Vous êtes sur la page 1sur 48

Architecture Active Directory

Systme d'exploitation Livre blanc

Rsum
Pour pouvoir utiliser le systme d'exploitation Microsoft Windows 2000 Server le plus efficacement possible, vous devez d'abord comprendre ce qu'est le service d'annuaire Active Directory. Ce nouveau service Windows 2000 tient un rle majeur dans la mise en uvre du rseau de votre organisation et, par consquent, dans la ralisation de vos objectifs professionnels. Ce document prsente Active Directory aux administrateurs rseau, expose son architecture et dcrit son mode de fonctionnement avec les applications et les autres services d'annuaire. Ce document s'appuie sur les informations disponibles l'heure du lancement de la version Bta 3 de Windows 2000. Les informations fournies pourront faire l'objet de modifications jusqu'au lancement de la version finale de Windows 2000 Server.

Introduction
La comprhension du service d'annuaire Active Directory est la premire tape qui vous permet de comprendre le fonctionnement de Windows 2000 et la manire dont ce systme d'exploitation peut vous aider atteindre les objectifs de votre entreprise. Ce document s'intresse Active Directory sous trois perspectives diffrentes : Stockage. Active Directory, le service d'annuaire de Windows 2000 Server, enregistre sous la forme de hirarchies les informations relatives aux objets du rseau et met ces informations la disposition des administrateurs, des utilisateurs et des applications. La premire section de ce document donne la dfinition d'un service d'annuaire, dcrit l'intgration du service Active Directory avec le systme DNS (Domain Name System) Internet et explique l'actualisation de Active Directory lorsqu'un serveur est dsign en tant que contrleur de domaine1. Structure. Active Directory permet d'organiser le rseau et ses objets l'aide d'entits telles que les domaines, les arborescences, les forts, les relations d'approbation, les units d'organisation et les sites. La deuxime section de ce document dcrit la structure et la fonction de ces composants Active Directory, ainsi que la manire dont cette architecture permet aux administrateurs de grer le rseau pour que les utilisateurs puissent atteindre leurs objectifs professionnels. Intercommunications. Comme Active Directory s'appuie sur des protocoles d'accs aux annuaires standard, il peut fonctionner avec d'autres services d'annuaire. De mme, les applications tierces qui prennent en charge ces protocoles peuvent accder au service. La dernire section de ce document dcrit les relations entre Active Directory et de nombreuses autres technologies.

Avantages offerts par Active Directory


L'introduction de Active Directory dans le systme d'exploitation Windows 2000 apporte les avantages suivants : Intgration avec DNS. Active Directory utilise le systme DNS (Domain Name System). DNS est un service standard Internet qui convertit les noms d'ordinateur lisibles par les utilisateurs (comme mon_ordinateur.microsoft.com) en adresses IP (Internet Protocol) numriques lisibles par les ordinateurs (quatre numros

spars par des points). Ainsi, des processus s'excutant sur des ordinateurs inscrits dans des rseaux TCP/IP peuvent s'identifier et se connecter entre eux. Flexibilit des requtes. Les utilisateurs et les administrateurs peuvent utiliser la commande Rechercher du menu Dmarrer, l'icne Favoris rseau sur le bureau ou le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour rechercher rapidement un objet sur le rseau sur la base de ses proprits. Par exemple, vous pouvez effectuer la recherche sur le prnom, le nom, le nom de messagerie, l'emplacement du bureau ou d'autres proprits du compte d'utilisateur. L'utilisation du catalogue global optimise la recherche d'informations. Capacits d'extension. Active Directory est extensible. En d'autres termes, les administrateurs peuvent ajouter de nouvelles classes d'objets au schma et de nouveaux attributs aux classes d'objets existantes. Le schma contient une dfinition de toutes les classes d'objets et de leurs attributs, qui peuvent tre enregistrs dans l'annuaire. Par exemple, vous pouvez ajouter un attribut Autorisation d'achat l'objet Utilisateur, puis enregistrer la limite d'autorisation d'achat de chaque utilisateur dans son compte d'utilisateur. Administration par stratgie. Les stratgies de groupe sont des paramtres de configuration appliqus aux ordinateurs ou aux utilisateurs lors de leur initialisation. Tous les paramtres de stratgie de groupe sont contenus dans les objets Stratgie de groupe (GPO) appliqus aux sites, aux domaines ou aux units d'organisation Active Directory. Les paramtres GPO dfinissent l'accs aux objets d'annuaire et aux ressources de domaine, les ressources de domaine (telles que les applications) mises la disposition des utilisateurs et la configuration de ces ressources. Adaptabilit. Active Directory inclut un ou plusieurs domaines, possdant chacun un ou plusieurs contrleurs de domaine, vous permettant d'adapter l'annuaire aux conditions requises par le rseau. Plusieurs domaines peuvent tre associs dans une arborescence de domaines et plusieurs arborescences de domaines peuvent tre regroupes dans une fort. La structure la plus simple possible, un rseau un seul domaine, est la fois un arborescence unique et une fort unique. Rplication d'informations. Active Directory utilise la rplication multimatre, qui vous permet de mettre jour l'annuaire sur n'importe quel contrleur de domaine. Le dploiement de plusieurs contrleurs de domaine dans un seul domaine garantit la tolrance de pannes et l'quilibrage de charge. Si le fonctionnement d'un contrleur de domaine au sein d'un domaine ralentit, s'arrte ou choue, les autres contrleurs du mme domaine peuvent fournir un accs l'annuaire, tant donn qu'ils possdent les mmes donnes d'annuaire. Scurit des informations. La gestion de l'authentification des utilisateurs et le contrle d'accs, tous deux entirement intgrs dans Active Directory, sont les fonctionnalits de scurit cls du systme d'exploitation Windows 2000. Active Directory centralise l'authentification. Le contrle d'accs peut tre dfini non seulement sur chaque objet de l'annuaire, mais aussi sur chaque proprit de ces objets. En outre, Active Directory fournit la fois le stockage et l'tendue d'application des stratgies de scurit. (Pour plus d'informations sur l'authentification d'ouverture de session et le contrle d'accs Active Directory, voir la section Pour plus d'informations la fin de ce document.) Interoprabilit. Comme Active Directory s'appuie sur des protocoles d'accs aux annuaires standard, tels que LDAP (Lightweight Directory Access Protocol), il peut fonctionner avec d'autres services d'annuaire utilisant ces protocoles. Plusieurs interfaces de programmation d'applications (API), telles que l'interface ADSI (Active Directory Service Interface), permettent aux dveloppeurs d'accder ces protocoles.

la fin de ce document, l'annexe A, Outils , prsente les outils logiciels qui vous permettent d'excuter les tches associes Active Directory.

Service d'annuaire Active Directory


Avant d'aborder les sections principales de ce document (l'architecture de Active Directory et son interoprabilit), cette section prliminaire analyse rapidement Active Directory sous deux perspectives trs diffrentes : La premire considre Active Directory sous sa forme la plus abstraite, c'est-dire un espace de noms intgr au systme DNS (Domain Name System) Internet. La seconde consiste voir Active Directory sous sa forme la plus banale, c'est-dire un logiciel qui transforme un serveur en contrleur de domaine.

Dans le contexte d'un rseau d'ordinateurs, un annuaire (aussi appel un magasin de donnes) est une structure hirarchique permettant de stocker les informations sur les objets du rseau. Ces objets comprennent les ressources partages comme les serveurs, les volumes partags et les imprimantes, les comptes d'utilisateur et d'ordinateur rseau, ainsi que les domaines, les applications, les services, les stratgies de scurit et peu prs tout ce qui reste sur votre rseau. Les informations qu'un annuaire de rseau peut stocker pour un compte d'utilisateur sur un type particulier d'objet sont en gnral le nom d'utilisateur, le mot de passe, l'adresse de messagerie, le numro de tlphone, etc. Un service d'annuaire diffre d'un annuaire en ce qu'il constitue la fois la source d'informations et les services rendant ces informations disponibles et exploitables aux administrateurs, aux utilisateurs, aux services rseau et aux applications. Idalement, un service d'annuaire rend la topologie du rseau physique et les protocoles (formats de transmission des donnes entre deux priphriques) transparents, de sorte qu'un utilisateur peut accder toute ressource sans savoir o et comment elle est connecte physiquement. Pour reprendre l'exemple du compte d'utilisateur, c'est le service d'annuaire qui permet aux autres utilisateurs autoriss sur le mme rseau d'accder aux informations enregistres (comme par exemple une adresse de messagerie) sur l'objet Compte d'utilisateur. Les services d'annuaire prennent en charge une large palette de fonctionnalits. Certains sont intgrs un systme d'exploitation et d'autres sont des applications, telles que les annuaires de messagerie. Les services d'annuaire de systme d'exploitation, comme Active Directory, permettent de grer des utilisateurs, des ordinateurs et des ressources partages. Les services d'annuaire qui prennent en charge la messagerie lectronique, comme Microsoft Exchange, permettent aux utilisateurs de rechercher d'autres utilisateurs et de leur envoyer des messages. Active Directory, le nouveau service d'annuaire central du systme d'exploitation Windows 2000 Server, s'excute uniquement sur des contrleurs de domaine. Active Directory ne fournit pas seulement un emplacement de stockage de donnes et de services permettant de rendre ces donnes accessibles , mais protge galement les objets du rseau contre les accs non autoriss et rplique les objets pour viter toute perte de donnes lors de l'chec d'un contrleur de domaine.

Intgration de DNS dans Active Directory


Active Directory et DNS sont deux espaces de noms. Toute zone dlimite, au sein de laquelle un nom donn peut tre rsolu, constitue un espace de noms. La rsolution de nom consiste passer d'un nom l'objet ou l'information que ce nom reprsente. Un annuaire tlphonique constitue un espace de noms dans lequel les noms des abonns peuvent tre rsolus en numros de tlphone. Le systme de fichiers NTFS de Windows 2000 constitue un espace de noms dans lequel le nom d'un fichier peut tre rsolu pour obtenir le fichier lui-mme. DNS et Internet

Pour comprendre comment Windows 2000 utilise les espaces de noms Active Directory et DNS, il convient de s'intresser quelques lments de base du systme DNS lui-mme et ses relations avec Internet et le protocole TCP/IP. Internet est un rseau TCP/IP. Les protocoles de communication TCP/IP permettent de connecter des ordinateurs et de les laisser transmettre des donnes sur les rseaux. Chaque ordinateur sur Internet ou sur tout autre rseau TCP/IP (un rseau Windows, par exemple) possde une adresse IP. DNS localise les htes TCP/IP (ordinateurs) en traduisant les noms d'ordinateur que les utilisateurs comprennent en adresses IP comprhensibles pour les ordinateurs. Les adresses IP sur Internet sont gres l'aide de la base de donnes DNS distribue globalement, mais DNS peut galement tre mis en uvre localement pour grer les adresses sur des rseaux TCP/IP privs. DNS, organis en une arborescence de domaines, fait d'Internet un espace de noms unique. DNS possde plusieurs domaines de premier niveau, subdiviss en domaines de second niveau. La racine de l'espace de noms du domaine Internet est gre par une autorit Internet (actuellement, InterNIC, le centre d'informations du rseau Internet) responsable de la dlgation des responsabilits d'administration des domaines de premier niveau de l'espace de noms DNS et de l'enregistrement des noms de domaines de second niveau. Les domaines de premier niveau sont les domaines commerciaux (.com), ducatifs (.edu), gouvernementaux (.gov), etc. En-dehors des tats-Unis, des codes de pays/rgion deux lettres sont utiliss, comme par exemple .fr pour la France. Les domaines de second niveau reprsentent des espaces de noms auxquels sont inscrits de manire formelle des institutions (et des utilisateurs individuels) pour bnficier d'une prsence sur Internet. La figure 1 montre comment un rseau d'entreprise se connecte l'espace de noms DNS d'Internet.

Figure 1. Intgration de l'espace de noms DNS d'Internet par Microsoft Intgration des espaces de noms DNS et Active Directory L'intgration de DNS et de Active Directory reprsente une fonctionnalit centrale de Windows 2000 Server. Les domaines DNS et Active Directory utilisent des noms de domaines identiques. Comme les deux espaces de noms partagent une structure de domaines identique, il est important de bien comprendre qu'ils ne reprsentent pas le mme espace de noms. Chacun d'eux enregistre des donnes diffrentes et gre ainsi des objets diffrents. DNS stocke les enregistrements de ressources et de zones 2 ; Active Directory stocke ses domaines et leurs objets.

Les noms de domaines DNS s'appuient sur la structure de noms hirarchique DNS, qui est une arborescence inverse : un domaine racine unique, sous lequel peuvent se trouver des domaines parents ou enfants (les branches et les feuilles). Par exemple, un nom de domaine Windows 2000 tel que enfant.parent.microsoft.com fait rfrence un domaine nomm enfant, qui est un domaine enfant du domaine nomm parent, luimme enfant du domaine microsoft.com. Chaque ordinateur d'un domaine DNS est identifi de manire unique par son nom de domaine complet. Le nom de domaine complet d'un ordinateur situ dans le domaine enfant.parent.microsoft.com est nom_de_l'ordinateur.enfant.parent.microsoft.com. Chaque domaine Windows 2000 possde un nom DNS (par exemple, NomOrg.com) et tous les ordinateurs Windows 2000 aussi (par exemple, ServeurCompt.NomOrg.com). Ainsi, les domaines et les ordinateurs sont tous reprsents comme des objets Active Directory et comme des nuds DNS (dans la hirarchie DNS, un nud reprsente un domaine ou un ordinateur). DNS et Active Directory utilisent tous deux une base de donnes pour la rsolution des noms. DNS est un service de rsolution de noms. DNS rsout les noms de domaines et les noms d'ordinateurs en renvoyant les adresses IP via les demandes reues par les serveurs DNS en tant que requtes sur la base de donnes DNS. Plus prcisment, les clients DNS envoient des requtes de noms DNS leur serveur DNS configur. Le serveur DNS reoit la requte de nom et la rsout par l'intermdiaire de fichiers enregistrs localement ou consulte un autre serveur DNS pour la rsolution. DNS n'a pas besoin de Active Directory pour fonctionner. Active Directory est un service d'annuaire. Il rsout les noms d'objets de domaine en renvoyant des enregistrements d'objets par l'intermdiaire de demandes de modification ou de recherche LDAP (Lightweight Directory Access Protocol)3 reues par les contrleurs de domaine et qui s'appliquent la base de donnes Active Directory. En d'autres termes, les clients Active Directory utilisent LDAP pour envoyer des requtes aux serveurs Active Directory. Pour localiser un tel serveur, un client Active Directory interroge DNS. Active Directory utilise donc DNS comme service localisateur, pour rsoudre les noms de domaines, de sites et de services et renvoyer des adresses IP. Par exemple, pour se connecter un domaine Active Directory, un client peut demander son serveur DNS l'adresse IP du service LDAP en cours d'excution sur un contrleur de domaine d'un domaine spcifi. Active Directory requiert DNS.

Dans la pratique, les espaces de noms DNS et Active Directory d'un environnement Windows 2000 diffrent dans la mesure o l'enregistrement d'hte DNS reprsentant un ordinateur spcifique d'une zone DNS se trouve dans un autre espace de noms que l'objet Compte d'ordinateur du domaine Active Directory reprsentant le mme ordinateur. En rsum, Active Directory est intgr DNS de diffrentes manires : Les domaines Active Directory et DNS sont organiss sous des structures hirarchiques identiques. Bien qu'ils diffrent et soient mis en uvre diffremment pour des objectifs distincts, les espaces de noms d'une organisation pour ces deux types de domaines ont une structure identique. Par exemple, microsoft.com est la fois un domaine DNS et un domaine Active Directory. Les zones DNS peuvent tre enregistres dans Active Directory. Si vous utilisez le service DNS de Windows 2000, les zones principales peuvent tre enregistres dans Active Directory pour tre rpliques vers d'autres contrleurs de domaine Active Directory et pour assurer une meilleure scurit du service DNS. Les clients Active Directory utilisent DNS pour localiser les contrleurs de domaine. Dans le cas d'un domaine particulier, les clients Active Directory demandent leur serveur DNS les enregistrements de ressources spcifiques.

Active Directory et l'espace de noms DNS global Active Directory a t conu pour exister au sein de l'espace de noms DNS global d'Internet. Lorsqu'une organisation quipe du systme d'exploitation rseau Windows 2000 Server souhaite tre prsente sur Internet, l'espace de noms Active Directory est conserv sous la forme d'un ou de plusieurs domaines hirarchiques Windows 2000 au-dessous d'un domaine racine enregistr comme espace de noms DNS. (L'organisation peut choisir de ne pas faire partie de l'espace de noms DNS global d'Internet, mais le service DNS sera toujours requis pour localiser les ordinateurs Windows 2000.) Selon les conventions d'affectation des noms DNS, chaque partie spare par un point (.) reprsente un nud dans l'arborescence DNS et un nom de domaine Active Directory potentiel dans l'arborescence des domaines Windows 2000. Comme l'illustre la figure 2, la racine de l'arborescence DNS est un nud de nom nul ( ). La racine de l'espace de noms Active Directory (la racine de la fort) n'a pas de parent et fournit le point d'entre LDAP dans Active Directory. Figure 2. Comparaison des racines des espaces de noms DNS et Active Directory Enregistrements de ressources SRV et mises jour dynamiques DNS existe indpendamment de Active Directory, tandis que ce dernier a spcialement t conu pour utiliser DNS. Pour qu'Active Directory fonctionne correctement, les serveurs DNS doivent prendre en charge les enregistrements des ressources SRV4 (Emplacement du service). Ces enregistrements mappent le nom d'un service en renvoyant le nom d'un serveur offrant ce service. Les clients et les contrleurs de domaine Active Directory utilisent les enregistrements des ressources SRV pour dterminer les adresses IP des contrleurs de domaine. Remarque Pour plus d'informations sur la planification du dploiement de serveurs DNS comme support de vos domaines Active Directory, et sur d'autres problmes lis au dploiement, voir le Guide de planification du dploiement de Microsoft Windows 2000 Server dans la section Pour plus d'informations de ce document. Les serveurs DNS d'un rseau Windows 2000 doivent prendre en charge les enregistrements de ressources SRV, mais Microsoft recommande galement la prise en charge des mises jour dynamiques DNS5. Celles-ci dfinissent un protocole de mise jour d'un serveur DNS avec de nouvelles valeurs ou des valeurs modifies. Sans ce protocole, les administrateurs doivent configurer manuellement les enregistrements crs par les contrleurs de domaine et enregistrs par les serveurs DNS. Le nouveau service DNS de Windows 2000 prend en charge la fois les enregistrements de ressources SRV et les mises jour dynamiques. Si vous voulez utiliser un serveur DNS non Windows 2000, vous devez vous assurer qu'il prend en charge les enregistrements de ressources SRV ou effectuer sa mise niveau vers une version qui les prend en charge. Dans le cas d'un serveur DNS hrit de ce type mais ne prenant pas en charge les mises jour dynamiques, vous devez mettre les enregistrements de ressources jour manuellement lorsque vous dfinissez un serveur Windows 2000 comme contrleur de domaine. Pour ce faire, utilisez le fichier Netlogon.dns (situ dans le dossier %systemroot%\System32\config), cr par l'Assistant Installation de Active Directory.

Cration de contrleurs de domaine l'aide de Active Directory


La mise en uvre et l'administration d'un rseau sont des tches concrtes. Pour comprendre comment Active Directory fonctionne dans la pratique, vous devez d'abord savoir que son installation sur un ordinateur Windows 2000 Server a pour effet de transformer le serveur en contrleur de domaine. Un contrleur de domaine ne peut hberger qu'un seul domaine.

Plus prcisment, il s'agit d'un ordinateur Windows 2000 Server, configur l'aide de l'Assistant Installation de Active Directory, qui installe et configure les composants permettant aux utilisateurs et aux ordinateurs du rseau d'utiliser les services d'annuaire Active Directory. Les contrleurs de domaine enregistrent les donnes d'annuaire du domaine (comme les stratgies de scurit systme et les donnes d'authentification de l'utilisateur) et grent les interactions entre domaines, y compris les processus d'ouverture de session, d'authentification et de recherche dans l'annuaire. La dfinition d'un serveur comme contrleur de domaine l'aide de l'Assistant Installation de Active Directory entrane la cration d'un domaine Windows 2000 ou l'ajout de contrleurs de domaine supplmentaires un domaine existant. Cette section dcrit les contrleurs de domaine Active Directory et leur rle sur le rseau. Avec l'introduction de Active Directory, les contrleurs de domaine Windows 2000 fonctionnent comme des homologues. Le concept de rles suprieur-subordonn des contrleurs de domaine principaux (PDC) et secondaires (BDC) Windows NT Server est donc abandonn. Les contrleurs de domaine prennent en charge la rplication multimatre et rpliquent les informations Active Directory entre tous les contrleurs de domaine. L'introduction de la rplication multimatre permet aux administrateurs d'effectuer des mises jour Active Directory sur n'importe quel contrleur de domaine Windows 2000 du domaine. Dans Windows NT Server, seul le contrleur PDC dispose d'une copie en lecture et criture de l'annuaire ; il rplique ensuite une copie en lecture seule des informations d'annuaire vers les contrleurs BDC. (Pour des informations plus dtailles sur la rplication multimatre, voir la section Rplication multimatre .) La mise niveau du systme d'exploitation vers Windows 2000 partir d'un domaine existant peut s'effectuer par tapes, de la manire qui vous convient le mieux. Lorsque le premier contrleur de domaine d'une nouvelle installation est cr, plusieurs entits sont automatiquement charges en mme temps qu'Active Directory. Les sous-sections suivantes dveloppent les deux aspects diffrents de l'installation d'un contrleur de domaine Active Directory sur un nouveau rseau : Le premier contrleur de domaine est un serveur de catalogue global. Le premier contrleur de domaine joue le rle de matre d'oprations.

Catalogue global Le systme d'exploitation Windows 2000 introduit le catalogue global, une base de donnes conserve sur un ou plusieurs contrleurs de domaine. Il joue un rle majeur dans la connexion des utilisateurs et le mcanisme des requtes. Par dfaut, un catalogue global est cr automatiquement sur le contrleur de domaine initial de la fort Windows 2000 et chaque fort doit en possder au moins un. Si vous utilisez plusieurs sites, vous voudrez peut-tre affecter un contrleur de domaine comme catalogue global sur chaque site, car un tel catalogue est ncessaire pour terminer le processus d'authentification d'ouverture de session (il dtermine le groupe d'appartenance d'un compte) dans le cadre des domaines en mode natif. Les domaines en mode mixte, par contre, ne ncessitent aucune requte de catalogue global pour l'ouverture de session. Une fois que des contrleurs de domaine supplmentaires ont t installs dans la fort, vous pouvez changer l'emplacement par dfaut du catalogue global en prcisant un autre contrleur de domaine l'aide de l'outil Sites et services Active Directory. Si vous le souhaitez, vous pouvez configurer un contrleur de domaine quelconque pour hberger un catalogue global, selon les besoins de votre organisation en matire de demandes d'ouverture de session et de recherche. Plus il y a de serveurs de catalogue global, plus la rponse aux demandes de l'utilisateur est rapide ; en contrepartie, l'activation de nombreux contrleurs de domaine comme serveurs de catalogue global augmente le trafic rseau de rplication. Le catalogue global joue un rle dans deux processus cls de Active Directory, l'ouverture de session et le traitement des requtes :

Ouverture de session. Dans un domaine en mode natif, le catalogue global permet aux clients Active Directory d'ouvrir une session sur le rseau en fournissant un contrleur de domaine les informations d'appartenance aux groupes universels6 du compte qui envoie la demande d'ouverture de session. En fait, les utilisateurs mais aussi tous les objets s'authentifiant Active Directory doivent rfrencer le serveur de catalogue global, y compris les ordinateurs en cours de dmarrage. Dans une installation plusieurs domaines, au moins un contrleur de domaine dtenant le catalogue global doit tre en cours d'excution et disponible pour que les utilisateurs puissent ouvrir une session. Un serveur de catalogue global doit galement tre disponible lorsqu'un utilisateur ouvre une session en prcisant un nom UPN (nom utilisateur principal) non dfini par dfaut. (Pour plus d'informations sur l'ouverture de session, voir la section Noms d'ouverture de session : noms UPN et noms de comptes SAM .) Si aucun catalogue global n'est disponible lorsqu'un utilisateur initialise un processus d'ouverture de session sur le rseau, l'utilisateur ne peut se connecter qu' l'ordinateur local (et non au rseau). L'unique exception cette rgle concerne les utilisateurs membres du groupe des administrateurs de domaines, qui sont en mesure d'ouvrir une session sur le rseau mme si aucun catalogue global n'est disponible.

Traitement des requtes. Dans une fort contenant de nombreux domaines, le catalogue global permet aux clients d'effectuer des recherches rapides et aises sur l'ensemble des domaines, sans avoir parcourir chaque domaine individuel. Il rend les structures de rpertoires d'une fort transparentes aux utilisateurs finaux la recherche d'informations. La majorit du trafic rseau correspond au traitement des requtes : les informations demandes par les utilisateurs, les administrateurs et les programmes sur les objets d'annuaire. L'annuaire est soumis davantage de requtes que de mises jour. Pour amliorer le temps de rponse aux utilisateurs qui recherchent des informations dans l'annuaire, vous pouvez affecter plusieurs contrleurs de domaine comme serveurs de catalogue global. Il convient toutefois de trouver un juste quilibre car cette opration peut galement augmenter le trafic rseau de rplication.

Rles de matre d'oprations La rplication multimatre entre contrleurs de domaine homologues est impossible pour certains types de modifications. Seul un contrleur de domaine, le matre d'oprations, accepte les demandes de modification de ce genre. Comme la rplication multimatre joue un rle important dans les rseaux Active Directory, il est essentiel que vous connaissiez ces exceptions. Dans toute fort Active Directory, le contrleur de domaine initial se voit assigner au moins cinq rles diffrents de matre d'oprations pendant l'installation. Lorsque vous crez le premier domaine d'une nouvelle fort, les cinq rles sont assigns automatiquement au premier contrleur de ce domaine. Dans une fort Active Directory de petite taille contenant un seul domaine et un seul contrleur de domaine, ce dernier tiendra tous les rles de matre d'oprations. Dans un rseau de plus grande taille, d'un ou de plusieurs domaines, vous pouvez rattribuer ces rles un ou plusieurs autres contrleurs de domaine. Certains rles doivent tre tenus dans chaque fort, d'autres dans chaque domaine d'une fort. Les deux rles suivants doivent tre uniques au niveau d'une fort, ce qui signifie que seul l'un des deux peut tre appliqu sur l'ensemble d'une fort : Contrleur de schma. Le contrleur de domaine qui tient le rle de contrleur de schma contrle toutes les mises jour et les modifications appliques au schma. Le schma dfinit chaque objet (et ses attributs) qui peut tre enregistr

dans l'annuaire. Pour mettre jour le schma d'une fort, vous devez avoir accs au contrleur de schma. Matre d'affectation de nom de domaine. Le contrleur de domaine qui tient le rle de matre d'affectation de nom de domaine contrle l'ajout et la suppression de domaines dans la fort.

Les trois rles suivants doivent tre uniques au niveau de chaque domaine. Seul un rle peut tre tenu par domaine dans la fort : Matre RID (Relative ID). Le matre RID alloue des squences d'identificateurs relatifs (RID) chaque contrleur de son domaine. Chaque fois qu'un contrleur de domaine cre un objet Utilisateur, Groupe ou Ordinateur, il attribue l'objet un identificateur unique de scurit (SID). Cet identificateur est compos d'un identificateur de scurit de domaine (identique pour tous les SID crs dans le domaine) et d'un identificateur relatif (unique pour chaque SID cr dans le domaine). Lorsque le contrleur de domaine a puis son pool de RID, il en demande un autre au matre RID. mulateur PDC. Si le domaine contient des ordinateurs fonctionnant sans le logiciel client Windows 2000 ou des contrleurs de domaine secondaires Windows NT, l'mulateur PDC (Primary Domain Controller) agit comme un contrleur de domaine principal Windows NT. Il traite les changements de mots de passe client et rplique les mises jour vers les contrleurs BDC. L'mulateur PDC reoit la rplication prfrentielle des changements de mots de passe effectus par d'autres contrleurs du domaine. En cas d'chec d'authentification d'ouverture de session au niveau d'un autre contrleur de domaine en raison d'un mot de passe incorrect, le contrleur transmet la demande d'authentification l'mulateur PDC avant de rejeter la tentative d'ouverture de session. Matre d'infrastructure. Le matre d'infrastructure est responsable de la mise jour de toutes les rfrences croises des domaines lors du dplacement d'un objet rfrenc par un autre. Par exemple, chaque fois que des membres de groupes sont renomms ou modifis, le matre d'infrastructure met jour les rfrences des groupes aux utilisateurs. Lorsque vous renommez ou dplacez un membre d'un groupe (et que ce membre rside dans un autre domaine que le groupe), le groupe risque de ne pas contenir ce membre temporairement. Le matre d'infrastructure du domaine du groupe en question est responsable de la mise jour du groupe, qui connat ainsi le nouveau nom ou le nouvel emplacement du membre. Le matre d'infrastructure distribue la mise jour par rplication multimatre. N'attribuez pas ce rle au contrleur de domaine qui hberge le catalogue global, moins que le domaine ne contienne qu'un seul contrleur. Si vous procdez ainsi, le matre d'infrastructure ne fonctionnera pas. Si tous les contrleurs d'un domaine hbergent le catalogue global (mme s'il n'existe qu'un seul contrleur de domaine), ils disposent tous des donnes actualises et le rle de matre d'infrastructure n'est pas indispensable.

Architecture Active Directory (2me partie)


Architecture
L'installation d'un contrleur de domaine Active Directory cre simultanment le domaine Windows 2000 initial ou ajoute le nouveau contrleur un domaine existant. Comment les contrleurs de domaine et les domaines s'inscrivent-ils dans l'architecture globale du rseau ? Cette section dtaille les composants d'un rseau Active Directory et leur organisation. En outre, elle dcrit comment dlguer la responsabilit d'administration d'units d'organisation, de domaines ou de sites aux personnes appropries et comment assigner des paramtres de configuration ces trois conteneurs Active Directory. Cette section comprend les rubriques suivantes : Objets (y compris le schma) Conventions d'affectation de nom d'objet (dont les noms des entits de scurit, les SID, les noms LDAP, les GUID d'objets et les noms d'ouverture de session) Publication d'objets Domaines (y compris les arborescences, les forts, les approbations et les units d'organisation) Sites (y compris la rplication) Application de la dlgation et des stratgies de groupe aux units d'organisation, aux domaines et aux sites

Objets
Les objets Active Directory sont des lments qui constituent un rseau. Un objet est un ensemble d'attributs nomm et circonscrit qui reprsente un lment concret, comme un utilisateur, une imprimante ou une application. Lorsque vous crez un objet Active Directory, certains de ses attributs sont paramtrs automatiquement et d'autres vous sont demands. Par exemple, si vous crez un objet Utilisateur, Active Directory fournit l'identificateur globalement unique (GUID, Globally Unique Identifier) tandis que vous fournissez les valeurs d'attributs tels que le prnom et le nom de l'utilisateur, l'identificateur d'ouverture de session, etc. Schma Le schma est une description des classes d'objet (diffrents types d'objet) et de leurs attributs. Le schma dfinit les attributs que chaque classe d'objet doit possder, les attributs supplmentaires dont elle doit disposer et la classe d'objet dont elle peut tre l'enfant. Chaque objet Active Directory est une instance d'une classe d'objet. Chaque attribut est dfini une seule fois mais peut tre utilis dans plusieurs classes. C'est le cas, par exemple, de l'attribut Description, qui est utilis dans de nombreuses classes diffrentes. Le schma est enregistr dans Active Directory. Les dfinitions du schma sont ellesmmes enregistres comme objets (les objets Schma de classe et Schma d'attributs). Active Directory peut ainsi grer les objets de classe et d'attribut comme les autres objets d'annuaire. Les applications qui crent ou modifient des objets Active Directory utilisent le schma pour dterminer les attributs que l'objet doit possder et quoi ces attributs peuvent ressembler en termes de structure des donnes et de contraintes de syntaxe. Les objets sont soit des objets conteneurs, soit des objets feuilles (galement appels objets non-conteneurs). Les objets conteneurs stockent d'autres objets, alors que les

10

objets feuilles, non. Par exemple, un dossier est un objet conteneur de fichiers, qui sont eux-mmes des objets feuilles. Chaque classe d'objet du schma Active Directory possde des attributs qui garantissent : l'identification unique de chaque objet d'un magasin de donnes d'annuaire ; la compatibilit pour les entits de scurit (utilisateurs, ordinateurs ou groupes) avec les identificateurs de scurit (SID) utiliss dans les systmes d'exploitation Windows NT 4.0 et antrieurs ; la conformit aux normes LDAP en matire de noms d'objets d'annuaire.

Attributs du schma et requtes L'outil Schma Active Directory permet de marquer un attribut comme index. Cela a pour effet d'ajouter toutes les instances de cet attribut l'index et non pas seulement celles qui sont membres d'une classe particulire. L'indexation d'un attribut permet de retrouver plus rapidement les objets possdant cet attribut. Vous pouvez galement inclure des attributs dans le catalogue global. Ce dernier contient un ensemble d'attributs par dfaut pour chaque objet de la fort, mais vous pouvez en ajouter d'autres. Les utilisateurs et les applications utilisent le catalogue global pour localiser des objets dans une fort. Ajoutez-y uniquement des attributs possdant les caractristiques suivantes : Utilit globale. L'attribut doit pouvoir servir localiser des objets (mme pour un accs en lecture, seulement) sur l'ensemble d'une fort. Non-volatilit. L'attribut ne doit pas changer, ou bien trs rarement. Les attributs d'un catalogue global sont rpliqus vers tous les autres catalogues globaux de la fort. Si l'attribut change souvent, le trafic de rplication augmente de manire significative. Petite taille. Les attributs d'un catalogue global sont rpliqus vers tous les autres catalogues globaux de la fort. Plus l'attribut sera petit, moins sa rplication aura d'impact sur le trafic du rseau.

Noms des objets de schma Comme prcis plus haut, les classes et les attributs sont tous des objets de schma. En tant que tels, ils peuvent tre rfrencs par les types de noms suivants : Nom complet LDAP. Le nom complet LDAP est globalement unique pour chaque objet de schma. Il est compos d'un ou de plusieurs mots, avec initiale majuscule partir du deuxime mot. Par exemple, mailAddress et machinePasswordChangeInterval sont les noms complets LDAP de deux attributs de schma. Schma Active Directory et d'autres outils d'administration Windows 2000 affichent le nom complet LDAP des objets. Celui-ci permet aux programmeurs et aux administrateurs de rfrencer l'objet par programme. Pour plus d'informations sur l'extension par programme du schma, voir la sous-section suivante ; pour plus d'informations sur LDAP, voir la section Protocole LDAP . Nom commun. Le nom commun d'un objet de schma est galement globalement unique. Vous devez le spcifier lors de la cration de nouveaux attributs ou classes d'objet dans le schma c'est le nom unique relatif (RDN, Relative Distinguished Name) de l'objet du schma qui reprsente cette classe d'objet. Pour plus de dtails sur les noms RDN, reportez-vous la section Noms RDN et noms uniques LDAP . Par exemple, les noms communs des deux attributs mentionns prcdemment sont SMTP-Mail-Address et Machine-PasswordChange-Interval.

11

Identificateur d'objet (OID). Un identificateur d'objet de schma est un numro attribu par une autorit telle que l'Association internationale de normalisation (ISO, International Organization for Standardization) ou l'ANSI (American National Standards Institute). Par exemple, l'OID de l'attribut SMTPMail-Address est 1.2.840.113556.1.4.786. Les OID sont garantis comme tant uniques sur l'ensemble des rseaux du monde entier. Une fois que vous avez obtenu un OID racine partir d'une autorit comptente, vous pouvez l'utiliser pour en attribuer d'autres. Les OID sont organiss sous forme hirarchique. Par exemple, Microsoft s'est vu allouer l'OID racine 1.2.840.113556. Microsoft gre en interne d'autres branches issues de cette racine. Une de ces branches est utilise pour allouer des OID aux classes de schma Active Directory et une autre pour les attributs. Pour reprendre notre exemple, l'OID 1.2.840.113556.1.5.4 identifie dans Active Directory la classe de domaine prdfini et peut tre analys de la manire illustre dans le tableau 1.

Tableau 1. Identificateur d'objet Numro d'OID 1 2 840 113556 1 5 4 Identifie ISO (autorit racine ) a attribu 1.2 ANSI, puis U ANSI a attribu 1.2.840 aux tats-Unis, puis U les tats-Unis ont attribu 1.2.840.113556 Microsoft, puis U Microsoft gre en interne plusieurs branches d'OID sous 1.2.840.113556, dont U une branche appele Active Directory qui inclut U une branche appele Classes qui inclut U une branche appele Domaine prdfini

Pour plus d'informations sur les OID et sur la manire de les obtenir, voir la section Pour plus d'informations la fin de ce document. Extension du schma Le systme d'exploitation Windows 2000 Server fournit un ensemble de classes d'objet et d'attributs par dfaut suffisants pour la plupart des organisations. Bien que vous ne puissiez pas supprimer les objets de schma, vous pouvez les marquer comme dsactivs. Les dveloppeurs et les administrateurs rseau expriments peuvent tendre dynamiquement le schma en dfinissant de nouvelles classes et de nouveaux attributs pour les classes existantes. Il est conseill d'tendre le schma Active Directory par programme, via l'interface ADSI (Active Directory Service Interface). Vous pouvez galement utiliser l'utilitaire LDIFDE (LDAP Data Interchange Format). (Pour plus d'informations sur ADSI et LDIFDE, voir les sections ADSI et Active Directory et LDIFDE .) L'outil Schma Active Directory, conu des fins de dveloppement et de test, vous permet d'afficher et de modifier le schma Active Directory. Si vous envisagez de modifier le schma, prenez les points suivants en considration : Les modifications du schma s'appliquent l'ensemble de la fort. Les extensions du schma sont irrversibles (mme si vous pouvez modifier certains attributs). Microsoft exige de toute personne tendant le schma qu'elle adhre aux rgles d'affectation de noms (voques dans la sous-section prcdente) la fois pour les noms complets LDAP et pour les noms communs. La compatibilit est garantie

12

par le logo Certifi compatible Windows7. Pour plus d'informations, voir le Site Web : msdn - L'information pour les Dveloppeurs. Toutes les classes du schma sont drives de la classe spciale Top. l'exception de Top, toutes les classes sont des sous-classes drives d'une autre classe. L'hritage des attributs permet de construire de nouvelles classes partir de classes existantes. La nouvelle sous-classe hrite des attributs de sa superclasse (classe parent).

L'extension du schma est une opration avance. Pour plus d'informations sur l'extension du schma par programme, voir la section Pour plus d'informations la fin de ce document.

Conventions d'affectation de noms d'objet


Active Directory prend en charge plusieurs formats de noms d'objet pour tenir compte des diffrentes formes que peut prendre un nom, selon le contexte d'utilisation (certains noms correspondent des numros). Les sous-sections suivantes dcrivent les types de conventions d'affectation de nom des objets Active Directory : Noms des entits de scurit Identificateurs de scurit (aussi appels SID ou identificateurs SID) Noms LDAP (dont les noms canoniques, les noms RDN, les URL et les noms uniques) GUID d'objets Noms d'ouverture de session (dont les noms UPN et les noms de comptes SAM)

Si votre organisation possde plusieurs domaines, vous pouvez utiliser les mmes noms d'utilisateur et d'ordinateur dans les diffrents domaines. Le SID, le GUID, le nom unique LDAP et le nom canonique gnrs par Active Directory identifient de manire unique chaque utilisateur et chaque ordinateur de l'annuaire. Si l'objet Utilisateur ou Ordinateur est renomm ou dplac vers un domaine diffrent, le SID, le nom unique relatif LDAP, le nom unique et le nom canonique changent. En revanche, le GUID gnr par Active Directory reste identique. Noms des entits de scurit Une entit de scurit est un objet Windows 2000 gr par Active Directory, auquel est automatiquement affect un identificateur de scurit (SID) pour l'authentification d'ouverture de session et l'accs aux ressources. Une entit de scurit peut tre un compte d'utilisateur, un compte d'ordinateur ou un groupe. En d'autres termes, un nom d'entit de scurit identifie de manire unique un utilisateur, un ordinateur ou un groupe au sein d'un domaine unique. Un objet entit de scurit doit tre authentifi par un contrleur du domaine dans lequel il se trouve et l'accs aux ressources rseau peut lui tre accord ou refus. Les noms des entits de scurit ne sont pas uniques sur l'ensemble des domaines, mais doivent tre uniques dans leur propre domaine pour des raisons de compatibilit ascendante. Les objets entits de scurit peuvent tre renomms, dplacs ou enregistrs au sein d'une arborescence de domaines imbriqus. Leur nom doit tre conforme aux lignes directrices suivantes : Le nom ne doit pas tre identique un autre nom d'utilisateur, d'ordinateur ou de groupe du domaine. Il peut contenir jusqu' 20 caractres majuscules ou minuscules, l'exception des caractres suivants : " / \ [ ] : ; | = , + * ? <> Les noms d'utilisateurs, d'ordinateurs et de groupes ne doivent pas tre composs uniquement de points (.) et d'espaces.

13

Identificateurs de scurit (SID) Un SID est un numro unique, cr par le sous-systme de scurit de Windows 2000 et affect aux objets entits de scurit, savoir les comptes d'utilisateurs, de groupes et d'ordinateurs. Chaque compte de votre rseau a reu un SID unique sa cration. Les processus internes de Windows 2000 font rfrence au SID d'un compte plutt qu' son nom d'utilisateur ou de groupe. Des entres de contrle d'accs (ACE, Access Control Entrie) protgent chaque objet Active Directory en identifiant les utilisateurs et les groupes pouvant y accder. Chaque ACE contient le SID de chaque utilisateur et de chaque groupe ayant l'autorisation d'accder l'objet et dfinit le niveau d'accs autoris. Par exemple, un utilisateur peut disposer pour certains fichiers de droits d'accs en lecture seule, pour d'autres de droits d'accs en lecture et en criture, et pour d'autres encore, d'aucun droit d'accs. Si vous crez un compte, que vous le supprimez, puis que vous crez un autre compte avec le mme nom d'utilisateur, le nouveau compte n'hrite ni des autorisations, ni des droits accords l'ancien compte car les comptes ont des identificateurs SID diffrents. Noms LDAP Active Directory est un service d'annuaire conforme LDAP (Lightweight Directory Access Protocol). Dans Windows 2000, tout accs un objet Active Directory s'effectue l'aide du protocole LDAP. Il dfinit les oprations effectuer pour rechercher et modifier des informations dans un annuaire, et la manire d'accder de manire scurise ces informations. Ainsi, c'est LDAP qui est utilis pour rechercher ou numrer des objets d'annuaire et pour interroger ou administrer Active Directory. (Pour plus d'informations sur LDAP, voir la section Protocole LDAP .) Il est possible de faire porter les requtes sur le nom unique LDAP (lui-mme un attribut de l'objet), mais comme ceux-ci sont difficiles mmoriser, LDAP prend galement en charge les requtes portant sur d'autres attributs (par exemple, la couleur pour rechercher les imprimantes couleur). Vous pouvez ainsi rechercher un objet mme si vous ne connaissez pas son nom unique. Les formats d'affectation de noms d'objet, pris en charge par Active Directory et fonds sur le nom unique LDAP, sont dcrits dans les trois sous-sections suivantes : Noms RDN et noms uniques LDAP URL LDAP Noms canoniques LDAP

Noms RDN et noms uniques LDAP LDAP fournit des noms uniques (DN) et des noms uniques relatifs (RDN) aux objets8. Active Directory met en uvre ces conventions d'affectation de noms LDAP avec les variantes illustres dans le tableau 2. Tableau 2. Conventions d'affectation de noms LDAP et correspondances dans Active Directory Convention d'affectation des Convention d'affectation de noms noms DN & RDN LDAP correspondante dans Active Directory cn=nom commun ou=unit d'organisation o=organisation c=pays cn=nom commun ou=unit d'organisation dc=composant de domaine (non pris en charge)

14

Remarque cn=, ou=, sont des types d'attributs. Les attributs permettant de dtailler le nom RDN d'un objet sont appels attributs d'affectation de nom. Les attributs d'affectation de nom Active Directory, illustrs en haut droite, sont destins aux classes d'objet Active Directory suivantes : L'attribut cn est utilis pour la classe d'objet utilisateur. L'attribut ou est utilis pour la classe d'objet unit d'organisation (OU). L'attribut dc est utilis pour la classe d'objet DNS de domaine.

Chaque objet Active Directory possde un nom unique LDAP. Les objets sont localiss dans les domaines Active Directory l'aide d'un chemin hirarchique qui inclut les tiquettes du nom de domaine et chaque niveau d'objet conteneur. Le chemin complet vers l'objet est dfini par le nom unique. Le nom de l'objet lui-mme correspond au nom RDN. Ce nom est le segment du nom unique d'un objet, attribut de l'objet lui-mme. Reprsentant le chemin complet vers un objet, compos du nom de l'objet et de tous ses objets parents jusqu' la racine du domaine, le nom unique permet d'identifier un objet unique dans l'arborescence de domaines. Chaque nom RDN est stock dans la base de donnes Active Directory et contient une rfrence son parent. Au cours d'une opration LDAP, le nom unique est construit entirement en suivant les rfrences la racine. Dans un nom unique LDAP complet, le nom RDN de l'objet identifier commence sur la gauche avec le nom de la feuille et se termine sur la droite avec le nom de la racine, comme le montre l'exemple suivant : cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com Le nom RDN de l'objet Utilisateur MDurand est cn=MDurand, celui de Widget (l'objet parent de MDurand) est ou=Widgets, etc. Les outils Active Directory n'affichent pas les abrviations LDAP des attributs d'affectation de nom (dc=, ou= ou cn=). Elles apparaissent dans l'exemple pour illustrer la manire dont LDAP reconnat les diffrentes parties des noms uniques. La plupart des outils Active Directory affichent les noms d'objets sous leur forme canonique (dcrite plus loin dans ce document). Dans Windows 2000, les noms uniques permettent aux clients LDAP de rcuprer des informations sur des objets partir de l'annuaire, mais aucune interface utilisateur ne demande d'entrer le nom unique. L'utilisation explicite des noms uniques, des noms RDN et des attributs d'affectation de nom est requise uniquement lors de l'criture de programmes ou de scripts conformes LDAP. Noms d'URL LDAP Active Directory prend en charge l'accs de tous les clients LDAP l'aide du protocole LDAP. La RFC 1959 dcrit un format d'URL LDAP permettant aux clients Internet d'accder directement au protocole LDAP. Les URL LDAP sont galement utilises dans l'criture de scripts. Une telle URL est compose du prfixe LDAP , du nom du serveur contenant les services Active Directory, suivi du nom attribu l'objet (le nom unique). Par exemple : LDAP://serveur1.France.NomOrg.com/cn=MDurand,ou=Widgets,ou=Fabrication,dc=Fran ce,dcNomOrg,dc=com Noms canoniques LDAP de Active Directory Par dfaut, les outils d'administration de Active Directory affichent les noms des objets au format de nom canonique, qui rpertorie les noms RDN partir de la racine, sans les descripteurs d'attribut d'affectation de nom RFC 1779 (dc=, ou= et cn=). Le nom canonique utilise le format DNS, c'est--dire que les constituants de la partie du nom contenant les noms de domaines sont spars par des points France.NomOrg.com. Le tableau 3 montre les diffrences entre un nom unique LDAP et le mme nom au format de nom canonique. Tableau 3. Format de nom unique LDAP et format de nom canonique

15

Nom identique dans deux formats diffrents Nom unique LDAP : Nom canonique : GUID d'objets Paralllement son nom unique LDAP, chaque objet Active Directory possde un identificateur globalement unique (GUID), un numro 128 bits assign par l'Agent systme d'annuaire lors de la cration de l'objet. Le GUID, qui ne peut tre ni modifi ni supprim, est enregistr dans un attribut, objectGUID, requis pour chaque objet. la diffrence des noms uniques et RDN susceptibles d'tre modifis, le GUID ne change jamais. Si vous enregistrez une rfrence un objet Active Directory dans un magasin de donnes externe (par exemple, une base de donnes Microsoft SQL Server), vous devez utiliser l'attribut objectGUID. Noms d'ouverture de session : noms UPN et noms de comptes SAM Comme dcrit prcdemment, les entits de scurit sont des objets sur lesquels s'applique la scurit Windows pour l'authentification d'ouverture de session et les autorisations d'accs aux ressources. Les utilisateurs reprsentent le premier type d'entits de scurit. Dans Windows 2000, ils ont besoin d'un nom d'ouverture de session unique pour accder un domaine et ses ressources. Les deux types de noms d'ouverture de session les noms UPN et les noms de comptes SAM (Security Account Manager) sont dcrits dans les deux sous-sections ci-dessous. Noms UPN Dans Active Directory, chaque compte d'utilisateur possde un nom UPN (nom utilisateur principal) au format <utilisateur>@<nom-domaine-DNS>. Un nom UPN est un nom convivial assign par un administrateur. Il est plus court que le nom unique LDAP utilis par le systme et plus facile mmoriser. Le nom UPN d'un objet Utilisateur est indpendant de son nom unique, si bien que le dplacement et la modification du nom de l'objet n'affectent pas le nom d'ouverture de session de l'utilisateur. Lors d'une connexion par nom UPN, les utilisateurs ne sont plus invits slectionner un domaine dans une liste dans la bote de dialogue d'ouverture de session. Les noms UPN se composent de trois parties : le prfixe UPN (nom d'ouverture de session de l'utilisateur), le caractre @ et le suffixe UPN (en gnral, un nom de domaine). Le suffixe UPN par dfaut d'un compte d'utilisateur est le nom DNS du domaine Active Directory dans lequel se trouve le compte 9. Par exemple, le nom UPN de l'utilisateur Marc Durand, qui possde un compte d'utilisateur dans le domaine NomOrg.com (si NomOrg.com est le seul domaine de l'arborescence), est MDurand@NomOrg.com. C'est un attribut (userPrincipalName) de l'objet entit de scurit. Si l'attribut userPrincipalName d'un objet Utilisateur n'a pas de valeur, l'objet a le nom UPN par dfaut nomUtilisateur@NomDomaineDns. Si votre organisation possde une arborescence de domaines compose de nombreux domaines, organiss par dpartements et rgions, les noms UPN par dfaut peuvent s'avrer encombrants. Par exemple, le nom UPN par dfaut d'un utilisateur pourrait tre ventes.coteouest.microsoft.com. Le nom d'ouverture de session des utilisateurs dans ce domaine serait utilisateur@ventes.coteouest.microsoft.com. Au lieu d'accepter le nom de domaine DNS par dfaut comme suffixe UPN, vous pouvez simplifier l'administration et les processus de connexion utilisateur en fournissant un suffixe UPN unique pour tous les utilisateurs. (Le suffixe UPN est utilis uniquement au sein du domaine Windows 2000 et cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com France.NomOrg.com/Fabrication/Widgets/MDurand

16

il ne correspond pas ncessairement un nom de domaine DNS valide.) Vous pouvez dcider d'utiliser votre nom de domaine de messagerie comme suffixe UPN nomUtilisateur@nomEntreprise.com. Le nom UPN de l'utilisateur de notre exemple devient alors utilisateur@microsoft.com. Lors d'une ouverture de session par nom UPN, un catalogue global peut s'avrer ncessaire, selon l'identit de l'utilisateur qui se connecte et l'appartenance de l'ordinateur de l'utilisateur au domaine. C'est le cas si l'utilisateur se connecte l'aide d'un nom UPN diffrent du nom par dfaut et si le compte d'ordinateur de l'utilisateur se trouve dans un autre domaine que son compte d'utilisateur. C'est--dire si, au lieu d'accepter le nom de domaine DNS par dfaut comme suffixe UPN (comme dans l'exemple prcdent, utilisateur@ventes.coteouest.microsoft.com), vous fournissez un suffixe UPN unique pour tous les utilisateurs (l'utilisateur a alors pour nom utilisateur@ microsoft.com). L'outil Domaines et approbations Active Directory permet de grer les suffixes UPN d'un domaine. Les noms UPN sont assigns lors de la cration d'un utilisateur. Si vous avez cr des suffixes supplmentaires pour un domaine, vous devez slectionner le suffixe de votre choix dans une liste lorsque vous crez le compte d'utilisateur ou de groupe. Les suffixes sont rpertoris dans l'ordre suivant : autres suffixes (s'il en existe, le dernier cr apparat en tte de liste) ; domaine racine ; domaine actif.

Noms de comptes SAM Un nom de compte SAM (Security Account Manager) est requis pour la compatibilit avec les domaines Windows NT 3.x et Windows NT 4.0. Dans l'interface utilisateur Windows 2000, un nom de compte SAM est appel Nom d'ouverture de session de l'utilisateur (avant l'installation de Windows 2000) . Ces noms sont aussi parfois appels noms plan car, contrairement aux noms DNS, ils ne sont pas affects hirarchiquement. Comme les noms SAM sont plan, chacun doit tre unique dans le domaine.

Publication d'objets
La publication reprsente la cration d'objets dans l'annuaire, qui contiennent directement les informations que vous voulez rendre accessibles ou y font rfrence. Par exemple, un objet Utilisateur contiendra des informations utiles sur les utilisateurs, comme leurs numros de tlphone et leurs adresses de messagerie, tandis qu'un objet Volume contiendra une rfrence un volume d'un systme de fichiers partag. Les deux exemples suivants dcrivent la publication d'objets Imprimantes et Fichiers dans Active Directory : Publication de partage. Vous pouvez publier un dossier partag comme objet Volume (galement appel objet Dossier partag) dans Active Directory en utilisant le composant logiciel enfichable Utilisateurs et groupes Active Directory. Les utilisateurs peuvent ainsi interroger rapidement et facilement Active Directory sur ce dossier partag. Publication d'imprimante. Dans un domaine Windows 2000, la manire la plus simple de grer, de rechercher et de se connecter des imprimantes consiste utiliser Active Directory. Par dfaut10, si vous ajoutez une imprimante l'aide de l'Assistant Ajout d'imprimante et dcidez de la partager, Windows 2000 Server la publie dans le domaine en tant qu'objet Active Directory. La publication (affichage) d'imprimantes dans Active Directory permet aux utilisateurs de localiser l'imprimante la plus approprie. Ils peuvent interroger aisment Active Directory sur une de ces imprimantes, en effectuant une recherche par attributs

17

d'imprimante, tels que le type (PostScript, couleur, papier de taille autorise, etc.) et l'emplacement. Lorsqu'une imprimante est supprime du serveur, ce dernier annule sa publication. Vous pouvez galement publier des imprimantes non-Windows 2000 (c'est--dire des imprimantes sur des serveurs d'impression autres que Windows 2000) dans Active Directory. Pour ce faire, utilisez l'outil Utilisateurs et ordinateurs Active Directory pour entrer le chemin UNC de l'imprimante. Vous pouvez aussi utiliser le script Pubprn.vbs inclus dans le dossier System32. La stratgie de groupe Nettoyage des imprimantes de bas niveau dtermine la manire dont le service de nettoyage (suppression automatique d'imprimantes) traite les imprimantes situes sur des serveurs d'impression non-Windows 2000, lorsqu'une imprimante n'est pas disponible. Dcision de publication Vous publiez une information dans Active Directory quand elle peut tre utile ou intressante pour une partie importante de la communaut des utilisateurs et quand elle doit tre facilement accessible. L'information publie dans Active Directory prsente deux caractristiques essentielles : Elle est relativement statique. Publiez uniquement une information qui change rarement. Les numros de tlphone et les adresses de messagerie sont des exemples d'informations relativement statiques, aptes tre publies. Au contraire, le courrier lectronique actuellement slectionn par l'utilisateur est un exemple d'information particulirement volatile. Elle est structure. Publiez une information structure qui peut tre reprsente sous la forme d'un ensemble d'attributs discrets. L'adresse professionnelle d'un utilisateur est un exemple d'information structure, apte tre publie. Un extrait audio de la voix de l'utilisateur est un exemple d'information non structure mieux adapte au systme de fichiers.

Les informations de fonctionnement utilises par les applications constituent d'excellentes candidates la publication dans Active Directory. En font partie les informations de configuration globales qui s'appliquent toutes les instances d'une application donne. Par exemple, un produit de bases de donnes relationnelles pourrait enregistrer en tant qu'objet dans Active Directory la configuration par dfaut des serveurs de bases de donnes. De nouvelles installations du produit pourraient alors rcuprer la configuration par dfaut contenue dans l'objet, ce qui simplifierait le processus d'installation et augmenterait la cohrence des installations au sein d'une entreprise. Les applications peuvent galement publier leurs points de connexion dans Active Directory. Les points de connexion servent aux rendez-vous client-serveur. Active Directory dfinit une architecture pour l'administration de services intgre utilisant des objets Points d'administration de services et fournit des points de connexion standard pour les applications RPC (Remote Procedure Call), Winsock et COM (Component Object Model). Les applications qui n'utilisent pas les interfaces RPC ou Winsock pour publier leurs points de connexion peuvent publier explicitement des objets point de connexion de services dans l'annuaire. Les donnes des applications peuvent galement tre publies dans l'annuaire avec des objets spcifiques aux applications. Les donnes spcifiques aux applications doivent correspondre aux critres voqus plus haut, c'est--dire tre globalement intressantes, relativement non volatiles et structures. Outils de publication Les outils de publication dpendent de l'application ou du service concern :

18

RPC (Remote Procedure Call). Les applications RPC utilisent la famille de API RpcNs* pour publier leurs points de connexion dans l'annuaire et pour rechercher les points de connexion des services qui ont publi les leurs. Windows Sockets. Les applications Windows Sockets utilisent les familles de API Enregistrement et Rsolution de Winsock 2.0 pour publier leurs points de connexion et pour rechercher les points de connexion des services qui ont publi les leurs. DCOM (Distributed Component Object Model). Les services DCOM publient leurs points de connexion par l'intermdiaire de la banque de classes DCOM, hberge dans Active Directory. DCOM est la spcification COM de Microsoft qui dfinit la manire dont les composants communiquent sur les rseaux Windows. Utilisez l'outil Configuration DCOM pour intgrer des applications client-serveur sur plusieurs ordinateurs. DCOM peut galement tre utilis pour intgrer des applications robustes de navigateur Web.

19

Architecture Active Directory (3me partie)


Domaines : arborescences, forts, approbations et units d'organisation
Active Directory est constitu d'un ou de plusieurs domaines. La cration du contrleur de domaine initial dans un rseau cre galement le domaine. Vous ne pouvez pas avoir de domaine sans au moins un contrleur de domaine. Chaque domaine de l'annuaire est identifi par un nom de domaine DNS. L'outil Domaines et approbations Active Directory permet de grer les domaines. Les domaines sont utiliss pour raliser les objectifs de gestion de rseau suivants : Dlimitation de la scurit. Les domaines Windows 2000 dfinissent une limite de scurit. Les stratgies et les paramtres de scurit (comme par exemple les droits d'administration et les listes de contrle d'accs) ne passent pas d'un domaine un autre. Active Directory peut inclure un ou plusieurs domaines, possdant tous leurs propres stratgies de scurit. Rplication des informations. Un domaine est une partition d'annuaire Windows 2000 (appele galement contexte d'affectation de nom). Ces partitions sont les units de rplication. Chaque domaine enregistre uniquement les informations concernant les objets qu'il contient. Chaque contrleur d'un domaine peut recevoir les modifications apportes des objets et rpliquer ces modifications vers tous les autres contrleurs du mme domaine. Application des stratgies de groupe. Un domaine reprsente une tendue possible de stratgie (les paramtres de stratgie de groupe peuvent aussi tre appliqus des units d'organisation ou des sites). L'application d'un objet Stratgie de groupe (GPO, Group Policy Object) au domaine dfinit la manire dont les ressources du domaine peuvent tre configures et utilises. Par exemple, vous pouvez employer une stratgie de groupe pour contrler les paramtres du bureau, comme par exemple le dploiement d'applications et de verrouillages. Ces stratgies sont appliques uniquement au sein d'un mme domaine. Elles ne sont pas transmises d'un domaine un autre. Structure du rseau. Comme un domaine Active Directory peut englober de nombreux sites et contenir des millions d'objets 11, la plupart des organisations n'ont pas besoin de crer de domaines distincts pour reflter leurs diffrents dpartements et divisions. Normalement, vous ne devriez pas avoir crer d'autres domaines pour traiter des objets supplmentaires. Toutefois, certaines organisations requirent plusieurs domaines pour prendre en charge, par exemple, des units professionnelles indpendantes ou compltement autonomes qui ne veulent pas qu'une personne extrieure leur unit dispose d'autorisations sur leurs objets. De telles organisations peuvent crer des domaines supplmentaires et les organiser en une fort Active Directory. Il peut galement tre utile de sparer le rseau en domaines distincts si deux parties de votre rseau sont spares par un lien si lent que vous refusez que le trafic de rplication l'emprunte. (Dans le cas de liens lents encore capables de prendre en charge le trafic de rplication de manire moins frquente, vous pouvez configurer un simple domaine avec plusieurs sites). Dlgation de l'autorit d'administration. Sur les rseaux Windows 2000, vous pouvez dlguer l'autorit d'administration d'units d'organisation et de domaines individuels, ce qui rduit le nombre requis d'administrateurs disposant d'une autorit d'administration leve. Comme un domaine est une limite de scurit, les autorisations d'administration d'un domaine sont restreintes au domaine par dfaut. Par exemple, un administrateur ayant l'autorisation de dfinir les stratgies de scurit d'un domaine n'est pas automatiquement autoris faire de mme dans tout autre domaine de l'annuaire.

20

Pour pouvoir comprendre les domaines, vous devez d'abord comprendre ce que sont les arborescences, les forts, les approbations et les units d'organisation, et les rapports entre ces structures et les domaines. Ces composants de domaine sont dcrits dans les sous-sections suivantes : Arborescences Forts Relations d'approbation Units d'organisation

Windows 2000 introduit galement le concept de sites, mais leur structure est diffrente de celle des domaines, afin de garantir la flexibilit de leur administration (les sites sont dcrits dans une section ultrieure). Ce document prsente les notions de base des domaines et des sites Windows 2000. Pour des informations dtailles sur la planification de leur structure et dploiement, voir le Guide de planification du dploiement de Microsoft Windows 2000 Server dans la section Pour plus d'informations la fin de ce document. Lorsque vous dcouvrirez les structures de domaines possibles dcrites dans les soussections suivantes, gardez l'esprit que, pour de nombreuses organisations, il est possible de disposer d'une structure compose d'un domaine qui serait simultanment une fort compose d'une arborescence. Il s'agit sans doute de la meilleure faon d'organiser un rseau. Il faut toujours commencer par la structure la plus simple et augmenter sa complexit si cela se justifie. Arborescences Dans Windows 2000, une arborescence est un ensemble d'un ou de plusieurs domaines avec noms contigus. S'il existe plusieurs domaines, vous pouvez les associer en arborescences. Il est parfois ncessaire de possder plusieurs arborescences dans une fort ; par exemple, si une division de votre organisation possde son propre nom DNS et utilise ses propres serveurs DNS. Le premier domaine cr est le domaine racine de la premire arborescence. Les domaines supplmentaires de la mme arborescence de domaine sont les domaines enfants. Un domaine plac immdiatement au-dessus d'un autre dans la mme arborescence est son parent. Tous les domaines qui ont un domaine racine commun forment ce qu'on appelle un espace de noms contigus. Les domaines d'un espace de noms contigus (de la mme arborescence) ont des noms contigus forms de la manire suivante : le nom du domaine enfant apparat sur la gauche, suivi d'un point et du nom de son domaine parent. Lorsqu'il y a plus de deux domaines, chaque domaine est suivi de son parent dans le nom de domaine, comme l'illustre la figure 3. Les domaines Windows 2000 d'une mme arborescence sont lis par des relations d'approbation bidirectionnelles et transitives. Ces relations sont dcrites plus loin dans ce document.

Figure 3. Domaines parents et enfants d'une arborescence de domaines. Les flches deux directions indiquent des relations d'approbation transitives bidirectionnelles La relation parent-enfant entre domaines d'une mme arborescence est une relation d'affectation de nom et une relation d'approbation. Les administrateurs d'un domaine

21

parent ne sont pas automatiquement ceux des domaines enfants et les stratgies dfinies dans un domaine parent ne sont pas appliques automatiquement aux domaines enfants. Forts Une fort Active Directory est une base de donnes distribue, compose de nombreuses bases de donnes partielles enregistres sur des ordinateurs diffrents. La distribution de la base de donnes augmente l'efficacit du rseau en permettant de placer les donnes l o elles sont le plus utilises. Les partitions de la base de donnes de la fort sont dfinies par des domaines, ce qui signifie qu'une fort est compose d'un ou plusieurs domaines. Tous les contrleurs de domaine d'une fort hbergent une copie des conteneurs de configuration et de schma de la fort en plus d'une base de donnes de domaine. Une base de donnes de domaine est une partie d'une base de donnes de fort. Chaque base de donnes de domaine contient des objets d'annuaire, tels que les objets entits de scurit (utilisateurs, ordinateurs et groupes) auxquels vous pouvez accorder ou refuser l'accs aux ressources rseau. Souvent, une fort unique, simple crer et entretenir, suffit rpondre aux besoins d'une organisation. Dans ce cas, les utilisateurs n'ont pas besoin de connatre la structure d'annuaire car ils voient tous un annuaire unique par l'intermdiaire du catalogue global. Lors de l'ajout d'un nouveau domaine dans la fort, aucune configuration d'approbation supplmentaire n'est requise. En effet, tous les domaines d'une mme fort sont connects par des relations d'approbation transitives bidirectionnelles. Dans une fort de plusieurs domaines, les modifications de configuration n'ont besoin d'tre appliques qu'une seule fois pour affecter tous les domaines. Ne crez pas de fort supplmentaire, moins que vous n'en ayez vraiment besoin, car chaque fort que vous crez entrane une surcharge de travail de gestion 12 . Il est parfois ncessaire de crer plusieurs forts ; par exemple, si l'administration de votre rseau est distribue entre plusieurs divisions autonomes qui ne peuvent pas se mettre d'accord sur une gestion commune des conteneurs de schma et de configuration. C'est galement le cas si vous voulez garantir que des utilisateurs spcifiques ne puissent jamais obtenir l'accs certaines ressources (dans une fort unique, tout utilisateur peut tre inclus dans tout groupe ou peut tre rpertori dans une liste de contrle d'accs discrtionnaire (DACL, Discretionary Access Control List) 13, sur n'importe quel ordinateur de la fort). Si vous disposez de forts distinctes, vous pouvez dfinir des relations d'approbation explicites pour accorder aux utilisateurs d'une fort l'accs certaines ressources d'une autre. (Pour un exemple avec deux forts, voir la figure 7 dans la section Exemple : Environnement mixte constitu de deux forts et d'un extranet .) Plusieurs arborescences de domaines au sein d'une mme fort ne forment pas un espace de noms contigus ; en effet, leurs noms de domaine DNS ne sont pas contigus. Bien que les arborescences d'une fort ne partagent pas un mme espace de nom, une fort possde un domaine racine unique, appel domaine racine de la fort. Ce domaine racine est, par dfinition, le premier domaine cr dans la fort. Les deux groupes prdfinis, Administrateurs d'entreprise et Administrateurs de schma, rsident dans ce domaine. Par exemple, comme le montre la figure 4, bien que trois arborescences de domaines (Racine-SS.com, RacineEurope.com et RacineAsie.com) aient tous un domaine enfant pour le service de comptabilit Compt , les noms DNS de ces domaines enfants sont respectivement Compt.Racine-SS.com, Compt.RacineEurope.com et Compt.RacineAsie.com. Il n'existe aucun espace de noms partag.

22

Figure 4. Fort de trois arborescences de domaines. Les trois domaines racines ne sont pas contigus, mais RacineEurope.com et RacineAsie.com sont des domaines enfants de Racine-SS.com. Le domaine racine de chaque arborescence de domaines de la fort tablit une relation d'approbation transitive (explique plus en dtails dans la section suivante) avec le domaine racine de la fort. Dans la figure 4, Racine-SS.com est le domaine racine de la fort. Les domaines racines des autres arborescences, RacineEurope.com et RacineAsie.com, ont des relations d'approbation transitives avec Racine-SS.com. Il est donc possible d'tablir des relations d'approbation entre toutes les arborescences de la fort. Tous les domaines Windows 2000 de toutes les arborescences de domaines d'une mme fort prsentent les caractristiques suivantes : Il existe des relations d'approbation transitives entre les domaines d'une mme arborescence. Il existe des relations d'approbation transitives entre les arborescences de domaines d'une mme fort. Ils partagent des informations de configuration communes. Ils partagent un schma commun. Ils partagent un catalogue global commun.

Important Il est facile d'ajouter de nouveaux domaines une fort. Toutefois, vous ne pouvez pas dplacer les domaines Windows 2000 Active Directory d'une fort une autre. Vous pouvez supprimer un domaine d'une fort uniquement s'il ne possde pas de domaine enfant. Une fois que le domaine racine d'une arborescence a t dfini, vous ne pouvez pas ajouter la fort un domaine avec un nom de niveau suprieur. Il est impossible de crer un parent pour un domaine existant ; vous pouvez uniquement crer un enfant. La mise en uvre d'arborescences de domaines et de forts vous permet d'utiliser la fois les conventions d'affectation de nom contigu et non contigu. Cette souplesse peut tre utile, par exemple, dans des socits composes de divisions indpendantes qui veulent toutes conserver leur propre nom DNS, comme Microsoft.com et MSNBC.com. Relations d'approbation Une relation d'approbation est une relation tablie entre deux domaines grce laquelle les contrleurs de domaine de l'un des domaines reconnaissent les utilisateurs de l'autre domaine. Les approbations permettent aux utilisateurs d'un des domaines d'accder aux ressources de l'autre et aux administrateurs d'un des domaines d'administrer des droits utilisateur pour les utilisateurs de l'autre. Pour les ordinateurs Windows 2000, l'authentification de comptes entre domaines est active par l'intermdiaire de relations d'approbation bidirectionnelles et transitives. Toutes les relations d'approbation au sein d'une fort Windows 2000 sont bidirectionnelles et transitives, et sont dfinies comme suit : Bidirectionnelle. Lorsque vous crez un domaine enfant, ce domaine enfant approuve automatiquement son domaine parent et rciproquement. D'un point de vue pratique, des requtes d'authentification peuvent tre soumises d'un domaine l'autre dans les deux sens.

23

Transitive. Une approbation transitive va au-del des deux domaines impliqus dans la relation d'approbation initiale. Par exemple : si le domaine A et le domaine B (parent et enfant) s'approuvent mutuellement et si le domaine B et le domaine C (l encore parent et enfant) s'approuvent eux aussi mutuellement, alors le domaine A et le domaine C s'approuvent mutuellement (de manire implicite), mme si aucune relation d'approbation directe n'existe entre eux. Au niveau de la fort, il se cre automatiquement une relation d'approbation entre le domaine racine de la fort et le domaine racine de chaque arborescence de domaines ajoute la fort, ce qui cre une approbation complte entre tous les domaines appartenant une fort Active Directory. D'un point de vue pratique, dans la mesure o les relations d'approbation sont transitives, un processus d'ouverture de session unique permet au systme d'authentifier un utilisateur (ou un ordinateur) de n'importe quel domaine de la fort. Ce processus d'ouverture de session unique offre au compte un accs potentiel toutes les ressources de tous les domaines de la fort.

Notez toutefois que le fait que les approbations permettent un processus d'ouverture de session unique ne signifie pas ncessairement qu'un utilisateur authentifi possdera des droits et des autorisations dans tous les domaines de la fort. Au-del des approbations bidirectionnelles et transitives gnres automatiquement l'chelle de la fort par le systme d'exploitation Windows 2000, vous pouvez crer explicitement les deux types de relations d'approbation suivants : Approbations raccourcis. Avant d'accorder un compte d'un domaine donn l'accs des ressources d'un autre domaine par l'intermdiaire d'un contrleur de domaine, Windows 2000 calcule le chemin d'approbation entre les contrleurs du domaine source (celui auquel appartient le compte) et le domaine cible (celui qui comporte les ressources auxquelles le compte veut accder). Un chemin d'approbation se compose de la srie de relations d'approbation de domaines que la scurit de Windows 2000 doit traverser pour transmettre les requtes d'authentification d'un domaine un autre. Le calcul et le parcours d'un chemin d'approbation entre arborescences de domaines dans une fort complexe peut prendre du temps. Pour amliorer les performances, vous pouvez crer explicitement (manuellement) une approbation raccourci entre deux domaines Windows 2000 non adjacents de la mme fort. Les approbations raccourcis sont des approbations unidirectionnelles transitives qui vous permettent de raccourcir le chemin d'approbation, comme le montre la figure 5. Vous pouvez combiner deux approbations unidirectionnelles pour tablir une relation d'approbation bidirectionnelle. Si vous ne pouvez pas rvoquer les approbations bidirectionnelles transitives tablies automatiquement par dfaut entre tous les domaines d'une fort Windows 2000, vous pouvez en revanche supprimer les approbations raccourcis cres explicitement.

24

Figure 5. Approbations raccourcis entre les domaines B et D, et entre les domaines D et 2 Approbations externes. Les approbations externes tablissent des relations d'approbation vers des domaines d'une fort Windows 2000 diffrente ou vers un domaine non-Windows 2000 (il peut s'agir d'un domaine Windows NT ou d'un domaine Kerberos version 514). Les approbations externes permettent d'authentifier les utilisateurs dans un domaine externe. Toutes les approbations externes sont des approbations unidirectionnelles non transitives, comme le montre la figure 6. De nouveau, vous pouvez combiner deux approbations unidirectionnelles pour tablir une relation d'approbation bidirectionnelle.

Figure 6. Approbation non transitive externe unidirectionnelle Dans Windows NT 4.0 et les versions antrieures de ce systme d'exploitation, les relations d'approbation sont unidirectionnelles et l'approbation est limite aux deux domaines entre lesquels elle est tablie (elle n'est pas transitive). Lorsque vous mettez niveau un domaine Windows NT vers un domaine Windows 2000, les relations d'approbation unidirectionnelles entre ce domaine et tout autre domaine Windows NT sont maintenues. Si vous installez un nouveau domaine Windows 2000 et que vous voulez tablir pour lui des relations d'approbation avec des domaines Windows NT, vous devez crer des approbations externes Windows 2000. Pour tablir explicitement une relation d'approbation, vous devez utilisez l'outil Domaines et approbations Active Directory. Exemple : Environnement mixte constitu de deux forts et d'un extranet La figure 7 illustre un environnement mixte comprenant deux forts Windows 2000 et un domaine Windows NT 4.0. Quatre espaces de noms spars sont mis en uvre : A.com, D.com, G.com et F.

Figure 7. Rseau constitu de deux forts et d'un extranet La figure 7 illustre le cas suivant :

25

A.com et D.com sont les racines d'arborescences distinctes de la fort 1. (A.com est le domaine racine de la fort.) L'approbation de racine d'arborescence bidirectionnelle et transitive qui existe entre eux (gnre automatiquement par Windows 2000) assure une approbation complte entre tous les domaines des deux arborescences de la fort 1. E.D.com utilise frquemment des ressources dans C.A.com. Pour raccourcir le chemin d'approbation entre les deux domaines, C.A.com approuve E.D.com directement. Cette approbation raccourci unidirectionnelle et transitive raccourcit le chemin d'approbation parcourir pour authentifier les utilisateurs de E.D.com (limite le nombre de tronons ncessaires leur authentification) afin qu'ils puissent utiliser efficacement les ressources de C.A.com. G.com est la racine de l'arborescence qui constitue elle seule la fort 2. L'approbation bidirectionnelle et transitive automatique entre G.com et H.G.com permet aux utilisateurs, aux ordinateurs et aux groupes des deux domaines d'accder leurs ressources mutuelles. Le domaine G.com de la fort 2 implmente une relation d'approbation externe unidirectionnelle explicite avec le domaine D.com de la fort 1 de telle sorte que les utilisateurs du domaine D.com puissent accder aux ressources du domaine G.com. Cette approbation n'tant pas transitive, aucun autre domaine de la fort 1 ne peut obtenir d'accs aux ressources de G.com, et les utilisateurs, les groupes et les ordinateurs de D.com ne peuvent accder aux ressources de H.G.com. Le domaine F est un domaine Windows NT 4.0 qui fournit des services d'assistance aux utilisateurs de E.D.com. Cette approbation unidirectionnelle non transitive ne s'tend aucun autre domaine de la fort 1. Dans ce scnario, le domaine Windows NT 4.0 est un extranet. (Un extranet est un intranet accessible en partie des utilisateurs externes autoriss. Un intranet part entire est situ derrire un pare-feu et reste inaccessible, mais un extranet offre un accs restreint aux personnes n'appartenant pas l'organisation.)

Units d'organisation Nouveau concept dans le systme d'exploitation Windows 2000, les units d'organisation (galement appeles OU) sont un type d'objets d'annuaire dans lequel vous pouvez placer des utilisateurs, des groupes, des ordinateurs, des imprimantes, des dossiers partags et d'autres units d'organisation au sein d'un domaine unique. L'unit d'organisation (reprsente sous la forme d'un dossier dans l'interface Utilisateurs et ordinateurs Active Directory) vous permet d'organiser logiquement et d'enregistrer des objets dans le domaine. Si vous avez plusieurs domaines, chacun d'entre eux peut implmenter sa propre hirarchie d'units d'organisation. Comme l'illustre la figure 8, les units d'organisation peuvent contenir d'autres units d'organisation.

Figure 8. Hirarchie d'units d'organisation dans un domaine unique

26

Les units d'organisation vous permettent essentiellement de dlguer l'autorit administrative sur des jeux d'utilisateurs, de groupes et de ressources. Par exemple, vous pouvez crer une unit d'organisation qui contient tous les comptes d'utilisateur de votre socit. Aprs avoir cr des units d'organisation pour dlguer des pouvoirs d'administration, vous pouvez leur appliquer des paramtres de stratgie de groupe pour dfinir des configurations de bureau pour les utilisateurs et les ordinateurs. Dans la mesure o vous utilisez des units d'organisation pour dlguer des pouvoirs administratifs, la structure que vous crez refltera probablement davantage votre modle administratif que l'organisation technique de votre entreprise. Bien que les utilisateurs puissent parcourir la structure d'units d'organisation d'un domaine lorsqu'ils recherchent des ressources, l'interroger du catalogue global est dans ce cas-ci bien plus efficace. Il est donc inutile de crer une structure d'units d'organisation pour le seul bien-tre des utilisateurs finaux. Vous pouvez aussi crer une structure d'units d'organisation qui reflte l'organisation technique de votre entreprise, mais la mise en uvre et la gestion d'une telle initiative peuvent tre difficiles et coteuses. Au lieu de crer une structure d'units d'organisation qui reflterait la situation des ressources ou l'organisation par dpartements, basez-vous sur les paramtres de dlgation administrative et de stratgie de groupe lorsque vous crez des units d'organisation. Pour plus d'informations sur la mise en uvre de la dlgation et de la stratgie de groupe l'aide d'units d'organisation, voir la section Utilisation de la dlgation et de la stratgie de groupe avec les units d'organisation, les domaines et les sites . Pour des informations plus dtaille sur la conception d'une structure d'units d'organisation lors de la planification de la mise en uvre de Windows 2000, voir le Guide de planification du dploiement de Microsoft Windows 2000 Server dans la section Pour plus d'informations la fin de ce document.

Sites : services aux clients et rplication des donnes


Vous pouvez considrer un site Windows 2000 comme un ensemble d'ordinateurs appartenant un ou plusieurs rseaux IP connects l'aide de technologies LAN, ou comme un ensemble de rseaux locaux connects par une structure fondamentale haute vitesse. Les ordinateurs appartenant un mme site doivent tre connects correctement, ce qui caractrise d'ailleurs les ordinateurs qui font partie d'un mme sous-rseau. En revanche, des sites distincts sont connects par une liaison dont la vitesse est plus faible que celle des transferts de donnes au sein d'un rseau local. Vous pouvez utiliser l'outil Sites et services Active Directory pour configurer des connexions tant pour un site donn (dans un rseau local ou un ensemble de rseaux locaux connects correctement) qu'entre plusieurs sites (dans un rseau tendu). Avec le systme d'exploitation Windows 2000, les sites offrent les services suivants : Les clients peuvent faire appel un service par l'intermdiaire d'un contrleur de domaine dans le site auquel ils appartiennent (s'il en existe un). Active Directory tente de rduire le dlai de la rplication intra-site. Active Directory tente de rduire la consommation de bande passante de la rplication inter-sites. Les sites vous permettent de planifier la rplication inter-sites.

Les utilisateurs et les services doivent pouvoir accder aux informations d'annuaire tout moment partir de n'importe quel ordinateur de la fort. Pour ce faire, les ajouts, modifications et suppressions des donnes d'annuaire du contrleur de domaine d'origine doivent tre relayes (rpliques) vers les autres contrleurs de domaine de la fort. Toutefois, il faut atteindre un quilibre entre la ncessit de distribuer largement les donnes d'annuaire et celle d'optimiser la performance rseau. Les sites Active Directory vous aident maintenir un tel quilibre.

27

Vous devez bien comprendre que les sites sont indpendants des domaines. L'architecture des sites reprsente la structure physique de votre rseau, alors que les domaines (si vous en utilisez plusieurs) reprsentent traditionnellement la structure logique de votre organisation. Les structures logique et physique sont indpendantes l'une de l'autre, et par consquent : Il n'existe pas forcment de lien entre l'espace de noms des sites et celui des domaines. Il n'existe pas ncessairement de corrlation entre la structure physique de votre rseau et celle de ses domaines. Cependant, dans de nombreuses organisations, les domaines sont configurs pour reflter la structure physique du rseau. En effet, les domaines sont des partitions, et le partitionnement joue sur la rplication ; la partition d'une fort en de multiples petits domaines permet de rduire le trafic de rplication. Active Directory permet d'tablir plusieurs domaines dans un site unique, et inversement.

Utilisation des informations sur le site par Active Directory Vous spcifiez les informations sur le site l'aide de Sites et services Active Directory. Active Directory utilise ensuite ces informations pour dterminer la meilleure faon d'utiliser les ressources rseau disponibles. L'utilisation des sites rend optimise les oprations suivantes : Rponses aux requtes des clients. Lorsqu'un client requiert un service auprs d'un contrleur de domaine, la requte est destine un contrleur de domaine appartenant au mme site que lui, s'il existe. Le choix d'un contrleur de domaine connect correctement au client permet d'optimiser le traitement de la requte. Par exemple, si un client se connecte en utilisant un compte de domaine, le mcanisme de connexion recherche d'abord des contrleurs de domaine hbergs sur le mme site que le client. L'utilisation prfrentielle des contrleurs de domaine appartenant au site du client permet de limiter le trafic rseau au niveau local, ce qui optimise la procdure d'authentification. Rplication de donnes d'annuaire. Les sites permettent de dupliquer les donnes d'annuaire tant en leur sein qu'entre eux. Active Directory rplique les donnes au sein d'un mme site plus frquemment que d'un site l'autre, ce qui signifie que les contrleurs de domaine les mieux connects, par consquent les plus susceptibles d'avoir besoin de donnes d'annuaire spcifiques, sont les premiers destinataires de la rplication. Les contrleurs de domaine des autres sites reoivent aussi toutes les modifications de l'annuaire, mais moins frquemment, ce qui rduit la consommation de bande passante. La rplication de donnes Active Directory destination des contrleurs de domaine est avantageuse en termes de disponibilit des donnes, de tolrance de pannes, d'quilibrage de charge et de performances. (Pour plus d'informations sur la manire dont le systme d'exploitation Windows 2000 met en uvre la rplication, voir la sous-section Rplication multimatre la fin de cette section relative aux sites.)

Contrleurs de domaine, catalogues globaux et donnes rpliques Les donnes enregistres dans Active Directory sur chaque contrleur de domaine (qu'il s'agisse ou non d'un serveur de catalogue global) sont rparties en trois catgories : les donnes de domaine, de schma et de configuration. Chacune de ces catgories se situe dans une partition d'annuaire distincte, appele galement contexte d'affectation de nom. Ces partitions d'annuaire constituent les units de rplication. Les trois partitions d'annuaire comprises dans chaque serveur Active Directory sont dfinies comme suit :

28

Partition d'annuaire de donnes de domaine. Contient tous les objets de l'annuaire pour ce domaine. Les donnes de chaque domaine sont rpliques sur tous les contrleurs de domaine que le domaine contient, mais pas au-del. Partition d'annuaire de donnes de schma. Contient tous les types d'objet qui peuvent tre crs dans Active Directory, ainsi que leurs attributs. Ces donnes sont communes tous les domaines de l'arborescence de domaines ou de la fort. Les donnes de schma sont rpliques sur tous les contrleurs de domaine de la fort. Partition d'annuaire de donnes de configuration. Contient la topologie de rplication et les mtadonnes associes. Les applications qui reconnaissent Active Directory enregistrent des donnes dans la partition d'annuaire de configuration. Ces donnes sont communes tous les domaines de l'arborescence de domaines ou de la fort. Les donnes de configuration sont rpliques sur tous les contrleurs de domaine de la fort.

Si le contrleur de donnes est galement le serveur de catalogue global, il contient en outre une quatrime catgorie de donnes : Rplica partiel de la partition d'annuaire de donnes de domaine pour tous les domaines. Un serveur de catalogue global enregistre et rplique non seulement un jeu complet de tous les objets de l'annuaire pour son propre domaine hte, mais galement un rplica partiel de la partition d'annuaire de domaine de tous les autres domaines de la fort. Ce rplica partiel contient, par dfinition, un sous-ensemble des proprits de tous les objets de tous les domaines de la fort. (Un rplica partiel n'est accessible qu'en lecture seule, alors qu'un rplica complet l'est en lecture/criture.) Si un domaine contient un catalogue global, les autres contrleurs de domaine rpliquent tous les objets de ce domaine (avec un sous-ensemble de leurs proprits) sur le catalogue global, puis une rplication partielle est excute entre les catalogues globaux. Si un domaine ne possde pas de catalogue global, c'est un contrleur de domaine standard qui sert de source au rplica partiel. Par dfaut, le sous-ensemble d'attributs enregistr dans le catalogue global contient les attributs qui sont le plus souvent utiliss lors des oprations de recherche, car l'une des fonctions essentielles du catalogue global est la prise en charge des clients qui interrogent l'annuaire. Si vous utilisez des catalogues globaux pour effectuer une rplication partielle de domaine au lieu de rpliquer un domaine complet, vous rduisez le trafic de rseau tendu. Rplication dans un site Si votre rseau est form d'un rseau local (LAN) unique ou d'un ensemble de rseaux locaux connects par une structure fondamentale haute vitesse, l'ensemble du rseau peut constituer un site unique. Le premier contrleur de domaine que vous installez cre automatiquement le premier site, connu sous le nom de Default-First-Site-Name. Une fois le premier contrleur de domaine install, tous les contrleurs de domaine supplmentaires sont automatiquement ajouts au mme site que le contrleur de domaine initial. (Si vous le souhaitez, vous pouvez ensuite les dplacer vers d'autres sites.) Seule exception : Si, lorsque vous installez un contrleur de domaine, l'adresse IP de ce dernier correspond au sous-rseau dj spcifi dans un autre site, le contrleur de domaine est ajout cet autre site. Au sein d'un site, les donnes d'annuaire sont rpliques frquemment et automatiquement. La rplication intra-site est dfinie pour rduire au minimum le dlai de rplication, c'est--dire pour mettre les donnes jour le plus possible. Les mises jour d'annuaire intra-site ne sont pas compresses. Les changes non compresss

29

utilisent davantage de ressources rseau mais demandent une puissance de traitement moins importante de la part des contrleurs de domaine. La figure 9 illustre la rplication au sein d'un site. Trois contrleurs de domaine (dont l'un est aussi le catalogue global) rpliquent les donnes de schma et de configuration de la fort, ainsi que tous les objets d'annuaire (avec un jeu complet des attributs de chaque objet).

Figure 9. Rplication intra-site avec un domaine unique La topologie de rplication, c'est--dire la configuration forme par les connexions qui rpliquent les donnes d'annuaire entre les contrleurs de domaine, est gnre automatiquement par le service Knowledge Consistency Checker (KCC) dans Active Directory. La topologie de site Active Directory est une reprsentation logique d'un rseau physique ; elle est dfinie sur la base d'une fort. Active Directory essaie d'tablir une topologie qui offre au moins deux connexions chaque contrleur de domaine, de sorte que, si un contrleur de domaine devient indisponible, les donnes d'annuaire puissent toujours atteindre tous les contrleurs de domaine en ligne par l'autre connexion. Active Directory value et ajuste automatiquement la topologie de rplication pour qu'elle s'adapte l'volution du rseau. Par exemple, lorsqu'un contrleur de domaine est ajout un site, la topologie de rplication est adapte pour englober efficacement cet ajout. Les clients et les serveurs de Active Directory utilisent la topologie de sites de la fort pour diriger efficacement le trafic des requtes et des rplications. Si vous largissez votre dploiement du premier contrleur de domaine d'un domaine plusieurs contrleurs de domaine au sein de domaines multiples (toujours l'intrieur d'un mme site), les donnes d'annuaire rpliques sont modifies pour tenir compte de la rplication du rplica partiel sur des catalogues globaux dans diffrents domaines. La figure 10 montre deux domaines, comportant chacun trois contrleurs de domaine. Dans chacun des sites, l'un des contrleurs de domaine est galement le serveur de catalogue global. Au sein de chaque domaine, les contrleurs de domaine rpliquent les donnes de schma et de configuration de la fort, ainsi que tous les objets d'annuaire (avec un jeu complet des attributs de chaque objet), exactement comme la figure 9. En outre, chaque catalogue global rplique sur l'autre catalogue global les objets d'annuaire (avec uniquement un sous-ensemble de leurs attributs) pour son propre domaine.

30

Figure 10. Rplication intra-site avec deux domaines et deux catalogues globaux Rplication inter-sites Crez des sites multiples pour optimiser la fois le trafic serveur-serveur et le trafic client-serveur sur les liaisons de rseau tendu. Dans le systme d'exploitation Windows 2000, la rplication inter-sites rduit automatiquement la consommation de bande passante entre les sites. Lorsque vous crez des sites multiples, respectez les recommandations suivantes : Gographie. Dfinissez en tant que site distinct chaque zone gographique qui ncessite un accs rapide aux donnes d'annuaire les plus rcentes. Ainsi, vos utilisateurs peuvent accder toutes les ressources dont ils ont besoin. Contrleurs de domaine et catalogues globaux. Placez au moins un contrleur de domaine dans chaque site et dfinissez au moins un contrleur de domaine en tant que catalogue global dans chaque site . Les sites qui n'ont ni leurs propres contrleurs de domaine ni catalogue global dpendent des autres sites pour obtenir leurs donnes d'annuaire et sont donc moins efficaces.

Connexion entre les sites Les connexions rseau entre sites sont reprsentes par des liens de sites. Un lien de sites est une connexion faible bande passante ou une connexion non fiable entre au moins deux sites. Un rseau tendu qui connecte deux rseaux rapides constitue un exemple de lien de sites. D'une manire gnrale, n'importe quelle couple de rseaux connects par une liaison de vitesse infrieure celle d'un rseau local sont considrs comme connects par un lien de sites. Par ailleurs, une liaison rapide proche de la saturation dont la bande passante est peu efficace est galement considre comme un lien de sites. Lorsque vous disposez de plusieurs sites, les sites connects par des liens de sites s'intgrent la topologie de rplication. Dans un rseau Windows 2000, les liens de sites ne sont pas gnrs automatiquement ; vous devez les crer l'aide de l'outil Sites et services Active Directory. Lorsque vous crez des liens de sites et que vous configurez leur disponibilit de rplication, leur cot relatif et leur frquence de rplication, vous fournissez Active Directory des informations sur les objets de connexion crer pour rpliquer les donnes d'annuaire. Active Directory utilise les liens de sites comme des indicateurs pour savoir o crer des objets de connexion, et les objets de connexion utilisent les connexions rseau effectives pour changer des donnes d'annuaire.

31

Chaque lien de sites est associ un planning qui indique quels moments de la journe le lien est disponible pour effectuer le trafic de rplication. Par dfaut, les liens de sites sont transitifs, ce qui signifie qu'un contrleur de domaine dans un site peut effectuer des connexions de rplication avec des contrleurs de domaine dans n'importe quel autre site. Ainsi, si le site A est connect au site B, et si le site B est connect au site C, les contrleurs de domaine du site A peuvent communiquer avec les contrleurs de domaine du site C. Lorsque vous crez un site, il se peut que vous souhaitiez crer des liens supplmentaires pour permettre des connexions spcifiques entre des sites et personnaliser des liens de sites existants. La figure 11 montre deux sites connects par un lien de sites. Parmi les six contrleurs de domaine reprsents dans cette figure, deux sont des serveurs ponts (le rle de serveur pont est attribu automatiquement par le systme).

Figure 11. Deux sites connects par un lien de sites Le serveur pont de chaque site est utilis de manire prfrentielle pour changer des donnes entre les sites. Les serveurs ponts sont les serveurs choisis de prfrence pour la rplication, mais vous pouvez galement configurer les autres contrleurs de domaine du site pour qu'ils se chargent de la rplication des modifications d'annuaire d'un site l'autre. Une fois les mises jour rpliques d'un site sur le serveur pont de l'autre site, elles sont rpliques vers les autres contrleurs de domaine au sein du site par la rplication intrasite. Bien qu'un seul contrleur de domaine reoive la mise jour d'annuaire inter-sites initiale, tous les contrleurs de domaine servent les requtes client. Protocoles de rplication Les donnes d'annuaire peuvent tre changes l'aide des protocoles de rseau suivants : Rplication IP. La rplication IP utilise des RPC pour la rplication dans un mme site (rplication intra-site) et pour la rplication via des liens de sites (rplication inter-sites). Par dfaut, la rplication inter-sites se conforme aux plannings de rplication. La rplication IP n'a pas besoin d'autorit de certification. Rplication SMTP. Si un site ne dispose pas de connexion physique au reste de votre rseau mais peut tre joint par SMTP (Simple Mail Transfer Protocol), il ne dispose que d'une connectivit par messagerie. La rplication SMTP n'est utilise que pour la rplication inter-sites. Vous ne pouvez pas utiliser la rplication SMTP

32

pour une rplication entre contrleurs de domaine appartenant un mme domaine ; SMTP ne prend en charge que la rplication inter-domaines (en d'autres termes, SMTP ne peut tre utilis que pour la rplication inter-sites interdomaines). La rplication SMTP ne peut tre utilise que pour la rplication de schma, de configuration et de rplica partiel de catalogue global. La rplication SMTP se conforme au planning de rplication gnr automatiquement. Si vous dcidez d'utiliser SMTP par l'intermdiaire de liens de sites, vous devez installer et configurer une autorit de certification d'entreprise. Les contrleurs de domaine obtiennent auprs de l'autorit de certification des certificats qui leur permettent ensuite de signer et de crypter les messages de courrier lectronique qui contiennent les donnes de rplication d'annuaire, garantissant ainsi l'authenticit des mises jour d'annuaire. La rplication SMTP utilise un cryptage sur 56 bits. Rplication multimatre Les contrleurs de domaine de Active Directory prennent en charge la rplication multimatre, en synchronisant les donnes sur chaque contrleur de domaine et en assurant la cohrence temporelle des donnes. La rplication multimatre rplique les donnes de Active Directory entre les contrleurs de domaine homologues, chacun possdant une copie de l'annuaire en lecture/criture. Il s'agit d'une nouveaut par rapport au systme d'exploitation Windows NT Server, dans lequel seul le contrleur de domaine principal disposait d'une copie de l'annuaire en lecture/criture, les contrleurs de domaine secondaires ne recevant que des copies en lecture seule. Une fois configure, la rplication s'effectue de manire automatique et transparente. Propagation de la mise jour et numros de squence de mise jour Certains services d'annuaire utilisent des horodatages pour dtecter et propager les modifications. Avec de tels systmes, il est impratif de s'assurer de la synchronisation des horloges sur tous les serveurs d'annuaire. La synchronisation temporelle d'un rseau est une tche trs ardue. Mme si elle est excellente, l'heure d'un serveur d'annuaire donn risque d'tre mal rgle, ce qui peut entraner la perte de mises jour. Le systme de rplication de Active Directory propage les mises jour indpendamment du temps. En effet, il utilise des numros de squence de mise jour (USN, Update Sequence Number). Un USN est un nombre cod sur 64 bits maintenu par chaque contrleur de domaine Active Directory pour surveiller les mises jour. Lorsque le serveur crit sur un attribut ou une proprit d'un objet Active Directory (y compris l'criture d'origine ou une criture rplique), l'USN est incrment et enregistr avec la proprit mise jour et une proprit spcifique au contrleur de domaine. Cette opration a lieu d'un seul tenant, c'est--dire que l'incrmentation et l'enregistrement de l'USN ainsi que l'criture de la proprit russissent tous les trois ou chouent tous les trois. Chaque serveur Active Directory maintient galement une table des USN reus de ses partenaires de rplication. L'USN le plus lev reu de chacun des partenaires est enregistr. Lorsqu'un partenaire donn informe Active Directory d'une rplication imminente, le serveur demande recevoir toutes les modifications dont l'USN est suprieur la dernire valeur reue. Cette approche simple ne dpend pas de la prcision des horodatages. Comme l'USN enregistr dans la table est mis jour au cours d'une opration groupe la rception de chaque mise jour, la rcupration aprs chec est aussi trs simple. Pour relancer la rplication, il suffit qu'un serveur demande ses partenaires toutes les modifications dont les USN sont suprieurs la dernire entre valide de la table. La table tant mise jour par une opration groupe au moment o les modifications sont rellement effectues, un cycle de rplication reprend toujours exactement l o il a t interrompu, sans perte ni rptition des mises jour. Dtection des collisions et numros de version des proprits

33

Dans un systme de rplication multimatre comme celui de Active Directory, il est possible que la mme proprit soit mise jour sur plusieurs rplicas diffrents. Si une proprit est modifie sur un deuxime (troisime, quatrime, etc.) rplica avant qu'une modification du premier rplica ait t compltement propage, une collision de rplications se produit. Les collisions sont dtectes l'aide de numros de version de proprit. Contrairement aux USN, qui sont des valeurs spcifiques aux serveurs, un numro de version de proprit est spcifique la proprit jointe un objet dans Active Directory. Lorsqu'une proprit est crite pour la premire fois sur un objet Active Directory, le numro de version est initialis. Les critures d'origine incrmentent le numro de version de proprit. Une criture d'origine est une criture sur une proprit du systme l'origine de la modification. Les critures sur proprit engendres par la rplication ne sont pas des critures d'origine et n'incrmentent pas le numro de version. Par exemple, lorsqu'un utilisateur met jour son mot de passe, une criture d'origine est effectue et le numro de version du mot de passe est incrment. Par contre, les critures de rplication du mot de passe modifi sur d'autres serveurs n'incrmentent pas le numro de version. Il y a collision lorsque, lors d'une modification reue par rplication, le numro de version reu est gal au numro de version enregistr localement, et que la valeur reue et la valeur enregistres sont diffrentes. Dans ce cas, le systme rcepteur applique la mise jour dont l'horodatage est le plus rcent. l'exception de cette situation, l'heure et la date n'interviennent pas dans la rplication. Si le numro de version reu est infrieur au numro de version enregistr localement, la mise jour est considre comme caduque et rejete. Si le numro de version reu est suprieur au numro de version enregistr localement, la mise jour est accepte. Amortissement de la propagation Le systme de rplication de Active Directory autorise la prsence de boucles dans la topologie de rplication. L'administrateur peut ainsi configurer une topologie de rplication comportant des chemins d'accs multiples entre serveurs pour accrotre les performances et la disponibilit. Le systme de rplication de Active Directory pratique l'amortissement de la propagation pour viter que des modifications se propagent indfiniment et pour liminer la transmission redondante de modifications des rplicas dj jour. Pour amortir la propagation, le systme de rplication de Active Directory utilise des vecteurs de mise jour. Le vecteur de mise jour est une liste des paires serveur-USN maintenues par chaque serveur. Le vecteur de mise jour de chaque serveur indique l'USN d'critures d'origine le plus lev reu du serveur figurant dans la paire serveurUSN. Le vecteur de mise jour d'un serveur appartenant un site donn rpertorie tous les autres serveurs de ce site15. Lorsqu'un cycle de rplication commence, le serveur demandeur envoie son vecteur de mise jour au serveur metteur. Le serveur metteur utilise le vecteur de mise jour pour filtrer les modifications envoyes au serveur demandeur. Si l'USN le plus lev pour un serveur d'origine donn est suprieur ou gal l'USN d'criture d'origine d'une mise jour particulire, le serveur metteur n'a pas besoin de transmettre la modification : le serveur demandeur est dj jour par rapport au serveur d'origine.

34

Architecture Active Directory (dernire partie)


Utilisation de la dlgation et de la stratgie de groupe avec les units d'organisation, les domaines et les sites
Vous pouvez dlguer des autorisations administratives pour les conteneurs Active Directory suivants, auxquels vous pouvez galement associer des stratgies de groupe : units d'organisation domaines sites

L'unit d'organisation est le plus petit conteneur Windows 2000 auquel vous pouvez dlguer de l'autorit et appliquer une stratgie de groupe16. La dlgation comme la stratgie de groupe sont des fonctionnalits de scurit du systme d'exploitation Windows 2000. Ce document dcrit brivement ces fonctionnalits du stricte point de vue de l'architecture pour dmontrer que la structure de Active Directory dtermine la manire d'utiliser la dlgation et la stratgie de groupe des conteneurs. L'attribution d'autorit administrative des units d'organisation, des domaines ou des sites vous permet de dlguer l'administration des utilisateurs et des ressources. L'attribution d'objets Stratgie de groupe l'un ou l'autre de ces trois types de conteneurs vous permet de dfinir des configurations de bureau et une politique de scurit pour les utilisateurs et les ordinateurs du conteneur. Les deux sous-sections suivantes abordent ces thmes de manire dtaille. Dlgation de conteneur Dans le systme d'exploitation Windows 2000, la dlgation est ce qui permet une autorit administrative suprieure d'accorder des droits administratifs sur des units d'organisation, des domaines ou des sites des groupes d'utilisateurs (ou des utilisateurs individuels). Vous pouvez ainsi rduire le nombre d'administrateurs disposant d'une autorit globale sur des segments importants de la population des utilisateurs. Dlguer le contrle d'un conteneur vous permet de spcifier qui dispose des autorisations ncessaires pour accder cet objet ou ses objets enfants ou pour les modifier. La dlgation est l'une des fonctionnalits de scurit les plus importantes de Active Directory. Dlgation de domaine et d'unit d'organisation Dans le systme d'exploitation Windows NT 4.0, les administrateurs peuvent dlguer une partie de l'administration en crant de multiples domaines qui leur permettent de disposer d'ensembles d'administrateurs de domaine distincts. Dans Windows 2000, les units d'organisation sont plus faciles crer, supprimer, dplacer et modifier que les domaines, et sont par consquent plus adaptes la dlgation. Pour dlguer de l'autorit administrative ( part l'autorit sur les sites, aborde dans la section suivante), vous accordez un groupe des droits spcifiques sur un domaine ou une unit d'organisation en modifiant la liste de contrle d'accs discrtionnaire (DACL) du conteneur17. Par dfaut, les membres du groupe de scurit des administrateurs de domaine ont autorit sur le domaine dans son ensemble, mais vous pouvez restreindre l'appartenance ce groupe un nombre limit d'administrateurs en qui vous avez la plus grande confiance. Pour crer des administrateurs champ d'action limit, vous pouvez dlguer de l'autorit tous les niveaux de votre organisation, jusqu'au niveau le plus bas, en crant un arborescence d'units d'organisation au sein de chaque domaine et en dlguant de l'autorit sur des parties de la sous-arborescence d'units d'organisation.

35

Les administrateurs de domaine disposent d'un contrle total sur tous les objets de leur domaine. Par contre, ils n'ont aucun droit administratif sur les objets des autres domaines18. Vous pouvez dlguer l'administration d'un domaine ou d'une unit d'organisation l'aide de l'Assistant Dlgation de contrle, disponible dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquez l'aide du bouton droit de la souris sur le domaine ou l'unit d'organisation de votre choix, slectionnez Dlguer le contrle, ajoutez les groupes (ou les utilisateurs) auxquels vous souhaitez dlguer le contrle, puis dlguez les tches courantes reprises dans la liste ou crez une tche courante dlguer. Le tableau suivant reprend les tches courantes que vous pouvez dlguer. Tches courantes de domaine que vous pouvez dlguer Tches courantes d'unit d'organisation que vous pouvez dlguer Crer, supprimer et administrer les comptes d'utilisateur Rinitialiser les mots de passe des comptes d'utilisateur Lire toutes les donnes utilisateur Crer, supprimer et administrer les groupes Modifier l'appartenance un groupe Administrer les imprimantes Crer et supprimer des imprimantes Administrer les liens de stratgie de groupe

Associer un ordinateur un domaine Administrer les liens de stratgie de groupe

En utilisant une combinaison d'units d'organisation, de groupes et d'autorisations, vous pouvez dfinir l'tendue administrative la plus approprie un groupe donn : un domaine complet, une sous-arborescence d'units d'organisation ou une unit d'organisation unique. Par exemple, il se peut que vous souhaitiez crer une unit d'organisation qui vous permette d'accorder le contrle administratif tous les utilisateurs et tous les comptes d'ordinateur de tous les services d'un mme service, tel que le service Comptabilit. D'autre part, il se peut que vous vouliez accorder le contrle administratif certaines ressources du service, telles que les comptes d'ordinateur. Enfin, une autre possibilit consisterait accorder le contrle administratif l'unit d'organisation Comptabilit, mais pas aux units d'organisation qu'elle contient. Dans la mesure o les units d'organisation sont utilises pour la dlgation administrative et ne constituent pas elles-mmes des entits de scurit, c'est l'unit d'organisation parent d'un objet utilisateur qui indique qui administre cet objet. Par contre, elle n'indique pas quelles ressources cet utilisateur particulier peut accder. Dlgation de site Vous utilisez Sites et services Active Directory pour dlguer le contrle sur des sites, des conteneurs de serveur, des protocoles de transfert inter-sites (IP ou SMTP) ou des sousrseaux. La dlgation de contrle sur l'une ou l'autre de ces entits donne l'administrateur dlgu la possibilit de manipuler cette entit, mais pas celle d'administrer les utilisateurs ou les ordinateurs qu'elle contient. Par exemple, lorsque vous dlguez le contrle d'un site, vous pouvez choisir de dlguer le contrle de tous les objets, ou vous pouvez vous contenter de dlguer le contrle d'un ou de plusieurs objets situs dans ce site. Les objets dont vous pouvez dlguer le contrle sont les objets Utilisateur, Ordinateur, Groupe, Imprimante, Unit d'organisation, Dossier partag, Site, Lien de sites, Pont de lien de sites, etc. Vous tes ensuite invit slectionner la porte des autorisations que vous voulez dlguer (gnrale, spcifique une proprit ou simplement la cration/suppression d'objets enfants spcifiques). Si vous spcifiez une porte gnrale, vous tes invit accorder une ou plusieurs des autorisations suivantes : Contrle total, Lecture, criture, Cration de tous les objets enfants, Suppression de tous les objets enfants, Lecture de toutes les proprits, criture de toutes les proprits. Stratgie de groupe

36

Dans Windows NT 4.0, vous utilisez l'diteur de stratgie systme pour dfinir les configurations utilisateur, groupe et ordinateur enregistres dans la base de donnes du registre Windows NT. Dans Windows 2000, la stratgie de groupe dfinit une gamme plus large de composants grables par les administrateurs dans l'environnement utilisateur. Parmi ces composants se trouvent des paramtres pour les stratgies de registre, des options de scurit, des options de dploiement de logiciel, des scripts (pour le dmarrage et l'arrt des ordinateurs et pour la connexion et la dconnexion des utilisateurs) et une redirection de dossiers spciaux19. Le systme applique les paramtres de configuration de stratgie de groupe aux ordinateurs au moment de l'amorage et aux utilisateurs lorsqu'ils ouvrent une session. Pour appliquer les paramtres de stratgie de groupe aux utilisateurs ou aux ordinateurs dans les sites, les domaines et les units d'organisation, vous devez lier l'objet Stratgie de groupe au conteneur de Active Directory des utilisateurs ou des ordinateurs concerns. Par dfaut, la stratgie de groupe affecte tous les utilisateurs et tous les ordinateurs du conteneur li. Utilisez l'appartenance aux groupes de scurit pour retenir les objets Stratgie de groupe qui affectent les utilisateurs et les ordinateurs d'une unit d'organisation, d'un domaine ou d'un site donn. Vous pouvez ainsi appliquer la stratgie un niveau plus granulaire. En d'autres termes, l'utilisation des groupes de scurit vous permet d'appliquer la stratgie des ensembles d'objets spcifiques au sein d'un conteneur. Pour filtrer la stratgie de groupe de cette manire, vous devez utiliser l'onglet Scurit de la page Proprits d'un objet Stratgie de groupe, afin de dcider qui peut lire cet objet. L'objet n'est appliqu qu'aux utilisateurs dont les paramtres Application de la stratgie de groupe et Lecture sont dfinis sur Autoris (utilisateur membre d'un groupe de scurit). Toutefois, dans la mesure o les utilisateurs ordinaires disposent de ces autorisations par dfaut, la stratgie de groupe affecte tous les utilisateurs et tous les ordinateurs du conteneur li moins que vous ne modifiiez explicitement ces autorisations. L'emplacement d'un groupe de scurit dans Active Directory n'a aucun impact sur la stratgie de groupe. Pour le conteneur spcifique auquel l'objet Stratgie de groupe est appliqu, les paramtres de l'objet Stratgie de groupe dterminent : les ressources de domaine (telles que les applications) dont les utilisateurs peuvent disposer ; la configuration d'utilisation de ces ressources de domaine.

Par exemple, un objet Stratgie de groupe peut dterminer les applications dont les utilisateurs peuvent disposer sur leur ordinateur lorsqu'ils ouvrent une session, le nombre d'utilisateurs qui peuvent se connecter Microsoft SQL Server quand il dmarre sur un serveur, ou encore les services auxquels les utilisateurs peuvent accder lorsqu'ils migrent vers des services ou des groupes diffrents. La stratgie de groupe vous permet d'administrer un nombre restreint d'objets Stratgie de groupe plutt qu'un grand nombre d'utilisateurs et d'ordinateurs. Les sites, les domaines et les units d'organisation, contrairement aux groupes de scurit, n'accordent pas d'appartenance. Au contraire, ils contiennent et organisent des objets d'annuaire. Vous pouvez utiliser les groupes de scurit pour accorder des droits et des autorisations aux utilisateurs, puis utiliser les trois types de conteneurs Active Directory pour regrouper les utilisateurs et les ordinateurs et affecter des paramtres de stratgie de groupe. Dans la mesure o l'accs aux ressources est accord via des groupes de scurit, vous jugerez peut-tre qu'il est plus efficace d'utiliser les groupes de scurit pour reprsenter la structure d'organisation de votre entreprise plutt qu'utiliser les domaines ou les units d'organisation pour reflter sa structure technique. Par dfaut, les paramtres de stratgie tablis l'chelle du domaine ou appliqus une unit d'organisation contenant d'autres units d'organisation sont hrits par les conteneurs enfants, moins que l'administrateur ne spcifie explicitement que l'hritage ne s'applique pas l'un ou plusieurs de ces derniers.

37

Dlgation du contrle de la stratgie de groupe Les administrateurs rseau (les membres des groupes Administrateurs d'entreprise et Administrateurs de domaine) peuvent utiliser l'onglet Scurit la page Proprits de l'objet Stratgie de groupe pour dterminer les autres groupes d'administrateurs qui peuvent modifier les paramtres de stratgie dans les objets Stratgie de groupe. Pour ce faire, un administrateur rseau doit d'abord dfinir des groupes d'administrateurs (par exemple celui des administrateurs du marketing), puis leur accorder l'accs en lecture/criture des objets Stratgie de groupe prcis. Le fait qu'il dispose du contrle total sur un objet Stratgie de groupe n'autorise pas un administrateur le lier un site, un domaine ou une unit d'organisation. Toutefois, les administrateurs rseau peuvent accorder ce pouvoir l'aide de l'Assistant Dlgation de contrle. Windows 2000 vous permet de dlguer de manire indpendante les trois tches de stratgie de groupe suivantes : gestion des liens de stratgie de groupe pour un site, un domaine ou une unit d'organisation ; cration d'objets Stratgie de groupe ; modification d'objets Stratgie de groupe.

L'outil Stratgie de groupe, comme la plupart des autres outils d'administration de Windows 2000, est hberges dans les consoles MMC. Les droits de crer, de configurer et d'utiliser les consoles MMC ont par consquent des implications stratgiques. Vous pouvez contrler ces droits l'aide de Stratgie de groupe sous <nom d'objet Stratgie de groupe>/User Configuration/Administrative Templates/Windows Components/Microsoft Management Console/ et ses sous-dossiers. Le tableau 4 donne la liste des paramtres d'autorisation de scurit pour un objet Stratgie de groupe. Tableau 4. Paramtres d'autorisation de scurit pour un objet Stratgie de groupe Groupes (ou utilisateurs) Utilisateur authentifi Administrateurs de domaine Administrateurs d'entreprise Systme local de crateur propritaire Autorisation de scurit Lecture avec ACE Application de stratgie de groupe Contrle total sans ACE Application de stratgie de groupe

Remarque Par dfaut, les administrateurs sont galement des utilisateurs authentifis, ce qui signifie que leur attribut Application de stratgie de groupe est activ. Pour des informations dtailles sur Stratgie de groupe, voir la section Pour plus d'informations la fin de ce document.

Interoprabilit
De nombreuses entreprises dpendent d'un ensemble de technologies varies qui doivent collaborer. Active Directory prend en charge de nombreuses normes afin d'assurer l'interoprabilit de l'environnement Windows 2000 avec d'autres produits Microsoft et avec une large gamme de produits crs par d'autres diteurs ou fabricants. Cette section dcrit les types d'interoprabilit suivants, pris en charge par Active Directory : Protocole LDAP Interfaces de programmation d'applications (API) Synchronisation de Active Directory avec d'autres services d'annuaire

38

Rle des conteneurs virtuels et extrieurs dans l'interoprabilit Rle de Kerberos dans l'interoprabilit Compatibilit ascendante avec le systme d'exploitation Windows NT

Protocole LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est la norme industrielle de l'accs aux annuaires. L'IETF (Internet Engineering Task Force) tudie actuellement LDAP pour en faire une norme Internet. Active Directory et LDAP LDAP est le protocole principal d'accs aux annuaires qui permet d'ajouter, de modifier et de supprimer des donnes enregistres dans Active Directory, et qui permet en outre de rechercher et de rcuprer ces donnes. Le systme d'exploitation Windows 2000 prend en charge les versions 2 et 320 de LDAP. LDAP dfinit comment un client d'annuaire peut accder un serveur d'annuaire, mais aussi comment il peut effectuer des oprations d'annuaire et partager des donnes d'annuaire. En d'autres termes, les clients Active Directory doivent utiliser LDAP pour obtenir des donnes de Active Directory ou pour y maintenir des donnes. LDAP permet Active Directory d'tre interoprable avec d'autres applications clientes conformes cette norme. Si vous disposez des autorisations ncessaires, vous pouvez utiliser n'importe quelle application cliente conforme LDAP pour parcourir et interroger Active Directory ou pour y ajouter, y modifier ou y supprimer des donnes.

Interfaces de programmation d'applications


Vous pouvez utiliser les interfaces de programmation d'applications (API) suivantes pour accder aux donnes de Active Directory : ADSI (Active Directory Service Interface). API LDAP C.

Ces API sont dcrites dans les deux sous-sections suivantes. ADSI ADSI (Active Directory Service Interface) permet d'accder Active Directory en prsentant les objets enregistrs dans l'annuaire comme des objets COM (Component Object Model). Un objet d'annuaire est ainsi manipul l'aide des mthodes disponibles dans une ou plusieurs des interfaces COM. ADSI dispose d'une architecture fournisseur qui permet l'accs COM diffrents types d'annuaires pour lesquels un fournisseur existe. l'heure actuelle, Microsoft propose des fournisseurs ADSI pour Novell NDS (NetWare Directory Services) et NetWare 3, Windows NT, LDAP et pour la mtabase IIS (Internet Information Services). (La mtabase IIS rassemble les paramtres de configuration d'IIS.) Le fournisseur LDAP peut tre utilis avec n'importe quel annuaire LDAP, dont Active Directory, Microsoft Exchange 5.5 ou encore Netscape. Vous pouvez utiliser ADSI partir de nombreux outils diffrents, des applications Microsoft Office C/C++. ADSI est extensible, si bien que vous pouvez ajouter des fonctionnalits un objet ADSI pour prendre en charge de nouvelles proprits et de nouvelles mthodes. Par exemple, vous pouvez ajouter une mthode l'objet utilisateur qui cre une bote aux lettres Exchange pour un utilisateur lorsque cette mthode est appele. ADSI possde un modle de programmation trs simple. Il permet de supprimer la surcharge d'administration des donnes caractristique des interfaces autres que COM,

39

comme les API LDAP C. ADSI est entirement scriptable et permet donc de dvelopper facilement des applications Web toffes. ADSI prend en charge ADO (ActiveX Data Objects) et OLE DB (Object Linking and Embedding Database) pour la formulation de requtes. Les dveloppeurs et les administrateurs peuvent ajouter des objets et des attributs Active Directory en crant des scripts bass sur ADSI (ainsi que des scripts bass sur LDIFDE, abord plus loin dans ce document). API LDAP C L'API LDAP C, dfinie dans la norme Internet RFC 1823, rassemble des API crites en C de bas niveau permettant une interface avec LDAP. Microsoft prend en charge les API LDAP C sur toutes les plates-formes Windows. Les dveloppeurs peuvent choisir d'crire leurs applications compatibles avec Active Directory en utilisant des API LDAP C ou ADSI. Ils utilisent plus souvent les API LDAP C pour faciliter la portabilit des applications compatibles annuaire sur la plate-forme Windows. D'un autre ct, ADSI est un langage plus puissant et plus appropri pour les dveloppeurs qui crivent du code compatible annuaires sur la plate-forme Windows.

Synchronisation de Active Directory avec d'autres services d'annuaire


Microsoft fournit des services de synchronisation d'annuaires qui vous permettent de synchroniser Active Directory avec Microsoft Exchange 5.5, Novell NDS, Novell NetWare, Lotus Notes et GroupWise. En outre, des utilitaires de ligne de commande vous permettent d'importer et d'exporter des donnes d'annuaire partir et vers d'autres services d'annuaire. Active Directory et Microsoft Exchange Le systme d'exploitation Windows 2000 dispose du service Connecteur Active Directory qui permet une synchronisation bidirectionnelle avec Microsoft Exchange 5.5. Le connecteur Active Directory offre un mappage toff des objets et des attributs lorsqu'il synchronise les donnes entre les deux annuaires. Pour plus d'informations sur le connecteur Active Directory, voir la section Pour plus d'informations la fin de ce document. Active Directory et Novell NDS et NetWare Microsoft compte livrer, dans le cadre des Services pour Netware 5.0, un service de synchronisation d'annuaire qui permet une synchronisation bidirectionnelle entre Active Directory et les produits Novell NDS et NetWare. Active Directory et Lotus Notes Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft Exchange, Microsoft compte livrer un service de synchronisation d'annuaire qui effectuera une synchronisation bidirectionnelle avec Lotus Notes en vue de synchroniser le courrier lectronique et d'autres attributs courants. Active Directory et GroupWise Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft Exchange, Microsoft compte livrer un service de synchronisation d'annuaire qui effectuera une synchronisation bidirectionnelle avec GroupWise en vue de synchroniser le courrier lectronique et d'autres attributs courants.

40

Active Directory et LDIFDE Le systme d'exploitation Windows 2000 fournit l'utilitaire de ligne de commande LDIFDE pour la prise en charge de l'importation et de l'exportation des donnes d'annuaire. LDIF (LDAP Data Interchange Format) est un projet de norme Internet, devenu une norme industrielle, qui dfinit le format de fichier utilis pour changer des donnes d'annuaire. LDIFDE est donc l'utilitaire Windows 2000 qui prend en charge l'importation de donnes dans l'annuaire et l'exportation de donnes partir de l'annuaire en utilisant LDIF. LDIFDE vous permet d'exporter des donnes de Active Directory au format LDIF de sorte que vous puissiez ensuite les importer dans un autre annuaire. Vous pouvez aussi utiliser LDIFDE pour importer des donnes d'annuaire partir d'un autre annuaire. LDIFDE vous permet d'effectuer des traitements par lots, tels que l'ajout, la suppression, le changement de nom ou la modification de donnes. Vous pouvez galement remplir Active Directory avec des donnes obtenues partir d'autres sources, telles que d'autres services d'annuaire. En outre, dans la mesure o le schma de Active Directory est enregistr dans l'annuaire lui-mme, vous pouvez utiliser LDIFDE pour sauvegarder ou tendre le schma. Pour obtenir une liste des paramtres LDIFDE et savoir quoi ils servent, voir les rubriques d'aide de Windows 2000. Pour des informations sur l'utilisation de LDIFDE pour des traitements par lots avec Active Directory, voir la section Pour plus d'informations la fin de ce document.

Rle des conteneurs virtuels et extrieurs dans l'interoprabilit


Un administrateur peut crer un objet de renvoi qui pointe sur un serveur dans un annuaire extrieur la fort. Lorsqu'un utilisateur effectue une recherche dans une sousarborescence qui contient cet objet de renvoi, Active Directory renvoie un lien vers ce serveur parmi les rsultats et le client LDAP peut suivre le lien pour rcuprer les donnes requises par l'utilisateur. De telles rfrences sont des objets conteneurs Active Directory qui renvoient un annuaire extrieur la fort. Ici, une rfrence interne renvoie un annuaire extrieur qui apparat dans l'espace de noms Active Directory comme enfant d'un objet Active Directory existant, alors qu'une rfrence externe renvoie un annuaire extrieur qui n'apparat pas en tant qu'enfant dans l'espace de noms Active Directory. Tant pour les rfrences internes qu'externes, Active Directory contient le nom de DNS d'un serveur qui hberge une copie de l'annuaire extrieur ainsi que le nom unique de la racine de l'annuaire extrieur partir de laquelle les oprations de recherche doivent dbuter.

Rle de Kerberos dans l'interoprabilit


Le systme d'exploitation Windows 2000 prend en charge de nombreuses configurations pour permettre une interoprabilit entre les plates-formes : Clients. Un contrleur de domaine Windows 2000 peut authentifier les systmes clients qui utilisent des mises en uvre de Kerberos (RFC 1510), y compris s'ils excutent un systme d'exploitation autre que Windows 2000. Les comptes d'utilisateur et d'ordinateur Windows 2000 peuvent tre utiliss comme des noms principaux Kerberos pour des services UNIX. Clients et services UNIX. Des clients et des serveurs UNIX peuvent disposer de comptes Active Directory au sein d'un domaine Windows 2000 et peuvent donc tre authentifis par un contrleur de domaine. Dans un tel scnario, un nom principal Kerberos est mapp sur un compte d'utilisateur ou d'ordinateur Windows 2000. Applications et systmes d'exploitation. Les applications clientes pour Win32 et pour les systmes d'exploitation autres que Windows 2000 bass sur

41

l'API GSS (General Security Service) peuvent obtenir des tickets de session pour des services au sein d'un domaine Windows 2000. Dans un environnement qui utilise dj un domaine Kerberos, le systme d'exploitation Windows 2000 prend en charge l'interoprabilit avec les services Kerberos : Domaine Kerberos. Les systmes Windows 2000 Professionnel peuvent s'authentifier auprs d'un serveur Kerberos (RFC 1510) au sein d'un domaine approuv Kerberos avec une connexion commune au serveur et un compte local Windows 2000 Professionnel. Relations d'approbation avec les domaines Kerberos. Il est possible d'tablir une relation d'approbation entre un domaine Windows 2000 et un domaine Kerberos. En d'autres termes, un client d'un domaine Kerberos peut s'authentifier auprs d'un domaine Active Directory pour accder aux ressources rseau de ce domaine.

Compatibilit ascendante avec le systme d'exploitation Windows NT


Un type particulier d'interoprabilit consiste maintenir la compatibilit ascendante avec les versions prcdentes du systme d'exploitation actuel. Le systme d'exploitation Windows 2000 s'installe par dfaut dans une configuration rseau mode mixte. Un domaine mode mixte est un ensemble d'ordinateurs mis en rseau qui excutent la fois des contrleurs de domaine Windows NT et Windows 2000. Dans la mesure o Active Directory prend en charge ce mode mixte, vous pouvez mettre niveau des domaines et des ordinateurs au rythme qui vous convient, selon les besoins de votre organisation. Active Directory prend en charge le protocole d'authentification NTLM (Windows NT LAN Manager), utilis par Windows NT, ce qui signifie que les utilisateurs et les ordinateurs Windows NT autoriss peuvent se connecter un domaine Windows 2000 et accder ses ressources. Pour les clients Windows NT et les clients Windows 95 ou Windows 98 qui n'excutent pas le logiciel client Active Directory, un domaine Windows 2000 apparat comme un domaine Windows NT Server 4.0.

Rsum
L'introduction de Active Directory est sans aucun doute l'amlioration la plus significative du systme d'exploitation Windows 2000. Active Directory permet de centraliser et de simplifier l'administration rseau et permet ainsi au rseau de garantir la prise en charge des objectifs de l'entreprise. Active Directory enregistre les informations sur les objets du rseau et les met la disponibilit des administrateurs, des utilisateurs et des applications. Il constitue un espace de nom intgr avec le systme de noms de domaine (DNS, Domain Name System) d'Internet, et permet aussi de dfinir un serveur comme contrleur de domaine. Pour structurer le rseau Active Directory et ses objets, vous pouvez utiliser des domaines, des arborescences, des forts, des relations d'approbation, des units d'organisation et des sites. Vous pouvez dlguer la responsabilit administrative des units d'organisation, des domaines ou des sites aux personnes ou aux groupes de votre choix, et vous pouvez attribuer des paramtres de configuration ces trois conteneurs Active Directory. Une telle architecture permet aux administrateurs d'administrer le rseau de sorte que les utilisateurs puissent se consacrer totalement aux objectifs de leur entreprise. De nos jours, il est rare qu'une entreprise ne dpende pas de diverses technologies qui doivent fonctionner ensemble. Active Directory est bas sur des protocoles d'accs aux annuaires standard, qui, avec de multiples API, lui permettent d'interagir avec d'autres services d'annuaire et une large gamme d'applications tierces. Enfin, Active Directory est capable de synchroniser des donnes avec Microsoft Exchange et fournit des utilitaires de

42

ligne de commande qui permettent d'importer et d'exporter des donnes d'autres services d'annuaire.

Pour plus d'informations


Pour obtenir les informations les plus rcentes sur le systme d'exploitation Windows 2000, consultez Microsoft TechNet ou le site Web de Microsoft Windows 2000 Server (http://www.microsoft.com/france/windows/server/), le forum de Windows NT Server sur MSN et le service en ligne The Microsoft Network (GO WORD: MSNTS). Vous pouvez galement explorer les liens suivants : Kit de dveloppement logiciel de la plate-forme Windows 2000 (http://www.microsoft.com/france/msdn/technologies/windows2000/) Utilisation de ADSI pour tendre le schma par programme. Livre blanc Introduction la stratgie de groupe de Windows 2000 (http://www.microsoft.com/windows/server/Technical/management/GroupPolicyIntro.asp (site en anglais)) Dtails de la stratgie de groupe de Windows 2000. Visite guide technique de la version Bta 3 Importation et exportation groupes de et vers Active Directory (http://www.microsoft.com/Windows/server/Deploy/directory/Blkimpt.asp (site en anglais)) Utilisation de LDIFDE pour effectuer des traitements par lots avec Active Directory. Site Web de l'IETF (Internet Engineering Task Force http://www.ietf.org/(site en anglais)) RFC et projets de norme Internet de l'IETF.

Le Guide de planification du dploiement de Microsoft Windows 2000, qui explique comment planifier la structure et le dploiement des domaines et des sites Windows 2000, sera disponible en librairie ds dbut 2000. Il figure galement parmi les Outils de support sur les CD-ROM Windows 2000 Server et Windows 2000 Advanced Server.

Annexe A : Outils
Cette annexe prsente les logiciels que vous pouvez utiliser pour effectuer les tches associes Active Directory.

Microsoft Management Console


Dans le systme d'exploitation Windows 2000 Server, Microsoft Management Console (MMC) fournit des interfaces cohrentes qui permettent aux administrateurs de visualiser les fonctions rseau et d'utiliser les outils d'administration. Qu'ils soient responsables d'un seul poste de travail ou d'un rseau d'ordinateurs, les administrateurs utilisent la mme console. MMC hberge des composants logiciels enfichables, qui traitent de tches d'administration rseau spcifiques. Quatre de ces composants logiciels enfichables sont des outils Active Directory.

Composants logiciels enfichables Active Directory


Les outils d'administration Active Directory, livrs avec le systme d'exploitation Windows 2000 Server, simplifient l'administration des services d'annuaire. Vous pouvez utiliser les outils standard ou MMC pour crer des outils personnaliss destines une tche d'administration spcifique. Vous pouvez combiner plusieurs outils en une console

43

unique. Vous pouvez galement attribuer des outils personnaliss des administrateurs individuels responsables de tches administratives spcifiques. Les composants logiciels enfichables Active Directory suivants sont disponibles dans le menu Outils d'administration Windows 2000 Server de tous les contrleurs de domaine Windows 2000 : Utilisateurs et ordinateurs Active Directory Domaines et approbations Active Directory Sites et services Active Directory

Le quatrime composant logiciel enfichable Active Directory est : Schma Active Directory

Il est recommand d'tendre le schma de Active Directory par programme, par l'intermdiaire des ADSI ou de l'utilitaire LDIFDE. Toutefois, des fins de dveloppement et de test, vous pouvez galement visualiser et modifier le schma de Active Directory avec le composant logiciel enfichable Schma Active Directory. Schma Active Directory n'est pas accessible par le menu Outils d'administration Windows 2000 Server. Vous devez installer les outils d'administration Windows 2000 partir du CD-ROM Windows 2000 Server et les ajouter une console MMC. Il existe un cinquime composant logiciel enfichable li Active Directory : Stratgie de groupe

La mise en uvre de stratgies de groupe est une tche lie la gestion des utilisateurs, des ordinateurs et des groupes dans Active Directory. Les objets Stratgie de groupe, qui contiennent des paramtres de stratgie, contrlent le paramtrage des utilisateurs et des ordinateurs dans les sites, les domaines et les units d'organisation. Pour crer ou modifier des objets Stratgie de groupe, vous devez utilisez le composant logiciel enfichable Stratgie de groupe, auquel vous accdez par le complment Utilisateurs et ordinateurs Active Directory ou Sites et services Active Directory (selon la tche que vous voulez excuter). Pour utiliser les outils d'administration Active Directory distance, partir d'un ordinateur qui n'est pas un contrleur de domaine (par exemple, un ordinateur Windows 2000 Professionnel), vous devez installer Outils d'administration Windows 2000.

Nouvelles procdures d'excution de tches courantes


Le tableau 5 liste les tches que vous pouvez excuter l'aide des composants logiciels enfichables Active Directory et des outils d'administration qui s'y rapportent. Pour les utilisateurs du systme d'exploitation Windows NT, le tableau indique galement o ces tches sont excutes lorsqu'ils utilisent les outils d'administration livrs avec Windows NT Server 4.0. Tableau 5. Tches excutes l'aide des outils Active Directory et Stratgie de groupe Si vous souhaitez : Avec Windows NT 4.0, utilisez le composant suivant : Configuration Windows Gestionnaire des Avec Windows 2000, utilisez le composant suivant : Assistant Installation de Active Directory (accessible partir de Configurez votre serveur) Utilisateurs et ordinateurs Active

installer un contrleur de domaine administrer des comptes

44

d'utilisateur administrer des groupes administrer des comptes d'ordinateur

utilisateurs Gestionnaire des utilisateurs Gestionnaire de serveur

Directory Utilisateurs et ordinateurs Active Directory Utilisateurs et ordinateurs Active Directory Utilisateurs et ordinateurs Active Directory Domaines et approbations Active Directory Utilisateurs et ordinateurs Active Directory Utilisateurs et ordinateurs Active Directory : modifiez l'objet Stratgie de groupe du domaine ou de l'unit d'organisation contenant les ordinateurs auxquels les droits de l'utilisateur s'appliquent. Utilisateurs et ordinateurs Active Directory : modifiez l'objet Stratgie de groupe attribu l'unit d'organisation des contrleurs de domaine. Stratgie de groupe, accessible partir du complment Sites et services Active Directory Stratgie de groupe, accessible partir du complment Utilisateurs et ordinateurs Active Directory Stratgie de groupe, accessible partir du complment Utilisateurs et ordinateurs Active Directory Modifier l'entre autorisation pour Appliquer la stratgie de groupe sous l'onglet Scurit la page Proprits de l'objet Stratgie de groupe.

ajouter un ordinateur un Gestionnaire de domaine serveurs crer ou administrer des relations d'approbation administrer une stratgie de compte Gestionnaire des utilisateurs Gestionnaire des utilisateurs

administrer les droits de l'utilisateur

Gestionnaire des utilisateurs

administrer une stratgie d'audit

Gestionnaire d'utilisateurs

appliquer des stratgies des utilisateurs ou des ordinateurs dans un site appliquer des stratgies des utilisateurs ou des ordinateurs dans un domaine appliquer des stratgies des utilisateurs ou des ordinateurs dans une unit d'organisation utiliser des groupes de scurit pour filtrer la porte d'une stratgie

diteur de stratgie systme

diteur de stratgie systme

Sans objet

Sans objet

Outils de ligne de commande Active Directory


Les administrateurs avancs et les spcialistes de la maintenance rseau peuvent galement utiliser toute une srie d'outils de ligne de commande pour configurer, administrer et dpanner Active Directory. Ces outils sont connus sous le nom d'Outils de support et sont disponibles sur le CD-ROM de Windows 2000 Server dans le dossier \SUPPORT\RESKIT. Ils sont dcrits dans le tableau 6. Tableau 6. Outils de ligne de commande associs Active Directory Outil Description

45

MoveTree SIDWalker LDP

Permet de dplacer des objets d'un domaine un autre. Permet d'appliquer les listes de contrle d'accs des objets qui appartenaient des comptes dplacs, isols ou supprims. Permet d'effectuer des oprations LDAP par rapport Active Directory. Cet outil dispose d'une interface utilisateur graphique. Permet de vrifier l'inscription dynamique des enregistrements de ressources DNS, y compris la mise jour scurise du DNS, ainsi que la suppression des enregistrements de ressources. Permet de visualiser ou de modifier les listes de contrle d'accs des objets d'annuaire. Permet le traitement par lots des approbations, l'ajout de nouveaux ordinateurs aux domaines, la vrification des approbations et des canaux scuriss. Permet de vrifier les fonctions de rseau et de services distribus de bout en bout. Permet de vrifier que le localisateur et le canal scuris fonctionnent.

DNSCMD

DSACLS

NETDOM

NETDIAG NLTest

Permet de vrifier la cohrence de rplication entre partenaires de rplication, de surveiller le statut de rplication, d'afficher les REPAdmin mtadonnes de rplication, de forcer des vnements de rplication et de forcer Knowledge Consistency Checker (KCC) recalculer la topologie de rplication. Permet d'afficher la topologie de rplication, de surveiller l'tat de la rplication (y compris les stratgies de groupe), de forcer des vnements de rplication et de forcer Knowledge Consistency Checker (KCC) recalculer la topologie de rplication. Cet outil dispose d'une interface utilisateur graphique. Permet de comparer les donnes d'annuaire sur les contrleurs de domaine et de dtecter toute diffrence. Composant logiciel enfichable MMC utilis pour visualiser tous les objets de l'annuaire (y compris les donnes de schma et de configuration), modifier les objets et appliquer des listes de contrle d'accs aux objets. Permet de vrifier la propagation et la rplication des listes de contrle d'accs pour des objets d'annuaire spcifiques. Cet outil aide l'administrateur dterminer si l'hritage des listes de contrle d'accs est correct et si les modifications des listes sont bien rpliques d'un contrleur de domaine l'autre. Permet de dterminer si un utilisateur dispose ou non des droits d'accs sur un objet d'annuaire. Cet outil peut galement servir rinitialiser les listes de contrle d'accs leur tat par dfaut. Utilitaire de ligne de commande qui permet d'administrer tous les aspects des systmes de fichiers distribus (DFS), de vrifier la cohrence de configuration des serveurs DFS et de visualiser la topologie DFS.

REPLMon

DSAStat

ADSIEdit

SDCheck

ACLDiag

DFSCheck

Page de rfrence des commandes Windows 2000


Vous trouverez une liste complte des commandes Windows 2000, ainsi que des informations sur l'utilisation de chacune d'elles, dans les rubriques d'aide de

46

Windows 2000. Il vous suffit de taper rfrence commandes sous l'onglet Index ou Recherche.

ADSI
Vous pouvez utiliser ADSI (Active Directory Service Interface) pour crer des scripts pour toutes sortes d'usages. Le CD-ROM de Windows 2000 Server contient plusieurs exemples de ADSI . Pour plus d'informations sur ADSI, voir les sections ADSI et Pour plus d'informations . 1999 Microsoft Corporation. Tous droits rservs. Les informations contenues dans ce document reprsentent l'opinion actuelle de Microsoft Corporation sur les points cits la date de publication. Microsoft s'adapte aux conditions fluctuantes du march et cette opinion ne doit pas tre interprte comme un engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la vracit de toute information prsente aprs la date de publication. Ce livre blanc est fourni des fins d'informations seulement. MICROSOFT N'OFFRE AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, DANS CE DOCUMENT. Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows et Windows NT sont soit des marques de Microsoft Corporation, soit des marques dposes de Microsoft Corporation aux tats-Unis d'Amrique et/ou dans d'autres pays. Les autres noms de produits ou de socits mentionns dans ce document sont des marques de leurs propritaires respectifs. Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 tats-Unis 0x99 1 Dans un domaine Windows 2000 Server, un contrleur de domaine est un ordinateur Windows 2000 Server qui gre l'accs utilisateur un rseau, c'est--dire la connexion, l'authentification et l'accs l'annuaire et aux ressources partages. 2 Une zone DNS est une partition d'un seul tenant de l'espace de noms DNS qui contient les enregistrements de ressources pour les domaines DNS de cette zone. 3 LDAP est un protocole utilis pour accder un service d'annuaire : voir les sections Noms LDAP et LDAP . 4 Dcrit dans le projet de norme Internet de l'IETF (Internet Engineering Task Force) draft-ietf-dnsind-rfc2052bis-02.txt, A DNS RR for specifying the location of services (DNS SRV) [Un enregistrement de ressources DNS permettant de spcifier l'emplacement de services (DNS SRV)]. (Les projets de norme sont des documents de travail de l'IETF, de ses domaines et de ses groupes de travail.) 5 Dcrit dans la RFC 2136, Observations on the use of Components of the Class A Address Space within the Internet [Observations sur l'utilisation des composants de l'espace d'adresses de classe A sur l'Internet]. 6 La faon dont les groupes sont dfinis dans Windows 2000 est lgrement diffrente de celle dont ils sont dfinis dans Windows NT. Windows 2000 utilise deux types de groupe : 1. des groupes de scurit (pour administrer l'accs des utilisateurs et des ordinateurs aux ressources partages et pour filtrer les paramtres de stratgie de groupe) ; et 2. des groupes de distribution (pour crer des listes de distribution de courrier lectronique). Windows 2000 utilise galement trois portes de groupe : 1. des groupes avec une porte locale de domaine (pour dfinir et administrer l'accs aux ressources dans les limites d'un domaine unique), 2. des groupes avec une porte globale (pour administrer des objets d'annuaire qui exigent une maintenance quotidienne, comme les comptes d'utilisateur et les comptes d'ordinateur. La porte globale vous permet de grouper des comptes au sein d'un domaine), et 3. des groupes avec une porte universelle (pour consolider les groupes qui chevauchent plusieurs domaines. Vous pouvez ajouter des comptes d'utilisateur des groupes porte globale puis encapsuler ces groupes dans des groupes porte universelle). (Pour plus d'informations sur les groupes Windows 2000, y compris sur le nouveau type de groupe universel, voir la section Pour plus d'informations la fin de ce document.) 7 Pour pouvoir recevoir le logo Certifi pour Windows, votre application doit tre teste par VeriTest, qui vrifie qu'elle est bien conforme aux spcifications arrtes pour les

47

applications Windows 2000. Vous pouvez choisir n'importe quelle combinaison de platesformes, tant qu'elle comprenne l'un des systmes d'exploitation Windows 2000. Les applications pourront recevoir le logo Certifi pour Microsoft Windows si les tests de conformit sont russis et qu'un accord de licence logo est sign avec Microsoft. Le logo que vous recevez indique les versions de Windows pour lesquelles votre produit est certifi. 8 Active Directory prend en charge les versions 2 et 3 de LDAP, qui reconnaissent les conventions d'affectation de noms des RFC 1779 et 2247. 9 Si aucun UPN n'a t ajout, les utilisateurs peuvent se connecter en indiquant explicitement leur nom d'utilisateur et le nom DNS du domaine racine. 10 Les stratgies de groupe qui contrlent les paramtres par dfaut des imprimantes du point de vue de la publication sont Publier automatiquement les nouvelles imprimantes dans Active Directory et Autoriser la publication des imprimantes (cette dernire stratgie de groupe contrle si les imprimantes d'une machine donne peuvent tre publies). 11 comparer avec les versions prcdentes de Windows NT Server, dans lesquelles la base de donnes SAM tait limite 40 000 objets par domaine. 12 Pour une description de cette charge supplmentaire, voir le Guide de planification du dploiement de Windows 2000 Server , qui traite de la planification de la structure et du dploiement des domaines et des sites Windows 2000, dans la section Pour plus d'informations la fin de ce document. 13 Un DACL accorde ou refuse des droits sur un objet des utilisateurs ou des groupes spcifiques. 14 Pour plus d'informations sur l'interoprabilit avec les domaines Kerberos, voir la section Rle de Kerberos dans l'interoprabilit . 15 Les vecteurs de mise jour ne sont pas lis un site donn. Un vecteur de mise jour comporte une entre pour chacun des serveurs sur lesquels la partition d'annuaire (contexte d'affectation de nom) peut tre crite. 16 Vous pouvez dlguer de l'autorit des conteneurs, mais vous aussi accorder des autorisations (comme la lecture/criture) jusqu'au niveau de l'attribut d'un objet. 17 Dans la DACL d'un objet, les entres de contrle d'accs (ACE) qui dterminent qui peut accder cet objet et le type d'accs. Lorsque vous crez un objet dans l'annuaire, une DACL par dfaut (dfinie dans le schma) lui est affecte. 18 Par dfaut, le groupe Administrateurs de l'entreprise reoit le contrle total sur tous les objets d'une fort. 19 Vous utilisez l'extension Redirection de dossier pour rediriger n'importe quel dossier spcial suivant appartenant un profil utilisateur vers un emplacement diffrent (comme une partition rseau) : Donnes d'application, Bureau, Mes documents (et/ou Mes images), Menu Dmarrer. 20 LDAP version 2 est dcrit dans la RFC 1777 ; LDAP version 3 est dcrit dans la RFC 2251.

48

Vous aimerez peut-être aussi