Académique Documents
Professionnel Documents
Culture Documents
et maintenance d'une
infrastructure Active Directory
Microsoft Windows
Server 2003
Guide pdagogique
Cours n : 2194A
Rf. n : X09-84841
dit en : 05/2003
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Cours n : 2194A
Rf. n : X09-84841
dit le : 05/2003
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
iii
iv
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
vii
propos de ce cours
Cette section dcrit brivement le cours et ses objectifs, le profil des stagiaires
ainsi que les connaissances pralables requises.
Description
Ce cours anim par un instructeur et rparti sur cinq journes comporte des
lments individualiss et des composants facilits par la prsence de
l'instructeur. Il fournit aux stagiaires les comptences et les connaissances
requises pour planifier, implmenter et dpanner une infrastructure de service
d'annuaire Active Directory dans Microsoft Windows Server 2003. Le
cours se concentre sur un environnement de service d'annuaire Windows Server
2003, notamment sur une structure de domaine et de fort, le systme DNS
(Domain Name System), la topologie de site et la rplication, la structure
d'unit d'organisation et la dlgation de l'administration, la stratgie de groupe
ainsi que les stratgies de comptes d'utilisateurs, de groupes et d'ordinateurs.
viii
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
Connaissances
pralables
Pour tirer pleinement parti de ce cours, les stagiaires doivent avoir suivi le cours
2189A, Planification et maintenance d'une infrastructure rseau Microsoft
Windows Server 2003, ou disposer de connaissances et comptences quivalentes.
Remarque Vous devez avoir suivi la formation CompTIA A+ et CompTIA
Network+ ou possder des connaissances quivalentes pour participer au
programme MOC (Microsoft Official Curriculum). Les certifications A+ et
Network+ sont recommandes mais ne sont pas obligatoires. Pour connatre les
conditions pralables aux examens de certification A+ et Network+, consultez
le site http://www.comptia.org (en anglais).
Objectifs
dployer, grer et dpanner les logiciels mis en uvre l'aide d'une stratgie
de groupe ;
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
ix
Calendrier du cours
Voici une estimation horaire du droulement du cours. Il est possible que vos
horaires soient diffrents de ceux indiqus dans le tableau suivant :
Premier jour
Dbut
Fin
Module
9:00
9:30
Introduction
9:30
10:30
10:30
10:45
Pause
10:45
11:15
11:15
12:00
12:00
1:00
Djeuner
1:00
2:15
2:15
2:30
Pause
2:30
3:30
3:30
5:00
Deuxime jour
Dbut
Fin
Module
9:00
9:30
9:30
10:15
10:15
10:30
Pause
10:30
12:00
12:00
1:00
Djeuner
1:00
1:30
1:30
2:30
2:30
2:45
Pause
2:45
4:45
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
Troisime jour
Dbut
Fin
Module
9:00
9:30
9:30
10:30
10:30
10:45
Pause
10:45
12:00
12:00
1:00
Djeuner
1:00
3:00
3:00
3:15
Pause
3:15
4:15
Quatrime jour
Dbut
Fin
Module
9:00
9:30
9:30
10:45
10:45
11:00
Pause
11:00
12:00
12:00
1:00
Djeuner
1:00
1:30
1:30
2:00
2:00
2:15
Pause
2:15
3:30
3:30
4:00
4:00
5:00
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
xi
Cinquime jour
Dbut
Fin
Module
9:00
9:30
9:30
10:00
10:00
11:00
11:00
11:15
Pause
11:15
11:45
11:45
12:00
12:00
1:00
Djeuner
1:00
1:30
1:30
1:45
1:45
2:30
2:30
2:45
Pause
2:45
3:00
3:00
5:00
xii
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
Webfiles. Ce dossier contient les fichiers requis pour afficher la page Web
du cours. Pour accder aux pages Web, ouvrez l'Explorateur Windows, puis
double-cliquez sur Default.htm ou Autorun.exe dans le rpertoire racine
du CD-ROM.
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
xiii
Labfiles. Ce dossier contient les fichiers utiliss dans les ateliers. Certains de
ces fichiers peuvent aussi tre employs pour prparer les ordinateurs des
stagiaires en vue des ateliers.
Webfiles. Ce dossier contient les fichiers requis pour afficher la page Web
du cours. Pour accder aux pages Web, ouvrez l'Explorateur Windows, puis
double-cliquez sur Default.htm ou Autorun.exe dans le rpertoire racine
du CD-ROM.
xiv
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
Conventions typographiques
Les conventions suivantes sont utilises dans les documents du cours afin de
distinguer les diffrents lments de texte :
Convention
Utilisation
Gras
Italique
Majuscules initiales
MAJUSCULES
espacement
fixe
[]
{}
...
.
.
.
Introduction
Documents de cours
Conditions pralables
Plan du cours
Configuration
Programme MOC
Programme MCP
11
Logistique
14
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Introduction
Notes de l'instructeur
Prsentation :
30 minutes
Ce module donne aux stagiaires une vue d'ensemble du contenu du cours, des
documents et de l'organisation du cours 2194A : Planification, implmentation
et maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
Documents de cours
Prparation
Guide pdagogique
CD-ROM de l'instructeur
Pour prparer ce cours, vous devez raliser les diffrentes tapes dcrites dans
la Liste de prparation au cours fournie avec les documents de cours de
l'instructeur.
iii
iv
Introduction
Documents de cours
Signalez aux stagiaires que tout ce dont ils ont besoin pour ce cours leur est
fourni leur arrive.
Demandez aux stagiaires d'inscrire leur nom de chaque ct de la fiche.
Dcrivez le contenu du manuel de travail et du CD-ROM des stagiaires.
Indiquez aux stagiaires o ils peuvent envoyer leurs commentaires et
impressions sur le cours.
Montrez comment ouvrir la page Web fournie sur le CD-ROM des stagiaires en
double-cliquant sur Autorun.exe ou Default.htm dans le dossier Student du
CD-ROM de l'instructeur.
Conditions pralables
Plan du cours
Configuration
Introduction
Programme MOC
Programme MCP
Logistique
Introduction
Introduction
Introduction
Documents de cours
Objectifs. Ce cours inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour
aider les stagiaires identifier les difficults ou en conclusion pour valider
leurs connaissances.
Introduction
ISBN
0-7356-1354-0
0-7356-1577-2
0-7356-1367-2
0-7356-1486-5
0-7356-1940-9
0-7356-1574-8
Introduction
Conditions pralables
Introduction
Plan du cours
Introduction
Introduction
Configuration
Les fichiers de ce cours qui sont associs aux ateliers se trouvent dans le
dossier \MOC\2194\Labfiles sur les ordinateurs des stagiaires. Les fichiers de
distribution de Windows Server 2003 se trouvent dans le rpertoire partag
\\London\OS.
Configuration
de la classe
Introduction
Introduction
Programme MOC
Autres cours
recommands
10
Introduction
Il se peut que d'autres cours traitant de ces sujets soient disponibles l'avenir.
Par consquent, si vous souhaitez des informations mises jour propos des
formations recommandes, consultez le site Web Formations et Certifications.
Informations Microsoft
Formations et
Certifications
Introduction
11
Programme MCP
Examen de certification
Certifications MCP
12
Introduction
!
MCAD
La certification MCAD (Microsoft Certified Application Developer) pour
Microsoft .NET est destine aux professionnels qui utilisent les technologies
Microsoft pour dvelopper et maintenir, au niveau de leur service, des
applications, des composants, des clients Web ou de bureau, ou des services
principaux de donnes. Cette certification est galement destine ceux
qui travaillent dans des quipes de dveloppement d'applications
professionnelles. Elle couvre des tches allant du dveloppement et
du dploiement la maintenance de ces solutions.
MCSD
La certification MCSD (Microsoft Certified Solution Developer) est
la principale certification pour les professionnels qui conoivent et
dveloppent des solutions d'entreprise de pointe l'aide d'outils de
dveloppement, de technologies, de plates-formes Microsoft et de
l'architecture Microsoft Windows DNA. Parmi les types d'applications que
les titulaires d'une certification MCSD sont susceptibles de dvelopper,
citons les applications de bureau et multi-utilisateurs, les applications Web,
les applications multiniveaux et les applications transactionnelles. Les
tches qu'ils assument vont de l'analyse des besoins de l'entreprise la
maintenance des solutions mises en uvre.
MCP
La certification MCP (Microsoft Certified Professional) s'adresse aux
individus qui possdent les comptences ncessaires pour implmenter un
produit ou une technologie Microsoft au sein d'une solution d'entreprise
dans une organisation. Il est ncessaire de bnficier d'une exprience
pratique du produit pour obtenir cette certification.
MCT
La certification MCT (Microsoft Certified Trainer) valide les comptences
pdagogiques et techniques des personnes qui dispensent des cours MOC
dans les centres de formation technique agrs Microsoft CTEC (Certified
Technical Education Center).
Introduction
Conditions requises
pour l'obtention des
certifications
13
Les critres retenus varient en fonction des certifications. Ils dpendent des
produits et des responsabilits professionnelles auxquels s'applique chacune de
ces certifications. Pour devenir MCP, vous devez tre reu des examens de
certification rigoureux qui permettent d'valuer de manires prcise et fiable
vos comptences et vos connaissances techniques.
Pour plus d'informations Consultez le site Web Formations et Certifications
de Microsoft France l'adresse http://www.microsoft.com/france/formation/
cert/mcp/default.asp.
Vous pouvez aussi envoyer un courrier lectronique l'adresse
mcphelp@microsoft.com pour toute question concernant les certifications.
Acquisition des
comptences valides
par un examen MCP
Les cours MOC et MSDN Training peuvent vous aider dvelopper les
comptences ncessaires pour assumer vos fonctions. Ils renforcent galement
l'exprience que vous avez acquise lors de l'utilisation des produits et
technologies Microsoft. Cependant, il n'existe pas de correspondance directe
entre les cours de formation MOC et MSDN, et les examens MCP. Le seul suivi
des cours ne garantit pas ncessairement la russite aux examens MCP : de
l'exprience et des connaissances pratiques sont galement ncessaires.
Pour prparer les examens MCP, vous pouvez utiliser les guides de prparation
disponibles pour chaque examen. Chaque guide de prparation contient des
informations spcifiques un examen, telles que la liste des sujets sur lesquels
vous serez interrog. Ces guides sont disponibles sur le site Web Formations et
Certifications de Microsoft France l'adresse http://www.microsoft.com/
france/formation/cert/mcp/default.asp.
14
Introduction
Logistique
Module 1 : Introduction
l'infrastructure Active
Directory
Table des matires
Vue d'ensemble
11
21
32
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
90 minutes
Atelier :
0 minute
Documents de cours
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.
iv
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, chaque atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
permettant d'effectuer la tche (par exemple : partir de la console Utilisateurs
et ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
vi
vii
Vue d'ensemble
Objectifs
!
!
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Active Directory stocke des informations sur les utilisateurs, les ordinateurs et
les ressources du rseau, afin de permettre aux utilisateurs et aux applications
d'accder ces ressources. Il constitue un moyen cohrent de nommer, de
dcrire, de localiser, d'accder, de grer et de scuriser les informations
concernant ces ressources.
Fonction d'Active
Directory
Stockage des objets de manire scurise dans une structure logique. Active
Directory stocke toutes les ressources sous forme d'objets dans une structure
logique hirarchique scurise.
Objectifs
Points cls
Les forts. Une fort est une instance complte d'Active Directory. Elle
consiste en une ou plusieurs arborescences. Dans une arborescence unique
deux niveaux, qui est recommande pour la plupart des organisations, tous
les domaines enfants sont des enfants du domaine racine de la fort afin de
former une arborescence contigu.
Le premier domaine de la fort est appel le domaine racine de la fort.
Le nom de ce domaine fait rfrence la fort, par exemple nwtraders.msft.
Par dfaut, les informations dans Active Directory ne sont partages qu'
l'intrieur de la fort. Ainsi, la fort est une limite de scurit pour les
informations contenues dans l'instance d'Active Directory.
Objectifs
Points cls
Les sites Active Directory. Ces sites sont des groupes d'ordinateurs
connects par des liaisons rapides. Lorsque vous crez des sites, les
contrleurs de domaine au sein d'un mme site communiquent
frquemment. Ces communications rduisent le dlai de latence de
rplication l'intrieur du site ; autrement dit, le temps requis pour qu'une
modification effectue sur un contrleur de domaine soit rplique sur
d'autres contrleurs de domaine. Vous pouvez donc crer des sites pour
optimiser l'utilisation de la bande passante entre des contrleurs de
domaines situs des emplacements diffrents.
Remarque Pour plus d'informations sur les sites Active Directory, reportezvous au Module 7, Implmentation de sites pour grer la rplication
Active Directory , du cours 2194, Planification, implmentation et
maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
Lorsqu'un domaine est modifi, la modification est rplique sur tous les
contrleurs du domaine. Certaines modifications, telles que celles apportes au
schma, sont rpliques dans tous les domaines de la fort. Cette rplication est
appele rplication multimatre.
Oprations de matre
unique
Rles de matre
d'oprations
Les oprations utilisant une rplication matre unique sont regroupes dans
des rles spcifiques dans une fort ou un domaine. Ces rles sont appels
rles de matre d'oprations. Pour chaque rle de matre d'oprations, seul le
contrleur de domaine possdant ce rle peut effectuer les modifications dans
l'annuaire correspondant. Le contrleur de domaine responsable d'un rle
particulier est appel matre d'oprations pour ce rle. Active Directory
stocke les informations concernant le contrleur de domaine qui joue un
rle spcifique.
Rles tendus au niveau d'une fort. Particuliers une fort, les rles
tendus au niveau d'une fort sont :
Le contrleur de schma. Il contrle toutes les mises jour du schma.
Le schma contient la liste principale des classes et des attributs d'objets
utiliss pour crer tous les objets Active Directory, comme les
utilisateurs, les ordinateurs et les imprimantes.
Le matre d'attribution des noms de domaine. Il contrle l'ajout ou la
suppression de domaines dans la fort. Lorsque vous ajoutez un domaine
la fort, seul le contrleur de domaine possdant le rle de matre
d'attribution des noms de domaine peut ajouter le nouveau domaine.
L'ensemble de la fort ne contient qu'un seul contrleur de schma et qu'un
seul matre d'attribution des noms de domaine.
10
11
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
12
Fonctionnalits
d'Active Directory
13
14
Le schma Active Directory dfinit les genres d'objets, les types d'informations
concernant ces objets, et la configuration de scurit par dfaut pour les objets
pouvant tre stocks dans Active Directory.
Dfinition du schma
Active Directory
Modifications et
dsactivation de schma
15
Sur les contrleurs de domaine Windows Server 2003, vous pouvez annuler des
modifications apportes un schma en les dsactivant, permettant ainsi aux
organisations de mieux exploiter les fonctionnalits d'extensibilit d'Active
Directory.
Vous pouvez galement redfinir une classe ou un attribut de schma. Vous
pourriez, par exemple, modifier la syntaxe de la chane Unicode d'un attribut
appel SalesManager pour en faire un nom unique.
16
Dans Active Directory, les ressources peuvent tre partages parmi des
domaines et des forts. Le catalogue global d'Active Directory permet de
rechercher des ressources parmi des domaines et des forts de manire
transparente pour l'utilisateur. Par exemple, si vous recherchez toutes les
imprimantes prsentes dans une fort, un serveur de catalogue global traite la
requte dans le catalogue global, puis renvoie les rsultats. En l'absence de
serveur de catalogue global, cette requte exigerait une recherche dans chaque
domaine de la fort.
Dfinition du catalogue
global
Le catalogue global est un rfrentiel d'informations qui contient un sousensemble des attributs de tous les objets d'Active Directory. Les membres du
groupe Administrateurs du schma peuvent modifier les attributs stocks dans
le catalogue global, en fonction des impratifs d'une organisation. Le catalogue
global contient :
les attributs les plus frquemment utiliss dans les requtes, comme les nom
et prnom d'un utilisateur, et son nom d'ouverture de session ;
Fonctions du catalogue
global
17
18
Dfinition
19
Les composants de domaine du nom unique sont bass sur le DNS (Domain
Name System).
Exemple de nom
unique relatif
Dans l'exemple suivant, Sales est le nom unique relatif d'une unit
d'organisation reprsente par le chemin LDAP suivant :
OU=Sales,DC=contoso,DC=msft
20
Objectifs
Points cls
dcrire la procdure utilise par Active Directory pour activer une ouverture
de session unique ;
21
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
expliquer comment Active Directory est conu pour permettre une gestion
centralise et dcentralise ;
22
23
pour modifier des attributs spcifiques d'un objet dans une unit
d'organisation ; par exemple, affecter l'autorisation permettant de modifier
les nom, adresse et numro de tlphone d'un utilisateur et de rinitialiser les
mots de passe sur l'objet compte d'utilisateur ;
pour excuter la mme tche, par exemple rinitialiser les mots de passe,
dans toutes les units d'organisation d'un domaine.
24
Composants logiciels
enfichables
d'administration
Composant
logiciel enfichable
Description
Utilisateurs et ordinateurs
Active Directory
Cette console MMC (Microsoft Management Console) est utilise pour la gestion et
la publication d'informations dans Active Directory. Vous pouvez grer des comptes
d'utilisateur, des groupes et des comptes d'ordinateurs, ajouter des ordinateurs un
domaine, grer des stratgies de compte ainsi que des droits d'utilisateur, et procder
l'audit de la stratgie.
Domaines et approbations
Active Directory
Cette console MMC est utilise pour grer des approbations de domaines et de forts,
ajouter des suffixes au nom d'utilisateur principal, et modifier les niveaux
fonctionnels de domaines et de forts.
Cette console MMC vous permet de grer le schma. Il n'est pas disponible par
dfaut dans le menu Outils d'administration. Vous devez l'ajouter manuellement.
25
Remarque Vous pouvez utiliser galement l'diteur ADSI Edit pour visualiser,
crer, modifier et supprimer des objets dans Active Directory. L'diteur ADSI
Edit n'est pas install par dfaut. Pour en bnficier, installez les outils de
support de Windows Server 2003 partir du dossier \Support\Tools sur le
CD-ROM du produit.
Vous pouvez personnaliser les consoles d'administration afin qu'elles
correspondent aux tches d'administration que vous dlguez d'autres
administrateurs. Vous pouvez galement regrouper dans une mme console
toutes les consoles requises pour chaque fonction d'administration.
Outils de ligne de
commande
d'administration
Outil
Description
Dsadd
Ajoute dans Active Directory des objets, comme des ordinateurs, des utilisateurs, des
groupes, des units d'organisation et des contacts.
Dsmod
Modifie dans Active Directory des objets, comme des ordinateurs, des serveurs, des
utilisateurs, des groupes, des units d'organisation et des contacts.
Dsquery
Excute des requtes dans Active Directory en fonction de critres spcifis. Vous
pouvez excuter des requtes portant sur des serveurs, des ordinateurs, des groupes,
des utilisateurs, des sites, des units d'organisation et des partitions.
Dsmove
Dsrm
Dsget
Affiche des attributs slectionns d'un ordinateur, d'un contact, d'un groupe, d'une
unit d'organisation, d'un serveur ou d'un utilisateur dans Active Directory.
Csvde
Importe et exporte des donnes Active Directory l'aide d'un format de sparation
par virgule.
Ldifde
Cre, modifie et supprime des objets Active Directory. Peut galement prolonger le
schma Active Directory, exporter des informations utilisateur et de groupe vers
d'autres applications ou services, et charger dans Active Directory des donnes
d'autres services d'annuaire.
26
Environnement
d'excution de scripts
Windows
27
Procdure
28
29
Scnario
Application pratique
30
31
32
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
33
Conception d'Active
Directory
Plan d'implmentation
d'Active Directory
Implmentation
d'Active Directory
crent les objets Stratgie de groupe (GPO, Group Policy Object) qu'ils
appliquent aux domaines, aux sites et aux units d'organisation ;
34
Une conception d'Active Directory inclut plusieurs tches. Chacune dfinit les
besoins fonctionnels pour un composant de l'implmentation d'Active Directory.
Tches incluses
dans le processus
de conception
d'Active Directory
Rsultat du processus
de conception d'Active
Directory
35
36
Plan de stratgie de groupe. Il dtermine qui cre, relie et gre les objets
de stratgie de groupe, et comment cette stratgie sera implmente.
Plan d'implmentation du site. Il spcifie les sites, les liens qui les relient,
et les liaisons de sites planifies. Il spcifie galement la planification et
l'intervalle de rplication ainsi que les consignes en matire de scurisation
et de configuration de la rplication entre sites.
37
Lorsque tous les plans de composant sont termins, vous devez les combiner
pour former le plan complet d'implmentation d'Active Directory.
38
Processus
d'implmentation
Vous devez excuter les tches ci-dessous pour implmenter Active Directory.
!
Implmentation des sites. Crez des sites en fonction du plan des sites,
crez des liens reliant ces sites, dfinissez les liaisons de sites planifies et
dployez sur les sites des contrleurs de domaine, des serveurs de catalogue
global, des serveurs DNS et des matres d'oprations.
Module 2 : Implmentation
d'une structure de fort
et de domaine Active
Directory
Vue d'ensemble
23
38
44
Atelier A : Implmentation
d'Active Directory
57
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
120 minutes
Atelier :
60 minutes
Objectifs
Documents de cours
lire tous les documents de cours relatifs ce module, anticiper les questions
que les stagiaires sont susceptibles de poser et prparer des rponses
appropries pour chacune de ces questions ;
raliser l'atelier ;
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
iv
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire. Ils
peuvent galement se reporter aux applications pratiques et aux procdures du
module.
vi
vii
viii
ix
Si une fort n'utilise que les approbations transitives entre les domaines parents
et enfants, expliquez qu'il peut tre ncessaire de rechercher la ressource dans
toute la hirarchie, en fonction de son emplacement dans la hirarchie de la
fort. Les approbations raccourcies aident surmonter ce problme. Lorsque
vous expliquez le fonctionnement des approbations au sein d'une fort, assurezvous que les stagiaires comprennent bien l'utilit des approbations raccourcies
pour rduire le temps ncessaire la recherche des ressources.
La rubrique Comment fonctionnent les approbations entre les forts comporte
une diapositive anime. Lorsque vous expliquerez le fonctionnement des
approbations dans une fort, soulignez qu'une fort est une limite de scurit
dans Windows Server 2003. Insistez sur le rle du protocole d'authentification
Kerberos version 5 dans l'authentification de l'utilisateur. Indiquez aux
stagiaires les annexes consulter pour plus d'informations sur le filtrage des
identificateurs de scurit (SID, Security IDentifier).
Application pratique
Vancouver
Nwtraders1.msft
Denver
Perth
Corp1.Nwtraders1.msft
Nwtraders2.msft
Brisbane
Lisbon
Corp2.Nwtraders2.msft
Nwtraders3.msft
Bonn
Lima
Corp3.Nwtraders3.msft
Nwtraders4.msft
Santiago
Bangalore
Corp4.Nwtraders4.msft
Nwtraders5.msft
Singapore
Casablanca
Corp5.Nwtraders5.msft
Nwtraders6.msft
Tunis
Acapulco
Corp6.Nwtraders6.msft
Nwtraders7.msft
Miami
Auckland
Corp7.Nwtraders7.msft
Nwtraders8.msft
Suva
Stockholm
Corp8.Nwtraders8.msft
Nwtraders9.msft
Moscow
Caracas
Corp9.Nwtraders9.msft
Nwtraders10.msft
Montevideo
Manila
Corp10.Ntraders10.msft.
Nwtraders11.msft
Tokyo
Khartoum
Nairobi
Domaine enfant
Corp11. Nwtraders11.msft
Nwtraders12.msft
Corp12. Nwtraders12.msft
xi
Configuration de l'atelier
Les conditions de configuration ci-aprs s'appliquent l'atelier de ce module.
Configuration requise 1
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!
Vue d'ensemble
Objectifs
Cette leon fournit les comptences et connaissances ncessaires pour crer une
structure de fort et de domaine. Vous allez apprendre vrifier qu'Active
Directory a t install correctement, identifier et rsoudre les problmes
courants qui peuvent survenir lors de l'installation d'Active Directory.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Avant d'installer Active Directory, vous devez vous assurer que l'ordinateur
devant tre configur comme contrleur de domaine satisfait certaines
conditions de configuration relatives au matriel et au systme d'exploitation.
De plus, le contrleur de domaine doit tre en mesure d'accder un serveur
DNS satisfaisant certaines conditions de configuration pour prendre en charge
l'intgration Active Directory.
Configuration requise
pour les contrleurs de
domaine
Un serveur DNS qui fait autorit pour le domaine DNS et prend en charge
les conditions requises rpertories dans le tableau ci-dessous.
Condition requise
Description
Enregistrements de ressources
SRV (obligatoires)
Microsoft recommande vivement de faire en sorte que les serveurs DNS prennent
en charge les mises jour dynamiques. Le protocole de mise jour dynamique
permet aux serveurs et aux clients voluant dans un environnement DNS d'ajouter
et de modifier automatiquement des enregistrements dans la base de donnes DNS,
ce qui permet de rduire les tches administratives. Si vous utilisez un logiciel DNS
qui prend en charge des enregistrements de ressources SRV mais pas le protocole
de mise jour dynamique, vous devez entrer les enregistrements de ressources SRV
manuellement dans la base de donnes DNS.
Transferts de zone
incrmentiels (facultatif)
Dans un transfert de zone incrmentiel, les modifications apportes une zone d'un
serveur DNS matre doivent tre rpliques sur les serveurs DNS secondaires pour
cette zone. Les transferts de zone incrmentiels sont facultatifs. Ils sont toutefois
recommands car ils permettent d'conomiser de la bande passante rseau en
permettant uniquement aux enregistrements de ressources nouveaux ou modifis
d'tre rpliqus entre des serveurs DNS, au lieu de rpliquer le fichier de base de
donnes de zone entier.
Processus d'installation
Procdure de cration
du domaine racine de la
fort
10
11
Procdure
12
13
Procdure
14
Procdure de
suppression d'un
contrleur de domaine
qui est en ligne
Pour supprimer un contrleur de domaine qui est en ligne et qui n'est plus
ncessaire, procdez comme suit :
1. Ouvrez l'Assistant Installation de Active Directory.
2. Dans la page Supprimer Active Directory, s'il s'agit du dernier contrleur
de domaine du domaine, cochez la case Ce serveur est le dernier
contrleur de domaine du domaine, puis cliquez sur Suivant.
3. Dans la page Mot de passe administrateur, tapez le nouveau mot de passe
administrateur dans les botes de dialogue Nouveau mot de passe
administrateur et Confirmer le mot de passe, puis cliquez sur Suivant.
4. Dans la page Rsum, passez en revue le rsum, puis cliquez sur Suivant.
Procdure de
suppression d'un
contrleur de domaine
endommag
15
operation
operation
operation
operation
operation
target:
target:
target:
target:
target:
list sites
select site numro
list servers in site
select server numro
quit
16
Vrification de la
cration de la structure
de dossiers SYSVOL et
de ses dossiers
partags
Vous devez vrifier que la structure de dossiers SYSVOL et que les dossiers
partags ncessaires ont t crs. Si le dossier SYSVOL n'a pas t cr
correctement, les donnes du dossier SYSVOL (Stratgie de groupe et scripts,
par exemple) ne seront pas rpliques entre les contrleurs de domaine.
Pour vrifier que la structure de dossiers a t cre, excutez la procdure
suivante :
!
17
Pour vrifier que les dossiers partags ncessaires ont t crs, excutez la
procdure suivante :
!
Vrification de la
cration de la base de
donnes et des fichiers
journaux d'Active
Directory
Enregistrements
Remarque
NETLOGON
%systemroot%\SYSVOL\sysvol\domaine\
SCRIPTS
Partage de serveur
d'accs
SYSVOL
%systemroot%\SYSVOL\sysvol
Partage de serveur
d'accs
Pour vrifier que la base de donnes et les fichiers journaux d'Active Directory
ont t crs, excutez la procdure suivante :
!
18
Vrification de la
cration de la structure
Active Directory par
dfaut
Objet
Description
Builtin
Computers
Domain Controllers
ForeignSecurityPrincipals
Users
LostAndFound
NTDS Quotas
Program Data
System
Aprs avoir install Active Directory, jetez un oeil dans les journaux des
vnements pour prendre connaissance des ventuelles erreurs qui se sont
produites lors du processus d'installation. Les messages d'erreur gnrs lors de
l'installation sont enregistrs dans les journaux Systme, Service d'annuaire,
Serveur DNS et Service de rplication de fichier.
19
Problmes courants
lis l'installation
Le tableau suivant dcrit certains problmes courants que vous tes susceptible
de rencontrer lors de l'installation d'Active Directory, ainsi que les stratgies
permettant de les rsoudre.
Problme
Solution
20
(suite)
Problme
Solution
Assurez-vous que la connexion rseau est effective entre le serveur que vous souhaitez
promouvoir au titre de contrleur de domaine et au moins l'un des contrleurs de
domaine du domaine. Utilisez la commande ping partir de l'invite de commande
pour tester la connexion avec un contrleur de domaine du domaine.
Vrifiez que le systme DNS fournit une rsolution de noms au moins un contrleur
du domaine en vous connectant un contrleur de domaine l'aide de
son nom DNS. Pour ce faire, l'invite de commande, tapez le nom de domaine
pleinement qualifi (FQDN, Fully Qualified Domain Name) du contrleur de
domaine. Si le systme DNS est configur correctement, vous pourrez vous connecter
au contrleur de domaine.
Vous pouvez galement vous assurer que le systme DNS a t configur
correctement en vrifiant les enregistrements A que les contrleurs de domaine
enregistrent dans la base de donnes DNS.
21
Dans cette application pratique, vous allez installer Active Directory et crer un
domaine enfant dans le domaine racine de la fort nwtraders.msft. Aprs
l'installation d'Active Directory, vous allez vrifier la cration du dossier de
volume de systme partag, ainsi que celle de la base de donnes et des fichiers
journaux.
Scnario
Application pratique
22
23
Windows Server 2003 exige qu'une infrastructure DNS soit en place avant
d'installer Active Directory. Il est important de comprendre comment DNS et
Active Directory sont intgrs et comment les ordinateurs clients utilisent le
systme DNS lors de l'ouverture de session afin de rsoudre les problmes lis
au systme DNS (problmes d'ouverture de session client, par exemple).
Cette leon dcrit le format des enregistrements de ressources SRV
(enregistrements DNS que les contrleurs de domaine enregistrent) et explique
comment Active Directory utilise ces enregistrements pour rechercher les
fournisseurs de ressources.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
dcrire les relations entre les espaces de noms du systme DNS et d'Active
Directory ;
24
Intgration du systme
DNS et d'Active
Directory
25
Les serveurs DNS Microsoft stockent des informations utilises pour rsoudre
des noms d'hte en adresses IP, et inversement, dans un fichier de base de
donnes suivi de l'extension .dns pour chaque zone.
Les zones intgres Active Directory sont des zones DNS principales et de
stub stockes en tant qu'objets dans la base de donnes Active Directory.
Vous pouvez stocker des objets de zone dans une partition d'application Active
Directory ou dans une partition de domaine Active Directory. Si les objets de
zone sont stocks dans une partition d'application Active Directory, seuls les
contrleurs de domaine qui souscrivent la partition d'application participent
sa rplication. Toutefois, si les objets de zone sont stocks dans une partition de
domaine Active Directory, ils sont rpliqus sur tous les contrleurs de domaine
du domaine.
26
Mises jour dynamiques scurises. Etant donn que les zones DNS sont
des objets Active Directory des zones intgres Active Directory, vous
pouvez dfinir des autorisations d'accs aux enregistrements au sein de ces
zones afin de contrler les ordinateurs qui peuvent mettre jour leurs
enregistrements. De cette manire, les mises jour qui utilisent le protocole
de mise jour dynamique ne peuvent provenir que des ordinateurs autoriss.
Remarque Pour plus d'informations sur les zones intgres Active Directory
et la rplication DNS, reportez-vous la rubrique Dfinition des zones
intgres Active Directory de la page des annexes du module 2 sur le
CD-ROM du stagiaire.
27
Finalit des
enregistrements SRV
28
Format des
enregistrements SRV
Description
_Service
_Protocole
Nom
Ttl
Classe
Priorit
Poids
Port
Cible
Exemple
29
30
Les enregistrements de ressources SRV sont enregistrs par les ordinateurs qui
fournissent un service Active Directory. Dans Windows Server 2003, les
contrleurs de domaine et les serveurs de catalogue global enregistrent les
services avec le systme DNS.
Services enregistrs
avec le systme DNS
31
_ldap._tcp.Nom_Domaine_Dns
_ldap._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_
Dns
_gc._tcp.Nom_Fort_Dns
_gc._tcp.Nom_Site._sites. Nom_Fort_Dns
_kerberos._tcp.Nom_Domaine_Dns
_kerberos._tcp.Nom_Site. sites.Nom_Domaine_Dns
32
Vous pouvez utiliser la console DNS ou l'utilitaire Nslookup pour afficher les
enregistrements de ressources SRV que les contrleurs de domaine enregistrent.
Procdure d'affichage
des enregistrements
SRV grce la console
DNS
Procdure d'affichage
des enregistrements
SRV grce Nslookup
33
34
Objectifs
Processus d'utilisation
du systme DNS pour
localiser un contrleur
de domaine
35
36
Dans cette application pratique, vous allez analyser les enregistrements SRV
enregistrs par votre contrleur de domaine l'aide de la console DNS.
Scnario
Vous venez de crer un domaine enfant sur votre rseau. Vous souhaitez
vrifier que votre contrleur de domaine a enregistr ses enregistrements de
ressources SRV avec Active Directory.
Application pratique
37
11. Dans le menu Outil d'administration, pointez sur DNS, appuyez sur la
touche Maj et maintenez-la enfonce, cliquez avec le bouton droit, puis
cliquez sur Excuter en tant que.
12. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez un nom d'utilisateur Nwtraders\Administrateur et le mot de
passe P@ssw0rd, puis cliquez sur OK.
13. Dans la bote de dialogue Connexion au serveur DNS, cliquez sur
L'ordinateur suivant, tapez LONDON et cliquez sur OK.
14. Dveloppez London, dveloppez Zones de recherche directes, dveloppez
nwtraders.msft, puis ouvrez les dossiers suivants dans le dossier corpx
pour afficher les enregistrements de ressources SRV qui ont t enregistrs :
_msdcs
_sites
_tcp
_udp
15. Fermez la console DNS.
38
Les fonctionnalits des forts et des domaines dterminent quelles sont les
fonctionnalits actives d'Active Directory. Cette leon prsente ces
fonctionnalits et explique comment augmenter les fonctionnalits des forts ou
des domaines.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
dcrire les conditions requises pour augmenter les niveaux fonctionnels des
forts et des domaines ;
39
Sous Windows Server 2003, les fonctionnalits des forts et des domaines
offrent un moyen d'activer les fonctionnalits Active Directory tendues
l'chelle de la fort ou du domaine dans votre environnement rseau. Selon
votre environnement, diffrents niveaux de fonctionnalit de fort et de
fonctionnalit de domaine sont disponibles.
Dfinition de la
fonctionnalit de
domaine
40
Dfinition de la
fonctionnalit de fort
Remarque Pour obtenir une liste exhaustive des fonctionnalits actives pour
chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la
rubrique Fonctionnalit des domaines et des forts , en ligne, dans Aide et
Support.
Important Vous ne pouvez pas rduire le niveau fonctionnel du domaine ou de
la fort aprs l'avoir augment.
41
42
Procdure
d'augmentation du
niveau fonctionnel
du domaine
Procdure
d'augmentation du
niveau fonctionnel
de la fort
43
Scnario
Vous venez de crer un domaine enfant en installant Active Directory sur votre
ordinateur Windows Server 2003. Vous allez prparer les approbations entre
forts en augmentant le niveau fonctionnel de votre domaine.
Application pratique
44
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
dcrire les types d'approbations que vous pouvez tablir entre les domaines ;
45
Types d'approbations
Approbations
transitives/non
transitives
Direction de
l'approbation
46
Types d'approbations
Windows Server 2003 prend en charge les types d'approbation suivants, dans
les catgories transitives et non transitives.
Type
Transitivit
Raccourcie
Partiellement
transitive
Fort
Partiellement
transitive
Externe
Non transitive
Domaine
Transitive ou non
transitive, au
choix de
l'utilisateur
47
Objets du domaine
approuv
Chaque relation d'approbation d'un domaine est reprsente par un objet connu
sous le nom d'objet Domaine approuv (TDO, Trusted Domain Object). Le
TDO stocke des informations relatives l'approbation, comme sa transitivit ou
son type. A chaque cration d'une approbation, un TDO est cr et stock dans
le conteneur System du domaine de l'approbation.
Les TDO d'approbation de fort stockent des informations supplmentaires
permettant d'identifier la totalit des espaces de noms approuvs partir de la
fort de son partenaire. Lorsque vous crez une approbation de fort, chaque fort
rassemble tous les espaces de noms approuvs dans la fort de son partenaire et
stocke les informations dans un TDO. Ces informations contiennent :
!
Les SPN sont des structures permettant d'identifier l'ordinateur sur lequel est
excut un service.
Lorsqu'un poste de travail demande un service qui est introuvable dans le
domaine ou dans la fort dont il est membre, les TDO recherchent le service
dans toutes les forts approuves.
48
Comment les
approbations permettent
aux utilisateurs
d'accder aux
ressources d'une fort
49
Windows Server 2003 prend en charge les approbations entre forts, qui
permettent aux utilisateurs d'accder aux ressources d'une autre fort.
Lorsqu'un utilisateur tente d'accder aux ressources d'une fort approuve,
Active Directory doit pralablement rechercher les ressources. Une fois que les
ressources ont t localises, l'utilisateur peut tre authentifi et autoris
accder aux ressources. Si vous comprenez bien le fonctionnement de ce
processus, vous serez mme de rsoudre les problmes susceptibles de
survenir avec les approbations entre forts.
Comment s'effectue
l'accs une ressource
50
51
Vous pouvez utiliser Domaines et approbations Active Directory pour crer des
relations d'approbation entre des forts ou entre des domaines de la mme fort.
Vous pouvez galement l'utiliser pour crer des approbations raccourcies.
Avant de crer une relation de fort, vous devez crer une zone secondaire de
recherche inverse sur le serveur DNS dans chaque fort qui pointe vers le
serveur DNS d'une autre fort. La cration de zones secondaires de recherche
inverse garantit que le contrleur de domaine de la fort dans laquelle vous
crez une approbation de fort est mme de localiser un contrleur de
domaine de l'autre fort et de dfinir une relation d'approbation.
Procdure
52
53
Lorsque vous crez des approbations non transitives, vous devez parfois
vrifier et rvoquer les chemins d'approbation que vous avez crs. Vous
vrifiez une approbation afin de vous assurer qu'elle peut valider les demandes
d'authentification provenant d'autres domaines. Vous rvoquez une approbation
pour viter que le chemin d'authentification ne soit utilis lors d'une
authentification. Vous pouvez utiliser Domaines et approbations Active Directory
ou la commande netdom pour vrifier et rvoquer les chemins d'approbation.
Procdure de
vrification des
approbations
54
Procdure de rvocation
des approbations
55
Dans cette application pratique, vous allez crer et valider une approbation
raccourcie entre votre domaine et un autre domaine de votre fort.
Scnario
Instructions
Vous allez travailler avec un partenaire que va vous attribuer votre instructeur.
Vous allez crer l'approbation raccourcie entre votre domaine et celui de votre
partenaire.
Application pratique :
Cration de
l'approbation raccourcie
56
Application pratique :
Validation de
l'approbation raccourcie
57
Connaissances
pralables
Scnario
Dure approximative
de cet atelier :
60 minutes
la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
!
58
Exercice 1
Suppression d'un domaine enfant d'Active Directory
Dans cet exercice, vous allez supprimer Active Directory de votre contrleur de domaine afin de
prparer la cration d'une structure de fort et de domaine Active Directory.
Scnario
Northwind Traders doit implmenter Active Directory diffrents emplacements. L'quipe de
gestion informatique (IT) a demand aux ingnieurs d'implmenter Active Directory en utilisant des
forts spares. Vous allez travailler de manire indpendante en tant qu'administrateur local du
bureau auquel vous avez t affect. Vous allez crer un domaine racine de la fort et un domaine
enfant Active Directory grce aux serveurs prsents sur votre site. Mais en premier lieu, vous devez
rtrograder votre contrleur de domaine.
Tches
1.
2.
Instructions spcifiques
a.
a.
Exercice 2
Cration d'un domaine racine de la fort Active Directory
Dans cet exercice, vous allez travailler avec un partenaire afin de crer votre fort Active Directory.
L'un de vous deux va crer le domaine racine de la fort et l'autre un domaine enfant.
Scnario
Vous crez une fort Active Directory qui va ventuellement tre fusionne dans un environnement
administratif polyvalent. En tant que filiale rgionale de Northwind Traders, vous devez coordonner
vos efforts avec la filiale de votre pays. L'une des filiales va crer le domaine racine de la fort et
l'autre un domaine enfant dans la nouvelle fort. Le domaine racine de la fort doit tre cr avant
que le domaine enfant, puisse rejoindre la fort. Vous devez coordonner vos efforts avec l'autre
filiale pour tre sr que la procdure approprie est ralise au moment opportun.
Votre instructeur va vous attribuer l'un des noms de domaine de la liste ci-dessous.
Nom de l'ordinateur
Vancouver
Nwtraders1.msft
Denver
Perth
Corp1.Nwtraders1.msft
Nwtraders2.msft
Brisbane
Lisbon
Corp2.Nwtraders2.msft
Nwtraders3.msft
Bonn
Lima
Corp3.Nwtraders3.msft
Nwtraders4.msft
Santiago
Bangalore
Corp4.Nwtraders4.msft
Nwtraders5.msft
Singapore
Casablanca
Corp5.Nwtraders5.msft
Nwtraders6.msft
Tunis
Acapulco
Corp6.Nwtraders6.msft
Nwtraders7.msft
Miami
Auckland
Corp7.Nwtraders7.msft
Nwtraders8.msft
Suva
Stockholm
Corp8.Nwtraders8.msft
Nwtraders9.msft
Moscow
Caracas
Corp9.Nwtraders9.msft
Nwtraders10.msft
Montevideo
Manila
Corp10.Ntraders10.msft.
Nwtraders11.msft
Tokyo
Khartoum
Nairobi
Domaine enfant
Corp11. Nwtraders11.msft
Nwtraders12.msft
Corp12. Nwtraders12.msft
59
60
Tches
1.
Instructions spcifiques
a.
3.
Vrifier la cration de
la nouvelle fort.
"
61
Exercice 3
Cration d'un domaine enfant Active Directory
Dans cet exercice, vous allez terminer la cration de la fort Active Directory en crant un domaine
enfant l'intrieur de la racine de la fort.
Scnario
En tant qu'entreprise sur de la racine de la fort nouvellement cre, vous allez terminer la fort
en crant le premier domaine enfant. Ne suivez pas cette procdure tant que vous n'avez pas vrifi,
avec votre partenaire, que le domaine racine de la fort a t configur et qu'il fonctionne.
Tches
1.
Instructions spcifiques
"
2.
Vrifier l'installation du
nouveau domaine enfant.
62
Exercice 4
Augmentation du niveau fonctionnel du domaine et de la fort
Dans cet exercice, vous allez augmenter les niveaux fonctionnels du domaine et de la fort vers
Windows Server 2003.
Scnario
Northwind Traders prpare son environnement d'approbations entre forts, que l'quipe
informatique va implmenter ultrieurement. Avant d'implmenter des approbations entre forts,
le niveau fonctionnel des domaines et des forts doit tre augment afin de prendre en charge la
fonctionnalit d'approbation de fort.
Tches
Instructions spcifiques
1.
Augmenter le niveau
fonctionnel du domaine.
"
2.
Augmenter le niveau
fonctionnel de la fort.
"
63
Exercice 5
Cration d'une approbation de fort
Dans cette exercice, vous allez crer une approbation de fort bidirectionnelle avec les forts
nwtraders.msft.
Scnario
Le conglomrat Northwind Traders se dveloppe rapidement. Vous devez prendre en charge
l'augmentation des conditions requises en matire de connectivit entre les diffrentes
organisations. Pour satisfaire ces conditions, vous allez crer l'approbation requise avec laquelle
activer les communications et l'accs aux ressources entre votre fort et la fort de la socit.
Tches
Instructions spcifiques
1.
Configurer la redirection
DNS.
"
2.
"
Module 3 : Implmentation
de la structure d'une unit
d'organisation
Table des matires
Vue d'ensemble
14
25
Atelier A : Implmentation de la
structure d'une unit d'organisation
36
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
90 minutes
Atelier :
45 minutes
Objectifs
Documents de cours
Prparation
raliser l'atelier ;
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
iv
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
vi
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1
vii
Nom_Ordinateur
IT
Sales
HR
Remarque Sur l'ordinateur de chaque stagiaire, remplacez Nom_Ordinateur
par le nom de l'ordinateur de stagiaire sur lequel les units d'organisation
sont cres.
Pour prparer les ordinateurs des stagiaires remplir cette condition, vrifiez
que les stagiaires ont effectu l'application pratique Cration d'units
d'organisation de ce module.
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!
Elle cre les groupes suivants dans l'unit d'organisation relative au service
informatique IT (Information Technology) :
DL AccountingAdmins
DL ResearchAdmins
Vue d'ensemble
Objectifs
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Suppression. Dans Active Directory, tous les objets, y compris les units
d'organisation, occupent de l'espace dans le contrleur de domaine qui
hberge Active Directory. Lorsque des units d'organisation ne sont plus
requises, vous devez les supprimer.
Mthodes de cration et
de gestion des units
d'organisation
Procdure de cration
d'une unit
d'organisation
O :
!
Procdure de
modification d'une unit
d'organisation
Mot_de_Passe est le mot de passe utiliser pour ouvrir une session sur
un serveur distant. Si vous tapez * (astrisque), un mot de passe vous sera
demand.
Les paramtres qui sont transmis la commande dsmod sont les mmes que
ceux de la commande dsadd. La nouvelle description doit tre transmise
comme paramtre desc.
Procdure de
suppression d'une unit
d'organisation
Vous devez supprimer d'Active Directory les units d'organisation qui ne sont
plus utilises. Pour supprimer une unit d'organisation, excutez la commande
suivante :
dsrm ou NU_Unit_Organisation -d Domaine -u Nom_Utilisateur -p
Mot_de_passe
Les paramtres qui sont transmis la commande dsrm sont les mmes que
ceux de la commande dsadd. Vous pouvez utiliser les paramtres
supplmentaires suivants avec dsrm :
!
subtree. Spcifie de supprimer l'objet ainsi que tous les objets contenus dans
la sous-arborescence situe sous cet objet.
Procdure
La premire tape excuter pour utiliser cet outil consiste crer le fichier
d'entre utiliser avec Ldifde. Aprs avoir cr ce fichier, vous excuterez la
commande Ldifde.
Procdez comme suit pour crer des units d'organisation l'aide de l'outil de
ligne de commande Ldifde :
1. Crez un fichier d'entre. L'exemple suivant montre le format du fichier :
dn: OU=ExempleOU,DC=nwtraders,DC=msft
changetype: add
objectClass: organizationalUnit
O :
-i spcifie le mode d'importation. Si celui-ci n'est pas spcifi, le mode
par dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
d'importation et de poursuivre le traitement.
-f spcifie le nom du fichier d'importation ou d'exportation.
OUList.ldf est le fichier d'entre.
-b spcifie le nom d'utilisateur, le nom de domaine et le mot de passe
associs au compte d'utilisateur qui sera utilis pour excuter l'opration
d'importation ou d'exportation.
Remarque Pour plus d'informations sur Ldifde, reportez-vous Aide et
support de Windows Server 2003.
10
Procdure
11
2. Pour excuter les commandes dans le fichier .vbs, tapez le texte suivant
l'invite de commande :
wscript nom_fichier_script.vbs
12
Dans cette application pratique, vous allez crer des units d'organisation dans
le domaine hberg par votre ordinateur de stagiaire, l'aide de l'outil de ligne
de commande Ldifde.
Scnario
Application pratique
13
votre_ville
IT
Sales
HR
14
Objectifs de la leon
la fin de cette leon, les stagiaires seront mme d'effectuer les tches
suivantes :
!
15
Qu'est-ce que la
dlgation de
l'administration ?
Pourquoi dlguer
l'administration ?
16
L'autonomie administrative :
!
17
Utilisez des units d'organisation pour regrouper des objets Active Directory
par type (par exemple, par utilisateurs, groupes et ordinateurs) afin de pouvoir
les grer de manire efficace.
Tches d'administration
courantes
Mise jour de proprits spcifiques sur des objets d'un type donn dans
une unit d'organisation. Il se peut que la tche d'administration la plus
courante que vous effectuiez, concernant la mise jour de proprits, inclut
des tches comme la rinitialisation des mots de passe et la modification
des informations personnelles d'un employ, telles que son adresse et son
numro de tlphone en cas de dmnagement, par exemple.
18
Procdure
19
20
Procdure
21
22
Procdure
23
Dans cette application pratique, vous allez dlguer des tches d'administration
courantes d'units d'organisation dans le domaine hberg par votre ordinateur
de stagiaire.
Scnario
Application pratique
24
25
Les units d'organisation sont des conteneurs dans chaque domaine Active
Directory reprsentant les structures hirarchiques dans une organisation. Pour
crer la structure d'une unit d'organisation reprsentant au mieux la structure
de l'organisation, vous devez comprendre les facteurs qui affectent dans votre
organisation la cration d'units d'organisation. Cette leon vous apporte les
connaissances et comptences ncessaires pour planifier une stratgie d'unit
d'organisation.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
26
La structure des units d'organisation dans Active Directory est base sur la
structure administrative de l'organisation. La premire tape de planification
d'une structure d'unit d'organisation consiste documenter la structure de
l'organisation.
Processus de
planification d'unit
d'organisation
Procdez comme suit pour planifier la stratgie d'unit d'organisation pour votre
organisation :
!
Utilisez ensuite les points suivants comme consignes pour votre plan de
dlgation :
!
27
28
Les facteurs qui affectent la structure d'une unit d'organisation sont : le type et
la structure du modle d'administration informatique. La comprhension de ces
facteurs vous aidera crer la structure d'une unit d'organisation la mieux
adapte vos impratifs organisationnels.
Types de modles
d'administration
informatique
29
30
Instructions
Utilisez les consignes suivantes pour vous aider planifier la structure d'unit
d'organisation d'une organisation. La structure peut tre base sur :
!
31
Fonction
Informatique
centralise ?
Oui
Non
Sparation
de services ou
divisionnaire ?
Administration
distribue ?
Oui
Non
Distribue
gographiquement ?
Oui
Oui
Distribue
gographiquement ?
Groupe unique
central
Non
Oui
Non
quipes
couvrant plusieurs
services ?
Non
Oui
Non
Non
Sparation
de services ou
divisionnaire ?
Sparation
de services ou
divisionnaire ?
Oui
Location then
organization
Non
Emplacement
Oui
Organisation
Organisation puis
emplacement
Organisation
Fonction
Groupe unique
central
32
Dlguez autant que possible le droit d'octroyer des autorisations afin de limiter
les cots et les difficults d'administration et, par consquent, rduire le cot
total de possession. Avant d'affecter des autorisations aux utilisateurs dans une
organisation, vous devez dterminer qui peut et ne peut pas accder un objet
et son contenu, ainsi que le type d'accs dont une personne peut ou non
disposer.
Instructions
33
Affectez des autorisations d'accs des groupes, plutt qu' des individus.
Les autorisations de groupe simplifient l'actualisation des DACL sur les
rseaux comportant de nombreux utilisateurs et objets. Par ailleurs,
l'affectation d'autorisations des groupes est une puissante fonctionnalit
car elle vous permet d'imbriquer des groupes, ce qui rduit le nombre total
d'objets grer.
Important Dlguez le contrle administratif aux groupes locaux de
domaine lorsque vous affectez des autorisations des objets dans un
domaine. Dlguez le contrle administratif des groupes globaux ou
universels lorsque vous affectez des autorisations des objets dans la
partition de configuration ou pour des attributs qui sont publis dans le
catalogue global.
34
Dans cette application pratique, vous allez travailler avec votre partenaire sur la
planification d'une structure d'unit d'organisation pour Northwind Traders.
Scnario
Northwind Traders se prpare installer Windows Server 2003 sur ses sites
de Sacramento, (Californie) et Portland (Oregon). L'quipe de conception
d'Active Directory utilisera un domaine racine vide, nwtradersx.msft, et un
sous-domaine, corpx.nwtradersx.msft, x tant un numro que votre instructeur
vous affectera.
Tous les comptes d'utilisateurs et d'ordinateurs sont dans le domaine corpx.
Northwind Traders a 1500 utilisateurs rpartis dans six services sur ces
deux sites.
Portland compte 600 utilisateurs dans les services suivants :
!
Comptabilit (Accounting)
Informatique
Achats (Purchasing)
Livraison (Shipping)
Comptabilit
Ressouces humaines
Informatique
Achats
Ventes
35
36
Connaissances
pralables
Scnario
la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!
possder les connaissances et les comptences requises pour crer des units
d'organisation.
Dure approximative
de cet atelier :
45 minutes
37
Exercice 1
Cration d'units d'organisation
Vous allez utiliser dans cet exercice l'outil de ligne de commande Dsadd pour crer les units
d'organisation dans votre domaine.
Tches
1.
Instructions spcifiques
"
38
Exercice 2
Dlgation du contrle administratif
Dans cet exercice, vous allez utiliser la console Utilisateurs et ordinateurs Active Directory pour
crer des groupes, ajouter des groupes globaux partir du domaine nwtraders.msft aux groupes que
vous crez, puis dlguer le contrle de chaque unit d'organisation au groupe appropri. Pour
terminer, vous vrifierez la dlgation du contrle.
Tches
1.
DL AccountingAdmins
DL ResearchAdmins
2.
3.
Utiliser l'Assistant
Dlgation de Contrle pour
dlguer le droit de crer,
supprimer et grer des
comptes d'utilisateurs dans
les units d'organisation
Accounting et Research aux
les groupes locaux de
domaine appropris que
vous avez crs.
Instructions spcifiques
a.
39
Exercice 3
Vrification de la dlgation du contrle
Vous allez vrifier dans cet exercice les autorisations affectes aux groupes DL AccountingAdmins
et DL ResearchAdmins dans les units d'organisation Accounting et Research.
Tches
1.
2.
Instructions spcifiques
a.
Quelles autorisations sont affectes au groupe DL ResearchAdmins ? quels objets les autorisations
s'appliquent-elles ?
Module 4 : Implmentation
de comptes d'utilisateurs,
de groupes et d'ordinateurs
Table des matires
Vue d'ensemble
11
24
35
45
59
65
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
120 minutes
Atelier :
60 minutes
Documents de cours
dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort ;
Prparation
Configuration
de la classe
raliser l'atelier ;
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.
! Prparer l'atelier
Excutez le fichier de l'environnement d'excution de scripts Windows
UpnSuffixes.vbs sur le serveur London avant que les stagiaires commencent
l'atelier de ce module. Ce fichier se trouve dans le dossier
\Student\Labfiles\Setup sur le CD-ROM de l'instructeur.
iv
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
vi
la fin de cette leon, partir d'un scnario fictif, les stagiaires planifieront des
stratgies d'attribution de nom de compte, de mot de passe, d'authentification,
d'autorisation et d'administration ainsi qu'une stratgie de groupe pour une fort.
vii
la fin de cette leon, les stagiaires planifieront une stratgie d'audit d'aprs un
scnario donn.
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1
viii
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!
Vue d'ensemble
Objectifs de la leon
dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort ;
Cette leon dcrit les types de comptes et de groupes que vous pouvez
crer dans Microsoft Windows Server 2003. Elle dcrit galement le
comportement des groupes globaux, des groupes locaux de domaine et
des groupes universels.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Types de comptes
Vous pouvez crer trois types de comptes dans Active Directory : comptes
d'utilisateurs, de groupes et d'ordinateurs. Les comptes d'utilisateurs et
d'ordinateurs Active Directory reprsentent une entit physique, telle qu'un
ordinateur ou une personne. Vous pouvez galement utiliser les comptes
d'utilisateurs comme comptes de services ddis pour certaines applications.
Comptes d'utilisateurs
Un compte d'utilisateur est un objet stock dans Active Directory qui permet
une ouverture de session unique, autrement dit un utilisateur entre son mot de
passe une seule fois lors de l'ouverture de session sur une station de travail pour
obtenir un accs authentifi aux ressources rseau.
Il existe trois types de comptes d'utilisateurs, chacun ayant une fonction
spcifique :
!
Comptes d'ordinateurs
Comptes de groupes
Types de groupes
Groupes de distribution
Groupes de scurit
Vous utilisez des groupes de scurit pour affecter des droits et des
autorisations aux groupes d'utilisateurs et d'ordinateurs. Les droits dterminent
les fonctions que les membres d'un groupe de scurit peuvent effectuer dans un
domaine ou une fort. Les autorisations dterminent quelles ressources sont
accessibles un membre d'un groupe sur le rseau.
Une mthode d'utilisation efficace des groupes de scurit consiste utiliser
l'imbrication, c'est dire, ajouter un groupe un autre groupe. Le groupe
imbriqu hrite des autorisations du groupe dont il est membre, ce qui simplifie
l'affectation en une fois des autorisations plusieurs groupes, et rduit le trafic
que peut engendrer la rplication de l'appartenance un groupe. Dans un
domaine en mode mixte, vous ne pouvez pas imbriquer des groupes possdant
la mme tendue de groupe.
Les groupes de distribution et de scurit prennent en charge l'une des trois
tendues de groupe suivantes : locale de domaine, globale ou universelle. Le
niveau fonctionnel de domaine dtermine le type de groupe que vous pouvez
crer. En mode Windows 2000 mixte, vous ne pouvez pas crer de groupes de
scurit universels.
Appartenance au groupe
local de domaine,
tendue et autorisations
Peut tre membre de. En mode Windows 2000 mixte, un groupe local de
domaine ne peut pas tre membre de n'importe quel groupe. En mode
Windows 2000 natif, un groupe local de domaine peut tre membre de
groupes locaux de domaine issus du mme domaine.
Appartenance au groupe
global, tendue et
autorisations
Peut tre membre de. En mode Windows 2000 mixte, un groupe global
peut tre membre des groupes locaux de domaine dans n'importe
quel groupe approuv. En mode Windows 2000 mixte et en mode
Windows Server 2003, un groupe global peut tre membre de groupes
universels et de groupes locaux de domaine dans n'importe quel domaine
et tre galement membres de groupes globaux dans le mme domaine.
tendue. Un groupe global est visible dans son domaine et tous les
domaines approuvs, ce qui inclut tous les domaines de la fort.
Les groupes globaux tant visibles dans toute la fort, ne les crez pas dans le
but de permettre aux utilisateurs d'accder des ressources spcifiques un
domaine. Utilisez les groupes globaux pour organiser des utilisateurs ou des
groupes d'utilisateurs. Un groupe local de domaine est plus appropri pour
contrler l'accs d'un utilisateur aux ressources situes dans un domaine unique.
10
Appartenance au groupe
universel, tendue et
autorisations
tendue. Les groupes universels sont visibles dans tous les domaines de
la fort.
11
Cette leon dcrit les diffrents outils de ligne de commande que vous pouvez
utiliser pour crer et grer plusieurs comptes d'utilisateurs.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
12
Utilisateurs et
ordinateurs Active
Directory
Outils de service
d'annuaire
Vous pouvez galement utiliser les outils de ligne de commande Dsadd, Dsmod
et Dsrm pour grer des comptes d'utilisateurs, d'ordinateurs et de groupes dans
Active Directory. Vous devez spcifier le type d'objet que vous souhaitez crer,
modifier ou supprimer. Par exemple, utilisez la commande dsadd user pour
crer un compte d'utilisateur. Utilisez la commande dsrm group pour
supprimer un compte de groupe. Bien que les outils Directory Service
permettent de crer un seul objet Active Directory la fois, vous pouvez
les utiliser dans des fichiers de commandes et des scripts.
Outil Csvde
13
L'outil de ligne de commande Csvde utilise un fichier texte spar par des
virgules, galement appel format valeurs spares par des virgules (format
Csvde), comme entre pour crer plusieurs comptes dans Active Directory.
Vous devez utiliser le format Csvde pour ajouter des objets utilisateur et
d'autres types d'objets Active Directory. Vous ne pouvez pas utiliser le format
Csvde pour supprimer ou modifier des objets dans Active Directory. Avant
d'importer un fichier Csvde, assurez-vous que le fichier est correctement
format. Le fichier d'entre :
!
ne peut pas inclure de mots de passe. Une importation en bloc laisse le mot
de passe vide pour les comptes d'utilisateur. tant donn qu'un mot de passe
vide permet une personne non autorise d'accder au rseau grce au seul
nom d'ouverture de session de l'utilisateur, dsactivez les comptes
d'utilisateurs jusqu' ce que les utilisateurs commencent se connecter.
Pour modifier et formater le fichier texte d'entre, utilisez une application qui
possde de bonnes capacits d'dition, telle que Microsoft Excel ou Microsoft
Word. Enregistrez ensuite le fichier en tant que fichier texte spar par des
virgules. Vous pouvez exporter des donnes d'Active Directory vers une
feuille de calcul Excel ou importer des donnes d'une feuille de calcul vers
Active Directory.
Outil Ldifde
Environnement
d'excution de scripts
Windows
14
Vous pouvez utiliser l'outil de ligne de commande Csvde pour crer plusieurs
comptes dans Active Directory. Vous pouvez utiliser l'outil Csvde uniquement
pour crer des comptes, en aucun cas pour les modifier.
Procdure
15
Valeur
DN (nom unique)
objectClass
user
sAMAccountName
laurab
userPrincipalName
laurab@contoso.msft
displayName
Laura Bartoli
userAccountControl
514 (La valeur 514 dsactive le compte d'utilisateur, tandis que la valeur 512
l'active.)
o :
-i indique que vous importez un fichier dans Active Directory
-f indique que le paramtre qui suit est le nom du fichier que vous importez
b dfinit la commande excuter comme nom_utilisateur, domaine et
mot_de_passe.
16
17
Vous pouvez utiliser l'outil de ligne de commande Ldifde pour crer et modifier
plusieurs comptes.
Procdure
18
Valeur de l'attribut
Crer Laura Bartoli (Le caractre # indique que cette ligne est un
commentaire.)
DN
Changetype
Add
objectClass
user
sAMAccountName
laurab
userPrincipalName
laurab@contoso.msft
displayName
Laura Bartoli
userAccountControl
512
o :
-i spcifie le mode d'importation. Si celui-ci n'est pas spcifi, le mode par
dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
d'importation et de poursuivre le traitement.
-f spcifie le nom de fichier d'importation ou d'exportation.
-b spcifie le nom d'utilisateur, le nom de domaine et le mot de passe du
compte d'utilisateur qui seront utiliss pour effectuer l'opration
d'importation ou d'exportation.
19
Procdure de cration
d'un objet Active
Directory
Pour crer un objet Active Directory, tel qu'un compte d'utilisateur dans un
domaine, procdez comme suit :
1. Utilisez le Bloc-notes pour crer un fichier texte avec une extension .vbs.
Placez les commandes suivantes dans le fichier, puis enregistrez-le.
a. Connectez-vous au conteneur dans lequel vous souhaitez crer l'objet
Active Directory en spcifiant la requte LDAP (Lightweight Directory
Access Protocol).
Set objOU =
GetObject("LDAP://ou=management,dc=fabrikam,dc=com")
20
Pour modifier la valeur d'une proprit d'un objet Active Directory, tel que le
numro de tlphone d'un utilisateur, ouvrez le Bloc-notes pour crer un fichier
texte, ajoutez les commandes suivantes au fichier, puis excutez le fichier de
script en le dmarrant l'invite de commandes.
1. Connectez-vous l'objet dont la proprit sera modifie.
Set objUser = GetObject _
("LDAP://cn=myerken,ou=TestOU,dc=nwtraders,dc=msft")
21
22
Dans cette application pratique, vous allez crer et excuter un fichier de script
qui contient des commandes pour crer un compte d'utilisateur, puis vous
vrifierez que le compte d'utilisateur a t cr.
Scnario
Application pratique
23
24
Cette leon dcrit le rle des suffixes UPN (User Principal Names). Elle
explique comment un suffixe UPN est achemin dans un environnement
approuv et comment crer, supprimer, activer, dsactiver et exclure le routage
des suffixes de noms dans des approbations entre forts.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
25
Dans un rseau Windows Server 2003, un utilisateur peut ouvrir une session
l'aide d'un nom d'utilisateur principal ou d'un nom d'ouverture de session
d'utilisateur (Windows NT 4.0 et ultrieur). Les contrleurs de domaine peuvent
utiliser le nom d'utilisateur principal ou le nom d'ouverture de session de
l'utilisateur pour authentifier la requte d'ouverture de session.
Un nom d'utilisateur principal est un nom d'ouverture de session qui est utilis
uniquement pour ouvrir une session sur un rseau Windows Server 2003.
Ce nom est galement appel nom d'ouverture de session de l'utilisateur.
Le nom d'utilisateur principal se compose de deux parties spares par le
signe @, par exemple laurab@contoso.msft :
Avantages lis
l'utilisation du nom
d'utilisateur principal
le prfixe du nom d'utilisateur principal qui, dans cet exemple, est laurab ;
26
le nom complet doit tre unique dans le conteneur dans lequel vous crez le
compte d'utilisateur ; le nom complet est utilis comme nom unique ;
27
Objectifs
Points cls
28
Lorsque deux forts Windows Server 2003 sont relies par une approbation de
fort, un suffixe de nom de second niveau ou un suffixe UPN qui existe dans l'une
des forts peut entrer en collision avec un suffixe de nom similaire dans la
deuxime fort. Grce la dtection de collisions, l'Assistant Nouvelle
approbation garantit qu'une seule fort fait autorit pour un suffixe de nom donn.
Supposons, par exemple, que vous souhaitiez tablir une approbation de fort
bidirectionnelle entre les forts contoso.com et fabrikam.com. Les forts
contoso.com et fabrikam.com ont le mme suffixe UPN : nwtraders.msft.
Lorsque vous crez l'approbation de fort bidirectionnelle, l'Assistant Nouvelle
approbation dtecte et affiche le conflit entre les deux suffixes de noms UPN.
29
30
Procdure de
suppression d'un
suffixe UPN
31
Procdure
32
33
Dans cette application pratique, vous allez crer un suffixe de nom pour un
domaine de second niveau, puis vous activerez le routage du suffixe de nom
entre deux forts.
Scnario
Application pratique
34
2. Activez le routage des nouveaux suffixes de noms que vous avez crs dans
la fort nwtraders.msft.
a. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Se
connecter au contrleur de domaine.
b. Dans la bote de dialogue Se connecter au contrleur de domaine,
dans la zone Domaine, tapez nwtraders.msft.
c. Cliquez sur OK, puis sur Oui.
d. Dans l'arborescence de la console, cliquez avec le bouton droit sur
nwtraders.msft, puis cliquez sur Proprits.
e. Sous l'onglet Approbations, sous Domaines qui approuvent ce
domaine (approbations entrantes), cliquez sur nwtradersx.msft,
sur Proprits, puis sur l'onglet Routage des suffixes de noms.
f. Dans la bote de dialogue Active Directory, tapez le nom d'utilisateur
Administrateur et le mot de passe P@ssw0rd, puis cliquez sur OK.
g. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms
dans la fort nwtradersx, cliquez sur Votre_Prnom.msft, sur Activer,
puis cliquez deux fois sur OK.
35
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
36
Lorsque vous dplacez un objet Active Directory, tel qu'un compte d'utilisateur,
les principes de scurit associs cet objet sont galement dplacs. Active
Directory assure un suivi de ces principes de scurit dans une liste intitule
Historique SID.
37
Pour que l'historique SID soit activ, le niveau fonctionnel du domaine doit tre
dfini sur Windows 2000 natif ou Windows Server 2003. L'historique SID est
dsactiv si le niveau fonctionnel est dfini sur Windows 2000 mixte. Lorsqu'un
objet est dplac au sein d'un domaine, le SID ou l'identificateur unique global
(GUID, Globally Unique IDentifier) ne subissent aucune modification. Lorsque
vous dplacez un objet sur plusieurs domaines d'une mme fort, Active
Directory affecte un nouveau SID l'objet mais conserve son GUID.
Implications sur la
scurit d'un
historique SID
38
les comptes d'utilisateurs qui ont des privilges administratifs pour l'unit
d'organisation vers laquelle le compte est dplac peuvent grer les
proprits du compte d'utilisateur dplac ;
39
Procdure
40
Utilisez l'outil de migration Active Directory dans Windows Server 2003 pour
dplacer des objets entre domaines d'une mme fort ou entre domaines situs
dans des forts diffrentes.
Procdure
Pour migrer des utilisateurs ou des groupes d'un domaine vers un autre,
procdez comme suit :
1. Excutez l'outil de migration Active Directory.
Remarque L'outil de migration Active Directory n'est pas install par
dfaut. Vous pouvez l'installer partir du dossier \i386\ADMT sur le
CD-ROM Windows Server 2003.
2. Cliquez avec le bouton droit sur Outil de migration Active Directory, puis
slectionnez l'Assistant pour l'objet que vous souhaitez migrer.
Par exemple, pour dplacer un compte d'utilisateur, cliquez sur Assistant
Migration des comptes d'utilisateurs.
3. Dans la page Bienvenue, cliquez sur Suivant.
4. Effectuez une migration test en procdant comme suit :
a. Dans la page Tester ou effectuer des changements, cliquez sur Tester
les paramtres de migration et effectuer celle-ci ultrieurement, puis
cliquez sur Suivant.
b. Dans la page Slection du domaine, slectionnez les domaines source et
cible, puis cliquez sur Suivant.
c. Dans la page Slection de l'utilisateur, cliquez sur Ajouter, tapez le
nom de l'objet, cliquez sur OK, puis sur Suivant.
d. Dans la page Slection de l'unit d'organisation, cliquez sur Parcourir,
slectionnez le conteneur cible, cliquez sur OK, puis sur Suivant.
41
42
Aprs avoir dplac un utilisateur, un groupe ou un autre objet, vrifiez que ses
proprits ont t correctement mises jour. Par exemple, vrifiez les proprits
SID et Historique SID de l'objet. Pour afficher ces informations, utilisez
Ldp.exe. Vous devez installer les outils de support de Windows depuis le
dossier \Support\Tools sur le CD-ROM Windows Server 2003 avant de pouvoir
utiliser Ldp.exe.
Procdure
Pour afficher les proprits d'un objet dplac, procdez comme suit :
1. Cliquez sur Dmarrer, sur Excuter, tapez ldp et cliquez sur OK.
2. Dans la bote de dialogue Ldap, dans le menu Connection, cliquez sur
Connect.
3. Dans la bote de dialogue Connect, dans la zone Server, tapez le nom de
votre serveur, puis cliquez sur OK.
4. Dans la fentre Ldap, dans le menu Connection, cliquez sur Bind.
5. Dans la bote de dialogue Bind, tapez le nom d'utilisateur Administrateur,
le mot de passe de l'administrateur et le nom du domaine que vous souhaitez
examiner, puis cliquez sur OK.
6. Dans le menu View, cliquez sur Tree.
7. Dans la bote de dialogue Tree View, dans la liste BaseDN, slectionnez le
nom de domaine appropri dans la liste, puis cliquez sur OK.
8. Dans l'arborescence de la console, double-cliquez sur l'objet dont vous
souhaitez afficher les proprits.
9. Dans le volet d'informations, observez les proprits de l'objet.
43
Dans cette application pratique, vous allez effectuer les tches suivantes :
!
Scnario
Application pratique
44
45
Cette leon prsente des instructions pour planifier une stratgie de compte
d'utilisateur et d'ordinateur. Une stratgie de compte bien planifie permet
d'empcher une violation de la scurit dans votre rseau.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
46
Lors de la cration d'une stratgie de compte pour les forts et les domaines
situs dans le rseau de votre organisation, vous devez dfinir des conventions
d'attribution de noms de comptes.
Instructions
Envisagez d'utiliser :
des prfixes ou suffixes pour identifier des comptes d'utilisateurs
spciaux, tels que des fournisseurs, du personnel temps partiel et des
comptes de services ;
un autre nom de domaine pour que le suffixe UPN augmente la scurit
des sessions et simplifie les noms d'ouverture de session.
Par exemple, si votre organisation possde une arborescence de
domaine profonde qui est organise par dpartement et rgion, les
noms de domaines peuvent tre assez longs. Le suffixe UPN par
dfaut pour un utilisateur dans ce domaine peut donc tre
ventes.exemple.nwtraders.msft. Le nom d'ouverture de session d'une
utilisatrice nomme Suzanne Duprez dans ce domaine peut alors tre
SDuprez@ventes.exemple.nwtraders.msft. Cependant, si vous crez le
suffixe nwtraders ou nwtraders.msft, un utilisateur peut ouvrir une
session en ajoutant le nom d'ouverture de session le plus simple
SDuprez@nwtraders ou SDuprez@nwtraders.msft. Il n'est pas
ncessaire que ces autres suffixes UPN soient un nom DNS valide.
!
Exemple
SuzanneD1
Emplacement ou abrviation
RED ou Redmond
SVR ou serveur
Exemple
Type de groupe
Emplacement du groupe
Rle du groupe
47
48
Le rle des mots de passe dans la scurit du rseau d'une organisation est bien
souvent sous-estim et nglig. Les mots de passe constituent la premire ligne
de dfense en cas d'accs non autoris votre organisation.
La famille Windows Server 2003 inclut une nouvelle fonctionnalit qui vrifie
la complexit du mot de passe pour le compte Administrateur. Si le mot de
passe est vide ou ne rpond pas aux conditions de complexit, la bote de
dialogue Installation de Windows apparat et vous informe des dangers lis
la non-utilisation d'un mot de passe fort pour le compte Administrateur. Si vous
ne renseignez pas de mot de passe, le compte est inaccessible sur le rseau.
Instructions
Une stratgie de mot de passe assure que chaque utilisateur respecte les
instructions de mot de passe que vous dterminez comme approprie pour votre
organisation. Dfinissez les lments suivants d'une stratgie de mot de passe :
!
49
50
Valeur
42 jours
2 jours
8 caractres
Activ
Dsactiv
Conseil Si vous crez un domaine racine dans votre fort dans le but de placer
des comptes administrateur, envisagez d'exiger des paramtres de stratgie de
mot de passe plus stricts sur ce domaine que sur le domaine de votre compte.
Par exemple, envisagez d'exiger une dure de vie maximale du mot de passe de
30 jours, une dure de vie minimale du mot de passe de 7 jours et une longueur
minimale de 14 caractres.
51
Instructions
52
Utilisez des groupes de scurit bass sur la stratgie C-G-U-LD-A (A-GU-DL-P, en anglais). Cette stratgie procure une souplesse maximale tout
en rduisant la complexit de l'affectation des autorisations d'accs au
rseau. Implmentez galement un modle de scurit bas sur le rle pour
accorder les autorisations. Dans le domaine de la stratgie C-G-U-LD-A :
les comptes d'utilisateurs (C) sont ajouts aux groupes globaux (G) ;
les groupes globaux sont ajouts aux groupes universels (U) ;
les groupes universels sont ajouts aux groupes locaux de
domaine (LD) ;
les autorisations sur les ressources (A) sont affectes aux groupes locaux
de domaine.
53
Instructions
Ajoutez aux groupes locaux de domaine des groupes globaux qui exigent un
accs aux ressources. Lorsque vous souhaitez partager une ressource sur un
domaine entre plusieurs groupes globaux, ajoutez ces groupes globaux au
groupe local de domaine qui accorde l'accs la ressource partage.
Utilisez des groupes universels pour accorder l'accs aux ressources situes
dans plusieurs domaines. Si des comptes d'utilisateurs exigent d'accder
aux partages de fichier situs dans un domaine diffrent des comptes
d'utilisateurs, crez un groupe universel pour ces utilisateurs et accordez
l'accs au groupe universel pour ces partages de fichiers.
54
Description
Emplacement
Type
Membres
U RedAccts
Comptables
Domaine
Redmond
Groupe
universel
G LonAccts
G VanAccts
G DenAccts
55
Scnario
Dans cette application pratique, vous allez effectuer les tches suivantes :
!
56
Application pratique
24 mots de passe
mmoriss
42 jours
2 jours
8 caractres
Activ
Dsactiv
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
57
24 mots de passe
mmoriss
30 jours
7 jours
14 caractres
Activ
Dsactiv
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
4. Que comprendra votre stratgie d'authentification, d'autorisation et
d'administration ?
Votre stratgie devra se conformer aux indications suivantes :
Dfinissez une stratgie de verrouillage de compte qui verrouille les
comptes d'utilisateurs pendant 30 minutes aprs sept tentatives
d'ouverture de session infructueuses.
Exigez que les administrateurs ouvrent une session l'aide d'un
compte d'utilisateur normal et qu'ils effectuent toutes les tches
d'administration l'aide de la commande runas.
Exigez une authentification par carte puce pour tout accs distant
votre rseau.
Renommez et dsactivez le compte Administrateur dans chaque
domaine.
Implmentez un modle de scurit bas sur le rle lors de la
planification des groupes.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
58
59
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
60
Rle de l'audit
d'Active Directory
61
Pour auditer des modifications apportes, avec succs ou non, des objets ou
attributs Active Directory, vous devez activer l'audit des services d'annuaire sur
tous les contrleurs de domaine et configurer une liste SACL (System Access
Control List) pour chaque objet ou attribut que vous souhaitez auditer.
62
Des audits russis gnrent une entre d'audit lorsqu'un vnement de gestion
des comptes s'excute avec succs. Mme si les vnements de gestion des
comptes russis sont gnralement inoffensifs, ils fournissent un enregistrement
inestimable d'activits pouvant compromettre la scurit d'un rseau.
Instructions
63
Attention L'activation des audits des checs pour ces vnements peut
reprsenter un risque pour votre organisation. Si des utilisateurs tentent
d'accder une ressource pour laquelle ils n'ont pas d'autorisation, ils peuvent
crer tant d'audits des checs que le journal de scurit devient rapidement
plein. L'ordinateur ne peut alors plus collecter d'audits. Si le paramtre de
stratgie Audit : arrter immdiatement le systme s'il n'est pas possible
de se connecter aux audits de scurit est activ, les serveurs se fermeront
lorsque le journal sera plein. Si tel est le cas, des intrus peuvent lancer une
attaque de refus de service en utilisant votre stratgie d'audit.
Remarque Pour plus d'informations sur l'activation d'un audit, consultez le
Module 10, Implmentation de modles d'administration et d'une stratgie
d'audit , du cours 2144, Administration d'un environnement Microsoft
Windows Server 2003.
64
Dans cette application pratique, vous allez dterminer les stratgies d'audit
activer pour Active Directory.
Scnario
Vous devez planifier une stratgie d'audit pour Northwind Traders, qui compte
1000 utilisateurs dans une fort Active Directory. Votre fort se compose d'un
domaine racine vide nomm nwtraders.msft et d'un domaine enfant nomm
corp.nwtraders.msft qui contient tous vos groupes de comptes et d'utilisateurs.
Application pratique
65
Connaissances
pralables
Scnario
Dure approximative
de cet atelier :
60 minutes
la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!
dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort.
66
Exercice 1
Planification d'une stratgie de compte et d'audit
Dans cet exercice, vous allez planifier une stratgie d'attribution de nom de compte pour la nouvelle
fort de Northwind Traders. Utilisez les instructions fournies par l'quipe d'ingnierie et de
conception.
Scnario
La nouvelle fort se composera d'un domaine racine vide nomm nwtraders.msft et d'un domaine
enfant nomm corp.nwtraders.msft qui contiendra tous vos comptes d'utilisateurs. La socit possde
des bureaux dans sept villes.
Votre stratgie de compte et d'audit devra tenir compte des conditions suivantes :
!
La stratgie d'attribution de nom des comptes d'utilisateurs doit permettre aux employs qui ne
connaissent que le prnom et le nom de famille d'un autre utilisateur de dterminer facilement
l'adresse lectronique de celui-ci.
La stratgie d'attribution de nom des comptes d'ordinateurs doit permettre aux employs
d'identifier facilement l'emplacement et le rle d'un ordinateur.
La stratgie d'audit doit tre capable de dtecter les tentatives de modification et les
modifications non autorises d'Active Directory.
Tches
1.
Planifier une stratgie d'attribution de nom de compte d'utilisateur pour la fort nwtraders.msft.
De quoi se composeront les noms de compte d'utilisateur ?
Quelle stratgie allez-vous utiliser pour rsoudre des conflits de noms de comptes d'utilisateurs ?
Tches
2.
Planifier une stratgie d'attribution de nom de compte d'ordinateur pour la fort nwtraders.msft.
Quelle convention d'attribution de nom allez-vous utiliser pour les comptes de serveurs ?
Quelle convention d'attribution de nom allez-vous utiliser pour les ordinateurs clients ?
3.
4.
67
68
Exercice 2
Cration de comptes l'aide de l'outil Csvde
Dans cet exercice, vous allez utiliser l'outil de ligne de commande Csvde pour importer plusieurs
comptes dans Active Directory partir d'un fichier d'importation .csv cr pour vous l'aide de
Microsoft Excel.
Scnario
En tant qu'administrateur chez Northwind Traders, vous recevez quotidiennement des requtes pour
de nouveaux comptes d'utilisateurs. Un membre de l'quipe entre les requtes dans une feuille de
calcul, qui est enregistre dans un format valeurs spares par des virgules, galement appel
format .csv (Comma Separated Value). Au dbut de chaque journe de travail, vous tes charg
d'importer ce fichier dans Active Directory pour crer les comptes d'utilisateurs.
Tches
1.
2.
Utiliser la console
Utilisateurs et ordinateurs
Active Directory pour
dterminer les units
d'organisation, utilisateurs et
groupes nouvellement crs.
Instructions spcifiques
"
Le nom du fichier .csv est le mme que celui du domaine hberg par
votre ordinateur. Ce fichier se trouve dans le dossier <dossier
d'installation>MOC\2194\Labfiles\Lab4 sur votre ordinateur.
Parmi les nouvelles units d'organisation, lesquelles contiennent des comptes d'utilisateurs et de groupes ?
69
Exercice 3
Cration d'un suffixe UPN
Dans cet exercice, vous allez crer un suffixe UPN, puis rsoudre un conflit de routage de suffixe
UPN entre deux forts.
Scnario
Des utilisateurs de votre domaine ont demand pouvoir ouvrir une session sur leur domaine
l'aide d'un suffixe compos uniquement du nom de la ville dans laquelle ils se trouvent. Vous allez
crer ce suffixe UPN dans votre fort pour votre ville.
Tches
1.
Instructions spcifiques
a.
Activer le routage du
nouveau suffixe UPN vers
la fort nwtraders.msft.
Quel est l'tat du suffixe UPN Votre_Ville aprs l'avoir activ ?
70
Exercice 4
Dplacement d'un groupe d'utilisateurs
Dans cet exercice, vous allez accorder des autorisations de groupes globaux un dossier partag sur
votre serveur. Vous allez ensuite dplacer le groupe et ses membres vers une unit d'organisation
situe dans l'autre domaine de votre fort. Enfin, vous allez vrifier que le groupe dplac possde
encore les autorisations sur le dossier partag sur votre serveur.
Scnario
Suite une rcente rorganisation chez Northwind Traders, un groupe d'utilisateurs est mut sur
un autre site. Ce dplacement affecte galement Active Directory car le groupe et ses comptes
d'utilisateurs doivent tre dplacs vers un autre emplacement de la fort. Il faudra compter
plusieurs mois pour que les serveurs qui contiennent les donnes des utilisateurs puissent tre
dplacs. Vous devez vous assurer que les utilisateurs peuvent toujours accder leurs fichiers
aprs le dplacement de leurs comptes.
Tches
1.
2.
Instructions spcifiques
a.
3.
a.
71
Tches
4.
5.
"
"
Quels sont les lments rpertoris pour les entres objectGUID, objectSID et sIDHistory du groupe
global G IT Admins ?
L'une des entres objectGUID, ObjectSID ou sIDHistory a-t-elle t modifie suite au dplacement ?
6.
Utiliser l'Explorateur
Windows pour afficher les
autorisations affectes au
dossier ITAdmin que vous
avez cr et partag
l'tape 1.
Est-ce que le groupe auquel vous avez accord les autorisations pour ce dossier l'tape 1 possde toujours
des autorisations Contrle total sur le dossier ? Expliquez pourquoi.
Module 5 :
Implmentation d'une
stratgie de groupe
Table des matires
Vue d'ensemble
19
32
47
56
66
74
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
180 minutes
Atelier :
75 minutes
Documents de cours
raliser l'atelier ;
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
iv
Procdures
Les procdures vous permettent de montrer comment effectuer une tche.
Les stagiaires n'effectuent pas les tches en mme temps que vous. Ils se
servent des tapes dcrites pour effectuer l'application pratique la fin de
chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
vi
vii
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!
Vue d'ensemble
Objectifs
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
Types de paramtres
dcrire les types de paramtres que vous pouvez dfinir dans une stratgie
de groupe ;
dcrire la faon dont Windows Server 2003 applique des objets Stratgie de
groupe.
Vous pouvez configurer des paramtres de stratgie de groupe pour dfinir les
stratgies affectant les utilisateurs et les ordinateurs. Le tableau suivant prsente
les types de paramtres que vous pouvez configurer.
Type de paramtre
Description
Modles d'administration
Scripts
Services d'installation
distance
Maintenance Internet
Explorer
Description
Redirection de dossiers
Scurit
Installation de logiciels
Flux d'hritage
Les objets Stratgie de groupe sont lis des sites, domaines et units
d'organisation. Vous pouvez dfinir des stratgies centralises qui vont affecter
l'organisation entire et des stratgies dcentralises qui affecteront un service
particulier. Il n'existe pas de hirarchie de domaines comme pour les units
d'organisation, avec les units parent-enfant.
Ordre de traitement
des objets Stratgie
de groupe
L'ordre dans lequel Windows Server 2003 applique des objets Stratgie de
groupe est fonction du conteneur Active Directory auquel les objets Stratgie de
groupe sont lis. Windows Server 2003 applique d'abord les objets au site, puis
aux domaines, et enfin aux units d'organisation des domaines.
Blocage de l'hritage
Vous pouvez empcher un conteneur enfant d'hriter de tous les objets Stratgie
de groupe de ses conteneurs parents en activant le blocage de l'hritage pour
le conteneur enfant. Le blocage de l'hritage peut s'avrer utile lorsqu'un
conteneur Active Directory requiert des paramtres de stratgie de groupe
uniques.
Option Appliqu
Vous pouvez avoir besoin de lier des objets Stratgie de groupe associs
d'autres objets d'annuaire. En dfinissant les autorisations appropries pour les
groupes de scurit, vous pouvez filtrer la stratgie de groupe pour qu'elle
s'applique uniquement aux ordinateurs et utilisateurs spcifis.
Console Gestion de
stratgie de groupe
Conteneur Stratgie
de groupe
Modle Stratgie
de groupe
Pourquoi slectionner
un contrleur de
domaine particulier ?
mulateur PDC
Options de slection
d'un contrleur de
domaine
10
Procdure
11
Utilisez des filtres WMI pour dterminer de faon dynamique l'tendue des
objets Stratgie de groupe partir des attributs de l'utilisateur ou de l'ordinateur.
De cette faon, vous pouvez tendre les capacits de filtrage des objets Stratgie
de groupe au-del des mcanismes de filtrage des groupes de scurit qui
taient prcdemment disponibles.
Comment fonctionne
un filtre WMI ?
Utilisations des
filtres WMI
Vous pouvez utiliser des filtres WMI pour cibler des stratgies bases sur
diffrents objets du rseau. La liste ci-dessous fournit quelques exemples
d'utilisations de filtres WMI.
!
12
Pour les ordinateurs clients excutant Windows 2000, Active Directory ignore
les filtres WMI et applique toujours l'objet Stratgie de groupe.
Remarque Pour plus d'informations sur les filtres WMI, reportez-vous la
section Dfinition des filtres WMI de la page d'annexe du module 5 sur le
CD-ROM du stagiaire.
13
Vous pouvez crer de nouveaux filtres WMI partir du conteneur Filtres WMI
de la console Gestion de stratgie de groupe. Vous pouvez galement importer
un filtre qui a t prcdemment export.
Procdure
14
Exemple de
requte WQL
15
Par dfaut, les objets Stratgie de groupe d'un utilisateur dterminent les
paramtres appliquer lorsque l'utilisateur ouvre une session sur un ordinateur.
En revanche, le traitement par boucle de rappel applique l'ensemble des objets
Stratgie de groupe de l'ordinateur tout utilisateur qui ouvre une session sur
l'ordinateur affect par ce paramtre. Le traitement par boucle de rappel est
destin des ordinateurs usage spcial, tels que ceux des endroits publics,
des laboratoires et des classes, o il faut modifier le paramtre utilisateur en
fonction de l'ordinateur utilis.
Exemple
Modes de traitement
par boucle de rappel
Le traitement par boucle de rappel peut tre excut selon deux modes :
!
16
Procdure
17
Scnario
Application pratique :
Installation de la
console Gestion de
stratgie de groupe
18
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
19
20
Ordre d'application de
la stratgie de groupe
21
4. Les scripts de dmarrage s'excutent. Par dfaut, les scripts sont masqus et
synchrones. Chaque script doit se terminer ou son dlai d'excution doit tre
coul pour que le suivant puisse dmarrer. Le dlai d'attente par dfaut est
de 600 secondes. Vous pouvez utiliser les paramtres de stratgie de groupe
pour modifier la valeur de ce paramtre.
Remarque Vous pouvez rgler la valeur du dlai d'attente en configurant le
temps d'attente dans Dlai d'attente maximal pour les scripts de stratgie
de groupe sous Configuration de l'ordinateur\Modles d'administration\
Systme\Scripts\. Ce paramtre affecte tous les scripts qui s'excutent.
5. L'utilisateur appuie sur la combinaison de touches CTRL-ALT-SUPPR pour
ouvrir une session.
6. Une fois que Windows Server 2003 a valid l'utilisateur, il charge le profil
utilisateur, lequel est contrl par les paramtres de stratgie de groupe en
vigueur.
7. Windows Server 2003 obtient la liste classe des objets Stratgie de groupe
pour l'utilisateur. Cette liste dpend des facteurs suivants :
L'utilisateur fait-il partie d'un domaine ? Dans ce cas, il est sujet la
stratgie de groupe via Active Directory.
Le traitement par boucle de rappel est-il activ ? Quel est l'tat du
paramtre de stratgie de bouclage ?
L'emplacement de l'utilisateur dans Active Directory.
La liste des objets Stratgie de groupe a-t-elle t modifie ?
8. Windows Server 2003 applique la stratgie de l'utilisateur, laquelle inclut les
paramtres se trouvant sous Configuration utilisateur dans la liste obtenue.
Ces paramtres sont synchrones par dfaut, et s'affichent dans l'ordre
suivant : local, domaine, unit d'organisation, unit d'organisation enfant.
Aucune interface utilisateur n'apparat lors du traitement des stratgies de
l'utilisateur.
9. Les scripts d'ouverture de session s'excutent. Par dfaut, ces scripts bass
sur la stratgie de groupe sont masqus et asynchrones.
10. L'interface utilisateur du systme d'exploitation prescrite par la stratgie de
groupe s'affiche.
Intervalle d'actualisation
utilisateur ou ordinateur
22
Procdure de copie
d'un script
Procdure d'ajout
du script
23
24
Stratgie de groupe
et liaisons lentes
Le tableau suivant rpertorie les paramtres par dfaut pour le traitement des
liaisons lentes.
Traitement des
liaisons lentes
Actualis
Modification
possible ?
Traitement de la stratgie du
Registre
Actif
Actif
Non
Traitement de la stratgie de
maintenance Internet Explorer
Inactif
Actif
Oui
Traitement de la stratgie
d~installation de logiciels
Inactif
N/A
Oui
Traitement de la stratgie de
redirection de dossiers
Inactif
N/A
Oui
Inactif
Actif
Oui
Traitement de la stratgie de
scurit
Actif
Actif
Non
Extension ct client
25
(suite)
Traitement des
liaisons lentes
Actualis
Modification
possible ?
Traitement de la stratgie de
scurit IP
Inactif
Actif
Oui
Inactif
Actif
Oui
Traitement de la stratgie de
rcupration ESF
Actif
Actif
Oui
Inactif
Actif
Oui
Extension ct client
Procdure
26
Vous pouvez modifier les frquences d'actualisation par dfaut en modifiant les
paramtres de modle d'administration pour une configuration utilisateur ou
ordinateur.
Intervalles
d'actualisation
par dfaut
Intervalle d'actualisation
Ordinateurs excutant
Windows XP Professionnel et
serveurs membres d'un
domaine excutant Windows
Server 2003
Contrleurs de domaine
Procdure
27
28
Procdure
Description
/target:{ordinateur|
utilisateur}
/force
/wait:valeur
Spcifie le dlai d'attente (en secondes) avant que la stratgie ne se termine. La valeur
par dfaut est de 600 secondes. La valeur 0 signifie aucune attente ; -1 correspond
une attente indfinie.
/logoff
Description
/boot
29
30
Scnario
Application pratique
31
32
Vous utilisez la console Gestion de stratgie de groupe pour grer les objets
Stratgie de groupe, savoir pour copier un objet Stratgie de groupe un autre
emplacement, sauvegarder un objet Stratgie de groupe, restaurer un objet
Stratgie de groupe partir de la sauvegarde, ou encore importer dans un objet
Stratgie de groupe les paramtres d'un autre objet Stratgie de groupe.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Comportement de
mappage d'une
opration de copie
Lorsque vous copiez un objet Stratgie de groupe d'un domaine vers un autre,
vous devez spcifier le comportement du mappage des entits de scurit pour
l'opration de copie. La console Gestion de stratgie de groupe offre deux
techniques de mappage pour la copie des objets Stratgie de groupe :
!
Pour utiliser l'une ou l'autre de ces mthodes, des rfrences aux entits de
scurit et des chemins UNC (Universal Naming Convention) doivent figurer
dans l'objet Stratgie de groupe source.
Dfinition du mappage
des entits de scurit
Lorsque vous copiez des objets Stratgie de groupe dans des domaines ou des
forts, la console Gestion de stratgie de groupe peut effectuer un mappage
des entits de scurit. C'est--dire qu'elle peut modifier les paramtres se
rapportant aux entits de scurit en convertissant les valeurs de ces entits
en fonction du nouvel objet Stratgie de groupe.
33
34
35
Procdure
36
iii. Dans la page Analyse en cours de l'objet GPO original, cliquez sur
Suivant.
Si l'objet Stratgie de groupe source contient des rfrences aux
entits de scurit et aux chemins UNC, vous verrez s'afficher la
fentre mentionne l'tape suivante. Sinon, passez l'tape v.
iv. Dans la page Migration des rfrences, slectionnez Effectuant
une copie identique partir de la source ou Utilisant cette table
de migration pour le mappage dans l'objet de stratgie de groupe
cible, slectionnez la table de migration dans la liste, puis cliquez sur
Suivant.
v. Dans la page Fin de l'Assistant Copie entre domaines, cliquez sur
Terminer.
vi. Une fois l'opration de copie termine, cliquez sur OK.
Remarque Certaines de ces tapes peuvent ne pas s'afficher si vous copiez
un objet Stratgie de groupe dans le mme domaine.
37
Comment stocker
une sauvegarde
Description de la sauvegarde
Nom de domaine
38
Procdure
39
40
Procdure de
restauration d'une
version antrieure
d'un objet Stratgie
de groupe
Pour restaurer une version antrieure d'un objet Stratgie de groupe existant,
procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort
contenant l'objet Stratgie de groupe restaurer, dveloppez successivement
Domaines, le domaine contenant l'objet Stratgie de groupe, Objets de
stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie
de groupe puis cliquez sur Grer les sauvegardes.
2. Dans la bote de dialogue Gestion des sauvegardes, slectionnez l'objet
Stratgie de groupe sauvegard restaurer, puis cliquez sur Restaurer.
3. Lorsque vous tes invit restaurer la sauvegarde slectionne, cliquez
sur OK.
4. Dans la bote de dialogue Restaurer, cliquez sur OK une fois la
restauration termine.
5. Dans la bote de dialogue Gestion des sauvegardes, slectionnez un autre
objet Stratgie de groupe restaurer ou cliquez sur Fermer pour terminer
l'opration de restauration.
Procdure de
restauration d'un objet
Stratgie de groupe
supprim
41
Pour restaurer un objet Stratgie de groupe supprim qui figure dans la liste
des Objets Stratgie de groupe, effectuez l'une des oprations suivantes :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez
successivement la fort contenant l'objet Stratgie de groupe restaurer,
Domaines, puis le domaine contenant l'objet Stratgie de groupe.
2. Cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Grer les sauvegardes.
3. Dans la bote de dialogue Gestion des sauvegardes, cliquez sur Parcourir,
recherchez le systme de fichiers contenant l'objet Stratgie de groupe
supprim, slectionnez l'objet, cliquez sur Restaurer, puis cliquez sur OK
pour confirmer l'opration de restauration.
42
Spcifiez une table de migration afin d'tre certain que le chemin UNC de
l'objet Stratgie de groupe est correctement mapp sur le chemin UNC de l'objet
Stratgie de groupe de destination. Indiquez le chemin d'accs la table de
migration approprie lorsque vous importez des paramtres de stratgie de
groupe d'un domaine dans un autre. Si vous spcifiez une table de migration,
vous devez spcifier le comportement de mappage du chemin UNC.
Si vous n'activez pas la case cocher Utiliser exclusivement la table de
migration, vous devez spcifier le comportement de mappage pour les entits
de scurit qui ne figurent pas dans la table de migration.
Si vous ne spcifiez pas de table de migration, toutes les entits de scurit sont
mappes en fonction du comportement que vous spcifiez.
43
Pour importer des paramtres dans un objet Stratgie de groupe, vous devez
disposer des autorisations de modification de cet objet.
Procdure
44
45
Dans cette application pratique, vous allez copier un objet Stratgie de groupe,
crer une sauvegarde de cet objet, supprimer la copie sauvegarde, puis la
restaurer.
Scnario
Application pratique :
Copie d'un objet
Stratgie de groupe
46
Application pratique :
Sauvegarde d'un objet
Stratgie de groupe
Application pratique :
Restauration d'un objet
Stratgie de groupe
47
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
48
Dans la plupart des cas, un paramtre de stratgie de groupe n'est pas appliqu
comme prvu parce qu'un autre objet Stratgie de groupe contient une valeur
conflictuelle pour le mme paramtre. L'objet Stratgie de groupe est prioritaire
en raison du filtrage, Blocage de l'hritage, Appliqu ou de l'ordre d'application.
Utilisez l'Assistant Modlisation de stratgie de groupe ou l'Assistant Rsultats
de stratgie de groupe pour dterminer l'objet Stratgie de groupe utilis pour le
paramtre.
Symptmes, cause
et rsolution
Le tableau suivant rpertorie certains des symptmes courants, ainsi que les
mthodes de rsolution possibles.
Symptme
Rsolution
49
(suite)
Symptme
Rsolution
50
Procdure de cration
d'une requte de
modlisation de
stratgie de groupe
Procdure d'affichage
de la requte de
modlisation de
stratgie de groupe
51
52
Procdure de cration
d'une requte Rsultats
de stratgie de groupe
Pour crer une requte Rsultats de stratgie de groupe, procdez comme suit :
1. Dans la console Gestion de stratgie de groupe, accdez Rsultats de
stratgie de groupe, cliquez avec le bouton droit sur Rsultats de stratgie
de groupe, puis cliquez sur Assistant Rsultats de stratgie de groupe.
2. Dans la page Assistant Rsultats de stratgie de groupe, cliquez sur
Suivant.
3. Dans la page Slection des ordinateurs, slectionnez l'ordinateur actuel ou
cliquez sur Parcourir pour slectionner un autre ordinateur, puis cliquez sur
Suivant.
4. Dans la page Slection de l'utilisateur, slectionnez l'utilisateur actuel ou
spcifiez un utilisateur, puis cliquez sur Suivant.
5. Dans la page Aperu des slections, vrifiez les slections effectues, puis
cliquez sur Suivant.
6. Dans la page Fin de l'Assistant Rsultats de stratgie de groupe, cliquez
sur Terminer.
Procdure d'affichage
de la requte des
Rsultats de stratgie
de groupe
53
54
Dans cette application pratique, vous allez vrifier les paramtres de stratgie
de groupe l'aide de l'Assistant Modlisation de stratgie de groupe.
Scnario
Vous souhaitez vrifier que les paramtres de stratgie de groupe que vous
prvoyez de dployer chez Northwind Traders (y compris les paramtres
utilisateur et ordinateur de votre domaine) seront appliqus et fiables. Vous
dcidez d'utiliser la console Gestion de stratgie de groupe pour vrifier les
paramtres.
Application pratique
55
56
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
57
Vous pouvez dlguer la capacit de crer des objets Stratgie de groupe dans
un domaine et d'affecter des autorisations sur un objet Stratgie de groupe
individuel l'aide de la console Gestion de stratgie de groupe.
Dlguer la capacit
de crer des objets
Stratgie de groupe
Par dfaut, la capacit de crer des objets Stratgie de groupe est attribue au
groupe Propritaires crateurs de la stratgie de groupe. Vous pouvez cependant
dlguer ce pouvoir tout groupe ou utilisateur de deux faons diffrentes :
58
Dlguer des
autorisations sur un
objet Stratgie de
groupe individuel
Vous pouvez galement grer les autorisations sur l'objet Stratgie de groupe au
niveau des tches. Les cinq catgories suivantes sont des autorisations Autoriser
sur un objet Stratgie de groupe.
!
Lecture
Paramtres personnaliss
59
Dlguer la capacit de
lier des objets Stratgie
de groupe
Dlguer des
autorisations pour
la Modlisation de
stratgie de groupe
60
Dlguer des
autorisations pour les
Rsultats de stratgie
de groupe
Vous pouvez utiliser les Rsultats de stratgie de groupe pour lire les donnes
d'enregistrement RSoP pour des objets du domaine ou de l'unit d'organisation.
Comme dans le cas de la Gestion de stratgie de groupe, vous pouvez dlguer
cette autorisation d'autres utilisateurs ou groupes. Les autorisations sont
dlgues sur un domaine ou une unit d'organisation. Les utilisateurs disposant
de cette autorisation peuvent lire les donnes des Rsultats de stratgie de
groupe pour tout objet de ce conteneur. Cette dlgation affecte galement
l'utilisateur ou au groupe l'autorisation Gnrer Jeu de stratgie rsultant
(Enregistrement), laquelle est disponible dans toute fort dote du schma
Windows Server 2003.
La console Gestion de stratgie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous l'onglet Dlgation du domaine ou de
l'unit d'organisation. L'administrateur peut slectionner Lire les donnes du
rsultat de la stratgie, puis slectionner les utilisateurs et groupes auxquels
accorder cette autorisation.
61
Vous pouvez dlguer la capacit de crer des filtres WMI dans un domaine et
affecter des autorisations sur ces filtres.
Dlguer la capacit de
crer des filtres WMI
Vous crez des filtres WMI dans le conteneur Filtres WMI de la console
Gestion de stratgie de groupe. Lorsque vous crez un nouveau filtre WMI,
Active Directory stocke celui-ci dans le conteneur WMIPolicy du conteneur
System du domaine. Les autorisations sur le conteneur WMIPolicy dterminent
les autorisations d'un utilisateur pour crer, modifier et supprimer des
filtres WMI.
Il existe deux autorisations de cration de filtres WMI :
Dlguer des
autorisations sur
un filtre WMI
62
Procdure
63
Procdure de dlgation
du contrle administratif
pour la cration d'objets
Stratgie de groupe
Procdure de dlgation
du contrle administratif
pour la modification
d'objets Stratgie de
groupe
64
Scnario
Application pratique
65
66
Lorsque vous planifiez une structure Active Directory, crez un plan pour
l'hritage des objets Stratgie de groupe, l'administration et le dploiement qui
offre la gestion de stratgie de groupe la plus efficace possible pour votre
organisation.
Envisagez galement la faon dont vous allez implmenter la stratgie de
groupe pour l'organisation. Afin que votre plan offre simplicit d'utilisation et
d'administration, veillez prendre en considration la dlgation d'autorisation,
la sparation des tches d'administration, le choix d'une administration
centralise ou dcentralise, ainsi que la flexibilit de conception.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
67
Crez des objets Stratgie de groupe de faon offrir une simplicit d'utilisation
et de gestion optimale, notamment via l'utilisation de l'hritage et des liaisons
multiples.
Instructions
68
L'hritage des objets Stratgie de groupe tient une place importante dans
l'implmentation de la stratgie de groupe d'une entreprise. C'est pourquoi vous
devez dcider l'avance d'appliquer la stratgie de groupe tout ou partie des
utilisateurs et ordinateurs.
Instructions
Utilisez l'option Appliqu (Ne pas passer outre) uniquement lorsqu'elle est
requise. Utilisez cette option uniquement pour les objets Stratgie de groupe
que vous voulez absolument appliquer, par exemple les paramtres de
scurit exigs par l'entreprise. Assurez-vous que ces objets Stratgie de
groupe contiendront uniquement ces paramtres importants.
69
Vous pouvez lier des objets Stratgie de groupe un site, de faon appliquer
des paramtres l'ensemble des ordinateurs et utilisateurs se trouvant
physiquement sur ce site. Lorsque la stratgie de groupe est dfinie au niveau
du site, elle n'affecte pas les utilisateurs itinrants sur ce site s'ils ont accs au
rseau partir d'un autre site.
Instructions
Crez des objets Stratgie de groupe dans le domaine qui comporte le plus
grand nombre de contrleurs de domaine sur ce site. Un contrleur de
domaine du domaine contenant l'objet Stratgie de groupe li au site est
contact avant l'application de l'objet, quel que soit le domaine auquel
appartient l'utilisateur ou l'ordinateur.
70
Instructions
71
Instructions
72
73
Objectif
Dans cette application pratique, vous allez dterminer les effets de l'application
de certains paramtres de stratgie de groupe et de l'hritage des objets Stratgie
de groupe.
Instructions
74
Conditions pralables
Dure approximative
de cet atelier :
75 minutes
la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!
75
Exercice 1
Cration et configuration d'objets Stratgie de groupe
Dans cet exercice, vous allez crer une unit d'organisation pour le service Comptabilit et sparer
les units d'organisation pour les groupes Crances et Dettes au sein du service Comptabilit. Vous
allez ensuite crer et configurer des objets Stratgie de groupe pour les groupes Crances et Dettes.
Vous allez effectuer ces tches sur votre domaine de la fort.
Scnario
Northwind Traders souhaite un contrle strict des stratgies utilises par le service Comptabilit.
Vous devez vous assurer que ce service utilise certains paramtres globaux de l'objet Stratgie de
groupe de l'entreprise. Vous allez crer un objet Stratgie de groupe standard Accounting pour
supprimer la commande Excuter du menu Dmarrer et supprimer la commande Arrter des
utilisateurs et ordinateurs. Les rgles de l'entreprise exigent que les mots de passe soient
rinitialiss tous les 30 jours et qu'ils comportent au moins huit caractres. Chaque mot de passe
doit rpondre ces exigences. Northwind Traders souhaite galement implmenter un historique
des mots de passe, afin que les employs ne puissent pas rutiliser les dix derniers mots de passe.
Le service Comptabilit souhaite une station de travail pour tous les utilisateurs de chaque
dpartement de l'organisation. Le groupe Crances a besoin de dsactiver la fonctionnalit
Ajouter ou supprimer des programmes du Panneau de configuration. Le groupe Dettes dispose
d'un environnement informatique ouvert qui ncessite que les utilisateurs ouvrent parfois une
session sur d'autres ordinateurs. Pour cette raison, Northwind Traders souhaite dsactiver la
fonctionnalit de verrouillage des ordinateurs.
Tches
1.
Instructions spcifiques
a.
2.
a.
Accounting
Accounts Receivable
Accounts Payable
Appliqu
76
Tches
3.
4.
5.
6.
Instructions spcifiques
a.
"
a.
"
Exercice 2
Liaison d'objets Stratgie de groupe
Dans cet exercice, vous allez lier des objets Stratgie de groupe l'unit d'organisation approprie.
Une fois les objets lis, vous pourrez appliquer des stratgies au niveau ordinateur ou utilisateur.
Tches
Instructions spcifiques
"
"
Accounts Receivable
Accounts Payable
77
78
Exercice 3
Vrification des paramtres de stratgie de groupe
Dans cet exercice, vous allez utiliser l'Assistant Modlisation de stratgie de groupe pour vrifier
les paramtres de stratgie de groupe que vous avez configurs dans les exercices prcdents.
Tches
1.
2.
Instructions spcifiques
Utiliser l'Assistant
Modlisation de stratgie
de groupe pour vrifier les
objets Stratgie de groupe
Accounting.
a.
a.
Accounting.
Affichez les trois rsultats de modlisation que vous avez crs
l'tape prcdente.
Module 6 : Dploiement et
gestion des logiciels l'aide
d'une stratgie de groupe
Table des matires
Vue d'ensemble
19
28
37
45
53
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
120 minutes
Atelier :
60 minutes
Documents de cours
Prparation
raliser l'atelier ;
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
lire le livre blanc Windows Installer Service Overview (en anglais) sous
Documentation supplmentaire sur la page Web du CD-ROM du
stagiaire ;
iv
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent
des tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
vi
Indiquez aux stagiaires les annexes consulter pour plus d'informations sur les
options relatives aux logiciels dploys.
Application pratique
Application pratique
vii
viii
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!
Vue d'ensemble
Objectifs
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Windows Server 2003 vous permet d'utiliser la stratgie de groupe pour grer le
processus de dploiement de logiciels de manire centralise ou partir d'un
emplacement. Vous pouvez appliquer des paramtres de stratgie de groupe
des utilisateurs ou des ordinateurs dans un site, un domaine ou une unit
d'organisation pour automatiser l'installation, la mise niveau ou la suppression
de logiciels. L'application de paramtres de stratgie de groupe des logiciels
vous permet de grer les diverses phases du dploiement de logiciels sans
dployer ceux-ci individuellement sur chaque ordinateur.
Processus
Composants de
Windows Installer
Avantages
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
crer un objet Stratgie de groupe pour affecter des logiciels ou les publier ;
Processus
Pourquoi affecter
un logiciel ?
L'affectation des logiciels vous permet de vous assurer que l'utilisateur peut en
disposer en permanence. Des raccourcis dans le menu Dmarrer et des icnes
sur le Bureau correspondant aux logiciels apparaissant lorsque l'utilisateur
ouvre une session. Par exemple, si l'utilisateur ouvre un fichier qui utilise
Microsoft Excel sur un ordinateur qui ne comporte pas Excel, mais que ce
logiciel a t affect l'utilisateur, Windows Installer installe Excel sur cet
ordinateur lorsque l'utilisateur ouvre le fichier concern.
En outre, l'affectation de logiciels fait que ceux-ci sont tolrants aux pannes.
Si, pour une raison quelconque, l'utilisateur supprime un logiciel, Windows
Installer le rinstalle lorsque l'utilisateur se reconnecte et dmarre l'application.
Pourquoi publier
un logiciel ?
La publication des logiciels vous permet de vous assurer qu'ils sont disponibles
aux utilisateurs pour que ceux-ci les installent sur leurs ordinateurs. Windows
Installer n'ajoute pas de raccourcis sur le Bureau de l'utilisateur ou dans le menu
Dmarrer, et aucune entre n'est enregistre dans le registre local. Comme les
utilisateurs doivent installer des logiciels publis, vous ne pouvez publier des
logiciels qu'auprs d'utilisateurs, pas auprs d'ordinateurs.
10
Mthodes d'affectation
et de publication de
logiciels
Mthode de
dploiement
Vous pouvez affecter et publier des logiciels l'aide de l'une des mthodes du
tableau suivant.
Mthode 1
Mthode 2
Affectation
Publication
Procdure
11
12
Procdure
13
Options
Description
Emplacement des
packages par
dfaut
Lors de l'ajout de
nouveaux packages
dans les paramtres
utilisateur
14
Description
Options de
l'interface
utilisateur de
l'installation
Remarque Pour plus d'informations sur les options des logiciels dploys,
reportez-vous la rubrique Options par dfaut pour installation logicielle
de la page d'annexe du Module 6 sur le CD-ROM du stagiaire.
15
Procdure de
configuration des
options par dfaut
d'installation logicielle
16
Procdure de
modification des options
relatives aux packages
de logiciels dploys
17
Dans cette application pratique, vous allez crer un objet Stratgie de groupe
l'aide d'un package .msi pour publier une application.
Scnario
Northwind Traders veut s'assurer que tout le personnel informatique peut grer
le dploiement de logiciels dans toute l'organisation. Avant que l'quipe
informatique ne dploie des logiciels dans toute l'organisation, vous devez
garantir un environnement scuris. Vous utiliserez le package des outils
de support de Windows comme application de test. Vous devez dployer
correctement cette application dans l'environnement de test avant de la
diffuser dans l'environnement de production.
Application pratique
! Dploiement de logiciels
1. Ouvrez une session sous Nwtradersx\Nom_OrdinateurUser
(Nom_Ordinateur tant le nom de l'ordinateur sur lequel vous travaillez).
2. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez avec
le bouton droit sur Gestion des stratgies de groupe, puis cliquez sur
Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez votre_domaine\Administrateur comme nom d'utilisateur,
avec pour mot de passe P@ssw0rd et cliquez ensuite sur OK.
4. Dans Gestion des stratgies de groupe, dveloppez Fort, puis Domaines,
dveloppez votre_domaine, puis dveloppez et cliquez ensuite sur Objets
de stratgie de groupe.
5. Cliquez avec le bouton droit sur Objets de stratgie de groupe, cliquez sur
Nouveau, tapez Practice Software Deployment puis cliquez sur OK.
6. Cliquez avec le bouton droit sur Practice Software Deployment, puis
cliquez sur Editer.
7. Dans l'diteur des objets de stratgie de groupe, sous Configuration
utilisateur, dveloppez Paramtres du logiciel, puis cliquez sur
Installation logicielle.
18
19
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
crer des catgories de logiciels pour classer des applications dans Ajouter
ou supprimer des programmes ;
20
Vous utilisez des catgories de logiciels pour organiser des logiciels affects et
publis en groupes logiques, afin que les utilisateurs puissent trouver aisment
les applications dans Ajouter ou supprimer des programmes du Panneau de
configuration. Windows Server 2003 est fourni sans catgories de logiciels
prdfinies.
tendue et conditions
requises
21
Procdure de cration
d'une catgorie
Procdure d'affectation
d'un package de
logiciels une catgorie
22
Exemple
Par exemple, il se peut que votre organisation ait besoin d'utiliser la fois
Microsoft Word 2000 et Word 2002. Chaque traitement de texte peut tre
utilis dans un dpartement diffrent, mais ces deux applications utilisent
l'extension de fichier .doc. Vous devez ajuster les priorits de l'extension
pour chaque dpartement de sorte que le traitement de texte prfr est
install lorsque l'utilisateur active un document.
tendue
23
Procdure
Pour modifier l'ordre de priorit pour une application, procdez comme suit :
1. Ouvrez l'objet Stratgie de groupe que vous avez utilis pour dployer
l'application.
2. Dveloppez Configuration utilisateur, puis Paramtres du logiciel,
cliquez avec le bouton droit sur Installation de logiciel, puis cliquez sur
Proprits.
3. Dans la bote de dialogue Proprits de installation de logiciel, dans
l'onglet Extensions de fichiers, slectionnez une extension dans la liste
droulante.
24
25
Exemple
26
Procdure
27
Dans cette application pratique, vous allez crer une catgorie de logiciels, puis
affecter un objet Stratgie de groupe de logiciels cette catgorie.
Scnario
Application pratique
28
Aprs avoir dploy des logiciels, il peut tre ncessaire de les modifier afin
d'assurer la maintenance ou la mise niveau des logiciels des utilisateurs pour
que ceux-ci disposent de la version la plus jour. Windows Server 2003
comporte trois options pour la maintenance de logiciels : mise niveau des
versions des logiciels, redploiement de logiciel et suppression de logiciel.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
29
Les tches dans une organisation sont varies et peuvent changer. Vous pouvez
utiliser la stratgie de groupe pour dployer et grer des mises niveau de
logiciels afin de rpondre aux besoins des divers dpartements dans votre
organisation. Les mises niveau entranent gnralement des modifications
importantes des logiciels et possdent de nouveaux numros de version.
Gnralement, de nombreux fichiers changent dans le cadre d'une mise niveau.
Mthodes de mise
niveau
30
31
Procdure
32
Mthodes de
redploiement
33
Procdure
34
Mthodes de
suppression
Lorsque vous utilisez la stratgie de groupe pour dployer des logiciels, vous
pouvez configurer un objet Stratgie de groupe pour supprimer un logiciel
arriv expiration ou qui n'est plus requis par votre organisation. Vous pouvez
galement supprimer un ancien logiciel en configurant l'objet Stratgie de
groupe pour permettre aux utilisateurs de procder une mise niveau
facultative vers un nouveau package de logiciels.
Procdure
35
36
Dans cette application pratique, vous allez mettre niveau le logiciel dploy
puis le supprimer.
Scnario
Application pratique
37
Vous pouvez tre confront des problmes lorsque vous utilisez la stratgie de
groupe pour dployer des logiciels. Il existe plusieurs mthodes pour vous aider
identifier ces problmes et les rsoudre.
Un lment important de la rsolution des problmes de stratgie de groupe
est de tenir compte des dpendances entre composants. Par exemple, le
dploiement de logiciels fait appel la stratgie de groupe, laquelle fait appel
Active Directory. Active Directory fait appel la configuration correcte des
services de rseau. Lorsque vous tentez de rsoudre des problmes dans un
composant, vrifiez si les composants, les services et les ressources auxquels ce
composant fait appel fonctionnent correctement. Les journaux des vnements
peuvent vous aider identifier des problmes que ce type de dpendance
hirarchique peut entraner.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
38
Symptme
Causes possibles
39
(suite)
Symptme
Causes possibles
40
Aprs avoir identifi la cause possible d'un problme, l'tape suivante consiste
dterminer la cause principale. Pour ce faire, dterminez si le point de
distribution de logiciels est disponible, installez manuellement le package .msi,
dterminez l'objet Stratgie de groupe qui est appliqu l'aide du Jeu de
stratgies rsultant (RSoP, Resultant Set of Policies), et crez le fichier journal
Windows Installer.
Procdure de
vrification de
disponibilit du point de
distribution de logiciels
Procdure d'installation
manuelle du package
Windows Installer
41
Procdure pour
dterminer si l'objet
Stratgie de groupe
est appliqu
Procdure d'activation
de journalisation et
cration du fichier
journal Windows
Installer
42
43
Mthodes de rsolution
Modifiez les autorisations sur le dossier partag ou sur les fichiers NTFS
pour permettre un accs en lecture (Lire) aux utilisateurs ou aux ordinateurs
installant l'application.
44
Dans cette application pratique, vous allez crer un fichier journal Windows
Installer.
Scnario
Northwind Traders est confront des problmes avec une application critique
dploye l'aide de la stratgie de groupe. Votre responsable vous a demand
de dterminer la cause des problmes.
Application pratique
45
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
46
Instructions
Appliquez les instructions suivantes lorsque vous envisagez de crer des points
de distribution de logiciels :
!
47
Procdez l'audit d'accs aux objets pour les fichiers Windows Installer.
Vous pouvez vrifier les autorisations utilisateurs ou groupes d'accs ces
fichiers.
48
Instructions
Dployez les fichiers package en plusieurs phases. Avant d'assurer tous les
utilisateurs la disponibilit des fichiers package, dployez-les en plusieurs
phases ou bien auprs d'un groupe d'utilisateurs pilotes. Un dploiement
graduel associ des tests vous aide identifier et rsoudre les problmes
lis aux packages avant de procder au dploiement gnralis d'une
application dans une organisation. Il contribue aussi rduire le trafic
rseau et la charge sur les serveurs des points de distribution de logiciels en
chelonnant les demandes d'installation manant des utilisateurs. N'oubliez
pas d'utiliser les commentaires des utilisateurs pilotes afin de rationaliser et
d'amliorer votre processus de dploiement.
49
50
Instructions
51
Scnario
Application pratique
52
2. Une autre socit de graphisme, Fabrikam, Inc., vous a confi des fins de
tests dans votre entreprise des copies d'valuation de sa suite graphique,
dans l'espoir que vous achterez une licence de site. Afin d'viter toute
intrusion vis vis vos utilisateurs, comment envisagez-vous de publier
l'application ?
Les rponses varient. Votre plan peut inclure :
Cration d'un point de distribution de logiciels pour le stockage de
toutes les applications d'valuation.
Cration des objets Stratgie de groupe dans une unit d'organisation
ddie afin de les regrouper ensemble. Comme vous devrez peut-tre
supprimer ultrieurement le logiciel, utiliser l'option Dsinstaller si
cet objet Stratgie de groupe n'est plus applicable.
____________________________________________________________
____________________________________________________________
Conditions pralables
Dure approximative
de cet atelier :
60 minutes
la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!
53
54
Exercice 1
Affectation de logiciel
Dans cet exercice, vous prparerez votre contrleur de domaine hberger le logiciel que vous
installerez au moyen d'une stratgie de groupe. Vous utiliserez votre contrleur de domaine attitr
pour crer les objets Stratgie de groupe requis pour la prise en charge de l'installation du logiciel.
Scnario
Northwind Traders a dcid d'utiliser l'installation logicielle pour dployer l'application Cosmo 1
qu'elle vient d'acqurir. Votre tche consiste comparer les deux mthodes disponibles pour
l'installation de l'application : affectation de logiciel et publication de logiciel.
Tches
1.
Instructions spcifiques
a.
\\LONDON\Labfiles\Lab6\COSMO1.
2.
a.
55
Exercice 2
Vrification de l'affectation du logiciel
Dans cet exercice, vous devez vrifier que l'affectation de logiciel s'est droule normalement.
Vous ouvrirez une session en tant qu'utilisateur test et vrifierez si le logiciel attribu l'exercice
prcdent est install.
Tches
1.
Instructions spcifiques
"
Fermez votre session, puis ouvrez-en une sous le nom Suzanne Duprez
partir de votre domaine en utilisant le mot de passe P@ssw0rd.
2.
Ouvrir le package de
logiciels partir de
l'lment du menu Tous
les programmes que vous
avez cr pour lui.
Que se passe-t-il lorsque vous tentez d'ouvrir le logiciel ?
56
Exercice 3
Suppression d'un logiciel affect
Dans cet exercice, vous supprimerez le logiciel affect dans l'exercice prcdent. Vous avez men
bien le dploiement du logiciel en affectant un package des utilisateurs. Vous pouvez dsormais
valuer l'option de publication l'aide de ce mme package. Vous devez supprimer le logiciel pour
pouvoir crer un package en vue de publier l'application.
Tches
Instructions spcifiques
"
a.
Supprimer l'application
Cosmo 1
Fermez votre session, puis ouvrez-en une sous le nom Suzanne Duprez
partir de votre domaine en utilisant le mot de passe P@ssw0rd.
57
Exercice 4
Publication de logiciel
Dans cet exercice, vous modifierez une stratgie de groupe pour publier une application. Vous
publierez un logiciel dans le but de mieux apprhender les diffrences entre la publication et
l'affectation d'un logiciel.
Tches
1.
Instructions spcifiques
a.
b. Lorsque vous y serez invit, ouvrez une session avec le mot de passe
P@ssw0rd
2.
3.
Crer un package
d'installation logicielle pour
la publication du package
Cosmo 1.
"
58
Exercice 5
Vrification de la publication du logiciel
Dans cet exercice, vous vrifierez que le logiciel publi dans l'exercice prcdent est install et
fonctionne normalement. Vous ouvrirez une session en tant qu'utilisateur test et vrifierez les
paramtres de publication du logiciel dfinis l'exercice 4.
Tches
Instructions spcifiques
1.
"
2.
"
3.
"
4.
Cosmo 1 est-il list dans Ajouter ou supprimer des programmes ? Pourquoi (pas) ?
59
Exercice 6
Mise niveau d'un logiciel dploy
Dans cet exercice, vous mettrez niveau le logiciel dploy en modifiant la stratgie de groupe.
Northwind Traders a acquis une mise niveau pour l'application Cosmo. Tous les ordinateurs
doivent tre mis niveau vers la dernire version de ce logiciel. Vous tes responsable de la
stratgie de groupe en termes de rponse aux besoins de l'entreprise. Lorsque vous utiliserez la
stratgie de groupe, vous remarquerez qu'il n'est pas ncessaire de mettre manuellement niveau
chaque utilisateur ou ordinateur. La direction aimerait que vous pilotiez la mise niveau du logiciel
afin de s'assurer que vous pouvez rsoudre tout problme survenant durant le processus avant de
dployer le logiciel dans toute l'organisation.
Tches
1.
Mettre niveau de
Cosmo 1.
Instructions spcifiques
a.
de mise niveau.
2.
a.
Module 7 : Implmentation
de sites pour grer la
rplication Active Directory
Table des matires
Vue d'ensemble
Leon : Prsentation de la rplication
Active Directory
1
2
15
30
38
51
63
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
165 minutes
Atelier :
30 minutes
Documents de cours
raliser l'atelier ;
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
iv
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
vi
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise
Pour cet atelier, les stagiaires doivent travailler par quipe de deux. Un
ordinateur est configur en tant que domaine racine de la fort et l'autre
en tant que domaine enfant. Avant de prparer les ordinateurs des stagiaires,
assurez-vous qu'ils ont termin l'atelier du Module 2.
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!
vii
Vue d'ensemble
Objectifs
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Objectifs
Points cls
Convergence. Chaque mise jour dans Active Directory finit par tre
propage chaque contrleur de domaine dans le site qui hberge la
partition sur laquelle porte la mise jour effectue. Cette propagation
complte est appele convergence.
Attributs valeurs
multiples lis et niveaux
fonctionnels de la fort
Le processus qui rplique les attributs valeurs multiples lis varie en fonction
du niveau fonctionnel de la fort :
!
Chaque fort possde une seule partition de schma. Cette partition de schma
est stocke dans tous les contrleurs de domaine de la mme fort. Elle contient
les dfinitions de tous les objets et attributs crs dans l'annuaire, ainsi que les
rgles qui permettent de les crer et de les manipuler. Les donnes du schma
sont rpliques dans tous les contrleurs de domaine de la fort. C'est pourquoi
les objets doivent tre conformes aux dfinitions d'objet et d'attribut du schma.
Chaque fort possde une seule partition de configuration. Stocke dans tous les
contrleurs de domaine de la mme fort, la partition de configuration contient
les donnes sur la structure Active Directory de l'ensemble de la fort, dont les
domaines et les sites existants, les contrleurs de domaine existants dans chaque
fort et les services disponibles. Les donnes de la configuration sont rpliques
dans tous les contrleurs de domaine de la fort.
Les partitions d'applications stockent les donnes sur les applications dans
Active Directory. Chaque application dtermine comment elle stocke, classe et
utilise ses propres donnes. Pour viter toute rplication inutile des partitions
d'applications, vous pouvez dsigner les contrleurs de domaine qui en
hbergent dans une fort. la diffrence d'une partition de domaine, une
partition d'applications ne peut pas stocker les principaux objets de scurit,
tels que les comptes d'utilisateurs. De plus, les donnes contenues dans une
partition d'applications ne sont pas stockes dans le catalogue global.
Comme exemple de partition d'applications, si vous utilisez un systme DNS
qui est intgr Active Directory, vous avez deux partitions d'applications pour
les zones DNS : ForestDNSZones et DomainDNSZones.
!
Rplication de partitions
Active Directory cre une topologie de rplication base sur les donnes
stockes dans Active Directory. La topologie de rplication peut diffrer pour
les partitions de schma, de configuration, de domaines et d'applications.
Tous les contrleurs de domaine d'une mme fort partageant les partitions de
schma et de configuration, Active Directory rplique ces partitions de schma
et de configuration sur tous les contrleurs de domaine. Les contrleurs de
domaine du mme domaine rpliquent galement la partition du domaine.
De plus, les contrleurs de domaine qui hbergent une partition d'applications
rpliquent la partition d'applications.
Pour optimiser le trafic de la rplication, un contrleur de domaine peut avoir
plusieurs partenaires de rplication pour diffrentes partitions. Active Directory
rplique les mises jour d'annuaire dans tous les contrleurs de domaine qui
contiennent la partition mise jour dans la fort.
Objets de connexion
Les contrleurs de domaine qui sont lis par des objets de connexion sont
appels partenaires de rplication. Les liens qui relient les partenaires de
rplication sont appels objets de connexion. Les objets de connexion sont crs
dans chaque contrleur de domaine et pointent vers un autre contrleur de
domaine pour une source de donnes de rplication. Les objets de connexion
reprsentent un chemin de rplication sens unique entre deux objets serveur.
La topologie de rplication par dfaut d'un site est un anneau bidirectionnel,
compos de deux objets de connexion unidirectionnels complmentaires entre
deux contrleurs de domaine adjacents. Cette topologie amliore la tolrance
de pannes lorsque l'un des contrleurs de domaine est dconnect.
Si ncessaire, Active Directory cre des objets de connexion supplmentaires
pour limiter statistiquement un maximum de trois le nombre de tronons
emprunts pour rpliquer une mise jour provenant de tous les rplicas d'une
partition donne dans un anneau.
10
Dfinition du KCC
KCC est un processus intgr qui s'excute sur chaque contrleur de domaine et
gnre la topologie de rplication pour toutes les partitions d'annuaire contenues
dans ce contrleur de domaine. Le vrificateur KCC s'excute intervalles
dfinis par dfaut toutes les 15 minutes et dsigne les itinraires de
rplication entre contrleurs de domaine les plus judicieux disponibles ce
moment-l.
Comment fonctionne le
vrificateur KCC
KCC et objets de
connexion
11
12
Comment la rplication
affecte-t-elle le serveur
de catalogue global ?
13
Instructions
Scnario
Application pratique
14
15
La rplication garantit que toutes les donnes contenues dans Active Directory
sont jour dans tous les contrleurs de domaine et stations de travail d'un
rseau. De nombreux rseaux sont composs de plusieurs rseaux plus petits,
et les liens qui les connectent peuvent avoir des dbits varis.
Vous utilisez des sites dans Active Directory pour contrler la rplication et
d'autres types de trafic Active Directory travers les diffrentes liaisons du
rseau. Lorsque vous configurez la rplication entre les sites, vous pouvez
utiliser des objets sous-rseau, des liens de sites et des ponts entre les liens pour
faciliter le contrle de la topologie de rplication. La fiabilit et l'efficacit
d'une topologie de rplication dpendent de la configuration des liens et des
ponts entre les sites.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
16
Vous utilisez des sites pour contrler le trafic de rplications, le trafic li aux
connexions et les requtes des clients sur le serveur de catalogue global.
Les objets sous-rseau identifient les adresses rseau utilises par mapper les
ordinateurs avec les sites. Un sous-rseau est un segment d'un rseau TCP/IP
auquel un ensemble d'adresses IP logiques est attribu. Les objets sous-rseau
se mappant au rseau physique, les sites font de mme. Par exemple, si trois
sous-rseaux sont situs dans trois campus universitaires de la mme ville et
que ces campus sont relis par des connexions haut dbit et disponibilit
leve, vous pouvez associer chacun de ces sous-rseaux un site.
Un site peut comporter un ou plusieurs sous-rseaux. Par exemple, pour un
rseau compos de trois sous-rseaux Redmond et deux Paris, vous pouvez
crer un site Redmond, un Paris et ajouter les sous-rseaux aux sites
respectifs.
17
Pour que deux sites changent des donnes de rplication, ils doivent tre
connects par un lien de sites, avec un chemin logique que le vrificateur
KCC utilise pour tablir la rplication entre les sites.
Pourquoi crer un
lien de sites ?
Lorsque vous crez des sites supplmentaires, vous devez slectionner au moins
un lien de sites pour chaque site. Sans au moins un lien de sites, les connexions
ne peuvent tre tablies entre les ordinateurs des diffrents sites, et la
rplication entre sites ne peut donc pas avoir lieu. Les liens de sites
supplmentaires ne se crent pas automatiquement. Pour ce faire, vous devez
utiliser Sites et services Active Directory.
Lorsque vous crez le premier domaine d'une fort, Active Directory cre un
lien de sites par dfaut appel DEFAULTIPSITELINK. Il inclut le premier site
et est situ dans le conteneur IP d'Active Directory. Vous pouvez le renommer.
18
Le cot des liens de sites est un nombre sans unit de mesure qui reprsente le
dbit relatif, la fiabilit et la prfrabilit du rseau sous-jacent. Plus le cot d'un
lien est bas, plus sa priorit est leve, ce qui en fait un chemin privilgi. Par
exemple, votre organisation a deux sites relis entre eux, un dans le Colorado et
un au Chili : une connexion haut dbit et une connexion distante de secours.
Dans ce cas, vous configurez deux liens de sites : un pour chaque connexion.
La connexion haut dbit tant prfrable la connexion distante, configurez-la
avec un cot infrieur celui du lien de sites de la connexion distante. Lorsque le
lien de sites avec la connexion haut dbit a un cot infrieur, sa priorit est plus
leve. Il est donc utilis en priorit ds que possible.
En dfinissant le cot du lien de sites, vous pouvez dterminer la priorit
relative de chaque lien de sites. La valeur par dfaut du cot est de 100 et peut
s'chelonner de 1 99999.
Planification de la
rplication des liens
de sites
La planification des horaires de rplication est un autre attribut des liens de sites
que vous pouvez configurez. Lors de cette opration, vous spcifiez les horaires
de disponibilit du lien pour la rplication. Souvent, la disponibilit de
rplication est configure des heures o le trafic rseau est peu important :
par exemple entre 2h00 et 5h00 du matin.
Plus le nombre d'heures pendant lesquelles un lien est disponible pour la
rplication est restreint, plus le dlai de latence entre les sites connects par
ce lien est grand. C'est pourquoi il faut trouver l'quilibre entre le besoin de
rplication d'un lien pendant les heures faible charge de travail et le besoin
d'informations actualises dans chaque site connect par ce lien.
Frquence de rplication
des liens de sites
Protocoles de transport
des liens de sites
19
RPC (Remote Procedure Call, Appel de procdure distante) sur IP. RPC
est le protocole par dfaut. Protocole standard de l'industrie pour les
communications clients/serveur, RPC sur IP fournit une connectivit fiable
et haut dbit entre les sites. Entre les sites, RPC sur IP permet une
rplication de toutes les partitions Active Directory. RPC sur IP est le
meilleur protocole de transport pour la rplication entre sites.
20
Les connexions rseau d'un site sont fiables et ont suffisamment de bande
passante disponible.
Le trafic de rplications l'intrieur d'un site n'est pas compress car un site
suppose la prsence de liaisons rseau rapides et trs fiables. Le fait de ne
pas compresser le trafic de rplications rduit la charge de traitement des
contrleurs de domaine. Cependant, le trafic non compress peut augmenter
la bande passante rseau ncessaire aux messages de rplication.
La bande passante rserve aux liaisons rseau entre les sites est limite et
risque de ne pas tre fiable.
Le trafic de rplications entre les sites est conu pour optimiser la bande
passante en compressant tout le trafic de rplications entre les sites. Avant
d'tre transmis, ce trafic est compress de 10 15 pour cent par rapport
sa taille originale. Bien que la compression optimise la bande passante
du rseau, elle entrane une charge de traitement supplmentaire des
contrleurs de domaine lors de la compression et de la dcompression
des donnes de la rplication.
21
22
Pour grer la rplication entre sites l'aide de sites, vous devez crer des sites et
des sous-rseaux supplmentaires et dlguer le contrle des sites. La cration
d'un site implique de nommer ce nouveau site et de lui associer un lien de sites.
Pour crer des sites, vous devez vous connecter en tant que membre du groupe
Administrateurs de l'entreprise ou du groupe Admins du domaine dans le
domaine racine de la fort.
Procdure de cration
d'un site
Procdure de cration
d'un objet sous-rseau
Aprs avoir cr des sites, vous crez des sous-rseaux et les associez avec
les sites.
Pour crer un objet sous-rseau, excutez les oprations suivantes :
1. Dans Sites et Services Active Directory, dans l'arborescence de la console,
double-cliquez sur Sites, cliquez avec le bouton droit sur Subnets, puis
cliquez sur Nouveau sous-rseau.
2. Dans la zone Adresse, entrez l'adresse IP du sous-rseau.
3. Dans la zone Masque, tapez le masque de sous-rseau qui dcrit la plage
d'adresses du sous-rseau.
4. Slectionnez le site associer ce sous-rseau, puis cliquez sur OK.
Procdure de
modification de
l'association d'un site
un sous-rseau
23
Procdure de
dplacement d'un
contrleur de domaine
vers un autre site
Procdure de dlgation
du contrle des sites
24
Dans Active Directory, vous pouvez crer des liens de sites pour mapper des
connexions entre plusieurs sites. Lorsque vous configurez des liens de sites,
vous pouvez dfinir leurs proprits : le cot, l'intervalle de rplication, la
planification et les sites associs au lien.
Procdure de cration
de liens de sites
Procdure de
configuration des
liens de sites
25
26
Un pont de lien de sites cre une chane de liens que les contrleurs de domaine
des diffrents sites de ces liens peuvent utiliser pour communiquer directement.
Le pontage s'avre pratique pour cantonner le vrificateur KCC dans les
chemins dsigns par la topologie des liens. Par dfaut, le pontage est activ et
tous les liens de sites sont considrs comme transitifs. C'est--dire que tous les
liens d'un transport donn appartiennent implicitement un seul pont de liens
pour ce transport. Ainsi, dans un rseau IP entirement rout, il est inutile de
configurer des ponts de liens de sites. Si votre rseau IP n'est pas entirement
rout, vous pouvez dsactiver le pontage pour inhiber la fonction de liens
transitifs du transport IP, puis configurer des ponts de liens pour former le
vritable acheminement de votre rseau.
Exemple
Un pont de liens de sites permet des liens qui partagent un site intermdiaire
commun d'acheminer les donnes via ce site et de produire un chemin transitif
qui reprsente le cumul des liens de sites individuels. Par exemple, lorsqu'un
pont de liens est dsactiv et qu'il y a un pont entre le site A et le site B et un
entre le site B et le site C, le vrificateur KCC peut en dduire un chemin
transitif rout entre le site A et le site C, pour un cot qui sera la somme des
cots des liens de sites. Dans cet exemple, le site B intermdiaire est considr
par le KCC uniquement pour le routage IP entre A et C. Le KCC ne se soucie
pas si le site B a une copie du domaine donn dont il tente de calculer la
topologie. Le pontage s'avre pratique pour cantonner le vrificateur KCC
dans les chemins dsigns par la topologie des liens.
27
Avant de crer de nouveaux ponts de liens de sites, vous devez commencer par
dsactiver le pontage par dfaut de tous les liens pour permettre la cration de
nouveaux ponts.
Procdure permettant de
dsactiver le pontage
par dfaut de tous les
liens de sites
Pour dsactiver le pontage par dfaut de tous les liens de sites, excutez les
oprations suivantes :
1. Dans Sites et Services Active Directory, dveloppez Sites, puis Inter-Site
Transports, cliquez avec le bouton droit sur IP ou SMTP en fonction du
protocole pour lequel vous souhaitez dsactiver le pontage de tous les liens,
puis cliquez sur Proprits.
2. Dans la bote de dialogue Proprits, dsactivez la case cocher Relier
tous les liens du site, puis cliquez sur OK.
Procdure de cration
d'un pont entre liens
de sites
28
Dans cette application pratique, vous allez crer des objets sous-rseau et site IP
dans Active Directory et associer les sous-rseaux avec les sites. Ensuite, vous
dplacerez des objets serveur dans le site cr, vous crerez des liens IP entre
les sites et vous configurerez les valeurs de la rplication : cot, planification et
intervalle des liens.
Instructions
Scnario
Application pratique :
Cration d'un objet
sous-rseau et site
29
! Crer des liens de sites IP entre votre site et celui de votre partenaire
1. Crez un lien de sites IP appel Votre_Ordinateur-Ordinateur_Partenaire.
2. Ajoutez les sites Votre_OrdinateurSite et Ordinateur_PartenaireSite au
nouveau lien de sites.
3. Configurez les proprits du lien Votre_OrdinateurOrdinateur_PartenaireSite en dfinissant le cot de la rplication 50, une
frquence de 15 minutes et une planification quotidienne qui exclut toute
rplication entre 6h00 et 8h00 du matin.
4. Dplacez Votre_Ordinateur dans le site que vous avez cr.
Remarque L'intervalle de rplication entre les sites est dfini sur 15 minutes,
mais vous pouvez dclencher la rplication manuellement pour que les mises
jour se produisent quand elles sont ncessaires.
30
Pour satisfaire les besoins en rplication d'une organisation, vous pouvez tre
amen excuter manuellement certaines tches de gestion de la topologie
de site. Ces tches comprennent l'identification des serveurs de tte de pont
privilgis, l'actualisation de la topologie de rplication et l'imposition de la
rplication.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
31
Vous devez dsigner un serveur de tte de pont pour chaque partition du site.
Par exemple, un contrleur de domaine peut tre serveur de tte de pont pour
les partitions de configuration et de schma de l'ensemble de la fort, ainsi que
pour la partition de domaine du domaine qu'il reprsente. Si le site contient
d'autres domaines, vous devez affecter un serveur de tte de pont chacun
d'eux.
Le serveur de tte de pont de chaque site est slectionn automatiquement, ou
vous pouvez dsigner une liste de serveurs de tte de pont privilgis. Pour
garantir la fiabilit des mises jour de l'annuaire, un serveur de tte de pont
privilgi doit bnficier d'une puissance de traitement et d'une largeur de
bande suffisantes pour compresser, envoyer, recevoir et dcompresser les
donnes de la rplication avec efficacit. Active Directory utilise un seul
serveur de tte de pont la fois. Si le premier serveur privilgi devient
indisponible, le prochain dans la liste des privilgis est utilis.
Si votre dploiement utilise un pare-feu pour protger un site, vous devez
dsigner le serveur proxy du pare-feu en tant que serveur de tte de pont
privilgi, ce qui en fait le point de contact pour l'change des donnes avec les
autres sites. Dans le cas contraire, Active Directory risque d'chouer rpliquer
les donnes d'annuaire.
32
Fonctions
33
Procdure
34
Procdure
d'identification du
contrleur de domaine
qui joue le rle de
gnrateur de topologie
inter-sites
Procdure permettant
d'imposer l'excution
du KCC
35
Procdure
36
Dans cette application pratique, vous verrez les objets de connexion en cours,
vous supprimerez un objet de connexion gnr automatiquement, puis vous
actualiserez la topologie de rplication. Vous vrifierez galement si Active
Directory a recr l'objet de connexion.
Instructions
Scnario
Application pratique :
Lancement manuel
d'une rplication
37
38
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
39
Symptmes et causes
possibles
Causes possibles
La rplication ne se termine
pas ou n'a pas lieu
La rplication augmente le
trafic rseau
Le vrificateur KCC ne
parvient pas terminer la
topologie pour le nom unique
du site
40
Pour rgler les modles du trafic de rplications, vous devez pouvoir afficher
le trafic de rplications travers votre rseau. Le Moniteur de rplication peut
accomplir cette tche.
Dfinition
Fonctions
Moniteur de rplication :
!
Montre les objets qui ne sont pas encore rpliqus d'un ordinateur donn.
41
42
Procdure
43
Syntaxe de Repadmin
Exemples d'utilisation
de la commande
repadmin
Remarque Pour plus d'informations sur les arguments que vous pouvez utiliser
avec la commande repadmin, l'invite, excutez repadmin /?, puis lisez les
instructions d'usage.
44
Syntaxe de Dcdiag
l'invite, tapez :
dcdiag commutateurs [/v /f:LogFile /ferr:ErrLog ]
Le tableau suivant dcrit les trois commutateurs les plus courants disponibles
avec la commande dcdiag.
Commutateur
Description
/v
/f:LogFile
/ferr:ErrLog
Remarque Pour plus d'informations sur les arguments que vous pouvez utiliser
avec la commande dcdiag, l'invite excutez dcdiag /? et lisez les instructions
d'usage.
45
Mthodes de test
Mthode de test
Aucun serveur de
tte de pont n'existe
dans le site
La topologie de site
et la planification
sont inefficaces
Aucun contrleur
de domaine n'est
connect dans le site
46
Mthode de test
La topologie de site
est incorrecte
Une exception se
produit dans le KCC
47
Mthodes de rsolution
Mthode de rsolution
La topologie de site et
la planification sont
inefficaces
Aucun contrleur de
domaine n'est connect
dans le site
48
Mthode de rsolution
49
Dans cette application pratique, vous allez utiliser les outils de ligne de
commande Repadmin et Dcdiag pour analyser l'tat de la rplication dans votre
site et pour diagnostiquer le fonctionnement de votre contrleur de domaine.
Scnario
Application pratique :
Utilisation de
Repadmin.exe pour
la rsolution des
problmes
50
51
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
52
Composants de
conception de la
topologie de site
53
Instructions
54
55
Instructions
Utilisez les instructions suivantes pour dterminer si vous avez besoin de ponts
entre les liens de sites. Envisagez la cration de ponts de liens de sites dans les
cas suivants :
!
56
Remarque Pour plus d'informations sur l'algorithme utilis pour calculer les
chemins des sites, consultez Instructions permettant de dterminer la ncessit
de ponts de liens de sites de la page d'annexe du Module 7 sur le CD-ROM du
stagiaire.
57
Instructions
Crez une liste de serveurs de tte de pont privilgis. Mettez dans cette
liste les serveurs que le gnrateur de topologie inter-sites doit utiliser.
Si :
vous configurez manuellement un contrleur de domaine en tant que
serveur de tte de pont privilgi pour un site, le gnrateur n'utilisera
que celui-ci ;
vous configurez plusieurs contrleurs de domaine dans le mme site en
tant que serveurs de tte de pont privilgis, le gnrateur en choisira un
arbitrairement ;
la liste des serveurs de tte de pont privilgis ne comprend qu'un
contrleur de domaine, la tolrance de panne est rduite lorsque celui-ci
devient indisponible ;
le serveur de tte de pont privilgi est indisponible, le gnrateur
affecte d'autres serveurs de tte de pont privilgis configurs.
58
59
Instructions
Limitez la plage des ports RPC. Vous pouvez utiliser la cl de Registre pour
limiter la plage de ports RPC dynamiques affecte par un ordinateur donn.
Pour ce faire, dfinissez la cl de Registre suivante :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet]
"Ports"=REG_MULTI_SZ:5000-5020
60
Remarque Pour plus d'informations sur les numros de port et les protocoles
spcifiques utiliss pour la rplication Active Directory, consultez la rubrique
Instructions de scurisation de la rplication Active Directory du Module 7
dans les annexes du CD-ROM du stagiaire.
Remarque Pour plus d'informations sur la configuration et la scurisation de la
rplication entre les sites qui utilisent des pare-feu, lisez le livre blanc, Active
Directory in Networks Segmented by Firewalls (en anglais), sous Documentation
supplmentaire de la page Web situe sur le CD-ROM du stagiaire.
61
Dans cette application pratique, vous allez dterminer la planification des liens
de sites, la dure du nouveau lien de sites et la configuration des ponts de liens
de sites et des serveurs de tte de pont privilgis.
Scnario
Une liaison rseau de 384 kilobits par seconde (Kbits/s) entre le site existant
Hyderabad et New Delhi. Des rapports historiques indiquent qu'il y a parfois
des problmes de connexion intermittents sur cette liaison. En d'autres
termes, cette liaison n'est pas fiable.
62
Application pratique
! Planifier un site
1. Que doit contenir votre plan pour que la planification, la frquence et la
priode de la rplication garantissent que le trafic de rplications n'affecte
pas ngativement les transferts de donnes pendant les heures ouvrables sur
la liaison WAN du site de New Delhi ?
Exclure la tranche horaire de 6 22 heures dans la planification. Pour
tenir compte de l'vnement final de rplication, modifiez l'horaire
d'exclusion de dbut en le dfinissant 5h30. Puis dfinissez la
rplication par dfaut toutes les 30 ou 60 minutes au lieu de 180 minutes
pour augmenter le nombre d'vnements de rplication en dehors des
heures ouvrables.
____________________________________________________________
____________________________________________________________
2. Allez-vous configurer un serveur de tte de pont privilgi, et si oui, quels
serveurs de New Delhi utiliserez-vous ?
Oui. Un serveur de tte de pont privilgi permettra de d'acheminer le
trafic de rplications sur un seul serveur du site, rduisant ainsi la
quantit de donnes transfres sur la liaison WAN. Utilisez le serveur
dont le processeur est le plus rapide. Il est le mieux appropri pour
cette tche car le pourcentage de charge qui est plac dans le processeur
de ce serveur est infrieur aux autres.
____________________________________________________________
____________________________________________________________
3. Quelle configuration de pont de liens de sites utiliseriez-vous pour le site de
New Delhi ?
Le paramtre Relier tous les liens du site est le plus appropri car, dans
ce cas, vous n'avez pas besoin de configurer manuellement des ponts de
liens de sites et l'architecture de rplication peut changer
automatiquement en cas d'checs.
____________________________________________________________
____________________________________________________________
63
Conditions pralables
la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!
crer et configurer un site, des liens de sites et des ponts entre les liens
de sites ;
64
Scnario
Dure approximative de
cet atelier :
45 minutes
Configuration de l'atelier
Cette section rpertorie les tches que vous devez effectuer avant de commencer l'atelier.
Compltez le tableau suivant avant de commencer le premier exercice.
lment
1.
Nom du contrleur de
domaine racine de la fort
2.
Nom du contrleur de
domaine enfant
3.
4.
5.
Nom
65
66
Exercice 1
Cration d'un contrleur de domaine rpliqu
Dans cet exercice, vous allez supprimer Active Directory dans le contrleur de domaine du
domaine enfant en prparation la cration de sites pour la rplication Active Directory. Vous
installerez ensuite ce serveur comme contrleur de domaine rpliqu dans la fort nwtradersx.msft.
Tches
Instructions spcifiques
2.
Ajouter le contrleur de
domaine de la tche
prcdente en tant que
contrleur de domaine
rpliqu dans le domaine
nwtradersx.msft.
"
"
"
Exercice 2
Cration et configuration d'un site pour votre domaine
Dans cet exercice, vous allez crer et configurer un site pour votre ordinateur dans la fort
nwtradersx.msft.
Tches
Instructions spcifiques
1.
"
2.
"
Rplication = 50
Intervalle = 60
67
68
Exercice 3
Rsolution des problmes lis la rplication entre sites
Dans cet exercice, vous allez rassembler des informations sur la rplication, puis diagnostiquer son
tat. Excutez replmon, dcdiag et repadmin pour afficher l'tat de la rplication dans votre site.
Tches
1.
Excutez replmon
Instructions spcifiques
"
Quel est le dernier USN mis jour et utilis pour la partition de domaine ? Dans Sites et services Active
Directory, imposez un cycle de rplication et enregistrez toute modification de l'USN. Quelles modifications
se sont produites ?
2.
"
3.
"
Quels serveurs sont vos partenaires de rplication ? Des erreurs sont-elles rpertories ?
Module 8 : Implmentation
du placement des
contrleurs de domaine
Table des matires
Vue d'ensemble
14
24
34
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
75 minutes
Atelier :
30 minutes
Documents de cours
raliser l'atelier ;
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
iv
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
vi
vii
Informations de personnalisation
Cette section identifie la configuration de l'atelier requise pour un module et les
modifications de configuration induites sur les ordinateurs des stagiaires au
cours des ateliers. Ces informations sont donnes pour vous aider dupliquer
ou personnaliser les cours MOC (Microsoft Official Curriculum).
Important L'atelier de ce module dpend galement de la configuration de la
classe spcifie dans la section Informations sur la personnalisation la fin du
Guide de configuration automatise de la classe du cours 2194, Planification,
implmentation et maintenance d'une infrastructure Active Directory
Microsoft Windows Server 2003.
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise
Rsultats de l'atelier
L'excution de l'atelier de ce module modifie la configuration de l'atelier en
activant la mise en cache de l'appartenance au groupe universel dans chaque
LabNom_OrdinateurSite.
Vue d'ensemble
Objectifs
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Fonctions cls
Catalogue global et
authentification du nom
d'utilisateur principal
Catalogue global et
appartenance au groupe
universel
Que se passe-t-il en
l'absence de catalogue
global ?
Pour excuter cette procdure, vous devez tre membre du groupe Admins du
domaine ou du groupe Administrateurs de l'entreprise dans Active Directory,
ou bien les autorisations appropries doivent vous avoir t dlgues.
Procdure
lments prendre en
considration
n'ajoutez que des attributs que les utilisateurs ou les applications de votre
organisation interrogent frquemment ou auxquels il est souvent fait
rfrence ;
Procdure
4. Dans le volet de dtails, cliquez avec le bouton droit sur l'attribut que vous
souhaitez ajouter au serveur de catalogue global, puis cliquez sur Proprits.
5. Cliquez sur Rpliquer cet attribut dans le catalogue global, puis cliquez
sur OK.
Avertissement Si le niveau fonctionnel de la fort n'est pas dfini selon
Windows Server 2003, l'ajout d'un nouvel attribut au serveur de catalogue
global entrane une synchronisation complte de ce serveur.
Pourquoi utiliser la
mise en cache de
l'appartenance au
groupe universel ?
Intervalle d'actualisation
de la mise en cache de
l'appartenance au
groupe universel
10
Objectifs
Points cls
11
12
Pour excuter cette procdure, vous devez tre membre du groupe Admins du
domaine dans le domaine racine de la fort ou du groupe Administrateurs de
l'entreprise dans Active Directory, ou bien les autorisations appropries doivent
vous avoir t dlgues.
Procdure
13
Scnario
Application pratique
14
Avant de placer des contrleurs de domaine dans des sites, vous devez
dterminer le nombre de contrleurs de domaine dont votre organisation a
besoin ainsi que leurs configurations matrielles. Active Directory Sizer est un
programme excutable qui vous aide excuter ces deux tches, afin de vous
permettre de minimiser le cot et de conserver un niveau de service efficace
pour vos utilisateurs.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
15
Quantit de mmoire
16
lments prendre
en considration
Nombre d'utilisateurs
Nombre d'ordinateurs
Administration
17
18
Besoins DNS. Ne spcifiez des valeurs dans ces paramtres que si vous
utilisez un DNS intgr Active Directory.
Vieillissement et nettoyage. Le vieillissement est le processus
d'identification des enregistrements de ressource que DNS a cr
dynamiquement, et que l'ordinateur client qui a cr les enregistrements
n'a pas mis jour en temps utile. Les enregistrements qui sont identifis
par ce processus sont considrs tre obsoltes. La possession de
nombreux enregistrements de ressource vieillissants peut causer des
problmes. Par exemple, ils prennent de la place sur le serveur et les
performances du serveur DNS peuvent en ptir, parce qu'un serveur
risque d'utiliser un enregistrement de ressource vieillissant pour
rpondre une requte. Pour rsoudre ces problmes, le serveur
DNS dans Windows Server 2003 peut nettoyer des enregistrements
vieillissants. Le nettoyage est le processus de suppression des
enregistrements de ressources obsoltes dans les bases de donnes de
la zone du serveur DNS.
NoRefreshInterval. Cette valeur dtermine la frquence d'actualisation
d'un enregistrement. Notez que le serveur continue accepter des mises
jour durant cet intervalle.
19
Procdure
20
6. Dans la page Computers and Other Objects suivante, acceptez les valeurs
par dfaut pour l'utilisation du processeur et le type de processeur prfr,
puis cliquez sur Next.
7. Dans la page Administration, spcifiez des valeurs pour les options
Interval, Add, Delete et Modify, puis cliquez sur Next.
8. Dans la page Exchange 2000, spcifiez si vous envisagez d'utiliser
Exchange, spcifiez le nombre moyen de messages par jour et le nombre de
destinataires, le nombre de serveurs Exchange et de groupes de routage, puis
cliquez sur Next.
9. Dans la page Services Using Active Directory, slectionnez si vous
envisagez d'utiliser un service DNS intgr Active Directory, spcifiez les
connexions d'appel entrant, et utilisez les valeurs par dfaut pour le bail
DHCP (Dynamic Host Configuration Protocol) et NoRefreshInterval, puis
cliquez sur Next.
10. Dans la page Services Using Active Directory suivante, slectionnez les
valeurs pour les services sous Active Directory, cliquez sur Next, puis
cliquez sur Finish.
Aprs avoir excut les tapes de l'Assistant, si vous tes dans un environnement
plusieurs domaines ou sites, vous pouvez utiliser l'arborescence de la console
pour crer des domaines ou des sites supplmentaires, puis rpartir les utilisateurs
entre les domaines ou sites appropris.
Rapport d'Active
Directory Sizer
Lorsque la procdure est termine, le rapport Active Directory Sizer affiche les
informations suivantes :
!
21
22
Scnario
Woodgrove Bank est une petite banque locale possdant cinq agences
Chicago. La banque compte 375 employs : 300 employs au sige et 15
employs dans chaque agence. Woodgrove Bank a choisi d'utiliser :
!
Une stratgie base sur un seul site, sans serveurs dans les agences
23
24
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
25
Instructions
26
27
Instructions
28
29
Lorsque vous devez dterminer sur quels sites activer la mise en cache de
l'appartenance au groupe universel, dveloppez un plan bas sur l'aptitude de
la structure de votre rseau grer le trafic de rplications et de requtes.
Instructions
Appliquez les instructions suivantes pour dterminer s'il faut activer la mise en
cache de l'appartenance au groupe universel pour un site :
!
30
31
Instructions
Placez au moins un serveur DNS dans chaque site. Les serveurs DNS du
site doivent faire autorit concernant les enregistrements du localisateur de
contrleur de domaine du site, afin que toutes les requtes DNS pour les
contrleurs de domaine dans le site soient rsolues par le serveur DNS local.
Par ailleurs, les contrleurs de domaine vrifient priodiquement que les
entres sur le serveur matre principal sont correctes pour chaque
enregistrement du localisateur.
32
33
Objectif
Instructions
34
Conditions pralables
Scnario
Dure approximative
de cet atelier :
30 minutes
la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!
savoir comment les sites, les sous-rseaux, les contrleurs de domaine et les
serveurs de catalogue global affectent le processus de connexion.
Northwind Traders est une banque d'affaires comportant 200 agences rparties
entre l'Illinois, l'Indiana et l'Ohio. Chaque centre rgional possde son propre
personnel informatique qui rend des comptes au personnel informatique du
groupe, bas au sige de la banque Chicago. Northwind Traders a choisi une
stratgie de domaine unique avec pour nom de domaine corp.nwtraders.msft.
Il inclura trois sites : Chicago, Indianapolis et Columbus.
Exercice 1
Dtermination du placement de contrleurs de domaine l'aide
d'Active Directory Sizer
Dans cet exercice, vous allez entrer dans Active Directory Sizer des informations du scnario pour
dterminer combien de contrleurs de domaine, de serveurs de catalogue global et de serveurs de
tte de pont privilgis placer sur chaque site pour Northwind Traders.
Scnario
Northwind Traders a choisi :
!
Les oprations sur le site de Chicago sont stratgiques pour Northwind Traders. Les utilisateurs
situs dans ce site doivent pouvoir ouvrir une session et accder aux ressources du rseau 24 heures
sur 24, 7 jours sur 7.
La direction de Northwind Traders vous a fourni les informations suivantes concernant le nombre
d'utilisateurs dans chaque centre rgional.
Site
Nombre d'agences
Chicago
100
2675
Indianapolis
60
1350
Columbus
35
925
195
4950
Total
35
36
Vous avez consult le personnel informatique dans les centres rgionaux concernant leur rseau et
leurs stations de travail. Ils vous ont fourni les informations suivantes.
lment
Informations
90
25
30
45
Taux maximum moyen d'ouverture de sessions de traitement par lot par seconde
25
4000
Autres ordinateurs
1000
2030
60 %
Auto select
Auto select
20
15
500
Oui
75
15
Serveurs Exchange
Oui
100
12
Aucun
Tches
1.
37
Instructions spcifiques
a.
3.
4.
"
a.
"
Chicago
Indianapolis
Columbus
Combien de contrleurs de domaine Active Directory Sizer recommande-t-il pour le site de Chicago ?
38
Exercice 2
Activation de la mise en cache de l'appartenance au groupe
universel
Dans cet exercice, vous allez activer la mise en cache de l'appartenance au groupe universel pour un
site, et spcifier quel site vous utiliserez pour actualiser la mmoire cache.
Scnario
L'une des agences de Northwind Traders a connu une telle croissance que vous avez cr un
nouveau site pour elle dans Active Directory, dans lequel vous avez plac un contrleur de domaine
qui n'est pas un serveur de catalogue global. Vous devez vous assurer que les utilisateurs peuvent
ouvrir une session et accder aux ressources sur les serveurs locaux, mme en cas de rupture de
liaison avec le WAN. Cependant, la liaison WAN avec le sige du groupe est fortement utilise
pendant la journe pour grer le trafic des sessions avec les macro-ordinateurs. Vous devez
minimiser la quantit de trafic de rplications Active Directory qui est envoye sur la liaison WAN.
Tches
Instructions spcifiques
"
a.
11
24
36
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
60 minutes
Atelier :
30 minutes
Objectifs
Documents de cours
lire tous les documents du module et les documents associs situs sur les
CD-ROM du stagiaire et de l'instructeur, anticiper les questions que les
stagiaires sont susceptibles de poser et prparer des rponses appropries
pour chacune de ces questions ;
raliser l'atelier ;
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.
iv
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
vi
Informations de personnalisation
Cette section identifie la configuration de l'atelier requise pour un module et
les modifications de configuration induites sur les ordinateurs des stagiaires au
cours des ateliers. Ces informations sont donnes pour vous aider dupliquer
ou personnaliser les cours MOC (Microsoft Official Curriculum).
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1
Rsultats de l'atelier
L'excution de l'atelier de ce module dplace l'mulateur PDC, le matre
d'infrastructure et les rles de matre des identificateurs relatifs (RID, Relative
IDentifer) vers le second ordinateur du domaine.
Remarque Si le matre d'infrastructure a t transfr vers le deuxime
ordinateur du domaine au cours de l'application pratique, il sera ramen vers
le premier ordinateur du domaine durant cet atelier.
Vue d'ensemble
Objectifs
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Rles du contrleur
de schma
il contient la liste principale des classes d'objets et des attributs utiliss pour
la cration de tous les objets Active Directory ;
il rplique les mises jour apportes au schma Active Directory sur tous
les contrleurs de domaine de la fort en utilisant la rplication de la
partition de schma ;
Chaque fort possde un seul contrleur de schma. Cela permet d'viter les
conflits qu'entraneraient des tentatives de mise jour simultanes du schma
par plusieurs contrleurs de domaine. Si le contrleur de schma n'est pas
disponible, vous ne pouvez pas modifier le schma ou installer des applications
qui le modifient.
Rles du matre
d'attribution de
noms de domaine
Rles de
l'mulateur PDC
Prise en charge de
la cration et des
dplacements d'objets
par le matre RID
Lors d'un dplacement d'un domaine un autre, le matre RID supprime l'objet
du domaine d'origine.
Identification de
l'appartenance
un groupe
Si l'objet est dplac, son nom unique change car il reprsente son
emplacement exact dans l'annuaire.
10
Matre d'infrastructure
et catalogue global
11
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
12
Les rles de matres d'oprations sont mis en place dans une fort lors de
l'implmentation de la structure du domaine et de la fort. Un transfert de rle
de matre d'oprations ne doit intervenir qu'en cas de modification majeure de
l'infrastructure du domaine. De telles modifications comprennent le retrait d'un
contrleur de domaine dtenant un rle et l'ajout d'un nouveau contrleur de
domaine mieux mme d'excuter un rle spcifique. Le transfert d'un rle
de matre d'oprations implique son dplacement d'un contrleur de domaine
en activit vers un autre. Pour que ce transfert puisse avoir lieu, les deux
contrleurs de domaine doivent fonctionner, tre actifs et connects au rseau.
Implications du transfert
d'un rle
Autorisations
ncessaires
13
Groupe autoris
Contrleur de schma
Matre d'attribution de
noms de domaine
mulateur PDC
Matre RID
Matre d'infrastructure
14
Implications de la
prise d'un rle
La prise d'un rle de matre d'oprations est une mesure drastique. Cette
opration doit tre effectue uniquement si le matre des oprations en cours est
dfinitivement indisponible et si ce rle ne peut pas tre transfr. Le dtenteur
du rle prcdent tant indisponible au cours de la prise, vous ne pouvez pas le
reconfigurer ou l'informer qu'un autre contrleur de domaine dtient maintenant
le rle de matre d'oprations.
Pour rduire les risques, n'effectuez cette prise de rle que si le rle de matre
d'oprations dfaillant affecte les performances d'Active Directory de faon
inacceptable. Estimez l'effet produit en comparant l'impact d'une indisponibilit
du rle de matre d'oprations la charge de travail lie au fait de remettre le
dtenteur du rle prcdent en ligne aprs la prise du rle.
Important Avant de prendre un rle, dconnectez dfinitivement le contrleur
de domaine jouant le rle de matre d'oprations du rseau.
Si vous rparez le dtenteur du rle prcdent et le ramenez en ligne aprs la
prise du rle de matre d'oprations, le dtenteur du rle prcdent attend la
fin d'un cycle de rplication complet avant de reprendre le rle de matre
d'oprations. Il peut ainsi dterminer l'existence ventuelle d'un autre matre
d'oprations avant de revenir en ligne. S'il en dtecte un, il se reconfigure
lui-mme de manire ne plus excuter le rle en question.
15
Rle de matre
d'oprations
Consquences de
l'indisponibilit du rle
Risques d'une
restauration incorrecte
Contrleur de schma
Matre d'attribution de
noms de domaine
L'ajout et la suppression
de domaines, ainsi que
le nettoyage des
mtadonnes sont
impossibles. Des domaines
peuvent s'afficher de faon
incorrecte, mme s'ils sont
toujours dans la fort.
mulateur PDC
Autorise.
L'authentification des
utilisateurs peut tre
erratique pendant un
moment, mais l'opration
n'entrane aucun dommage
permanent.
Matre d'infrastructure
Matre RID
16
Procdure de
dtermination du
matre RID, de
l'mulateur PDC et du
matre d'infrastructure
Procdure de
dtermination du
matre d'attribution
de noms de domaine
Procdure de
dtermination du
contrleur de schma
17
18
Procdure de transfert
des rles de matre RID,
d'mulateur PDC et de
matre d'infrastructure
Procdure de transfert
du rle de matre
d'attribution de
noms de domaine
19
Procdure de transfert
du rle de contrleur
de schma
20
Tches de rcupration
Pour effectuer une rcupration suite la dfaillance d'un matre RID, d'un
contrleur de schma ou d'un matre d'attribution de noms de domaine,
procdez comme suit :
1. Dconnectez l'actuel matre d'oprations du rseau avant de prendre le rle.
2. Pour effectuer l'opration, utilisez la commande ntdsutil.
3. Attendez que toutes les mises jour apportes par le contrleur de domaine
dfaillant aient t rpliques sur le contrleur de domaine qui va prendre
le rle.
4. Assurez-vous que le contrleur de domaine dont le rle va tre pris soit
supprim du domaine et jamais restaur.
5. Avant de reconnecter cet ordinateur au rseau, reformatez la partition
contenant les fichiers du systme d'exploitation du matre d'oprations
d'origine et rinstallez Microsoft Windows Server 2003.
Procdure de prise
d'un rle l'aide
de Utilisateurs et
ordinateurs Active
Directory
21
22
Dans cette application pratique, vous allez effectuer les tches suivantes :
!
Instructions
Scnario
Application pratique
23
24
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
25
Instructions
Dans une fort de domaine unique, laissez tous les rles de matres
d'oprations sur le premier contrleur de domaine de la fort. Dsignez
chaque contrleur de domaine en tant que serveur de catalogue global car
les donnes de ce dernier ne contiennent que les donnes du domaine.
26
27
Instructions
28
Instructions
29
Instructions
30
31
Instructions
Placez le matre RID dans un site dans lequel un grand nombre d'objets
principaux de scurit sont crs, tels que des objets utilisateur et groupe.
Cette localisation est courante lorsqu'un groupe d'administrateurs cre tous
les comptes d'utilisateurs de l'organisation puisque la plupart de ces comptes
se trouvant aux mmes endroits que les utilisateurs, les consquences
ventuelles d'une dfaillance de la liaison rseau restent minimes.
32
Le matre d'infrastructure est charg d'effectuer rapidement les mises jour des
rfrences entre les domaines, par exemple les modifications d'appartenance
un groupe contenant des comptes d'utilisateurs d'autres domaines. Il n'existe
qu'un matre d'infrastructure dans un domaine.
Instructions
33
Ne prenez les rles de matre d'oprations que lorsque vous ne pouvez pas
restaurer le contrleur de domaine propritaire du rle par exemple,
lorsqu'un contrleur de domaine est physiquement dtruit et ne peut tre
restaur l'aide d'un support de sauvegarde. Avant de prendre un rle de matre
d'oprations, dconnectez physiquement le contrleur de domaine du rseau.
Instructions
Pour prendre le rle d'un matre d'mulateur PDC, procdez comme suit :
!
34
35
Objectif
Dans cet exercice, vous allez planifier le placement d'un matre d'oprations.
Instructions
36
la fin de cet atelier, vous serez mme de transfrer et prendre des rles de
matres d'oprations dans Active Directory.
Conditions pralables
Scnario
Dure approximative
de cet atelier :
30 minutes
37
Exercice 1
Prise de rles de matres d'oprations
Dans cet exercice, vous allez utiliser Ntdsutil.exe pour prendre le rle de matres d'infrastructure du
serveur de votre partenaire. Le contrleur de domaine jouant le rle de matre d'infrastructure a subi
une surtension du fait du dysfonctionnement de son onduleur (UPS, Uninterruptible Power Supply).
Le problme est d une boisson renverse sur le botier. L'ordinateur ne fonctionne plus.
Tches
1.
Instructions spcifiques
Important : Excutez cette tche sur les deux serveurs du
domaine.
Utiliser le composant
Utilisateurs et ordinateurs
Active Directory pour
identifier le serveur
excutant le rle de matre
d'infrastructure dans votre
domaine.
2.
3.
a.
4.
38
Exercice 2
Transfert des rles de matres d'oprations
Dans cet exercice, vous allez transfrer les rles de matre d'oprations un autre serveur. L'quipe
informatique (IT) de Northwind Traders a dcid de placer les rles d'mulateur PDC et de matre
RID sur un serveur ne dtenant pas les rles de contrleur de schma et de matre d'attribution de
noms de domaine. Vous devez transfrer les rles d'mulateur PDC et de matre RID sur l'autre
serveur.
Tches
1.
Instructions spcifiques
Transfrer le rle de
l'mulateur PDC un autre
serveur dans votre domaine.
a.
2.
a.
3.
Utiliser la console
Utilisateurs et ordinateurs
Active Directory pour
vrifier que les rles ont
bien t transfrs.
Module 10 : Maintenance
d'Active Directory
Table des matires
Vue d'ensemble
13
19
30
38
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
60 minutes
Atelier :
45 minutes
Documents de cours
raliser l'atelier ;
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
iv
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
Vous devez contrler l'espace disque libre sur les partitions de stockage de
la base de donnes Active Directory et fournir des avertissements aux seuils
d'espace disque logique suivants :
Partition Ntds.dit : plus de 20 % de la taille du fichier Ntds.dit ou
500 mgaoctets (Mo).
Partition des fichiers journaux : plus de 20 % de la taille des fichiers
journaux combins ou 500 Mo.
Fichier Ntds.dit et fichiers journaux sur le mme volume : plus d'un
gigaoctet (Go) ou 20 % de la taille totale du fichier Ntds.dit et des
fichiers journaux.
vi
Expliquez galement aux stagiaires que s'ils dfinissent des seuils d'alerte, ils
doivent diviser par deux les seuils d'avertissement ci-dessus. Aprs suppression
d'objets dans la base de donnes, Active Directory conserve les objets de
dsactivation ( tombstone ) pendant 60 jours (par dfaut). Durant ce laps
de temps, il n'est pas possible de supprimer ces enregistrements. Lors d'une
suppression grande chelle, comme la suppression du catalogue global d'un
contrleur de domaine, Active Directory n'adapte pas automatiquement l'espace
au niveau du systme de fichiers. Ce qui n'a donc aucun impact sur le
fonctionnement de la base de donnes, mais la rsulte en un fichier plus
volumineux.
Application pratique
vii
viii
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise
Pour l'atelier de ce module, les ordinateurs des stagiaires doivent figurer dans
un domaine racine de la fort partag. Avant de configurer les ordinateurs des
stagiaires, assurez-vous qu'ils ont termin l'atelier du Module 7.
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!
Vue d'ensemble
Objectifs
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Objectifs
la fin de cette prsentation, vous serez mme d'effectuer les tches suivantes :
Points cls
Les points cls du processus de modification des donnes Active Directory sont
les suivants :
!
Le moteur de base de donnes d'Active Directory, ESE, stocke tous les objets
d'Active Directory. Le moteur ESE utilise des transactions et des fichiers
journaux pour garantir l'intgrit de la base de donnes Active Directory.
Fichiers d'Active
Directory
Ntds.dit. La base de donnes Active Directory qui stocke tous les objets
d'Active Directory au niveau du contrleur de domaine. L'extension .dit fait
rfrence l'arborescence des informations de l'annuaire. Son emplacement
par dfaut est le dossier %systemroot%\NTDS. Active Directory enregistre
chaque transaction dans un ou plusieurs fichiers journaux associs au fichier
Ntds.dit.
Edb*.log. Le fichier journal des transactions dont le nom par dfaut est
Edb.log et d'une capacit de 10 mgaoctets (Mo). Lorsque le fichier Edb.log
est satur, Active Directory cre un autre fichier dnomm Edbnnnnn.log
(o nnnnn correspond l'ordre chronologique de cration).
Pourquoi
dfragmenter ?
Pourquoi dplacer la
base de donnes et les
fichiers journaux ?
Vous dplacez une base de donnes vers un nouvel emplacement lorsque vous
dfragmentez cette dernire. Dplacer la base de donnes ne supprimera pas
la base de donnes originale. Vous pouvez donc utiliser la base de donnes
originale si la base de donnes dfragmente ne fonctionne pas ou est
corrompue. De mme, si votre espace disque est limit, vous pouvez ajouter
un autre disque dur pour y placer la base de donnes.
Enfin, vous pouvez dplacer les fichiers de la base de donnes en vue
d'effectuer une opration de maintenance matrielle. Si le disque de stockage
des fichiers doit tre mis niveau ou doit subir une opration de maintenance,
vous pouvez dplacer les fichiers vers un autre emplacement de faon
temporaire ou permanente.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Pourquoi utiliser
Ntdsutil pour dplacer
la base de donnes ?
Procdure
Pour dplacer la base de donnes Active Directory, excutez les tapes suivantes :
1. Par prcaution, sauvegardez Active Directory.
Vous pouvez sauvegarder Active Directory en ligne si, dans l'Assistant de
sauvegarde, vous choisissez de tout sauvegarder sur l'ordinateur ou de ne
sauvegarder que les donnes d'tat systme.
2. Redmarrez le contrleur de domaine, appuyez sur F8 pour afficher le menu
Menu d'options avances de Windows, slectionnez Mode restauration
Active Directory, puis appuyez sur ENTRE.
3. Ouvrez une session en utilisant le compte d'administrateur et le mot de passe
dfini pour le compte Administrateur local dans le Gestionnaire de comptes
de scurit (SAM, Security Accounts Manager).
Exigences d'espace
disque
Procdure
10
11
Dans cette application pratique, vous allez dplacer la base de donnes de votre
contrleur de domaine vers un autre emplacement pour effectuer ensuite une
dfragmentation hors connexion. Vous allez galement effectuer un contrle
d'intgrit et une analyse smantique de la base de donnes dfragmente.
Instructions
Scnario
Application pratique
12
13
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
14
Composants
15
16
Pour sauvegarder les donnes d'tat systme, vous devez appartenir au groupe
Administrateurs ou Oprateurs de sauvegarde sur l'ordinateur local, ou vous
devez avoir reu les autorisations adquates (dlgation). Si l'ordinateur se
trouve dans un domaine, les membres du groupe Admins du domaine peuvent
excuter la procdure.
Vous pouvez uniquement sauvegarder les donnes d'tat systme sur un
ordinateur local. Vous ne pouvez pas sauvegarder les donnes d'tat systme
sur un ordinateur distant.
Procdure
Pour sauvegarder les donnes d'tat systme, excutez les tapes suivantes :
1. Dans le menu Dmarrer, pointez sur Tous les programmes, sur
Accessoires et sur Outils systme, puis cliquez sur Utilitaire de
sauvegarde.
2. Dans la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant.
3. Dans la page Sauvegarder ou Restaurer, cliquez sur Sauvegarder des
fichiers et des paramtres, puis sur Suivant.
4. Dans la page Que voulez-vous sauvegarder ?, cliquez sur Me laisser
choisir les fichiers sauvegarder, puis sur Suivant.
5. Dans la page lments sauvegarder, dveloppez Poste de travail,
activez la case cocher System State, puis cliquez sur Suivant.
6. Dans la page Type, nom et destination de la sauvegarde, cliquez sur
Parcourir. Slectionnez ensuite un emplacement pour la sauvegarde et
cliquez sur Enregistrer, puis sur Suivant.
7. Dans la page Fin de l'Assistant Sauvegarde ou Restauration, cliquez
sur Terminer.
8. Dans la page Sauvegarde en cours, cliquez sur Fermer.
17
18
Dans cette application pratique, vous allez crer une unit d'organisation que
vous supprimerez aprs sauvegarde des donnes d'tat systme de l'ordinateur.
Instructions
Scnario
Application pratique
19
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
20
Objectif
Instructions
Points cls
21
Importance de la dure
de vie des objets de
dsactivation
Vous ne pouvez pas restaurer Active Directory partir d'une sauvegarde qui
est plus vieille que la dure de vie des objets de dsactivation, laquelle est
de 60 jours par dfaut. Un contrleur de domaine garde une trace des objets
supprims pour ce laps de temps uniquement. En prsence de plusieurs
contrleurs de domaine et si la dure de vie de la sauvegarde est infrieure
celle des objets de dsactivation, restaurez la sauvegarde dont vous disposez
et lancez une rplication entre les contrleurs de domaine pour mettre jour
Active Directory. Si vous n'avez qu'un seul contrleur de domaine, vous
perdrez toutes les modifications apportes aprs la sauvegarde.
22
Procdure
23
24
Vous pouvez restaurer Active Directory de manire non force lorsque vous
remplacez un contrleur de domaine dfectueux ou rparez une base de donnes
Active Directory endommage.
Procdure
25
26
Pourquoi utiliser
Ntdsutil pour une
restauration force ?
Procdure
27
8. Tapez de nouveau quit, puis appuyez sur ENTRE pour quitter ntdsutil.
9. Redmarrez le contrleur de domaine.
10. Aprs publication du dossier SYSVOL par le systme FRS, copiez le
dossier SYSVOL et uniquement les dossiers de la stratgie de groupe
correspondant aux objets de la stratgie de groupe restaurs depuis le nouvel
emplacement vers les emplacements existants.
11. Pour vrifier que l'opration de copie s'est bien droule, examinez le
contenu du dossier SYSVOL\Domaine, o Domaine correspond au nom
de domaine.
Remarque Pour plus d'informations sur les noms d'utilisateur uniques,
reportez-vous au Module 1, Introduction l'infrastructure Active Directory ,
du cours 2194, Planification, implmentation et maintenance d'une
infrastructure Active Directory Microsoft Windows Server 2003.
28
Instructions
Scnario
Application pratique
29
30
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
31
Pourquoi effectuer
un contrle ?
tous les services requis prenant en charge Active Directory fonctionnent sur
chaque contrleur de domaine ;
32
Niveaux de contrle
Windows Server 2003 offre une puissante suite d'interfaces et de services que
les dveloppeurs peuvent utiliser pour laborer des solutions de contrle
sophistiqu.
Comment dterminer
le niveau de contrle
requis
33
vnements contrler
Types d'vnement
vnement
Description
Exemples
vnements du contrleur
de domaine du rseau
"
"
Svrit = erreur
34
(suite)
vnement
Description
Exemples
vnements de rplication
Svrit = erreur ;
utilisateur = systme
vnements
d'authentification
Svrit =
avertissement ;
svrit = erreur ;
Rapport 11
hebdomadaire
"
"
"
"
Remarque Pour plus d'informations sur les options avances d'une restauration
principale, reportez-vous la rubrique vnements contrler de la page
d'annexe du Module 10 sur le CD-ROM du stagiaire.
35
Types de compteurs de
performance
Compteurs de performance
Description
Exemples
Sous-oprations de recherche
Active Directory/s.,
% Temps processeurLSASS,
Recherches LDAP/s., Octet priv
et Nombre de handlesLSASS
Compteurs de performance de
contrle des volumes de scurit
cls
36
Instructions
Dterminez une ligne de base fiable pour les seuils afin de dfinir la limite
de transmission d'avertissements et d'alertes. Vous devez connatre les
niveaux de fonctionnement normal avant de dterminer si une action est
requise. En dfinissant une ligne de base, vous pouvez rassembler
suffisamment de donnes pour dcider d'un plan d'action en cas d'incident.
37
38
Conditions pralables
Dure approximative
de cet atelier :
45 minutes
la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!
39
Exercice 1
Sauvegarde d'Active Directory
Dans cet exercice, vous allez crer une unit d'organisation et un ensemble de comptes d'utilisateurs
dans l'unit d'organisation. Ensuite, vous allez sauvegarder les donnes d'tat systme au niveau du
contrleur de domaine, puis supprimer l'unit d'organisation.
Vous travaillerez avec un partenaire dans le domaine Active Directory qui contient votre contrleur
de domaine et celui de votre partenaire. Vous excuterez les tapes de votre ct, puis vrifierez
avec votre partenaire que la sauvegarde comprend les donnes que vous avez tous les deux cres.
Scnario
Northwind Traders ouvre une nouvelle division dans le dpartement marketing destine
encourager la prise de conscience de l'environnement au sein de l'organisation. Vous devez crer
l'objet Active Directory adquat, qui devra comporter la nouvelle division et cinq comptes
d'utilisateurs pour les personnes qui travailleront dans cette division. Northwind Traders a choisi
un mot de passe standard pour tous les nouveaux comptes d'utilisateurs, savoir St@rTr3k!.
Vous allez dsactiver les comptes d'utilisateurs jusqu'au lancement officiel de la nouvelle division.
La direction de Northwind Traders souhaite que vous utilisiez cette unit d'organisation pour tester
sa procdure de rcupration d'urgence. Aprs avoir cr la structure de base de la nouvelle unit
d'organisation, vous devez supprimer l'objet, puis vrifiez que vous pouvez le rcuprer en utilisant
les procdures de sauvegarde et de restauration.
Tches
1.
Ouvrir le domaine
nwtradersx.msft et crer une
unit d'organisation.
Instructions spcifiques
a.
2.
"
LabNom_OrdinateurOU
3.
4.
"
40
Tches
5.
Afficher le journal de la
session sauvegarde.
Instructions spcifiques
"
7.
Supprimer l'unit
d'organisation cre
prcdemment, confirmer la
suppression des deux objets
et forcer la rplication si
ncessaire.
a.
a.
41
Exercice 2
Restauration d'Active Directory
Dans cet exercice, vous allez tester les fonctions de rcupration d'urgence en effectuant une
restauration force de l'unit d'organisation supprime l'exercice 1.
Scnario
Lors du test des fonctions de rcupration d'urgence de Northwind Traders, vous allez essayer
de rcuprer une unit d'organisation supprime accidentellement ainsi que les objets utilisateur
du conteneur.
Tches
1.
Instructions spcifiques
a.
2.
3.
Marquer l'unit
d'organisation restaure
comment faisant autorit.
c.
"
42
Exercice 3
Vrification des rsultats d'une restauration d'Active Directory
Dans cet exercice, vous allez travailler conjointement avec votre partenaire pour vrifier que les
objets supprims ont bien t restaurs et rpliqus dans les contrleurs de domaine. Excutez
chacune des tapes indpendamment de votre partenaire. Assurez-vous que votre partenaire a
ralis chaque exercice avant de continuer.
Scnario
Vous tes dans la phase finale du cycle de test de la rcupration d'urgence. Vous devez prsent
vrifier que le processus de restauration force fonctionne comme prvu. Vous allez dterminer si
les objets rcuprs ont t restaurs dans la base de donnes Active Directory afin de documenter
la procdure de rcupration d'urgence pour une utilisation future.
Tches
"
Instructions spcifiques
Remarque : Si l'unit d'organisation de votre partenaire ne s'affiche
pas, effectuez de nouveau la rplication sur l'objet connexion partir
du serveur de votre partenaire.
Module 11 : Planification
et implmentation d'une
infrastructure Active Directory
Table des matires
Vue d'ensemble
Leon : Implmentation de
l'infrastructure Active Directory
pour Tailspin Toys
23
Atelier B : Implmentation de
l'infrastructure Active Directory
pour Tailspin Toys
24
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
iii
Notes de l'instructeur
Prsentation :
30 minutes
Ateliers :
165 minutes
Documents de cours
Prparation
iv
Vue d'ensemble
Objectifs
Ce module prsente une tude de cas relative une entreprise fictive appele
Tailspin Toys. Les ateliers de ce module portent sur les efforts de l'entreprise
pour planifier et implmenter Active Directory au sein de la socit, en
collaboration avec des partenaires et des fournisseurs de services. Dans les
ateliers de ce module, vous allez utiliser une application interactive, le
Navigateur d'atelier, afin d'analyser des informations bases sur un scnario.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
Composants de
conception d'Active
Directory
Composants du plan
d'implmentation
d'Active Directory
la conception du site.
Stratgie de compte
Plans venir
Personnel cl
Tad Orman. En tant que directeur des nouvelles technologies, Tad est
responsable de la bonne marche du dveloppement et de l'implmentation
d'une conception d'Active Directory dans l'ensemble de Tailspin Toys,
Contoso, Ltd, Wingtip Toys, ses fournisseurs, Trey Research, A. Datum
Corporation et son fournisseur externe, Consolidated Messenger.
Fichiers rseau. Il s'agit d'un serveur de fichiers qui contient des dossiers
avec des documents pertinents dont vous pourriez avoir besoin pour
effectuer l'atelier.
! Raliser l'atelier
1. Lisez les messages lectroniques de Linda pour connatre les objectifs de
l'atelier.
2. Lisez les documents relatifs la conception d'Active Directory afin de crer
un plan d'implmentation.
3. Commentez vos rponses avec la classe.
Conditions pralables
la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!
Scnario
Dure approximative
de cet atelier :
45 minutes
Exercice 1
Planification de la structure de fort
Dans cet exercice, vous allez choisir la manire d'implmenter une structure de
fort Active Directory pour l'entreprise Tailspin Toys. Utilisez les informations
du Navigateur d'atelier que l'quipe Ingnierie et conception de Tailspin Toys a
dvelopp. De mme, utilisez les entres de la part de vos collgues pour
laborer le plan d'implmentation.
Nom de la socit
Domaines supplmentaires
Nombre de
contrleurs
de domaine
10
Exercice 2
Planification de la structure de l'unit d'organisation
Dans cet exercice, vous allez choisir la manire d'implmenter une structure
d'unit d'organisation pour l'entreprise Tailspin Toys et ses partenaires.
Conformez-vous aux instructions dveloppes par l'quipe Ingnierie et
conception. Reportez-vous au Navigateur d'atelier pour obtenir les instructions
et autres informations dont vous avez besoin pour prendre vos dcisions.
Scnario
Domaine
Unit d'organisation1
Unit d'organisation2
Unit d'organisation3
Utilisateur1
Utilisateur6
Utilisateur11
Utilisateur2
Utilisateur7
Utilisateur12
Utilisateur3
Utilisateur8
Utilisateur13
Utilisateur4
Utilisateur9
Utilisateur14
Utilisateur5
Utilisateur10
Utilisateur15
Groupe1
Groupe6
Groupe11
Groupe2
Groupe7
Groupe12
Groupe3
Groupe8
Groupe13
Groupe4
Groupe9
Groupe14
Groupe5
Groupe10
Groupe15
11
12
Domaine
Unit d'organisation1
Unit d'organisation2
Unit d'organisation3
Utilisateur1
Utilisateur6
Utilisateur11
Utilisateur2
Utilisateur7
Utilisateur12
Utilisateur3
Utilisateur8
Utilisateur13
Utilisateur4
Utilisateur9
Utilisateur14
Utilisateur5
Utilisateur10
Utilisateur15
Groupe1
Groupe6
Groupe11
Groupe2
Groupe7
Groupe12
Groupe3
Groupe8
Groupe13
Groupe4
Groupe9
Groupe14
Groupe5
Groupe10
Groupe15
Domaine
Unit d'organisation1
Unit d'organisation2
Unit d'organisation3
Utilisateur1
Utilisateur6
Utilisateur11
Utilisateur2
Utilisateur7
Utilisateur12
Utilisateur3
Utilisateur8
Utilisateur13
Utilisateur4
Utilisateur9
Utilisateur14
Utilisateur5
Utilisateur10
Utilisateur15
Groupe1
Groupe6
Groupe11
Groupe2
Groupe7
Groupe12
Groupe3
Groupe8
Groupe13
Groupe4
Groupe9
Groupe14
Groupe5
Groupe10
Groupe15
13
14
Domaine
Unit d'organisation1
Unit d'organisation2
Unit d'organisation3
Utilisateur1
Utilisateur6
Utilisateur11
Utilisateur2
Utilisateur7
Utilisateur12
Utilisateur3
Utilisateur8
Utilisateur13
Utilisateur4
Utilisateur9
Utilisateur14
Utilisateur5
Utilisateur10
Utilisateur15
Groupe1
Groupe6
Groupe11
Groupe2
Groupe7
Groupe12
Groupe3
Groupe8
Groupe13
Groupe4
Groupe9
Groupe14
Groupe5
Groupe10
Groupe15
15
Exercice 3
Planification des comptes d'utilisateurs, des comptes de groupes et
des comptes d'ordinateurs
Dans cet exercice, vous allez choisir la manire d'implmenter des comptes
d'utilisateurs, des comptes de groupes et des comptes d'ordinateurs pour
l'entreprise Tailspin Toys et ses partenaires. Tenez compte des critres de
dcision dans l'entreprise et des types de comptes de groupes que vous devez
crer. Conformez-vous aux instructions de l'quipe Ingnierie et conception.
Reportez-vous au Navigateur d'atelier pour obtenir les instructions et autres
informations dont vous avez besoin pour prendre vos dcisions.
16
Exercice 4
Planification des conditions requises de stratgie de groupe
Dans cet exercice, vous allez choisir la manire d'implmenter une stratgie de
groupe dans l'environnement de Tailspin Toys. Tenez compte des conditions
requises de Tailspin Toys et de ses partenaires, notamment les instructions de
l'quipe Ingnierie et conception. Reportez-vous au Navigateur d'atelier pour
obtenir les instructions et autres informations dont vous avez besoin pour
prendre vos dcisions.
17
Exercice 5
Planification du dploiement de logiciels
Dans cet exercice, vous allez choisir les logiciels que vous allez dployer dans
l'environnement de l'entreprise et la manire d'utiliser au mieux les mthodes
de distribution votre disposition. Aidez-vous des instructions et des autres
informations du Navigateur d'atelier pour prendre vos dcisions.
18
Exercice 6
Planification des sites et du placement des contrleurs de domaine
Dans cet exercice, vous allez dterminer les sites que vous allez crer, le cas
chant. Vous allez galement planifier la distribution des contrleurs de
domaine dans l'entreprise en fonction des rles qu'ils ralisent. Aidez-vous des
instructions cres par l'quipe Ingnierie et conception ainsi que d'autres
informations du Navigateur d'atelier pour prendre vos dcisions.
Nom du site
Emplacement
Domaine
Contrleur de domaine
Emplacement
19
20
Exercice 7
Planification des approbations
Dans cet exercice, vous allez choisir la meilleure approche pour implmenter
les approbations. Conformez-vous aux instructions de l'quipe Ingnierie et
conception. Reportez-vous au Navigateur d'atelier pour obtenir des instructions
et d'autres informations ncessaires. En fonction du scnario fournit par l'quipe
de conception, choisissez le nombre et le type d'approbations crer dans
l'entreprise. Tenez compte des consquences de vos dcisions sur la scurit.
Approbation de fort
Destination de
l'approbation
Type d'approbation
21
Exercice 8
Planification de la rcupration d'urgence
Dans cet exercice, vous allez choisir la meilleure approche utiliser pour
planifier la rcupration d'urgence. Aidez-vous des instructions de l'quipe de
conception. Reportez-vous au Navigateur d'atelier pour obtenir les informations
ncessaires pour prendre vos dcisions.
Scnario
22
Exercice 9
Vrification du plan d'implmentation
Dans cet exercice, vous allez dterminer si les composants cl du plan
d'implmentation fonctionnent comme prvu pour l'entreprise Tailspin Toys
et ses partenaires. Aidez-vous des instructions de l'quipe Ingnierie et
conception. Reportez-vous au Navigateur d'atelier pour obtenir les instructions
et autres informations dont vous avez besoin pour prendre vos dcisions.
23
Dans cette leon, vous allez implmenter une solution pour Tailspin Toys en
fonction du plan d'implmentation d'Active Directory que vous avez cr au
cours de l'atelier de la leon prcdente.
Objectif de la leon
24
Conditions pralables
Scnario
Dure approximative
de cet atelier :
120 minutes
25
Exercice 0
Configuration de l'atelier
Cette section rpertorie les tches que vous devez effectuer avant de commencer l'atelier.
Important : Configurez le serveur London comme rfrence pour la zone .msft. Cette
zone sera dlgue chaque contrleur de domaine du stagiaire de l'atelier qui sert
de rfrence pour cette zone. Les stagiaires vont configurer leur ordinateur afin de
transfrer des requtes DNS vers le serveur London de cet atelier.
Tches
Procdure dtaille
"
a.
Configurer l'ordinateur de
l'instructeur afin de dlguer
les domaines DNS.
f.
g.
26
Exercice 1
Suppression d'Active Directory et modification du nom de
votre serveur
Dans cet exercice, vous allez supprimer Active Directory de votre ordinateur en prparation de
l'implmentation du plan que vous avez dvelopp dans l'atelier prcdent. Vous allez ensuite
renommer votre serveur en fonction du rle qu'il va jouer dans l'implmentation.
Le tableau ci-dessous rpertorie les informations relatives aux nouveaux noms de serveur.
Ancien nom
Nouveau nom
Vancouver
NYDC1
Denver
FYDC1
Perth
HODC1
Brisbane
AUDC1
Lisbon
PADC1
Bonn
SRDC1
Lima
HEDC1
Santiago
FADC1
Bangalore
DADC1
Singapore
EPDC1
Casablanca
CHDC1
Tunis
LJDC1
Acapulco
NYDC2
Miami
FYDC2
Auckland
HODC2
Suva
AUDC2
Stockholm
PADC2
Moscow
SRDC2
Caracas
HEDC2
Montevideo
FADC2
Manila
DADC2
Tokyo
EPDC2
Khartoum
CHDC2
Nairobi
LJDC2
Tches
Instructions spcifiques
1.
"
2.
"
Exercice 2
Cration de forts et d'arborescences
Dans cet exercice, vous allez utiliser le plan d'implmentation de l'atelier A afin de crer les forts
et les arborescences de domaine appropries.
Le tableau suivant rpertorie les six serveurs racines de la fort et leurs noms de domaine
correspondants.
Serveur racine de la fort
Domaine
NYDC1
newyork.tailspintoys.msft
HODC1
houston.wingtiptoys.msft
PADC1
paloalto.contoso.msft
HEDC1
helena.treyresearch.msft
DADC1
davenport.adatum.msft
CHDC1
chicago.consolidatedmessenger.msft
Le tableau suivant rpertorie les six arborescences supplmentaires des forts existantes et leurs
noms de domaine correspondants.
Serveur
Domaine
FYDC1
fayetteville.tailspintoys.msft
AUDC1
austin.wingtiptoys.msft
SRDC1
sanramon.contoso.msft
FADC1
fargo.treyresearch.msft
EPDC1
edenprairie.adatum.msft
LJDC1
lajolla.consolidatedmessenger.msft
Le tableau suivant rpertorie les serveurs supplmentaires et leurs noms de domaine existants
correspondants.
Serveur
Domaine
NYDC2
newyork.tailspintoys.msft
FYDC2
fayetteville.tailspintoys.msft
HODC2
houston.wingtiptoys.msft
AUDC2
austin.wingtiptoys.msft
PADC2
paloalto.contoso.msft
SRDC2
sanramon.contoso.msft
HEDC2
helena.treyresearch.msft
FADC2
fargo.treyresearch.msft
DADC2
davenport.adatum.msft
EPDC2
edenprairie.adatum.msft
CHDC2
chicago.consolidatedmessenger.msft
LJDC2
lajolla.consolidatedmessenger.msft
27
28
Scnario
En tant que membre de l'quipe Ingnierie et conception, vous devez crer la structure logique
d'Active Directory que vous allez utiliser dans l'implmentation d'Active Directory pour
Tailspin Toys.
Tches
Instructions spcifiques
1.
"
Installez Active Directory sur les six serveurs racines de la fort puis
crez les domaines en fonction des informations du premier tableau de
l'exercice 2.
2.
a.
c.
a.
3.
29
Exercice 3
Cration de la structure de l'unit d'organisation
Dans cet exercice, vous allez crer une structure d'unit d'organisation conformment votre plan
d'implmentation d'Active Directory.
Tches
Instructions spcifiques
"
"
Crer la structure
d'unit d'organisation
conformment votre
plan d'implmentation
d'Active Directory.
30
Exercice 4
Cration des comptes d'utilisateurs, des comptes de groupes et
des comptes d'ordinateurs
Dans cet exercice, vous allez crer des comptes d'utilisateurs, des comptes de groupes et des
comptes d'ordinateurs conformment au plan que vous avez dvelopp dans l'atelier A. Utilisez
le fichier Lab11users.csv pour importer plusieurs comptes ou les crer manuellement. Le fichier
d'importation contient 100 comptes utilisateur et comptes d'ordinateur gnriques et 50 comptes de
groupe gnriques que vous avez la possibilit de modifier et d'importer dans votre infrastructure
Active Directory.
Tches
Instructions spcifiques
"
a.
C:\MOC\2194\Labfiles\Setup.
Exercice 5
Cration de la stratgie de groupe
Dans cet exercice, vous allez crer des objets Stratgie de groupe pour configurer les paramtres de
stratgie de groupe.
Tches
1.
Instructions spcifiques
a.
3.
"
31
32
Exercice 6
Dploiement de logiciels l'aide d'une stratgie de groupe
Dans cet exercice, vous allez crer un package d'installation de logiciels afin de dployer
Microsoft Office XP vers un groupe de votre domaine.
Tches
1.
Instructions spcifiques
a.
3.
Crer un package
d'installation de logiciels
afin d'attribuer Office XP
un groupe de votre domaine.
"
33
Exercice 7
Placement des rles de matre d'oprations et des serveurs de
catalogue global
Dans cet exercice, vous allez transfrer certains rles de matre d'oprations et activer le serveur de
catalogue global.
Tches
Instructions spcifiques
Important : Effectuez les tches suivantes sur NYDC2, FYDC2, HODC2, AUDC2, PADC2, SRDC2,
HEDC2, FADC2, DADC2, EPDC2, CHDC2 et LJDC2.
"
"
34
Exercice 8
Cration d'approbations de forts
Dans cet exercice, vous aller augmenter le niveau fonctionnel de chaque domaine et fort, puis
crer des approbations de forts.
Tches
Instructions spcifiques
Important : Effectuez la tche suivante sur le premier contrleur de domaine de chaque domaine.
1.
Augmenter le niveau
fonctionnel de chaque
domaine vers Microsoft
Windows Server 2003.
2.
"
"
"
Exercice 9
Vrification de l'implmentation d'Active Directory
Dans cet exercice, vous allez vrifier l'implmentation d'Active Directory pour vous assurer les
composants cls de l'infrastructure fonctionnent comme prvu.
Scnario
L'implmentation d'Active Directory est dsormais termine. Ouvrez une session en tant
qu'utilisateur de test afin de vrifier que les composants de l'implmentation fonctionnent comme
prvu. Accordez une attention toute particulire l'accs aux ressources dans les forts ou les
domaines si les plans de scurit exigent ce niveau de restriction. Faites galement attention
l'hritage des paramtres de la stratgie et aux paramtres de dploiement de logiciels dans la
stratgie de groupe. Linda Meisner, de Tailspin Toys, attend que vous lui transmettiez un rapport
d'tat relatif ces composants d'implmentation cls. Elle a galement demand votre quipe
d'approuver les fonctionnalits la fin du plan d'implmentation. Linda a prvu des runions afin
de cder l'implmentation l'quipe des oprations, compose d'administrateurs systme et de
l'organisation informatique. Votre quipe reste disposition en cas de problmes.
Tches
1.
2.
Instructions spcifiques
35