Vous êtes sur la page 1sur 5

Centre Informatique

Universit de Lausanne

Windows 2000 et lActive Directory


Dfinitions
AD = Active Directory. Service de rpertoire rseau. Les administrateurs peuvent utiliser l'AD pour dfinir et grer des objets. Les objets y sont organiss dans une structure hirarchique. LAD supporte les protocoles suivants : DHCP, DNS, SNTP, LDAP, Kerberos. SITE = Structure physique du rseau. C'est un ensemble de machines connectes sous le protocole TCP/IP DOMAIN = Domaine. Structure logique de l'organisation ou de la rgion. C'est l'unit de base de l'Active Directory. Le domaine est un container d'objets qui partagent la scurit, la rplication et l'administration. Les PDC et BDC de Windows NT4.0 sont remplacs par des DC (Contrleur de Domaine) quivalents qui partagent leurs informations par rplication. Un site peut contenir plusieurs domaines et/ou un domaine peut s'tendre sur plusieurs sites. OU = Organisational Unit, Unit organisationnelle. Une OU est un container utilis pour grouper logiquement des objets l'intrieur d'un domaine. Les OU sont utilises pour former une structure hirarchique base sur le modle administratif de l'entreprise. OBJET = Dsigne un utilisateur, ses donnes, une machine, une imprimante ou un serveur qui sont disponibles pour les utilisateurs et les applications au sein de l'organisation. REPLICATION = Mcanisme permettant le partage d'information entre deux DC. TREE = Arbre. Reprsente un arrangement hirarchique d'un ou plusieurs domaine avec un unique Root Domain comme racine dont ils partagent le nom de domaine. Les DC des domaines changent leurs informations grce des trusts automatiques. FOREST = Fort. Reprsente une collection d'un ou plusieurs arbres. Dans une fort, les arbres ne partagent pas le mme nom de domaine. Les forts changent leurs informations uniquement au travers de trusts explicites (crs par les Administrateurs). SCHEMA = Schma. Contient les dfinitions de tous les objets stocks dans l'AD. Cette dfinition prcise la classe et le type d'attributs pour chaque objet. GPO = Group Policy Objet. Permet la gestion des machines clientes de lAD, tel que linstallation de logiciels ou la ladministration de lenvironnement des utilisateurs. Les GPO sont hrditaires dans la hirarchie de domaines.

LActive Directory
LActive Directory dans Windows 2000 est un service de rpertoire de rseau que les administrateurs utilisent pour dfinir, organiser et grer des objets. Ces objets peuvent tre des utilisateurs, des donnes, des imprimantes et des serveurs qui sont disponibles pour des utilisateurs et des applications au sein de lorganisation. Ces objets sont regroups dans des lments organiss de manire hirarchique pour reflter la structure de lentreprise. Ces lments peuvent tre : Domaine : Lunit de base de lAD. Le domaine est un container d'objets partageant la scurit, la rplication et l'administration. OU : Unit Organisationnelle. Une OU est un container utilis pour grouper logiquement des objets. A lintrieur de lAD, plusieurs domaines peuvent crer des structures supplmentaires : Tree : Arbre. Reprsente un arrangement hirarchique d'un ou plusieurs domaines avec un unique Root Domain comme racine dont ils partagent le nom de domaine. Forest : Fort. Reprsente une collection d'un ou plusieurs arbres. Dans une fort, les arbres ne partagent pas le mme nom de domaine. LActive Directory de Windows 2000 est un mlange du service Wins et de DNS. Il suit le DNS standard comme service de nom mais utilise aussi celui-ci pour localiser les diffrents services, machines ou priphriques disponibles dans le domaine Windows 2000. Les tches d'administrations peuvent tre grandement simplifies par une bonne structure des objets dans un domaine. Ladministration dun AD bien structur peut tre grandement simplifi par la dlgation de ladministration de OU ou de sous-domaine par de administrateurs locaux. Le premier domaine cre dans l'AD est le Root Domain (Domaine Principal) pour toute la fort, il est appel Forest Root (Fort Principale). Les GPO (Group Policy Objet) permettent la gestion de des machines clientes de lAD, tel que linstallation de logiciels ou la ladministration de lenvironnement des utilisateurs. Par dfaut, les GPO dun domaine sont hrites du domaine plac hirarchiquement au-dessus et donc du Domaine Principal. ATTENTION ! Le nom du Domaine Principal ne peut plus tre chang aprs installation. Il mrite donc une bonne rflexion. Si on souhaite ensuite le modifier, il sera ncessaire de rinstaller toute la structure de lActive Directory. Dans Windows 2000, les domaines, les arbres et les forts sont des lments avec des frontire. Cest--dire, quils peuvent partager des ressources mais doivent tre administrs de manire distincte. C'est pourquoi il faut toujours faire le plus simple possible et ne chercher n'avoir qu'un minimum de domaines , darbres ou de forts. La consigne pour la cration dun Active Directory :

ASAP = As Simple As Possible (Aussi Simple que Possible)

Domain

Tree Forest Domain Domain OU

OU Domain OU

Tree Domain Domain Objects Automatic Trust Specific Trust

Schma de lActive Directory

Windows 2000 et lAD lUnil


Un groupe de travail sest cr au sein du Ci pour rflchir et planifier la mise en place de Windows 2000 et de lActive Directory lUniversit de Lausanne. Ce groupe comprend Silvio Viotti, Alexandre Roy, Dominique Frise, Tarek Al-Atassi et Vincent Roubaty. Les premires rflexion ont portes sur le type dimplmentation de lActive Directory avec le DNS existant et le nom du domaine.

LAD et le DNS
Situation actuelle lUnil
Le service de noms (DNS) de lUniversit est assur par une machine Unix. Actuellement les PCs sont inscrits dans ce DNS et sont soit membres dun domaine NT (domaine CI) soit autonomes. Les domaines sont grs par les PDC (Contrleur Primaire de Domaine) qui peuvent tres trusts entre eux pour changer leur information. Le serveur DNS contient ladresse IP et le nom DNS du PC permettant ainsi de le retrouver sur le rseau de lUnil.
unil.ch

PDC Bigboss Pcvidy115 DNS Uldns1

PDC Prof Pcvidy108-1

Domaine CI Domaine Cours-ci 130.223.x.x 130.223.x.x 130.223.x.x 130.223.x.x ... bigboss pcvidy115 prof pcvidy108-1 ...

Schma de la situation actuelle lUnil

Situation future lUnil


Avec Windows 2000, il existe plusieurs possibilits de mixer lActive Directory et le DNS existant. Loption que le groupe a retenu est de conserver le DNS existant et de placer lActive Directory dans un sous-domaine AD. Ce domaine AD sera gr par un Contrleur de Domaine Principal (Hyperboss dans notre exemple ci-dessous). A lintrieur de ce sousdomaine AD, les machines Windows 2000 seront organiss en OU (Unit Organisationnelle) et sous-domaine eux mme grs par un Contrleur de Domaine (Bigboss). Un nouveau PC devant tourner sous Windows 2000 recevra comme actuellement une adresse IP (130.223.x.x) et un nom DNS (pcvidy112.unil.ch) qui seront inscrits dans le serveur DNS qui permettra de le retrouver depuis une machine Unix ou depuis lextrieur. Mais ce nouveau PC recevra en plus un second nom Active Directory (pcvidy112.ci.ad.unil.ch) qui permettra de le retrouver depuis des machines Windows. Ce second nom est contenu dans le contrleur principal de domaine.
unil.ch ad.unil.ch
DC Hyperboss Root Domain DNS Uldns12

DC
Prof Bigboss pcvidy108

OU Cours-ci
pcvidy108 pcvidy112

hyperboss ad bigboss pcvidy115 pcvidy112 prof pcvidy108 ...

130.223.x.x 130.223.x.x 130.223.x.x 130.223.x.x 130.223.x.x 130.223.x.x 130.223.x.x ...

Domaine CI Domaine AD

Schma de la situation future

Le protocole LDAP
LActive Directory de Windows 2000 accepte le protocole LDAP (Lightweight Directory Access Protocol). Cela permettra la copie des logins UNIX sur le contrleur de domaine. Cela signifie que les personnes de lUnil qui souhaiterons tlcharger des logiciels depuis un serveur de fichier placs dans lAD devront sauthentifier avec le mme login et mot de passe que pour leur emails.

Divers
Pourquoi un sous-domaine Windows 2000 ?
Un sous-domaine Windows 2000 plac dans le rseau permet de conserver le DNS existant sans modification notable part lajout du nom de lActive Directory. De plus la solution du sous-domaine est galement celle retenue lEPFL.

Pourquoi le sousdomaine Windows 2000 sappellera til AD ?


Le service de noms de Windows 2000 construit les liens permettant de retrouver les machines en ajoutant le nom du domaine au nom de la machine. Exemple : pcvidy112.ci.ad.unil.ch. Cest pourquoi, AD a t choisi dans un soucis de raccourci des liens du service de noms et pour indiquer quil sagit de lActive Directory.