Essentiel Windows 2003

http://www.laboratoire-microsoft.
org
Essentiel Windows 2003

Planification, implmentation et maintenance dune infrastructure Active Directory Microsoft Windows Server 2003
Auteurs : Brahim NEDJIMI, Matthieu MARTINEAU & Loc THOBOIS Revu par : Nicolas MILBRAND & Camille BEFFARA Version 0.95 01-03-2006
Ecole Suprieure dInformatique de Paris 23. rue Chteau Landon 75010 PARIS www.supinfo.com
Essentiel infrastructure Active Directory Windows Server 2003
2 / 43
Table des matires

1. INTRODUCTION A LINFRASTRUCTURE ACTIVE DIRECTORY.............................................. 5 1.1. PRESENTATION DACTIVE DIRECTORY ......................................................................................................... 5 1.1.1. Dfinition dActive Directory................................................................................................................ 5 1.1.2. Objets Active Directory......................................................................................................................... 5 1.1.3. Schma Active Directory....................................................................................................................... 5 1.1.4. Catalogue global................................................................................................................................... 6 1.1.5. Protocole LDAP .................................................................................................................................... 6 1.2. STRUCTURE LOGIQUE DACTIVE DIRECTORY ................................................................................................ 6 1.2.1. Les Domaines........................................................................................................................................ 7 1.2.2. Les Units dorganisation ..................................................................................................................... 7 1.2.3. Les Arborescences................................................................................................................................. 7 1.2.4. Les forts ............................................................................................................................................... 8 1.2.5. Les rles de matres dopration........................................................................................................... 8 1.3. STRUCTURE PHYSIQUE DACTIVE DIRECTORY.............................................................................................. 9 1.3.1. Contrleurs de domaine........................................................................................................................ 9 1.3.2. Sites et liens de sites.............................................................................................................................. 9 1.4. METHODES DADMINISTRATION DUN RESEAU WINDOWS 2003.................................................................. 10 1.4.1. Utilisation dActive Directory pour la gestion centralise ................................................................. 10 1.4.2. Les outils dadministration dActive Directory................................................................................... 10 1.4.3. Gestion de lenvironnement utilisateur ............................................................................................... 11 1.4.4. Dlgation du contrle dadministration ............................................................................................ 11 2. IMPLEMENTATION DUNE STRUCTURE DE FORET ET DE DOMAINE ACTIVE DIRECTORY ...................................................................................................................................................... 13 2.1. INSTALLATION DACTIVE DIRECTORY ........................................................................................................ 13 2.1.1. Les pr requis pour installer Active Directory.................................................................................... 13 2.1.2. Le processus dinstallation dActive Directory................................................................................... 13 2.1.3. Les tapes post installation ................................................................................................................. 13 2.2. IMPLEMENTATION DU SYSTEME DNS POUR LA PRISE EN CHARGE DACTIVE DIRECTORY ........................... 14 2.2.1. Le rle du Systme DNS dans Active Directory .................................................................................. 14 2.2.2. Les zones DNS intgres Active Directory....................................................................................... 14 2.2.3. Les enregistrements de ressources cres lors de linstallation dActive Directory............................. 15 2.3. LES DIFFERENTS NIVEAUX FONCTIONNELS .................................................................................................. 15 2.3.1. Les niveaux fonctionnels de domaine.................................................................................................. 15 2.3.2. Laugmentation dun niveau fonctionnel de domaine ......................................................................... 15 2.3.3. Les niveaux fonctionnels de fort ........................................................................................................ 16 2.3.4. Laugmentation dun niveau fonctionnel de fort ............................................................................... 17 2.4. LES RELATIONS DAPPROBATION ................................................................................................................ 17 2.4.1. Transitivit de lapprobation .............................................................................................................. 17 2.4.2. Direction de lapprobation.................................................................................................................. 17 2.4.3. Les relations dapprobations .............................................................................................................. 18 3. IMPLEMENTATION D'UNE STRUCTURE D'UNITE D'ORGANISATION ................................ 20
3.1. CREATION ET GESTION D'UNITES D'ORGANISATION ..................................................................................... 20 3.1.1. Prsentation de la gestion des units d'organisation ......................................................................... 20 3.1.2. Mthodes de cration et de gestion des units d'organisation ............................................................ 20 3.2. DELEGATION DU CONTROLE ADMINISTRATIF DES UNITES D'ORGANISATION................................................ 21 3.2.1. Scurit des objets............................................................................................................................... 21 3.2.2. Dlgation de contrle ........................................................................................................................ 21 4. IMPLEMENTATION DE COMPTES D'UTILISATEURS, DE GROUPES ET D'ORDINATEURS 23
4.1. IMPLEMENTATION DE COMPTES DUTILISATEURS ........................................................................................ 23 4.1.1. Prsentation du nom dutilisateur principal ....................................................................................... 23 4.1.2. Le Routage des suffixes UPN .............................................................................................................. 23 4.2. IMPLEMENTATION DE COMPTES DE GROUPE ................................................................................................ 23 4.2.1. Le type de groupe ................................................................................................................................ 24
http://www.laboratoire-microsoft.org Ce document est la proprit de Supinfo et est soumis aux rgles de droits dauteurs
3 / 43
4.2.2. LEtendue de groupe ........................................................................................................................... 24 4.2.3. Stratgie dutilisation de groupe dans un domaine............................................................................. 25 4.3. OUTILS DADMINISTRATION ET TACHES ADMINISTRATIVES ........................................................................ 25 4.3.1. Les outils dadministration.................................................................................................................. 25 5. IMPLEMENTATION D'UNE STRATEGIE DE GROUPE ............................................................... 26
5.1. CREATION ET CONFIGURATION D'OBJETS STRATEGIE DE GROUPE ............................................................... 26 5.1.1. Prsentation dune stratgie de groupe .............................................................................................. 26 5.1.2. Composants d'un objet Stratgie de groupe........................................................................................ 26 5.1.3. Gestion des Stratgies de groupe par un contrleur de domaine ....................................................... 26 5.1.4. Dfinition des filtres WMI ................................................................................................................... 26 5.2. CONFIGURATION DES FREQUENCES D'ACTUALISATION ET DES PARAMETRES DE STRATEGIE DE GROUPE ..... 27 5.2.1. Planification de lapplication des stratgies de groupe...................................................................... 27 5.2.2. Frquence dactualisation des paramtres de stratgie de groupe..................................................... 27 5.2.3. Application des stratgies de groupe lors de connexions rseau lentes.............................................. 27 5.3. GESTION DES OBJETS STRATEGIE DE GROUPE.............................................................................................. 27 5.3.1. Copie dune stratgie de groupe ......................................................................................................... 27 5.3.2. Sauvegarde et restauration dune stratgie de groupe ....................................................................... 28 5.3.3. Importation dune stratgie de groupe................................................................................................ 28 5.4. DELEGATION DU CONTROLE ADMINISTRATIF DE LA STRATEGIE DE GROUPE................................................ 28 5.4.1. Dlgation dadministration des stratgies de groupe........................................................................ 28 5.4.2. Dlgation dadministration de filtres WMI ....................................................................................... 28 6. DEPLOIEMENT ET GESTION DES LOGICIELS A L'AIDE D'UNE STRATEGIE DE GROUPE 29
6.1. PRESENTATION DE LA GESTION DU DEPLOIEMENT DE LOGICIELS................................................................. 29 6.2. PRESENTATION DE WINDOWS INSTALLER ................................................................................................... 29 6.3. DEPLOIEMENT DE LOGICIELS ....................................................................................................................... 29 6.3.1. Affectation de logiciels :...................................................................................................................... 29 6.3.2. Publication de logiciels :..................................................................................................................... 29 6.3.3. Utilisation des modifications de logiciel ............................................................................................. 30 6.3.4. Cration de catgories de logiciels ..................................................................................................... 30 6.3.5. Association dextensions de noms de fichiers des applications........................................................ 30 6.3.6. Mise niveau de logiciels dploys .................................................................................................... 30 6.3.7. Redploiement de logiciels.................................................................................................................. 30 6.3.8. Suppression de logiciels dploys ....................................................................................................... 30 7. IMPLEMENTATION DE SITES POUR GERER LA REPLICATION ACTIVE DIRECTORY.. 32
7.1. FONCTIONNEMENT DE LA REPLICATION ...................................................................................................... 32 7.2. RESOLUTION DES CONFLITS DE DUPLICATION ............................................................................................. 32 7.3. OPTIMISATION DE LA REPLICATION ............................................................................................................. 33 7.4. TOPOLOGIE DE REPLICATION ....................................................................................................................... 33 7.4.1. Partitions dannuaire .......................................................................................................................... 33 7.4.2. Topologie de rplication ..................................................................................................................... 34 7.4.3. Gnration de topologie de rplication automatique.......................................................................... 34 7.5. UTILISATION DES SITES POUR OPTIMISER LA REPLICATION .......................................................................... 34 7.5.1. Prsentation des sites.......................................................................................................................... 34 7.5.2. rplication intrasite............................................................................................................................. 35 7.5.3. rplication intersite ............................................................................................................................. 35 7.5.4. Notion de cot ..................................................................................................................................... 36 7.5.5. Serveur tte de pont............................................................................................................................. 36 7.6. PROTOCOLES DE REPLICATION .................................................................................................................... 36 8. IMPLEMENTATION DU PLACEMENT DES CONTROLEURS DE DOMAINE......................... 37
8.1. LE ROLE DU SERVEUR DE CATALOGUE GLOBAL ........................................................................................... 37 8.1.1. Dfinition du serveur de catalogue global .......................................................................................... 37 8.1.2. Limportance du catalogue global dans le processus dauthentification............................................ 37 8.1.3. Limportance du catalogue global dans le processus dautorisation ................................................. 38 8.1.4. La mise en cache de lappartenance au groupe universel .................................................................. 38 9. GESTION DES MAITRES D'OPERATIONS...................................................................................... 40
4 / 43
9.1. PRESENTATION DES MAITRES DOPERATIONS .............................................................................................. 40 9.1.1. Rle du contrleur de schma............................................................................................................. 40 9.1.2. Matre dattribution de nom de domaine ............................................................................................ 40 9.1.3. Emulateur CPD (PDC) ....................................................................................................................... 40 9.1.4. Matre RID .......................................................................................................................................... 41 9.1.5. Matre dinfrastructure ....................................................................................................................... 41 9.2. TRANSFERT ET PRISE DE ROLES DE MAITRES DOPERATIONS ....................................................................... 41 9.2.1. La dfaillance de lEmulateur de CPD ............................................................................................... 41 9.2.2. Dfaillance du matre dinfrastructure ............................................................................................... 41 9.2.3. Dfaillance des autres matres doprations....................................................................................... 41 10. MAINTENANCE D'ACTIVE DIRECTORY ....................................................................................... 42
10.1. ENTRETIEN DE LA BASE DE DONNEES ACTIVE DIRECTORY.......................................................................... 42 10.1.1. Fichiers dActive Directory................................................................................................................. 42 10.1.2. Nettoyage de la mmoire..................................................................................................................... 42 10.1.3. Restauration dActive Directory ......................................................................................................... 42
5 / 43
1. Introduction linfrastructure Active

Directory
1.1. Prsentation dActive Directory
Active Directory permet de centraliser, de structurer, dorganiser et de contrler les ressources rseau dans les environnements Windows 2000/2003. La structure Active Directory permet une dlgation de ladministration trs fine pouvant tre dfinie par types dobjets.
1.1.1.
Dfinition dActive Directory
Active Directory est un annuaire des objets du rseau, il permet aux utilisateurs de localiser, de grer et dutiliser facilement les ressources. Il permet de raliser la gestion des objets sans liens avec la disposition relle ou les protocoles rseaux employs. Active Directory organise lannuaire en sections, ce qui permet de suivre le dveloppement dune socit allant de quelques objets des millions dobjets. Combin aux stratgies de groupes, Active directory permet une gestion des postes distants de faon compltement centralise.
1.1.2.
Objets Active Directory
Active Directory stocke des informations sur les objets du rseau. Il existe plusieurs types dobjets : serveurs domaines sites utilisateurs ordinateurs imprimantes
Chaque objet possde un ensemble dattributs regroupant diverses informations permettant par exemple deffectuer des recherches prcises dans lannuaire (trouver lemplacement physique dune imprimante, le numro de tlphone ou ladresse dun utilisateur, le systme dexploitation dun serveur).
1.1.3.
Schma Active Directory
Le schma Active Directory stocke la dfinition de tous les objets dActive Directory (ex : nom, prnom pour lobjet utilisateur). Il ny a quun seul schma pour lensemble de la fort, ce qui permet une homognit de lensemble des domaines. Le schma comprend deux types de dfinitions : Les classes dobjets : Dcrit les objets dActive Directory quil est possible de crer. Chaque classe est un regroupement dattributs. Les attributs : Ils sont dfinis une seul fois et peuvent tre utiliss dans plusieurs classes (ex : Description).
6 / 43
Le schma est stock dans la base de donnes dActive Directory ce qui permet des modifications dynamiques exploitables instantanment.
1.1.4.
Catalogue global
Le catalogue global contient une partie des attributs les plus utiliss de tous les objets Active Directory. Il contient aussi les informations ncessaires pour dterminer lemplacement de tout objet de lannuaire. Le catalogue global permet aux utilisateurs deffectuer 2 tches importantes : Trouver des informations Active Directory sur toutes la fort, quel que soit lemplacement des ces donnes. Utiliser des informations dappartenance des groupes universels pour ouvrir une session sur le rseau.
Un serveur de catalogue global est un contrleur de domaine qui conserve une copie du catalogue global et peut ainsi traiter les requtes qui lui sont destines. Le premier contrleur de domaine install au sein dune fort est automatiquement serveur de catalogue global. Il est possible de configurer dautres contrleurs de domaine en tant que serveur de catalogue global afin de rguler le trafic. Lauthentification douverture de session ne peut se faire que sur un contrleur de domaine.
1.1.5.
Protocole LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole du service dannuaire utilis pour interroger et mettre jour Active Directory. Chaque objet de lannuaire est identifi par une srie de composants qui constituent son chemin daccs LDAP au sein dActive Directory (CN=Loc THOBOIS, OU=Direction, DC=labo-microsoft, DC=lan). DC : Composant de domaine (lan, com, labo-microsoft, ) OU : Unit dorganisation (contient des objets) CN : Nom usuel ou nom commun(Nom de lobjet)
Les chemins daccs LDAP comprennent les lments suivants : Les noms uniques : le nom unique identifie le domaine dans lequel est situ lobjet, ainsi que son chemin daccs complet (ex : CN=Brahim NEDJIMI, OU=Direction, DC=labomicrosoft, DC=lan) Les noms uniques relatifs : partie du nom unique qui permet didentifier lobjet dans son conteneur (ex : Brahim NEDJIMI).
1.2. Structure logique dActive Directory

La structure logique dActive Directory offre une mthode efficace pour concevoir une hirarchie. Les composants logiques de la structure dActive Directory sont les suivants :
7 / 43
1.2.1.
Les Domaines
Unit de base de la structure Active Directory, un domaine est un ensemble dordinateurs et/ou dutilisateurs qui partagent une mme base de donnes dannuaire. Un domaine a un nom unique sur le rseau. Dans un environnement Windows 2000/2003, le domaine sert de limite de scurit. Le rle dune limite de scurit est de restreindre les droits dun administrateur ou de tout autre utilisateur avec pouvoir uniquement aux ressources de ce domaine et que seuls les utilisateurs explicitement promus puissent tendre leurs droits dautres domaines. Dans un domaine Windows 2000/2003, tous les serveurs maintenant le domaine (contrleurs de domaine) possdent une copie de lannuaire dActive Directory. Chaque contrleur de domaine est capable de recevoir ou de dupliquer les modifications de lensemble de ses homologues du domaine.
1.2.2.
Les Units dorganisation
Une unit dorganisation est un objet conteneur utilis pour organiser les objets au sein du domaine. Il peut contenir dautres objets comme des comptes dutilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que dautres units dorganisation. Les units dorganisation permettent dorganiser de faon logique les objets de lannuaire (ex : reprsentation physique des objets ou reprsentation logique). Les units dorganisation permettent aussi de faciliter la dlgation de pouvoir selon lorganisation des objets et de contrler lenvironnement des utilisateurs et ordinateurs grce lapplication de stratgies de groupe (GPO)
1.2.3.
Les Arborescences
Le premier domaine install est le domaine racine de la fort. Au fur et mesure que des domaines lui sont ajouts, cela forme la structure de larborescence ou la structure de la fort, selon les exigences pour les noms de domaine. Une arborescence est un ensemble de domaines partageant un espace de nom contigu. Par exemple, supinfo.lan est le domaine parent du domaine paris.supinfo.lan et du domaine martinique.supinfo.lan (les deux domaines enfant et le domaine parent ont la chane de caractre supinfo.lan en commun). La relation dapprobation entre un domaine enfant et son domaine parent est de type bidirectionnel transitif. Une relation bidirectionnelle permet deux domaines de sapprouver mutuellement. Ainsi le domaine A approuve le domaine B et le domaine B approuve le domaine A. On dispose de trois domaines nomms A, B et C. A approuve B et B approuve C. La relation dapprobation transitive implique donc que A approuve C.
8 / 43
1.2.4.
Les forts
Une fort est un ensemble de domaines (ou darborescences) nayant pas le mme nom commun mais partageant un schma et un catalogue global commun. Par exemple, une mme fort peut rassembler deux arborescences diffrentes comme laboms.com et supinfo.lan.
Par dfaut, les relations entre les arborescences ou les domaines au sein dune fort sont des relations dapprobation bidirectionnelles transitives. Il est possible de crer manuellement des relations dapprobation entre deux domaines situs dans deux forts diffrentes. De plus Windows Server 2003 propose un niveau fonctionnel permettant de dfinir des relations dapprobations entre diffrentes forts.
1.2.5.
Les rles de matres dopration
Avec Windows NT 4.0, les contrleurs de domaine suivent un schma matre/esclave. Ainsi on distingue les contrleurs de domaine primaires ou PDC (Primary Domain Controler) accessibles en lecture/criture et les contrleurs de domaine secondaires ou BDC (Backup Domain Controler) uniquement accessibles en lecture. Dans un domaine Windows 2000/2003, cette notion nexiste plus, on parle de contrleurs de domaine multi-matres. En effet, les modifications dActive Directory peuvent tre fates sur nimporte quel contrleur de domaine. Cependant, il existe des exceptions pour lesquelles les modifications sont ralises sur un contrleur de domaine spcifiques. Ces exceptions sont nommes rles de matre dopration et sont au nombre de cinq : Contrleur de schma : Cest le seul contrleur de domaine habilit modifier et mettre jour le schma.
9 / 43
Matre dattribution des noms de domaine : Il permet dajouter ou de supprimer un domaine dans une fort. Emulateur PDC : Il ajoute la compatibilit avec les BDC sous Windows NT 4.0. Il gre galement le processus de verrouillage des comptes utilisateurs, les changements de mots de passe et toutes les modifications faites sur des objets de stratgie de groupe. Matre didentificateur relatif ou matre RID : Il distribue des plages didentificateurs relatifs (RID) tous les contrleurs de domaine afin de gnrer les identificateurs de scurit (SID).. Matre dinfrastructure : Il permet de mettre jour les ventuelles rfrences dun objet dans les autres domaines lorsque cet objet est modifi (dplacement, suppression,). Les deux premiers rles sont assigns au niveau de la fort et les trois derniers au niveau du domaine. Ainsi pour chaque domaine cre dans une fort, il faut dfinir le ou les contrleurs de domaine qui auront les rles mulateur PDC, matre RID et matre dinfrastructure. Par dfaut le premier contrleur de domaine dune nouvelle fort cumule les cinq rles.
1.3. Structure Physique dActive Directory

Dans Active Directory, la structure logique et la structure physique sont distinctes. La structure physique permet doptimiser les changes dinformations entre les diffrents contrleurs de domaine et ce en fonction des dbits assurs par les rseaux qui les connectent.
1.3.1.
Contrleurs de domaine
Un contrleur de domaine est un ordinateur excutant Windows 2000 Server ou Windows 2003 Server qui stocke un rpliqua de lannuaire. Il assure la propagation des modifications faites sur lannuaire. Il assure lauthentification et louverture des sessions des utilisateurs, ainsi que les recherches dans lannuaire. Un domaine peut possder un ou plusieurs contrleurs de domaine. Dans le cas dune socit constitue de plusieurs entits disperses gographiquement, on aura besoin dun contrleur de domaine dans chacune de ses entits.
1.3.2.
Sites et liens de sites
Un site est une combinaison dun ou plusieurs sous rseaux connects entre eux par une liaison haut dbit fiable (liaison LAN). Dfinir des sites permet Active Directory doptimiser la duplication et lauthentification afin dexploiter au mieux les liaisons les plus rapides. En effet, les diffrents sites dune entreprise sont souvent relis entres eux par des liaisons bas dbit et dont la fiabilit est faible (liaisons WAN). La cration de liens de sites permet de prendre en compte la topologie physique du rseau pour les oprations de rplication. Un lien de site avec des paramtres spcifiques. Ces paramtres peuvent prendre en compte le cot de la liaison, la planification ainsi que lintervalle de temps entre deux rplications.
10 / 43
Dans lexemple ci-contre, on dispose de deux sites : Paris et Martinique. Ces deux sites sont relis par une liaison WAN proposant une bande passante de 128kb/s. A lintrieur du site Paris, les contrleurs de domaine sont interconnects entre eux par le biais dun commutateur gigabit (avec une bande passante de 1000 Mb/s). En crant un lien de site, il est possible forcer la rplication entre les deux sites seffectuer toutes les 90 minutes uniquement entre 20 heures et 6 heures.
La rplication Active Directory peut utiliser deux protocoles diffrents : RPC (Remote Procedure Call) pour les liaisons intra-site et intersites (ce protocole est aussi appel RPC sur IP) SMTP (Simple Mail Transfer Protocol) pour les liaisons inter site (selon certaines conditions nonces ci-dessous) Attention, SMTP ne peut pas tre utilis pour rpliquer une partition de domaine ! Par contre on peut utiliser SMTP entre deux sites pour rpliquer la partition de configuration, la partition de schma et les partitions de domaines partielles stockes sur les serveurs de catalogue global. Dans lexemple ci-dessus, on ne peut pas utiliser le protocole SMTP entre le site PARIS et le site MARTINIQUE si les quatre contrleurs de domaine hbergent le mme domaine Active Directory. En effet la synchronisation de la partition de domaine entre le contrleur de domaine de la Martinique et les contrleurs de domaine de Paris est impossible avec SMTP. En revanche si le contrleur de domaine de la Martinique hberge le domaine martinique.lan et ceux de Paris le domaine paris.lan, on peut tout fait utiliser SMTP pour la rplication intersites !
1.4. Mthodes dadministration dun rseau Windows 2003

1.4.1. Utilisation dActive Directory pour la gestion centralise
Active Directory permet un seul administrateur de centraliser la gestion et ladministration des ressources du rseau. Comme il contient des informations sur tous les objets et leurs attributs, la recherche dinformations se fait sur lensemble de la fort. Active Directory permet aussi dorganiser les objets de faon hirarchique grce aux conteneurs comme les units organisationnelles, les domaines ou les sites. Il est ainsi possible dappliquer certains paramtres un ensemble dordinateurs et dutilisateurs.
1.4.2.
Les outils dadministration dActive Directory
Ladministration du service dannuaire Active Directory se passe par le biais de diffrentes consoles MMC :
11 / 43
Utilisateurs et ordinateurs Active Directory : Cest le composant le plus utilis pour accder lannuaire. Il permet de grer les comptes dutilisateurs, les comptes dordinateurs, les fichiers et les imprimantes partags, les units dorganisation Sites et Services Active Directory : Ce composant permet de dfinir des sites, des liens de sites et de paramtrer la rplication Active Directory. Domaines et approbations Active Directory : Ce composant permet de mettre en place les relations dapprobations et les suffixes UPN. Il propose aussi daugmenter le niveau fonctionnel dun domaine ou dune fort. Schma Active Directory : Ce composant permet de visualiser les classes et les attributs de lannuaire. Pour pouvoir accder la console Schma Active Directory, il faut dans un premier temps enregistrer une DLL. Pour cela, il vous faut ouvrir une invite de commande et taper la commande : regsvr32 schmmgmt.dll Gestion des Stratgies de Groupe : Ce composant permet de centraliser ladministration des stratgie de groupe dune fort, de vrifier le rsultat dune stratgie de groupe ou bien encore de comparer les paramtres de deux stratgies de groupe. Ce composant nest pas disponible sur le CD-ROM de Windows 2003 Server, il doit tre tlcharg sur le site de Microsoft. ADSI Edit : Ce composant permet de visualiser larborescence LDAP relle du service dannuaire. Elle peut savrer utile pour lire ou modifier certains attributs ou certains objets de lannuaire. Elle permet aussi dattribuer des permissions sur les objets de lannuaire avec une granularit plus fine. En outre, elle se rvle quasi indispensable pour dveloppoer une application accdant aux donnes contenues dans lannuaire. Cette console doit tre installe avec les outils de support situs sur le CD-ROM de Windows 2003 Server.
En complment des divers composants logiciels enfichables numrs ci-dessus, divers outils sont mis la disposition de ladministrateur pour grer Active Directory : Lpc.exe : Cet outil permet denvoyer manuellement des requtes LDAP vers nimporte quel annuaire LDAP (Active Directory, NDS, Open LDAP,). Il peut tre utilis pour vrifier la connectivit entre une machine et lannuaire ou bien pour lister des informations bien spcifiques dans une partie de lannuaire. LPC affiche lintgralit des donnes changes entre le poste client et le service dannuaire. Il est disponible avec les outils de support situs sur le CD-ROM de Windows 2003 Server. Dsadd, dsmod, dsrm, dsget, dsquery, dsmove : Ces outils en ligne de commande permettent respectivement dajouter, de modifier, de supprimer, de lister ou de dplacer des objets dans lannuaire. Ils sont utiliss dans des scripts afin dautomatiser certaines tches administrativement lourdes. Ldifde : Loutil en ligne de commande LDIFDE (LDAP Data Interchange Format Directory Export) permet dimporter des donnes partir dun fichier texte vers Active Directory ou bien dexporter des donnes partir dActive Directory vers un fichier texte. Csvde : Loutil en ligne de commande CSVDE est utilis pour importer des comptes dutilisateurs partir dun fichier texte vers Active Directory. WSH : WSH pour Windows Scripts Host est un environnement permettant dexcuter des scripts en VBS ou en JScript.sur une plateforme Windows 9x ou NT.
1.4.3.
Gestion de lenvironnement utilisateur
A laide des stratgies de groupe de Windows 2000/2003, il est possible de restreindre les actions des utilisateurs directement partir du serveur. Contrle des actions que peuvent raliser les utilisateurs. Centralisation de la gestion de linstallation des applications et des services. Configuration des donnes utilisateur pour suivre les utilisateurs.
1.4.4.
Dlgation du contrle dadministration
12 / 43
La hirarchie mise en place au sein dActive Directory permet une dlgation fine toujours base sur les conteneurs permettant la dlgation sur un ensemble dfini de machines et dutilisateurs.
13 / 43
2. Implmentation dune structure de fort et de domaine Active Directory

Un domaine dsigne lunit administrative de base dun rseau Windows 2000/2003. Le premier domaine dune nouvelle fort cr dans Active Directory reprsente le domaine racine de lensemble de la fort. La cration dun domaine deffectue laide de la commande dcpromo. Lassistant dinstallation dActive Directory vous guide alors dans la cration dun nouveau domaine ou dans la cration dun contrleur de domaine supplmentaire dans un domaine Windows 2000/2003 existant.
2.1. Installation dActive Directory

2.1.1. Les pr requis pour installer Active Directory
Voici la configuration requise pour pouvoir installer Active Directory : Un ordinateur excutant Windows 2003 Standard Edition, Enterprise Edition ou Datacenter Edition. Attention, le service dannuaire Active Directory ne peut pas tre install sur Windows 2003 Server Web Edition. 250 Mo despace libre sur une partition ou un volume NTFS Les paramtres TCP/IP configur pour joindre un serveur DNS Un serveur DNS faisant autorit pour grer les ressources SRV Des privilges administratifs suffisants pour crer un domaine
Vous pouvez afficher les serveurs DNS faisant autorit pour un domaine donn en tapant la commande nslookup -type=ns nom.du.domaine.
2.1.2.
Le processus dinstallation dActive Directory
Lassistant dinstallation ralise diverses tches successives : Dmarrage du protocole de scurit et dfinition de la scurit Cration des partitions Active Directory, de la base de donnes et des fichiers journaux Cration du domaine racine de la fort Cration du dossier SYSVOL Configuration de lappartenance au site du contrleur de domaine Activation de la scurit sur le service dannuaire et sur les dossiers de rplication de fichiers. Activation du mot de passe pour le mode de restauration
2.1.3.
Les tapes post installation
Une fois que linstallation dActive Directory termine, il faut vrifier la prsence et le bon fonctionnement du service dannuaire. Cela passe par plusieurs tapes : Contrler la cration du dossier SYSVOL et de ses partages Vrifier la prsence de la base de donnes dannuaire et des fichiers journaux Contrler la structure Active Directory par dfaut Analyser les journaux dvnements
14 / 43
2.2. Implmentation du systme DNS pour la prise en charge dActive Directory

Les infrastructures Windows 2000/2003 intgrent le systme DNS (Domain Name Service) et le service dannuaire Active Directory. Ces deux lments sont lis: En effet, le systme DNS est un pr requis pour installer Active Directory. Ces deux composants utilisent la mme structure de noms hirarchique afin de reprsenter les domaines et les ordinateurs sous forme dobjets Active Directory ou bien sous forme de domaines DNS et denregistrement de ressources.
2.2.1.
Le rle du Systme DNS dans Active Directory
Le systme DNS fournit les principales fonctions ci-dessous sur un rseau excutant Active Directory : Rsolution de noms : le systme DNS rsout les noms dhtes en adresses IP. Par exemple, un ordinateur nomm labo-1 dsirant se connecter un autre ordinateur nomm labo-2 enverra une requte au serveur DNS qui lui renverra ladresse IP de labo-2. Le systme DNS peut aussi effectuer une rsolution de nom inverse, c'est--dire fournir le nom dhte partir de ladresse IP qui lui est communique. Convention de dnomination : Active Directory emploie les conventions de dnomination du systme DNS. Ainsi, microsoft.supinfo.com peut tre un nom de domaine DNS et/ou un nom de domaine Windows 2000. Localisation des composants physiques dActive Directory : Le systme DNS identifie les contrleurs de domaine par rapport aux services spcifiques quils proposent comme lauthentification dune connexion ou la recherche dinformations dans Active Directory. Lors de louverture dune session, une machine cliente doit sadresser un contrleur de domaine, seul capable de lauthentifier. Le systme DNS pourra lui fournir lemplacement de lun de ces contrleurs de domaine.
2.2.2.
Les zones DNS intgres Active Directory
Contrairement aux zones DNS classiques qui stockent les enregistrements de ressources dans des fichiers, les zones DNS intgres Active Directory stockent les enregistrements de ressources directement dans le service d'annuaire Active Directory. Seules les zones primaires et les zones de stub peuvent tre intgres Active Directory. De plus, seuls les contrleurs de domaine jouant aussi le rle de serveur DNS peuvent hberger des zones intgres Active Directory. Les zones DNS intgres Active Directory sont intressantes puisqu'elles permettent de renforcer la scurit du processus de rsolution de noms de diverses manires : Les zones intgres Active Directory peuvent tre dupliques sur tous les contrleurs de domaine. Cela permet d'assurer la tolrance de panne, puisque si un contrleur de domaine connat une dfaillance, alors la rsolution de noms sera toujours assure. L'intgration Active Directory scurise les transactions entres les serveurs DNS. En effet, les zones DNS intgres au service d'annuaire utilisent le mcanisme de rplication Active Directory qui s'avre plus scuris que les changes AXFR et IXFR raliss entre des serveurs DNS utilisant des zones standard.
15 / 43
Les zones intgres Active Directory permettent de scuriser les mises jour automatiques des ordinateurs clients (seuls les ordinateurs clients quips de Windows 2000/XP/2003 peuvent faire des mises jour automatiques). En effet, si les mises jour automatiques sont actives, seuls les ordinateurs clients membres du domaine peuvent mettre jour automatiquement leurs enregistrements A et PTR.
2.2.3. Les enregistrements de ressources cres lors de linstallation dActive Directory

Lors de linstallation dActive Directory, la structure de la zone DNS de recherche directe est modifie. Un certain nombre de sous domaines et denregistrements de ressources sont ajouts. Il convient de vrifier la prsence de ces enregistrements la fin du processus dinstallation dActive Directory. Les sous domaine _tcp, _udp et _sites contiennent les enregistrements SRV faisant rfrences tous les contrleurs de domaine de la fort. Ce sont ces enregistrements qui permettent aux ordinateurs clients de connatre lemplacement des contrleurs de domaine. De plus ces enregistrements sont aussi utiliss par le processus de rplications. Le sous domaine _msdcs permet notamment de trouver les contrleurs de domaine ayant un rle de matre dopration (exemple : mulateur PDC).
2.3. Les diffrents niveaux fonctionnels

Le niveau fonctionnel dun domaine ou dune fort dfinit lensemble des fonctionnalits supportes par le service dannuaire Active Directory dans ce domaine ou dans cette fort.
2.3.1.
Les niveaux fonctionnels de domaine
Le niveau fonctionnel par dfaut dun domaine est Windows 2000 mixte. Il existe deux autres niveaux fonctionnels disponibles sous Windows 2003 Server. Voici leurs caractristiques : Windows 2000 mixte : supporte la prise en charge des contrleurs secondaires de domaine Windows NT 4.0 (BDC) Windows 2000 natif : supporte les groupes universels, les imbrications de groupes et lhistorique SID Windows Server 2003 : supporte le changement du nom dun contrleur de domaine, la mise jour du cachet d'ouverture de session, le numro de version des cls Kerberos KDC et un mot de passe utilisateur sur l'objet InetOrgPerson.
2.3.2.
Laugmentation dun niveau fonctionnel de domaine
Il est possible daugmenter le niveau fonctionnel dun domaine. Cette opration se ralise dans la console Domaines et approbations Active Directory (accessible en tapant domain.msc dans la boite de dialogue excuter) ou bien dans la console Utilisateurs et ordinateurs Active Directory (accessible en tapant dsa.msc dans la boite de dialogue excuter). Pour raliser cette opration, vous devez tre membre du groupe admins du domaine ou administrateurs de lentreprise. Avant daugmenter le niveau fonctionnel dun domaine, il est ncessaire de vrifier que les contrleurs de domaines excutent le systme dexploitation requis. En effet, une fois le niveau fonctionnel
16 / 43
augment, il est impossible de revenir en arrire sans dsinstaller le service dannuaire sur lensemble des contrleurs de domaine du domaine. Voici les la liste des systmes dexploitation utilisables pour chaque niveau fonctionnel : Windows 2000 mixte : contrleurs de domaine excutant Windows NT 4.0, 2000 Server ou 2003 Server. Windows 2000 natif : contrleurs de domaine excutant Windows 2000 Server ou 2003 Server. Windows Server 2003 : contrleurs de domaine excutant Windows 2003 Server uniquement. Windows 2003 server version prliminaire : contrleurs de domaine excutant NT 4.0 et des contrleurs de domaine sous Windows 2003 server. Ce niveau fonctionnel est uniquement utilis dans le cadre dune migration de Windows NT4 vers Windows Server 2003 (ou vers Windows Server 2003 R2).
Ainsi, pour augmenter le niveau fonctionnel dun domaine vers le niveau Windows Server 2000 natif, il faudra imprativement effectuer une mise jour du systme dexploitation de tous contrleurs de domaine du domaine ou de la fort fonctionnant avec Windows NT 4.0 ou une version antrieure. De plus, une fois le niveau fonctionnel du domaine augment, les contrleurs de domaine excutant des versions antrieures du systme d'exploitation ne peuvent pas tre introduits dans le domaine. Par exemple, si vous augmentez le niveau fonctionnel du domaine Windows Server 2003, les contrleurs de domaine excutant Windows 2000 Server ne peuvent pas tre ajouts ce domaine.
2.3.3.
Les niveaux fonctionnels de fort
Le niveau fonctionnel d'une fort active des fonctionnalits spcifiques dans tous les domaines de cette fort. Voici les trois niveaux fonctionnels disponibles pour une fort ainsi que la liste des systmes dexploitation utilisables pour chaque niveau : Windows 2000 (niveau par dfaut): contrleurs de domaine excutant Windows NT 4.0, 2000 Server ou 2003 Server. Windows Server 2003 provisoire : contrleurs de domaine excutant Windows NT 4.0 ou 2003 Server. Windows Server 2003 : contrleurs de domaine excutant Windows 2003 Server uniquement.
Les niveaux Windows 2000 et Mode fort provisoire Windows Server 2003 ne proposent aucunes fonctions spciales au niveau de la fort. En revanche, le niveau Windows Server 2003 met en place les avantages suivants : Catalogue global de rglage de la rplication Objets schma dfunts Approbation de fort Rplication de valeur lie Changement du nom de domaine Algorithmes de rplication avancs Classes auxiliaires dynamiques Modification de la classe de l'objet InetOrgPerson Frquence de rplication intrasite de 15 secondes pour les contrleurs de domaine Windows Server 2003 mis niveau partir de Windows 2000
17 / 43
2.3.4.
Laugmentation dun niveau fonctionnel de fort
Lorsque tous les domaines dune fort ont le mme niveau fonctionnel, il est possible daugmenter le niveau fonctionnel de la fort. Seul un membre du groupe administrateurs de lentreprise peut raliser cette opration. Une fois le niveau fonctionnel de la fort augment, les contrleurs de domaine excutant des versions antrieures du systme d'exploitation ne peuvent pas tre introduits dans la fort. Par exemple, si vous augmentez le niveau fonctionnel de la fort Windows Server 2003, les contrleurs de domaine excutant Windows 2000 Server ne peuvent pas tre ajouts cette fort. Dans le cadre de la migration vers Windows 2003 Server dun domaine exclusivement compos de machines sous Windows NT 4.0, il est possible dutiliser le niveau Windows 2003 Server provisoire. Ce niveau ne prend pas en charge les contrleurs de domaine sous Windows 2000 Server.
2.4. Les relations dapprobation

Les relations dapprobations permettent un utilisateur dun domaine donn daccder aux ressources de son domaine, mais aussi dautres domaines (les domaines approuvs). Les relations dapprobations se diffrencient de par leur type (transitif ou non transitif) et de par leur direction (unidirectionnel entrant, unidirectionnel sortant, bidirectionnel).
2.4.1.
Transitivit de lapprobation
Soient trois domaines distincts relis entres eux par les deux relations suivantes : Le domaine A approuve directement le domaine B. Ainsi utilisateur du domaine A peut accder toutes les ressources domaine A et du domaine B. Le domaine B approuve directement le domaine C. Ainsi utilisateur du domaine B peut accder toutes les ressources domaine B et du domaine C. un du un du
Si les deux relations dapprobations de A B et de B C sont transitives, alors le domaine A approuve indirectement le domaine C. Dans ce cas de figure un utilisateur du domaine A peut accder toutes les ressources du domaine A, du domaine B et du domaine C. Si les deux relations dapprobations de A B et de B C ne sont pas transitives, alors le domaine A napprouve pas le domaine C. Dans ce cas de figure, un utilisateur du domaine A ne peut pas accder aux ressources du domaine C.
2.4.2.
Direction de lapprobation
Lors de la cration dune relation dapprobation manuelle sous Windows Server 2003, trois directions dapprobation diffrentes sont utilisables. Si vous avez configur une relation dapprobation unidirectionnelle entrante entre le domaine A et le domaine B, alors les utilisateurs du domaine A peuvent tre authentifis dans le domaine B.
Essentiel infrastructure Active Directory Windows Server 2003 Si vous avez configur une relation dapprobation unidirectionnelle sortante entre le domaine A et le domaine B, alors les utilisateurs du domaine B peuvent tre authentifis dans le domaine A.
18 / 43
Si vous avez configur une relation dapprobation bidirectionnelle entre le domaine A et le domaine B, alors les utilisateurs de chaque domaine peuvent tre authentifis dans les deux domaines.
2.4.3.
Les relations dapprobations
Approbation racine/arborescence Lorsquune nouvelle arborescence est cre au sein dune fort, une relation dapprobation bidirectionnelle transitive lie automatiquement cette nouvelle arborescence au domaine racine de la fort. Dans exemple ci-contre, larborescence supinfo.lan est lie laboms.lan, le domaine racine de la fort, par le biais dune relation racine/arborescence.
Approbation parent-enfant Une approbation parent-enfant est une relation dapprobation bidirectionnelle transitive. Elle est automatiquement cre lorsquun nouveau domaine est ajout une arborescence. Dans lexemple ci-contre, on ajoute le sous domaine paris.supinfo.lan lintrieur du domaine supinfo.lan. Les deux domaines sont automatiquement relis par une relation parent-enfant. Ainsi les utilisateurs du domaine supinfo.lan peuvent tre authentifis dans le domaine paris.supinfo.lan et vice-versa. Approbation raccourcie Une approbation raccourcie est une relation dapprobation partiellement transitive. Elle doit tre dfinie manuellement ainsi que sa direction. Les relations dapprobation raccourcie permettent de rduire les sauts de lauthentification Kerberos. En effet, si un utilisateur du domaine martinique.supinfo.lan souhaite sauthentifier dans le domaine mail.laboms.lan, il doit passer par deux approbations parent/enfant et par une approbation racine/arborescence. Lapprobation raccourcie permet donc dacclrer lauthentification inter-domaine.
Essentiel infrastructure Active Directory Windows Server 2003 Approbation externe Une approbation externe est une relation dapprobation non transitive. Elle doit tre cre manuellement et peut avoir une direction unidirectionnelle ou bidirectionnelle. Lapprobation externe permet de relier des domaines appartenant deux forts distinctes. Approbation de domaine Une approbation de domaine est une relation dapprobation dont la transitivit et la direction doivent tre paramtres par ladministrateur. Lapprobation de domaine permet de relier un domaine sous Active Directory avec un domaine Kerberos non Microsoft. Approbation de fort Une approbation de fort permet de relier lintgralit des domaines de deux forts. Les approbations de fort sont non transitives et leurs directions doivent tre dfinies manuellement. Les deux forts doivent imprativement utiliser le niveau fonctionnel de fort Windows Server 2003. Il ny a pas de transitivit entre les forts.
19 / 43
20 / 43
3. Implmentation d'une structure d'unit d'organisation

3.1. Cration et gestion d'units d'organisation
3.1.1. Prsentation de la gestion des units d'organisation
La cration et la gestion dunits dorganisation passent par quatre phases trs importantes : La planification : Cest la phase la plus importante car cest ce moment que vous allez dterminer le systme hirarchique des objets les uns par rapport aux autres. Ce systme hirarchique sera lpine dorsale de votre systme administratif. Vous devez prvoir aussi la nomenclature de nom des UO ce niveau. Le dploiement : Cest la phase de cration des units dorganisation sur le serveur, elle comprend aussi la phase de dplacement des objets dans les units dorganisation. La maintenance : Cest la phase dexploitation des units dorganisation une fois quelles sont en production. Cela comprend toutes les modifications lies aux modifications courantes dorganisation de lentreprise. La suppression : Tous les objets dans Active Directory occupent un certain espace sur le disque ainsi que sur le rseau lors des rplications.
3.1.2. Mthodes de cration et de gestion des units d'organisation

Afin de pouvoir crer vos units dorganisation, quatre mthodes sont votre disposition : Loutil Utilisateurs et ordinateurs Active Directory : Cet outil graphique est le moyen le plus rapide pour crer une unit dorganisation. Il atteint rapidement ces limites lorsque lon dsire crer plus dune cinquantaine de compte. Les outils en ligne de commande (dsadd, dsmod, drrm) : Ces outils permettent via ligne de commande ou via script batch de crer des units dorganisation. Exemple : dsadd ou "ou= SUPINFO Training Center, dc=supinfo, dc=lan" -u Administrateur -p * Loutil LDIFDE : Cet outil permet de faire de limport et de la modification en masse partir dun fichier texte. La plupart des moteurs LDAP permettent dexporter vers ce format. Exemple : dn: OU=Labo-Cisco,DC=supinfo, DC=lan changetype: delete dn: OU=Labo-Microsoft, DC=supinfo, DC=lan changetype: add objectClass: organizationalUnit Les scripts VBS : Ces scripts permettent de faire de limport dunits dorganisation en ajoutant des conditions pour la cration de ces UO. Exemple : Set objDom = GetObject("LDAP://dc=supinfo,dc=lan")
Essentiel infrastructure Active Directory Windows Server 2003 Set objOU = objDom.Create("OrganizationalUnit", "ou=Salle A") objOU.SetInfo
21 / 43
3.2. Dlgation du contrle administratif des units d'organisation

Active Directory est un systme intgrant la scuris : seuls les comptes ayant reu les permissions adquates peuvent effectuer des oprations sur ces objets (ajout, modification, ). Les administrateurs, en charge de cette affectation de permissions peuvent aussi dlguer des tches dadministration des utilisateurs ou des groupes dutilisateurs.
3.2.1.
Scurit des objets
Dans Active Directory, chaque objet est scuris, ce qui signifie que laccs a chacun deux est cautionn par lexistence de permissions en ce sens. A chaque objet est associ un descripteur de scurit unique qui dfinit les autorisations daccs ncessaires pour lire ou modifier les proprits de cet objet. En ce qui concerne la restriction daccs aux objets ou leurs proprits, le descripteur contient la DACL (Discretionary Access Control List) et en ce qui concerne laudit, le descripteur contient la SACL (System Access Control List). Le contrle daccs dans Active Directory repose non seulement sur les descripteurs de scurit des objets, mais aussi sur les entits de scurit (par exemple un compte dutilisateur ou un compte de machine), et les identificateurs de scurit (SID, dont le fonctionnement est globalement identique celui sous NT 4.0 et Windows 2000). Active Directory tant organis hirarchiquement, il est possible de dfinir des permissions sur un conteneur et de voir ces permissions hrites ses sous conteneurs et ses objets enfants (si on le souhaite). Grce cela, ladministrateur naura pas appliquer les mmes permissions objet par objet, limitant ainsi la charge de travail, et le taux derreurs. Dans le cas o lon dfinirait des permissions spcifiques pour un objet et que ces dernires entrent en conflit avec des permissions hrites, ce seront les permissions hrites qui seront appliques. Dans certains cas, on ne souhaite pas que des permissions soient hrites, il est alors possible de bloquer cet hritage. Par dfaut, lors de la cration dun objet, lhritage est activ. Par consquent, une DACL correspondant aux permissions du conteneur parent est cre pour cet objet. Lors du blocage de lhritage, on dfinit une nouvelle DACL qui sera soit copie depuis la DACL du parent, soit vierge.
3.2.2.
Dlgation de contrle
Il est possible de dlguer un certain niveau dadministration dobjets Active Directory nimporte quel utilisateur, groupe. Ainsi, vous pourrez par exemple dlguer certains droits administratifs dune unit organisationnelle (ex : cration dobjets dans cette UO) un utilisateur. Lun des principaux avantages quoffre cette fonctionnalit de dlgation de contrle est quil nest plus ncessaire dattribuer des droits dadministration tendus un utilisateur lorsquil est ncessaire de permettre un utilisateur deffectuer certaines tches. Sous NT4, si lon souhaitait quun utilisateur dans un domaine gre les comptes dutilisateurs pour son groupe, il fallait le mettre dans le groupe des Oprateurs de comptes, qui lui permet de grer tous les comptes du domaine.
22 / 43
Avec Active Directory, il suffira de cliquez avec le bouton droit sur lUO dans laquelle on souhaite lui dlguer ladministration dune tche et de slectionner Dlguer le contrle. On pourra dfinir quelques paramtres comme les comptes concerns par cette dlgation et le type de dlgation, dans notre cas, Crer, supprimer et grer des comptes dutilisateur (On peut affiner en dlguant des tches personnalises comme par exemple uniquement le droit de rinitialiser les mots de passe sur les objets de compte dutilisateur de lUO, ).
23 / 43
4. Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Le service dannuaire Active Directory distingue trois types de comptes : Le compte dutilisateur permet un utilisateur physique douvrir une session unique sur le domaine et daccder aux ressources partages. Le compte dordinateur permet didentifier un ordinateur physique par le biais dun mcanisme dauthentification. Il est possible dactiver laudit de laccs dun compte dordinateur aux ressources du domaine. Le compte de groupe permet de simplifier ladministration en regroupant des comptes dutilisateurs, dordinateurs ou bien dautres comptes de groupes.
4.1. Implmentation de comptes dutilisateurs

4.1.1. Prsentation du nom dutilisateur principal
Un nom dutilisateur principal ou UPN (User Principal Name) est un nom douverture de session. Il doit tre unique au sein de la fort. Il se dcompose en deux parties spares par le caractre @ : Le prfixe UPN Le suffixe UPN
Par exemple lutilisateur Loc Thobois situ dans le domaine supinfo.com ouvre sa session en utilisant le nom dutilisateur principal suivant : thoboi_l@supinfo.com o thobois_l reprsente le prfixe UPN et supinfo.com le suffixe UPN. Le nom dutilisateur principal nest pas modifi lors du dplacement du compte dutilisateur vers un autre domaine car ce nom est unique dans la fort. De plus Il peut tre utilis en tant quadresse lectronique car il a le mme format quune adresse de messagerie standard. Un utilisateur peut toujours ouvrir une session laide du nom douverture de session dutilisateur prwindows 2000 (dans notre exemple SUPINFO\thoboi_l). En outre, Windows 2003 Server autorise lassignation de suffixes UPN supplmentaires un compte dutilisateur.
4.1.2.
Le Routage des suffixes UPN
Il est possible dajouter ou de supprimer des suffixes UPN dans la fort grce la console Domaines et approbations (accessible en tapant domain.msc dans la boite de dialogue excuter) ou bien par le biais d'un script. Seul un membre du groupe administrateurs de lentreprise est autoris modifier les suffixes UPN. La console Domaines et approbations permet aussi dactiver le routage des suffixes UPN. Le routage des suffixes UPN est un mcanisme fournissant une rsolution de noms UPN inter forts. Ainsi il est possible de dfinir quels suffixes UPN les utilisateurs de la fort 1 pourront utiliser pour sauthentifier dans la fort 2. Bien entendu, les relations dapprobations appropries (approbation de fort) doivent tre dfinies pour permettre le routage des suffixes UPN.
4.2. Implmentation de comptes de groupe

Les groupes permettent de simplifier la gestion de laccs des utilisateurs aux ressources du rseau. Les groupes permettent daffecter en une seule action une ressource un ensemble dutilisateurs au
24 / 43
lieu de rpter laction pour chaque utilisateur. Un utilisateur peut tre membre de plusieurs groupes. Les groupes se diffrencient de par leur type et de par leur tendue.
4.2.1.
Le type de groupe
Il existe deux types de groupes dans Active Directory : Les groupes de scurit : permettent daffecter des utilisateurs et des ordinateurs des ressources. Les groupes de distribution : exploitables entre autres via un logiciel de messagerie.
4.2.2.
LEtendue de groupe
Les deux types de groupes grent chacun trois niveaux dtendue. Les fonctionnalits des tendues de groupe peuvent varier selon le niveau fonctionnel du domaine. Les groupes globaux : Mode mixte Comptes dutilisateurs du mme domaine Groupes locaux du mme domaine Mode natif Comptes dutilisateurs et groupes globaux du mme domaine Groupes locaux de domaines, groupes globaux et groupes universels Visibles dans leur domaine et dans tous les domaines approuvs Tous les domaines de la fort
Membres Membres de Etendue Autorisations pour
Les groupes locaux de domaine (ou groupes de domaine local) : Mode mixte Comptes dutilisateurs et groupes globaux de tout domaine Membres Mode natif Comptes dutilisateurs, groupes globaux et groupes universels dun domaine quelconque de la fort, et groupes locaux de domaine du mme domaine Groupes locaux de domaine du mme domaine
Membres de Etendue Autorisations pour
Membres daucun groupe
Visibles dans leur propre domaine Le domaine dans lequel le groupe local de domaine existe
Les groupes universels : Mode natif Comptes dutilisateurs, groupes globaux et autres groupes universels dun domaine quelconque de la fort. Non utilisables Groupes locaux de domaine et universels de tout domaine. Visibles dans tous les domaines de la fort Tous les domaines de la fort Mode mixte Non utilisables
Membres Membres de Etendue Autorisations pour
25 / 43
4.2.3.
Stratgie dutilisation de groupe dans un domaine
Diverses stratgies sont recommandes afin dattribuer les autorisations sur les ressources du rseau (fichiers/dossiers/imprimantes partages). La stratgie privilgie au sein dun domaine est la stratgie C G DL A : Rassemblez des comptes dutilisateur (C) dans des groupes globaux. Ajoutez les groupes globaux un groupe local de domaine (DL). Affectez les autorisations (A) sur les ressources du domaine sur le groupe local de domaine. . Cette stratgie est aussi appele A G DL P (pour Accounts Global group Domain Local group Permissions) Il existe une volution de cette stratgie qui permet utilisateurs situs dans plusieurs domaines diffrents daccder une ressource donne. Cette stratgie fait intervenir les groupes dtendue universelle et est nomme C G U DL A.
4.3. Outils dadministration et tches administratives

4.3.1. Les outils dadministration
Divers outils sont mis disposition de ladministrateur afin de lui faciliter la gestion des comptes dutilisateurs, dordinateurs et de groupes : Utilisateurs et ordinateurs Active Directory : Console permettant dajouter, modifier et supprimer des comptes dutilisateurs, dordinateurs et de groupe en mode graphique. Dsadd, dsmod, dsrm, : Commandes permettant respectivement de crer, de modifier ou de supprimer des objets dans Active Directory. csvde : Outil en ligne de commande permettant de crer des objets partir dun fichier au format csv (champs dlimits par des virgules). ldifde : Outil en ligne de commande permettant de crer, modifier, supprimer des objets partir dun fichier au format ldif (champs dlimits par des sauts de ligne). WSH : Environnement permettant dexcuter des scripts en VBS ou en JScript.
26 / 43
5. Implmentation d'une stratgie de groupe

5.1. Cration et configuration d'objets Stratgie de groupe
5.1.1. Prsentation dune stratgie de groupe
Une stratgie de groupes est un objet Active Directory qui va contenir un ensemble de paramtres. Ces paramtres vont permettre dagir sur lenvironnement dun utilisateur ou dun ordinateur : Les paramtres de stratgies de groupe pour les ordinateurs dfinissent le comportement du systme dexploitation et dune partie du bureau, la configuration de la scurit. Les paramtres de stratgies de groupe pour les utilisateurs dfinissent les options dapplications affectes et publies, la configuration des applications.
Une stratgie de groupe peut aussi tre appele GPO (Group Policy Object) Cet objet de stratgie de groupe va ensuite tre li un conteneur site, domaine ou unit dorganisation. Cela va permettre dappliquer les paramtres de stratgie de groupe aux objets contenu dans ces conteneurs.
5.1.2.
Composants d'un objet Stratgie de groupe
Un objet de stratgie de groupe se dcompose en deux parties : Une partie qui sera stocke dans la base Active Directory. Cet objet va ensuite tre li des objets de sites, domaines ou units dorganisation. Cet objet permet aussi de grer les versions permettant une rplication optimise. Une partie qui sera stocke dans le rpertoire SYSVOL sous la forme dun rpertoire ayant pour nom le SID de lobjet dans la base Active Directory. Ce rpertoire contient lensemble des fichiers de scripts, de configuration, etc. Le dossier SYSVOL est rpliqu automatiquement entre tous les contrleurs de domaine.
5.1.3. Gestion des Stratgies de groupe par un contrleur de domaine

La modification des paramtres de stratgie de groupe peut se faire sur nimporte quel contrleur de domaine, mais pour viter les conflits un contrleur de domaine soccupe de centraliser lensemble des modifications. Ce contrleur est par dfaut celui ayant le rle de matre doprations Emulateur PDC, mais il est bien videmment possible de le changer avec les options suivantes : Le contrleur de domaine avec le jeton de matre doprations pour lmulateur PDC. Tout contrleur de domaine disponible. Tout contrleur de domaine excutant Windows Server 2003 ou version ultrieure. Ce contrleur de domaine.
5.1.4.
Dfinition des filtres WMI
Pour appliquer une stratgie de groupe, un fois celle-ci lie un conteneur, vous avez la possibilit de crer un script pour dfinir des conditions dapplications.
27 / 43
Exemple : Vous souhaitez dployer une application sur vos postes clients et cette application occupe 1 Go sur le disque dur, avec un script WMI vous avez la possibilit de filtrer lapplication de cette stratgie en testant lespace disque libre sur les stations de travail.
5.2. Configuration des frquences d'actualisation et des paramtres de stratgie de groupe

5.2.1. Planification de lapplication des stratgies de groupe
Lorsque lordinateur dmarre : Les paramtres de la stratgie de groupe dont lobjet ordinateur dpend sont appliqus. Les scripts de ces stratgies sont lancs de faons synchrones (les uns aprs les autres). Lutilisateur ouvre une session : Les paramtres de la stratgie de groupe dont lobjet utilisateur dpend sont appliqus. Les scripts de ces stratgies sont lancs de faons asynchrones (tous en mme temps).
5.2.2. Frquence dactualisation des paramtres de stratgie de groupe

Les stratgies sont ensuite rafrachies toutes les cinq minutes sur les contrleurs de domaine et toutes les 90 minutes (plus une valeur alatoire en 0 et 30 minutes) pour tout les ordinateurs membres du domaine.
5.2.3. Application des stratgies de groupe lors de connexions rseau lentes

Lors de la dtection dune connexion rseau lente (500kb/s par dfaut, modifiable par une GPO), lordinateur dtermine sil est ncessaire ou non de mettre jour les stratgies de groupe. Le comportement en mode connexion lente peut tre dfini laide dune GPO.
5.3. Gestion des objets Stratgie de groupe

En standard, Windows 2003 Server noffre que trs peu de fonction pour la gestion avance des stratgies de groupe, pour combler cela, Microsoft a dvelopp un outil gratuit dadministration ddi la gestion des GPO. Vous pouvez trouver cet outil ladresse suivante : http://www.microsoft.com/downloads/details.aspx?FamilyID=f39e9d60-7e41-4947-82f53330f37adfeb&displaylang=fr
5.3.1.
Copie dune stratgie de groupe
A laide de la console de gestion de stratgie de groupe, il est possible de dupliquer une GPO. Elle conservera tous ces paramtres mais ne sera li aucun objet (sites, domaines, units dorganisations). La possibilit de copier une stratgie est aussi possible entre diffrents domaines
28 / 43
5.3.2.
Sauvegarde et restauration dune stratgie de groupe
Une option de sauvegarde des stratgies de groupe est disponible dans loutil de gestion des stratgies de groupe. Cette option va vous permettre de sauvegarder sous un fichier GPT (Group Policy Template). Vous aurez ensuite la possibilit de restaurer cette stratgie de groupe quand vous le souhaitez.
5.3.3.
Importation dune stratgie de groupe
Le principe de limportation est trs proche de la copie de stratgie de groupe avec pour fonctionnalit supplmentaire de modifier via une table de migration les paramtres (Exemple : Mettre jour les chemins rseaux des paramtres de la GPO).
5.4. Dlgation du contrle administratif de la stratgie de groupe

5.4.1. Dlgation dadministration des stratgies de groupe
Il y a trois aspects la dlgation dune stratgie de groupe : Gestion des liaisons un conteneur (Site, Domaine, Unit dorganisation) Cration dobjets GPO Modification dobjets GPO A laide de lassistant dlgation de contrle, il est possible de dlguer la gestion des liaisons nimporte quelle personne sur un conteneur. Par dfaut, pour pouvoir crer une GPO, il faut tre membre du groupe : Admins de domaine Administrateur de lentreprise Propritaires crateurs de la stratgie de groupe Pour pouvoir modifier une GPO, il faut avoir laccs en lecture/criture, puis tre soit le propritaire de la GPO, soit membre des groupes : Admins de domaine Administrateur de lentreprise
5.4.2.
Dlgation dadministration de filtres WMI
Vous pouvez dlguer la gestion des scripts WMI. Les Scripts WMI sont stocks dans le conteneur nomm WMIScript dans Active Directory. La dlgation dadministration sur les scripts WMI est dtermine par les autorisations sur ce rpertoire.
29 / 43
6. Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

6.1. Prsentation de la gestion du dploiement de logiciels
1. Prparation : Les fichiers dinstallation au format Windows Installer doivent tre copis dans un partage sur un serveur de fichiers sur lequel les utilisateurs concerns auront les droits de lecture. Ce partage est nomm point de distribution. 2. Dploiement : Une GPO doit tre cre afin que les logiciels sinstallent automatiquement lors du dmarrage de lordinateur, louverture de session ou suite une action manuelle de lutilisateur (publication). 3. Maintenance : Le logiciel qui a t dploy peut tre mis jour via le mme procd et un Service Pack peut tre automatiquement dploy sur lensemble des postes sur lesquels le logiciel a t install. 4. Suppression : Lorsque vous voulez dsinstaller un logiciel distance, il suffit de supprimer la GPO permettant le dploiement du logiciel et automatiquement le logiciel sera supprim des machines.
6.2. Prsentation de Windows Installer

Service Windows Installer : service sexcutant sur le client et permettant de raliser les installations distance de faon compltement automatise. Il est capable de modifier ou de rparer automatiquement les logiciels dfectueux. Package Windows Installer : fichier de type .msi contenant toutes les informations ncessaires linstallation du logiciel.
6.3. Dploiement de logiciels

6.3.1. Affectation de logiciels :
Laffectation permet de garantir la prsence dun logiciel pour un utilisateur ou une machine. Dans le cas dune affectation un utilisateur, un raccourci de lapplication va apparatre dans son menu Dmarrer et les types de fichier de lapplication seront directement enregistrs. Des que lutilisateur va cliquer sur le raccourci ou sur un fichier de lapplication (ex : un fichier .doc dans le cas de Word), le logiciel va sinstaller automatiquement. Dans le cas dune affectation un ordinateur, lapplication va sinstaller ds le dmarrage de la machine. Le logiciel sera alors disponible pour tous les utilisateurs de la machine. Laffectation dune application un contrleur de domaine ne fonctionne pas.
6.3.2.
Publication de logiciels :
La publication dun logiciel laisse le choix lutilisateur dinstaller ou non lapplication sur sa machine. Elle ne peut tre mise en uvre que pour un utilisateur et pas pour un ordinateur. Lapplication apparat dans le panneau de configuration Ajout/Suppression de programmes dans une liste regroupant toutes les applications pouvant tre installes.
30 / 43
Une autre mthode permet dinstaller le logiciel en utilisant lappel de documents. Lorsquune application est publie dans lActive Directory les types de fichiers quelle prend en charge sont enregistrs et lorsquun fichier reconnu fait lobjet dune tentative douverture par un utilisateur ayant lapplication correspondante publie, le programme est install.
6.3.3.
Utilisation des modifications de logiciel
Dans certains cas il nest pas ncessaire de dployer une application dans son intgralit, mais une version personnalise de lapplication. Dans ce cas il est possible de modifier le script dinstallation pour raliser une installation spcifique laide des fichiers de modification (fichiers de type .mst).
6.3.4.
Cration de catgories de logiciels
Afin de simplifier linstallation des applications publies il est possible de crer des catgories qui vont viter de chercher lapplication dans une longue liste.
6.3.5. Association dextensions de noms de fichiers des applications

Active Directory maintient une liste des extensions de fichiers et des applications associes. Il nest pas possible de dagir sur cette liste mais il est possible de modifier la priorit des applications pour chaque extension (ex : Word 2000 ou Word XP pour lextension .doc)
6.3.6.
Mise niveau de logiciels dploys
Il existe deux types de mises niveau des logiciels dploys : Mise niveau obligatoire : Le logiciel est remplac automatiquement au prochain dmarrage ou la prochaine ouverture de session. Mise jour facultative : Lutilisateur est libre de faire la mise jour au moment o il le souhaite.
6.3.7.
Redploiement de logiciels
Le redploiement de logiciels permet dappliquer un Service Pack ou un correctif sur un logiciel dj dploy. Une fois que le logiciel est marqu pour tre redploy, il y a trois scnarios possibles. Lapplication est affecte un utilisateur : Les raccourcis et les lments du Registre sont mis jour la prochaine ouverture de session de lutilisateur. Lapplication est affecte un ordinateur : Le Service Pack ou le correctif est install au prochain dmarrage de lordinateur. Lapplication est publie et installe : Les raccourcis et les lments du Registre sont mis jour la prochaine ouverture de session. Le correctif ou le Service Pack sera automatiquement install la prochaine utilisation du logiciel.
6.3.8.
Suppression de logiciels dploys
Lors de la suppression dun logiciel dans lActive Directory, une boite de dialogue souvre et deux options de suppression vous sont proposes : Dsinstallation immdiate : Le logiciel est dsinstall au prochain dmarrage de la machine ou la prochaine ouverture de session de lutilisateur.
31 / 43
Autoriser lutilisateur continuer utiliser le logiciel : Les logiciels ne sont pas dsinstalls mais ils napparatront plus dans la liste du panneau de configuration Ajout/Suppression de programmes.
32 / 43
7. Implmentation de sites pour grer la rplication Active Directory

7.1. Fonctionnement de la rplication
Dans un domaine Windows 2003, un ou plusieurs contrleurs de domaine hbergent la base de donnes Active Directory. La rplication rpercute les modifications apportes a la base de donnes Active Directory depuis un contrleur de domaine sur tous les autres contrleurs de domaine du domaine et ce, de faon transparente pour les administrateurs et les utilisateurs. Cette rplication est qualifie de multi matres car plusieurs contrleurs de domaine (appels matres ou rpliquas) ont la capacit de grer ou modifier les mmes informations dActive Directory. La rplication peut se produire diffrents moments. Par exemple, lors de lajout dobjets sur un contrleur de domaine, on peut dire que la copie de la base de donnes Active Directory quil contient a subit une mise jour dorigine. Lorsque cette mise jour est rplique sur un autre rpliqua du domaine, on dira alors que ce dernier a effectu une mise jour duplique. La mise jour effectue sur le second contrleur peut aussi tre rplique sur un troisime contrleur de domaine. Le processus de rplication nintervient quentre deux contrleurs de domaine la fois. Apres avoir apport une modification sur un contrleur de domaine, un temps de latence (par dfaut 15 secondes) est observ avant denvoyer un message de notification au premier partenaire de rplication. Chaque partenaire direct supplmentaire est inform 3 secondes (valeur par dfaut) aprs la rception de la notification. Lorsquun partenaire de rplication est inform dune modification apporte la base, il rcupre celle ci depuis le contrleur de domaine ayant mis la notification. Dans certains cas, la notification de changement est immdiate, ainsi que la rplication. Cest le cas lors de la modification dattributs dobjets considrs comme critiques du point de vue scurit (par exemple, la dsactivation dun compte). On parle alors de rplication urgente. Toutes les heures (valeur par dfaut paramtrable), si aucune modification na t apporte la base Active Directory, un processus de rplication est lanc. Ceci, pour sassurer que la copie de la base de donnes Active Directory est identique sur tous les contrleurs de domaine.
7.2. Rsolution des conflits de rplication

La rplication DActive Directory tant multi matre, des conflits peuvent survenir lors des mises jour. Pour minimiser les conflits, les contrleurs de domaines se basent sur les modifications apportes aux attributs des objets plutt que les objets eux mme. Ainsi, si deux attributs distincts dun mme objet sont modifis simultanment par deux contrleurs de domaine, il ny aura pas de conflit. Pour rsoudre certains conflits, Active Directory emploie un cachet unique global qui est envoy avec les mises jour dorigine (et uniquement celles-ci). Ce cachet contient les composants suivants (du plus important au moins important): Le numro de version : la numrotation commence 1. Il est incrment de 1 chaque mise jour dorigine.
33 / 43
Dateur : il sagit de la date et de lheure du dbut de la mise a jour, issue de lhorloge systme du contrleur de domaine sur lequel a eu lieu la mise a jour dorigine. Serveur GUID (Globally Unique IDentifier Identificateur universel unique) : il est dfini par le DSA (Directory System Agent) dorigine qui identifie le contrleur de domaine sur lequel a eu lieu la mise jour dorigine.
Pour que les dateurs soient justes, il est impratif que toutes les horloges des contrleurs de domaine soient synchronises. Dans le cas contraire il y a un risque de perte de donnes dans lannuaire ou que ce dernier soit endommag. On dnombre trois types de conflits potentiels : Conflit dattribut : il survient lorsque lattribut dun objet est modifi sur diffrents contrleurs avec des valeurs diffrentes. On rsout le conflit en gardant lattribut modifi ayant la plus grande valeur de cachet. Conflit de conteneur supprim : ce conflit intervient lorsquun objet est ajout dans un conteneur (par exemple un utilisateur dans lUO ventes) alors que ce conteneur a t supprim sur un autre contrleur de domaine. La rplication nayant pas eu lieu, cette suppression na pas encore t prise en compte par tous les contrleurs de domaine. Le conflit est rsolu par la rcupration des objets orphelins dans le conteneur LostAndFound. Conflit RDN (Relative Distinguish Name) : ce conflit se produit lorsquun rpliqua tente de dplacer un objet dans un conteneur dans lequel un autre rpliqua a plac un objet portant le mme nom. Ce conflit est rsolu par le changement de nom de lobjet ayant le cachet le moins important.
7.3. Optimisation de la rplication

Lors de la rplication, un contrleur de domaine peut recevoir plusieurs fois la mme mise jour, car cette dernire peut emprunter diffrents chemins. Active Directory emploie le blocage de propagation pour rduire la quantit de donnes inutiles qui vont transiter dun contrleur de domaine un autre. Ainsi, chaque contrleur de domaine va grer une table de vecteurs contenant entre autre des USN (Update Sequence Number). Les USN servant dterminer ce quil est ncessaire de mettre a jour dans un rpliqua. Lorsquun objet est mis jour, le contrleur de domaine affecte lUSN modifi. Il existe un USN pour chaque attribut et un USN pour chaque objet.
7.4. Topologie de rplication

7.4.1. Partitions dannuaire
La base de donnes Active Directory se compose logiquement de plusieurs partitions dannuaire : la partition de schma, la partition de configuration et les partitions de domaine. Une partition est une unit de rplication indpendante des autres utilisant une procdure de rplication propre.
7.4.1.1.
Partition de schma
Elle contient la dfinition de tous les objets et attributs pouvant tre crs dans lannuaire, ainsi que les rgles de cration et de gestion de ces objets. Ces informations sont rpliques sur tous les contrleurs de domaine de la fort car il ne peut y avoir quun seul schma pour une fort.
7.4.1.2.
Partition de configuration
Elle contient toutes les informations lies la structure dActive Directory, avec entre autres les domaines, domaines enfants, sites, etc
34 / 43
Ces informations sont, elles aussi, rpliques sur tous les contrleurs de domaine afin de maintenir lunicit dans la fort.
7.4.1.3.
Partitions de domaine
Une partition de domaine contient les informations lies aux objets dun domaine Active Directory. Ces informations sont rpliques sur lensemble des DCs du domaine. Par consquent, il peut exister plusieurs partitions de domaine dans une mme fort.
7.4.2.
Topologie de rplication
La topologie de rplication est le chemin que va emprunter le processus de rplication pour mettre jour les donnes sur les contrleurs de domaine. Deux contrleurs de domaine impliqus dans la duplication dActive directory sont lis par des objets de connections, qui sont des chemins de rplication unidirectionnels. On parle aussi de partenaires de rplication. Les objets de connexion peuvent tre crs manuellement par un administrateur o automatiquement, via le KCC. La gestion des objets de connexion se fait par lintermdiaire de la console Sites et Services Active Directory. Lorsque les partenaires de rplications sont directement lis par des objets de connexion, on parle de partenaires de rplication directs. Si lon a trois contrleurs de domaine A,B et C et quil existe des objets de connexion entre A-B et BC, alors A et C sont partenaires de rplication transitifs. Lutilitaire Rplication Monitor Active Directory (replmon.exe) permet de visualiser les partenaires de rplication transitifs.
7.4.3.
Gnration de topologie de rplication automatique
Lorsque lon ajoute un contrleur de domaine un site, Active Directory est capable de lier automatiquement ce contrleur dautres via des paires dobjets de connexion. Ceci afin de prendre en compte ce contrleur dans la rplication. Cest le KCC (Knowledge Consistency Checker vrificateur de cohrence des connaissances) sexcutant sur chaque contrleur de domaine qui est en charge de cela. Cest donc lui qui gnre la topologie de rplication pour la fort. Il utilise entre autre les informations sur les diffrents sites (sous-rseau, type de lien et cot de transmission intersites,) pour calculer le meilleur chemin entre les contrleurs de domaine de la fort. Au sein dun mme site, la topologie par dfaut gnre est un anneau communication bidirectionnelle (deux objet de connexion unidirectionnels en sens opposs entre toutes les paires de contrleurs de domaines). Des liens supplmentaires sont tablis lorsque le nombre de sauts ncessaire pour quune mise jour dorigine atteigne un rpliqua est suprieur trois. Si un problme de communication intersite intervient, le KCC tentera dtablir automatiquement un nouveau chemin de duplication.
7.5. Utilisation des sites pour optimiser la rplication

7.5.1. Prsentation des sites
35 / 43
Un site est reprsent par un ou plusieurs sous rseaux. Par consquent, les sites sappuient sur la structure physique dun rseau, notamment au niveau des interconnexions de rseaux locaux et tendus. Un site est automatiquement mis en place lorsque lon installe le premier contrleur de domaine dans un domaine. Il est nomm Premier-Site-par-dfaut. Ainsi, mme si lon a un rseau non segment en sous rseaux, on aura quand mme un site. Dans le cas dune entreprise ayant son sige dans une ville et une succursale dans une autre ville, si elle dispose de un ou plusieurs sous rseaux par ville, elle pourra crer un site regroupant les sous rseaux de la premire ville et un autre pour les sous rseaux de lautre ville. Un site est constitu dobjets serveurs qui correspondent des contrleurs de domaine. Les objets serveurs sont crs lorsquun serveur sous Windows 2000/2003 est promu en tant que contrleur de domaine. Ils contiennent entre autres des objets connexion ncessaire la rplication. Un site peut contenir des contrleurs de domaine de nimporte quel domaine dune fort. Pour crer un site, il faut utiliser loutil dadministration Sites et services Active Directory situe dans les outils dadministration. On peut y dfinir des sous rseaux (reprsents par des objets sous-rseau) en prcisant ladresse du sous rseau, le masque de sous rseau ainsi que le site correspondant. La mise en place de sites permet : Loptimisation du trafic de rplication entre les sites. La localisant les ressources du rseau (ex : un utilisateur qui ouvre une session le feras sur un contrleur de domaine situ sur le mme site que lui).
En somme lintrt des sites dans un rseau peut tre de contrler le volume de donnes lis au fonctionnement dActive Directory (trafic de rplication et de connexion). Ceci permet de limiter lengorgement des liens entre les sous rseaux, en gnral, une ligne spcialise, voir mme un simple modem 56K.
7.5.2.
Rplication intrasite
Elle se produit entre les contrleurs de domaine situs sur un mme site. Les donnes lies ce type de rplication ne sont pas compresses par dfaut car on considre que les connexions rseau des machines dun mme site sont rapides et fiables. Cela limite le temps processeur utilis par les contrleurs de domaine pour la compression.
7.5.3.
Rplication intersite
Elle permet diffrents sites de rcuprer les modifications apportes Active Directory depuis un contrleur de domaine situ sur un site, et ce, en empruntant des chemins considrs comme non fiables et avec une faible bande passante. If faudra crer des liens de site pour lesquels il faudra dfinir manuellement un certain nombre de paramtres pour dterminer le moment auquel la rplication intervient et la frquence laquelle les contrleurs de domaine vrifieront si des modifications ont t apportes Active Directory. Le trafic li la rplication intersite est compress avec un ratio denviron 15% pour transiter efficacement par des liaisons faible dbit. Linconvnient est la charge CPU supplmentaire sur les contrleurs de domaine. La duplication intersite tant programme manuellement, le systme de notification des modifications nest employ que pour le trafic intrasite.
36 / 43
7.5.4.
Notion de cot
Lors de la mise en place des liens de sites, on peut dfinir un certain nombre de proprits, et notamment le cot. Le cot dun lien de site est un nombre qui reprsente lefficacit, la vitesse, la fiabilit (relatifs) dun chemin, un peu limage des routeurs. Le trafic de duplication empruntera toujours le chemin (un chemin peut tre compos dun ou plusieurs liens de sites) dont le cot total sera le plus faible. Par exemple, si nous avons trois sites A, B, C et quil existe des liens intersites A-B (cot 100), B-C (cot 10), C-A (cot 10), le trafic de duplication entre A et B empruntera le chemin AC puis CB, pour un cot total de 20 au lieu de A-B pour un cot de 100. Le cot par dfaut dun lien intersite est de 100.
7.5.5.
Serveur tte de pont
Dans la duplication intersites, un ou plusieurs serveurs sur chaque site peuvent servir de ponts entre les sites par lesquels le trafic de duplication va se propager. On les nomme les serveurs ttes de pont. Par consquent, les duplications intersites passent uniquement par des ttes de ponts. Dans chaque site, un contrleur de domaine est automatiquement dsign comme serveur tte de pont par lISTG (InterSite Topology Generator ou gnrateur de topologie inter-site), charg de mettre en uvre la rplication intersite (cest un contrleur de domaine de la fort). Lorsquun serveur tte de pont reoit une mise jour depuis un autre site, il la communiquera aux contrleurs de domaine de son site suivant la procdure classique de duplication intrasite. Il est possible de dfinir manuellement des serveurs ttes de pont plutt que de laisser lISTG choisir. Le serveur tte de pont peut tre dtermin en allant dans loutil dadministration Sites et services Active Directory situ dans les outils dadministration.
7.6. Protocoles de rplication

Les ordinateurs emploient des protocoles de rplication pour transmettre leurs mises jour dActive Directory. Le protocole RPC (encore appel RPC sur IP) est employ lors de la duplication intrasite. Ce dernier assure une connexion fiable et grande vitesse. Dans le cas de la duplication intersites, il est possible de paramtrer le protocole employ, savoir RPC ou SMTP (Simple Mail Transfer Protocol). En gnral, on utilisera RPC pour la rplication intersite. Le protocole SMTP ne peut tre utilis quavec des contrleurs de domaine se trouvant dans des domaines et des sites diffrents, il ne prend pas en charge la rplication de la partition de domaine. De plus il ncessite une autorit de certification pour signer les messages SMTP.
37 / 43
8. Implmentation du placement des contrleurs de domaine

8.1. Le rle du serveur de catalogue global
8.1.1. Dfinition du serveur de catalogue global
Le catalogue global ou GC (Global Catalogue) permet aux utilisateurs deffectuer 2 tches importantes : Trouver des informations Active Directory sur toutes la fort, quel que soit lemplacement des ces donnes. Utiliser des informations dappartenance des groupes universels pour ouvrir une session sur le rseau. Un serveur de catalogue global est un contrleur de domaine qui conserve une copie du catalogue global et peut ainsi traiter les requtes qui lui sont destines. Le premier contrleur de domaine est automatiquement le serveur de catalogue global. Il est possible de configurer dautres contrleurs de domaine en serveur de catalogue global afin de rguler le trafic.
8.1.2. Limportance du catalogue global dans le processus dauthentification

Voici les tapes importantes qui sont ralises lorsquun utilisateur sauthentifie sur le domaine : 1. Lutilisateur entre des informations didentification (son identifiant, son mot de passe ainsi que le domaine sur lequel il souhaite ouvrir une session) sur un ordinateur membre du domaine afin douvrir une session. 2. Ces informations didentification sont cryptes par le centre de distribution de clefs ou KDC (pour Key distribution Center), puis envoyes lun des contrleurs de domaine du domaine de lordinateur client. 3. Le contrleur de domaine compare les informations didentification cryptes du client avec celles se trouvant sur Active Directory (les informations stockes dans le service dannuaire Active Directory qui sont cryptes nativement). Si les informations concordent alors le processus continue, sinon il est interrompu. 4. Le contrleur de domaine cre ensuite la liste de tous les groupes dont lutilisateur est membre. Pour cela, le contrleur de domaine interroge un serveur de catalogue global. 5. Le contrleur de domaine fournit ensuite au client un ticket daccord ou TGT (Ticket Granting Ticket). Le TGT contient les identificateurs de scurit ou SID (Security Identifier) des groupes dont lutilisateur est membre (Un TGT expire au bout de 8 heures ou bien quand lutilisateur ferme sa session). 6. Une fois que lordinateur client a reu le TGT, lutilisateur est authentifi et peut tenter de charger son profil et daccder aux ressources du rseau. Si le serveur de catalogue global nest pas joignable, le processus dauthentification est mis en chec. En effet, le contrleur de domaine ne peut pas obtenir les SID des groupes dont lutilisateur
38 / 43
est membre lorsque le serveur de catalogue global est indisponible. Dans ce cas le contrleur de domaine nmet pas de TGT et lutilisateur ne peut pas ouvrir sa session.
8.1.3. Limportance du catalogue global dans le processus dautorisation

Voici les tapes importantes qui sont ralises lorsquun utilisateur authentifi essaye daccder une ressource sur le domaine : 1. Le client essaye daccder une ressource situe le rseau (ex. : serveur de fichier). 2. Le client utilise le TGT qui lui a t remis lors du processus dauthentification pour accder au service daccord de ticket ou TGS (Ticket Granting Service) situ sur le contrleur de domaine. 3. Le TGS met un ticket de session pour le serveur sur lequel se trouve la ressource quil envoie au client. Le ticket de session contient les identificateurs SID des groupes auxquels lutilisateur appartient. 4. Le client envoie son Ticket de session au serveur de fichier. 5. Lautorit de scurit locale ou LSA (pour Local Security Authority) du serveur de fichier utilise les informations du ticket de session pour crer un jeton daccs. 6. Lautorit LSA contacte ensuite le contrleur de domaine et lui envoie les SIDs de tous les groupes figurant dans la liste DACL (Discretionary ACcess List) de la ressource. Le contrleur de domaine doit ensuite joindre un serveur de catalogue global afin de connatre les identificateurs de scurit (ou SIDs) des groupes de la liste DACL dont lutilisateur est membre. 7. Enfin, lautorit LSA compare les identificateurs SID du jeton daccs avec les SID des groupes dont lutilisateur est membre et qui figurent dans la liste DACL. Si les groupes auxquels lutilisateur appartient sont autoriss accder la ressource alors lutilisateur peut accder la ressource sinon, laccs est refus. Si le serveur de catalogue global est indisponible, alors le processus dautorisation ne peut pas se poursuivre et lutilisateur ne peut pas accder la ressource.
8.1.4.
La mise en cache de lappartenance au groupe universel
La fonction de mise en cache de lappartenance au groupe universel est disponible uniquement sur les contrleurs de domaine excutant Windows 2003 server. La mise en cache de lappartenance au groupe universel consiste stocker sur un contrleur de domaine les rsultats des requtes effectues auprs dun serveur de catalogue global. La mise en cache de lappartenance au groupe universel est principalement utilise lorsque deux sites sont relis entre eux par une liaison WAN (Wide Area Network) possdant une faible bande passante (par exemple une connexion RNIS 128Kb/s). En effet, dans ce cas de figure la connexion WAN impose diverses restrictions au niveau de limplmentation du rseau : Il est obligatoire de placer un contrleur de domaine dans le site distant sinon la connexion ralentira les ouvertures de session. Il nest pas possible dhberger le catalogue global sur le site distant car la rplication entre les serveurs de catalogue global entrane un trafic rseau trop important.
39 / 43
Malgr le fait quun contrleur de domaine soit disponible en local dans le site distant, le trafic entre les deux sites reste lev puisque pour chaque ouverture de session ou bien chaque accs une ressource partage, le contrleur de domaine accde un serveur de catalogue global situ dans la maison mre. Une solution ce problme est donc limplmentation de la mise en cache de lappartenance au groupe universel. Le schma ci-dessous illustre lutilisation classique de la mise en cache de lappartenance au groupe universel :
Lorsquun utilisateur du site Martinique tente douvrir sa session pour la premire fois, il contacte le contrleur de domaine qui va lui-mme contacter le serveur de catalogue global (GS sur le schma) afin de rcuprer les SIDs des groupes dont lutilisateur est membre. Le contrleur de domaine va ensuite mettre en cache les informations quil a reues du serveur de catalogue global pendant une dure de 8 heures (dure par dfaut). La mme opration (mise en cache) est effectue lors du premier accs de lutilisateur une ressource partage. Si lutilisateur se logue de manire rcurrente sur le domaine ou bien si il accde rgulirement des partages rseaux, le contrleur de domaine du site Martinique utilise les informations situes dans son cache. Cela offre trois grands avantages : Les authentifications des utilisateurs et les accs aux ressources du rseau sont moins dpendantes de la liaison WAN. Le trafic dauthentification et dautorisation au niveau de la liaison WAN utilise peu de bande passante. La rsolution de lappartenance au groupe universel est plus rapide puisque le contrleur de domaine possde les informations ncessaires en local.
40 / 43
9. Gestion des matres d'oprations

9.1. Prsentation des matres doprations
Les modifications dActive Directory peuvent tre faites sur nimporte quel contrleur de domaine. Il y a toutefois 5 exceptions pour lesquelles les modifications sont faites sur un et un seul contrleur de domaine particulier : les 5 rles des matres doprations. Voici les cinq rles des matres doprations : Contrleur de schma Matre dattribution des noms de domaine Emulateur CPD Matre didentificateur relatif Matre dinfrastructure. Les deux premiers sont assigns au niveau de la fort, les trois derniers au niveau du domaine. Ce qui implique sil y a plusieurs domaines dans une fort, autant de matres doprations pour les trois derniers rles, que de domaines. Par dfaut le premier contrleur de domaine dune nouvelle fort contient les cinq rles.
9.1.1.
Rle du contrleur de schma
Il est le seul dans une fort pouvoir modifier le schma. Il duplique les modifications aux autres contrleurs de domaine dans la fort lorsquil y a eut une modification du schma. Le fait davoir un seul ordinateur qui gre le schma vite tout risque de conflits. Un seul groupe peut faire des modifications sur le schma : le groupe administrateurs du schma .
9.1.2.
Matre dattribution de nom de domaine
Seul le contrleur de domaine ayant ce rle, est habilit ajouter un domaine dans une fort. Si le matre dopration dattribution de nom de domaine nest pas disponible, il est impossible dajouter ou de supprimer un domaine la fort. Du fait de son rle, le matre dattribution de nom de domaine est aussi un serveur de catalogue global. En effet pour viter tous problmes, celui-ci doit connatre tous les noms des objets prsents dans la fort.
9.1.3.
Emulateur CPD (PDC)
Ce rle a t cr principalement dans un souci de permettre une compatibilit avec les versions antrieures de Windows 2000. Rle propre aux versions antrieures Windows 2000 : Il permet la prise en charge des BDC Windows NT4. Il a la gestion des modifications des mots de passes pour des clients antrieurs Windows 2000. Autres Rles : Authentification de secours: Lorsque vous avez modifi votre mot de passe sur votre ordinateur, et que vous vous connectez peu de temps aprs sur une autre machine, il se peut que la rplication du changement de votre mot de passe nait pas encore t effectue. Dans ce
41 / 43
cas, le DC qui vrifie votre mot de passe va demander lmulateur CPD si votre mot de passe na pas t chang avant de vous refuser laccs. Synchroniser lheure de tous les DC en fonction de son horloge. Elimine les risques dcrasement dobjets GPO : par dfaut la modification de GPO se fait sur ce DC.
9.1.4.
Matre RID
Un SID est compos de deux blocs : un identificateur de domaine et un RID (Identificateur unique dans le domaine). Pour quil ne puisse y avoir deux DC qui assignent le mme SID deux objets diffrents, le matre RID distribue une plage de RID chacun des DC. Lorsque la plage de RID a t utilise, le DC demande une nouvelle plage de RID au matre RID. Le matre RID aussi la charge des dplacements inter-domaines, pour viter la duplication de lobjet.
9.1.5.
Matre dinfrastructure
Le matre dinfrastructure sert mettre jour, dans son domaine, les rfrences des objets situs dans dautres domaines. Si des modifications dun objet du domaine surviennent (dplacement intra et extra domaine), alors si cet objet est li un ou plusieurs objets dautres domaines, le matre dinfrastructure est responsable de la mise jour vers les autres domaines. La mise jour se fait par le biais dune rplication. Un Matre dinfrastructure ne peut tre aussi un serveur de catalogue global.
9.2. Transfert et prise de rles de matres doprations

Si le serveur dfaillant sera rapidement remis en marche, ne transfrez pas le rle de matre dopration. On ne transfre le rle de matre dopration que lorsque le serveur ne pourra pas tre remis en marche ou dans des dlais longs. (La limite en temps est vague car elle dpend de lenvironnement de votre rseau, cela peut tre une journe comme une semaine).
9.2.1.
La dfaillance de lEmulateur de CPD
La dfaillance est la plus handicapante : Les ordinateurs clients excutant une version antrieure Windows 2000 ne pourront plus sauthentifier. Perte de la diminution de latence pour la mise jour des mots de passe. Eventuelle perte de synchronisation horaire entre les contrleurs.
9.2.2.
Dfaillance du matre dinfrastructure
Limite le dplacement des objets dans Active Directory
9.2.3.
Dfaillance des autres matres doprations
Ces dfaillances sont les moins gnantes. Il est prfrable de restaurer une sauvegarde de ces matres doprations plutt que de les transfrer, le transfert de ces matres doprations peut entraner des erreurs dans les donnes. La prise du rle de ces matres doprations ne doit tre envisage quen dernier recours.
42 / 43
10. Maintenance d'Active Directory

10.1. Entretien de la base de donnes Active Directory
La sauvegarde dActive Directory doit tre effectue rgulirement. La sauvegarde de lEtat du Systme sur un DC sauvegarde la base de donnes AD (ainsi que le dossier sysvol, le Registre, les fichiers de dmarrage du systme, linscription des classes et les certificats). La dfragmentation dActive Directory doit tre effectue de temps en temps, pour viter que la base de donnes AD ne prenne trop despace disque. (Lutilitaire NTDSUTIL permet de dfragmenter la base de donnes). Lors de la dfragmentation la base de donnes AD est dplace, loriginal peut tre conserv en tant que backup. Le dplacement de la base de donnes AD peut tre ncessaire lors dun manque despace disque.
10.1.1.

Fichiers dActive Directory
Ntds.dit : Base de donnes contenant les objets dActive Directory. Edb*.log : Journal des modifications sur la base de donnes Edb.chk : Fichier de contrle, permet de ne pas perdre dinformations ou de corrompre la base de donnes lors dun sinistre. Res*.log : ces fichiers ne sont l que pour rserver de lespace disque pour le fichier de journal.
Le moteur de la base de donnes Active Directory est nomm ESE (Extensive Storage Engine)
10.1.2.
Nettoyage de la mmoire
Un processus sexcute toutes les douze heures pour supprimer les objets obsoltes dActive Directory et dfragmenter la mmoire utilise par Active Directory. Lors de la suppression dun objet Active Directory, il est plac dans le conteneur Deleted Objects et lorsquil aura dpass sa dure de vie dsactive (par dfaut 60 jours), le processus de nettoyage de la mmoire le supprimera.
10.1.3.
Restauration dActive Directory
Il existe trois types de restauration : Force (authoritative) Normale ou Non Force (non authoritative) Principale
Une restauration force est utile dans le cas ou vous avez effac des objets dans Active Directory par erreur, et que la rplication a t effectue entre les diffrents contrleurs de domaines. Les objets effacs vont tre restaurs et rpliqus aux autres DC. Une restauration non force, est une restauration dite normale toutes les modifications faites depuis la sauvegarde vont tre rcupres lors de la prochaine rplication entre les DCs. La restauration principale doit tre utilise uniquement lorsque les donnes contenues dans tous les contrleurs de domaine du domaine sont perdues. Une restauration principale reconstruit le premier contrleur de domaine partir de la version sauvegarde. Utilisez ensuite la restauration normale sur les autres contrleurs de domaine. Ce mode doit tre utilis lorsquil nexiste aucune autre
43 / 43
manire de reconstruire le domaine. En effet, toutes les modifications postrieures la sauvegarde sont perdues.

Essentiel Windows 2003

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Essentiel Windows 2003

Transféré par

Droits d'auteur :

Formats disponibles

http://www.laboratoire-microsoft.

Essentiel Windows 2003

Essentiel infrastructure Active Directory Windows Server 2003

Table des matires

Essentiel infrastructure Active Directory Windows Server 2003

Essentiel infrastructure Active Directory Windows Server 2003

Essentiel infrastructure Active Directory Windows Server 2003

1. Introduction linfrastructure Active

Dfinition dActive Directory

Objets Active Directory

Schma Active Directory

Essentiel infrastructure Active Directory Windows Server 2003

1.2. Structure logique dActive Directory

Essentiel infrastructure Active Directory Windows Server 2003

Les Units dorganisation

Essentiel infrastructure Active Directory Windows Server 2003

Les rles de matres dopration

Essentiel infrastructure Active Directory Windows Server 2003

1.3. Structure Physique dActive Directory

Sites et liens de sites

Essentiel infrastructure Active Directory Windows Server 2003

1.4. Mthodes dadministration dun rseau Windows 2003

Les outils dadministration dActive Directory

Essentiel infrastructure Active Directory Windows Server 2003

Gestion de lenvironnement utilisateur

Dlgation du contrle dadministration

Essentiel infrastructure Active Directory Windows Server 2003

Essentiel infrastructure Active Directory Windows Server 2003

2. Implmentation dune structure de fort et de domaine Active Directory

2.1. Installation dActive Directory

Le processus dinstallation dActive Directory

Les tapes post installation

Essentiel infrastructure Active Directory Windows Server 2003

2.2. Implmentation du systme DNS pour la prise en charge dActive Directory

Le rle du Systme DNS dans Active Directory

Les zones DNS intgres Active Directory

Essentiel infrastructure Active Directory Windows Server 2003

2.2.3. Les enregistrements de ressources cres lors de linstallation dActive Directory

2.3. Les diffrents niveaux fonctionnels

Les niveaux fonctionnels de domaine

Laugmentation dun niveau fonctionnel de domaine

Essentiel infrastructure Active Directory Windows Server 2003

Les niveaux fonctionnels de fort

Essentiel infrastructure Active Directory Windows Server 2003

Laugmentation dun niveau fonctionnel de fort

2.4. Les relations dapprobation

Les relations dapprobations

Essentiel infrastructure Active Directory Windows Server 2003

3. Implmentation d'une structure d'unit d'organisation

3.1.2. Mthodes de cration et de gestion des units d'organisation

3.2. Dlgation du contrle administratif des units d'organisation

Scurit des objets

Essentiel infrastructure Active Directory Windows Server 2003

Essentiel infrastructure Active Directory Windows Server 2003

4. Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

4.1. Implmentation de comptes dutilisateurs

Le Routage des suffixes UPN

4.2. Implmentation de comptes de groupe

Essentiel infrastructure Active Directory Windows Server 2003

Membres Membres de Etendue Autorisations pour

Membres de Etendue Autorisations pour

Membres daucun groupe

Membres Membres de Etendue Autorisations pour