Académique Documents
Professionnel Documents
Culture Documents
Guide Pas A Pas Du Deploiement dADAM
Guide Pas A Pas Du Deploiement dADAM
Microsoft Corporation
Publié : septembre 2005
Auteur : Jim Groves
Réviseur : Carolyn Eller
Résumé
Le service d'annuaire Active Directory® en mode application (ADAM) dans Microsoft®
Windows Server™ 2003 R2 offre une intégration parfaite de la sécurité et de la prise en
charge des annuaires, une grande évolutivité, et la gestion du protocole LDAP
(Lightweight Directory Access Protocol) pour les applications mettant en œuvre des
annuaires. ADAM présente un certain nombre de fonctionnalités LDAP destinées aux
développeurs d'applications comme aux professionnels de l'informatique et des
technologies de l'information. Grâce à ce guide pas à pas, vous pouvez installer et
utiliser rapidement ADAM sur Windows Server 2003 R2, ce qui vous permet d'explorer
quelques-unes de ses nouvelles fonctionnalités les plus importantes.
Les informations contenues dans ce document, y compris les URL et autres références
de sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention
contraire, les sociétés, les organisations, les produits, les noms de domaine, les
adresses électroniques, les logos, les personnes, les lieux et les événements utilisés
dans les exemples sont fictifs et toute ressemblance avec des sociétés, organisations,
produits, noms de domaine, adresses électroniques, logos, personnes, lieux et
événements réels est purement fortuite et involontaire. L'utilisateur est tenu d'observer la
réglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de
ce document ne peut être reproduite, stockée ou introduite dans un système de
restitution, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique,
mécanique, photocopie, enregistrement ou autre) sans la permission expresse et écrite
de Microsoft Corporation.
Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de
brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété
intellectuelle portant sur tout ou partie des éléments qui font l'objet du présent document.
Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture
de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.
© 2005 Microsoft Corporation. Tous droits réservés.
Active Directory, Microsoft, MS-DOS, Visual Basic, Visual Studio, Windows, Windows NT
et Windows Server sont soit des marques de Microsoft Corporation, soit des marques
déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays.
Toutes les autres marques sont la propriété de leurs propriétaires respectifs.
Sommaire
Guide pas à pas du déploiement d'ADAM .......................................................................... 5
Gestion des unités d'organisation, des groupes et des utilisateurs dans ADAM ............. 40
Étape 1 : Créer une unité d'organisation ....................................................................... 41
Étape 2 : Créer un groupe ............................................................................................. 42
Étape 3 : Créer un utilisateur ADAM ............................................................................. 43
Étape 4 : Ajouter un utilisateur à un groupe .................................................................. 45
Désactivation et activation des comptes d'utilisateurs ADAM ....................................... 48
Remarques
Avant toute chose, il est recommandé de mettre en œuvre les différentes
procédures détaillées de ce guide dans un environnement de test en ateliers.
Les guides pas à pas ne sont pas forcément conçus pour servir à déployer des
fonctionnalités de Windows Server sans être accompagnés de la documentation
produit. Utilisez ce guide avec circonspection lorsque vous le consultez comme
source de documentation unique.
Remarques
Vous pouvez également exécuter ADAM sur un ordinateur qui exécute
Windows XP ou une version antérieure de Windows Server 2003. La version
d'ADAM compatible avec ces systèmes d'exploitation est disponible sur la
page Web consacrée à Active Directory en mode application pour Windows
Server 2003 (éventuellement en anglais), publiée sur le site Web de
Microsoft (http://go.microsoft.com/fwlink?linkid=17797).
Se procurer un exemplaire du mode ADAM téléchargé, qui comprend les fichiers des
ateliers à utiliser avec ce guide. Pour cet exercice, servez-vous uniquement des
fichiers des ateliers téléchargés et installez l'application ADAM proprement dite à
Guide pas à pas d'ADAM 7
Installation d'ADAM
Vous pouvez, au choix, installer une instance ADAM à l'aide de l'Assistant Installation de
Active Directory en mode application ou utiliser le processus d'installation sans
assistance. Dans le premier exercice, vous utilisez l'Assistant Installation de Active
Directory en mode application pour installer ADAM. Dans la section Gestion des jeux de
configuration, vous utilisez l'installation sans assistance pour installer un réplica d'une
instance ADAM.
Remarques
Pour installer ADAM, vous devez ouvrir une session sur votre ordinateur via un
compte appartenant au groupe Administrateurs local.
Dans cet exercice, vous commencez par installer ADAM, puis vous installez une instance
ADAM à l'aide de l'Assistant Installation de Active Directory en mode application.
(comme montré dans l'illustration suivante), puis cliquez sur Suivant. Vous serez
amené par la suite à créer des instances ADAM supplémentaires que vous
regrouperez dans un jeu de configuration.
4. Dans la page Nom de l'instance, indiquez le nom de l'instance ADAM que vous
installez. Ce nom est utilisé sur l'ordinateur local pour identifier de façon unique
l'instance ADAM. Pour cet exercice, acceptez le nom par défaut instance1, puis
cliquez sur Suivant.
Guide pas à pas d'ADAM 10
5. Dans la page Ports, spécifiez les ports de communications que l'instance ADAM
utilise pour communiquer. ADAM se sert indifféremment des technologies LDAP et
SSL (Secure Sockets Layer), vous pouvez donc spécifier une valeur pour chaque
port. Pour cet exercice, acceptez les valeurs par défaut 389 et 636, puis cliquez sur
Suivant.
Guide pas à pas d'ADAM 11
Remarques
Si vous installez ADAM sur un ordinateur dont les ports par défaut sont
actifs, l'Assistant Installation de Active Directory en mode application repère
automatiquement le premier port disponible en commençant à 50000. Par
exemple, Active Directory utilise les ports 389 et 636 ainsi que les ports 3268
et 3269 sur les serveurs de catalogue global. Par conséquent, si vous
installez ADAM sur un contrôleur de domaine, l'Assistant Installation de
Active Directory en mode application proposera la valeur par défaut 50000
pour le port LDAP, et 50001 pour le port SSL.
6. Dans la page Partition de l'annuaire d'applications, vous pouvez créer une
partition d'annuaire d'applications (ou contexte d'attribution de noms) en cliquant sur
Oui, créer une partition d'annuaire d'applications. Sinon, cliquez sur Non, ne pas
créer de partition d'annuaire d'applications, auquel cas vous devrez créer une
partition d'annuaire d'applications manuellement après l'installation. Pour les besoins
de cet exercice, cliquez sur Oui, créer une partition d'annuaire d'applications.
Lors de la création de la partition, vous devrez lui attribuer un nom unique. Pour cet
exercice, tapez o=Microsoft,c=FR comme nom unique (tel qu'indiqué ci-dessous),
puis cliquez sur Suivant.
Guide pas à pas d'ADAM 12
Remarques
ADAM prend en charge les noms uniques respectant les styles X.500 et
DNS (Domain Name System) pour les partitions d'annuaire de premier
niveau.
7. Dans la page Répertoires, vous pouvez afficher et changer les répertoires
d'installation pour les données et les fichiers de récupération (.log). Par défaut, les
données ADAM et les fichiers de récupération sont installés dans
%ProgramFiles%\Microsoft ADAM\nominstance\data, sachant que nominstance
représente le nom de l'instance ADAM que vous indiquez dans la page Nom de
l'instance. Pour cet exercice, cliquez sur Suivant pour accepter les emplacements
de fichiers par défaut.
Guide pas à pas d'ADAM 13
Important
Lorsque vous installez ADAM sur un ordinateur Windows XP, vous devez
installer ces fichiers sur le même volume logique. Dans un environnement de
production, sur Windows Server 2003 et Windows Server 2003 R2, il est
recommandé d'installer ces fichiers sur des disques physiques distincts.
Remarques
Le programme d'installation ADAM installe les fichiers programmes et les
outils d'administration dans %windir%\ADAM.
8. Dans la page Sélection des comptes de service, vous choisissez le compte à
utiliser comme compte de service pour ADAM. Le compte que vous sélectionnez
détermine le contexte de sécurité dans lequel l'instance ADAM s'exécute. À moins
que vous n'installiez ADAM sur un contrôleur de domaine, l'Assistant Installation de
Active Directory en mode application utilise par défaut le compte Service réseau.
Pour cet exercice, cliquez sur Suivant pour accepter le Compte de service réseau
par défaut. Si vous installez ADAM sur un contrôleur de domaine, cliquez sur Ce
compte, puis sélectionnez un compte d'utilisateur de domaine comme compte de
service ADAM.
Guide pas à pas d'ADAM 14
Remarques
Une fois ADAM installé, il est toujours possible de modifier le compte de
service ADAM à l'aide de l'outil de ligne de commande Dsmgmt. Lorsque
vous installez ADAM sur un contrôleur de domaine, vous devez sélectionner
un compte d'utilisateur de domaine comme compte de service ADAM.
9. Dans la page Administrateurs ADAM, vous sélectionnez l'utilisateur ou le groupe
que vous destinez au rôle d'administrateur par défaut pour l'instance ADAM.
L'utilisateur ou le groupe sélectionné disposera du contrôle administratif absolu sur
l'instance ADAM. Par défaut, l'Assistant Installation de Active Directory en mode
application spécifie l'utilisateur actuellement connecté. Vous pouvez modifier cette
sélection pour n'importe quel groupe ou compte, local ou de domaine, qui se trouve
sur votre réseau. Pour cet exercice, acceptez la valeur par défaut de l'option
Utilisateur actuellement connecté, puis cliquez sur Suivant.
Guide pas à pas d'ADAM 15
10. Dans la page Importation des fichiers LDIF, vous pouvez importer deux fichiers .ldf
contenant les définitions des objets de la classe user dans le schéma ADAM. Cette
importation est facultative. Toutefois ces définitions d'objets étant indispensables
dans une autre section de ce guide, nous vous encourageons à les importer dès
maintenant :
a. Cliquez sur l'option Importer les fichiers LDIF sélectionnés pour cette
instance ADAM.
b. Cliquez sur MS-InetOrgPerson.LDF, puis sur le bouton Ajouter.
c. Cliquez sur MS-User.LDF, puis sur le bouton Ajouter.
d. Cliquez sur MS-UserProxy.LDF, sur le bouton Ajouter, puis sur Suivant.
Guide pas à pas d'ADAM 16
11. La page Prêt pour l'installation permet de vérifier les choix que vous avez faits
pour cette installation. Après avoir cliqué sur Suivant, l'Assistant Installation de
Active Directory en mode application lance la copie des fichiers et installe ADAM sur
votre ordinateur.
Guide pas à pas d'ADAM 17
Remarques
Si l'exécution de l'Assistant Installation de Active Directory en mode application
ne s'est pas déroulée correctement, un message d'erreur expliquant la raison de
l'échec de l'installation s'affiche dans la page Résumé.
Si une erreur survient au cours de l'exécution de l'Assistant, mais avant que la page
Résumé ne s'affiche, vous pouvez connaître la nature du problème dans le message
d'erreur qui apparaît. Par ailleurs, vous pouvez cliquer sur Démarrer, puis sur Exécuter
et tapez au choix l'une des lignes suivantes :
%windir%\Debug\adamsetup.log
%windir%\Debug\adamsetup_loader.log
Les fichiers Adamsetup.log et Adamsetup_loader.log contiennent des informations
susceptibles de vous aider à trouver la cause de l'échec d'une installation ADAM pour y
remédier.
Guide pas à pas d'ADAM 18
3. Pour arrêter une instance ADAM, dans le menu Action, cliquez sur Arrêter.
4. Lorsque l'instance ADAM est arrêtée, dans le menu Action, cliquez sur Démarrer
pour relancer l'instance ADAM.
Pour établir une liaison à une instance ADAM, afficher cette instance et
parcourir son arborescence par le biais de l'Éditeur ADSI ADAM
1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez
sur Éditeur ADSI ADAM.
2. Dans l'arborescence de la console, cliquez sur ADAM ADSI Edit. Le composant
logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :
Guide pas à pas d'ADAM 20
3. Dans le menu Action, cliquez sur Établir une connexion. La boîte de dialogue
Paramètres de connexion s'affiche.
4. Dans la zone Nom de la connexion, vous pouvez indiquer le libellé qui sera utilisé
pour cette connexion dans l'arborescence de la console de l'Éditeur ADSI ADAM.
Pour cette connexion, tapez :
Démo ADAM
5. Dans la zone Nom du serveur, tapez le nom d'hôte ou le nom DNS de l'ordinateur
sur lequel l'instance ADAM s'exécute.
Remarques
Pour les besoins de cet exercice, ADAM s'exécute sur l'ordinateur local, vous
pouvez donc utiliser localhost comme nom de serveur.
6. Dans la zone Port, précisez les ports de communications, LDAP ou SSL, utilisés par
ADAM. Vous pouvez, comme ici, accepter la valeur par défaut 389.
Remarques
Pour consulter la liste des numéros de ports utilisés par les instances ADAM,
cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis
cliquez sur Invite de commande des outils ADAM. Dans l'invite de
commandes qui s'ouvre, tapez : dsdbutil "list instances" quit
7. Dans le groupe d'options Établir une connexion au nœud suivant, vous pouvez
choisir une connexion à un contexte d'attribution de noms connus, comme la partition
d'annuaire de configuration ou de schéma, ou encore spécifier le nom unique de la
partition à laquelle vous voulez vous connecter. Pour cet exercice, cliquez sur Nom
unique (DN) ou contexte de nom, puis tapez :
o=Microsoft,c=FR
Il s'agit du nom unique de la partition d'applications que vous avez créée au cours de
Guide pas à pas d'ADAM 21
l'installation.
8. Dans le groupe d'options Établir une connexion en utilisant ces informations
d'identification, cliquez sur Le compte de l'utilisateur ayant ouvert la session. La
boîte de dialogue Paramètres de connexion correspond à l'illustration suivante :
9. Cliquez sur OK. Le composant logiciel enfichable Éditeur ADSI ADAM ressemble à
ceci :
Guide pas à pas d'ADAM 22
10. Dans l'arborescence de la console, double-cliquez sur Démo ADAM, puis sur
O=Microsoft,c=FR. Le composant logiciel enfichable Éditeur ADSI ADAM affiche à
présent la partition d'annuaire d'applications :
11. Dans l'arborescence de la console, cliquez sur un conteneur pour afficher les objets
qu'il renferme. Cliquez par exemple sur CN=Roles.
12. Pour ouvrir une autre partition d'annuaire sur l'instance ADAM, dans l'arborescence
de la console, cliquez sur Éditeur ADSI ADAM puis, dans le menu Action, sur
Établir une connexion.
13. Complétez la boîte de dialogue Paramètres de connexion comme indiqué dans
Guide pas à pas d'ADAM 23
6. Pour établir une connexion à votre instance ADAM via le schéma ADAM, dans
l'arborescence de la console, cliquez avec le bouton droit sur Schéma ADAM,
cliquez sur Changer de serveur ADAM, puis complétez la boîte de dialogue comme
suit :
Guide pas à pas d'ADAM 26
8. Pour créer un raccourci vers le composant logiciel enfichable Schéma ADAM dans le
menu Démarrer :
a. Cliquez avec le bouton droit sur Démarrer, cliquez sur Ouvrir Tous les
utilisateurs, double-cliquez sur le dossier Programmes, puis sur le dossier
ADAM.
b. Dans le menu Fichier, pointez sur Nouveau, puis cliquez sur Raccourci.
c. Dans l'Assistant Créer un raccourci, repérez la zone Entrez l'emplacement
de l'élément, tapez adamschmmgmt.msc, puis cliquez sur Suivant.
d. Dans la page Sélection d'un titre pour le programme, dans la zone Entrez un
nom pour ce raccourci, tapez Schéma ADAM, puis cliquez sur Terminer.
Utilisation de ADSchemaAnalyzer
Vous pouvez utiliser ADSchemaAnalyzer pour faciliter la migration du schéma
Active Directory vers ADAM, depuis une instance ADAM vers une autre instance ou
Guide pas à pas d'ADAM 27
depuis un annuaire compatible LDAP vers une instance ADAM. Vous pouvez utiliser
ADSchemaAnalyzer pour charger un schéma cible (source), marquer les éléments que
vous voulez faire migrer, puis les exporter vers le schéma ADAM de base. Vous pouvez
également comparer les deux schémas.
Important
Lors de l'utilisation de l'outil ADSchemaAnalyzer pour créer un fichier LDIF, il est
conseillé de charger le schéma de base et le schéma cible, sinon le fichier LDIF
obtenu risque d'être inutilisable avec l'outil ldifde.
Vous pouvez, à l'invite de commandes des outils ADAM, utiliser la commande ldifde pour
importer dans le schéma ADAM de base les éléments du schéma cible contenus dans le
fichier LDIF. Le début du fichier LDIF regroupe les instructions complètes permettant
d'exécuter cette tâche.
Important
L'outil de synchronisation AD vers ADAM ne synchronise pas les mots de passe
utilisateur entre Active Directory et ADAM.
Deux conditions préalables doivent être remplies avant de pouvoir synchroniser des
données au moyen de l'outil de synchronisation AD vers ADAM :
Le schéma dans l'instance ADAM doit être étendu pour correspondre aux objets du
schéma dans la forêt Active Directory de Windows Server 2003.
Le schéma dans l'instance ADAM doit être étendu pour les objets du schéma
nécessaires à l'outil de synchronisation AD vers ADAM.
Guide pas à pas d'ADAM 29
Remarques
Vous devez utiliser l'option numéro_port-t avec ldifde si l'instance ADAM utilise
un autre port que le port 389 désigné par défaut.
Important
Ne supprimez aucun champ inutilisé de ce fichier.
5. Installez le fichier de configuration. À l'invite de commandes, tapez la commande
suivante, puis appuyez sur Entrée :
ADAMSync /install localhost:389 %windir%\ADAM\MS-AdamSyncConf.xml
6. Synchronisez les données depuis la forêt Active Directory vers le jeu de
configuration ADAM. À l'invite de commandes, tapez la commande suivante, puis
appuyez sur Entrée :
ADAMSync /sync localhost:389 "o=microsoft,c=FR"
Utilisez l'Éditeur ADSI ADAM pour vérifier la bonne synchronisation des données.
Guide pas à pas d'ADAM 30
Remarques
Les données que vous importez au cours de ces exercices seront utilisées
ultérieurement avec l'application Carnet d'adresses de Windows.
Remarques
Guide pas à pas d'ADAM 31
Après l'exécution de ces commandes, le schéma ADAM contient les classes d'objets
utilisateur ADAM et inetOrgPerson. Pour le vérifier, affichez le schéma ADAM à l'aide
du composant logiciel enfichable Schéma ADAM.
Remarques
Prenez soin d'utiliser l'exemplaire Ldifde.exe fourni avec ADAM, plutôt que
d'exécuter celui fourni avec une précédente version de ADAM ou avec les
outils de support de Windows.
Suite à l'exécution de cette commande, le contenu de la fenêtre Invite de
commande des outils ADAM doit ressembler à ceci :
Guide pas à pas d'ADAM 33
À présent, votre schéma ADAM contient également la classe d'objet contacts ; il est prêt
pour certaines données d'application.
Remarques
Prenez soin d'utiliser l'exemplaire Ldifde.exe fourni avec ADAM, plutôt que
d'exécuter celui fourni avec une précédente version de ADAM ou avec les
outils de support de Windows.
Suite à l'exécution de cette commande, le contenu de la fenêtre Invite de
commande des outils ADAM doit ressembler à ceci :
Remarques
Guide pas à pas d'ADAM 34
3. Dans la liste Sélectionnez une classe, cliquez sur organizationalUnit, puis cliquez
Guide pas à pas d'ADAM 42
sur Suivant.
4. Dans le champ Valeur, tapez Utilisateurs ADAM, puis cliquez sur Suivant.
5. Dans la page qui s'affiche, vous pouvez cliquer sur Plus d'attributs pour modifier
d'autres attributs de l'objet que vous créez. Pour cet exercice, cliquez seulement sur
Terminer.
6. Dans l'arborescence de la console, double-cliquez sur O=Microsoft,c=FR. Le
composant logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :
Remarques
Pour plus d'informations sur l'attribut groupType, voir « Group-Type »
(éventuellement en anglais) sur le site Web de Microsoft
Guide pas à pas d'ADAM 43
(http://go.microsoft.com/fwlink?linkid=51093).
Le composant logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :
Remarques
Le nouveau compte d'utilisateur est désactivé par défaut puisqu'il n'est doté
d'aucun mot de passe associé.
Remarques
Guide pas à pas d'ADAM 44
Si vous n'avez pas fermé l'Éditeur ADSI ADAM avant d'importer les
définitions des objets de la classe utilisateur Adamuser.ldf, le message
d'avertissement suivant peut s'afficher au cours de l'opération : « Un chemin
d'accès au répertoire non valide a été transmis. »
6. Dans la zone Valeur, tapez Mary Baker, comme nom (cn) du nouvel utilisateur, tel
qu'illustré ci-dessous, puis cliquez sur Suivant.
4. Vous pouvez également ajouter des utilisateurs Windows à un groupe ADAM. Dans
la boîte de dialogue Éditeur de nom unique à valeurs multiples avec éditeur de
principal de sécurité, cliquez sur Ajouter un compte Windows. La boîte de
dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes correspond
à l'illustration suivante :
au groupe des testeurs ADAM. Dans la zone Entrez les noms des objets à
sélectionner (exemples), tapez un nom de compte en respectant le format
ordinateur\compte ou domaine\compte.
6. Cliquez sur OK. Le nouveau nom d'utilisateur s'affiche dans la boîte de dialogue
Éditeur de nom unique à valeurs multiples avec éditeur de principal de sécurité
en tant que membre du groupe.
7. Cliquez deux fois sur OK pour revenir à l'Éditeur ADSI ADAM.
5. Cliquez sur Run. Une fois la nouvelle partition d'annuaire d'applications ajoutée, le
résultat suivant s'affiche dans le volet d'informations :
***Calling Add...
ldap_add_s(ld, "cn=test,o=testpartition,c=us", [2] attrs)
Added {cn=test,o=testpartition,c=us}.
Guide pas à pas d'ADAM 52
11. Pour afficher la nouvelle partition d'annuaire avec ses objets et ses conteneurs par
défaut, dans l'arborescence de la console, double-cliquez sur
CN=test,O=partitiontest,C=FR. La fenêtre Ldp ressemble à ceci :
Guide pas à pas d'ADAM 53
Remarques
Pour effacer le contenu du volet d'informations de Ldp sans perturber votre
liaison ou votre connexion, dans le menu Connection, cliquez sur New.
4. Pour supprimer cet objet de référence croisée (et, par conséquent, la partition
d'annuaire associée), dans l'arborescence de la console, cliquez avec le bouton droit
sur l'objet concerné dans le conteneur de partitions, cliquez sur Delete, puis sur OK.
Attention
Guide pas à pas d'ADAM 55
Remarques
Pour plus d'informations sur l'outil Ldp, voir l'Aide ADAM. Pour afficher cette aide,
cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis
cliquez sur Aide ADAM.
Remarques
Certaines de vos applications qui utilisent des annuaires peuvent mettent en
œuvre leurs propres modèles d'autorisations personnalisés. En règle générale,
ces applications ignorent les listes ACL sur les objets d'annuaire ADAM.
Cette commande liste toutes les autorisations actuellement définies sur l'objet partition
d'annuaire. Les résultats affichés à l'écran doivent ressembler à ceci :
Access list:
Effective Permissions on this object are:
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-
C3BEC88B335E}
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-
C3BEC88B335E}
Replicating Directory Changes
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-
C3BEC88B335E}
Replication Synchronization
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-
C3BEC88B335E}
Manage Replication Topology
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-
C3BEC88B335E}
Replicating Directory Changes All
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL
Octroi d'autorisations
Dans cet exercice, vous accordez au compte Mary Baker l'autorisation de suppression
sur l'objet groupe des testeurs ADAM.
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL <Inherited from parent>
Refus d'autorisations
Dans cet exercice, vous refusez d'accorder des autorisations de suppression à
l'utilisateur actuellement connecté dans le groupe des testeurs ADAM. Vous procédez en
deux étapes :
Refuser l'octroi des autorisations de suppression sur le conteneur parent du groupe
des testeurs ADAM
Refuser l'octroi des autorisations de suppression sur le groupe lui-même
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL <Inherited from parent>
Remarques
Outre l'utilisation de l'outil Ldp comme décrit dans cette procédure, vous pouvez
également recourir à l'Éditeur ADSI ADAM pour définir ou modifier les mots de
passe : cliquez avec le bouton droit sur l'objet d'annuaire représentant l'entité de
sécurité ADAM dans l'Éditeur, puis cliquez sur Réinitialiser le mot de passe.
OU=Utilisateurs ADAM,O=Microsoft,C=FR.
10. Cliquez avec le bouton droit de la souris sur l'objet utilisateur CN=Mary Baker,
puis cliquez sur Modify. La boîte de dialogue suivante s'affiche :
11. Dans le champ Attribute, tapez userpassword, puis dans Values, indiquez un
mot de passe pour le compte.
12. Cliquez sur Enter, puis sur Run. Les résultats affichés dans le volet
d'informations de Ldp doivent ressembler à ce qui suit :
***Call Modify...
ldap_modify_s(ld, 'CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US',[1]
attrs);
Modified "CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US".
Remarques
Lorsque ADAM s'exécute sur un ordinateur équipé d'une version de
Windows Server 2003, il respecte la stratégie de mot de passe et les
paramètres de verrouillage des comptes de l'ordinateur, de l'unité
d'organisation ou du domaine qui est déclaré effectif.
Guide pas à pas d'ADAM 63
Remarques
Par défaut, les nouveaux utilisateurs ADAM (tels que Mary Baker) se
voient accorder l'accès en lecture au conteneur de premier niveau d'une
partition d'annuaire donnée ; cette autorisation est transmise par héritage
à tous les objets sur la partition. Mais, dans la mesure où vous avez
attribué explicitement l'autorisation de suppression à Mary Baker sur
l'objet groupe des testeurs ADAM, l'opération de suppression a réussi.
Pour plus d'informations sur le contrôle d'accès et les autorisations par
défaut dans ADAM, voir l'Aide ADAM. Pour afficher cette aide, cliquez
sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis
cliquez sur Aide ADAM.
application particulière dans ADAM, tandis que vous utilisez Active Directory pour
stocker des données d'annuaire dont le champ d'utilisation est plus large.
La redirection de liaison permet à un utilisateur d'établir une liaison à ADAM par le biais
d'une liaison simple tout en continuant d'utiliser des informations d'identification Active
Directory. D'autres types de liaisons autorisés avec les informations d'identification Active
Directory sont possibles sans passer par un proxy, mais ce n'est pas le cas d'une liaison
simple. La liaison par proxy fonctionne uniquement pour une liaison simple.
Les fichiers .ldf d'ADAM, importables dans le schéma ADAM au cours de l'installation de
Active Directory en mode application, contiennent une définition d'objet pour l'objet
userProxy qu'il est possible d'utiliser dans le cadre de la redirection de liaison. Cet objet
est doté d'attributs qui englobent un nom unique et un SID. Si, dans ADAM, vous créez
un objet userProxy en indiquant un nom unique à utiliser pour la liaison et que vous
utilisez un SID valide à partir d'un compte d'utilisateur Active Directory, vous pouvez
établir des liaisons à ADAM au moyen de la redirection de liaison. Pour plus
d'informations sur l'authentification ADAM, voir l'article consacré à « Active Directory en
mode application » (éventuellement en anglais) publié comme référence technique sur le
site Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=51640).
Pour les exercices suivants, il est entendu que vous avez déjà importé les classes
utilisateur facultatives dans le schéma ADAM.
Remarques
Le fait de désactiver l'utilisation du protocole SSL pour la redirection de liaison
permet la transmission, sans chiffrement préalable, du mot de passe d'une entité
de sécurité Windows à l'ordinateur exécutant ADAM. Il est donc conseillé de
désactiver l'option SSL uniquement dans un environnement de test.
Pour établir une liaison à ADAM par le biais d'un objet proxy ADAM
1. Comme décrit précédemment dans la procédure « Pour se connecter et établir
une liaison à une instance ADAM au moyen de Ldp.exe », connectez-vous en
vue d'établir une liaison à votre instance ADAM par le biais de l'outil Ldp, puis
recherchez le conteneur O=Microsoft,C=FR.
2. Dans le menu Ldp Browse, cliquez sur Add child.
3. Dans le champ Dn, tapez cn=proxytest,o=microsoft,c=fr comme nom unique
pour le nouvel objet userProxy à créer dans le conteneur O=Microsoft,C=FR.
4. Dans le groupe d'options Edit Entry, indiquez les informations suivantes, puis
cliquez sur Enter.
Dans le champ Attribute, tapez ObjectClass.
Dans le champ Values, tapez userProxy.
5. Toujours dans le groupe d'options Edit Entry, indiquez les informations
suivantes, puis cliquez sur Enter :
Dans le champ Attribute, tapez objectSID
Dans le champ Values, tapez le SID valide d'un utilisateur dans Active
Directory.
Le répertoire \LABS_DEMO\LABS\bindredirect du mode ADAM téléchargé
contient deux commandes issues du Pack des outils d'administration de
Windows Server 2003, Dsquery.exe et Dsget.exe. Elles permettent de
récupérer le SID d'un utilisateur Active Directory. Vous pouvez les exécuter
Guide pas à pas d'ADAM 66
À présent, vous pouvez établir une liaison à votre instance ADAM par le biais de l'objet
proxy ADAM et de la redirection de liaison.
Pour établir une liaison en tant qu'objet proxy ADAM via la redirection de
liaison
1. Dans le menu Connection, cliquez sur Connect, puis connectez-vous à votre
instance ADAM en utilisant une nouvelle connexion.
2. Dans le menu Options, cliquez sur ConnectionOptions.
3. Dans la zone Option Name, cliquez sur LDAP_OPT_SIGN, dans le champ
Value, tapez 1 puis cliquez sur Set.
4. Dans la zone Option Name, cliquez sur LDAP_OPT_ENCRYPT, puis dans le
champ Value, tapez 1 et cliquez sur Set, puis sur Close.
5. Pour rétablir une liaison à votre instance ADAM par le biais de Ldp, dans le
menu Connection cliquez sur Bind.
6. Dans la zone User, tapez :
cn=proxytest,o=Microsoft,c=fr
Il s'agit de l'objet proxy que vous venez de créer.
7. Vérifiez que l'option Domain n'est pas sélectionnée.
Guide pas à pas d'ADAM 67
Pour démontrer le comportement d'une liaison à ADAM par le biais d'un objet
proxy
1. Dans la partition d'annuaire O=Microsoft,C=FR, ajoutez le groupe Utilisateurs
comme membre du groupe Lecteurs en suivant les indications générales sur
l'ajout de membres à des groupes, tel que décrit précédemment dans la
procédure « Pour ajouter un utilisateur à un groupe ».
2. Établissez une liaison à votre instance ADAM (par le biais de l'outil Ldp ou de
l'Éditeur ADSI ADAM) en tant qu'utilisateur Active Directory (et non pas comme
administrateur ADAM puisqu'il bénéficie de l'accès total à toutes les partitions par
défaut).
3. Essayez de lire un objet dans la partition d'annuaire O=Microsoft,C=FR. Votre
tentative est vouée à l'échec puisque par défaut, l'utilisateur Active Directory n'a
pas accès à la partition.
4. Établissez une liaison à votre instance ADAM (par le biais de l'outil Ldp ou de
l'Éditeur ADSI ADAM) par l'intermédiaire de l'objet proxy que vous avez créé.
5. Essayez de lire un objet dans la partition d'annuaire O=Microsoft,C=FR. Cette
fois-ci, votre tentative sera couronnée de succès puisque les utilisateurs
établissant une liaison à une instance ADAM via un objet proxy sont affiliés
automatiquement au groupe Utilisateurs. Comme vous avez ajouté le groupe
Utilisateurs au groupe Lecteurs à l'étape 1 de cette procédure, la liaison à
l'instance ADAM par le biais de l'objet proxy vous permet de lire la partition sans
aucune difficulté.
Remarques
Guide pas à pas d'ADAM 68
6. Cliquez sur Démarrer, puis apportez les modifications voulues dans la boîte de
dialogue Informations sur la sauvegarde.
7. Pour définir les options avancées de sauvegarde telles que la vérification des
données ou la compression matérielle, dans la boîte de dialogue Informations sur
la sauvegarde, cliquez sur Avancé. Après avoir défini les options avancées de
sauvegarde, cliquez sur OK.
8. Cliquez sur Démarrer. Une fois la sauvegarde effectuée, fermez l'application.
5. Dans la zone Restaurer les fichiers vers, cliquez sur Emplacement d'origine.
6. Dans le menu Outils, cliquez sur Options, affichez l'onglet Restaurer, cliquez sur
Toujours remplacer les fichiers sur mon ordinateur, puis sur OK.
7. Cliquez sur Démarrer.
8. Si vous recevez un message vous demandant de redémarrer votre ordinateur,
cliquez sur Oui.
9. Une fois la sauvegarde restaurée, fermez l'application.
10. Pour vérifier si les données provenant de votre instance ADAM originale sont bien
restaurées, utilisez l'Éditeur ADSI ADAM qui permettra de confirmer la restauration
de la partition d'annuaire O=Microsoft,C=FR ainsi que la présence de
OU=Utilisateurs ADAM et du compte d'utilisateur Mary Baker dans la partition.
Guide pas à pas d'ADAM 72
Remarques
Dans un environnement de production, les instances ADAM qui appartiennent au
même jeu de configuration ne peuvent pas résider sur le même ordinateur.
Plusieurs instances ADAM peuvent s'exécuter sur un même ordinateur, mais
elles doivent faire partie de jeux de configuration différents. Toutefois, pour les
besoins du présent ouvrage, vous pouvez installer les réplicas de votre instance
ADAM sur un ordinateur unique si aucune autre machine n'est disponible.
3. Dans la page Nom de l'instance, acceptez le nom d'instance par défaut, instance2
(ou instance1, si vous installez ADAM sur un deuxième ordinateur), puis cliquez sur
Suivant.
Remarques
Les noms des instances ADAM doivent être uniques seulement si elles se
trouvent sur un même ordinateur.
4. Dans la page Ports, acceptez les valeurs par défaut 50000 et 50001 si vous
procédez à une installation sur un seul ordinateur, utilisez les valeurs 389 et 636 si
l'installation s'effectue sur le deuxième ordinateur. Cliquez ensuite sur Suivant.
5. Dans la page Joindre un jeu de configuration, dans le champ Serveur, tapez le
nom d'hôte ou le nom DNS de l'ordinateur où la première instance ADAM est
installée. Indiquez ensuite le numéro de port LDAP utilisé par la première instance
ADAM (par défaut, 389), puis cliquez sur Suivant.
Remarques
Vous devez utiliser un nom d'hôte ou un nom DNS valide, plutôt qu'une
adresse IP ou « localhost » lorsque vous indiquez un serveur dans la page
Joindre un jeu de configuration de l'Assistant Installation de Active
Directory en mode application.
6. Dans la page Informations d'identification administratives pour le jeu de
configuration, cliquez sur le compte utilisé en tant qu'administrateur ADAM pour
votre première instance ADAM.
7. Dans la page Copier la partition d'application, sélectionnez les partitions
d'annuaire d'applications que vous voulez répliquer sur la nouvelle instance ADAM.
(La réplication des partitions de schéma et de configuration est automatique.) Pour
sélectionner la partition d'annuaire O=Microsoft,C=FR en vue de sa réplication, dans
la zone Partitions disponibles, cliquez sur O=Microsoft,C=FR, puis sur Ajouter.
L'Assistant Installation de Active Directory en mode application doit ressembler
à ceci :
Guide pas à pas d'ADAM 74
Pour installer une instance ADAM répliquée par le biais de l'installation sans
assistance
1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires et sur
Outils système, puis cliquez sur Utilitaire de sauvegarde.
2. Utilisez l'application de sauvegarde, comme vous le faites habituellement, pour
restaurer l'exemplaire sauvegardé de votre instance ADAM originale. Cette fois-ci,
cependant, dans la zone Restaurer les fichiers vers, cliquez sur l'option Autre
emplacement au lieu de choisir Emplacement d'origine, puis tapez ou recherchez
le chemin d'accès de la partition sur laquelle vous voulez restaurer les fichiers,
comme montré dans l'illustration suivante.
3. Une fois les fichiers de sauvegarde restaurés, créez un fichier de réponse pour
l'installation sans assistance de ADAM. Un fichier de réponse fournit les valeurs des
options de l'installation ADAM (il s'agit des mêmes options que celles proposées
dans l'Assistant Installation de Active Directory en mode application). À l'aide d'un
Guide pas à pas d'ADAM 76
éditeur de texte, créez un fichier texte appelé Réponses.txt dans lequel vous copiez
le contenu suivant. Assurez-vous de remplacer nomserveur par le nom d'hôte ou le
nom DNS de l'ordinateur sur lequel la première instance ADAM s'exécute.
Remplacez également C:\media_install\Program
Files\Microsoft\ADAM\instance1\data par le chemin d'accès de la copie restaurée de
la première instance ADAM.
[ADAMInstall]
; The following line specifies to install a replica ADAM instance.
InstallType=Replica
; The following line specifies the name to be assigned to the new instance.
InstanceName=instance3
; The following lines specify the communication ports to use for LDAP and
SSL.
LocalLDAPPortToListenOn=50002
LocalSSLPortToListenOn=50003
; The following lines specify the directory location of the restored files.
ReplicationDataSourcePath=C:\media_install\Program
Files\Microsoft\ADAM\instance1\data
ReplicationLogSourcePath=C:\media _install\Program
Files\Microsoft\ADAM\instance1\data
; The following lines specify a computer name and ADAM port of an ADAM
instance in the
; configuration set you want to join
; Replace servername with the name of the computer on which your first ADAM
; instance is running
SourceServer=servername
SourceLDAPPort=389
Configuration de la planification de la
réplication
À présent que vous disposez de plusieurs instances ADAM regroupées dans un jeu de
configuration unique, vous pouvez planifier la réplication. Cette planification est
Guide pas à pas d'ADAM 77
Remarques
Étant donné que vos instances ADAM appartiennent au même jeu de
configuration, vous pouvez planifier la réplication sur l'instance de votre
choix.
3. Dans l'arborescence de la console, double-cliquez sur la partition de configuration
CN=Configuration,CN={GUID}, sachant que GUID représente l'identificateur unique
attribué au cours de l'installation d'ADAM. Double-cliquez sur le conteneur des sites,
CN=Sites, puis sur le conteneur des sites par défaut CN=Premier-Site-par-défaut.
Le composant logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :
Remarques
Par défaut, toutes les instances ADAM que vous créez appartiennent à un
site unique, Premier-Site-par-defaut. Dans cet exercice, toutes vos instances
ADAM appartiennent à un seul et même site. Vous planifiez donc la
réplication au sein d'un site, c'est la réplication intrasite. Pour plus
d'informations sur les sites ADAM, les jeux de configuration et la réplication,
voir le Guide de l'Administrateur Active Directory en mode application. Pour
consulter ce guide, cliquez sur Démarrer, pointez sur Tous les
Guide pas à pas d'ADAM 78
Remarques
En ce qui concerne la réplication intrasite, les instances ADAM procèdent à
la réplication des modifications par le biais de notifications de mise à jour. La
fréquence de réplication planifiée n'a d'incidence sur la réplication intrasite
que s'il n'existe aucune notification de mise à jour au moment indiqué.
Remarques
Pour obtenir plus d'informations sur la syntaxe de repadmin, à l'invite de
commandes des outils ADAM, tapez repadmin /?.
set ou = GetObject(ouName )
wscript.echo "Displaying Groups and Group membership..." & vbcrlf
ou.Filter = Array("group")
for each obj in ou
wscript.echo "Group : " & obj.Name
for each member in obj.Members
wscript.echo " |"
wscript.echo " -- " & member.Name
Next
wscript.echo vbcrlf
Next
Vous pouvez exécuter les scripts de votre choix à partir d'une invite de commande grâce
à la commande cscript. (Pour obtenir de l'aide sur cscript, à l'invite de commande,
tapez cscript /?.) Les noms uniques du fournisseur et de l'hôte doivent être tous les
deux transmis avec le spécificateur de port pour chaque script.
Remarques
Seule l'information nomserveur:numéroport est nécessaire pour le script
Adamcontact.vbs puisqu'il étend le schéma. Vous pouvez ouvrir le fichier dans le
Bloc-notes pour voir la syntaxe spécifique. (Si vous exécutez un script sans
paramètre, un message d'erreur est renvoyé spécifiant que l'indice est hors
limites.)
Par exemple, si vous voulez exécuter le script Member_adam.vbs script pour énumérer
les utilisateurs et les groupes d'un objet à l'aide d'un nom unique de O=Microsoft,C=FR,
tapez :
cscript member_adam.vbs "LDAP://nomserveur:numéroport /o=Microsoft,c=fr"
Guide pas à pas d'ADAM 81
Remarques
L'ajout du nom de l'espace de noms n'est pas obligatoire, mais il est plus
facile à utiliser qu'un nom long. Ainsi, au lieu de taper
System.DirectoryServices.DirectoryEntry, vous pouvez utiliser DirectoryEntry.
9. Pour lire un objet ADAM, ajoutez le code suivant :
int portNumber=1025; // put the correct port number here.
String serverName="adam01"; // put the correct servername here.
String partitionDir = "O=Fabrikam"; //put the correct partition distinguished
name.
DirectoryEntry ent = new
DirectoryEntry("LDAP://"+serverName+":"+portNumber+"/"+partitionDir);
Console.WriteLine("Hello World, {0}, with Guid {1}", ent.Name, ent.Guid);
Guide pas à pas d'ADAM 83
Remarques
Pour plus d'informations sur la redirection de liaison ADAM, voir le Guide de
l'Administrateur Active Directory en mode application. Pour consulter ce guide,
cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis
cliquez sur Aide ADAM.
Le code présent dans sampleBindRedirect.c exécute toutes les opérations suivantes par
le biais de programmes :
Établit une liaison à une instance ADAM via le compte d'utilisateur Windows que
vous fournissez.
Lit l'attribut tokenGroups pour que l'utilisateur Windows récupère le SID de
l'utilisateur.
Établit une liaison à une instance ADAM via le compte d'administrateur ADAM que
vous fournissez.
À l'aide du compte d'administrateur ADAM, crée un objet userProxy pour l'utilisateur
Windows.
Ajoute le groupe Utilisateurs de n'importe quelle partition d'annuaire d'applications au
groupe des lecteurs de la même partition.
Établit une liaison à une instance ADAM, en tant qu'utilisateur Windows, pour
démontrer que cet utilisateur Windows ne peut pas lire la partition d'annuaire
d'applications.
Établit une liaison à une instance ADAM via un objet proxy pour démontrer que la
partition d'annuaire d'applications ne peut pas être lue.
Supprime l'objet userProxy.
Vous pouvez exécuter la version compilée de l'exemple de code BindRedirect.exe pour
voir comment cet exemple de code fonctionne. Pour obtenir de l'aide concernant
l'exécution de BindRedirect.exe, à l'invite de commande, tapez bindredirect /?.
Remarques
Les conditions suivantes sont requises pour exécuter cet exemple de code :
Guide pas à pas d'ADAM 84
Un fonctionnement correct est assuré si des connexions SSL sont disponibles vers
ADAM (ce qui implique l'installation de certificats) ou si la valeur de l'attribut
RequireSecureProxyBind sur l'attribut msds-Other-Settings de l'objet
nTDsService est défini sur 0. Pour plus d'informations, voir « Sécurité et liaison
des objets proxy ADAM » dans la section Gestion de l'authentification dans
ADAM.
Aucun objet entité de sécurité externe ne doit exister dans ADAM pour
l'utilisateur Windows que vous spécifiez.
Lorsque vous utilisez une connexion SSL et une liaison, indiquez impérativement
le nom DNS complet de l'ordinateur exécutant ADAM.