défaut.

DFSChec Utilitaire de ligne de commande qui permet d'administrer tous les aspects des systèmes de
k fichiers distribués (DFS), de vérifier la cohérence de configuration des serveurs DFS et de
visualiser la topologie DFS.
Page de référence des commandes Windows 2000
Vous trouverez une liste complète des commandes Windows 2000, ainsi que des informations sur l'utilisation de
chacune d'elles, dans les rubriques d'aide de Windows 2000. Il vous suffit de taper "référence commandes" sous l'onglet
Index ou Recherche.

ADSI
Vous pouvez utiliser ADSI (Active Directory Service Interface) pour créer des scripts pour toutes sortes d'usages. Le
CD-ROM de Windows 2000 Server contient plusieurs exemples de ADSI . Pour plus d'informations sur ADSI, voir les
sections "ADSI" et "Pour plus d'informations".

Les informations contenues dans ce document représentent l'opinion actuelle de Microsoft Corporation sur les points
cités à la date de publication. Microsoft s'adapte aux conditions fluctuantes du marché et cette opinion ne doit pas être
interprétée comme un engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité de toute
information présentée après la date de publication.

Ce livre blanc est fourni à des fins d'informations seulement. MICROSOFT N'OFFRE AUCUNE GARANTIE, EXPRESSE OU
IMPLICITE, DANS CE DOCUMENT.

Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows et Windows NT sont soit des marques de Microsoft
Corporation, soit des marques déposées de Microsoft Corporation aux États-Unis d'Amérique et/ou dans d'autres pays.

Les autres noms de produits ou de sociétés mentionnés dans ce document sont des marques de leurs propriétaires
respectifs.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • États-Unis

0x99

1 Dans un domaine Windows 2000 Server, un contrôleur de domaine est un ordinateur Windows 2000 Server qui gère
l'accès utilisateur à un réseau, c'est-à-dire la connexion, l'authentification et l'accès à l'annuaire et aux ressources
partagées.

2 Une zone DNS est une partition d'un seul tenant de l'espace de noms DNS qui contient les enregistrements de
ressources pour les domaines DNS de cette zone.

3 LDAP est un protocole utilisé pour accéder à un service d'annuaire : voir les sections "Noms LDAP" et "LDAP".

4 Décrit dans le projet de norme Internet de l'IETF (Internet Engineering Task Force) draft-ietf-dnsind-rfc2052bis-
02.txt, "A DNS RR for specifying the location of services (DNS SRV)" [Un enregistrement de ressources DNS permettant
de spécifier l'emplacement de services (DNS SRV)]. (Les projets de norme sont des documents de travail de l'IETF, de
ses domaines et de ses groupes de travail.)

5 Décrit dans la RFC 2136, "Observations on the use of Components of the Class A Address Space within the Internet"
[Observations sur l'utilisation des composants de l'espace d'adresses de classe A sur l'Internet].

6 La façon dont les groupes sont définis dans Windows 2000 est légèrement différente de celle dont ils sont définis
dans Windows NT. Windows 2000 utilise deux types de groupe : 1. des groupes de sécurité (pour administrer l'accès
des utilisateurs et des ordinateurs aux ressources partagées et pour filtrer les paramètres de stratégie de groupe) ; et
2. des groupes de distribution (pour créer des listes de distribution de courrier électronique). Windows 2000 utilise
également trois portées de groupe : 1. des groupes avec une portée locale de domaine (pour définir et administrer
l'accès aux ressources dans les limites d'un domaine unique), 2. des groupes avec une portée globale (pour administrer
des objets d'annuaire qui exigent une maintenance quotidienne, comme les comptes d'utilisateur et les comptes
d'ordinateur. La portée globale vous permet de grouper des comptes au sein d'un domaine), et 3. des groupes avec une
portée universelle (pour consolider les groupes qui chevauchent plusieurs domaines. Vous pouvez ajouter des comptes
d'utilisateur à des groupes à portée globale puis encapsuler ces groupes dans des groupes à portée universelle). (Pour
plus d'informations sur les groupes Windows 2000, y compris sur le nouveau type de groupe universel, voir la section
"Pour plus d'informations" à la fin de ce document.)

7 Pour pouvoir recevoir le logo Certifié pour Windows, votre application doit être testée par VeriTest, qui vérifie qu'elle
est bien conforme aux spécifications arrêtées pour les applications Windows 2000. Vous pouvez choisir n'importe quelle
combinaison de plates-formes, tant qu'elle comprenne l'un des systèmes d'exploitation Windows 2000. Les applications
pourront recevoir le logo "Certifié pour Microsoft Windows" si les tests de conformité sont réussis et qu'un accord de
licence logo est signé avec Microsoft. Le logo que vous recevez indique les versions de Windows pour lesquelles votre
produit est certifié.

8 Active Directory prend en charge les versions 2 et 3 de LDAP, qui reconnaissent les conventions d'affectation de
noms des RFC 1779 et 2247.

9 Si aucun UPN n'a été ajouté, les utilisateurs peuvent se connecter en indiquant explicitement leur nom d'utilisateur
et le nom DNS du domaine racine.

10 Les stratégies de groupe qui contrôlent les paramètres par défaut des imprimantes du point de vue de la
publication sont Publier automatiquement les nouvelles imprimantes dans Active Directory et Autoriser la
publication des imprimantes (cette dernière stratégie de groupe contrôle si les imprimantes d'une machine donnée
peuvent être publiées).

11 À comparer avec les versions précédentes de Windows NT Server, dans lesquelles la base de données SAM était
limitée à 40 000 objets par domaine.

12 Pour une description de cette charge supplémentaire, voir le "Guide de planification du déploiement de
Windows 2000 Server", qui traite de la planification de la structure et du déploiement des domaines et des sites
Windows 2000, dans la section "Pour plus d'informations" à la fin de ce document.

13 Un DACL accorde ou refuse des droits sur un objet à des utilisateurs ou à des groupes spécifiques.

14 Pour plus d'informations sur l'interopérabilité avec les domaines Kerberos, voir la section "Rôle de Kerberos dans
l'interopérabilité".

15 Les vecteurs de mise à jour ne sont pas liés à un site donné. Un vecteur de mise à jour comporte une entrée pour
chacun des serveurs sur lesquels la partition d'annuaire (contexte d'affectation de nom) peut être écrite.

16 Vous pouvez déléguer de l'autorité à des conteneurs, mais vous aussi accorder des autorisations (comme la
lecture/écriture) jusqu'au niveau de l'attribut d'un objet.

17 Dans la DACL d'un objet, les entrées de contrôle d'accès (ACE) qui déterminent qui peut accéder à cet objet et le
type d'accès. Lorsque vous créez un objet dans l'annuaire, une DACL par défaut (définie dans le schéma) lui est
affectée.

18 Par défaut, le groupe Administrateurs de l'entreprise reçoit le contrôle total sur tous les objets d'une forêt.

19 Vous utilisez l'extension Redirection de dossier pour rediriger n'importe quel dossier spécial suivant appartenant à
un profil utilisateur vers un emplacement différent (comme une partition réseau) : Données d'application, Bureau, Mes
documents (et/ou Mes images), Menu Démarrer.

20 LDAP version 2 est décrit dans la RFC 1777 ; LDAP version 3 est décrit dans la RFC 2251.