Guide Pas A Pas Du Deploiement dADAM

Guide pas à pas du déploiement d'ADAM
Microsoft Corporation
Publié : septembre 2005
Auteur : Jim Groves
Réviseur : Carolyn Eller
Résumé
Le service d'annuaire Active Directory® en mode application (ADAM) dans Microsoft®
Windows Server™ 2003 R2 offre une intégration parfaite de la sécurité et de la prise en
charge des annuaires, une grande évolutivité, et la gestion du protocole LDAP
(Lightweight Directory Access Protocol) pour les applications mettant en œuvre des
annuaires. ADAM présente un certain nombre de fonctionnalités LDAP destinées aux
développeurs d'applications comme aux professionnels de l'informatique et des
technologies de l'information. Grâce à ce guide pas à pas, vous pouvez installer et
utiliser rapidement ADAM sur Windows Server 2003 R2, ce qui vous permet d'explorer
quelques-unes de ses nouvelles fonctionnalités les plus importantes.
Les informations contenues dans ce document, y compris les URL et autres références
de sites Web Internet, pourront faire l'objet de modifications sans préavis. Sauf mention
contraire, les sociétés, les organisations, les produits, les noms de domaine, les
adresses électroniques, les logos, les personnes, les lieux et les événements utilisés
dans les exemples sont fictifs et toute ressemblance avec des sociétés, organisations,
produits, noms de domaine, adresses électroniques, logos, personnes, lieux et
événements réels est purement fortuite et involontaire. L'utilisateur est tenu d'observer la
réglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de
ce document ne peut être reproduite, stockée ou introduite dans un système de
restitution, ou transmise à quelque fin ou par quelque moyen que ce soit (électronique,
mécanique, photocopie, enregistrement ou autre) sans la permission expresse et écrite
de Microsoft Corporation.
Microsoft peut détenir des brevets, avoir déposé des demandes d'enregistrement de
brevets ou être titulaire de marques, droits d'auteur ou autres droits de propriété
intellectuelle portant sur tout ou partie des éléments qui font l'objet du présent document.
Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture
de ce document n'a pas pour effet de vous concéder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de propriété intellectuelle.
© 2005 Microsoft Corporation. Tous droits réservés.
Active Directory, Microsoft, MS-DOS, Visual Basic, Visual Studio, Windows, Windows NT
et Windows Server sont soit des marques de Microsoft Corporation, soit des marques
déposées de Microsoft Corporation, aux États-Unis d'Amérique et/ou dans d'autres pays.
Toutes les autres marques sont la propriété de leurs propriétaires respectifs.
Sommaire
Guide pas à pas du déploiement d'ADAM .......................................................................... 5
Conditions requises pour l'installation d'ADAM................................................................... 6
Installation d'ADAM ............................................................................................................. 7
Utilisation des outils d'administration ADAM ..................................................................... 18

Arrêt et redémarrage d'une instance ADAM .................................................................. 18
Utilisation de l'outil d'administration Éditeur ADSI ADAM ............................................. 19
Configuration de l'outil d'administration Composant logiciel enfichable Schéma ADAM
.................................................................................................................................... 24
Utilisation de ADSchemaAnalyzer ................................................................................. 26
Utilisation de l'outil de synchronisation AD vers ADAM................................................. 28
Installation des données d'application .............................................................................. 30

Étape 1 : Ajout de classes utilisateur facultatives au schéma ADAM. .......................... 30
Étape 2 : Extension du schéma ADAM pour prendre en charge une application ......... 32
Étape 3 : Importation des données d'application dans une instance ADAM ................. 33
Utilisation d'une application avec ADAM .......................................................................... 34

Recherche de données avec le Carnet d'adresses Windows ....................................... 34
Gestion des unités d'organisation, des groupes et des utilisateurs dans ADAM ............. 40
Étape 1 : Créer une unité d'organisation ....................................................................... 41
Étape 2 : Créer un groupe ............................................................................................. 42
Étape 3 : Créer un utilisateur ADAM ............................................................................. 43
Étape 4 : Ajouter un utilisateur à un groupe .................................................................. 45
Désactivation et activation des comptes d'utilisateurs ADAM ....................................... 48
Gestion des partitions d'annuaire dans ADAM ................................................................. 49

Connexion et liaison à une instance ADAM à l'aide de Ldp.exe ................................... 49
Ajout d'une partition d'annuaire d'applications .............................................................. 50
Suppression d'une partition d'annuaire d'applications................................................... 53
Gestion des autorisations dans ADAM ............................................................................. 55

Affichage des autorisations effectives ........................................................................... 55
Octroi d'autorisations ..................................................................................................... 57
Refus d'autorisations ..................................................................................................... 58
Gestion de l'authentification dans ADAM .......................................................................... 60
Liaison en tant qu'entité de sécurité Windows .............................................................. 60
Définition du mot de passe d'un utilisateur ADAM ........................................................ 61
Liaison en tant qu'entité de sécurité ADAM ................................................................... 63
Liaison par l'intermédiaire d'un objet proxy ADAM ........................................................ 63
Sécurité et liaison des objets proxy ADAM ................................................................ 64
Création d'un objet proxy ADAM puis d'une liaison par le biais de cet objet ............. 65
Démonstration de la fonctionnalité de l'objet proxy ADAM ........................................ 67
Sauvegarde et restauration d'Active Directory en mode application (ADAM) .................. 68

Sauvegarde d'une instance ADAM ................................................................................ 68
Suppression d'une instance ADAM ............................................................................... 69
Restauration d'une instance ADAM ............................................................................... 70
Gestion des jeux de configuration ..................................................................................... 72

Installation d'un réplica à l'aide de l'Assistant Installation de Active Directory en mode
application .................................................................................................................. 72
Installation d'un réplica à partir d'un média par le biais de l'installation sans assistance
.................................................................................................................................... 74
Configuration de la planification de la réplication .......................................................... 76
Déclenchement de la réplication immédiate d'une partition d'annuaire ........................ 78
Administration d'ADAM par programme ........................................................................... 79

Administration de ADAM par programme via des scripts Visual Basic ......................... 79
Administration de ADAM par programme via l'API System.DirectoryServices ............. 81
Administration d'objets proxy ADAM par programme.................................................... 83
Guide pas à pas d'ADAM 5
Guide pas à pas du déploiement d'ADAM

Cette documentation est un guide détaillé sur le déploiement de Active Directory en
mode application (ADAM).
Le service d'annuaire Active Directory® dans Microsoft® Windows® 2000 et Microsoft®
Windows Server™ 2003 est le service d'annuaire qui connaît la plus forte croissance sur
les systèmes intranet et extranet, grâce à son intégration parfaite de la prise en charge et
de la sécurité des annuaires, à son évolutivité et à son exploitation native du protocole
LDAP (Lightweight Directory Access Protocol). Fort de ce succès, Active Directory dans
Windows Server 2003 R2 poursuit sur cette lancée en assurant la mise en œuvre d'un
certain nombre de nouvelles possibilités LDAP destinées aux développeurs
d'applications comme aux professionnels de l'informatique et des technologies de
l'information. ADAM est l'une de ces nouvelles ressources. Les organisations,
entreprises, éditeurs de logiciels et développeurs qui veulent intégrer leurs applications à
un service d'annuaire disposent désormais dans Active Directory d'un moyen
supplémentaire procurant de nombreux avantages.
Grâce à ce document, vous pouvez installer et utiliser ADAM rapidement, ce qui vous
permet d'explorer quelques-unes de ses nouvelles fonctionnalités parmi les plus
importantes.
En particulier, dans le cas présent vous exécutez les tâches suivantes pour cette
présentation :
1. Installation de l'environnement de test en ateliers dans lequel vous installez et
configurez ADAM.
2. Installer ADAM
Vous découvrez ensuite ses fonctions d'ajout et de gestion des données :
1. Installation des données d'application pour permettre l'utilisation d'ADAM avec une
application.
2. Recherche et récupération des données d'application que vous avez importées dans
votre instance ADAM.
3. Entraînement à la création et à la gestion des unités d'organisation, groupes et
utilisateurs dans ADAM.
4. Ajout et suppression manuelle d'une partition d'annuaire d'applications.
5. Octroi et refus d'autorisations aux utilisateurs.
En dernier lieu, vous vous exercez aux tâches administratives :
1. Pratique de la liaison à une instance ADAM selon différentes méthodes.
2. Entraînement sur l'exploitation des fonctions de base liées à l'utilisation d'ADAM,

comme le démarrage et l'arrêt d'une instance ADAM.
3. Sauvegarde, suppression et restauration d'une instance ADAM.
4. Installation des réplicas d'ADAM.
5. Réalisation de tâches ADAM au moyen de programmes
Remarques
Avant toute chose, il est recommandé de mettre en œuvre les différentes
procédures détaillées de ce guide dans un environnement de test en ateliers.
Les guides pas à pas ne sont pas forcément conçus pour servir à déployer des
fonctionnalités de Windows Server sans être accompagnés de la documentation
produit. Utilisez ce guide avec circonspection lorsque vous le consultez comme
source de documentation unique.
Conditions requises pour l'installation

d'ADAM
Avant de suivre les procédures décrites dans ce guide, assurez-vous de satisfaire aux
exigences de configuration système répertoriées ici :
 Disposer d'au moins un ordinateur test sur lequel installer ADAM. Pour pouvoir suivre
les exercices de ce guide, installez ADAM sur un ordinateur qui exécutent un des
systèmes d'exploitation suivants :
 Windows Server 2003 R2, Standard Edition
 Windows Server 2003 R2, Enterprise Edition
 Windows Server 2003 R2, Datacenter Edition
L'ordinateur doit disposer de 50 Mo d'espace libre sur le disque.
Remarques
Vous pouvez également exécuter ADAM sur un ordinateur qui exécute
Windows XP ou une version antérieure de Windows Server 2003. La version
d'ADAM compatible avec ces systèmes d'exploitation est disponible sur la
page Web consacrée à Active Directory en mode application pour Windows
Server 2003 (éventuellement en anglais), publiée sur le site Web de
Microsoft (http://go.microsoft.com/fwlink?linkid=17797).
 Se procurer un exemplaire du mode ADAM téléchargé, qui comprend les fichiers des
ateliers à utiliser avec ce guide. Pour cet exercice, servez-vous uniquement des
fichiers des ateliers téléchargés et installez l'application ADAM proprement dite à
partir du CD-ROM du produit Windows Server 2003 R2. Le téléchargement d'ADAM

est disponible sur le Centre de téléchargement Microsoft
(http://go.microsoft.com/fwlink?linkid=29359). Lancez l'exécution des fichiers
téléchargés pour extraire les fichiers d'atelier requis dans les exercices de ce guide.
 Ouvrir une session en utilisant un compte Administrateur.
 Pour les besoins de ce guide, vous pouvez installer les réplicas des instances ADAM
sur un ordinateur test, ou les installer sur une deuxième machine éventuellement
disponible pour cette utilisation.
 Si une ancienne version de ADAM est déjà installée, vous devez la désinstaller de
votre ordinateur avant d'exécuter la nouvelle version.
Installation d'ADAM
Vous pouvez, au choix, installer une instance ADAM à l'aide de l'Assistant Installation de
Active Directory en mode application ou utiliser le processus d'installation sans
assistance. Dans le premier exercice, vous utilisez l'Assistant Installation de Active
Directory en mode application pour installer ADAM. Dans la section Gestion des jeux de
configuration, vous utilisez l'installation sans assistance pour installer un réplica d'une
instance ADAM.
Remarques
Pour installer ADAM, vous devez ouvrir une session sur votre ordinateur via un
compte appartenant au groupe Administrateurs local.
Dans cet exercice, vous commencez par installer ADAM, puis vous installez une instance
ADAM à l'aide de l'Assistant Installation de Active Directory en mode application.
Pour installer ADAM

1. Pour installer ADAM, ouvrez une session en tant qu'administrateur, cliquez sur
Démarrer, pointez sur Panneau de configuration, puis cliquez sur
Ajout/Suppression de programmes.
2. Cliquez sur Ajouter ou supprimer des composants Windows.
3. Activez la case à cocher en regard de l'option Services Active Directory, puis
cliquez sur Détails.
4. Activez la case à cocher en regard de l'option Active Directory Application Mode
(ADAM), cliquez sur OK, puis sur Suivant.
5. Lisez le message qui s'affiche. En fonction de son contenu, effectuez l'une des
opérations suivantes :
 Si le message « Vous avez terminé l'Assistant Composants de Windows »

apparaît, cliquez sur Terminer.
 Si un message d'erreur s'affiche, prenez note de l'erreur mentionnée, cliquez sur
Terminer, puis consultez les messages d'événements ADAM dans l'Observateur
d'événements.
Pour installer une instance ADAM à l'aide de l'Assistant Installation de Active

Directory en mode application
1. Pour démarrer l'Assistant Installation de Active Directory en mode application,
cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez
sur Créer une instance ADAM. La première page de l'Assistant Installation de
Active Directory en mode application correspond à l'illustration suivante :
2. Dans la page Bienvenue dans l'Assistant Installation de Active Directory en

mode application, cliquez sur Suivant.
3. Dans la page Options d'installation, vous pouvez choisir d'installer une instance
ADAM unique ou de la rattacher à un jeu de configuration existant. Dans la mesure
où vous installez la première instance ADAM, cliquez sur Une instance unique
(comme montré dans l'illustration suivante), puis cliquez sur Suivant. Vous serez
amené par la suite à créer des instances ADAM supplémentaires que vous
regrouperez dans un jeu de configuration.
4. Dans la page Nom de l'instance, indiquez le nom de l'instance ADAM que vous
installez. Ce nom est utilisé sur l'ordinateur local pour identifier de façon unique
l'instance ADAM. Pour cet exercice, acceptez le nom par défaut instance1, puis
cliquez sur Suivant.
5. Dans la page Ports, spécifiez les ports de communications que l'instance ADAM
utilise pour communiquer. ADAM se sert indifféremment des technologies LDAP et
SSL (Secure Sockets Layer), vous pouvez donc spécifier une valeur pour chaque
port. Pour cet exercice, acceptez les valeurs par défaut 389 et 636, puis cliquez sur
Suivant.
Remarques
Si vous installez ADAM sur un ordinateur dont les ports par défaut sont
actifs, l'Assistant Installation de Active Directory en mode application repère
automatiquement le premier port disponible en commençant à 50000. Par
exemple, Active Directory utilise les ports 389 et 636 ainsi que les ports 3268
et 3269 sur les serveurs de catalogue global. Par conséquent, si vous
installez ADAM sur un contrôleur de domaine, l'Assistant Installation de
Active Directory en mode application proposera la valeur par défaut 50000
pour le port LDAP, et 50001 pour le port SSL.
6. Dans la page Partition de l'annuaire d'applications, vous pouvez créer une
partition d'annuaire d'applications (ou contexte d'attribution de noms) en cliquant sur
Oui, créer une partition d'annuaire d'applications. Sinon, cliquez sur Non, ne pas
créer de partition d'annuaire d'applications, auquel cas vous devrez créer une
partition d'annuaire d'applications manuellement après l'installation. Pour les besoins
de cet exercice, cliquez sur Oui, créer une partition d'annuaire d'applications.
Lors de la création de la partition, vous devrez lui attribuer un nom unique. Pour cet
exercice, tapez o=Microsoft,c=FR comme nom unique (tel qu'indiqué ci-dessous),
puis cliquez sur Suivant.
Remarques
ADAM prend en charge les noms uniques respectant les styles X.500 et
DNS (Domain Name System) pour les partitions d'annuaire de premier
niveau.
7. Dans la page Répertoires, vous pouvez afficher et changer les répertoires
d'installation pour les données et les fichiers de récupération (.log). Par défaut, les
données ADAM et les fichiers de récupération sont installés dans
%ProgramFiles%\Microsoft ADAM\nominstance\data, sachant que nominstance
représente le nom de l'instance ADAM que vous indiquez dans la page Nom de
l'instance. Pour cet exercice, cliquez sur Suivant pour accepter les emplacements
de fichiers par défaut.
Important
Lorsque vous installez ADAM sur un ordinateur Windows XP, vous devez
installer ces fichiers sur le même volume logique. Dans un environnement de
production, sur Windows Server 2003 et Windows Server 2003 R2, il est
recommandé d'installer ces fichiers sur des disques physiques distincts.
Remarques
Le programme d'installation ADAM installe les fichiers programmes et les
outils d'administration dans %windir%\ADAM.
8. Dans la page Sélection des comptes de service, vous choisissez le compte à
utiliser comme compte de service pour ADAM. Le compte que vous sélectionnez
détermine le contexte de sécurité dans lequel l'instance ADAM s'exécute. À moins
que vous n'installiez ADAM sur un contrôleur de domaine, l'Assistant Installation de
Active Directory en mode application utilise par défaut le compte Service réseau.
Pour cet exercice, cliquez sur Suivant pour accepter le Compte de service réseau
par défaut. Si vous installez ADAM sur un contrôleur de domaine, cliquez sur Ce
compte, puis sélectionnez un compte d'utilisateur de domaine comme compte de
service ADAM.
Remarques
Une fois ADAM installé, il est toujours possible de modifier le compte de
service ADAM à l'aide de l'outil de ligne de commande Dsmgmt. Lorsque
vous installez ADAM sur un contrôleur de domaine, vous devez sélectionner
un compte d'utilisateur de domaine comme compte de service ADAM.
9. Dans la page Administrateurs ADAM, vous sélectionnez l'utilisateur ou le groupe
que vous destinez au rôle d'administrateur par défaut pour l'instance ADAM.
L'utilisateur ou le groupe sélectionné disposera du contrôle administratif absolu sur
l'instance ADAM. Par défaut, l'Assistant Installation de Active Directory en mode
application spécifie l'utilisateur actuellement connecté. Vous pouvez modifier cette
sélection pour n'importe quel groupe ou compte, local ou de domaine, qui se trouve
sur votre réseau. Pour cet exercice, acceptez la valeur par défaut de l'option
Utilisateur actuellement connecté, puis cliquez sur Suivant.
10. Dans la page Importation des fichiers LDIF, vous pouvez importer deux fichiers .ldf
contenant les définitions des objets de la classe user dans le schéma ADAM. Cette
importation est facultative. Toutefois ces définitions d'objets étant indispensables
dans une autre section de ce guide, nous vous encourageons à les importer dès
maintenant :
a. Cliquez sur l'option Importer les fichiers LDIF sélectionnés pour cette
instance ADAM.
b. Cliquez sur MS-InetOrgPerson.LDF, puis sur le bouton Ajouter.
c. Cliquez sur MS-User.LDF, puis sur le bouton Ajouter.
d. Cliquez sur MS-UserProxy.LDF, sur le bouton Ajouter, puis sur Suivant.
11. La page Prêt pour l'installation permet de vérifier les choix que vous avez faits
pour cette installation. Après avoir cliqué sur Suivant, l'Assistant Installation de
Active Directory en mode application lance la copie des fichiers et installe ADAM sur
votre ordinateur.
12. Lorsque l'Assistant a terminé l'installation de ADAM, le message suivant s'affiche :

« Vous avez terminé correctement l'Assistant Installation de Active Directory en
mode application ». À l'affichage de la page Fin de l'Assistant Installation de
Active Directory, cliquez sur Terminer pour fermer l'Assistant.
Remarques
Si l'exécution de l'Assistant Installation de Active Directory en mode application
ne s'est pas déroulée correctement, un message d'erreur expliquant la raison de
l'échec de l'installation s'affiche dans la page Résumé.
Si une erreur survient au cours de l'exécution de l'Assistant, mais avant que la page
Résumé ne s'affiche, vous pouvez connaître la nature du problème dans le message
d'erreur qui apparaît. Par ailleurs, vous pouvez cliquer sur Démarrer, puis sur Exécuter
et tapez au choix l'une des lignes suivantes :
%windir%\Debug\adamsetup.log
%windir%\Debug\adamsetup_loader.log
Les fichiers Adamsetup.log et Adamsetup_loader.log contiennent des informations
susceptibles de vous aider à trouver la cause de l'échec d'une installation ADAM pour y
remédier.
Utilisation des outils d'administration

ADAM
Plutôt que de s'utiliser comme un service système, une instance ADAM s'exécute comme
un service utilisateur normal ; elle peut être démarrée et arrêtée par le biais du
composant logiciel enfichable Services dans Microsoft Management Console (console
MMC). En outre, ADAM contient plusieurs outils d'administration permettant d'assurer
des tâches d'administration générale. Dans les exercices ci-dessous, vous allez effectuer
les opérations suivantes :
 Utiliser le composant logiciel enfichable Services pour arrêter et redémarrer votre
instance ADAM.
 Utiliser l'éditeur ADSI ADAM (ADAM-adsiedit.msc) pour parcourir l'arborescence de
l'annuaire.
 Configurer le composant logiciel enfichable Schéma ADAM.
 Utiliser ADSchemaAnalyzer pour produire un fichier destiné à étendre un schéma à
l'aide d'éléments provenant d'un autre schéma.
 Utiliser l'outil de synchronisation AD vers ADAM pour copier des données depuis
Active Directory (AD) vers une instance ADAM.
Arrêt et redémarrage d'une instance ADAM

Pour arrêter et redémarrer une instance ADAM au moyen du composant
logiciel enfichable Services
1. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur
Services.
2. L'instance ADAM que vous venez d'installer est affichée dans le volet d'informations
du composant logiciel enfichable Services, avec les autres services présents sur
l'ordinateur. Les instances ADAM sont répertoriées selon leurs noms dans Services,
ici la nouvelle instance se nomme instance1. Cliquez sur l'instance ADAM que vous
avez installée, comme indiqué dans l'illustration suivante :
3. Pour arrêter une instance ADAM, dans le menu Action, cliquez sur Arrêter.
4. Lorsque l'instance ADAM est arrêtée, dans le menu Action, cliquez sur Démarrer
pour relancer l'instance ADAM.
Utilisation de l'outil d'administration Éditeur

ADSI ADAM
Le principal outil d'administration de ADAM est l'Éditeur ADSI ADAM. Dans cet exercice,
vous utilisez cet Éditeur pour établir une liaison à votre instance ADAM, l'afficher et
parcourir son arborescence.
Pour établir une liaison à une instance ADAM, afficher cette instance et
parcourir son arborescence par le biais de l'Éditeur ADSI ADAM
1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez
sur Éditeur ADSI ADAM.
2. Dans l'arborescence de la console, cliquez sur ADAM ADSI Edit. Le composant
logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :
3. Dans le menu Action, cliquez sur Établir une connexion. La boîte de dialogue
Paramètres de connexion s'affiche.
4. Dans la zone Nom de la connexion, vous pouvez indiquer le libellé qui sera utilisé
pour cette connexion dans l'arborescence de la console de l'Éditeur ADSI ADAM.
Pour cette connexion, tapez :
Démo ADAM
5. Dans la zone Nom du serveur, tapez le nom d'hôte ou le nom DNS de l'ordinateur
sur lequel l'instance ADAM s'exécute.
Remarques
Pour les besoins de cet exercice, ADAM s'exécute sur l'ordinateur local, vous
pouvez donc utiliser localhost comme nom de serveur.
6. Dans la zone Port, précisez les ports de communications, LDAP ou SSL, utilisés par
ADAM. Vous pouvez, comme ici, accepter la valeur par défaut 389.
Remarques
Pour consulter la liste des numéros de ports utilisés par les instances ADAM,
cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis
cliquez sur Invite de commande des outils ADAM. Dans l'invite de
commandes qui s'ouvre, tapez : dsdbutil "list instances" quit
7. Dans le groupe d'options Établir une connexion au nœud suivant, vous pouvez
choisir une connexion à un contexte d'attribution de noms connus, comme la partition
d'annuaire de configuration ou de schéma, ou encore spécifier le nom unique de la
partition à laquelle vous voulez vous connecter. Pour cet exercice, cliquez sur Nom
unique (DN) ou contexte de nom, puis tapez :
o=Microsoft,c=FR
Il s'agit du nom unique de la partition d'applications que vous avez créée au cours de
l'installation.
8. Dans le groupe d'options Établir une connexion en utilisant ces informations
d'identification, cliquez sur Le compte de l'utilisateur ayant ouvert la session. La
boîte de dialogue Paramètres de connexion correspond à l'illustration suivante :
9. Cliquez sur OK. Le composant logiciel enfichable Éditeur ADSI ADAM ressemble à
ceci :
10. Dans l'arborescence de la console, double-cliquez sur Démo ADAM, puis sur
O=Microsoft,c=FR. Le composant logiciel enfichable Éditeur ADSI ADAM affiche à
présent la partition d'annuaire d'applications :
11. Dans l'arborescence de la console, cliquez sur un conteneur pour afficher les objets
qu'il renferme. Cliquez par exemple sur CN=Roles.
12. Pour ouvrir une autre partition d'annuaire sur l'instance ADAM, dans l'arborescence
de la console, cliquez sur Éditeur ADSI ADAM puis, dans le menu Action, sur
Établir une connexion.
13. Complétez la boîte de dialogue Paramètres de connexion comme indiqué dans
l'illustration, puis cliquez sur OK.
La boîte de dialogue Paramètres de connexion correspond à l'illustration suivante :
Vous pouvez à présent consulter le contenu de la partition d'annuaire de

configuration de votre instance ADAM.

14. Pour fermer l'Éditeur ADSI ADAM, dans le menu Fichier, cliquez sur Quitter.
Configuration de l'outil d'administration

Composant logiciel enfichable Schéma ADAM
Vous pouvez utiliser un autre outil d'administration ADAM, le composant logiciel
enfichable Schéma ADAM, pour administrer le schéma ADAM. Si vous avez déjà utilisé
le composant logiciel enfichable Schéma Active Directory, ce nouveau composant devrait
vous paraître familier. Avant de pouvoir utiliser le composant logiciel enfichable Schéma
ADAM, vous devez tout d'abord créer un fichier MMC, tel que décrit dans cette
procédure.
Pour créer un fichier MMC pour le composant logiciel enfichable Schéma

ADAM
1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez mmc /a, puis cliquez sur OK.
2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel
enfichable, puis sur Ajouter.
3. Dans Composants logiciels enfichables disponibles, cliquez successivement sur
Schéma ADAM, Ajouter, Fermer, puis sur OK.
4. Pour enregistrer cette console, dans le menu Fichier, cliquez sur Enregistrer.
5. Dans la zone Nom de fichier, tapez la ligne suivante, puis cliquez sur Enregistrer.
%windir%\system32\adamschmmgmt.msc
Le composant logiciel enfichable Schéma ADAM ressemble à ceci :
6. Pour établir une connexion à votre instance ADAM via le schéma ADAM, dans
l'arborescence de la console, cliquez avec le bouton droit sur Schéma ADAM,
cliquez sur Changer de serveur ADAM, puis complétez la boîte de dialogue comme
suit :
7. Cliquez sur OK. À présent, le composant logiciel enfichable Schéma ADAM

ressemble à l'illustration suivante. Vous pouvez parcourir et afficher les attributs et
les classes du schéma ADAM :
8. Pour créer un raccourci vers le composant logiciel enfichable Schéma ADAM dans le
menu Démarrer :
a. Cliquez avec le bouton droit sur Démarrer, cliquez sur Ouvrir Tous les
utilisateurs, double-cliquez sur le dossier Programmes, puis sur le dossier
ADAM.
b. Dans le menu Fichier, pointez sur Nouveau, puis cliquez sur Raccourci.
c. Dans l'Assistant Créer un raccourci, repérez la zone Entrez l'emplacement
de l'élément, tapez adamschmmgmt.msc, puis cliquez sur Suivant.
d. Dans la page Sélection d'un titre pour le programme, dans la zone Entrez un
nom pour ce raccourci, tapez Schéma ADAM, puis cliquez sur Terminer.
Utilisation de ADSchemaAnalyzer
Vous pouvez utiliser ADSchemaAnalyzer pour faciliter la migration du schéma
Active Directory vers ADAM, depuis une instance ADAM vers une autre instance ou
depuis un annuaire compatible LDAP vers une instance ADAM. Vous pouvez utiliser
ADSchemaAnalyzer pour charger un schéma cible (source), marquer les éléments que
vous voulez faire migrer, puis les exporter vers le schéma ADAM de base. Vous pouvez
également comparer les deux schémas.
Important
Lors de l'utilisation de l'outil ADSchemaAnalyzer pour créer un fichier LDIF, il est
conseillé de charger le schéma de base et le schéma cible, sinon le fichier LDIF
obtenu risque d'être inutilisable avec l'outil ldifde.
Pour créer un fichier LDIF à l'aide de ADSchemaAnalyzer

sur Invite de commande des outils ADAM et à l'invite de commandes, tapez :
adschemaanalyzer
2. Pour charger un schéma cible, cliquez sur Fichier, puis sur Charger le schéma
cible et effectuez l'une des actions suivantes :
 Pour charger le schéma Active Directory de domaine comme schéma cible, dans
la boîte de dialogue, tapez vos nom d'utilisateur, mot de passe et nom de
domaine, puis cliquez sur OK.
 Pour charger un autre schéma (par exemple le schéma d'une forêt Active
Directory ou un autre annuaire compatible LDAP), dans la boîte de dialogue
ouverte, tapez le nom du serveur et le numéro de port de l'annuaire contenant le
schéma cible, ainsi que, le cas échéant, vos nom d'utilisateur, mot de passe et
nom de domaine, puis cliquez sur OK.
3. Pour charger le schéma de votre instance ADAM comme schéma de base, cliquez
sur Fichier, sur Charger le schéma de base et dans la zone Serveur[:port], tapez
le nom du serveur et le numéro de port de l'instance ADAM.
4. Dans la boîte de dialogue, cliquez sur OK.
5. Dans l'arborescence ainsi obtenue, marquez tous les éléments que vous voulez
exporter vers le schéma de base en cliquant avec le bouton droit sur chaque élément
et en sélectionnant l'une des options suivantes :
 Automatique marque automatiquement un élément comme inclus ou exclus de
l'opération d'exportation. Si un élément est signalé comme étant Automatique
(inclus), vous pouvez cliquer avec le bouton droit sur cet élément, puis cliquez
sur Pourquoi l'inclusion automatique ? pour voir l'arborescence des
dépendances inverses de cet élément.
 Inclus marque l'élément pour qu'il soit pris en compte lors de l'exportation.
ADSchemaAnalyzer marque tous les éléments connexes, comme les
superclasses, auxClasses, must/may contains (doit/peut contenir),

defaultObjectCategory et possSuperiors. L'outil ADSchemaAnalyzer englobe des
ensembles de propriétés (propsets) pour les attributs inclus et des liens inverses
pour les liens.
 Exclus marque l'élément pour qu'il ne soit pas pris en compte lors de
l'exportation. Vous pouvez bloquer certains chemins d'accès dans le graphique
des dépendances. Par exemple, si vous voulez importer domainDns, mais pas
samAccountDomain (qui est une classe auxiliaire (auxClass) de domainDns).
Vous pouvez exclure un élément dans son intégralité, comme la classe
samAccountDomain, ou exclure une relation. Vous pouvez ainsi supprimer la
référence auxClass de la classe domainDns. Si vous excluez une relation, toutes
les autres classes qui font référence à cet élément continuent de l'inclure.
 Présent signifie que l'élément est stocké sur le serveur cible. Par défaut, la
classe de niveau supérieur est indiquée comme présente.
6. Pour créer le fichier LDIF, cliquez sur Fichier, puis sur Créer un fichier LDIF.
Vous pouvez, à l'invite de commandes des outils ADAM, utiliser la commande ldifde pour
importer dans le schéma ADAM de base les éléments du schéma cible contenus dans le
fichier LDIF. Le début du fichier LDIF regroupe les instructions complètes permettant
d'exécuter cette tâche.
Utilisation de l'outil de synchronisation AD

vers ADAM
L'outil de synchronisation AD (Active Directory) vers ADAM est un outil de ligne de
commande qui synchronise les données depuis une forêt Active Directory vers un jeu de
configuration d'une instance ADAM.
Important
L'outil de synchronisation AD vers ADAM ne synchronise pas les mots de passe
utilisateur entre Active Directory et ADAM.
Deux conditions préalables doivent être remplies avant de pouvoir synchroniser des
données au moyen de l'outil de synchronisation AD vers ADAM :
 Le schéma dans l'instance ADAM doit être étendu pour correspondre aux objets du
schéma dans la forêt Active Directory de Windows Server 2003.
 Le schéma dans l'instance ADAM doit être étendu pour les objets du schéma
nécessaires à l'outil de synchronisation AD vers ADAM.
Remarques
Vous devez utiliser l'option numéro_port-t avec ldifde si l'instance ADAM utilise
un autre port que le port 389 désigné par défaut.
Pour lancer la première utilisation de l'outil de synchronisation AD vers ADAM

1. Cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur ADAM, puis
sur Invite de commande des outils ADAM pour ouvrir une fenêtre de commande
dans l'annuaire ADAM.
2. Pour étendre le schéma ADAM afin qu'il corresponde aux objets de schéma par
défaut de Windows Server 2003 dans Active Directory, à l'invite de commandes,
tapez l'instruction suivante sur une seule ligne et appuyez sur la touche Entrée.
ldifde -i -s localhost -c CN=Configuration,DC=X #ConfigurationNamingContext
-f MS-AdamSchemaW2k3.ldf
3. Pour étendre le schéma ADAM afin qu'il inclue les objets de schéma indispensables
à l'outil de synchronisation AD vers ADAM, à l'invite de commandes, tapez
l'instruction suivante sur une seule ligne et appuyez sur la touche Entrée.
ldifde -i -s localhost:389 -c CN=Configuration,DC=X
#ConfigurationNamingContext -f MS-AdamSyncMetadata.ldf
4. Modifiez le fichier de configuration MS-AdamSyncConf.xml à l'aide des paramètres
appropriés.
Important
Ne supprimez aucun champ inutilisé de ce fichier.
5. Installez le fichier de configuration. À l'invite de commandes, tapez la commande
suivante, puis appuyez sur Entrée :
ADAMSync /install localhost:389 %windir%\ADAM\MS-AdamSyncConf.xml
6. Synchronisez les données depuis la forêt Active Directory vers le jeu de
configuration ADAM. À l'invite de commandes, tapez la commande suivante, puis
appuyez sur Entrée :
ADAMSync /sync localhost:389 "o=microsoft,c=FR"
Utilisez l'Éditeur ADSI ADAM pour vérifier la bonne synchronisation des données.
Installation des données d'application

Dans la plupart des cas, vous étendez le schéma ADAM avec des définitions de classes
d'objets et d'attributs pour les types de données que vous voulez qu'une application
stocke. Comme dans Active Directory, le schéma est également extensible dans ADAM.
Vous pouvez l'étendre par programme ou à l'aide de l'outil de ligne de commande
Ldifde.exe.
Dans les exercices ci-dessous, vous allez effectuer les opérations suivantes :
 Étape 1 : Ajouter des classes utilisateur facultatives au schéma ADAM.
 Étape 2 : Étendre le schéma ADAM pour prendre en charge une application.
 Étape 3 : Importer des données d'application dans une instance ADAM.
Remarques
Les données que vous importez au cours de ces exercices seront utilisées
ultérieurement avec l'application Carnet d'adresses de Windows.
Étape 1 : Ajout de classes utilisateur

facultatives au schéma ADAM.
Vous pouvez ajouter les classes utilisateur optionnelles qui sont proposées avec ADAM
lors de son installation ou les ajouter manuellement par le biais de l'outil de ligne de
commande Ldifde.exe. Si vous avez importé les fichiers .ldf de définition des classes
utilisateur lors de l'exécution de l'Assistant Installation de Active Directory en mode
application, vous pouvez ignorer cette procédure.
Pour ajouter manuellement des classes utilisateur facultatives au schéma

ADAM
sur Invite de commande des outils ADAM.
2. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :
ldifde -i -f ms-inetorgperson.ldf -s nomserveur:numéroport -k -j . -c
"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext
sachant que nomserveur:numéroport représente le nom de l'ordinateur et le port de
communication LDAP de votre instance ADAM. Dans la mesure où l'instance ADAM
s'exécute sur l'ordinateur local, vous pouvez également utiliser localhost comme nom
d'ordinateur.
Remarques
Prenez soin d'utiliser l'exemplaire Ldifde.exe fourni avec

Windows Server 2003 R2 plutôt que d'exécuter celui fourni avec une
précédente version de ADAM ou avec les outils de support de Windows.
À présent, le contenu de la fenêtre Invite de commande des outils ADAM doit
ressembler à ceci :
3. Tapez la commande suivante et appuyez sur Entrée :

ldifde -i -f ms-user.ldf -s nomserveur:numéroport -k -j . -c
"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext
À présent, le contenu de la fenêtre Invite de commande des outils ADAM
ressemble à ceci :
Après l'exécution de ces commandes, le schéma ADAM contient les classes d'objets
utilisateur ADAM et inetOrgPerson. Pour le vérifier, affichez le schéma ADAM à l'aide
du composant logiciel enfichable Schéma ADAM.
Étape 2 : Extension du schéma ADAM pour

prendre en charge une application
Dans cet exercice, vous étendez de nouveau le schéma ADAM par l'ajout d'une classe
d'objet contacts et utilisez le même outil de ligne de commande, ldifde.
Pour étendre le schéma ADAM

ldifde -i -f lecteur:\chemin\labs_demo\labs\contact.ldf -snomserveur:numéroport-k
-j . -c "CN=Schema,CN=Configuration" #schemaNamingContext
sachant que lecteur:\chemin représente l'emplacement où vous avez placé le mode
ADAM téléchargé, et nomserveur:numéroport le nom de l'ordinateur et le port de
communication LDAP de votre instance ADAM. Dans la mesure où l'instance ADAM
s'exécute sur l'ordinateur local, vous pouvez également utiliser localhost comme nom
d'ordinateur.
Remarques
Prenez soin d'utiliser l'exemplaire Ldifde.exe fourni avec ADAM, plutôt que
d'exécuter celui fourni avec une précédente version de ADAM ou avec les
outils de support de Windows.
Suite à l'exécution de cette commande, le contenu de la fenêtre Invite de
commande des outils ADAM doit ressembler à ceci :
À présent, votre schéma ADAM contient également la classe d'objet contacts ; il est prêt
pour certaines données d'application.
Étape 3 : Importation des données

d'application dans une instance ADAM
Dans cet exercice, vous importez quelques exemples de données dans votre instance
ADAM à l'aide de l'outil de ligne de commande ldifde. Ces données accompagnent le
mode ADAM téléchargé.
Pour importer des données d'application

2. À l'invite de commandes, tapez :
ldifde -i -f lecteur:\chemin\labs_demo\labs\contactimport.ldf -s
nomserveur:numéroport-k -j .
sachant que lecteur:\chemin représente l'emplacement où sont placés les fichiers
ADAM, et nomserveur:numéroport le nom de l'ordinateur et le port de communication
LDAP de votre instance ADAM.
Remarques
Prenez soin d'utiliser l'exemplaire Ldifde.exe fourni avec ADAM, plutôt que
d'exécuter celui fourni avec une précédente version de ADAM ou avec les
outils de support de Windows.
Suite à l'exécution de cette commande, le contenu de la fenêtre Invite de
commande des outils ADAM doit ressembler à ceci :
Remarques
Ldifde renseigne toujours sur le nombre d'entrées importées dans l'annuaire.

Dans ce cas, vous pouvez constater à partir des résultats ldifde que
contactimport.ldf contient deux enregistrements. Pour obtenir plus
d'informations sur ldifde, tapez ldifde /? à l'invite de commandes.
Utilisation d'une application avec ADAM

Dans cet exercice, vous utilisez le Carnet d'adresses Windows, une application
compatible avec le protocole LDAP, pour exécuter des requêtes et récupérer les
données d'application que vous avez importées dans votre instance ADAM.
Recherche de données avec le Carnet

d'adresses Windows
Pour rechercher des données avec le Carnet d'adresses Windows
1. Cliquez sur Démarrer, sur Exécuter, puis tapez wab.exe, puis cliquez sur OK.
2. Dans le menu Outils, cliquez sur Comptes, puis sur Ajouter. L'Assistant Connexion
Internet s'affiche.
3. Dans le champ Serveur d'annuaire Internet (LDAP), tapez localhost, cliquez sur
Suivant deux fois, puis sur Terminer.
4. Dans la boîte de dialogue Comptes Internet, affichez l'onglet Service d'annuaire,
double-cliquez sur localhost, comme illustré ici :
5. Dans la boîte de dialogue Propriétés de localhost, renseignez les différentes

options de l'onglet Général, comme indiqué dans l'illustration suivante, en vous
servant du compte via lequel vous avez actuellement ouvert une session sur
l'ordinateur. Vérifiez que les cases à cocher des options Ouverture de session
requise et Ouvrir une session en utilisant l'authentification par mot de passe
sécurisé sont bien activées.
6. Affichez l'onglet Avancé, puis activez la case à cocher Utiliser un filtre de

recherche simple. Dans le champ Rechercher dans la base, tapez
o=Microsoft,c=FRcomme indiqué dans l'illustration suivante et cliquez sur OK puis,
dans la boîte de dialogue Comptes Internet, cliquez sur Fermer.
7. Dans le Carnet d'adresses Windows, repérez la barre d'outils et cliquez sur

Rechercher des personnes. Dans la zone Regarder dans, cliquez sur localhost,
puis dans le champ Nom, tapez :
kim
La boîte de dialogue Propriétés de localhost correspond à l'illustration suivante :
8. Cliquez sur Rechercher maintenant. Les résultats de votre recherche doivent

afficher une entrée provenant de l'annuaire ADAM, comme dans l'illustration
suivante :
9. Double-cliquez sur le nom pour consulter les détails de ce résultat.

10. Affichez l'onglet Organisation pour connaître la relation de dépendance. Double-
cliquez sur le nom du responsable pour voir les détails du contact associé, ce qui doit
correspondre à ceci :
Gestion des unités d'organisation, des

groupes et des utilisateurs dans ADAM
ADAM est généralement utilisé pour stocker des informations sur les utilisateurs ainsi
que sur les organisations et les autres groupes auxquels ils appartiennent. Au cours de
ces exercices, vous créez tout d'abord une unité d'organisation, ou OU (Organizational
Unit), que vous appelez « Utilisateurs ADAM » dans la partition d'annuaire d'applications
o=Microsoft,c=FR. Vous ajoutez ensuite un groupe appelé « Testeurs ADAM » dans
ADAM, puis vous créez un utilisateur ADAM nommé Mary Baker à l'aide de l'une des
classes d'objets utilisateur importée précédemment. Grâce à l'Éditeur ADSI ADAM, vous
pouvez :
 Étape 1 : Créer une unité d'organisation
 Étape 2 : Créer un groupe dans la nouvelle unité d'organisation
 Étape 3 : Créer un utilisateur ADAM

 Étape 4 : Ajouter un utilisateur ADAM au groupe des utilisateurs ADAM
Vous apprendrez également à activer et désactiver les comptes d'utilisateurs ADAM.
Étape 1 : Créer une unité d'organisation

Dans cet exercice, vous créez une unité d'organisation.
Pour créer une unité d'organisation

1. S'il n'est pas déjà ouvert, lancez l'Éditeur ADSI ADAM, puis connectez-vous à la
partition d'annuaire d'applications o=Microsoft,c=FR, comme décrit dans la procédure
« Pour établir une liaison à une instance ADAM, afficher cette instance et parcourir
son arborescence par le biais de l'Éditeur ADSI ADAM » de la section Utilisation des
outils d'administration ADAM.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
O=Microsoft,c=FR, pointez sur Nouveau, puis sur Objet. La boîte de dialogue
Créer un objet correspond à l'illustration suivante :
3. Dans la liste Sélectionnez une classe, cliquez sur organizationalUnit, puis cliquez
sur Suivant.
4. Dans le champ Valeur, tapez Utilisateurs ADAM, puis cliquez sur Suivant.
5. Dans la page qui s'affiche, vous pouvez cliquer sur Plus d'attributs pour modifier
d'autres attributs de l'objet que vous créez. Pour cet exercice, cliquez seulement sur
Terminer.
6. Dans l'arborescence de la console, double-cliquez sur O=Microsoft,c=FR. Le
composant logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :
Étape 2 : Créer un groupe

Dans cet exercice, vous créez un groupe dans l'unité d'organisation.
Pour créer un groupe dans une unité d'organisation

1. Dans l'arborescence de la console, cliquez avec le bouton droit sur OU=Utilisateurs
ADAM, pointez sur Nouveau, puis cliquez sur Objet.
2. Dans la zone Sélectionnez une classe, cliquez sur group, puis sur Suivant.
3. Dans le champ Valeur, tapez Testeurs ADAM, puis cliquez sur Suivant.
4. Dans le champ Valeur, tapez 2147483650 (l'équivalent de la valeur hexadécimale
0x80000002 représentant un groupe de compte), cliquez sur Suivant, puis sur
Terminer.
Remarques
Pour plus d'informations sur l'attribut groupType, voir « Group-Type »
(éventuellement en anglais) sur le site Web de Microsoft
(http://go.microsoft.com/fwlink?linkid=51093).
Le composant logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :
Étape 3 : Créer un utilisateur ADAM

Dans cet exercice, vous créez un utilisateur ADAM dans l'unité d'organisation Utilisateurs
ADAM, puis vous ajoutez cet utilisateur au groupe Testeurs ADAM.
Remarques
Le nouveau compte d'utilisateur est désactivé par défaut puisqu'il n'est doté
d'aucun mot de passe associé.
Pour créer un utilisateur ADAM

1. S'il n'est pas déjà ouvert, lancez l'Éditeur ADSI ADAM.
2. Connectez-vous et établissez une liaison à votre instance ADAM, comme décrit dans
la procédure « Pour établir une liaison à une instance ADAM, afficher cette instance
et parcourir son arborescence par le biais de l'Éditeur ADSI ADAM » de la section
Utilisation des outils d'administration ADAM. Ensuite, dans l'arborescence de la
console, double-cliquez sur l'instance ADAM.
3. Double-cliquez sur la partition d'annuaire d'applications O=Microsoft,c=FR.
4. Cliquez avec le bouton droit sur le conteneur OU=Utilisateurs ADAM créé
précédemment, pointez sur Nouveau, puis cliquez sur Objet.
5. Dans la zone Sélectionnez une classe, cliquez sur user, puis sur Suivant.
Remarques
Si vous n'avez pas fermé l'Éditeur ADSI ADAM avant d'importer les
définitions des objets de la classe utilisateur Adamuser.ldf, le message
d'avertissement suivant peut s'afficher au cours de l'opération : « Un chemin
d'accès au répertoire non valide a été transmis. »
6. Dans la zone Valeur, tapez Mary Baker, comme nom (cn) du nouvel utilisateur, tel
qu'illustré ci-dessous, puis cliquez sur Suivant.
7. Cliquez sur Terminer. Le composant logiciel enfichable Éditeur ADSI ADAM

ressemble à ceci :
Étape 4 : Ajouter un utilisateur à un groupe

Vous pouvez aussi bien ajouter des utilisateurs ADAM que des utilisateurs Windows aux
groupes ADAM si vous suivez la procédure décrite dans cet exercice. Vous ajoutez tout
d'abord Mary Baker, l'utilisateur que vous venez de créer, au groupe des testeurs ADAM.
Pour ajouter un utilisateur à un groupe

1. Dans le volet d'informations de l'Éditeur ADSI ADAM, cliquez avec le bouton droit sur
CN=Testeurs ADAM, puis cliquez sur Propriétés. La boîte de dialogue Propriétés
de CN=Testeurs ADAM ressemble à l'illustration suivante :
2. Dans la zone Attributs, cliquez sur Member, puis sur Modifier.

3. Cliquez sur Ajouter le compte ADAM, tapez les informations suivantes en guise de
nom unique, puis cliquez sur OK :
CN=Mary Baker,OU=Utilisateurs ADAM,O=Microsoft,C=FR
La boîte de dialogue Éditeur de nom unique à valeurs multiples avec éditeur de
principal de sécurité ressemble à l'illustration suivante :
4. Vous pouvez également ajouter des utilisateurs Windows à un groupe ADAM. Dans
la boîte de dialogue Éditeur de nom unique à valeurs multiples avec éditeur de
principal de sécurité, cliquez sur Ajouter un compte Windows. La boîte de
dialogue Sélectionner les utilisateurs, les ordinateurs ou les groupes correspond
à l'illustration suivante :
5. Dans la boîte de dialogue Sélectionnez les utilisateurs, les ordinateurs ou les

groupes, ajoutez un utilisateur Windows depuis votre ordinateur ou votre domaine
au groupe des testeurs ADAM. Dans la zone Entrez les noms des objets à
sélectionner (exemples), tapez un nom de compte en respectant le format
ordinateur\compte ou domaine\compte.
6. Cliquez sur OK. Le nouveau nom d'utilisateur s'affiche dans la boîte de dialogue
Éditeur de nom unique à valeurs multiples avec éditeur de principal de sécurité
en tant que membre du groupe.
7. Cliquez deux fois sur OK pour revenir à l'Éditeur ADSI ADAM.
Désactivation et activation des comptes

d'utilisateurs ADAM
Vous pouvez désactiver et activer des comptes d'utilisateurs ADAM par le biais du
composant logiciel enfichable Éditeur ADSI ADAM. Au cours de cet exercice, vous
commencez par désactiver le compte Mary Baker, pour ensuite l'activer de nouveau.
Pour désactiver ou activer un compte d'utilisateur ADAM

1. Dans l'Éditeur ADSI ADAM, connectez-vous et établissez une liaison à une instance
ADAM, comme décrit dans la procédure « Pour établir une liaison à une instance
ADAM, afficher cette instance et parcourir son arborescence par le biais de l'Éditeur
ADSI ADAM » de la section Utilisation des outils d'administration ADAM.
2. Dans l'arborescence de la console, double-cliquez sur la partition d'annuaire
d'applications O=Microsoft,c=FR.
3. Dans l'arborescence de la console, cliquez sur le conteneur OU=Utilisateurs ADAM.
4. Dans le volet d'informations, cliquez avec le bouton droit sur CN=Mary Baker, puis
cliquez sur Propriétés.
5. Dans la zone Attributs, cliquez sur msDS-UserAccountDisabled, puis sur
Modifier.
6. Cliquez sur Vrai, puis sur OK. Le compte Mary Baker est désormais désactivé.
7. Pour activer de nouveau le compte Mary Baker, modifiez une nouvelle fois msDS-
UserAccountDisabled en définissant cette fois-ci l'attribut sur Faux.
Gestion des partitions d'annuaire dans

ADAM
Les exercices suivants permettent de se familiariser avec un outil d'administration ADAM
supplémentaire, Ldp.exe. Il est installé avec le jeu d'outils d'administration ADAM. Dans
ces exercices, vous utilisez Ldp pour vous connecter et établir une liaison à une instance
ADAM puis, toujours au moyen de cet outil, vous ajoutez et supprimez une partition
d'annuaire d'applications. (Souvenez-vous, vous avez également la possibilité de créer
cette partition par le biais de l'Assistant Installation de Active Directory en mode
application.)
Connexion et liaison à une instance ADAM à

l'aide de Ldp.exe
Pour commencer cet exercice, connectez-vous et établissez une liaison à votre instance
ADAM au moyen de Ldp.exe.
Pour se connecter et établir une liaison à une instance ADAM au moyen de

Ldp.exe
2. À l'invite de commandes, tapez ldp, puis appuyez sur Entrée.
3. Dans le menu Connection, cliquez sur Connect.
4. Dans le champ Server, tapez le nom de l'hôte ou le nom DNS de l'ordinateur qui
exécute ADAM. Lorsque l'instance ADAM est exécutée localement, vous pouvez
également taper localhost.
5. Dans la zone Port, indiquez le numéro du port de communication LDAP ou SSL de
l'instance ADAM à laquelle vous voulez vous connecter, puis cliquez sur OK.
6. Dans le menu Connection, cliquez sur Bind.

7. Effectuez l'une des actions suivantes :

 Pour établir une liaison par le biais des informations d'identification avec
lesquelles vous vous êtes connecté, cliquez sur Bind as currently logged on
user.
 Pour établir une liaison à l'aide d'un compte d'utilisateur de domaine, cliquez sur
Bind using credentials,tapez le nom d'utilisateur, le mot de passe et le nom de
domaine (ou le nom de l'ordinateur si vous utilisez un compte de station de travail
locale) du compte que vous utilisez, puis cliquez sur OK, comme indiqué dans
l'illustration suivante.
 Pour établir une liaison en utilisant uniquement un nom d'utilisateur et un mot de

passe, cliquez sur Simple bind, tapez le nom de l'utilisateur et le mot de passe
du compte dont vous vous servez, puis cliquez sur OK.
 Pour établir une liaison via une méthode avancée (NTLM, DPA, negotiate ou
digest), cliquez sur Advanced (méthode), puis sur Advanced. Dans la zone
Method, sélectionnez la méthode de votre choix, définissez au besoin d'autres
options, puis cliquez deux fois sur OK.
8. Une fois la définition des options de liaison terminée, cliquez sur OK.
Ajout d'une partition d'annuaire d'applications

Vous pouvez à présent ajouter une partition d'annuaire d'applications.
Pour ajouter une partition d'annuaire d'applications à l'aide de Ldp.exe

1. Dans le menu Browse de Ldp, cliquez sur Add child.
2. Dans la zone Dn, tapez cn=test,o=partitiontest,c=fr comme nom unique pour la

nouvelle partition d'annuaire d'applications.
3. Dans le groupe d'options Edit Entry, indiquez les informations suivantes, puis
cliquez sur Enter.
 Dans le champ Attribute, tapez ObjectClass.
 Dans le champ Values, tapez container.
cliquez sur Enter.
 Dans le champ Attribute, tapez InstanceType.
 Dans le champ Values, tapez 5.
La boîte de dialogue Add correspond à l'illustration suivante :
5. Cliquez sur Run. Une fois la nouvelle partition d'annuaire d'applications ajoutée, le
résultat suivant s'affiche dans le volet d'informations :
***Calling Add...
ldap_add_s(ld, "cn=test,o=testpartition,c=us", [2] attrs)
Added {cn=test,o=testpartition,c=us}.
6. Cliquez sur Close.

7. Pour actualiser l'outil Ldp et afficher votre nouvelle partition d'annuaire d'applications,
vous devez vous déconnecter, puis établir de nouveau une liaison à l'instance
ADAM. Dans le menu Connection, cliquez sur Disconnect.
8. Rétablissez la liaison à votre instance ADAM. Dans le menu Connection, cliquez sur
Bind.
9. Pour afficher l'arborescence des répertoires dans Ldp, dans le menu View, cliquez
sur Tree.
10. Pour afficher toutes les partitions d'annuaire dans l'instance ADAM, laissez la zone
BaseDN vide, puis cliquez sur OK. La fenêtre Ldp ressemble à ceci :
11. Pour afficher la nouvelle partition d'annuaire avec ses objets et ses conteneurs par
défaut, dans l'arborescence de la console, double-cliquez sur
CN=test,O=partitiontest,C=FR. La fenêtre Ldp ressemble à ceci :
Suppression d'une partition d'annuaire

d'applications
Dans cet exercice, vous supprimez la partition d'annuaire d'applications que vous venez
de créer.
Pour supprimer une partition d'annuaire d'applications à l'aide de Ldp.exe

1. Dans l'arborescence de la console Ldp, double-cliquez sur la partition d'annuaire de
configuration CN=Configuration,CN={GUID}, sachant que GUID est l'identificateur
unique qui est attribué par ADAM.
2. Pour afficher les objets de référence croisée des partitions d'annuaire sur votre
instance ADAM, dans l'arborescence de la console, double-cliquez sur le conteneur
de partitions CN=Partitions. La fenêtre Ldp ressemble à ceci :
3. Dans l'arborescence de la console, sous le conteneur de partitions CN=Partitions,

double-cliquez sur l'objet de référence croisée pour lequel la valeur de nCName (tel
qu'affichée dans le volet d'informations) est égale à CN=test,O=partitiontest,C=FR,
comme montré dans l'illustration suivante :
Remarques
Pour effacer le contenu du volet d'informations de Ldp sans perturber votre
liaison ou votre connexion, dans le menu Connection, cliquez sur New.
4. Pour supprimer cet objet de référence croisée (et, par conséquent, la partition
d'annuaire associée), dans l'arborescence de la console, cliquez avec le bouton droit
sur l'objet concerné dans le conteneur de partitions, cliquez sur Delete, puis sur OK.
Attention
Il est impossible d'annuler la suppression d'une partition après avoir cliqué

sur OK.
Suite à la suppression de l'objet de référence croisée, le résultat qui s'affiche dans le
volet d'informations doit ressembler à ceci :
ldap_delete_s(ld, "CN=56c5aea2-5cb1-450a-96f0-
5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-
DCBBEE6E08B1}");
Deleted "CN=56c5aea2-5cb1-450a-96f0-
5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-
DCBBEE6E08B1}"
Remarques
Pour plus d'informations sur l'outil Ldp, voir l'Aide ADAM. Pour afficher cette aide,
cliquez sur Aide ADAM.
Gestion des autorisations dans ADAM

Les autorisations font référence au processus qui détermine l'accès des utilisateurs aux
objets d'annuaire. À l'instar d'Active Directory, les listes de contrôle d'accès, ou ACL
(Access Control Lists), de chaque objet d'annuaire précisent les utilisateurs qui ont
l'autorisation d'accéder à un objet particulier. Par défaut, les seules listes ACL présentes
dans ADAM se trouvent dans le conteneur de premier niveau de chaque partition
d'annuaire. Tout objet d'une partition d'annuaire donnée hérite de ces ACL. Grâce à l'outil
de ligne de commande Dsacls.exe, vous pouvez afficher et modifier les listes ACL par
défaut dans ADAM ou en ajouter de nouvelles. Dans les exercices suivants, vous
affichez et modifiez les listes ACL d'ADAM
Remarques
Certaines de vos applications qui utilisent des annuaires peuvent mettent en
œuvre leurs propres modèles d'autorisations personnalisés. En règle générale,
ces applications ignorent les listes ACL sur les objets d'annuaire ADAM.
Affichage des autorisations effectives

Dans cet exercice, vous consultez les autorisations effectives sur la partition
o=Microsoft,c=FR.
Pour afficher des autorisations effectives

dsacls \\nomserveur:numéroport\O=Microsoft,C=FR
communication LDAP de votre instance ADAM.
Cette commande liste toutes les autorisations actuellement définies sur l'objet partition
d'annuaire. Les résultats affichés à l'écran doivent ressembler à ceci :
Access list:
Effective Permissions on this object are:
Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-
C3BEC88B335E}
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Readers,CN=Roles,O=Microsoft,C=US
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Allow CN=Administrators,CN=Roles,O=Microsoft,C=US
FULL CONTROL
C3BEC88B335E}
Replicating Directory Changes
C3BEC88B335E}
Replication Synchronization
C3BEC88B335E}
Manage Replication Topology
C3BEC88B335E}
Replicating Directory Changes All
Permissions inherited to subobjects are:

Inherited to all subobjects
SPECIAL ACCESS
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
FULL CONTROL
The command completed successfully
Octroi d'autorisations
Dans cet exercice, vous accordez au compte Mary Baker l'autorisation de suppression
sur l'objet groupe des testeurs ADAM.
Pour accorder l'autorisation de suppression

dsacls “\\nomserveur:numéroport\CN=Testeurs ADAM,OU=Utilisateurs
ADAM,O=Microsoft,C=FR” /G “CN=Mary Baker,OU=Utilisateurs
ADAM,O=Microsoft,C=FR”:SD;;
communication LDAP de votre instance ADAM. Faites attention à bien utiliser les
guillemets anglais, ainsi que la lettre majuscule G lorsque vous tapez le paramètre
/G, comme indiqué.
Les résultats affichés à l'écran doivent ressembler à ceci :

Access list:
Allow CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US
SPECIAL ACCESS
DELETE
SPECIAL ACCESS <Inherited from parent>
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
FULL CONTROL <Inherited from parent>

READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Refus d'autorisations
Dans cet exercice, vous refusez d'accorder des autorisations de suppression à
l'utilisateur actuellement connecté dans le groupe des testeurs ADAM. Vous procédez en
deux étapes :
 Refuser l'octroi des autorisations de suppression sur le conteneur parent du groupe
des testeurs ADAM
 Refuser l'octroi des autorisations de suppression sur le groupe lui-même
Pour refuser d'accorder des autorisations de suppression sur le conteneur

parent d'un groupe
1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis
cliquez sur Invite de commande des outils ADAM.
2. Pour refuser d'accorder les autorisations Supprimer, Supprimer un enfant et
Supprimer l'arborescence sur le conteneur parent du groupe des testeurs ADAM,
autrement dit sur l'unité d'organisation des utilisateurs ADAM. À l'invite de
commandes, tapez :
dsacls “\\nomserveur:numéroport\OU=Utilisateurs ADAM,O=microsoft,C=FR”
/D domaine\administrateur:SDDCDT;;
sachant que nomserveur:numéroport représente le nom de l'ordinateur et le port
de communication LDAP de votre instance ADAM, et domaine\administrateur le
compte via lequel vous êtes actuellement connecté. Faites attention à bien
utiliser les guillemets anglais, ainsi que la lettre majuscule D lorsque vous tapez
le paramètre /D, comme indiqué.

Access list:
Deny domain\account SPECIAL ACCESS
DELETE
DELETE CHILD
DELETE TREE
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT

READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Pour refuser d'accorder des autorisations de suppression sur le groupe

2. Pour refuser d'accorder à l'utilisateur actuellement connecté l'autorisation de
suppression sur le groupe des testeurs ADAM, à l'invite de commandes, tapez :
dsacls “\\nomserveur:numéroport\CN=Testeurs ADAM,OU=Utilisateurs
ADAM,O=microsoft,C=FR” /D domaine\administrateur:SDDCDT;;
sachant que nomserveur:numéroport représente le nom de l'ordinateur et le port
de communication LDAP de votre instance ADAM, et domaine\administrateur le
compte via lequel vous êtes actuellement connecté. Faites attention à bien
utiliser les guillemets anglais, ainsi que la lettre majuscule D lorsque vous tapez
le paramètre /D, comme indiqué.

Access list:
Deny domain\account SPECIAL ACCESS
DELETE
READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT

READ PERMISSONS
LIST CONTENTS
READ PROPERTY
LIST OBJECT
Gestion de l'authentification dans ADAM

Grâce à ADAM, vous pouvez établir une liaison en tant qu'entité de sécurité Windows, en
tant qu'entité de sécurité ADAM ou établir cette liaison par l'intermédiaire d'un objet proxy
ADAM. Dans les exercices ci-dessous, vous allez effectuer les opérations suivantes :
 Établir une liaison en tant qu'entité de sécurité Windows.
 Définir un mot de passe pour le compte d'utilisateur ADAM, Mary Baker, que vous
avez créé précédemment.
 Établir une liaison en tant qu'entité de sécurité ADAM.
 Établir une liaison par l'intermédiaire d'un objet proxy ADAM.
Par ailleurs, vous testez les autorisations que vous avez définies à l'aide de l'outil de
ligne de commande Dsacls.exe dans les exercices de la section Gestion des
autorisations dans ADAM.
Liaison en tant qu'entité de sécurité Windows

Dans cet exercice, vous établissez une liaison à une instance ADAM en tant qu'entité de
sécurité Windows, puis testez cette liaison.
Pour établir une liaison en tant qu'entité de sécurité Windows et la tester

cliquez sur Éditeur ADSI ADAM.
2. À l'aide de l'Éditeur ADSI ADAM, établissez une liaison à votre instance ADAM
par l'intermédiaire de l'entité de sécurité Windows avec laquelle vous avez ouvert
une session et connectez-vous à la partition d'annuaire O=Microsoft,c=FR.

3. Dans le volet d'informations, parcourez l'arborescence jusqu'au groupe des
testeurs ADAM pour lequel vous avez refusé l'autorisation de suppression sur
votre compte Windows actuel.
4. Cliquez avec le bouton droit sur le groupe des testeurs ADAM, puis cliquez sur
Supprimer. Le message « Accès refusé » s'affiche, confirmant que l'autorisation
de suppression est bien refusée à votre compte Windows.
Définition du mot de passe d'un utilisateur

ADAM
Avant de vous connecter à l'instance ADAM par le biais du compte d'utilisateur Mary
Baker, vous devez tout d'abord définir un mot de passe pour ce compte.
Remarques
Outre l'utilisation de l'outil Ldp comme décrit dans cette procédure, vous pouvez
également recourir à l'Éditeur ADSI ADAM pour définir ou modifier les mots de
passe : cliquez avec le bouton droit sur l'objet d'annuaire représentant l'entité de
sécurité ADAM dans l'Éditeur, puis cliquez sur Réinitialiser le mot de passe.
Pour définir un mot de passe sur un compte d'utilisateur ADAM

2. À l'invite de commande, tapez ldp, puis appuyez sur Entrée.
3. Dans le menu Connection, cliquez sur Connect, puis connectez-vous à votre
instance ADAM.
4. Dans le menu Options, cliquez sur ConnectionOptions.
5. Dans la zone Option Name, cliquez sur LDAP_OPT_SIGN, dans le champ
Value, tapez 1 puis cliquez sur Set.
6. Dans la zone Option Name, cliquez sur LDAP_OPT_ENCRYPT, puis dans le
champ Value, tapez 1 et cliquez sur Set.
7. Dans le menu Connection, cliquez sur Bind, puis établissez une connexion à
votre instance ADAM.
8. Dans le menu View, cliquez sur Tree, laissez la zone BaseDN vide, puis cliquez
sur OK.
9. Dans l'arborescence de la console, repérez la partition d'annuaire
O=Microsoft,c=FR. Double-cliquez sur O=Microsoft,C=FR, puis sur
OU=Utilisateurs ADAM,O=Microsoft,C=FR.
10. Cliquez avec le bouton droit de la souris sur l'objet utilisateur CN=Mary Baker,
puis cliquez sur Modify. La boîte de dialogue suivante s'affiche :
11. Dans le champ Attribute, tapez userpassword, puis dans Values, indiquez un
mot de passe pour le compte.
12. Cliquez sur Enter, puis sur Run. Les résultats affichés dans le volet
d'informations de Ldp doivent ressembler à ce qui suit :
***Call Modify...
ldap_modify_s(ld, 'CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US',[1]
attrs);
Modified "CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US".
Remarques
Lorsque ADAM s'exécute sur un ordinateur équipé d'une version de
Windows Server 2003, il respecte la stratégie de mot de passe et les
paramètres de verrouillage des comptes de l'ordinateur, de l'unité
d'organisation ou du domaine qui est déclaré effectif.
Liaison en tant qu'entité de sécurité ADAM

Dans cet exercice, vous établissez une liaison à une instance ADAM en tant qu'entité de
sécurité ADAM, puis testez cette liaison.
Pour établir une liaison en tant qu'entité de sécurité ADAM et la tester

1. À l'aide de l'outil Ldp, établissez une liaison à votre instance ADAM au moyen de
CN=Mary Baker,OU=Utilisateurs ADAM,O=Microsoft,C=FR en guise de compte,
et du mot de passe que vous venez d'attribuer à ce compte.
2. Pour confirmer votre connexion via le compte Mary Baker et vérifier que
l'autorisation de suppression accordée précédemment est bien respectée, dans
l'arborescence de la console Ldp, repérez le groupe des testeurs ADAM et
supprimez-le. Pour supprimer ce groupe, cliquez avec le bouton droit sur l'objet
CN=Testeurs ADAM, puis cliquez sur Delete.
Remarques
Par défaut, les nouveaux utilisateurs ADAM (tels que Mary Baker) se
voient accorder l'accès en lecture au conteneur de premier niveau d'une
partition d'annuaire donnée ; cette autorisation est transmise par héritage
à tous les objets sur la partition. Mais, dans la mesure où vous avez
attribué explicitement l'autorisation de suppression à Mary Baker sur
l'objet groupe des testeurs ADAM, l'opération de suppression a réussi.
Pour plus d'informations sur le contrôle d'accès et les autorisations par
défaut dans ADAM, voir l'Aide ADAM. Pour afficher cette aide, cliquez
sur Démarrer, pointez sur Tous les programmes, sur ADAM, puis
Liaison par l'intermédiaire d'un objet proxy

ADAM
Outre la possibilité d'établir une liaison en tant qu'utilisateur Windows ou utilisateur
ADAM, vous pouvez établir une liaison à une instance ADAM au moyen de la redirection
de liaison ADAM. Lorsque vous utilisez cette fonction de redirection, ADAM peut
accepter et traiter les demandes de liaison à un objet proxy ADAM qui compte, parmi ses
attributs, l'identificateur de sécurité,ou SID (Security ID), provenant d'une entité de
sécurité Active Directory. Grâce à ADAM, vous pouvez utiliser la redirection de liaison
pour fournir aux utilisateurs Active Directory un accès aux données ADAM et aux
données Active Directory en vous servant des informations d'identification de domaine
Active Directory en guise d'authentification unique (SSO). Par ailleurs, vous pouvez avoir
recours à des objets proxy ADAM pour stocker des données utilisateur spécifiques à une
application particulière dans ADAM, tandis que vous utilisez Active Directory pour
stocker des données d'annuaire dont le champ d'utilisation est plus large.
La redirection de liaison permet à un utilisateur d'établir une liaison à ADAM par le biais
d'une liaison simple tout en continuant d'utiliser des informations d'identification Active
Directory. D'autres types de liaisons autorisés avec les informations d'identification Active
Directory sont possibles sans passer par un proxy, mais ce n'est pas le cas d'une liaison
simple. La liaison par proxy fonctionne uniquement pour une liaison simple.
Les fichiers .ldf d'ADAM, importables dans le schéma ADAM au cours de l'installation de
Active Directory en mode application, contiennent une définition d'objet pour l'objet
userProxy qu'il est possible d'utiliser dans le cadre de la redirection de liaison. Cet objet
est doté d'attributs qui englobent un nom unique et un SID. Si, dans ADAM, vous créez
un objet userProxy en indiquant un nom unique à utiliser pour la liaison et que vous
utilisez un SID valide à partir d'un compte d'utilisateur Active Directory, vous pouvez
établir des liaisons à ADAM au moyen de la redirection de liaison. Pour plus
d'informations sur l'authentification ADAM, voir l'article consacré à « Active Directory en
mode application » (éventuellement en anglais) publié comme référence technique sur le
site Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=51640).
Pour les exercices suivants, il est entendu que vous avez déjà importé les classes
utilisateur facultatives dans le schéma ADAM.
Sécurité et liaison des objets proxy ADAM

Par défaut, l'établissement d'une liaison à ADAM via la redirection de liaison nécessite
une connexion SSL. La technologie SSL implique l'installation et l'utilisation de certificats
sur l'ordinateur exécutant ADAM et sur l'ordinateur connecté à ADAM en tant que client.
Si aucun certificat n'est installé dans votre environnement de test ADAM, vous pouvez, le
cas échéant, désactiver l'option requérant l'utilisation du protocole SSL, tel que décrit
dans la procédure suivante.
Remarques
Le fait de désactiver l'utilisation du protocole SSL pour la redirection de liaison
permet la transmission, sans chiffrement préalable, du mot de passe d'une entité
de sécurité Windows à l'ordinateur exécutant ADAM. Il est donc conseillé de
désactiver l'option SSL uniquement dans un environnement de test.
Pour désactiver l'utilisation du protocole SSL lors de la redirection de liaison

1. Comme décrit dans la procédure « Pour établir une liaison à une instance
ADAM, afficher cette instance et parcourir son arborescence par le biais de
l'Éditeur ADSI ADAM », connectez-vous en vue d'établir une liaison à votre
instance ADAM par l'intermédiaire de l'Éditeur ADSI ADAM puis, dans
l'arborescence de la console, recherchez l'objet conteneur suivant dans la

partition de configuration : CN=Directory Service,CN=Windows NT,CN=Services.
2. Cliquez avec le bouton droit de la souris sur CN=Directory Service, puis cliquez
sur Propriétés.
3. Dans la zone Attributs, cliquez sur msDS-Other-Settings, puis sur Modifier.
4. Dans la zone Valeurs, cliquez sur RequireSecureProxyBind=1, puis sur
Supprimer.
5. Dans le champ Valeur à ajouter, tapez RequireSecureProxyBind=0, cliquez
sur Ajouter, puis sur OK.
Création d'un objet proxy ADAM puis d'une liaison par le

biais de cet objet
Dans ces exercices, vous créez un objet proxy pour un utilisateur Active Directory et
vous établissez une liaison à ADAM par l'intermédiaire de cet objet.
Pour établir une liaison à ADAM par le biais d'un objet proxy ADAM
1. Comme décrit précédemment dans la procédure « Pour se connecter et établir
une liaison à une instance ADAM au moyen de Ldp.exe », connectez-vous en
vue d'établir une liaison à votre instance ADAM par le biais de l'outil Ldp, puis
recherchez le conteneur O=Microsoft,C=FR.
2. Dans le menu Ldp Browse, cliquez sur Add child.
3. Dans le champ Dn, tapez cn=proxytest,o=microsoft,c=fr comme nom unique
pour le nouvel objet userProxy à créer dans le conteneur O=Microsoft,C=FR.
cliquez sur Enter.
 Dans le champ Attribute, tapez ObjectClass.
 Dans le champ Values, tapez userProxy.
5. Toujours dans le groupe d'options Edit Entry, indiquez les informations
suivantes, puis cliquez sur Enter :
 Dans le champ Attribute, tapez objectSID
 Dans le champ Values, tapez le SID valide d'un utilisateur dans Active
Directory.
Le répertoire \LABS_DEMO\LABS\bindredirect du mode ADAM téléchargé
contient deux commandes issues du Pack des outils d'administration de
Windows Server 2003, Dsquery.exe et Dsget.exe. Elles permettent de
récupérer le SID d'un utilisateur Active Directory. Vous pouvez les exécuter
sur un ordinateur Windows Server 2003.

Pour récupérer le SID d'un utilisateur Active Directory par le biais de ces
commandes, tapez la ligne suivante (comme commande unique) à partir de
l'invite de commandes :
dsquery user -samid domaine\compte | dsget user -sid
sachant que domaine\compte représente l'utilisateur dont vous voulez
récupérer le SID. Dans cette commande, les résultats de Dsquery sont
envoyés vers Dsget.
Vous pouvez extraire le SID de l'utilisateur actuellement connecté sur un
ordinateur qui exécute Windows Server 2003 en tapant la ligne suivante à
partir de l'invite de commandes :
whoami /user
(Certaines versions de whoami respectent la syntaxe whoami /utilisateur
/sid.)
6. Cliquez sur Run. L'objet userProxy, doté des attributs que vous avez spécifiés,
est ainsi ajouté au magasin d'annuaire ADAM.
7. Pour vous déconnecter de votre instance ADAM, dans le menu Connection
cliquez sur Disconnect.
À présent, vous pouvez établir une liaison à votre instance ADAM par le biais de l'objet
proxy ADAM et de la redirection de liaison.
Pour établir une liaison en tant qu'objet proxy ADAM via la redirection de
liaison
1. Dans le menu Connection, cliquez sur Connect, puis connectez-vous à votre
instance ADAM en utilisant une nouvelle connexion.
2. Dans le menu Options, cliquez sur ConnectionOptions.
3. Dans la zone Option Name, cliquez sur LDAP_OPT_SIGN, dans le champ
Value, tapez 1 puis cliquez sur Set.
4. Dans la zone Option Name, cliquez sur LDAP_OPT_ENCRYPT, puis dans le
champ Value, tapez 1 et cliquez sur Set, puis sur Close.
5. Pour rétablir une liaison à votre instance ADAM par le biais de Ldp, dans le
menu Connection cliquez sur Bind.
6. Dans la zone User, tapez :
cn=proxytest,o=Microsoft,c=fr
Il s'agit de l'objet proxy que vous venez de créer.
7. Vérifiez que l'option Domain n'est pas sélectionnée.
8. Dans le champ Password, indiquez le mot de passe associé à l'utilisateur Active

Directory que vous avez spécifié à l'étape 5 de la procédure précédente, puis
cliquez sur OK.
Démonstration de la fonctionnalité de l'objet proxy ADAM

Par défaut, un utilisateur Windows qui établit une liaison à une instance ADAM est affilié
uniquement aux groupes ADAM dans lesquels il a été ajouté explicitement en tant que
membre. Lorsque cet utilisateur établit une liaison à une instance ADAM par le biais d'un
objet proxy, il est affilié au groupe Utilisateurs de chaque contexte d'attribution de noms
détenu par l'instance ADAM.
Vous pouvez utiliser cette différence au niveau des appartenances de groupe pour faire
ressortir la différence fonctionnelle qui existe entre la liaison à une instance ADAM en
tant qu'utilisateur Windows et la liaison à une instance ADAM par le biais d'un objet
proxy. L'exercice suivant illustre cette différence.
Pour démontrer le comportement d'une liaison à ADAM par le biais d'un objet
proxy
1. Dans la partition d'annuaire O=Microsoft,C=FR, ajoutez le groupe Utilisateurs
comme membre du groupe Lecteurs en suivant les indications générales sur
l'ajout de membres à des groupes, tel que décrit précédemment dans la
procédure « Pour ajouter un utilisateur à un groupe ».
2. Établissez une liaison à votre instance ADAM (par le biais de l'outil Ldp ou de
l'Éditeur ADSI ADAM) en tant qu'utilisateur Active Directory (et non pas comme
administrateur ADAM puisqu'il bénéficie de l'accès total à toutes les partitions par
défaut).
3. Essayez de lire un objet dans la partition d'annuaire O=Microsoft,C=FR. Votre
tentative est vouée à l'échec puisque par défaut, l'utilisateur Active Directory n'a
pas accès à la partition.
4. Établissez une liaison à votre instance ADAM (par le biais de l'outil Ldp ou de
l'Éditeur ADSI ADAM) par l'intermédiaire de l'objet proxy que vous avez créé.
5. Essayez de lire un objet dans la partition d'annuaire O=Microsoft,C=FR. Cette
fois-ci, votre tentative sera couronnée de succès puisque les utilisateurs
établissant une liaison à une instance ADAM via un objet proxy sont affiliés
automatiquement au groupe Utilisateurs. Comme vous avez ajouté le groupe
Utilisateurs au groupe Lecteurs à l'étape 1 de cette procédure, la liaison à
l'instance ADAM par le biais de l'objet proxy vous permet de lire la partition sans
aucune difficulté.
Remarques
Pour plus d'informations sur la redirection de liaison, voir l'Aide ADAM.

Pour afficher cette aide, cliquez sur Démarrer, pointez sur Tous les
programmes, sur ADAM, puis cliquez sur Aide ADAM. Pour plus
d'informations sur l'administration des objets proxy au moyen de
programmes, voir Administration d'ADAM par programme plus loin dans
ce guide.
Sauvegarde et restauration d'Active

Directory en mode application (ADAM)
Dans les exercices suivants, vous commencez par sauvegarder votre instance ADAM,
puis vous supprimez complètement ADAM de l'ordinateur pour finalement restaurer cette
instance ADAM sur le système.
Sauvegarde d'une instance ADAM

Dans cet exercice, vous sauvegardez votre instance ADAM.
Pour sauvegarder une instance ADAM

1. Cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires et sur
Outils système, puis cliquez sur Utilitaire de sauvegarde.
2. Dans l'Assistant Sauvegarde ou Restauration, cliquez sur le lien Mode avancé.
3. Cliquez sur l'onglet Sauvegarder puis, dans le menu Tâche, cliquez sur Nouveau.
4. Activez la case à cocher en regard du dossier de votre instance ADAM qui se
nomme, par défaut, %programfiles%\Microsoft\ADAM\instance1.
5. Pour sauvegarder les fichiers ADAM dans un fichier, repérez la zone Effectuer la
sauvegarde vers et cliquez sur Fichier. (Si l'ordinateur n'est pas équipé de lecteur
de bandes, l'option Fichier est sélectionnée par défaut.) Puis, dans la zone Nom du
fichier ou média de sauvegarde, tapez le chemin et le nom du fichier de
sauvegarde (.bkf). À présent, les résultats affichés à l'écran doivent ressembler à
ceci :
6. Cliquez sur Démarrer, puis apportez les modifications voulues dans la boîte de
dialogue Informations sur la sauvegarde.
7. Pour définir les options avancées de sauvegarde telles que la vérification des
données ou la compression matérielle, dans la boîte de dialogue Informations sur
la sauvegarde, cliquez sur Avancé. Après avoir défini les options avancées de
sauvegarde, cliquez sur OK.
8. Cliquez sur Démarrer. Une fois la sauvegarde effectuée, fermez l'application.
Suppression d'une instance ADAM

Afin de simuler la perte accidentelle d'une instance, vous pouvez désinstaller votre
instance ADAM, ce qui supprime à la fois les fichiers programme et les fichiers de
données ADAM.
Pour désinstaller une instance ADAM

1. Cliquez sur Démarrer, pointez sur Panneau de configuration, cliquez ensuite sur
Ajout/Suppression de programmes, puis sur Instance ADAM instance1. S'il est
le premier élément de la liste, Instance ADAM instance1 est déjà sélectionné.

2. Cliquez sur Supprimer, puis sur Oui. Active Directory en mode application est à
présent supprimé de l'ordinateur.
Restauration d'une instance ADAM

Dans cet exercice, vous restaurez votre instance ADAM à partir du fichier de sauvegarde
créé au cours de l'exercice précédent.
Pour restaurer une instance ADAM

1. Créez une instance ADAM en suivant les étapes décrites dans la section Installation
d'ADAM. Utilisez les mêmes paramètres que ceux que vous avez choisis lors de
votre première installation ADAM à l'exception, dans ce cas précis, de la partition
d'annuaire d'applications que vous ne créez pas pendant l'installation. Vous pouvez
restaurer votre partition d'annuaire d'applications originale à partir de la sauvegarde
effectuée. Ainsi, dans la page Partition de l'annuaire d'applications de l'Assistant
Installation de Active Directory en mode application, cliquez sur Non, ne pas créer
de partition d'annuaire d'applications.
3. Dans l'Assistant Sauvegarde ou Restauration, cliquez sur le lien Mode avancé.
4. Affichez l'onglet Restaurer et gérer le média. Pour sélectionner l'instance ADAM à
restaurer, dans le volet d'informations activez la case à cocher en regard du dossier
de l'instance1, comme indiqué dans l'illustration suivante :
5. Dans la zone Restaurer les fichiers vers, cliquez sur Emplacement d'origine.
6. Dans le menu Outils, cliquez sur Options, affichez l'onglet Restaurer, cliquez sur
Toujours remplacer les fichiers sur mon ordinateur, puis sur OK.
7. Cliquez sur Démarrer.
8. Si vous recevez un message vous demandant de redémarrer votre ordinateur,
cliquez sur Oui.
9. Une fois la sauvegarde restaurée, fermez l'application.
10. Pour vérifier si les données provenant de votre instance ADAM originale sont bien
restaurées, utilisez l'Éditeur ADSI ADAM qui permettra de confirmer la restauration
de la partition d'annuaire O=Microsoft,C=FR ainsi que la présence de
OU=Utilisateurs ADAM et du compte d'utilisateur Mary Baker dans la partition.
Gestion des jeux de configuration

Dans les exercices suivants, vous créez de nouvelles instances en répliquant votre
instance ADAM existante. En procédant ainsi, vous créez également un jeu de
configuration ADAM. Les instances ADAM d'un jeu de configuration procèdent à la
réplication d'une partition de schéma et d'une partition de configuration communes, elles
peuvent également répliquer des partitions d'annuaire d'applications (comme
O=Microsoft,C=FR) entre elles.
Dans les exercices suivants, vous installez deux réplicas d'une instance ADAM existante.
Vous créez la première instance répliquée à l'aide de l'Assistant Installation de Active
Directory en mode application et créez la seconde par le biais de l'installation sans
assistance. Vous configurez ensuite la planification de la réplication pour votre jeu de
configuration.
Remarques
Dans un environnement de production, les instances ADAM qui appartiennent au
même jeu de configuration ne peuvent pas résider sur le même ordinateur.
Plusieurs instances ADAM peuvent s'exécuter sur un même ordinateur, mais
elles doivent faire partie de jeux de configuration différents. Toutefois, pour les
besoins du présent ouvrage, vous pouvez installer les réplicas de votre instance
ADAM sur un ordinateur unique si aucune autre machine n'est disponible.
Installation d'un réplica à l'aide de l'Assistant

Installation de Active Directory en mode
application
Vous pouvez installer un réplica d'une instance ADAM à l'aide de l'Assistant Installation
de Active Directory en mode application.
Pour installer un réplica d'une instance ADAM à l'aide de l'Assistant

Installation de Active Directory en mode application
1. Démarrez l'Assistant Installation de Active Directory en mode application sur votre
ordinateur, sur la seconde machine si vous en possédez deux : cliquez sur
Démarrer, pointez sur Tous les programmes, sur ADAM, puis cliquez sur Créer
une instance ADAM. Suivez les étapes de l'Assistant jusqu'à la page Options
d'installation.
2. Dans la page Options d'installation, cliquez sur Un réplica d'une instance
existante, puis sur Suivant.
3. Dans la page Nom de l'instance, acceptez le nom d'instance par défaut, instance2
(ou instance1, si vous installez ADAM sur un deuxième ordinateur), puis cliquez sur
Suivant.
Remarques
Les noms des instances ADAM doivent être uniques seulement si elles se
trouvent sur un même ordinateur.
4. Dans la page Ports, acceptez les valeurs par défaut 50000 et 50001 si vous
procédez à une installation sur un seul ordinateur, utilisez les valeurs 389 et 636 si
l'installation s'effectue sur le deuxième ordinateur. Cliquez ensuite sur Suivant.
5. Dans la page Joindre un jeu de configuration, dans le champ Serveur, tapez le
nom d'hôte ou le nom DNS de l'ordinateur où la première instance ADAM est
installée. Indiquez ensuite le numéro de port LDAP utilisé par la première instance
ADAM (par défaut, 389), puis cliquez sur Suivant.
Remarques
Vous devez utiliser un nom d'hôte ou un nom DNS valide, plutôt qu'une
adresse IP ou « localhost » lorsque vous indiquez un serveur dans la page
Joindre un jeu de configuration de l'Assistant Installation de Active
Directory en mode application.
6. Dans la page Informations d'identification administratives pour le jeu de
configuration, cliquez sur le compte utilisé en tant qu'administrateur ADAM pour
votre première instance ADAM.
7. Dans la page Copier la partition d'application, sélectionnez les partitions
d'annuaire d'applications que vous voulez répliquer sur la nouvelle instance ADAM.
(La réplication des partitions de schéma et de configuration est automatique.) Pour
sélectionner la partition d'annuaire O=Microsoft,C=FR en vue de sa réplication, dans
la zone Partitions disponibles, cliquez sur O=Microsoft,C=FR, puis sur Ajouter.
L'Assistant Installation de Active Directory en mode application doit ressembler
à ceci :
8. Cliquez sur Suivant.

9. Acceptez les valeurs par défaut dans toutes les autres pages de l'Assistant
Installation de Active Directory en mode application en cliquant sur Suivant. Cliquez
ensuite sur Terminer dans la dernière page pour lancer l'installation de l'Assistant.
10. Une fois l'installation terminée, utilisez l'Éditeur ADSI ADAM pour vérifier que la
réplication de la partition d'annuaire O=Microsoft,C=FR s'est déroulée correctement
sur votre seconde instance ADAM.
Installation d'un réplica à partir d'un média

par le biais de l'installation sans assistance
Outre l'utilisation de l'Assistant Installation de Active Directory en mode application, vous
avez également la possibilité d'installer un réplica d'une instance ADAM à partir d'un
média. Pour ce type d'installation, vous avez besoin de la copie restaurée d'une
sauvegarde ADAM comme média, et du mode d'installation sans assistance comme
méthode d'installation.
En premier lieu, restaurez la sauvegarde de l'instance ADAM sur un autre

emplacement que celui d'origine pour ne pas écraser votre première instance ADAM.
Créez ensuite un fichier de réponse et procédez à l'installation sans assistance.
Pour installer une instance ADAM répliquée par le biais de l'installation sans
assistance
2. Utilisez l'application de sauvegarde, comme vous le faites habituellement, pour
restaurer l'exemplaire sauvegardé de votre instance ADAM originale. Cette fois-ci,
cependant, dans la zone Restaurer les fichiers vers, cliquez sur l'option Autre
emplacement au lieu de choisir Emplacement d'origine, puis tapez ou recherchez
le chemin d'accès de la partition sur laquelle vous voulez restaurer les fichiers,
comme montré dans l'illustration suivante.
3. Une fois les fichiers de sauvegarde restaurés, créez un fichier de réponse pour
l'installation sans assistance de ADAM. Un fichier de réponse fournit les valeurs des
options de l'installation ADAM (il s'agit des mêmes options que celles proposées
dans l'Assistant Installation de Active Directory en mode application). À l'aide d'un
éditeur de texte, créez un fichier texte appelé Réponses.txt dans lequel vous copiez
le contenu suivant. Assurez-vous de remplacer nomserveur par le nom d'hôte ou le
nom DNS de l'ordinateur sur lequel la première instance ADAM s'exécute.
Remplacez également C:\media_install\Program
Files\Microsoft\ADAM\instance1\data par le chemin d'accès de la copie restaurée de
la première instance ADAM.
[ADAMInstall]
; The following line specifies to install a replica ADAM instance.
InstallType=Replica
; The following line specifies the name to be assigned to the new instance.
InstanceName=instance3
; The following lines specify the communication ports to use for LDAP and
SSL.
LocalLDAPPortToListenOn=50002
LocalSSLPortToListenOn=50003
; The following lines specify the directory location of the restored files.
ReplicationDataSourcePath=C:\media_install\Program
Files\Microsoft\ADAM\instance1\data
ReplicationLogSourcePath=C:\media _install\Program
Files\Microsoft\ADAM\instance1\data
; The following lines specify a computer name and ADAM port of an ADAM
instance in the
; configuration set you want to join
; Replace servername with the name of the computer on which your first ADAM
; instance is running
SourceServer=servername
SourceLDAPPort=389
4. La sauvegarde du fichier Réponse.txt effectuée, vous êtes prêt à lancer l'installation

en mode sans assistance. À une invite de commandes, tapez :
lecteur:\chemin\adamsetup /c:"adaminstall.exe
/answer:lecteur:\nomchemin\réponse.txt"
sachant que lecteur:\chemin représente l'emplacement du mode ADAM téléchargé,
et lecteur:\nomchemin l'emplacement du fichier Réponse.txt que vous avez créé.
5. Après l'exécution de cette commande, vous pouvez vérifier au moyen du composant
logiciel enfichable Services qu'une nouvelle instance ADAM est installée et
opérationnelle.
Configuration de la planification de la
réplication
À présent que vous disposez de plusieurs instances ADAM regroupées dans un jeu de
configuration unique, vous pouvez planifier la réplication. Cette planification est
facultative. À l'instar d'Active Directory, ADAM offre toujours une planification de

réplication par défaut.
Pour planifier la réplication entre des instances ADAM

sur Éditeur ADSI ADAM.
2. Connectez-vous et établissez une liaison à l'une des instances ADAM.
Remarques
Étant donné que vos instances ADAM appartiennent au même jeu de
configuration, vous pouvez planifier la réplication sur l'instance de votre
choix.
3. Dans l'arborescence de la console, double-cliquez sur la partition de configuration
CN=Configuration,CN={GUID}, sachant que GUID représente l'identificateur unique
attribué au cours de l'installation d'ADAM. Double-cliquez sur le conteneur des sites,
CN=Sites, puis sur le conteneur des sites par défaut CN=Premier-Site-par-défaut.
Le composant logiciel enfichable Éditeur ADSI ADAM ressemble à ceci :
Remarques
Par défaut, toutes les instances ADAM que vous créez appartiennent à un
site unique, Premier-Site-par-defaut. Dans cet exercice, toutes vos instances
ADAM appartiennent à un seul et même site. Vous planifiez donc la
réplication au sein d'un site, c'est la réplication intrasite. Pour plus
d'informations sur les sites ADAM, les jeux de configuration et la réplication,
voir le Guide de l'Administrateur Active Directory en mode application. Pour
consulter ce guide, cliquez sur Démarrer, pointez sur Tous les
programmes, sur ADAM, puis cliquez sur Aide ADAM.

4. Dans le volet d'informations, cliquez avec le bouton droit sur CN=NTDS Site
Settings, puis cliquez sur Planifier.
5. Dans la boîte de dialogue Planification, sélectionnez la plage horaire à planifier.
Cliquez au choix sur Aucune, Une fois par heure, Deux fois par heure ou Quatre
fois par heure pour définir la fréquence de réplication, puis cliquez sur OK. La boîte
de dialogue Planification correspond à l'illustration suivante :
Remarques
En ce qui concerne la réplication intrasite, les instances ADAM procèdent à
la réplication des modifications par le biais de notifications de mise à jour. La
fréquence de réplication planifiée n'a d'incidence sur la réplication intrasite
que s'il n'existe aucune notification de mise à jour au moment indiqué.
Déclenchement de la réplication immédiate

d'une partition d'annuaire
L'Assistant Installation de Active Directory en mode application installe une version
ADAM de Repadmin.exe, celle-ci présente les mêmes fonctionnalités que la version
Active Directory de cet outil. Comme dans Active Directory, grâce à Repadmin.exe, vous
pouvez déclencher la synchronisation immédiate d'une partition d'annuaire entre les
partenaires de réplication, tel que décrit dans cet exercice.
Pour provoquer la réplication immédiate d'une partition d'annuaire au moyen

de Repadmin.exe
repadmin /syncall localhost:389 o=Microsoft,c=fr
Remarques
Pour obtenir plus d'informations sur la syntaxe de repadmin, à l'invite de
commandes des outils ADAM, tapez repadmin /?.
Administration d'ADAM par programme

Grâce à l'exécution de programmes, vous pouvez réaliser bon nombre de tâches
effectuées manuellement à l'aide des outils d'administration de ADAM. Le mode
d'exécution ADAM que vous avez téléchargé comprend plusieurs exemples de scripts et
exemples de code qui vous aideront à écrire ces instructions.
Administration de ADAM par programme via

des scripts Visual Basic
Le répertoire \LABS_DEMO\LABS\VBScript du mode ADAM téléchargé contient des
exemples de scripts produits dans Microsoft® Visual Basic®, Scripting Edition (VBScript)
pour les opérations courantes répertoriées ici :
 Étendre un schéma pour inclure la classe Contact (Adamcontact.vbs)
 Importer deux contacts. (AdamContactImport.vbs)
Les scripts suivants supposent l'importation de Adamuser.ldf lors d'un précédent
exercice :
 Ajouter une unité d'organisation
 Ajouter un utilisateur
 Ajouter un groupe
 Ajouter un utilisateur à un groupe
 Supprimer un utilisateur
 Obtenir une liste d'objets spécifiques dans un chemin d'accès (Filter_adam.vbs)
 Énumérer des utilisateurs et des groupes

 Définir un mot de passe
Par exemple, le script permettant d'énumérer des utilisateurs et des groupes contient le
code suivant :
'**************************************************
'
' This script enumerates the users and groups in the passed in OU
' To run: cscript member_adam.vbs [OU] [Group]
' Examples: cscript member_adam.vbs ou=testou,c=us testuser
'
'**************************************************
set Args = Wscript.Arguments
ouName = Args(0)
' If the application OU DN is "ou=adamou,c=us" and the server is "adamhost" and
the port is 389. Then this parameter should be passed
' as follows: "LDAP://adamhost:389/ou=adamou,c=us"
set ou = GetObject(ouName )
wscript.echo "Displaying Groups and Group membership..." & vbcrlf
ou.Filter = Array("group")
for each obj in ou
wscript.echo "Group : " & obj.Name
for each member in obj.Members
wscript.echo " |"
wscript.echo " -- " & member.Name
Next
wscript.echo vbcrlf
Next
Vous pouvez exécuter les scripts de votre choix à partir d'une invite de commande grâce
à la commande cscript. (Pour obtenir de l'aide sur cscript, à l'invite de commande,
tapez cscript /?.) Les noms uniques du fournisseur et de l'hôte doivent être tous les
deux transmis avec le spécificateur de port pour chaque script.
Remarques
Seule l'information nomserveur:numéroport est nécessaire pour le script
Adamcontact.vbs puisqu'il étend le schéma. Vous pouvez ouvrir le fichier dans le
Bloc-notes pour voir la syntaxe spécifique. (Si vous exécutez un script sans
paramètre, un message d'erreur est renvoyé spécifiant que l'indice est hors
limites.)
Par exemple, si vous voulez exécuter le script Member_adam.vbs script pour énumérer
les utilisateurs et les groupes d'un objet à l'aide d'un nom unique de O=Microsoft,C=FR,
tapez :
cscript member_adam.vbs "LDAP://nomserveur:numéroport /o=Microsoft,c=fr"

communication LDAP de votre instance ADAM.
Administration de ADAM par programme via

l'API System.DirectoryServices
L'application Microsoft® Visual Studio® .NET doit être installée pour réaliser l'exercice
suivant.
Pour accéder au mode ADAM via l'interface de programmation d'applications

System.DirectoryServices
1. Démarrez Visual Studio .NET.
2. Dans le menu Fichier, cliquez sur Nouveau, puis sur Projet.
3. Dans la zone Types de projets, cliquez sur le type de projet de votre choix (C#,
VB.NET, etc.).
4. Dans la zone Modèles, cliquez sur le modèle de projet de votre choix (Console,
Windows, etc.).
5. Dans le champ Nom, tapez le nom de votre projet.
6. Une fois le projet créé, dans le menu Projet, cliquez sur Ajouter une référence.
7. Dans la colonne Nom de composant, cliquez sur System.DirectoryServices.dll,
comme illustré ci-après.
8. Ajoutez la ligne suivante au début de votre code :

C#:
using System.DirectoryServices;
VB.NET:
Imports System.DirectoryServices;
Remarques
L'ajout du nom de l'espace de noms n'est pas obligatoire, mais il est plus
facile à utiliser qu'un nom long. Ainsi, au lieu de taper
System.DirectoryServices.DirectoryEntry, vous pouvez utiliser DirectoryEntry.
9. Pour lire un objet ADAM, ajoutez le code suivant :
int portNumber=1025; // put the correct port number here.
String serverName="adam01"; // put the correct servername here.
String partitionDir = "O=Fabrikam"; //put the correct partition distinguished
name.
DirectoryEntry ent = new
DirectoryEntry("LDAP://"+serverName+":"+portNumber+"/"+partitionDir);
Console.WriteLine("Hello World, {0}, with Guid {1}", ent.Name, ent.Guid);
Administration d'objets proxy ADAM par

programme
Le répertoire \LABS_DEMO\LABS\bindredirect du mode ADAM téléchargé contient un
exemple de code pour créer, remplir et tester des objets proxy ADAM. De plus, le
répertoire comporte une version compilée et prête à exécuter de cet exemple de code.
Celui-ci illustre la façon dont vous pouvez automatiser la création d'objets proxy et
achève la procédure « Pour établir une liaison à ADAM par le biais d'un objet proxy
ADAM » décrite à la section Utilisation des outils d'administration ADAM.
Remarques
Pour plus d'informations sur la redirection de liaison ADAM, voir le Guide de
l'Administrateur Active Directory en mode application. Pour consulter ce guide,
Le code présent dans sampleBindRedirect.c exécute toutes les opérations suivantes par
le biais de programmes :
 Établit une liaison à une instance ADAM via le compte d'utilisateur Windows que
vous fournissez.
 Lit l'attribut tokenGroups pour que l'utilisateur Windows récupère le SID de
l'utilisateur.
 Établit une liaison à une instance ADAM via le compte d'administrateur ADAM que
vous fournissez.
 À l'aide du compte d'administrateur ADAM, crée un objet userProxy pour l'utilisateur
Windows.
 Ajoute le groupe Utilisateurs de n'importe quelle partition d'annuaire d'applications au
groupe des lecteurs de la même partition.
 Établit une liaison à une instance ADAM, en tant qu'utilisateur Windows, pour
démontrer que cet utilisateur Windows ne peut pas lire la partition d'annuaire
d'applications.
 Établit une liaison à une instance ADAM via un objet proxy pour démontrer que la
partition d'annuaire d'applications ne peut pas être lue.
 Supprime l'objet userProxy.
Vous pouvez exécuter la version compilée de l'exemple de code BindRedirect.exe pour
voir comment cet exemple de code fonctionne. Pour obtenir de l'aide concernant
l'exécution de BindRedirect.exe, à l'invite de commande, tapez bindredirect /?.
Remarques
Les conditions suivantes sont requises pour exécuter cet exemple de code :
Un fonctionnement correct est assuré si des connexions SSL sont disponibles vers
ADAM (ce qui implique l'installation de certificats) ou si la valeur de l'attribut
RequireSecureProxyBind sur l'attribut msds-Other-Settings de l'objet
nTDsService est défini sur 0. Pour plus d'informations, voir « Sécurité et liaison
des objets proxy ADAM » dans la section Gestion de l'authentification dans
ADAM.
Aucun objet entité de sécurité externe ne doit exister dans ADAM pour
l'utilisateur Windows que vous spécifiez.
Lorsque vous utilisez une connexion SSL et une liaison, indiquez impérativement
le nom DNS complet de l'ordinateur exécutant ADAM.

Guide Pas A Pas Du Deploiement dADAM

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Guide Pas A Pas Du Deploiement dADAM

Transféré par

Droits d'auteur :

Formats disponibles

Guide pas à pas du déploiement d'ADAM

Conditions requises pour l'installation d'ADAM................................................................... 6

Installation d'ADAM ............................................................................................................. 7

Utilisation des outils d'administration ADAM ..................................................................... 18

Installation des données d'application .............................................................................. 30

Utilisation d'une application avec ADAM .......................................................................... 34

Gestion des partitions d'annuaire dans ADAM ................................................................. 49

Gestion des autorisations dans ADAM ............................................................................. 55

Sauvegarde et restauration d'Active Directory en mode application (ADAM) .................. 68

Gestion des jeux de configuration ..................................................................................... 72

Administration d'ADAM par programme ........................................................................... 79

Guide pas à pas du déploiement d'ADAM

2. Entraînement sur l'exploitation des fonctions de base liées à l'utilisation d'ADAM,

Conditions requises pour l'installation

partir du CD-ROM du produit Windows Server 2003 R2. Le téléchargement d'ADAM

Pour installer ADAM

 Si le message « Vous avez terminé l'Assistant Composants de Windows »

Pour installer une instance ADAM à l'aide de l'Assistant Installation de Active

2. Dans la page Bienvenue dans l'Assistant Installation de Active Directory en

12. Lorsque l'Assistant a terminé l'installation de ADAM, le message suivant s'affiche :

Utilisation des outils d'administration

Arrêt et redémarrage d'une instance ADAM

Utilisation de l'outil d'administration Éditeur

l'illustration, puis cliquez sur OK.

La boîte de dialogue Paramètres de connexion correspond à l'illustration suivante :

Vous pouvez à présent consulter le contenu de la partition d'annuaire de

configuration de votre instance ADAM.

Configuration de l'outil d'administration

Pour créer un fichier MMC pour le composant logiciel enfichable Schéma

7. Cliquez sur OK. À présent, le composant logiciel enfichable Schéma ADAM

Pour créer un fichier LDIF à l'aide de ADSchemaAnalyzer

superclasses, auxClasses, must/may contains (doit/peut contenir),

Utilisation de l'outil de synchronisation AD

Pour lancer la première utilisation de l'outil de synchronisation AD vers ADAM

Installation des données d'application

Étape 1 : Ajout de classes utilisateur

Pour ajouter manuellement des classes utilisateur facultatives au schéma

Prenez soin d'utiliser l'exemplaire Ldifde.exe fourni avec

3. Tapez la commande suivante et appuyez sur Entrée :

Étape 2 : Extension du schéma ADAM pour

Pour étendre le schéma ADAM

Étape 3 : Importation des données

Pour importer des données d'application

Ldifde renseigne toujours sur le nombre d'entrées importées dans l'annuaire.

Utilisation d'une application avec ADAM

Recherche de données avec le Carnet

5. Dans la boîte de dialogue Propriétés de localhost, renseignez les différentes

6. Affichez l'onglet Avancé, puis activez la case à cocher Utiliser un filtre de

7. Dans le Carnet d'adresses Windows, repérez la barre d'outils et cliquez sur

8. Cliquez sur Rechercher maintenant. Les résultats de votre recherche doivent

9. Double-cliquez sur le nom pour consulter les détails de ce résultat.

Gestion des unités d'organisation, des

 Étape 3 : Créer un utilisateur ADAM

Étape 1 : Créer une unité d'organisation

Pour créer une unité d'organisation

Étape 2 : Créer un groupe

Pour créer un groupe dans une unité d'organisation

Étape 3 : Créer un utilisateur ADAM

Pour créer un utilisateur ADAM

7. Cliquez sur Terminer. Le composant logiciel enfichable Éditeur ADSI ADAM

Étape 4 : Ajouter un utilisateur à un groupe

Pour ajouter un utilisateur à un groupe

2. Dans la zone Attributs, cliquez sur Member, puis sur Modifier.